- Ein Kommentar von Andreas Weiss, Direktor EuroCloud Deutschland_eco e. V.
- Kritik am Vorgehen der Bundespolizei legt unklare Leitlinie zur Nutzung von Cloud-Diensten durch Behörden offen
- Große Auswahl an geprüften Cloud-Diensten durch vom BMWi gefördertes Trusted Cloud Programm
- Verschlüsselte Speicherung von Videodateien in der Cloud unter Einhaltung der datenschutzrechtlichen Vorgaben völlig angemessen
Nach jahrelanger Verweigerungshaltung vieler Bundesbehörden gegenüber Cloud-Diensten hat die Bundespolizei mit der Einführung der Bodycams recht pragmatisch entschieden, die umfangreichen Videodaten auf Cloud-Servern zu speichern. Auf Anfrage des FDP-Abgeordneten Benjamin Strasser hatte das Bundesinnenministerium dazu mitgeteilt, dass die Speicherung der Daten verschlüsselt auf Servern eines kommerziellen US-Anbieters in Frankfurter Rechenzentren erfolgt.
Die aktuelle Entrüstung über dieses Vorgehen geht jedoch teilweise an der Sache vorbei, weil sie weniger von Fakten als von Stereotypen geprägt ist. Denn die Beauftragung von IT-Dienstleistern zur Speicherung sensibler Daten durch Behörden ist an sich nichts Ungewöhnliches. Sie steht im Einklang mit geltenden Datenschutzgesetzen, sofern die organisatorischen und technischen Anforderungen korrekt umgesetzt werden. Irritierend und in mehrfacher Hinsicht faktisch falsch ist jedoch die Begründung des Bundesinnenministeriums, warum die Wahl auf den entsprechenden Anbieter gefallen sei. Bei diesem habe es sich angeblich um den einzigen vom BSI nach C5 zertifizierten Dienst gehandelt. Dabei wurde offenbar außer Acht gelassen, dass es durch die Trusted Cloud Initiative des Bundeswirtschaftsministeriums (BMWi) bereits ein weit verbreitetes Gütesiegel für Cloud-Dienste gibt.
Behörden in Deutschland ohne generelle Leitlinie zur Nutzung von Cloud-Diensten
Der vom BMI hingegen als Voraussetzung genannte BSI C5 (Cloud Computing Compliance Controls Catalogue) legt fest, welche Anforderungen die Cloud-Anbieter erfüllen müssen bzw. auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Hierzu ein paar Fakten:
- Der C5 Kontrollkatalog wurde vom BSI zusammen mit einer großen Wirtschaftsprüfungsgesellschaft 2015 erarbeitet und Ende 2016 offiziell eingeführt.
- Die Prüfung erfolgt ausschließlich durch Wirtschaftsprüfungsgesellschaften mit der entsprechenden Qualifikation. Es handelt sich um ein Testat für einen eng gefassten Prüfzeitraum und kein Zertifikat.
- Es existiert kein öffentliches Register über C5 testierte Cloud Services und das BSI führt keine Kontrollen durch.
- Experten schätzen, dass es eine niedrige zweistellige Zahl an testierten Cloud-Diensten weltweit gibt.
- Das C5 Testat kann lediglich als Teilaussage zu datenschutzrechtlichen Anforderungen nach der DSGVO herangezogen werden.
Somit lässt sich festhalten, zum einen gibt es eine Auswahl an C5 testierten Cloud-Diensten mit Speicherfunktion, zum anderen ist die verschlüsselte Speicherung von Videodateien in der Cloud unter Einhaltung der datenschutzrechtlichen Vorgaben völlig angemessen. Allerdings ist der vom BMI genannte Bezug zum TCDP obsolet, da dieses Prüfverfahren nicht nach DSGVO angelegt war und aktuell durch das AUDITOR-Programm ersetzt wird.
Andreas Weiss, Direktor des Verbands EuroCloud Deutschland_eco e. V. sagt dazu: „Wir sehen ein grundlegendes Problem, dass gerade Behörden in Deutschland immer noch keine generelle Leitlinie zur Nutzung von Cloud-Diensten vorliegen haben und dadurch keine sachlich fundierten und dem Nutzungszweck entsprechende Auswahlverfahren existieren. Andere EU-Länder sind da seit Jahren schon wesentlich weiter fortgeschritten.“
Dies zeigte sich bereits im vergangenen Jahr an einem Ausschreibungsverfahren des Zentrums Bayern Familie und Soziales (ZBFS) für einen Cloud-Dienst im Personalbereich. Als Mindestanforderung zur Teilnahme am Ausschreibungsverfahren sollte ein gültiges C5 Testat vorliegen. Diese Anforderung konnte keiner der über 20 Kandidaten (vorrangig aus dem Mittelstand) erfüllen. Die Ausschreibung musste zurückgezogen werden.
Große Auswahl an zertifizierten Cloud-Diensten mit Trusted Cloud Gütesiegel
Dabei gibt es eine passende Informationsplattform mit dem durch das BMWi geförderten Trusted Cloud Programm, welches eine Vielzahl von Cloud-Diensten und Dienstleistern nach einem abgestimmten Anforderungskatalog aufführt und mit dem Trusted Cloud Gütesiegel versieht.
„Trusted Cloud ist eine Initiative des BMWi zusammen mit Verbänden und Wirtschaftsvertretern zur Festlegung von Qualitätsanforderungen bei der Nutzung von Cloud-Diensten. Mit dem EuroCloud StarAudit Programm als Basis für den Trusted Cloud Kriterienkatalog kann zudem eine Mitarbeiterqualifikation für ein fundiertes Auswahlverfahren erfolgen“, ergänzt Andreas Weiss. Cloud-Dienste sind die Grundlage aller Digitalisierungsstrategien. Aus Sicht von Weiss sei es daher höchste Zeit, dass die Bundesregierung eine „Cloud First Policy“ zur Einführung und Nutzung von Cloud-Diensten im öffentlichen Bereich erstellt.
Weitere Informationen zum EuroCloud Deutschland_eco e. V. sind hier erhältlich.
