Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt, Berlin
2 Agenda Einführung: Unternehmen und Verwaltung auf dem Weg in die Cloud Der Spielverderber: Die Auftragsdatenverarbeitung nach 11 BDSG Die Lösung: Private Clouds von Verwaltung und Unternehmen Die Idee: Integrierte Angebot Fazit: Es funktioniert doch aller Anfang ist schwer!
3 Einführung: Unternehmen und Verwaltung auf dem Weg in die Cloud IT-DL Kommunen Unternehmen NGOs Einsparung Cloud-Anbieter Private
4 Der Spielverderber: Die Auftragsdatenverarbeitung nach 11 BDSG Datentransfer innerhalb der EU keine erweiterten Anforderungen zum Datentransfer 4b Abs. 1 BDSG Für die Übermittlung personenbezogener Daten an Stellen 1. in anderen Mitgliedstaaten der Europäischen Union, 2. in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder 3. der Organe und Einrichtungen der Europäischen Gemeinschaften gelten 15 Abs. 1, 16 Abs. 1 und 28 bis 30a nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen. Erlaubnisnorm für Übermittlung 28 ff. BDSG (-), das Kostensparinteresse des Cloud-Nutzers gibt weder beim Einsatz durch private Unternehmen noch durch die öffentliche Verwaltung eine Rechtfertigung 11 BDSG
5 Der Spielverderber: Die Auftragsdatenverarbeitung nach 11 BDSG Datentransfer außerhalb der EU Zulässigkeit des Transfers: 4b Abs. 2 BDSG Empfänger außerhalb der EU nur erlaubt, wenn im bertreffenden Staat ein angemessenen Datenschutzniveau herrscht festgestellt von EU-Kommission für: Guernsey, Isle of Man, Argentinien, Kanada, Schweiz Transfer in die USA: Safe Harbour Abkommen Transfer innerhalb eines Konzerns: Binding Corporate Rules Transfer in den übrigen Fällen: EU-Standardvertragsklauseln (str.) Zusätzliche Voraussetzung: 11 BDSG
6 Der Spielverderber: Die Auftragsdatenverarbeitung nach 11 BDSG Anforderungen des 11 BDSG. Sorgfältige Auswahl des Dienstleisters, insbesondere Überprüfung der technischen Maßnahmen nach 9 BDSG Schriftlicher Vertrag mit mindestens folgenden Inhalten: der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, die Berichtigung, Löschung und Sperrung von Daten, die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
7 Der Spielverderber: Die Auftragsdatenverarbeitung nach 11 BDSG Offene Fragen: Einsatz von Anonymisierungstechnologien»räumliche Begrenzung«einer Public Cloud Verfügbarkeit: Gewährleistung der Aufgabenerfüllung Differenzierung nach Fachverfahren
8
9 Die Lösung: Private Clouds von Verwaltung und Unternehmen Entwicklungsstufen der öffentlichen IT IT-Kooperationen 18. Anwenderforum 2012 Eigene IT- Abteilung Echtes Cloud Computing
10 18. Anwenderforum 2012 Vision / 1. Schritt: eine private Cloud für die öffentliche Verwaltung
11 Anbieter Anbieter Cloud-Computing durch die öffentliche Verwaltung Cloud-Anbieter (P) Auftragsdatenverarbeitung Drittstaaten Unterauftragsverhältnisse Abruf Abruf IT-DL IT-Bedarf IT-Bedarf Kommune n
Abruf Abruf 12 Kommune X IT- Bestand IT-Bedarf IT-Bedarf IT-DL IT- Bestand Eine private Cloud für die öffentliche Verwaltung Private Cloud der öffentlichen Hand Ebenfalls Auftragsdatenverarbeitung, aber kein (P) Drittstaaten, Unteraufträge klar definierbar, nur Partner Abruf Abruf Optimal: Eigenständige Rechtspersönlichkeit (vereinfacht Vertragsbeziehungen: ein Auftragsdatenverarbeitungsverhältnis) IT- Bestand IT-Bedarf IT-Bedarf IT- Bestand IT-DL Kommune n
13 Anbieter Cloud-Anbieter Anbieter Cloud-Computing durch Unternehmen (P) Auftragsdatenverarbeitung Drittstaaten Unterauftragsverhältnisse Gleiche Problemstellung Abruf Abruf IT-Bedarf Unternehmen IT-Bedarf Unternehmen
14 Verwaltung Öffnung der privaten Cloud der öffentlichen Verwaltung für private Partner Cloud-Anbieter Privatunternehmen Verwaltung Privatunternehmen
15 Verwaltung Öffnung der privaten Cloud der öffentlichen Verwaltung für private Partner Cloud-Anbieter Verwaltung Privatunternehmen Privatunternehmen
www.lorenz-von-stein-institut.de Vielen Dank für Ihre Aufmerksamkeit! Dr. Sönke E. Schulz sschulz@lvstein.uni-kiel.de
Sönke E. Schulz "Cloud Computing in der öffentlichen Verwaltung Chancen, Risiken, Modelle in: MMR 2010, S. 75-80. Sönke E. Schulz Cloud Computing in der öffentlichen Verwaltung?, in: VM 1/2010, S. 37-42.