Cloud-LösungenDatenschutz nicht vergessen
Software in die Cloud zu verlagern, ist technisch kein Problem mehr. Bei Online-Speichern dient die Cloud quasi als Festplatte im Internet, Cloud Software geht noch einen Schritt weiter. Hier werden nicht nur die Daten in der Cloud gespeichert, sondern auch die Anwendungsprogramme. Sie werden beim Cloud-Dienstleister installiert und in dessen Rechenzentrum ausgeführt. Eine Cloud-Lösung beispielsweise für Bibliotheken bietet das Unternehmen datronic IT-Systeme an. Diese Art der Datenverarbeitung hat handfeste Vorteile. Zum Beispiel muss sich der Kunde nicht mehr um Wartung, Backups oder das Einspielen von Updates kümmern. Oft können auch die finanziellen und personellen Mittel nicht aufgebracht werden oder das nötige Know-how fehlt, um in Eigenregie die hochkomplexen Anforderungen an die IT-Sicherheit sowie Hard- und Software zu erfüllen. Entscheidet sich ein Kunde für eine Cloud-Lösung, obliegen die Anschaffung leistungsfähiger Hardware sowie die Sorge für die notwendigen Maßnahmen zur Verfügbarkeit und zur Sicherheit dem Cloud-Dienstleister. Er kümmert sich um alle Komponenten und sorgt dafür, dass alles nach neuestem Stand der Technik umgesetzt wird. Ein weiterer Vorteil: Der Nutzer kann von überall auf die Daten und Dienste zugreifen. Beim Cloud Computing gibt der Kunde ein erhebliches Maß an Kontrolle über seine geschäftlichen und privaten Daten sowie Anwendungen an den Dienstleister ab. Hier gilt es, die Vorteile mit dem Risiko abzuwägen. Es sollte überprüft werden, ob der Grad der Ausfallsicherheit beim Cloud-Dienstleister ausreichend hoch ist. Denn wenn die Internet-Leitung ausfällt, kann der Kunde nicht auf seine Daten zugreifen. Die Maßnahmen des Cloud-Dienstleisters zum Schutz vor Viren und Hackern sind ebenso zu hinterfragen.
Kriterien erfüllt?
Ferner sollten die Daten im Internet verschlüsselt übertragen werden und die Kundendaten vor dem unberechtigten Zugriff Dritter geschützt sein. Auch ist zu überprüfen, ob weitere Dienstleister in die Cloud-Lösung involviert sind. Die Erreichbarkeit des Supports gehört ebenfalls zur Risikoabwägung: Ist dessen Erreichbarkeit zu den Geschäftszeiten ausreichend oder ist ein 24-Stunden-Support notwendig? Nicht zuletzt sind passende Schnittstellen zur Rückübertragung oder zur Löschung der Daten bei Beendigung des Vertragsverhältnisses zu bedenken. Ein guter Cloud-Dienstleister beantwortet diese Fragen umfassend und legt seine Schutzmaßnahmen transparent dar. In der Praxis können Cloud-Dienstleister meist eine höhere Ausfallsicherheit oder ein deutlich höheres Sicherheitsniveau bieten, als es beispielsweise kleineren Bibliotheken normalerweise zur Verfügung steht. Datenschutz basiert nicht nur auf IT-Sicherheit. Sind bei der Verarbeitung in der Cloud personenbezogene Daten betroffen, müssen die Regeln des Bundesdatenschutzgesetzes (BDSG) und der Landesdatenschutzgesetze beachtet werden. Beispielsweise muss der Cloud-Dienstleister seine Mitarbeiter auf das Datengeheimnis verpflichten. Es sind schriftliche Vereinbarungen zu treffen, wie der Dienstleister mit den Kundendaten umgehen soll und darf. Die Daten dürfen auch nicht ohne weiteres in Drittländern außerhalb der EU gespeichert werden. Idealerweise sollte der Speicher- und Verarbeitungsort in Deutschland sein. Sind personenbezogene Daten betroffen, können deutsche Institutionen die Cloud-Angebote mit Datenverarbeitung in Drittländern wie den USA, Indien oder China, meist gar nicht oder nur sehr aufwendig datenschutzgerecht nutzen.
Schriftliche Vereinbarung
Diese und andere Vorgaben sind schriftlich in der Vereinbarung zur Auftragsdatenverarbeitung (ADV) festzuhalten. Welche Inhalte die Vereinbarung regeln muss, legt der Gesetzgeber im §11 BDSG und den entsprechenden Landesgesetzen fest. Die Verantwortung, eine passende ADV-Vereinbarung abzuschließen, liegt beim Cloud-Kunden als Auftraggeber. Fehlt eine solche und es werden dennoch personenbezogene Daten in die Cloud verlagert, kann das ein Bußgeld durch die Datenschutzaufsichtsbehörde für den Auftraggeber nach sich ziehen. Es lohnt sich überdies bei Cloud-Lösungen beim Dienstleister nach einer passenden ADV-Vereinbarung zu fragen. Gut vorbereitete Anbieter haben auf ihre Dienstleistung zugeschnittene Vereinbarungen vorformuliert. Der Kunde sollte dann prüfen, ob die darin enthaltenen Vorgaben seinen Ansprüchen genügen. Das Unternehmen datronic kommt den Anforderungen der IT-Sicherheit und des Datenschutzes nach, indem es für seine Cloud-Lösungen ein Server-Zentrum in Deutschland garantiert. Die Sicherheit der Kundendaten bei der Übertragung wird unter anderem durch die Verschlüsselung und den Einsatz von Firewalls gewährleistet. Empfehlenswert ist darüber hinaus, dass der Cloud-Dienstleister unabhängig von einer gesetzlichen Pflicht einen Datenschutzbeauftragten bestellt hat. Da er unabhängig agiert und im Unternehmen die Einhaltung des Datenschutzes kotrolliert, bedeutet der Datenschutzbeauftragte eine zusätzliche Kontrollinstanz beim Dienstleister vor Ort. Ebenso ist er Ansprechpartner für die Kunden, wenn sie Fragen zur datenschutzkonformen Verarbeitung personenbezogener Daten haben.
Dieser Beitrag ist in der Februar-Ausgabe von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.
Virtuelle Realität: Die Zukunft beginnt jetzt
[27.11.2024] Technologien wie Virtual Reality (VR) und Augmented Reality (AR) eröffnen auch für Verwaltungen völlig neue Möglichkeiten. Erste Denkanstöße für potenzielle Einsatzgebiete in Kommunen will nun eine Arbeitsgruppe der KGSt erstellen. mehr...
Sicos BW: Offen für neue Technologien
[22.11.2024] Der Einsatz von Virtual Reality und Augmented Reality in der Verwaltung kann die Qualität von Entscheidungen deutlich verbessern, sagt Andreas Wierse. Kommune21 sprach mit dem Geschäftsführer von Sicos BW über die Einsatzmöglichkeiten der Technologie in Kommunen. mehr...
Axians Infoma: Der Innovationspreis 2024 ist vergeben
[19.11.2024] Die Gewinner des Axians Infoma Innovationspreises 2024 stehen fest. Den Hauptpreis gewann die Kreisbaugruppe Rems-Murr-Kreis-Immobilien-Management für ihr digitales Schadensmanagement. Auch wurden zwei Finalisten aus Österreich und Niedersachsen geehrt. mehr...
Ceyoniq: Update für nscale
[05.11.2024] Mit Version 9.3 hat Softwareanbieter Ceyoniq das nächste Update seiner Content-Management-Lösung nscale veröffentlicht. Neuerungen gibt es unter anderem in der automatisierten Rechnungsverarbeitung, bei digitalen Signaturen, in den Grundfunktionen oder dem nscale-Webclient. mehr...
Kempen: IT-Safe ersetzt Serverraum
[15.10.2024] Mit der Onsite-Colocation-Lösung des Anbieters Prior1 kann die Stadt Kempen ihre Systeme künftig in einem hochsicheren IT-Safe betreiben. mehr...
Schorndorf: Wir Spinner aus der Digitalisierung
[10.10.2024] Als Chief Digital Officer (CDO) der Stadt Schorndorf in Baden-Württemberg hat Philipp Stolz ChatGPT eingeführt und für den Umgang damit eine Dienstanweisung verfasst. Die Mitarbeiter durchlaufen eine Schulung und sind begeistert. mehr...
Disy/Ionos: Datensouveräne Umgebung
[07.10.2024] Das Karlsruher Unternehmen Disy Informationssysteme und der Cloudanbieter Ionos haben eine Kooperation gestartet, um innovative und datenschutzkonforme Software-as-a-Service-Lösungen anzubieten. mehr...
Vitako/KGSt: Praxisleitfaden für generative KI
[12.09.2024] Einen Leitfaden für den Einsatz von generativer KI in Kommunalverwaltungen haben KGSt und Vitako erarbeitet. Der Fokus liegt auf der Integration von LLM-Tools in den Verwaltungsalltag. mehr...
Interview: KI-Entwicklung mitgestalten
[04.09.2024] Im Interview erklärt Michael Neubauer, Gründer des Start-ups Gov-KI, welche Potenziale er im Einsatz Künstlicher Intelligenz sieht und warum die öffentlichen Rechenzentren sich die Chance nicht entgehen lassen sollten, bei der KI-Entwicklung mitzuwirken. mehr...
München: Bearbeitungsstatus per QR-Code abfragen
[30.08.2024] Schnell, sicher und bequem können die Bürgerinnen und Bürger in München über einen personalisierten QR-Code den Bearbeitungsstatus beantragter Ausweisdokumente online abfragen. mehr...
Digitale Souveränität: Die Kontrolle behalten
[29.08.2024] Die Wahl des richtigen Cloudanbieters ist entscheidend, um die digitale Souveränität zu erhöhen. Darüber hinaus minimieren ein Multicloudansatz und Open Source Software die Abhängigkeit von einzelnen Anbietern. mehr...
Konstanz: Low-Code-Plattform für die Verwaltung
[29.08.2024] Die Konstanzer Stadtverwaltung plant die Einführung einer Low-Code-Plattform, um digitale Anwendungen künftig mit geringem manuellen Programmieraufwand erstellen zu können. Ein Pilotvorhaben war zuvor erfolgreich verlaufen. mehr...
Dortmund: Daten für den Digitalen Zwilling
[28.08.2024] Mit Kameras und Laserscannern wird derzeit der gesamte Straßenraum Dortmunds erfasst. Die hochauflösenden, georeferenzierten 3D-Panoramabilder bilden zusammen mit bereits erstellten Luftbildern die Datengrundlage für den Digitalen Zwilling der Stadt. mehr...
Döhlau: IT-Sorgen los
[26.08.2024] In Döhlau wurde die komplette IT-Infrastruktur vor rund drei Jahren in die Cloudlösung der AKDB-Tochter LivingData ausgelagert. Sorgen über veraltete Hardware, Sicherheitslücken und Ausfälle gehören in der oberfränkischen Gemeinde seitdem der Vergangenheit an. mehr...
Potsdam: Aufenthaltstitel online beantragen
[22.08.2024] Eine neue digitale Antragsstrecke bietet das Potsdamer Migrationsamt an. Personen ohne deutschen Pass können ihren Aufenthaltstitel damit online beantragen oder verlängern. Der Service steht in acht Sprachen zur Verfügung. Ein persönlicher Termin beim Amt bleibt erforderlich. mehr...