Migration von IT-Dienstleistungen

Wie kommt die Verwaltung in die Cloud?

| Autor: Ira Zahorsky

Risiken: Sicherheit, Abhängigkeit, Rechtsfragen

Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit müssen auch in der Cloud gewährleistet werden. Ob und unter welchen Bedingungen Daten und Anwendungen der Öffentlichen Verwaltung in die Cloud verlagert werden können, hängt von deren Schutzbedürftigkeit ab. Diese kann nur durch eine individuelle Sicherheitsanalyse ermittelt werden.

Einen kompakten Einstieg und Überblick über Informationssicherheit in der Cloud liefert das BSI-Eckpunktepapier zum Cloud-Computing, in dem die wichtigsten organisatorischen, personellen, infrastrukturellen und technischen Maßnahmen beschrieben werden. Eine Detaillierung von Risiken und Maßnahmen erfolgt in den neuen IT-Grundschutzbausteinen „Cloud Management“ (pdf) für Cloud-Dienstanbieter und „Cloud-Nutzung“ (pdf) für die Nutzer, die als Grundlage für das Festlegen von angemessenen Sicherheitsanforderungen dienen.

Eine Verlagerung der eigenen IT (oder Teile dieser IT) in die Cloud kann – wie jedes Outsourcing-Vorhaben – zu ungewollten Abhängigkeiten führen, die einen Anbieterwechsel oder ein Insourcing mit hohem finanziellen und organisatorischen Aufwand verbinden. Zunächst ist hier die Bindung an die Technologien, die von dem jeweiligen Cloud-Dienstanbieter verwendet werden, zu berücksichtigen. Strukturelle bzw. organisatorische Abhängigkeiten ergeben sich, wenn zur Durchführung des Outsourcings die Organisationsstrukturen der eigenen Verwaltung abgewandelt wurden, um die gemieteten Cloud-Dienste optimal (oder überhaupt) zu nutzen. Dies betrifft unmittelbar IT-spezifische Prozesse, die nach dem Outsourcing nicht mehr benötigt werden oder abgewandelt wurden. Schließlich führt jedes Outsourcing von IT zu einem Verlust von operativem Wissen zum Betrieb einer IT-Infrastruktur, das bei einem Insourcing erneut erworben oder eingekauft werden muss.

Bevor sensible Daten in die Cloud ausgelagert werden können, ist eine Reihe von rechtlichen Fragen zu beachten. In Anbetracht der unterschiedlichen Betriebsmodelle (private, öffentliche, Community und hybride) sowie den unterschiedlichen Dienstmodellen (SaaS, Paas, IaaS) sind pauschale Aussagen über die rechtliche Zulässigkeit der Nutzung von Cloud-Angeboten kaum möglich. Neben dem Vergaberecht von öffentlichen Aufträgen, dem Organisationsrecht, den Vorschriften zur Arbeit mit Verschlusssachen und dem Urheberrecht bezüglich der Verwaltungssoftware ist insbesondere das Datenschutzrecht zu beachten.

Sollen personenbezogene Daten in der Cloud verarbeitet oder gespeichert werden, bedarf es nach dem deutschen Datenschutzrecht einer entsprechenden Legitimationsgrundlage. Datenauslagerungen in die Cloud mit Hilfe von Einwilligungserklärungen der betroffenen Bürger erweisen sich dabei als kaum praktikabel, da diese zum einen stets mit einer gewissen Unsicherheit bezüglich der Reichweite verbunden sind und zum anderen entsprechende Einwilligungen – zumindest wenn bereits vorhandene Datenbestände ausgelagert werden sollen – nachträglich eingeholt werden müssten. Bei der Suche nach der erforderlichen Ermächtigungsgrundlage bleibt daher lediglich die in §11 BDSG geregelte Auftragsdatenverarbeitung, die allerdings noch aus einer Zeit lange vor der Cloud stammt.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42660173 / System & Services)