Sie sind hier: Startseite » Markt » Nachrichten

Cloud-Nutzung und Datenschutz


Cloud-Nutzung der Bundesregierung und Erfordernisse des Datenschutzes
Bei der Übermittlung und Übergabe von Daten an (externe) Cloud-Diensteanbieter im Sinne des Artikels 5 DSGVO trete die Bundesverwaltung nach Auffassung der Fragesteller als Cloud-Nutzer, also als datenschutzrechtlicher Verantwortlicher auf


Die AfD-Fraktion will wissen, ob die Deutsche Bundesregierung gewährleisten kann, dass die an externe Anbieter von Cloud-Diensten in der EU übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) entsprechen. Auch erkundigt sie sich in einer Kleinen Anfrage (19/17833) unter anderem danach, ob die Bundesregierung gewährleisten kann, "dass die von ihr an externe Anbieter von Cloud-Diensten außerhalb der EU im Sinne eines internationalen Datentransfers übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der DSGVO" entsprechen.

Vorbemerkung der Fragesteller
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt auf seiner Homepage unter der Überschrift "Cloud Computing Grundlagen" aus, dass es bisher keine allgemeingültige Definition des Begriffs Cloud Computing gibt. Das BSI verweist daher auf die Definition der US-amerikanischen Standardisierungsstelle NIST (National Institute of Standards and Technology), die auch von der ENISA (European Network and Information Security Agency) verwendet wird. Entsprechend hat das BSI folgende Definition für den Begriff "Cloud Computing" festgelegt: "Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite, der im Rahmen von Cloud Computing angebotenen Dienstleistungen, umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software" (ebd.).

Zahlreiche Bundesbehörden in Deutschland nutzen bereits heute eine Vielzahl von externen Cloud-Diensten in Europa und in Drittstaaten. Dabei ist nach Ansicht der Fragesteller nicht auszuschließen, dass auch kritische und sensible Daten im Sinne des Artikels 5 (Grundsätze für die Verarbeitung personenbezogener Daten) der Datenschutz-Grundverordnung (DSGVO) an die externen Cloud-Dienste übermittelt und übergeben werden.

Ein wesentlicher Punkt bei der Übermittlung und Übergabe von Daten im Sinne der DSGVO ist die Bestimmung der zu verarbeitenden Daten. "So ist die Einforderung von Sicherheitsanforderungen insbesondere abhängig von den Daten, die in der externen Cloud verarbeitet werden sollen".

Es wurden dabei vier Kategorien durch das BSI festgelegt (ebd.):
>> Kategorie 1 "Privat- und Geschäftsgeheimnisse gemäß StGB (Strafgesetzbuch) § 203",
>> Kategorie 2 "Personenbezogene Daten", Deutscher Bundestag Drucksache 19/17833 19. Wahlperiode 11.03.2020
>> Kategorie 3 "Verschlusssachen gemäß VSA (Verschlusssachenanweisung)" und
>> Kategorie 4 "sonstige Daten".
Bei der Übermittlung und Übergabe von Daten an (externe) Cloud-Diensteanbieter im Sinne des Artikels 5 DSGVO tritt somit die Bundesverwaltung nach Auffassung der Fragesteller als Cloud-Nutzer, also als datenschutzrechtlicher Verantwortlicher auf. Der (externe) Cloud-Provider tritt demnach im Sinne der DSGVO als datenschutzrechtlicher Auftragsverarbeiter der Bundesverwaltung auf. Gemäß § 1 des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit § 62 BDSG hat der Verantwortliche, somit die öffentlichen Stellen des Bundes (§ 1 BDSG), für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Diesbezüglich sind auch die Vorgaben des Kapitels IV (Verantwortlicher und Auftragsverarbeiter)DSGVO maßgeblich, da bei der Verarbeitung personenbezogener Daten (Auftragsverarbeitung Artikel 28 und 29 DSGVO) sowie die entsprechenden Nachweispflichten des Cloud-Anbieters zur Einhaltung des technischen und organisatorischen Datenschutzes anzuwenden sind.

Bei Cloud-Lösungen außerhalb der Europäischen Union (z. B. in den USA) bedeutet dies einen internationalen Datentransfer gemäß den Maßgaben der DSGVO (Kapitel V DSGVO), in welchem die Vorgaben der DSGVO zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen gewährleistet werden müssen
(Deutscher Bundestag: ra)

eingetragen: 07.04.20
Newsletterlauf: 29.06.20

Meldungen: Nachrichten

  • Gaia-X-Erprobungsphase startet für GXFS und SCS

    Die beiden durch das Bundesministerium für Wirtschaft und Klimaschutz geförderten Gaia-X-Projekte Sovereign Cloud Stack (SCS) und Gaia-X Federation Services (GXFS) werden in der nun beginnenden Implementierungsphase gemeinsam auf offener Infrastruktur erprobt. Ziel der beiden im vergangenen Jahr gestarteten Fördervorhaben ist die Schaffung eines Open-Source-basierten Werkzeugkastens für eine souveräne, standardisierte und föderierbare Cloud-Infrastruktur.

  • Aufbau einer Europäischen Cloud-Föderation

    Die Europäische Union hat laut Bundesregierung während der zurückliegenden deutschen Ratspräsidentschaft "große Fortschritte beim Aufbau einer Europäischen Cloud-Föderation gemacht". In der Gemeinsamen Erklärung der 27 Mitgliedstaaten zur nächsten Generation einer europäischen Cloud (European Cloud Federation) sei der Überbau für Investitionen, Standardisierung und Interoperabilität im Bereich Cloud und Daten geschaffen worden, schreibt die Bundesregierung in ihrer Antwort (19/25762) auf eine Kleine Anfrage der FDP-Fraktion (19/25173). Mit der Gründung der "European Alliance for Industrial Cloud and Data" werde der Startschuss für umfangreiche öffentliche und private Investitionen gegeben.

  • Sicherheit von KI-Systemen bewerten

    Der Einsatz von Künstlicher Intelligenz (KI) eröffnet neue Möglichkeiten und Anwendungen und beeinflusst schon jetzt viele kritische Prozesse und Entscheidungen, zum Beispiel in der Wirtschaft oder im Gesundheitsbereich. Gleichzeitig sind auf KI basierende Systeme neuen Sicherheitsbedrohungen ausgesetzt, die von etablierten IT-Sicherheitsstandards nicht abgedeckt werden. Mit dem neuen Kriterienkatalog für KI-basierte Cloud-Dienste (Artificial Intelligence Cloud Services Compliance Criteria Catalogue, AIC4) schafft das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine wichtige Grundlage, um die Sicherheit von KI-Systemen bewerten zu können. Der AIC4 des BSI definiert erstmals ein Basisniveau an Sicherheit für KI-basierte Dienste, die in Cloud-Infrastrukturen entwickelt und betrieben werden. Ein vergleichbarer einsetzbarer Prüfstandard für sichere KI-Systeme existiert derzeit nicht.

  • Verbundvorhaben "OpenEduHub"

    Zur Öffnung der HPI Schul-Cloud für die Dauer der Coronapandemie stellt die FDP-Fraktion eine Kleine Anfrage (19/25175). Die Fraktion möchte wissen, was genau das Verbundvorhaben "OpenEduHub" umfasst und welche Erwartungen die Bundesregierung an das Verbundvorhaben "OpenEduHub" vor der Initiation hatte. Ferner interessiert die Abgeordneten, inwiefern die Erwartungen der Bundesregierung an das Verbundvorhaben "OpenEduHub" erfüllt wurden und mit welcher Nutzerzahl die Bundesregierung gerechnet hat. Auch fragen die Abgeordneten, welche Kosten die Bundesregierung pro Schüler/Schülerin pro Dauer der Öffnung für den OpenEduHub kalkuliert hat.

  • Cloud-Nutzung und Datenschutz

    Die AfD-Fraktion will wissen, ob die Deutsche Bundesregierung gewährleisten kann, dass die an externe Anbieter von Cloud-Diensten in der EU übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) entsprechen. Auch erkundigt sie sich in einer Kleinen Anfrage (19/17833) unter anderem danach, ob die Bundesregierung gewährleisten kann, "dass die von ihr an externe Anbieter von Cloud-Diensten außerhalb der EU im Sinne eines internationalen Datentransfers übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der DSGVO" entsprechen.

  • Nutzung externer Cloud Computing-Anbieter

    Die Nutzung externer Anbieter für Cloud Computing-Dienste durch die Bundesregierung ist ein Thema ihrer Antwort (19/10826) auf eine Kleine Anfrage der FDP-Fraktion (19/10307). Die darin enthaltene Übersicht der genutzten Cloud-Dienste macht der Regierung zufolge deutlich, "dass die Bundesverwaltung vollwertige Dienste nutzt, die über die Bereitstellung einer bloßen Speicher-Infrastruktur hinausgehen". Der Nutzung von Cloud-Services gehe ein fachlicher Bedarf einer Behörde voraus. Dieser Bedarf solle nach dem Beschluss des IT-Rats "Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung" nach Möglichkeit zuerst durch bundeseigene Dienstleister gedeckt werden. Ist dies nicht oder nicht wirtschaftlich möglich, könne unter bestimmten Voraussetzungen ein externer Cloud-Service beschafft werden.

  • Bundesförderung für Entwicklung von Schul-Clouds

    Cloud Computing verbreitet sich immer mehr. Auch der Einsatz von Clouds in Schulen hat ein großes Potenzial. Bislang greifen vor allem zahlreiche Onlinedienstleistungen auf Cloudlösungen zurück, indem sie Speicherplatz, Rechenleistung und Software aus einem Rechnernetzwerk nutzen, anstatt eine entsprechende Infrastruktur vor Ort aufzubauen. Das schreibt die FDP in ihrer Kleinen Anfrage (19/7681).

  • Kundendaten insolventer Cloud-Dienst-Anbieter

    Die Zugriffsmöglichkeiten von Kunden insolventer Cloud-Dienst-Anbieter auf ihre Daten sind Thema einer Kleinen Anfrage der FDP-Fraktion (19/7808). Die Lage sei unklar, und der Verlust der Daten von Privatpersonen und Unternehmen nicht auszuschließen, heißt es in der Anfrage, in der auf vertragliche Dateneigentumsklauseln, die sich in den USA etabliert hätten, verwiesen wird. Die Fragesteller wollen daher unter anderem wissen, wie die Bundesregierung die Zugehörigkeit von Kundendaten zur Insolvenzmasse eines Cloud-Dienst-Anbieters als Vermögenswert beurteilt.

  • Strategie zur Künstlichen Intelligenz

    Die Deutsche Bundesregierung will die Künstliche Intelligenz (KI) als Schlüsseltechnologie intensiv und in der Breite fördern. Deutschland soll führender Standort für die Entwicklung und Anwendung von KI-Technologien werden, auch um die Wettbewerbsfähigkeit des Landes zu sichern, heißt es in der Antwort (19/6327) auf eine Kleine Anfrage der Fraktion der FDP (19/5634). Die Bundesregierung trete für eine verantwortungsvolle und gemeinwohlorientierte Entwicklung und Nutzung von KI ein und wolle die Nutzung verantwortungsvoll in Zusammenarbeit mit Wissenschaft und Wirtschaft und im Dialog mit der Gesellschaft voranbringen. Dazu habe das Kabinett am 15. November 2018 eine Strategie Künstliche Intelligenz beschlossen, die für die kommenden sieben Jahre Investitionen in Höhe von drei Milliarden Euro vorsehe.

  • Leitsysteme der Bahn in der Cloud

    Für die Möglichkeit der Auslagerung von Leitsystemen der Bahnen (U-Bahn, S-Bahn, Straßenbahn, Zahnradbahn sowie andere Bahnsysteme) in eine Cloud interessiert sich die AfD-Fraktion. In einer Kleinen Anfrage (19/5695) verweisen die Abgeordneten darauf, dass in der Schweiz die Gornergratbahn als erstes Bahnunternehmen ihr gesamtes Leitsystem in eine Cloud ausgelagert habe.


Meldungen: Kommentare und Meinungen

  • Cloud-Kunden den Anbieterwechsel erleichtern

    Die im Januar 2024 in Kraft getretene EU-Datenverordnung, die den Wettbewerb fördern soll, indem sie Cloud-Kunden den Anbieterwechsel erleichtert, wirbelt den Markt für Cloud-Dienste kräftig durcheinander - zum Vorteil von Unternehmen, meint Jamil Ahmed, Director und Distinguished Engineer bei Solace.

  • Kriterien im Umgang mit KI-Systemen

    eco - Verband der Internetwirtschaft e.V. forderte anlässlich der Abstimmung über den AI Act im Ausschuss der ständigen Vertreter der EU-Mitgliedsstaaten eine praxistaugliche Umsetzung und EU-weit einheitliche Kriterien im Umgang mit KI-Systemen.

  • Trends der Netzwerktechnologie 2024

    Künstliche Intelligenz und Cloud Computing ergänzen sich symbiotisch. Obwohl ML und KI keine neuen Technologien und Konzepte sind, hat die Verfügbarkeit großer Rechen- und Speicherkapazitäten über die Cloud die jüngsten Entwicklungen von KI beschleunigt.

  • Datenmengen häufen sich

    Immer mehr Unternehmen in Deutschland setzen auf Cloud Computing - Tendenz steigend. Dabei nennt sich die Verlagerung von Rechenressourcen wie etwa Daten, Anwendungen oder IT-Prozesse in die Cloud-Migration.

  • Datenflut in der Multi-Cloud-Welt

    Künstliche Intelligenz (KI) markiert aktuell einen wichtigen Wendepunkt für die Technologiebranche. Die in den 1950er Jahren von John McCarthy geprägt Technik hat sich jahrzehntelang hauptsächlich im Hintergrund weiterentwickelt, bis die Veröffentlichung des generativen KI-Tools ChatGPT den Durchbruch brachte.

  • Bitkom zum KI-Aktionsplan

    Bitkom begrüßt den KI-Aktionsplan des BMBF. Schon heute ist Deutschland in der Forschung rund um KI sehr gut aufgestellt und es ist richtig, sie weiter auszubauen. Wie diese Initiative des Forschungsministeriums in die Gesamtstrategie der Bundesregierung zur Künstlichen Intelligenz eingebettet werden soll, bleibt hingegen offen.

  • Digitale-Dienste-Gesetz deutlich homogener

    Das Gesetz über digitale Dienste (Digital Service Act, DSA) wurde im November 2022 im EU-Parlament verabschiedet und soll zusammen mit dem Gesetz über digitale Märkte (Digital Markets Act, DMA) in den kommenden Jahren die Standards für einen sichereren und offeneren digitalen Raum für Nutzer sowie gleiche Wettbewerbsbedingungen für Unternehmen innerhalb der EU setzen.

  • Berater lassen Texte oft von ChatGPT schreiben

    Seit das Unternehmen OpenAI Ende 2022 sein Programm ChatGPT für die allgemeine kostenlose Nutzung freigeschaltet hat, ist um das Thema künstliche Intelligenz (KI) ein Hype entstanden. Auch die Beraterszene hat den Nutzen solcher Chat-Programme wie ChatGPT für sich erkannt - zu Recht, denn mit ihnen lassen sich sehr schnell und einfach zumindest erste Entwürfe solcher Werbetexte wie Blogbeiträge, Werbeschreiben oder Post für die Social Media generieren, die man dann weiterbearbeiten kann.

  • Unabhängiger Datenschutz für freie Anbieterwahl

    Es gibt viele Gründe für Unternehmen, den Cloud-Anbieter zu wechseln, ganz gleich ob von oder zu großen oder kleineren Anbietern. Einer der häufigeren Gründe ist neben der unterschiedlichen Servicepalette sicherlich die Preisgestaltung der Cloud-Anbieter. Beispielsweise hat Microsoft für seine Cloud-Dienstleistungen seit April 2023 im Euroraum signifikante Preissteigerungen eingeführt, die Unternehmen dazu veranlassen könnten, über einen Anbieterwechsel nachzudenken

  • Keine Erfüllung der Muss-Kriterien

    In einem Positionspapier skizzieren die obersten deutschen Datenschützer, wie sie sich Souveräne Clouds vorstellen. Ihre Forderungen sind begrüßenswert, gehen aber nicht weit genug, bedauert Holger Dyroff, Co-Founder und COO von ownCloud.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen