Headerbild
Ein Hin und Her wie beim Pingpong
Die Rechtslage in der Cloud bleibt für Behörden unsicher

Datenschutz in der Cloud

Datenschutz war im öffentlichen Sektor schon immer ein heikles Thema. Zum einen, weil Menschen darauf vertrauen, dass ihre persönlichen Daten dort sicher aufbewahrt werden. Zum zweiten, weil Datenschutzverbände und Vergabekammern ein besonderes Auge auf die Behörden haben. Gleichzeitig wird von der Verwaltung erwartet, dass sie Aktenbestände digitalisiert und moderne Services anbietet. Die wechselhafte Rechtslage macht das nicht leichter: Immer wieder gibt es Privacy-Vereinbarungen zwischen der EU und den USA, die von Datenschützern angefochten und vom EuGH einkassiert werden. Es scheint immer wieder hin und her zugehen, wie bei einem Pingpong-Spiel.

In der Zwischenzeit versuchen Behörden, pragmatische Lösungen zu finden. Sie schließen Verträge ab, in denen sie die Cloud-Unternehmen verpflichten, europäische Datenschutz-Standards einzuhalten und bei Anfragen der US-Regierung alle Mittel gegen einen Zugriff auszuschöpfen. Cloud-Unternehmen aus den USA wie AWS und Microsoft stellten ihr Geschäftsmodell um und boten über europäische Tochtergesellschaften Serverfarmen mit Standorten in Deutschland oder dem europäischen Ausland an.

Diese Praxis funktionierte. Bis im Juli 2022 ein Beschluss der Vergabekammer Baden-Württemberg mit dem Aktenzeichen 1 VK 23/22 für Aufsehen sorgte.

Vergabekammer verbietet die Cloud

Die Vergabekammer hatte es zwei Krankenhausgesellschaften verboten, Infrastrukturdienste in Anspruch zu nehmen, die eine europäischen Tochtergesellschaft eines US-amerikanischen Cloud- Unternehmens angeboten hatte. Trotz Vertraulichkeitsklausel und Anfechtungsverpflichtung. Der Grund: Es sei nie völlig auszuschließen, dass US-Behörden auf personenbezogene Daten zugreifen könnten. Von einer latenten Gefahr war die Rede. Der Beschluss schien Behörden die Möglichkeit zu nehmen, die Digitalisierung rechtssicher voranzutreiben.

OLG spielt den Ball zurück

Zwei Monate später spielte das Oberlandesgericht Karlsruhe den Ball zurück. Die Karlsruher Richter sahen die Sache anders. Sie entschieden, dass die Krankenhausgesellschaften sich auf ihr Cloud-Angebot verlassen können. Wenn es dort heißt, dass Daten nur in Deutschland verarbeitet und in kein Drittland übermittelt werden, dann dürften sie diesen Dienst in Anspruch nehmen. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsste ein öffentlicher Auftraggeber weitere Informationen einholen und das Angebot überprüfen, entschieden die Richter (Az.: 15 Verg 8/22).

Was tun, wenn es zu Anfechtungen kommt?

Die öffentliche Hand atmete durch. Doch sicher ist die Lage nicht: Was tun, wenn es zu Anfechtungen kommt? Wie kann das Cloud- Angebot überprüft werden? Und was, wenn das Ergebnis negativ ausfällt? Kann durch Vertragszusätze sichergestellt werden, dass ohne das Wissen der Behörde keine dritte Partei auf die Daten zugreift? Eventuell wäre ein Wechsel angesagt. Immer mehr europäische oder sogar deutsche Cloud-Unternehmen bieten sich an. Die Cloud zu wechseln, kann aufwändig sein. Wann lohnt es sich? Die Situation bleibt angespannt.

*Dieser Artikel erschien im Newsletter des Behörden Spiegel

Thomas Buch

Senior Manager Sales

Kontakt aufnehmen

Ihr Weg in die Cloud

Jetzt weiterlesen!

PDF herunterladen

Nehmen Sie Kontakt zu uns auf


Zweispaltig

*Pflichtfelder
Die neuesten Fachartikel und Videos direkt ins Postfach?
Mit unserem Newsletter-Service informieren wir Sie regelmäßig über neue Publikationen und Angebote zu den aktuellen IT-Herausforderungen. Natürlich kostenlos und jederzeit abbestellbar.
Jetzt abonnieren