Cloud Computing und öffentliche Verwaltung

Der rasende Fortschritt im Bereich der digitalen Technologien sorgt in nahezu allen Lebensbereichen dafür, dass neue Methoden zur Erleichterung des Alltags, aber auch für die effizientere Ausgestaltung von wirtschaftlichen Vorgängen nutzbar gemacht werden können. Eine dieser neuen Technologien, welche einen rasenden Aufschwung in den letzten Jahren erfahren hat, ist das Cloud Computing. Durch das Cloud Computing hat ein weitreichender Richtungswechsel eingesetzt, was die Bereitstellung und Nutzung von Informationstechnologien betrifft. Leistungen im Bereich der IT, die vorher mühsam auf einzelne Nutzer zugeschnitten wurden, können heutzutage recht problemlos und standardisiert über das Internet vertrieben werden. Hierdurch können Kosten gesenkt, Zeit eingespart und Handlungsmöglichkeiten erweitert werden.

Das Cloud Computing hat dabei jedoch nicht nur im privaten Alltag sowie im gewerblichen Bereich für einige Neuerungen gesorgt, sondern ist auch in der öffentlichen Verwaltung langsam angekommen. Schon heute soll teilweise auf das Cloud Computing gesetzt werden, grade in Zukunft ist jedoch mit noch mehr Investitionen und Anwendungsfeldern für diesen Bereich zu rechnen. Grund genug, sich dieses noch recht jungen, doch äußerst spannenden und schon jetzt relevanten Gebiets zu widmen. Um zu verstehen, welche Vor- und Nachteile das Cloud Computing in der öffentlichen Verwaltung bietet, sollen zunächst die Grundlagen des Cloud Computing dargestellt werden: Was versteht man eigentlich unter Cloud Computing und welche Anwendungsmöglichkeiten sind denkbar? Wie stellt sich das derzeitige Cloud Computing eigentlich dar? Nach Klärung dieser grundlegenden Fragen soll hernach der Blick gewagt werden auf die Möglichkeiten, die das Cloud Computing für die öffentliche Verwaltung bereithält – nicht ohne auch auf rechtliche Probleme in diesem Bereich hinzuweisen.

Was ist das Cloud Computing?

Unter dem Begriff des Cloud Computing versteht man ein komplett neu entstandenes IT-Ökosystem, bei welchem durch eine Virtualisierung mehr Flexibilität in das Angebot von IT-Leistungen gebracht werden kann. Das „Rechnen in der Wolke“ meint einfach gesagt als simpelste Form das Speichern von Daten auf einem nicht lokalen, sondern in einem entfernten Rechenzentrum vorgehaltenen Server (Filehosting), umfasst aber darüber hinaus beispielsweise auch die Ausführung von Applikationen, welche ebenfalls nicht auf dem Computer des Anwenders installiert sind, sondern durch eine Art Streaming von einem entfernten Server lokal abrufbar sind. Im Wesentlichen ist das Cloud Computing damit die Auslagerung von IT-Diensten an externe Dienstleister.

Auf rein technischer Ebene soll Cloud Computing das Problem lösen, dass wichtige IT-Infrastrukturen wie Rechenkapazität, Datenspeicher, Netzkapazitäten oder Applikationen nicht dauerhaft lokal vorgehalten werden, sondern in dynamischer Weise je nach Bedarf über das Netz abrufbar sein sollen. Im Wege des Cloud Computings können nahezu alle IT-Dienstleistungen und IT-Infrastrukturen bereit gestellt werden.

Für die Nutzung des Cloud Computings ist dabei essenziell, dass der Zugriff (bspw. durch Breitbandverbindungen im Internet oder Intranet) so schnell erfolgen kann, dass die Reaktionszeiten identisch sind mit der Nutzung von lokalen Daten. Eine spürbare Verzögerung in den Arbeitsabläufen würde zu einer Ablehnung des Cloud Computing führen, sodass die weitere Verbreitung des Cloud Computing davon abhängt, dass zuverlässige, schnelle und bezahlbare Netzverbindungen auf dem Markt zur Verfügung gestellt werden.

Das National Institute of Standards and Technology (NIST) definiert das Cloud Computing unter Heranziehung fünf essenzieller Charakteristika:

  1. Self-service provisioning und As-needed availability: Selbstzuweisung von Leistungen aus der Cloud durch den oder die Nutzer, die bei Bedarf bereitstehen soll.
  2. Scalability: Nutzungsschwankungen und Infrastrukturbeschränkungen müssen skalierbar sein.
  1. Reliability und fault-tolerance: Die Cloud muss durch eine gewährleistete Zuverlässigkeit und Ausfalltoleranz permanente Qualitätsstandards der IT-Infrastruktur für den Nutzer garantieren
  2. Optimization/Consolidation: Die Cloud muss der Optimierung und Konsolidierung zugänglich sein, um Effizienz und Ökonomie in Anpassung an fortlaufende Umweltschutzstandards zu bieten. Dies muss auch sukzessiv vom Cloud-Dienstanbieter optimierbar sein.
  3. Quality of Service: Der Dienstanbieter muss eine forlaufende Qualitätssicherung und -kontrolle sicherstellen, ohne dass hierdurch Nutzer eingeschränkt werden.

Ausprägungen des Cloud Computing

Es wurde bereits darauf eingegangen, dass das Cloud Computing in verschiedener Weise genutzt werden kann. 2009 wurden durch das NIST Begrifflichkeiten und Definitionen aufgestellt, welche weitgehend akzeptiert werden. Dabei wird das Cloud Computing in drei verschiedene Servicemodelle eingeteilt. Man unterscheidet zwischen der Bereitstellung von Rechenleistung und Speicherkapazitäten (Infrastructure-as-a-Service, IaaS), der Bereitstellung von Plattformen (Platform as a Service, PaaS), zu denen auch Sicherheitslösungen und Abrechnungsdienste zählen, sowie der Nutzung von Applikationen (Software-as-a-Service, SaaS) Das Cloud Computing unterscheidet sich dabei von den bisher bereits bekannten Outsourcing-Modellen dadurch, dass die elastische Skalierung der Ressourcen und Dienste und auch die Abrechnung nutzungsgetreu vonstatten geht (sog. Pay-per-Use).

„Liefermodelle“ des Cloud Computing

Das NIST hat darüber hinaus auch vier Liefermodelle unterschieden:

Public Cloud

Mit einer Public Cloud wird es der Öffentlichkeit möglich gemacht, IT-Infrastrukturen bspw. über das Internet zu nutzen. Der Zugriff ist demnach also für potentiell jeden möglich. Nutzer können als Kunden bspw. eine IT-Infrastruktur mieten und bezahlen je nach der tatsächlichen Nutzung. Das Investieren von Kapital in eigene Rechen- oder Datenzenten entfällt hierdurch.

Private Cloud

Eine Private Cloud ist nur für einen begrenzten Personenkreis nutzbar, sie bietet bspw. nur innerhalb einer Organisation wie einer Behörde, einer Firma oder einem Verein Zugang zu den IT-Dienstleistungen.

Hybrid Cloud

Die Hybrid Cloud ist eine Mischform von Public und Private Cloud und bietet einen kombinierten Zugang zu IT-Infrastrukturen, je nach den Bedürfnissen der Nutzer.

Community Cloud

Die Community Cloud ist ähnlich der Public Cloud, schränkt jedoch den Nutzerkreis etwas weiter ein. Diese Art der Cloud kommt bspw. dann in Frage, wenn sich mehrere städtische Behörden, Universitäten, Betriebe oder Firmen mit ähnlichen Interessen, Forschungsgemeinschaften, oder auch Genossenschaften zusammen die Kosten für die Cluod-Nutzung teilen wollen.

Vor- und Nachteile des Cloud Computing

Das Cloud Computing bietet natürlich viele Vorteile, jedoch auch einige Schwierigkeiten, welche beachtet werden müssen. Als positiv kann sicher verbucht werden, dass

  • der Betrieb und die Wartung von IT-Ressourcen entfallen
  • Investitionen für Server-Hardware entfallen
  • für Lastspitzen keine Überkapazitäten dauerhaft bereit gestellt werden müssen
  • die Flexibilität bei schwer kalkulierbarem Nutzungsverhalten erhöht wird (dies ist insb. für Start-Ups wichtig)
  • eine nutzungsgetreue Abrechnung statt einer pauschalen Zahlung erfolgt
  • das Kerngeschäft deutlicher in den Fokus gestellt werden kann
  • die Sicherheit der Daten ebenfalls von externer Seite gewährleistet wird
  • das System durch Updates und Upgrades vom Anbieter stetig verbessert wird

Schwierigkeiten finden sich jedoch u.a. in folgenden Bereichen:

  • Die Speicherung und Verarbeitung von personenbezogenen Daten ist datenschutzrechtlich geregelt und verdient besondere Aufmerksamkeit, auch bei externer Speicherung
  • Es kann Compliance-Probleme geben
  • Die Bandbreite muss gewährleistet sein
  • Die Gefahr des Offline-Betriebs muss für die Fälle kalkuliert werden, in denen ein System abstürzt
  • Die Umstellung auf Cloud-Dienste führt zu weiteren Kosten
  • Das Cloud Computing führt zu weiteren Rechtsfragen, welche im Folgenden detaillierter ausgeführt werden sollen

Generelle Rechtsfragen in Verbindung mit dem Cloud Computing

Das Cloud Computing führt schon im allgemeinen zu vielen Rechtsfragen, welche natürlich auch von der öffentlichen Verwaltung beachtet werden müssen. Bei der Nutzung des Cloud Computing in der öffentlichen Verwaltung ergeben sich darüber hinaus jedoch sogar noch weitere rechtliche Probleme, die zu den folgenden noch dazu kommen (zu diesen weiter unten im Beitrag).

Datenschutz

Nach einem neuen Urteil des Europäischen Gerichtshofs (EuGH, siehe hierzu den Blog-Beitrag unter LINK EINFÜGEN) ist das Safe Harbour-Abkommen für den Datentransfer aus der EU in die USA nicht mehr gültig. Es dürfen damit nur noch äußerst eingeschränkt Daten in die USA transferiert werden, was vor allem deswegen problematisch ist, weil sich über 90 % der für das Cloud Computing genutzten Infrastrukturen dort befinden. Das EuGH-Urteil stellt daher die Voraussetzungen grade für das Cloud Computing in Frage, wenn hierfür amerikanische Server genutzt werden. Die Betreiber dieser Infrastrukturen unterliegen u.a. dem Patriot Act, durch welchen Unternehmen mit Sitz in den USA gezwungen sind, unter bestimmten Voraussetzungen Daten an amerikanische Behörden auszuliefern. Hierzu gehört beispielsweise auch die NSA als amerikanische Geheimdienstbehörde. Datenschutzrechtliche Probleme liegen in diesen Fällen auf der Hand.

Doch auch ohne einen Transfer in die USA müssen Auftraggeber des Cloud Computing vorab und hernach immer wieder sicherstellen, dass die datenschutzrechtlichen Vorgaben eingehalten werden. Bei einem Verstoß drohen den Kunden Bußgelder.

Urheberrecht

Auch das Urheberrecht stellt für das Cloud Computing eine Rolle, nämlich wenn urheberrechtlich geschützte Werke in die Cloud geladen werden. Das Hochladen des Werkes ist nichts anderes als eine Vervielfältigungshandlung gem. § 16 UrhG, welche der Zustimmung des Urhebers bedarf. Von dieser Voraussetzung wird nur abgesehen, wenn eine urheberrechtliche Schranke einschlägig ist, bspw. wenn das Hochladen allein zu rein privaten Zwecken geschieht und das geschützte Werk nicht öffentlich zugänglich gemacht wird (Privatkopie gem. § 53 UrhG). Macht man ein Werk durch die Cloud öffentlich zugänglich, ohne die Zustimmung des Rechtsinhabers zu haben, stellt dies jedoch immer einen Verstoß gegen § 19a UrhG dar.

Cloud Computing in der öffentlichen Verwaltung

Das Cloud Computing kommt immer mehr auch in der öffentlichen Verwaltung an und wird über kurz oder lang Alltag für die Verwaltungsbehörden sein. Ergänzend zu den bereits dargestellten Implikationen ist bei der Nutzung des Cloud Computing durch die öffentliche Verwaltung jedoch noch zu beachten, dass hier in aller Regelmäßigkeit mit besonders sensiblen hoheitlichen sowie personenbezogenen Daten gearbeitet wird. Es bestehen daher einige Besonderheiten, auf die hier zusätzlich eingegangen werden soll.

Vorteile des Cloud Computing für die öffentliche Verwaltung

Das Cloud Computing muss bei der Nutzung durch die öffentliche Verwaltung daher ausreichendes Vertrauen herstellen können. Ist dies erreicht, kann die öffentliche Verwaltung in vielerlei Hinsicht vom Cloud Computing profitieren, bspw. indem auch hier Rechenzentren virtualisiert werden, Shared Service Center aufgebaut werden oder Applikationen in der Cloud abgerufen werden. Hierdurch können nicht nur Kosten eingespart, sondern auch eine hohe Qualität der Bürgerbetreuung gewährleistet werden. Das Cloud Computing kann auch für mehr Transparenz und Interaktion der Behörde mit den Bürgern sorgen.

Senkung der Kosten, Steigerung der Qualität

Die öffentliche Verwaltung kann in erster Linie besonders von Kostenvorteilen profitieren, welche durch die Nutzung des Cloud Computing möglich sind. Dies kann bspw. erreicht werden durch Einsparungen von Mitteln für die IT-Infrastruktur sowie dem dazugehörigem  Endbenutzersupport, indem statt Vorabaufwendungen für eigene Infrastrukturen schlichtweg eine monatliche Gebühr gezahlt wird, um IT-Services zu nutzen.

Dies führt jedoch grade nicht dazu, dass die Qualität der Verwaltung ebenfalls sinkt, vielmehr lässt die Nutzung des Cloud Computing eine Steigerung der Qualität der IT-Leistungen durch die öffentliche Verwaltung erwarten, da diese Services, aber auch Applikationen schnell und v.a. flexibel angepasst und verbessert werden können. Die Verwaltung muss sich nicht mehr selbst um Experten kümmern, welche meist die IT neben anderen Aufgaben betreuen müssen, sondern können auf hochqualifizierte IT-Experten der Anbieter des Cloud Computing zurückgreifen. Bei Problemen sind es ebenfalls diese Experten, welche die Verwaltung entlasten und zu einer schnelleren Lösung beitragen können.

Umfassendes Dienstleistungsangebot auch kleinerer Kommunen

Grade kleinere Kommunen können vom Cloud Computing profitieren. Durch das Cloud Computing erfolgt das Erstellen und auch die Bereitstellung einer Dienstleistung im Verbund, wodurch wie bereits gezeigt Kostenvorteile entstehen. Diese Kostenvorteile führen dazu, dass selbst kleinere Kommunen ein vollständiges Dienstleistungsangebot bereit halten können, eine Kommune also ihre Eigenständigkeit behalten kann. Durch den steigenden Einsparungsdruck und die daraus resultierende Fusionierung vieler kleinerer Kommunen fühlen sich Bürger oft nicht mehr ausreichend betreut. Das Cloud Computing kann hier zu einem gewissen Maß entgegen wirken. Das Cloud Computing kann dadurch ein kostengünstiges eGovernment realistisch werden lassen. Die Kommunen können sich auf ihre Kernaufgaben konzentrieren und müssen ihr Angebot nicht einschränken.

Wachsende Flexibilität

Nicht nur für den Staat und die Nutzer der Verwaltung, also die Bürger, ergeben sich Vorteile durch das Cloud Computing. Auch die Verwaltungsangestellten haben von der Nutzung des Clud Computing in der öffentlichen Verwaltung viele Vorteile. Durch die wegfallende Bindung an einzelne Endgeräte sind sie in ihrer Bearbeitung deutlich flexibler, können an Projekten und Aufgaben von unterschiedlichen Orten und zu unterschiedlichen Zeiten arbeiten und sind somit im großen Maße unabhängig. Diese Unabhängigkeit gilt nicht nur für Aufgaben, die allein einen Mitarbeiter betreffen, sondern noch viel mehr für Gruppenaufgaben, in denen die Koordinierung durch die Nutzung von Cloud Computing deutlich einfacher und flexibler von statten gehen kann.

„Self Services“

Ebenfalls Ausdruck der wachsenden Flexibilität, allerdings größtenteils auf Nutzerseite sind die sog. Self Services. Diese ermöglichen es den Bürgern, Dienstleistungen mit überschaubarem Aufwand und geringen Kosten für die Verwaltung auch online in Anspruch zu nehmen, indem bspw. Portale eingerichtet werden, in denen Bürger relevante Daten für eine Dienstleistung eintragen können. Hierfür kann auch je nach Anwendung auf bereits bestehende Nutzerdaten zurückgegriffen werden. Sollten weitere Dokumente auszufüllen sein, kann die Webapplikation dies dem Nutzer direkt mitteilen, sodass eine schnelle und effiziente Bearbeitung der Nutzeranliegen gewährleistet werden kann. Die digitale Vorarbeit erleichtert dem Sachbearbeiter hernach die manuelle Weiterbearbeitung immens und sorgt dafür, dass der gesamte Verwaltungsapparat insgesamt effizienter wird.

Rechtsfragen für die öffentliche Verwaltung

Bei allen Vorteilen, die das Cloud Computing allgemein und für die öffentliche Verwaltung vorhält, sind jedoch auch stets die relevanten rechtlichen Fragen im Auge zu behalten. Hierfür sind verschiedene Gebiete relevant, die einer eingehenderen Begutachtung bedürfen. Sowohl die Organisation, aber auch die Verarbeitung an sich mit vor allen Dingen datenschutzrechtlichen Aspekten werfen Fragen auf, die von der Verwaltung dringend beachtet werden müssen. Letzten Endes wirkt sich die Umstellung auf das Cloud Computing auch im Vergaberecht aus.

Cloud Computing als unzulässige Mischverwaltung?

Bei der Verwaltung ist insbesondere der Grundsatz des Verbots der Mischverwaltung aus dem Grundgesetz zu beachten. Das Bundesverfassungsgericht (BVerfG) hat dieses Verbot in den Art. 83 ff. des Grundgesetzes (GG) verortet, hierbei jedoch ebenfalls klargemacht, dass die Bestimmung der Verwaltungskompetenz lediglich eine Konkretisierung grundlegender Staatsstrukturprinzipien darstellen kann. Im Endeffekt ist das Verbot der Mischverwaltung eine Folge des Bundes-, Rechtsstaats- sowie Demokratieprinzips. Wollen Bund, Länder und Gemeinden miteinander zusammen arbeiten, ist dieses Verbot dringend zu beachten. Das BVerfG hat klargestellt, es zwar ausdrücklich legitimierte Formen der Mischverwaltung gebe, diese jedoch „organisatorisch und funktionell im Sinne in sich geschlossener Einheiten prinzipiell voneinander getrennt” sein müssen. Eine Vermischung der Kompetenzen darf es daher grundsätzlich nicht geben. Deshalb kann beispielsweise ein Land nicht für sämtliche Gemeinden über deren Kompetenzen verfügen, selbst wenn die Gemeinden dem zustimmen. Dies ist grade deshalb problematisch, weil durch die voranschreitende Digitalisierung Grenzen immer mehr verschwimmen können, vor allem in zeitlicher und räumlicher Sicht. Wo e-Government, Shared Service Center mehrerer Verwaltungsbehörden und auch sog. One-Stop-Behörden implementiert werden sollen liegt der Schluss nahe, dass hierfür Kompetenzen neu verteilt werden müssen. Grade in der digitalen Welt ist jedoch zu beachten, dass das verbot der Mischverwaltung eben nicht aufgehoben ist, sondern weiterhin Gültigkeit besitzt. Die Kompetenzen müssen daher von demjenigen ausgeübt werden, dem sie vom Grundgesetz gegeben worden sind, wobei das BVerfG für diese Ausübung voraussetzt, „dass der jeweils zuständige Verwaltungsträger auf den Aufgabenvollzug hinreichend nach seinen eigenen Vorstellungen einwirken kann”. Dies soll schon dann nicht mehr der Fall sein, „wenn Entscheidungen über Organisation, Personal und Aufgabenerfüllung nur in Abstimmung mit einem anderen Träger getroffen werden können”. Die Möglichkeiten der Mischverwaltung sind damit immens eingeschränkt.

Dieses Verbot muss daher auch beim Implementieren einer Cloud in der öffentlichen Verwaltung gegeben sein. Schon wenn einzelne IT-Abteilungen der Verwaltung ihre Dienste virtualisieren, kann das Cloud Computing bejaht werden. Werden diese Dienste für verschiedene Kompetenzträger ausgeführt, muss genau beachtet werden, ob dies vom Verbot der Mischverwaltung erfasst wird oder sich in den erlaubten Grenzen bewegt.

Bei der Nutzung des Cloud Computing ist weiterhin noch zu beachten, dass hierdurch Standards in der Infrastruktur vorgegeben werden können. Die Verwaltung muss jedoch dafür sorgen, dass durch diese Vorgaben das erlaubte Maß der Selbstbindung nicht überschritten wird. Das BVerfG hat bspw. im Zusammenhang mit der Zulässigkeit der Mischverwaltung zwischen Bund und Kommunen in Form von Arbeitsgemeinschaften nach § 44b SGB Abs. 2 geurteilt, dass „die an den Arbeitsgemeinschaften beteiligten Landkreise durch die softwarebedingten Vorgaben Entscheidungsspielräume verlieren, die ihnen im Rahmen eigenverantwortlicher Aufgabenerfüllung zustünden”. Die Verwaltung muss daher wie eh und je die rechtlichen Vorgaben des Rechtsstaats- und Demokratieprinzips wahren. Problematisch könnten in diesem Zusammenhang nicht nur etwa Verpflichtungen der Verwaltung zum Cloud Computing sein, sondern bspw. schon zu Shared Services Centern. Hier wird es wohl insgesamt noch mehr legislative Arbeit geben müssen, um die rechtfertigenden Gründe von einem Ausnahmefall zu einer weitgehenden Praxis umzustrukturieren.

Datenschutzrecht

Äußerst relevant im Bereich des Cloud Computing insgesamt, aber auch im Zusammenhang mit der öffentlichen Verwaltung ist auch das Datenschutzrecht, in Deutschland geregelt durch das Bundesdatenschutzgesetz (BDSG). Auf Länderebene gibt es noch Landesdatenschutzgesetze, die ebenfalls beachtet werden müssen. In letzter Zeit ist auch der EuGH im Bereich des Datenschutzes durch wegweisende Entscheidungen in Erscheinung getreten, sodass auch dessen Rechtsprechung den Datenschutz im Cloud Computing beeinflusst. Vorweggenommen sei schon der Schluss, dass aufgrund der datenschutzrechtlichen Problematiken in erster Linie ein ausreichendes Schutzniveau im Sinne des Datenschutzrechtes von der öffentlichen Verwaltung lediglich mit dem Modell der Private Cloud erreichen lassen wird.

Häufig wird bei der Nutzung des Cloud Computing auch die Verarbeitung personenbezogener Daten im Sinne des 3 Abs. 1 BDSG der Regelfall sein, wenn die öffentliche Verwaltung sich dieser Informationstechnologie bedient. Zwischen der öffentlichen Verwaltung und dem Betreiber der Cloud besteht dann ein Verhältnis im Sinne von § 11 BDSG, also eine Auftragsdatenverarbeitung. Dies führt dazu, dass der Auftraggeber selbst datenschutzrechtlich verantwortlich bleibt, folglich also die öffentliche Verwaltung auch in solchen Verhältnissen Sorge tragen muss, dass die Voraussetzungen des Datenschutzes eingehalten werden.

Sorgfältige Auswahl und Überwachung bei der Auftragsdatenverarbeitung

Dafür ist die öffentliche Verwaltung bspw. gemäß § 11 Abs. 2 Satz 1 u. 4 BDSG zur sorgfältigen Auswahl und Überwachung des Anbieters verpflichtet. Alle Aufträge müssen von der öffentlichen Verwaltung schriftlich erteilt werden, Verarbeitungsprozesse, technische und organisatorische Maßnahmen und eventuell auftretende Unterauftragsverhältnisse müssen detailliert festgelegt werden.

Die Einschaltung weiterer Subunternehmen für die Verarbeitung der personenbezogenen Daten ist dabei ein besonderes Problem, weil die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben umso schwieriger wird, je weiter die tatsächlich verarbeitende Stelle vom Auftraggeber entfernt ist. Sie ist aber grade im Cloud Computing kaum zu vermeiden, weil auch die Cloud-Anbieter je nach Auslastung weitere Kapazitäten eingliedern müssen. In diesen Verhältnissen ist von der öffentlichen Verwaltung also besondere Sorge zu tragen.

Das Safe Harbour-Abkommen und die Übermittlung in Drittstaaten

Sehr aktuell ist das Problem der Übermittlung von personenbezogenen Daten in Drittstaaten außerhalb der EU. § 4b Abs. 2, 3 BDSG lassen dies nur zu, wenn in den einbezogenen Drittstaaten ein angemessenes Datenschutzniveau sichergestellt werden kann. Besonders bedeutsam ist dies für die Übermittlung in die USA. Dieses ist eines der Drittländer, in denen eine Übermittlung nicht ohne Weiteres möglich ist. Bisher wurde dies durch ein besonderes Abkommen geregelt, das sog. Safe Harbour-Abkommen. Dieses stellte fest, dass in den USA ein ausreichendes Schutzniveau herrscht, sodass eine Übermittlung möglich war. Der EuGH hat das Safe Harbour-Abkommen jedoch jüngst in Frage gestellt, grade im Lichte des Patriot Acts, der Überwachungsarbeit der NSA und den Aufklärungen der letzten Jahre durch Edward Snowden. Ein ausreichendes Schutzniveau kann nach dem EuGH grade nicht mehr in den USA angenommen werden. Die Übermittlung personenbezogener Daten an amerikanische Server ist daher zum jetzigen Zeitpunkt höchst problematisch und sollte ohne vorherige, rechtliche Absicherung und Absprache mit einem hierauf spezialisierten Fachmann nicht erfolgen.

Es sollte für die umfassende Wahrung der datenschutzrechtlichen Belange daher schon vorher mit dem Anbieter des Cloud Computing vertraglich vereinbart werden, dass dieser nur innereuropäische Server nutzt und keine Unterauftragsverhältnisse schließt bzw. der Verwaltung die Auswahl des Subunternehmers obliegt. Aus momentaner Sicht sind die datenschutzrechtlichen Bestimmungen jedoch insgesamt eine große Hürde für die Implementierung von Cloud Computing-Diensten in der öffentlichen Verwaltung. Hier muss mit ruhiger Hand vorgegangen und die weitere Entwicklung in diesem Gebiet abgewartet werden.

Die vergaberechtliche Ausschreibung

Das Cloud Computing kann man nicht mittels eines Kaufvertrages kaufen, es ist dem deutschen Bürgerlichen Gesetzbuch als solchem erst einmal fremd. Möchte die öffentliche Verwaltung das Cloud Computing implementieren, muss es jedoch einen Vertrag mit dem Anbieter schließen. Dieser wird ein typengemischter Vertrag mit wesentlichen mietvertraglichen Elementen sein. Hierauf lässt auch die Rechtsprechung des BGH schließen, welcher den Vertrag über die Onlinenutzung von Software als Mietvertrag qualifiziert hat.

Der Vertragsschluss durch die öffentliche Verwaltung kann jedoch nicht so einfach passieren, denn sie muss sich an das Vergaberecht halten. Hierbei sind bestimmte Grundsätze zu beachten, grundsätzlich muss das wirtschaftlichste Angebot angenommen werden. Hierbei ist schon darauf einzugehen, dass sich die Verwaltung schon bei der Entscheidung für das Cloud Computing darüber sicher sein muss, dass diese wirtschaftlicher ist als die klassischen Möglichkeiten im Bereich der Informationstechnologie, bspw. der Kauf eines Servers und dessen eigenständiger Betrieb oder der Kauf von Software, statt diese Bedürfnisse mit Modellen des Cloud Computing abzudecken.

Schon hier wirkt sich das Vergaberecht also aus, es erscheint als „zweistufig“. Erst wenn auf der ersten Stufe entschieden wurde, dass die Möglichkeiten durch das Cloud Computing für die öffentliche Verwaltung insgesamt wirtschaftlicher sind als andere, eher „klassische“ Möglichkeiten, können Anbieter von Cloud Computing-Diensten zur Abgabe eines Angebots aufgefordert werden. Auf dieser zweiten Stufe hat die Verwaltung sodann erneut zu klären, welches Angebot das wirtschaftlichste ist, wobei insbesondere schon auf rechtliche Absicherung Wert gelegt werden kann. Erklärt sich bspw. ein Anbieter bereit, die datenschutzrechtliche Absicherung durch die öffentliche Verwaltung (siehe oben am Ende der datenschutzrechtlichen Ausführungen) in den Vertrag zu implementieren, ein anderer jedoch nicht, so muss sich dies aktiv auf die Wirtschaftlichkeit des Angebotes auswirken, da negative Folgen für die öffentliche Verwaltung ebenfalls Bestandteil der Kosten-Nutzen-Rechnung sein müssen.

Zusammenfassung zum Cloud Computing in der öffentlichen Verwaltung

Das Cloud Computing ist ganz grundsätzlich in verschiedener Art und Weise und in verschiedenen Lieferungsmodellen vorstellbar. Hier ergeben sich viele Potentiale, jedoch auch einige Schwierigkeiten. Soll das Cloud Computing in der öffentlichen Verwaltung genutzt werden, werden sowohl die Vorteile, jedoch auch die Schwierigkeiten vergrößert. Kostensenkungen, Qualitätssteigerungen und Flexibilität auf der einen Seite treffen auf überwindbare Voraussetzungen des Vergaberechts und das Verbot der Mischverwaltung, jedoch auch auf die sehr strengen datenschutzrechtlichen Vorgaben, welche durch die Entwicklung der Rechtsprechung des EuGH noch mehr Problemzonen geschaffen haben als ohnehin schon. Die öffentliche Verwaltung muss bei einer gewünschten Implementierung all diese Vorgaben beachten. Wünschenswert wäre es, wenn der Gesetzgeber hier tätig wird und es der Verwaltung erleichtert, das Cloud Computing flächendeckend einzuführen. Die Vorteile können mittelfristig zu mehr e-Government und damit v.a. für die Nutzer, also die Bürger, zu großen Vorteilen führen.

Haben Sie noch Fragen zum Thema Cloud Computing in der öffentlichen Verwaltung? Sprechen Sie uns an! Wir sind seit vielen Jahren Experten auf dem Gebiet vor allem des Datenschutzes und des Informationstechnologierechts. Als Fachanwalt für IT-Recht und externer Datenschutzbeauftragter kann Rechtsanwalt Thomas Feil sowohl Anbieter von Cloud Computing-Diensten als auch öffentliche Verwaltungen beraten und dabei helfen, die voranschreitende Digitalisierung in Einklang zu bringen mit den relevanten rechtlichen Vorgaben.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*