LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

Cloud Computing: Die Bundes-Wolke über Berlin

Sensible Regierungs- und Behördendaten sollen zukünftig in einer "Bundes-Cloud" gespeichert werden. Wo die Vorteile einer derartigen nationalen Cloud liegen, wo sie aber dennoch an ihre Grenzen stößt, erklären Michael Marc Maisch und Alexander Seidl.

Bundesinnenminister Hans-Peter Friedrich (CSU) forciert einem Bericht der Wirtschaftwoche zufolge den Aufbau einer sog. "Bundes-Cloud". Diese von einem inländischen Anbieter betriebene Cloud, die den strengen deutschen Datenschutzvorschriften gerecht werden soll, gilt als besonders sicher.

Die geplante Bundes-Cloud soll sogar den strengen Sicherheitsauflagen gerecht werden, die den Umgang mit vertraulichen Regierungsdaten und -dokumenten regeln. Dadurch dass die Daten ausschließlich in Deutschland gehostet werden, kann auch der Zugriff US-amerikanischer Sicherheitsbehörden vermieden werden. Aufgrund der Antiterrorgesetze der USA können amerikanische Cloud-Anbieter wie Amazon oder Microsoft nämlich gezwungen werden, selbst in Europa gespeicherte Daten bei Bedarf an US-Behörden auszuhändigen.

In den vergangenen Wochen hätten bereits Gespräche zwischen Vertretern der Bundesregierung, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Deutschen Telekom AG stattgefunden. Nach Ansicht von Reinhard Clemens, CEO von T-Systems, des auf Informations- und Kommunikationstechnologie spezialisierten Tochterunternehmens der Deutschen Telekom AG, könnte bereits 2012 eine "Nationale Plattform sichere Cloud" entstehen.

An der Cloud führt kein Weg vorbei

Apple iCloud, Telekom Cloud, Microsoft Cloud Services – keine Werbung kommt mehr ohne "Cloud Computing" aus. Bei dem frischen Wind aus der IT-Wirtschaft handelt es sich jedoch nicht um einen Marketinggag, sondern um eine neue Kombination von vorhandenen Technologien, Outsourcing-Konzepten und Geschäfts- und Abrechnungsmodellen.

Cloud Computing steht  für Datenverarbeitung in der Wolke. Die Wolke steht metaphorisch für das Internet als weltumspannendes Datennetz. Cloud Computing bezeichnet, nach der Definition des BSI, das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Rein praktisch können Unternehmen Rechenleistung, Speicherplatz, aber auch Anwendungen bis hin zu Serveranlagen an Cloud-Anbieter auslagern und übers Internet benutzen. Auch Verbraucher können Cloud Computing Dienste, zum Beispiel Office-Programme, die im Browser aufgerufen werden, oder Dienste zur Datenspeicherung und –synchronisation, nutzen.

Die Cloud kann in verschiedener Weise bereitgestellt werden. Die Modelle werden danach differenziert, wer sie betreibt und wer Zugriffsrechte hat. Unterschieden werden u.a. die sog. Private Cloud, die Public Cloud, die Community Cloud und die Hybrid Cloud (Verlinken auf Definitionen > Googlen). Die derzeitigen Konzepte der Bundes-Cloud entsprechen der sog. Community Cloud, bei der die Infrastruktur von mehreren Institutionen geteilt wird.

Die Bundes-Cloud wirft rechtliche Fragen auf

Nach dem Willen der IT-Dienstleister soll die Nutzung von IT durch Cloud Computing künftig so einfach werden, wie der Bezug von elektrischem Strom aus der Steckdose. Bevor diese IT-Revolution Realität werden kann, sind zahlreiche rechtliche Hürden zu bezwingen.

Für staatliche Stellen ist zunächst zu prüfen, ob die verfassungsrechtlichen und organisationsrechtlichen Rahmenbedingungen des IT-Outsourcings eingehalten werden. Das Verfassungsrecht limitiert gem. Art. 33 Abs. 4 GG die Möglichkeiten, hoheitliche Befugnisse von privaten Dritten wahrnehmen zu lassen. Bloße technische Hilfsfunktionen können allerdings von privaten Dienstleistern ausgeführt werden. Für die Zulässigkeit der Bundes-Cloud kommt es daher darauf an, dass die auslagernden Behörden stets die Entscheidungsbefugnis über die Datenverarbeitung und Weisungsrechte innehaben.

Auch eine Vermischung der grundgesetzlich getrennten Verwaltungsräume des Bundes, der Länder und der Kommunen in einer Bundes-Cloud könnte Probleme aufwerfen. Denn diese Bereiche sind organisationsrechtlich getrennt. Eine sog. Mischverwaltung, die durch eine technisch-organisatorische Verflechtung entstehen könnte, ist nur ausnahmsweise erlaubt. Eine ebenenübergreifende Kooperation, bspw. die gemeinsame Nutzung von Office-Anwendungen in der Cloud, ist aber zulässig, sofern es zu keiner Beeinträchtigung der organisatorischen Selbständigkeit, der Aufgabenerfüllung oder des Gesetzesvollzuges kommt. Die Erfüllung sonstiger Aufgaben, wie zum Beispiel die erste Beratung und Betreuung der potentiellen Leistungsempfänger, kann auch unter Verwendung einer Bundes-Cloud vorgenommen werden.

Die Auslagerung von personenbezogenen Daten in die Cloud wirft auch erhebliche datenschutzrechtliche Unsicherheiten auf. Ob mit der Bundes-Cloud eine gem. § 11 BDSG oder nach Landesdatenschutzrecht zulässige Auftragsdatenverarbeitung verwirklicht werden kann, hängt an der vertraglichen und technisch-organisatorischen Ausgestaltung. Sofern die Bundes-Cloud in Deutschland betrieben wird, bleibt zumindest die gesetzliche Problematik der Auslandsdatentransfers außer Betracht.

Entscheidende Bedeutung kommt dabei auch der IT-Sicherheit zu. Bisherige Zertifizierungskataloge sind sehr vage. Die Bundes-Cloud könnte daher ein vielversprechender Ansatz sein, neue, spezifische Anforderungen an ein angemessenes Schutzniveau in der Cloud zu definieren. Insgesamt handelt es sich somit bei der Bundes-Cloud um einen interessanten Vorstoß der Bundesregierung, die Migration in die Cloud, die angesichts der künftig weiter wachsender Datenflut unausweichlich ist, weiter zu fördern.

Die Autoren Michael Marc Maisch und Alexander Seidl sind Doktoranden und wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau.

Zitiervorschlag

Marc Maisch und Alexander Seidl, Cloud Computing: Die Bundes-Wolke über Berlin . In: Legal Tribune Online, 23.12.2011 , https://www.lto.de/persistent/a_id/5168/ (abgerufen am: 29.09.2020 )

Infos zum Zitiervorschlag
Kommentare
  • 24.12.2011 10:00, Wolfgang Ksoll

    In den USA wird in der Bundesverwaltung die Cloud-Technologie genutzt, um die 2.000 Rechenzentren auf 800 zu reduzieren und erheblich die Kosten zu senken. In Deutschland wird vom BMI eine Diskussion angestrengt, um schon wie mit qualifizierten Signaturen, DE-Mail, Gesundheitskarte und Jobcard die Nutzung neuer Technologien durch die öffentliche Hand zu verhindern.

    Das Cloud Computing unterschiedet sich rechtlich nicht vom normalen Outsourcing. Rechtlich ist für die IT-Sicherheit keine Zertifizierung erforderlich. Also ein Null-Punkt.

    Betreibt der Cloud-Anbieter seine Rechenzentren in Deutschland, EU oder USA (Safe-Harbor-Abkommen) ist auch der §11 BDSG "normal business". Seit 2009 erprobt, für die Auftragsdatenverarbeitungsvereinbarungen gibt es Musterformulare. Es gibt hinsichtlich der §11-Fragen keine anhängigen Rechtsstreitereien, keine entgegenstehende Rechtssprechung. Kein Forschungsbedarf.

    Die einzige rechtliche Frage die mit der Bundes-Cloud auftaucht, ist vergaberechtlich. Es gab keine Ausschreibung für die Arbeit der Telekom AG, soweit mir bekannt ist.

    Hier wird erneut ein Popanz aufgebaut, dessen einzige Folge ist, dass Deutschland wieder von der internationalen Entwicklung abgeschnitten wird. Ggf. wäre noch zu prüfen, ob sich hier Rechtsfragen ergeben, dadurch dass durch staatliche Willkür deutsche Bürger gegenüber anderen EU-Bürger herabgesetzt werden und in ihren Rechten gemindert werden.

    Ich darf an die große Tradition der Missachtung europäischen Rechtes erinnern, die wir auch bei der Umsetzung der EU-Dienstleistungsrichtlinie gesehen habe. Obwohl der Artikel 8 der EU-DLR es vorschreibt, dass eine Anmeldung eines ausländischen Dienstleisters einfach und online erfolgen können muss, hat die deutsche Verwaltung über §3a VwVfG die Umsetzung höhnisch boykottiert, in dem (wegen der höheren Sicherheit) qualifizierte Signaturen vorgeschrieben werden, die es außerhalb von Deutschland nicht gibt.

    Die von der Telekom AG und in deren Einfluss der BMI versuchte Nationalisierung beim Cloud-Cmputing steht im Gegensatz zu der Gesetzgebung in der Abgabenordnung, wo der Gesetzgeber mit dem Jahressteuergesetz 2010 Beschränkungen auf EU und EWR im §146 Abs. 2 AO aufgehoben hat und grundsätzlich eine Globalisierung ermöglicht.

    Im Übrigen betreibt die öffentliche Hand seit Jahrzehnte Private Cloud in Form der kommunalen Rechenzentren und anderer Konstrukte wie Dataport. Auch hat die Verwaltung keine Probleme damit, personenbezogene Daten über deutsche Grenzen hinaus zu exportieren: SWIFT, Fluggastdatenabkommen, Schengen, Schily Pakete, 0zapftis mit Verschleierungsserver in den USA, usw.