Wie wirken sich Herausgabepflichten von US-Firmen auf die Nutzbarkeit von Cloud-Diensten für deutsche Behörden aus?

Der wissenschaftliche Dienst des Bundestages hat dazu ein Gutachten erarbeitet. Hochschulen sind auch Behörden, stehen also vor derselben Problematik!

Auf die Frage:

Sind personenbezogene Daten in Cloud-Diensten vor dem Zugriff durch US-Behörden geschützt?

Gibt es die salomonische Antwort:

Im Prinzip ja, zumindest aus datenschutzrechtlicher Sicht und insbesondere, sofern keine US-(Tochter-)Firmen in die Verarbeitung involviert sind. Aber selbst bei denen kommen möglicherweise keine Herausgaben vor.

Und dass es auf den Einzelfall ankommt und ob (durch den Cloud-Anbieter) geeignete Maßnahmen umgesetzt werden, die das Risiko einer Herausgabe minimieren.

„Wie wirken sich Herausgabepflichten von US-Firmen auf die Nutzbarkeit von Cloud-Diensten für deutsche Behörden aus?“ weiterlesen

Position der Hochschulen zu Microsoft 365 und anderen Cloud-Diensten

Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat Ende 2022 in einer Stellungnahme festgehalten, dass aus ihrer Sicht der Nachweis einer datenschutzkonformen Nutzung von Microsoft 365 durch die Verantwortlichen mit den vorliegenden (Vertrags-)Unterlagen nicht zu erbringen ist.

Damit wäre ein rechtskonformer Einsatz des Cloud-Dienstes Microsoft 365 nicht möglich, insbesondere von Microsoft Teams und OneDrive.

Unter anderem wird die Zugriffsmöglichkeit der amerikanischen Sicherheitsbehörden auf die in den USA verarbeiteten personenbezogenen Daten moniert und die Verarbeitung personenbezogener Daten für Microsoft-eigene Zwecke u.a. die umfangreichen Telemetriedaten sowie die fehlende Nachvollziehbarkeit der Datenflüsse.

Microsoft hat der Stellungnahme umgehend widersprochen und die DSGVO-Konformität betont, und dass Microsoft mittlerweile zusätzliche Maßnahmen umsetzt, bspw. eine „EU Data Boundary“, die sicherstellt, dass die Inhaltsdaten nur auf Servern in der EU verarbeitet werden. Dieses wurde in einem sogennanten „Datenschutznachtrag “ von Microsoft fixiert.

Die Brandenburger Aufsichtsbehörde stellt dazu in Ihrem Jahresbericht 2022, Seite 82-85 allerdings fest:

„Der Hauptkritikpunkt bei der Nutzung von Microsoft 365 bleibt aber trotz Änderungen im Datenschutznachtrag bestehen: Microsoft verarbeitet personenbezogene Daten aus der Auftragsverarbeitung immer noch für eigene Zwecke, ohne dies hinreichend transparent und nachvollziehbar darzustellen.

(…)

Öffentliche Stellen (z. B. Behörden oder Schulen in öffentlicher Trägerschaft) haben beim Einsatz von Microsoft 365 das zusätzliche Problem, dass sich deren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten typischerweise aus der Erfüllung öffentlicher Aufgaben oder aus spezialgesetzlichen Regelungen ergeben. Die Weitergabe personenbezogener Daten an Microsoft, damit sie dort für eigene „Geschäftstätigkeiten“ verarbeitet werden, kann durch derartige Rechtsgrundlagen nicht legitimiert werden.“

Position der Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung e.V. (ZKI)

Die ZKI fordern im Positionspapier die Datenschutzaufsichtsbehörden auf, konstruktiv zusammen mit dem Anbieter Microsoft eine gemeinsame Lösung zu finden.

Es wird festgestellt, dass Cloud-Lösungen für Hochschulen unverzichtbar sind, nicht zuletzt da die Anbieter ihre Produkte zunehmend auf Cloud-Lösungen umstellen und der Betrieb alternativer Tools durch die Hochschulen selbst zumeist nicht leistbar ist – aufgrund der wenigen verfügbaren Personalressourcen sollte sich die IT-Unterstützung auf die umfangreichen eigentlichen Aufgaben der Hochschulen beschränken.

Was nun?

Es erscheint unausweichlich, dass Microsoft 365 künftig auch an Hochschulen zum Einsatz kommt. Für eine datenschutzkonforme und rechtssichere Nutzung sollten die Kritikpunkte allerdings von Microsoft ausgeräumt werden.

Möglicherweise ist eine datenschutzkonforme Nutzung der Online-Tools nicht mit technischen Maßnahmen durchsetzbar, so dass flankierende organisatorische Maßnahmen die Lücke füllen müssen (z.B. in Form von Dienstanweisungen).

Auch die Nutzung der Desktop-Apps als „Offline-Version“ von Microsoft 365 scheint datenschutzrechtlich nicht unkompliziert zu sein, da einige Funktionen wie das „automatische Speichern“ nur in Verbindung mit Microsofts Cloud-Speicher „OneDrive“ funktionieren.

Letztlich können wir nur hoffen, dass es zu einer datenschutzrechtlich akzeptablen Lösung kommt. Immerhin hat die Datenschutzkonferenz (DSK) im Frühjahr 2023 die Arbeitsgruppe MS 365 reaktiviert um eine erneute Prüfung vorzunehmen.

Insofern scheint derzeit eine Einigung und damit auch eine Lösung nicht ausgeschlossen zu sein.

MS 365 an der TU Berlin:

Microsoft 365 ist zwar von der TU Berlin u.a. für die dienstliche Nutzung lizensiert, die datenschutzrechtlichen Prüfung ist bislang aber noch nicht abgeschlossen und Microsoft 365 ist nicht für die dienstliche Nutzung freigegeben.

Derzeit wird geprüft, welche Tools/Dienste zum Einsatz kommen sollen. Die Auswahl soll in der nächsten Zeit erfolgen, so dass dann für diese die datenschutzrechtliche Prüfung vorgenommen werden kann.

Weitere Informationen

 

Open Source Business Alliance: Mindestanforderungen an Cloud-Angebote für die öffentliche Hand

Cloud-Lösungen werden künftig für staatliche Einrichtungen, Behörden und Bildungseinrichtugnen eine große Rolle spielen. Auf dem Weg zu digitaler Souveränität sind deshalb angemessene Vorgaben wichtig, um Sicherheit und Datenschutz der Anwendungen garantieren zu können. Diese sollten fester Bestandteil öffentlicher Ausschreibungen werden.

Die OSB-Alliance, der Bundesverband von Open Source Anbietern und Anwendern, hat dazu ein Positionspapier veröffentlicht.

Dieses formuliert aus ihrer Sicht erfüllbare Kriterien, die bei der Umsetzung von Cloud-Diensten im öffentlichen Sektor berücksichtigt werden sollen.

Sie formulieren zwei Kernziele für die digitale Souveränität:
  1. Wirkungsvoller Schutz von persönlichen Daten der Bürger*innen und vertraulichen Informationen  vor unerlaubtem Zugriff.
    Der Staat bzw. seine Behörden müssen jederzeit die Kontrolle darüber bewahren, wer, wann und unter welchen Umständen auf welche Daten zugreifen darf.
  2. Unabhängigkeit der Einsatzfähigkeit digitaler Infrastrukturen von anderen Staaten oder Unternehmen.
    Wirtschaftliche Abhängigkeiten und die Gefahr daraus resultierender politischer Zwänge müssen vermieden werden, um elementare staatliche Funktionen sicherzustellen und für Krisen- oder Katastrophenfällen widerstandsfähig, d.h. „resilient“, zu sein .

Diese beiden Fähigkeiten zur (1) Kontrolle von Datenflüssen sowie zur (2) Nutzung und Gestaltung von Informationstechnologie tragen entsprechend dem Papier zur digitalen Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten bei.

Wenig überraschend benennen sie Transparenz, Nachvollziehbarkeit und Überprüfbarkeit auf Code-Basis als wesentliche Aspekte für die Sicherheit von Cloud-Diensten. Mögliche Ableitungen von Daten sind nur dadurch zu vermeiden – Open Source Code sei (auch) deswegen für alle Teile von Cloud-Anwendungen zu bevorzugen.

Neben vielen weiteren Punkten wird (Daten-)portabilität eingefordert, um dem Lock-in-Problem zu begegnen: Es muss möglich sein, den Cloud-Anbieter zu wechseln (sonst gern als Multi-Cloud-Strategie bezeichnet).

Warum ist all das überhaupt erwähnenswert?

Leider sieht es bei Cloud-Anwendungen zur Zeit nicht danach aus, dass die oben genannten Punkte erfüllt werden können.

Der Cloud-Markt wird derzeit durch die großen US-Firmen bestimmt, d.h. Amazon mit AWS, Microsoft mit Azure und Google mit Google Cloud. Sie bieten nur Garantien vertraglicher Art – unabhängige und regelmäßige Code-Überprüfungen, wie sie in etablierten Open Source Projekten üblich sind, gibt es nicht.

Die Auftraggeber müssen darauf vertrauen, dass in den Rechenzentren der Anbieter alles mit rechten Dingen zugeht.

Die dort eingesetzte Cloud-Technologie ist -zumindest bei Platform as a Service (PaaS) und Software as a Service (SaaS)– Anbieter-spezifisch, proprietär und nicht Open Source. Der Auftraggeber kann somit keine echte Kontrolle über die Verarbeitungstätigkeiten haben, d.h. wer Zugriff auf Daten und Code hat und wo diese verarbeitet werden. Ein Wechsel von Anwendungen weg von einem dieser Anbieter ist ein unvorhersagbares Mammut-Projekt – es ist ein Lock-in gegeben.

Mittlerweile sind die Open Source Cloud-Technologien wie Open Stack weit ausgereift, mit ihrer Leistungsfähigkeit sind sie eine echte Alternative zu den kommerziellen US-amerikanischen Diensten. Auch in Deutschland gibt es kommerzielle Anbieter Open Source-basierter Cloud-Lösungen, so dass größere Anwendungen auch außerhalb des eigenen Rechenzentrums betrieben werden können.

Insofern sollten öffentliche Einrichtungen bei Cloud-Technologien von vornherein auf Open Source statt auf proprietäre Lösungen setzen.

Möglicherweise sind die US-amerikanischen Cloud-Anbieter durch Vergaberichtlinien für öffentliche Aufträge davon zu überzeugen, dass sie künftig (auch) auf Open Source setzen (Open Source bedeutet an dieser Stelle, dass der Code transparent ist, die Software jedoch u.U. nur mit Lizenzkosten nutzbar).

Weitere Informationen

 

Vergabekammer BW schiesst übers Ziel hinaus: Ein genereller Ausschluss US-amerikanischer Tochterfirmen ist nicht gerechtfertigt

Behörden-Ausschreibungen für Cloud-Dienste dürfen in Baden-Württemberg nicht an US-amerikanische Tochterfirmen vergeben werden, auch wenn diese in der EU registriert sind.

Offenbar ist die Vergabekammer mit ihrem Beschluss zu weit gegangen und sollte ihn nun revidieren.

Pauschale Verbote sind unangebracht.

„Vergabekammer BW schiesst übers Ziel hinaus: Ein genereller Ausschluss US-amerikanischer Tochterfirmen ist nicht gerechtfertigt“ weiterlesen