Ab in die Wolke?

Cloud Computing ist mehr als ein Modewort oder technischer Hype. Unter dem Einfluss der Digitalisierung und Vernetzung organisiert sich die Wirtschafts- und Verwaltungswelt derzeit vollkommen neu. Breitband-Internetverbindungen, eine verlässliche Verfügbarkeit der Online-Anbindung und etablierte Sicherheitstechnologien haben die Nutzung von Software über Datenleitungen in eine neue Dimension gehoben. Auch für die öffentliche Hand eröffnet das Konzept des Cloud Computing Chancen.

Erhebliche Einsparpotenziale für die öffentliche Hand

Die zentrale Idee des Cloud Computing ist, dass die damit bereitgestellte IT problemlos mit steigenden Anforderungen wachsen und ebenso schnell nach unten angepasst werden kann. Dadurch gewinnt der Nutzer ein Höchstmaß an Flexibilität. Die „atmende“ Struktur dient den internen Abläufen ebenso wie der vereinfachten Interaktion mit Bürgern oder Lieferanten. Auch Verwaltungsvorgänge können zwischen den Beteiligten neu strukturiert und arbeitsteilig flexibler definiert werden. Die IT in der Cloud unterstützt dabei dynamisch und ohne große Investitionen. In finanziell schwierigen Zeiten winken hierdurch nicht zuletzt erhebliche Einsparpotenziale.

Dabei ist Cloud Computing als eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Leistungen nichts grundlegend Neues. Das heute als Cloud bezeichnete Gebilde führt in erster Linie unterschiedliche Konzepte, wie die Bereitstellung von Software (Software as a Service, kurz SaaS), Entwicklungsplattformen (Platform as a Service, kurz PaaS) und technischer Infrastruktur (Infrastructure as a Service, kurz IaaS) über Datenleitungen zusammen. Das entscheidende Merkmal ist dabei die zentrale Bereitstellung von Diensten (Anwendungen, Daten, Plattformen). Diese existierten zwar grundsätzlich schon vor der Cloud. Wesentlicher Unterschied ist aber, dass sich die Ressourcen in der Cloud weitgehend automatisiert anpassen und damit eine deutlich flexiblere Bereitstellung und letztlich auch Bezahlung der jeweils passenden Infrastruktur möglich wird.

Maßgebliche Voraussetzungen für den Erfolg des Cloud Computing sind die fortgeschrittene technische Entwicklung im Bereich breitbandiger Internetverbindungen bei hoher Verfügbarkeit („always on“) zu adäquaten Kosten, wesentlich weiterentwickelte und etablierte Sicherheitstechnologien sowie ein umfangreiches Angebot geeigneter Produkte und Dienstleistungen.

Die über die Cloud angebotenen Dienste sind vielfältig. Anwender können etwa ihre ansonsten lokal zu installierende Software in der Wolke hosten lassen und sie über Datenleitungen nutzen. Oder sie verwenden zentral bereitgestellte Standardsoftware und zahlen nur das, was sie tatsächlich nutzen (sog. „pay per use“). Die oftmals lästige Softwareinstallation vor Ort und die damit verbundenen Stand- und Ausfallzeiten entfallen, denn die Installation auf den Servern erfolgt meist im wahrsten Sinn über Nacht.

Rechtliche Hürden der Cloud-Nutzung

Bei aller Cloud-Euphorie müssen aber gerade bei einem Einsatz in der öffentlichen Verwaltung (verwaltungs-)rechtliche Hürden genommen werden. Dabei muss man stets im Hinterkopf behalten, dass es nicht das eine Cloud Computing-Modell gibt. Neben der bereits beschriebenen Differenzierung nach den Dienstklassen IaaS, PaaS und SaaS, ist für eine rechtliche Betrachtung gerade die Unterscheidung nach Betriebsmodellen von Bedeutung. Diese beschreiben insbesondere den Grad des Vertrauensverhältnisses zwischen Diensteanbieter und Nutzer. Sie bewegen sich in einer großen Bandbreite, angefangen mit reinen betriebs- oder verwaltungsinternen Cloud-Modellen, bei denen die Infrastruktur ausschließlich innerhalb des eigenen Herrschaftsbereichs des Nutzers betrieben wird, bis hin zu offenen Public Clouds, bei denen sich eine Vielzahl in der Regel persönlich unbekannter Nutzer einer unbekannten Serverstruktur und Betreiberanzahl oft auch länderübergreifend gegenübersteht.

Auch ohne eingehende rechtliche Prüfung liegt nahe, dass die letztgenannte Form der Public Cloud für eine Nutzung durch die öffentliche Verwaltung kaum in Frage kommt. Schon im privatwirtschaftlichen unternehmerischen Kontext ist die Public Cloud rechtlich problematisch: Cloud-basierte Angebote sind etwa wegen der Bereitstellung von Arbeitnehmer- und Kundendaten des Cloud-Nutzers in der Regel als Auftragsdatenverarbeitung im Sinne des § 11 BDSG zu qualifizieren. Somit stößt die offene Public Cloud mit ihren unbekannten Serverstandorten nicht erst bei der Frage der Übermittlung personenbezogener Daten ins außereuropäische Ausland (vgl. § 4b Abs. 2 u. 3 BDSG) schnell an Grenzen. Vertragsrechtlich ergeben sich durch eine undurchsichtige Anbieterstruktur und oft komplizierte Anbieter-Nutzer-Beziehungen praktische Probleme. Hinzu kommen noch lizenzrechtliche Fragestellungen bei der Installation von (Fremd-)Software auf den dezentralen und verteilten Systemen. All dies macht eine offene Public Cloud-Nutzung rechtlich kaum mehr vernünftig gestaltbar.

Dies muss erst recht für die öffentliche Verwaltung gelten: Im Lichte des besonderen Vertrauensverhältnisses gegenüber dem Bürger erlangen vor allem die Vorgaben, die sich aus dem Datenschutzrecht ergeben, eine herausragende Bedeutung und verpflichten zum verantwortungsvollen und zurückhaltenden Umgang mit personenbezogenen Daten der Bürger.

In bestimmten Wirtschaftszweigen folgen aus besonderen gesetzlichen Regelungen zusätzliche Anforderungen an Datenschutz und Datensicherheit. Neben Kreditinstituten und Versicherungen betrifft dies insbesondere die berufsrechtlich zur Verschwiegenheit besonders verpflichteten Berufsgruppen, wie etwa Rechtsanwälte, Wirtschaftsprüfer und Steuerberater. Für Letztere ergibt sich zusätzlich nach § 146 Abs. 2 AO die Pflicht, die Buchführungsdaten grundsätzlich im Inland zu speichern, was zudem einer internationalen Public Cloud entgegensteht.

In ähnlicher Weise erschweren spezielle Regelungen für bestimmte Verwaltungsbereiche den Einsatz von Cloud Computing-Modellen. Dies gilt beispielsweise in den Bereichen des Sozialrechts, des Abgaben- und Steuerrechts, des Melderechts sowie in Justiz- und Polizeiverwaltung.

Private Cloud als Alternative

Die damit einhergehende Absage an offene Public Cloud-Modelle für die öffentliche Verwaltung darf aber nicht dahingehend missverstanden werden, dass Cloud Computing insgesamt keine Alternative für den Aufbau einer IT-Infrastruktur in der Verwaltung darstellte.

Denkbar sind etwa Kooperationsmodelle zwischen verschiedenen Verwaltungseinheiten. Der Zusammenschluss von Kommunen in kommunalen Rechenzentren weist in diese Richtung. Möglich und sinnvoll sind aber auch Kooperationen mit privaten Anbietern im Rahmen öffentlich-privater Partnerschaften. Private Anbieter bringen in der Regel umfassendes technisches Know-how und Erfahrung im IT-Sourcing und Cloud Computing mit. So müssen derartige Kompetenzen nicht erst innerhalb der Verwaltung aufwändig aufgebaut werden.

Vor allem hinsichtlich der Themenfelder IT-Sicherheit und Datenschutz sind die Anbieter besonders sorgfältig auszuwählen. Durch geeignete Kriterien bei der Ausschreibung und dem Abschluss verbindlicher Service-Level-Agreements bei der Auftragsvergabe muss sichergestellt werden, dass die strengen Anforderungen der öffentlichen Verwaltung an den privaten Partner weitergegeben werden. Neben Referenzen im öffentlichen Bereich könnte es ein wertvolles Indiz für die Anbieter-Verlässlichkeit sein, wenn bereits Erfahrungen mit den oben genannten besonders sensiblen Wirtschaftszweigen bestehen.

DATEV beispielsweise verfügt über jahrzehntelange Erfahrung bei der Verarbeitung sensibler Daten von Steuerberatern, Rechtsanwälten und Wirtschaftsprüfern, ein umfangreiches Konzept zur Verarbeitung von Auftragsdaten im Rechenzentrum gehört zum Standard. Zudem werden Datenschutz- und Datensicherheitsstandards regelmäßig (re-)zertifiziert.

Fazit

Die Nutzung von Cloud Computing zur Rationalisierung und Flexibilisierung der IT-Infrastruktur in der öffentlichen Verwaltung ist beschränkt und besondere rechtliche Anforderungen sind zu beachten. Offene Public Cloud-Modelle scheiden somit regelmäßig aus. Dagegen sind Private Cloud-Modelle durchaus auch mit privaten Partnern umsetzbar, wenn diese durch geeignete Ausschreibung sorgfältig ausgewählt werden, ein eindeutiger Anbieter-Nutzer-Bezug hergestellt und Datensicherheit und Datenschutz durch vertragliche Regelungen umfassend gewährleistet werden. Die sich daraus ergebenden Restriktionen mindern zwar die Effekte, die die Cloud in Reinform verspricht. Die Potenziale

zur Erhöhung der organisatorischen, infrastrukturellen und nicht zuletzt finanziellen Flexibilität auch gegenüber klassischen Inhouse-Lösungen sind dennoch enorm.

Hinweis der Redaktion: Lesen Sie zum „Megahype Cloud Computing“ auch den Aufsatz von Dr. Michael Rath in Ausgabe 4 des AnwaltSpiegels auf Seite 12.