Cloudnutzung der Bundesregierung und Erfordernisse des Datenschutzes

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt auf seiner Homepage unter der Überschrift „Cloud Computing Grundlagen“ (https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Grundlagen/Grundlagen_node.html) aus, dass es bisher keine allgemeingültige Definition des Begriffs Cloud Computing gibt. Das BSI verweist daher auf die Definition der US-amerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology), die auch von der ENISA (European Network and Information Security Agency) verwendet wird. Entsprechend hat das BSI folgende Definition für den Begriff „Cloud Computing“ festgelegt: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite, der im Rahmen von Cloud Computing angebotenen Dienstleistungen, umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software“ (ebd.).

Zahlreiche Bundesbehörden in Deutschland nutzen bereits heute eine Vielzahl von externen Cloud-Diensten in Europa und in Drittstaaten (https://www.egovernment-computing.de/welche-cloud-dienste-nutzt-die-bundesverwaltung-a-840885/). Dabei ist nach Ansicht der Fragesteller nicht auszuschließen, dass auch kritische und sensible Daten im Sinne des Artikels 5 (Grundsätze für die Verarbeitung personenbezogener Daten) der Datenschutz-Grundverordnung (DSGVO) an die externen Cloud-Dienste übermittelt und übergeben werden.

Ein wesentlicher Punkt bei der Übermittlung und Übergabe von Daten im Sinne der DSGVO ist die Bestimmung der zu verarbeitenden Daten. „So ist die Einforderung von Sicherheitsanforderungen insbesondere abhängig von den Daten, die in der externen Cloud verarbeitet werden sollen“ (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Umsetzungshinweise_Mindeststandards_Externe_Cloud-Dienste.pdf?__blob=publicationFile&v=5, S. 5). Aus diesem Grund führte das BSI auch eine Tabelle zur Datenkategorisierung für die Stellen des Bundes ein (ebd.).

Es wurden dabei vier Kategorien durch das BSI festgelegt (ebd.):

• Kategorie 1 „Privat- und Geschäftsgeheimnisse gemäß StGB (Strafgesetzbuch) § 203“
• Kategorie 2 „Personenbezogene Daten“
• Kategorie 3 „Verschlusssachen gemäß VSA (Verschlusssachenanweisung)“ und
• Kategorie 4 „sonstige Daten“

Bei der Übermittlung und Übergabe von Daten an (externe) Cloud-Diensteanbieter im Sinne des Artikels 5 DSGVO tritt somit die Bundesverwaltung nach Auffassung der Fragesteller als Cloud-Nutzer, also als datenschutzrechtlicher Verantwortlicher auf. Der (externe) Cloud-Provider tritt demnach im Sinne der DSGVO als datenschutzrechtlicher Auftragsverarbeiter der Bundesverwaltung auf. Gemäß § 1 des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit § 62 BDSG hat der Verantwortliche, somit die öffentlichen Stellen des Bundes (§ 1 BDSG), für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Diesbezüglich sind auch die Vorgaben des Kapitels IV (Verantwortlicher und Auftragsverarbeiter)DSGVO maßgeblich, da bei der Verarbeitung personenbezogener Daten (Auftragsverarbeitung Artikel 28 und 29 DSGVO) sowie die entsprechenden Nachweispflichten des Cloud-Anbieters zur Einhaltung des technischen und organisatorischen Datenschutzes anzuwenden sind.

Bei Cloud-Lösungen außerhalb der Europäischen Union (z. B. in den USA) bedeutet dies einen internationalen Datentransfer gemäß den Maßgaben der DSGVO (Kapitel V DSGVO), in welchem die Vorgaben der DSGVO zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen gewährleistet werden müssen.

Wir fragen die Bundesregierung: