Diese Meldung sorgte Anfang März dieses Jahres für öffentliche Aufregung: Die deutsche Bundespolizei speichert für die Aufnahme von Körperkameras (Bodycams), Daten in Amazons AWS-Cloud. Nicht nur die Tagesschau berichtete am 3. März darüber, sondern u.a. auch die Neue Osnabrücker Zeitung (NOZ) und der Nachrichtendienst heise online.

Das Bundespolizeipräsidium teilte der NOZ als Begründung mit, dass derzeit noch keine staatliche Infrastruktur zur Verfügung stehe, die die Anforderungen erfülle. Amazon sei mit AWS gegenwärtig der einzige Anbieter in Deutschland, der eine entsprechend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Cloud bereitstelle. Das Bundesinnenministerium verwies darauf, dass dabei deutsche Datenschutzstandards eingehalten würden und die Daten verschlüsselt auf Servern in Frankfurt am Main gespeichert seien.

In diversen Berichterstattungen gab es jedoch einige Ungenauigkeiten, zum Beispiel über die Begriffe „Testat“ und „Zertifizierung“. Für Landesbehörden und Kommunalverwaltung gelten, bezogen auf die Informationssicherheit, noch besondere rechtliche Pflichten, die es zu beachten gilt.

Als Bundesbehörde unterliegt die Bundespolizei den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus § 8 Abs. 1 S. 1 BSIG. Für die Nutzung von externen Cloud-Diensten hat das BSI unter anderen das BSI-C5-Testat als eine Voraussetzung für Anbieter festgelegt, die Bundesbehörden Leistungen aus der Public Cloud anbieten.

Entscheidend ist, dass dies nur ein Testat und keine Zertifizierung ist, da dieses Testat auf der bestehenden Zertifizierung zur Informationssicherheit aufsetzt.

Für Behörden, die keine Bundesbehörden sind, sind die Standards des BSI keine Verpflichtung. Sie werden aber etwa im Bereich der Verschlüsselung oder der Archivierung als Stand der Technik angesehen. Für die externe Nutzung von Cloud-Diensten hört man aus dem BSI, dass eine Nichtbeachtung des Standards, der auf das BSI-C5-Testat verweist, bei der Auswahl von Dienstleistern etwa von Kommunen teilweise als grob fahrlässig im Hinblick auf die rechtlichen Pflichten zur Informationssicherheit angesehen werden kann.

Schaut man auf die Anbieter, die bereits Testate haben sind dies u.a.:

  • Microsoft Deutschland Cloud (abgekündigt)
  • Microsoft für Azure und Office 365 für den Region Deutschland (angekündigt)
  • AWS (Amazon) für den Standort Frankfurt
  • Alibaba für die Rechenzentren in Frankfurt und Singapur
  • Google für Google Cloud und GSuite weltweit
  • IBM

und aus Europa etwa

  • Cancom
  • Pironet
  • T-Systems
  • Fabasoft

Aus dieser Liste wird ersichtlich, dass der formal beste Cloud-Anbieter Google ist.

Im konkreten Fall wird die Lösung der Bundespolizei gleich mit einer Cloud angeboten, sodass die Geräte umfassendem Management unterliegen und die strengen Vorgaben aus § 27a BPolG (Bundespolizeigesetz) erfüllt werden können. Gleichzeitig wäre, soweit die Verschlüsselung der Daten richtig implementiert worden ist und die Vernichtungs-/Löschpflichten auch die verschlüsselten Daten erfassen, kaum ein Einwand gegen die Cloud durchgreifend.

Kommunen sollten Ihre vertrauten und bewährten regionalen externen IT-Dienstleister anhalten, die Nachweisbarkeit der Informationssicherheit zu verbessern, damit diese künftig nicht bei Ausschreibungen gegenüber den großen Anbietern den kürzeren ziehen. Art. 11 Abs. 1 S. 1 BayEGovG hat die Umsetzung von IT-Sicherheit als Aufgabe für fast alle Behörden verpflichtend gemacht. Etwa in Ausschreibungen aus dem Hochschulbereich waren BSI-C5-Testate bereits Anforderung für Rechenzentren der Dienstleister, auch um die Anforderungen gerade bei besonders kritischen Diensten aus dem BayEGovG zu erfüllen.

Autor: Johannes Nehlsen, Stabstelle IT-Recht der bayerischen Universitäten und Hochschulen

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more
    Hinweisgebersysteme müssen eingerichtet werden

    Hinweisgebersysteme müssen eingerichtet werden

    Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines...

    read more
    Mitbestimmung im virtuellen Raum

    Mitbestimmung im virtuellen Raum

    Die Einführung von Software und Diensten erfolgt regelmäßig, um einen dienstlichen oder geschäftlichen Zweck zu erreichen. Dazu werden IT-Projekte aufgesetzt, die sich unterschiedlicher Hilfsmittel bedienen. In der aktuellen Corona-Krise dominieren Projekte zur...

    read more