RSS feed icon
Sonntag, 31. August 2025

Cloud ComputingRecht problematisch

[01.03.2012] Vor der Verlagerung von Anwendungen und Daten in die Wolke hat die öffentliche Verwaltung zunächst eine Reihe rechtlicher Herausforderungen zu klären. Neben dem Datenschutz sind beispielsweise auch vergaberechtliche Bestimmungen zu beachten.

Während viele Unternehmen es bereits selbstverständlich nutzen, steht die öffentliche Verwaltung in Deutschland dem Cloud Computing trotz erheblichen Kostendrucks noch verhalten gegenüber. Dies liegt wohl daran, dass sich Behörden bei der Nutzung von Cloud Computing mit zahlreichen rechtlichen Problemen konfrontiert sehen.
Cloud Computing bietet die klassischen Vorteile des Outsourcing, nämlich die Senkung von Ausgaben für Hard- und Software oder eigenes IT-Personal sowie die Nutzung des Know-hows Dritter, um ein höheres Qualitätsniveau zu erreichen. IT-Leistungen werden dabei in Echtzeit von einem Dienstleister als Service über das Inter- oder Intranet bereitgestellt und nach Nutzung abgerechnet. Um die weltweit vorhandenen Speicherressourcen bestmöglich zu nutzen, werden Daten seitens des Anbieters je nach Auslastung stets dort gespeichert, wo entsprechende Kapazität vorhanden ist. Ein Problem dieser Vorgehensweise ist, dass eine physische Lokalisierung der gespeicherten Daten seitens des Nutzers nicht möglich ist.

#titel+Sondervorschriften beachten#titel-

Die öffentliche Hand ist bei der Nutzung von Cloud-Angeboten neben dem normalen Datenschutz mit der Beachtung des Schutzes spezieller Daten konfrontiert. Während der neue Beschäftigtendatenschutz viel diskutiert wird, hat die öffentliche Hand zusätzlich etwa den Personalaktenschutz nach dem Bundesbeamtengesetz (§§ 106, 111, 114 BBG) zu beachten. Demnach dürfen Personalaktendaten an Dritte nur mit Einwilligung des betroffenen Beamten erteilt werden, es sei denn, „dass die Abwehr einer erheblichen Beeinträchtigung des Gemeinwohls oder der Schutz berechtigter, höherrangiger Interessen der oder des Dritten die Auskunftserteilung zwingend erfordert.“ Sollen Daten aus Personalakten von Beamten in die Cloud ausgelagert werden, ist daher eingehend zu prüfen, ob und gegebenenfalls wie diesen Anforderungen entsprochen werden kann.
Eine weitere Sondervorschrift betrifft steuerpflichtige öffentliche Unternehmen. Für Finanzdaten von Steuersubjekten trifft die Abgabenordnung (AO) besondere Regelungen. Eine Verlagerung der elektronischen Buchführung in eine Cloud, die sich nicht in Deutschland befindet, ist gemäß § 146 Abs. 2a AO bewilligungspflichtig und an gewisse Voraussetzungen geknüpft.

#titel+Speicherung bedarf der Erlaubnis#titel-

Neben solchen datenspezifischen Sondervorschriften sind die Vorschriften des allgemeinen Datenschutzes zu beachten, wenn die öffentliche Verwaltung beabsichtigt, personenbezogene Daten an einen Cloud-Anbieter zum Zwecke der Speicherung zu übermitteln. Die Speicherung von Daten in der Cloud ist regelmäßig nur dann zulässig, wenn das Bundesdatenschutzgesetz (BDSG) oder eine andere Rechtsvorschrift es erlaubt (Erlaubnistatbestand) oder der Betroffene eingewilligt hat. Da eine Einwilligung jedoch stets widerruflich ist, ist es kaum ratsam, eine Datenverlagerung in die Cloud auf die Einwilligung der Betroffenen zu stützen. Eine genaue Prüfung der Erlaubnistatbestände ist daher meist unerlässlich.
Verzichtbar ist ein Erlaubnistatbestand allerdings, wenn zwischen Cloud-Nutzer und -Anbieter eine wirksame Vereinbarung zur privilegierten Auftragsdatenverarbeitung geschlossen wird (§ 3 Abs. 8 BDSG). Die Idee der Auftragsdatenverarbeitung ist, dass der Auftragnehmer unter bestimmten Voraussetzungen nicht Dritter im Sinne des Bundesdatenschutzgesetzes ist, sondern als verlängerter Arm der verantwortlichen Stelle beziehungsweise des Auftraggebers gesehen wird und mit ihr eine rechtliche Einheit bildet. Dies hat zur Folge, dass zwischen Auftragnehmer und Auftraggeber keine Übermittlung von Daten im Sinne des Bundesdatenschutzgesetzes stattfindet. Befindet sich die Cloud teilweise auch auf außereuropäischen Servern, dürfte diese Lösung jedoch ausscheiden: Vereinbarungen zur privilegierten Auftragsdatenvereinbarung sind nur innerhalb der EU und des Europäischen Wirtschaftsraumes möglich.

#titel+Verschlüsselung als technische Lösung#titel-

Die Zulässigkeit des Cloud Computing kann eventuell auch durch technische Lösungen erreicht werden. So wäre die Verschlüsselung von Daten denkbar, um Cloud Computing für die öffentliche Verwaltung unter datenschutzrechtlichen Aspekten handhabbar zu machen. Verschlüsselte Daten stellen aufgrund ihrer Unlesbarkeit für den Cloud-Anbieter und für Dritte keine personenbezogenen Daten mehr dar. Dies bedeutet allerdings, dass alle zu übermittelnden Daten bereits vor ihrer Übermittlung an den Cloud-Anbieter verschlüsselt werden müssten. Der damit verbundene technische Aufwand könnte sich jedoch eventuell rechnen, wenn eine solche Lösung die rechtmäßige Nutzung weltweiter Public Clouds ermöglichen könnte.

#titel+Vergaberechtliche Herausforderungen#titel-

Bei der Verlagerung von Daten in die Wolke sind darüber hinaus Bestimmungen des Vergaberechts zu beachten. Denn die Beauftragung eines externen Cloud-Providers stellt eine Beschaffung von Dienstleistungen dar und ist somit europaweit ausschreibungspflichtig, wenn der Schwellenwert von 200.000 Euro überschritten wird. Eine vergaberechtliche Privilegierung käme jedoch vor allem bei der Kooperation von Rechenzentren der öffentlichen Hand zur Erfüllung ihrer Aufgaben in Betracht. Eine Herausforderung bei der Ausschreibung von Cloud-Computing-Leistungen stellt die Tatsache dar, dass die Angebote der Provider am Markt nicht standardisiert sind und es vor allem für die öffentliche Hand wenig spezialisierte Angebote gibt. Darüber hinaus fehlen passende EVB-IT-Musterverträge, derer sich die öffentliche Hand bei einer Ausschreibung bedienen könnte. Dies hat zur Folge, dass die öffentliche Hand selbst die Verträge für die Ausschreibung vorgeben muss.
Cloud Computing stellt Behörden also vor eine Vielzahl rechtlicher Herausforderungen. Ob die öffentliche Verwaltung sich zulässigerweise des Cloud Computing bedienen darf, wird letztlich von der Wahl des Cloud-Computing-Modells, der Sensibilität der Anwendungen und Daten, die in die Wolke verlagert werden sollen, sowie den vertraglichen Beziehungen zum Cloud-Anbieter abhängen.

Kai Wischnat ist Rechtsanwalt bei der KPMG Rechtsanwaltsgesellschaft in Nürnberg.


Stichwörter: IT-Infrastruktur, Recht

Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur
Vektorgrafik zeigt einen Desktopbildschirm aus dem Registerkarten in eine Wolke schweben.

Dataport: Auf dem Weg zum Register-as-a-Service

[26.08.2025] IT-Dienstleister Dataport konnte im Innovationswettbewerb Register-as-a-Service überzeugen und entwickelt nun mit den Unternehmen Edgeless Systems, HSH Software- und Hardware und Adesso sowie dem IT-Verbund Schleswig-Holstein (ITV.SH) den Prototyp für ein cloudbasiertes Melderegister.  mehr...

Schleswig-Holstein stellt neue Digitale Agenda vor.

Schleswig-Holstein: Landesdatennetz für alle

[21.08.2025] Schleswig-Holstein will ein umfassendes Landesdatennetz schaffen, das den Austausch von Verwaltungsdaten zwischen Behörden verschiedener Ebenen – auch länder- und staatenübergreifend – ermöglicht. Kommunen sollen mit wenig Aufwand und unter Berücksichtigung bestehender IT an die Landesinfrastruktur andocken können. mehr...

Eine Hand über der ein Wolkensymbol schwebt, das vernetzt ist mit anderen Wolkensymbolen.

Melderegister: Cloudbasierte Lösung in Arbeit

[21.08.2025] Die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) entwickelt mit IT-Dienstleister Komm.ONE, den Unternehmen Scontain und H&D sowie den Städten München, Augsburg, Ulm und Heidelberg eine cloudbasierte Lösung für das Melderegister. Sie bilden eines von drei Umsetzungskonsortien, die die FITKO und GovTech Deutschland im Wettbewerb Register-as-a-Service (RaaS) ausgewählt haben. mehr...

Mehrere Personen stehen nebeneinander und halten Dokumente in der Hand.

Hessen: Sechs Städte setzen digitale Impulse

[20.08.2025] Mit einem neuen Projekt führen die Städte Fulda, Gießen, Limburg, Marburg, Offenbach und Wetzlar ihre interkommunale Zusammenarbeit fort. HessenNext soll unter anderem durch Augmented Reality, Digitalisierungslabore und den Ausbau des Sensorennetzwerks Impulse für smarte Kommunen setzen. mehr...

Die OpenCloud-Oberfläche dargestellt auf einem Desktop- sowie einem Smartphonebildschirm.

OpenCloud: Als Android-App verfügbar

[19.08.2025] Die Open-Source-Plattform OpenCloud ist jetzt auch als Android-App verfügbar. Die Lösung kann bereits im Browser sowie als Desktop-App für Windows, macOS und Linux genutzt werden. Zudem ist sie als iOS-App verfügbar. mehr...

bericht

Stadtwerke Rostock: Projektmanagementsoftware eingeführt

[18.08.2025] Die Stadtwerke Rostock haben mit der Einführung einer Projektmanagementsoftware ein strukturiertes IT-Ressourcenmanagement etabliert, um personelle Kapazitäten effizienter zu steuern und die Projektplanung zu verbessern. mehr...

Mehrere Personen halten bunte Zahnräder aneinander.

Baden-Württemberg: Prozessmanagement-Initiative startet in Runde vier

[15.08.2025] Im September startet die von Picture und der Kehler Akademie angestoßene Prozessmanagement-Initiative Baden-Württemberg in die nächste Runde. Teilnehmende Kommunen werden gezielt bei der Einführung und Etablierung eines professionellen Prozessmanagements unterstützt. mehr...

Vektorillustration mit jungen Menschen in der Nähe eines großen Smartphones, die Feedback und Bewertungen für ein Produkt oder eine Dienstleistung abgeben.

Treptow-Köpenick: Kiezkassen-Applikation im Test

[29.07.2025] In Berlin soll künftig eine Kiezkassen-Applikation die Verwaltungsprozesse bei der Vergabe nachbarschaftlicher Fördermittel digital abbilden. Im Bezirk Treptow-Köpenick haben Bürger, Verwaltungsmitarbeitende und Kiezpaten die Lösung einem ersten Test unterzogen. mehr...

Mehrere Personen stehen nebeneinander um eine Leuchtstele im Freien versammelt.

Etteln: Kommunaler Datenraum und mehr

[28.07.2025] Die Ortsgemeinde Etteln will den ersten kommunalen Datenraum Deutschlands entwickeln. In ihm könnten Daten aus verschiedenen Quellen verknüpft und daraus intelligente Services generiert werden. In einem anderen Vorhaben lässt das digitalste Dorf Deutschlands eine autonom fliegende Drohne zur Unterstützung der Feuerwehr starten. mehr...

Screenshot der Low-Code-Lösung Axon Ivy.

OWL-IT: Digitale Prozesse gestalten

[28.07.2025] Mit Einführung der Low-Code-Plattform Axon Ivy will OWL-IT die Digitalisierung von Verwaltungsprozessen beschleunigen. Erste Erfahrungen zeigen, wie sich kommunale Fachlichkeit und technische Umsetzung verbinden lassen. Die Plattform wird auch auf der Smart Country Convention vorgestellt. mehr...

Fraunhofer FOKUS: Zweite Public Data Konferenz

[25.07.2025] Am 25. September lädt das Fraunhofer-Institut FOKUS zur zweiten Public Data Konferenz nach Berlin ein. Im Fokus stehen strategische Ansätze, praktische Lösungen und konkrete Projekte. Angesprochen werden leitende Personen aus Politik und Verwaltung, deren Aufgabe die Förderung des organisationsübergreifenden Datenaustauschs ist. mehr...

laptop-tastatur, torso dahinter drückt auf ein Ordner-Symbol

Werra-Meißner-Kreis: Standardisierung von Prozessen

[24.07.2025] Mit einem vom Land Hessen unterstützten Projekt will der Werra-Meißner-Kreis eine Standardisierung der Anbindung von Fachverfahren an Dokumentenmanagementsysteme erreichen. Andere hessische Kommunen sollen die Schnittstelle ebenfalls nutzen können. mehr...

Oberbürgermeisterin Katrin Schmieder und Digitalminister Dirk Schrödter stehen nebeneinander vor dem Norderstedter Rathaus und halten gemeinsam ein Smartphone in die Kamera, auf dessen Bildschirm die neue Stadt-App zu sehen ist.

APPgemacht: Norderstedt immer griffbereit

[22.07.2025] Nützliches, Wissenswertes und zahlreiche städtische Onlineservices umfasst die neue Norderstedter Stadt-App. Die Kommune will mit dem Angebot alle Generationen ansprechen. In den kommenden Monaten soll der App-Umfang sukzessive erweitert werden. mehr...

Verschiedene Dokumente sind mit einer Wolke verbunden, im Hintergrund sieht man eine Computertastatur.

cit intelliForm Server: Release stärkt E-Government-Betreiber

[22.07.2025] Mit zwei Erweiterungen soll die neue Version des cit intelliForm Servers die Betreiber von E-Government-Services noch besser unterstützen. Dazu zählt die Verwendung von GitOps in der Formularverwaltung, während Kubernetes den Cloud- und Rechenzentrumsbetrieb vereinfacht. mehr...

Sechs Personen stehen nebeneinander vor einer Hauswand, zwischen Hauswand und Personengruppe ist das Logo der Picture GmbH zu sehen.

Kreis Paderborn: Systematisches Prozessmanagement

[17.07.2025] Um Wissen in der Verwaltung zu halten und deren Abläufe zu optimieren, hat der Kreis Paderborn ein professionelles Prozessmanagement eingeführt. Für den Projekterfolg waren eine aktive interne Kommunikation und die Unterstützung durch den Verwaltungsvorstand entscheidend. mehr...