RSS feed icon
Sonntag, 2. Februar 2025

Cloud ComputingRecht problematisch

[01.03.2012] Vor der Verlagerung von Anwendungen und Daten in die Wolke hat die öffentliche Verwaltung zunächst eine Reihe rechtlicher Herausforderungen zu klären. Neben dem Datenschutz sind beispielsweise auch vergaberechtliche Bestimmungen zu beachten.

Während viele Unternehmen es bereits selbstverständlich nutzen, steht die öffentliche Verwaltung in Deutschland dem Cloud Computing trotz erheblichen Kostendrucks noch verhalten gegenüber. Dies liegt wohl daran, dass sich Behörden bei der Nutzung von Cloud Computing mit zahlreichen rechtlichen Problemen konfrontiert sehen.
Cloud Computing bietet die klassischen Vorteile des Outsourcing, nämlich die Senkung von Ausgaben für Hard- und Software oder eigenes IT-Personal sowie die Nutzung des Know-hows Dritter, um ein höheres Qualitätsniveau zu erreichen. IT-Leistungen werden dabei in Echtzeit von einem Dienstleister als Service über das Inter- oder Intranet bereitgestellt und nach Nutzung abgerechnet. Um die weltweit vorhandenen Speicherressourcen bestmöglich zu nutzen, werden Daten seitens des Anbieters je nach Auslastung stets dort gespeichert, wo entsprechende Kapazität vorhanden ist. Ein Problem dieser Vorgehensweise ist, dass eine physische Lokalisierung der gespeicherten Daten seitens des Nutzers nicht möglich ist.

#titel+Sondervorschriften beachten#titel-

Die öffentliche Hand ist bei der Nutzung von Cloud-Angeboten neben dem normalen Datenschutz mit der Beachtung des Schutzes spezieller Daten konfrontiert. Während der neue Beschäftigtendatenschutz viel diskutiert wird, hat die öffentliche Hand zusätzlich etwa den Personalaktenschutz nach dem Bundesbeamtengesetz (§§ 106, 111, 114 BBG) zu beachten. Demnach dürfen Personalaktendaten an Dritte nur mit Einwilligung des betroffenen Beamten erteilt werden, es sei denn, „dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen der oder des Dritten die Auskunftserteilung zwingend erfordert.“ Sollen Daten aus Personalakten von Beamten in die Cloud ausgelagert werden, ist daher eingehend zu prüfen, ob und gegebenenfalls wie diesen Anforderungen entsprochen werden kann.
Eine weitere Sondervorschrift betrifft steuerpflichtige öffentliche Unternehmen. Für Finanzdaten von Steuersubjekten trifft die Abgabenordnung (AO) besondere Regelungen. Eine Verlagerung der elektronischen Buchführung in eine Cloud, die sich nicht in Deutschland befindet, ist gemäß § 146 Abs. 2a AO bewilligungspflichtig und an gewisse Voraussetzungen geknüpft.

#titel+Speicherung bedarf der Erlaubnis#titel-

Neben solchen datenspezifischen Sondervorschriften sind die Vorschriften des allgemeinen Datenschutzes zu beachten, wenn die öffentliche Verwaltung beabsichtigt, personenbezogene Daten an einen Cloud-Anbieter zum Zwecke der Speicherung zu übermitteln. Die Speicherung von Daten in der Cloud ist regelmäßig nur dann zulässig, wenn das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift es erlaubt (Erlaubnistatbestand) oder der Betroffene eingewilligt hat. Da eine Einwilligung jedoch stets widerruflich ist, ist es kaum ratsam, eine Datenverlagerung in die Cloud auf die Einwilligung der Betroffenen zu stützen. Eine genaue Prüfung der Erlaubnistatbestände ist daher meist unerlässlich.
Verzichtbar ist ein Erlaubnistatbestand allerdings, wenn zwischen Cloud-Nutzer und -Anbieter eine wirksame Vereinbarung zur privilegierten Auftragsdatenverarbeitung geschlossen wird (§ 3 Abs. 8 BDSG). Die Idee der Auftragsdatenverarbeitung ist, dass der Auftragnehmer unter bestimmten Voraussetzungen nicht Dritter im Sinne des Bundesdatenschutzgesetzes ist, sondern als verlängerter Arm der verantwortlichen Stelle beziehungsweise des Auftraggebers gesehen wird und mit ihr eine rechtliche Einheit bildet. Dies hat zur Folge, dass zwischen Auftragnehmer und Auftraggeber keine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes stattfindet. Befindet sich die Cloud teilweise auch auf außereuropäischen Servern, dürfte diese Lösung jedoch ausscheiden: Vereinbarungen zur privilegierten Auftragsdatenvereinbarung sind nur innerhalb der EU und des Europäischen Wirtschaftsraumes möglich.

#titel+Verschlüsselung als technische Lösung#titel-

Die Zulässigkeit des Cloud Computing kann eventuell auch durch technische Lösungen erreicht werden. So wäre die Verschlüsselung von Daten denkbar, um Cloud Computing für die öffentliche Verwaltung unter datenschutzrechtlichen Aspekten handhabbar zu machen. Verschlüsselte Daten stellen aufgrund ihrer Unlesbarkeit für den Cloud-Anbieter und für Dritte keine personenbezogenen Daten mehr dar. Dies bedeutet allerdings, dass alle zu übermittelnden Daten bereits vor ihrer Übermittlung an den Cloud-Anbieter verschlüsselt werden müssten. Der damit verbundene technische Aufwand könnte sich jedoch eventuell rechnen, wenn eine solche Lösung die rechtmäßige Nutzung weltweiter Public Clouds ermöglichen könnte.

#titel+Vergaberechtliche Herausforderungen#titel-

Bei der Verlagerung von Daten in die Wolke sind darüber hinaus Bestimmungen des Vergaberechts zu beachten. Denn die Beauftragung eines externen Cloud-Providers stellt eine Beschaffung von Dienstleistungen dar und ist somit europaweit ausschreibungspflichtig, wenn der Schwellenwert von 200.000 Euro überschritten wird. Eine vergaberechtliche Privilegierung käme jedoch vor allem bei der Kooperation von Rechenzentren der öffentlichen Hand zur Erfüllung ihrer Aufgaben in Betracht. Eine Herausforderung bei der Ausschreibung von Cloud-Computing-Leistungen stellt die Tatsache dar, dass die Angebote der Provider am Markt nicht standardisiert sind und es vor allem für die öffentliche Hand wenig spezialisierte Angebote gibt. Darüber hinaus fehlen passende EVB-IT-Musterverträge, derer sich die öffentliche Hand bei einer Ausschreibung bedienen könnte. Dies hat zur Folge, dass die öffentliche Hand selbst die Verträge für die Ausschreibung vorgeben muss.
Cloud Computing stellt Behörden also vor eine Vielzahl rechtlicher Herausforderungen. Ob die öffentliche Verwaltung sich zulässigerweise des Cloud Computing bedienen darf, wird letztlich von der Wahl des Cloud-Computing-Modells, der Sensibilität der Anwendungen und Daten, die in die Wolke verlagert werden sollen, sowie den vertraglichen Beziehungen zum Cloud-Anbieter abhängen.

Kai Wischnat ist Rechtsanwalt bei der KPMG Rechtsanwaltsgesellschaft in Nürnberg.


Stichwörter: IT-Infrastruktur, Recht

Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur
Ein aufgeklappter Laptop steht auf einem Tisch und zeigt auf dem Display das Deckblatt der Digitalisierungsstrategie der Stadt Meßstetten. Im Hintergrund sitzen sich ein Mann und eine Frau am Tisch gegenüber und arbeiten selbst an Laptops.

Meßstetten: Notebooks statt Desktop-PCs

[23.01.2025] Die Stadtverwaltung Meßstetten verabschiedet sich von den bislang eingesetzten Desktop-PCs und rüstet fast alle Arbeitsplätze mit einer Dockingstation für Laptops sowie zwei 24-Zoll-Monitoren aus. Die Laptops können nicht nur vor Ort genutzt, sondern beispielsweise auch zu Besprechungen oder Außenterminen mitgenommen werden. mehr...

In Nordrhein-Westfalen soll der digitale Gang aufs Rathaus künftig zur Regel werden.

Hessen: Gemeinsam digitalisieren

[16.01.2025] Im Rahmen einer interkommunalen Kooperation haben vier hessische Gemeinden im Projekt „Digitalisierungsfortschritt Fachverfahren“ zentrale Verwaltungsleistungen digitalisiert. Mit 216.000 Euro Fördermitteln unterstützte das Land diesen Schritt in Richtung moderner Verwaltung. mehr...

Blick auf Bad Bentheim von schräg oben.
bericht

Bad Bentheim: Arbeitsplatz in der Cloud

[18.12.2024] Die Stadt Bad Bentheim führt die cloudbasierte Arbeitsplatzlösung Microsoft 365 ein und verspricht sich davon effizientere und flexiblere Abläufe. Unterstützung bei der Einführung erhielt die Kommune durch ihren langjährigen IT-Dienstleister ITEBO. mehr...

Ein Mann mit VR-Brille hantiert mit ihn umgebenden Lichtwellen.
bericht

Virtuelle Realität: Die Zukunft beginnt jetzt

[27.11.2024] Technologien wie Virtual Reality (VR) und Augmented Reality (AR) eröffnen auch für Verwaltungen völlig neue Möglichkeiten. Erste Denkanstöße für potenzielle Einsatzgebiete in Kommunen will nun eine Arbeitsgruppe der KGSt erstellen. mehr...

Porträtbild von Dr. Andreas Wierse.
interview

Sicos BW: Offen für neue Technologien

[22.11.2024] Der Einsatz von Virtual Reality und Augmented Reality in der Verwaltung kann die Qualität von Entscheidungen deutlich verbessern, sagt Andreas Wierse. Kommune21 sprach mit dem Geschäftsführer von Sicos BW über die Einsatzmöglichkeiten der Technologie in Kommunen. mehr...

Screenshot des Headers zum Axians Infoma Innovationspreis 2024, der eine zur Faust geformte Hand zeigt, nur der ausgestreckte Zeigefinger tippt auf das Wort Innovation.

Axians Infoma: Der Innovationspreis 2024 ist vergeben 

[19.11.2024] Die Gewinner des Axians Infoma Innovationspreises 2024 stehen fest. Den Hauptpreis gewann die Kreisbaugruppe Rems-Murr-Kreis-Immobilien-Management für ihr digitales Schadensmanagement. Auch wurden zwei Finalisten aus Österreich und Niedersachsen geehrt. mehr...

Vektorgrafik mit stilisiert dargestellten Persone, die mit Puzzleteilen an einem Laptop hantieren.

Ceyoniq: Update für nscale

[05.11.2024] Mit Version 9.3 hat Softwareanbieter Ceyoniq das nächste Update seiner Content-Management-Lösung nscale veröffentlicht. Neuerungen gibt es unter anderem in der automatisierten Rechnungsverarbeitung, bei digitalen Signaturen, in den Grundfunktionen oder dem nscale-Webclient. mehr...

Kempen: IT-Safe ersetzt Serverraum

[15.10.2024] Mit der Onsite-Colocation-Lösung des Anbieters Prior1 kann die Stadt Kempen ihre Systeme künftig in einem hochsicheren IT-Safe betreiben. mehr...

Philipp Stolz
interview

Schorndorf: Wir Spinner aus der Digitalisierung

[10.10.2024] Als Chief Digital Officer (CDO) der Stadt Schorndorf in Baden-Württemberg hat Philipp Stolz ChatGPT eingeführt und für den Umgang damit eine Dienstanweisung verfasst. Die Mitarbeiter durchlaufen eine Schulung und sind begeistert. mehr...

Das Bild zeigt einen Bildschirm mit einer Ansicht des Programms disy Cadenza.

Disy/Ionos: Datensouveräne Umgebung

[07.10.2024] Das Karlsruher Unternehmen Disy Informationssysteme und der Cloudanbieter Ionos haben eine Kooperation gestartet, um innovative und datenschutzkonforme Software-as-a-Service-Lösungen anzubieten. mehr...

Die Guideline von Vitako und KGSt soll eine praxisnahe Orientierung für den Einsatz von generativer KI in Kommunalverwaltungen bieten.

Vitako/KGSt: Praxisleitfaden für generative KI

[12.09.2024] Einen Leitfaden für den Einsatz von generativer KI in Kommunalverwaltungen haben KGSt und Vitako erarbeitet. Der Fokus liegt auf der Integration von LLM-Tools in den Verwaltungsalltag. mehr...

Dr. Michael Neubauer
interview

Interview: KI-Entwicklung mitgestalten

[04.09.2024] Im Interview erklärt Michael Neubauer, Gründer des Start-ups Gov-KI, welche Potenziale er im Einsatz Künstlicher Intelligenz sieht und warum die öffentlichen Rechenzentren sich die Chance nicht entgehen lassen sollten, bei der KI-Entwicklung mitzuwirken. mehr...

München: Bearbeitungsstatus per QR-Code abfragen

[30.08.2024] Schnell, sicher und bequem können die Bürgerinnen und Bürger in München über einen personalisierten QR-Code den Bearbeitungsstatus beantragter Ausweisdokumente online abfragen. mehr...

Der Public Sector braucht eine souveräne Cloudlösung.

Digitale Souveränität: Die Kontrolle behalten

[29.08.2024] Die Wahl des richtigen Cloudanbieters ist entscheidend, um die digitale Souveränität zu erhöhen. Darüber hinaus minimieren ein Multicloudansatz und Open Source Software die Abhängigkeit von einzelnen Anbietern. mehr...

Stadt Konstanz plant Einführung einer Low-Code-Plattform.

Konstanz: Low-Code-Plattform für die Verwaltung

[29.08.2024] Die Konstanzer Stadtverwaltung plant die Einführung einer Low-Code-Plattform, um digitale Anwendungen künftig mit geringem manuellen Programmieraufwand erstellen zu können. Ein Pilotvorhaben war zuvor erfolgreich verlaufen. mehr...