RSS feed icon
Sonntag, 29. März 2026

Cloud ComputingRecht problematisch

[01.03.2012] Vor der Verlagerung von Anwendungen und Daten in die Wolke hat die öffentliche Verwaltung zunächst eine Reihe rechtlicher Herausforderungen zu klären. Neben dem Datenschutz sind beispielsweise auch vergaberechtliche Bestimmungen zu beachten.

Während viele Unternehmen es bereits selbstverständlich nutzen, steht die öffentliche Verwaltung in Deutschland dem Cloud Computing trotz erheblichen Kostendrucks noch verhalten gegenüber. Dies liegt wohl daran, dass sich Behörden bei der Nutzung von Cloud Computing mit zahlreichen rechtlichen Problemen konfrontiert sehen.
Cloud Computing bietet die klassischen Vorteile des Outsourcing, nämlich die Senkung von Ausgaben für Hard- und Software oder eigenes IT-Personal sowie die Nutzung des Know-hows Dritter, um ein höheres Qualitätsniveau zu erreichen. IT-Leistungen werden dabei in Echtzeit von einem Dienstleister als Service über das Inter- oder Intranet bereitgestellt und nach Nutzung abgerechnet. Um die weltweit vorhandenen Speicherressourcen bestmöglich zu nutzen, werden Daten seitens des Anbieters je nach Auslastung stets dort gespeichert, wo entsprechende Kapazität vorhanden ist. Ein Problem dieser Vorgehensweise ist, dass eine physische Lokalisierung der gespeicherten Daten seitens des Nutzers nicht möglich ist.

#titel+Sondervorschriften beachten#titel-

Die öffentliche Hand ist bei der Nutzung von Cloud-Angeboten neben dem normalen Datenschutz mit der Beachtung des Schutzes spezieller Daten konfrontiert. Während der neue Beschäftigtendatenschutz viel diskutiert wird, hat die öffentliche Hand zusätzlich etwa den Personalaktenschutz nach dem Bundesbeamtengesetz (§§ 106, 111, 114 BBG) zu beachten. Demnach dürfen Personalaktendaten an Dritte nur mit Einwilligung des betroffenen Beamten erteilt werden, es sei denn, „dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen der oder des Dritten die Auskunftserteilung zwingend erfordert.“ Sollen Daten aus Personalakten von Beamten in die Cloud ausgelagert werden, ist daher eingehend zu prüfen, ob und gegebenenfalls wie diesen Anforderungen entsprochen werden kann.
Eine weitere Sondervorschrift betrifft steuerpflichtige öffentliche Unternehmen. Für Finanzdaten von Steuersubjekten trifft die Abgabenordnung (AO) besondere Regelungen. Eine Verlagerung der elektronischen Buchführung in eine Cloud, die sich nicht in Deutschland befindet, ist gemäß § 146 Abs. 2a AO bewilligungspflichtig und an gewisse Voraussetzungen geknüpft.

#titel+Speicherung bedarf der Erlaubnis#titel-

Neben solchen datenspezifischen Sondervorschriften sind die Vorschriften des allgemeinen Datenschutzes zu beachten, wenn die öffentliche Verwaltung beabsichtigt, personenbezogene Daten an einen Cloud-Anbieter zum Zwecke der Speicherung zu übermitteln. Die Speicherung von Daten in der Cloud ist regelmäßig nur dann zulässig, wenn das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift es erlaubt (Erlaubnistatbestand) oder der Betroffene eingewilligt hat. Da eine Einwilligung jedoch stets widerruflich ist, ist es kaum ratsam, eine Datenverlagerung in die Cloud auf die Einwilligung der Betroffenen zu stützen. Eine genaue Prüfung der Erlaubnistatbestände ist daher meist unerlässlich.
Verzichtbar ist ein Erlaubnistatbestand allerdings, wenn zwischen Cloud-Nutzer und -Anbieter eine wirksame Vereinbarung zur privilegierten Auftragsdatenverarbeitung geschlossen wird (§ 3 Abs. 8 BDSG). Die Idee der Auftragsdatenverarbeitung ist, dass der Auftragnehmer unter bestimmten Voraussetzungen nicht Dritter im Sinne des Bundesdatenschutzgesetzes ist, sondern als verlängerter Arm der verantwortlichen Stelle beziehungsweise des Auftraggebers gesehen wird und mit ihr eine rechtliche Einheit bildet. Dies hat zur Folge, dass zwischen Auftragnehmer und Auftraggeber keine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes stattfindet. Befindet sich die Cloud teilweise auch auf außereuropäischen Servern, dürfte diese Lösung jedoch ausscheiden: Vereinbarungen zur privilegierten Auftragsdatenvereinbarung sind nur innerhalb der EU und des Europäischen Wirtschaftsraumes möglich.

#titel+Verschlüsselung als technische Lösung#titel-

Die Zulässigkeit des Cloud Computing kann eventuell auch durch technische Lösungen erreicht werden. So wäre die Verschlüsselung von Daten denkbar, um Cloud Computing für die öffentliche Verwaltung unter datenschutzrechtlichen Aspekten handhabbar zu machen. Verschlüsselte Daten stellen aufgrund ihrer Unlesbarkeit für den Cloud-Anbieter und für Dritte keine personenbezogenen Daten mehr dar. Dies bedeutet allerdings, dass alle zu übermittelnden Daten bereits vor ihrer Übermittlung an den Cloud-Anbieter verschlüsselt werden müssten. Der damit verbundene technische Aufwand könnte sich jedoch eventuell rechnen, wenn eine solche Lösung die rechtmäßige Nutzung weltweiter Public Clouds ermöglichen könnte.

#titel+Vergaberechtliche Herausforderungen#titel-

Bei der Verlagerung von Daten in die Wolke sind darüber hinaus Bestimmungen des Vergaberechts zu beachten. Denn die Beauftragung eines externen Cloud-Providers stellt eine Beschaffung von Dienstleistungen dar und ist somit europaweit ausschreibungspflichtig, wenn der Schwellenwert von 200.000 Euro überschritten wird. Eine vergaberechtliche Privilegierung käme jedoch vor allem bei der Kooperation von Rechenzentren der öffentlichen Hand zur Erfüllung ihrer Aufgaben in Betracht. Eine Herausforderung bei der Ausschreibung von Cloud-Computing-Leistungen stellt die Tatsache dar, dass die Angebote der Provider am Markt nicht standardisiert sind und es vor allem für die öffentliche Hand wenig spezialisierte Angebote gibt. Darüber hinaus fehlen passende EVB-IT-Musterverträge, derer sich die öffentliche Hand bei einer Ausschreibung bedienen könnte. Dies hat zur Folge, dass die öffentliche Hand selbst die Verträge für die Ausschreibung vorgeben muss.
Cloud Computing stellt Behörden also vor eine Vielzahl rechtlicher Herausforderungen. Ob die öffentliche Verwaltung sich zulässigerweise des Cloud Computing bedienen darf, wird letztlich von der Wahl des Cloud-Computing-Modells, der Sensibilität der Anwendungen und Daten, die in die Wolke verlagert werden sollen, sowie den vertraglichen Beziehungen zum Cloud-Anbieter abhängen.

Kai Wischnat ist Rechtsanwalt bei der KPMG Rechtsanwaltsgesellschaft in Nürnberg.


Stichwörter: IT-Infrastruktur, Recht

Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur
Mehrere Personen stehen in einem Raum zum Gruppenfoto versammelt, im Hintergrund ist ein Anmeldeterminal zu sehen.
bericht

Besuchersteuerung: Zeitgemäßer Bürgerservice

[27.03.2026] Die IKT-Ost hat eine neue Lösung zur Termin- und Besuchersteuerung eingeführt. Der IT-Träger für zwei Landkreise und eine Stadt setzt dabei auf eine einheitliche Software für alle Kommunen. Profiteure sind Verwaltungen und Bürger. mehr...

Mehrere Personen stehen in kleinen Gruppen versammelt in einem größeren Raum.

Büdelsdorf: Digitales Zielmanagementsystem

[06.03.2026] Die Stadt Büdelsdorf hat ein digitales Zielmanagementsystem eingerichtet. Es soll eine gezielte Steuerung, Wirksamkeitsmessung und Auswertung wichtiger Kennzahlen seitens der Stadt ermöglichen. mehr...

Mehrere Personen bringen einzelne Puzzleteile zusammen.

cit / nextgov iT: Strategische Partnerschaft mit KERN-UX

[03.03.2026] Die Low-Code-Plattform cit intelliForm unterstützt KERN-UX, den User-Experience (UX) Standard für Verwaltungssoftware. Verwaltungsleistungen können somit KERN-konform, also standardisiert, nutzerfreundlich und wiedererkennbar, umgesetzt werden. Als strategischer Partner gestaltet neben cit auch nextgov iT den UX-Standard aktiv mit. mehr...

Mehrere Personen sitzen an einem U-förmigen Besprechungstisch, eine Person ist virtuell via Laptop zugeschaltet.
bericht

Round Table: Saubere Daten

[02.03.2026] Das Round-Table-Gespräch von Kommune21 zum Axians-­Infoma-Innovationswettbewerb zeigt: Die Datenqualität ist der entscheidende Erfolgsfaktor für Digitalisierungsprojekte. mehr...

Vektorgrafik einer Person, die ihren Ausweis per Smartphone vorzeigt.

Sachsen: Digitale Ehrenamtskarte

[27.02.2026] Auch in Sachsen steht nun die Digitale Ehrenamtskarte über die Ehrenamtskarten-App zur Verfügung. Damit greift ein weiteres Bundesland auf die in Nordrhein-Westfalen erarbeitete EfA-Leistung zurück. mehr...

Blick auf den Eisenacher Marktplatz.
bericht

Eisenach: Zeichen stehen auf Wandel

[24.02.2026] Mit einem „Masterplan zur digitalen Transformation“ schließt die Stadtverwaltung Eisenach Stück für Stück Etappen auf dem Weg zur modernen Verwaltung ab. Immer im Fokus stehen dabei die Mitarbeitenden als wichtigster Faktor im Veränderungsprozess. mehr...

Zwei Personen stehen vor einem Feuerwehrauto, neben ihnen befindet sich ein Display, das die Oberfläche der Software rescueTablet angezeigt wird.

Hanau: Tablets unterstützen die Feuerwehr

[24.02.2026] In Hanau sorgt das Einsatzinformationssystem rescueTablet dafür, dass Feuerwehren schon während der Anfahrt relevante Informationen zum anstehenden Einsatz erhalten. Da alle Freiwilligen Feuerwehren der Stadt Hanau sowie die Berufsfeuerwehr das System nutzen, wird eine flächendeckende und einheitliche digitale Informationsbasis für sämtliche Einheiten geschaffen. mehr...

Mehrere Personen stehen zum Gruppenfoto versammelt auf einer Außentreppe.
bericht

Low Code / No Code: Kommunen bündeln Kräfte

[19.02.2026] Am Niederrhein haben mehrere Kommunen eine gemeinsame Plattform für digitale Anwendungen beschafft. Mit der Low-Code-/No-Code-Lösung setzen sie auf Tempo bei der Entwicklung neuer Anwendungen und die Wiederverwendung existierender Komponenten. mehr...

Kommunen benötigen bei der Einführung der E-Akte Unterstützung.

Registermodernisierung: Wie brauchbar sind die Registerdaten?

[16.02.2026] Geht es um die Registermodernisierung, stehen oft vor allem technische Aspekte wie die Datenaustauschplattform NOOTS im Fokus. Ein Pilotprojekt in Niedersachsen hat nun die Qualität der Registerdaten selbst untersucht und gleichzeitig gezeigt, wie diese automatisiert verbessert werden kann. mehr...

Blick auf die Uferpromenade Magdeburgs.

Prozessmanagement: Sachsen-Anhalt sucht Kommunen für Proof of Concept

[12.02.2026] Sachsen-Anhalt will mit Kommunen erproben, ob und in welchem Umfang sich eine zentral bereitgestellte Prozessmodellierungssoftware als Basiskomponente eignet. Interessierte Kommunen können sich an die Kommunale IT-Union (KITU) wenden und die PICTURE-Prozessplattform sowie ausgewählte Dienstleistungen bis Ende 2026 unentgeltlich im Rahmen der verfügbaren Mittel nutzen. mehr...

In einer Werkstatt wird die Felge an einem Autoreifen befestigt.
bericht

Studie: Nachnutzung braucht Strukturen

[10.02.2026] Das Einer-für-Alle-Prinzip soll Verwaltungsdigitalisierung skalierbar machen. Wie Länder und Kommunen die Nachnutzung organisieren und warum sie unterschiedlich weit sind, berichtet die FITKO unter Bezug auf eine neue Studie. mehr...

Vektorgrafik, die mehrere Personen zeigt, die gemeinsam an einem Projekt arbeiten.

factro: Neue BehördenCommunity gestartet

[10.02.2026] Mit der factro BehördenCommunity steht Kommunen nun ein digitaler Raum zur Verfügung, in dem sie Wissen teilen und Projektvorlagen austauschen können. Das Angebot orientiert sich an der Aufgaben- und Projektmanagement-Software factro. Zentraler Baustein ist eine Vorlagenbibliothek. Auch ein BehördenTalk wird angeboten. mehr...

Abstrakte Darstellung einer Wolke, die über Hardware schwebt.

Deutsche Verwaltungscloud: Drei Lösungen von ekom21

[27.01.2026] Über die Deutsche Verwaltungscloud können nun drei Anwendungen von IT-Dienstleister ekom21 abgerufen werden. Schon seit März 2025 steht hier esina21, eine Eigenentwicklung für das sichere Senden und Empfangen von Nachrichten im Kontext des besonderen Behördenpostfachs (beBPo), bereit. Neu dazugekommen sind die Bezahlplattform epay21 und die Digitalisierungsplattform civento. mehr...

Vektorgrafik, die zwei Personen zeigt, die in einem Archiv mit papierbasierten und digitalen Registern arbeiten.

Wiesbaden: Digitalisierung der Personenstandsregister

[22.01.2026] Zur Digitalisierung ihrer Personenstandsregister hat die Stadt Wiesbaden die Stabsstelle DiRegiSta eingerichtet. Mithilfe einer Software überträgt diese nach und nach die geprüften und ergänzten alten Einträge in das elektronische Register. Dabei orientiert sich Wiesbaden an den Erfahrungen Berlins. mehr...

Blick auf das Rosenheimer Rathaus.

Rosenheim: Umfassende Cloud-Migration

[21.01.2026] Wie eine sichere, wirtschaftliche und souveräne Cloud-Einführung im öffentlichen Sektor gelingen kann, zeigt sich in Rosenheim. Schrittweise wurden hier Verwaltung, Stadtgesellschaften und Schulen datenschutzkonform auf Microsoft 365 migriert. mehr...