RSS feed icon
Mittwoch, 29. Oktober 2025

Cloud ComputingRecht problematisch

[01.03.2012] Vor der Verlagerung von Anwendungen und Daten in die Wolke hat die öffentliche Verwaltung zunächst eine Reihe rechtlicher Herausforderungen zu klären. Neben dem Datenschutz sind beispielsweise auch vergaberechtliche Bestimmungen zu beachten.

Während viele Unternehmen es bereits selbstverständlich nutzen, steht die öffentliche Verwaltung in Deutschland dem Cloud Computing trotz erheblichen Kostendrucks noch verhalten gegenüber. Dies liegt wohl daran, dass sich Behörden bei der Nutzung von Cloud Computing mit zahlreichen rechtlichen Problemen konfrontiert sehen.
Cloud Computing bietet die klassischen Vorteile des Outsourcing, nämlich die Senkung von Ausgaben für Hard- und Software oder eigenes IT-Personal sowie die Nutzung des Know-hows Dritter, um ein höheres Qualitätsniveau zu erreichen. IT-Leistungen werden dabei in Echtzeit von einem Dienstleister als Service über das Inter- oder Intranet bereitgestellt und nach Nutzung abgerechnet. Um die weltweit vorhandenen Speicherressourcen bestmöglich zu nutzen, werden Daten seitens des Anbieters je nach Auslastung stets dort gespeichert, wo entsprechende Kapazität vorhanden ist. Ein Problem dieser Vorgehensweise ist, dass eine physische Lokalisierung der gespeicherten Daten seitens des Nutzers nicht möglich ist.

#titel+Sondervorschriften beachten#titel-

Die öffentliche Hand ist bei der Nutzung von Cloud-Angeboten neben dem normalen Datenschutz mit der Beachtung des Schutzes spezieller Daten konfrontiert. Während der neue Beschäftigtendatenschutz viel diskutiert wird, hat die öffentliche Hand zusätzlich etwa den Personalaktenschutz nach dem Bundesbeamtengesetz (§§ 106, 111, 114 BBG) zu beachten. Demnach dürfen Personalaktendaten an Dritte nur mit Einwilligung des betroffenen Beamten erteilt werden, es sei denn, „dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen der oder des Dritten die Auskunftserteilung zwingend erfordert.“ Sollen Daten aus Personalakten von Beamten in die Cloud ausgelagert werden, ist daher eingehend zu prüfen, ob und gegebenenfalls wie diesen Anforderungen entsprochen werden kann.
Eine weitere Sondervorschrift betrifft steuerpflichtige öffentliche Unternehmen. Für Finanzdaten von Steuersubjekten trifft die Abgabenordnung (AO) besondere Regelungen. Eine Verlagerung der elektronischen Buchführung in eine Cloud, die sich nicht in Deutschland befindet, ist gemäß § 146 Abs. 2a AO bewilligungspflichtig und an gewisse Voraussetzungen geknüpft.

#titel+Speicherung bedarf der Erlaubnis#titel-

Neben solchen datenspezifischen Sondervorschriften sind die Vorschriften des allgemeinen Datenschutzes zu beachten, wenn die öffentliche Verwaltung beabsichtigt, personenbezogene Daten an einen Cloud-Anbieter zum Zwecke der Speicherung zu übermitteln. Die Speicherung von Daten in der Cloud ist regelmäßig nur dann zulässig, wenn das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift es erlaubt (Erlaubnistatbestand) oder der Betroffene eingewilligt hat. Da eine Einwilligung jedoch stets widerruflich ist, ist es kaum ratsam, eine Datenverlagerung in die Cloud auf die Einwilligung der Betroffenen zu stützen. Eine genaue Prüfung der Erlaubnistatbestände ist daher meist unerlässlich.
Verzichtbar ist ein Erlaubnistatbestand allerdings, wenn zwischen Cloud-Nutzer und -Anbieter eine wirksame Vereinbarung zur privilegierten Auftragsdatenverarbeitung geschlossen wird (§ 3 Abs. 8 BDSG). Die Idee der Auftragsdatenverarbeitung ist, dass der Auftragnehmer unter bestimmten Voraussetzungen nicht Dritter im Sinne des Bundesdatenschutzgesetzes ist, sondern als verlängerter Arm der verantwortlichen Stelle beziehungsweise des Auftraggebers gesehen wird und mit ihr eine rechtliche Einheit bildet. Dies hat zur Folge, dass zwischen Auftragnehmer und Auftraggeber keine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes stattfindet. Befindet sich die Cloud teilweise auch auf außereuropäischen Servern, dürfte diese Lösung jedoch ausscheiden: Vereinbarungen zur privilegierten Auftragsdatenvereinbarung sind nur innerhalb der EU und des Europäischen Wirtschaftsraumes möglich.

#titel+Verschlüsselung als technische Lösung#titel-

Die Zulässigkeit des Cloud Computing kann eventuell auch durch technische Lösungen erreicht werden. So wäre die Verschlüsselung von Daten denkbar, um Cloud Computing für die öffentliche Verwaltung unter datenschutzrechtlichen Aspekten handhabbar zu machen. Verschlüsselte Daten stellen aufgrund ihrer Unlesbarkeit für den Cloud-Anbieter und für Dritte keine personenbezogenen Daten mehr dar. Dies bedeutet allerdings, dass alle zu übermittelnden Daten bereits vor ihrer Übermittlung an den Cloud-Anbieter verschlüsselt werden müssten. Der damit verbundene technische Aufwand könnte sich jedoch eventuell rechnen, wenn eine solche Lösung die rechtmäßige Nutzung weltweiter Public Clouds ermöglichen könnte.

#titel+Vergaberechtliche Herausforderungen#titel-

Bei der Verlagerung von Daten in die Wolke sind darüber hinaus Bestimmungen des Vergaberechts zu beachten. Denn die Beauftragung eines externen Cloud-Providers stellt eine Beschaffung von Dienstleistungen dar und ist somit europaweit ausschreibungspflichtig, wenn der Schwellenwert von 200.000 Euro überschritten wird. Eine vergaberechtliche Privilegierung käme jedoch vor allem bei der Kooperation von Rechenzentren der öffentlichen Hand zur Erfüllung ihrer Aufgaben in Betracht. Eine Herausforderung bei der Ausschreibung von Cloud-Computing-Leistungen stellt die Tatsache dar, dass die Angebote der Provider am Markt nicht standardisiert sind und es vor allem für die öffentliche Hand wenig spezialisierte Angebote gibt. Darüber hinaus fehlen passende EVB-IT-Musterverträge, derer sich die öffentliche Hand bei einer Ausschreibung bedienen könnte. Dies hat zur Folge, dass die öffentliche Hand selbst die Verträge für die Ausschreibung vorgeben muss.
Cloud Computing stellt Behörden also vor eine Vielzahl rechtlicher Herausforderungen. Ob die öffentliche Verwaltung sich zulässigerweise des Cloud Computing bedienen darf, wird letztlich von der Wahl des Cloud-Computing-Modells, der Sensibilität der Anwendungen und Daten, die in die Wolke verlagert werden sollen, sowie den vertraglichen Beziehungen zum Cloud-Anbieter abhängen.

Kai Wischnat ist Rechtsanwalt bei der KPMG Rechtsanwaltsgesellschaft in Nürnberg.


Stichwörter: IT-Infrastruktur, Recht

Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur
Eine Frau präsentiert ein Smartphone, auf dem die Karlsruhe.App genutzt wird.

Karlsruhe: Digitale Begleiterin auch bei Gefahr

[29.10.2025] Als zentrale mobile Plattform bündelt die Karlsruhe.App zahlreiche digitale Dienste der Stadtverwaltung sowie stadtnahe Angebote von Drittanbietenden. Nun hat die Stadt auch das Modulare Warnsystem (MoWaS) in die App integriert. mehr...

Ein 24/7 Bürgerterminal der Stadt Nidderau.

Nidderau: Wirtschaftlicher dank Bürgernähe

[28.10.2025] In Nidderau können die Bürger an einem Terminal rund um die Uhr digitale Anträge stellen. An einem anderen Terminal können sie jederzeit Pässe und Dokumente abholen. Der Hessische Städte- und Gemeindebund und der hessische Steuerzahlerbund haben die Stadt unter anderem für diese beiden Lösungen mit dem so genannten Spar-Euro ausgezeichnet. mehr...

Diana Härter steht mit einem Tablet unter dem Arm zwischen Regalreihen voller Hängeregister.
bericht

Meßstetten: Tablet statt Tinte

[27.10.2025] Meßstetten zählt rund 11.000 Einwohner, hat aber eine eigene Stabsstelle Digitalisierung. Das Ziel: Das Rathaus soll Schritt für Schritt zum modernen, digitalen Dienstleistungszentrum gemacht werden. mehr...

Ein Teleskopmast, der mit Beleuchtung, Richtfunk und steuerbarer Kamera ausgestattet ist.

Kaiserslautern: Mehr Sicherheit bei Großveranstaltungen

[24.10.2025] In Kaiserslautern sorgen ab sofort vier eigens entwickelte mobile Teleskopmastsysteme (TEMES) für mehr Sicherheit bei Großveranstaltungen. Die TEMES können flexibel aufgebaut und beispielsweise mit Kameras bestückt werden. Sie verfügen über ein dauerhaft aktives Monitoring und Alarmierungssystem. Eine mobile Stromversorgung über mehrere Stunden ist möglich. mehr...

Kulturhalle Stadt Rödermark

Rödermark: In der Cloud mit Axians Infoma

[20.10.2025] Die Stadt Rödermark verlagert ihre Verwaltung in die Cloud. Für die Umsetzung des IT-Paradigmenwechsels setzt die südhessische Kommune auf das Unternehmen Axians Infoma. mehr...

Drei Personen stehen nebeneinander vor einem Bildschirm versammelt, zwei drücken symbolisch einen Startknopf.

Wiesbaden: Digitales Stadtarchiv in Betrieb

[15.10.2025] Um digitale Unterlagen langfristig sicher aufbewahren zu können, hat Wiesbaden ein digitales Stadtarchiv eingerichtet. Mit der Aufnahme erster Archivalien ist dieses nun in den Produktivbetrieb gestartet. mehr...

Eine Umfrage attestiert der Stadt Mainz eine gute Breitband-Infrastruktur.

Mainz: Mit neuen Projekten voran

[29.09.2025] Trotz Fortschritten bei der Digitalisierung ist die Stadt Mainz beim Smart City Index des Bitkom im Mittelfeld gelandet. Kurz- und mittelfristig will die rheinland-pfälzische Landeshauptstadt aufholen. Zahlreiche Projekte stehen in den Startlöchern. mehr...

Ein Baum wächst aus einem Boden, bestehend aus leuchtenden Linien, heraus.

Klimamanagement: regio iT bietet Software und Beratung

[01.09.2025] Mit ClimateView bietet regio iT den Kommunen ein neues Klimaschutzmanagement-Tool an. Die Software-as-a-Service-Lösung bildet die gesamte Treibhausgasbilanz einer Kommune ab, geplante Maßnahmen können einer Wirtschaftlichkeitsanalyse unterzogen werden. Die Software ergänzend steht fachlich fundierte Beratung aus dem regio iT Partnernetzwerk zur Verfügung. mehr...

Vektorgrafik zeigt einen Desktopbildschirm aus dem Registerkarten in eine Wolke schweben.

Dataport: Auf dem Weg zum Register-as-a-Service

[26.08.2025] IT-Dienstleister Dataport konnte im Innovationswettbewerb Register-as-a-Service überzeugen und entwickelt nun mit den Unternehmen Edgeless Systems, HSH Software- und Hardware und Adesso sowie dem IT-Verbund Schleswig-Holstein (ITV.SH) den Prototyp für ein cloudbasiertes Melderegister.  mehr...

Schleswig-Holstein stellt neue Digitale Agenda vor.

Schleswig-Holstein: Landesdatennetz für alle

[21.08.2025] Schleswig-Holstein will ein umfassendes Landesdatennetz schaffen, das den Austausch von Verwaltungsdaten zwischen Behörden verschiedener Ebenen – auch länder- und staatenübergreifend – ermöglicht. Kommunen sollen mit wenig Aufwand und unter Berücksichtigung bestehender IT an die Landesinfrastruktur andocken können. mehr...

Eine Hand über der ein Wolkensymbol schwebt, das vernetzt ist mit anderen Wolkensymbolen.

Melderegister: Cloudbasierte Lösung in Arbeit

[21.08.2025] Die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) entwickelt mit IT-Dienstleister Komm.ONE, den Unternehmen Scontain und H&D sowie den Städten München, Augsburg, Ulm und Heidelberg eine cloudbasierte Lösung für das Melderegister. Sie bilden eines von drei Umsetzungskonsortien, die die FITKO und GovTech Deutschland im Wettbewerb Register-as-a-Service (RaaS) ausgewählt haben. mehr...

Mehrere Personen stehen nebeneinander und halten Dokumente in der Hand.

Hessen: Sechs Städte setzen digitale Impulse

[20.08.2025] Mit einem neuen Projekt führen die Städte Fulda, Gießen, Limburg, Marburg, Offenbach und Wetzlar ihre interkommunale Zusammenarbeit fort. HessenNext soll unter anderem durch Augmented Reality, Digitalisierungslabore und den Ausbau des Sensorennetzwerks Impulse für smarte Kommunen setzen. mehr...

Die OpenCloud-Oberfläche dargestellt auf einem Desktop- sowie einem Smartphonebildschirm.

OpenCloud: Als Android-App verfügbar

[19.08.2025] Die Open-Source-Plattform OpenCloud ist jetzt auch als Android-App verfügbar. Die Lösung kann bereits im Browser sowie als Desktop-App für Windows, macOS und Linux genutzt werden. Zudem ist sie als iOS-App verfügbar. mehr...

bericht

Stadtwerke Rostock: Projektmanagementsoftware eingeführt

[18.08.2025] Die Stadtwerke Rostock haben mit der Einführung einer Projektmanagementsoftware ein strukturiertes IT-Ressourcenmanagement etabliert, um personelle Kapazitäten effizienter zu steuern und die Projektplanung zu verbessern. mehr...

Mehrere Personen halten bunte Zahnräder aneinander.

Baden-Württemberg: Prozessmanagement-Initiative startet in Runde vier

[15.08.2025] Im September startet die von Picture und der Kehler Akademie angestoßene Prozessmanagement-Initiative Baden-Württemberg in die nächste Runde. Teilnehmende Kommunen werden gezielt bei der Einführung und Etablierung eines professionellen Prozessmanagements unterstützt. mehr...