Bayerns Cloud-Deal: Risiken für Datenschutz und Souveränität

Die Bayerische Staatsregierung plant den Abschluss eines Enterprise Agreements mit Microsoft 365, um Cloud-Dienste in staatlichen Behörden einzusetzen. Der Fachbereich Sicherheit – Schutz und Zuverlässigkeit der Gesellschaft für Informatik e.V. (GI) warnt davor, diesen Schritt ohne gründliche Prüfung zu gehen.

Vor einer endgültigen Entscheidung sollte das Cloud Souvereignty Framework der Europäischen Kommission verbindlich angewendet werden, da es zentrale Kriterien für eine souveräne und widerstandsfähige digitale Infrastruktur formuliert.

Der GI-Fachbereich betont, dass pragmatische Lösungen zwar oft notwendig seien, jedoch nicht zu einer kritischen Abhängigkeit von einzelnen internationalen Großanbietern führen dürfen. Eine Direktbeauftragung eines US-Hyperscalers ohne Ausschreibung widerspreche den Zielen der Bundesregierung und der EU, technologische und operative Souveränität zu stärken. Insbesondere die sichere Speicherung und Verarbeitung sensibler Daten sowie eine unabhängige Verfügbarkeit von Software und Updates seien gefährdet.

Die GI fordert daher, bei der Modernisierung der staatlichen IT in Bayern auf langfristige Resilienz zu achten und europäische Lösungen stärker einzubeziehen. Gerade bei personenbezogenen Daten müsse verhindert werden, dass staatliche Stellen in ein schwer kontrollierbares Abhängigkeitsverhältnis geraten. Die GI verweist darauf, dass sie sich bereits seit Jahren für Open-Source-Technologien und unabhängige Dateninfrastrukturen einsetzt.

 

Offener Brief:

Zusätzliche Aufmerksamkeit erhält ein offener Brief, in dem mehrere Organisationen – darunter auch die die Gesellschaft für Informatik e.V. – eine verlässliche Finanzierung zur Stärkung digitaler Souveränität in der Verwaltung fordern, da entsprechende Mittel im Bundeshaushalt 2023 fehlten.

Das sind die Unterzeichner:

  • Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.
  • Vitako – Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e.V.
  • Free Software Foundation Europe e.V. (FSFE)
  • #cnetz – Verein für Netzpolitik e.V.
  • VOICE – Bundesverband der IT-Anwender e.V.
  • SPRIN-D – Bundesagentur für Sprunginnovationen
  • D64 – Zentrum für Digitalen Fortschritt e.V.
  • Gesellschaft für Informatik e.V. (GI)

 

Sicht aus Datenschutz und IT-Sicherheit

Aus Sicht des Datenschutzes und der IT-Sicherheit entstehen erhebliche Risiken, wenn sensible Informationen, die hoheitlich erhoben wurden, in externen US-Cloud-Umgebungen verarbeitet und gespeichert werden, die nicht vollständig der Kontrolle deutscher Behörden unterliegen. Dies betrifft besonders auch vertrauliche Daten, die Geheimhaltungsstufen unterliegen und z. B. als Verschlusssachen „Nur für den Dienstgebrauch“ (VS‑NfD) eingestuft sind. Für solche Informationen sind streng abgesicherte Systeme und geschultes Personal erforderlich, die deutschen Sicherheits- und Geheimschutzvorgaben eindeutig entsprechen.

Betroffen und gefährdet könnten auch personenbezogene Unterlagen sein, die Berufsgeheimnissen unterliegen oder von Berufsgeheimnisträgern erstellt wurden, z. B. ärztliche Gutachten, die behördlich verarbeitet werden. Werden diese bei ausländischen Cloud-Anbietern verarbeitet, ist die Durchsetzbarkeit deutscher Schutzgesetze – etwa der Vertraulichkeitspflichten und Strafvorgaben nach StGB § 203 – nicht gewährleistet und können in der Regel nicht umgesetzt werden.

Zusätzlich können ausländische Rechtsnormen wie der US Cloud Act dafür sorgen, dass gespeicherte Daten selbst bei Speicherung innerhalb der EU unberechtigt und massenhaft zur Kenntnis genommen werden. Stephen Vladeck (University of Texas School of Law) hat hierzu bereits 2021 ein Rechtsgutachten für die Datenschutzkonferenz (DSK) erstellt und stellt darin klar, dass der US Cloud Act geschaffen wurde, um der US-Regierung zu erlauben, auf Daten zuzugreifen, selbst wenn diese außerhalb der USA gespeichert sind. Dadurch besteht das Risiko, dass Vertraulichkeit, Integrität und Verfügbarkeit nicht verlässlich gewährleistet werden, obwohl nationale Gesetze und EU-Vorgaben dies vorsehen.

Behörden und Kommunen müssen eine rechtssichere Datenverarbeitung und Handlungsfähigkeit sicherstellen. Eine souveräne, national oder europäisch kontrollierte IT-Infrastruktur bleibt daher aus unserer Sicht zwingend notwendig. Die Nutzung und Abhängigkeit von US-Cloud-Dienstleistern ist daher mit all den damit verbundenen Problemen kaum möglich. Der aktuelle Angemessenheitsbeschluss gemäß Art. 44 DSGVO (Data Privacy Framework, DPF) könnte als Rechtsgrundlage zur Datenübermittlung an US-Cloud-Dienstleister durch eine bevorstehende Klage erneut sehr schnell ungültig werden.

 

Resümee

Die beschriebenen Risiken bestehen nicht nur für die Bayerische Staatsregierung, sondern auch für deutsche Unternehmen, die ebenfalls häufig US-Cloud-Anbieter nutzen. Es ist entscheidend, Datenschutz und IT-Sicherheit professionell zu gestalten und alle Risiken abzuwägen. Unsere Dienstleistungen helfen Ihnen, sensible Daten zuverlässig zu schützen und rechtssicher zu verarbeiten.

 

Unsere Angebote für Sie:

  • Durchführung interner Audits zur Vorbereitung auf Zertifizierungsaudits
  • Beratung und Umsetzung von  DSGVO und BDSG
  • Beratung und Umsetzung ISO 27001, TISAX und NIS-2
  • Beratung bei Risikomanagement, BIA, BCM und Lieferkettensicherheit
  • Schulungen für Mitarbeiter zur Audit- und Sicherheitskompetenz

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie zu
Audits, Datenschutz und IT-Sicherheit.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

GI-Fachbereich: Stellungnahme zu Bayerns Plänen mit Microsoft
https://gi.de/meldung/gi-fachbereich-sicherheit-bezieht-stellung-zu-bayerns-plaenen-mit-microsoft

Offenen Brief für mehr digitale Souveränität
https://gi.de/meldung/gi-unterzeichnet-offenen-brief-fuer-mehr-digitale-souveraenitaet-durch-open-source

GI Beitrag: Investitionen für unsere Digitale Souveränität
https://gi.de/wahl2025/infrastruktur-investitionen-fuer-unsere-souveraenitaet

Wesentliche Befunde des Gutachtens von Stephen Vladeck vom 15.11.2021
https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/20220125_dsk_vladek.pdf

Fragen und Antworten zur ISO/IEC 27001
https://www.tec4net.com/web/category/wissen-27001/

NIS-2-Anforderungen sicher umsetzen – mit der tect4net GmbH
https://www.tec4net.com/web/it-security/

Auditdurchführung nach ISO 19011
https://www.tec4net.com/web/iso-19011/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com