Behörden und die Cloud

transferring between two laptopsBei der Nutzung von Online-Angeboten müssen Kommunen strenge rechtliche Vorgaben beachten. Informationen von Bürgern wie Namen, Adressen, Reisepassnummern oder schlicht Angaben aus Grundbüchern werden als personenbezogene Daten von Datenschutzgesetzen geschützt. Soweit es sich bei den Daten um Informationen aus bestimmten Vertrauensverhältnissen handelt, stehen einzelne Handlungen mit diesen sogenannten „Geheimnissen“ im Zusammenhang mit der Nutzung von Online-Angebote stehen sogar unter Strafe.

Wenn ein Amtsträger Geheimnisse an andere „offenbart“ und dadurch das Vertrauen der Bürger in die Geheimhaltung und in die Funktionsfähigkeit des Staates verletzt, kann er sich nach § 203 Abs. 2 StGB sowie nach § 353b Abs. 1 StGB strafbar machen. Als Täter kommen wohl fast alle Mitarbeiter in Behörden in Betracht, die mit entsprechenden Geheimnisnissen der Bürger in Berührung kommen. Strafbar kann es bereits sein, wenn der Amtsträger die Möglichkeit einer Kenntnisnahme für einen unbefugten Dritten schafft, ohne dass der Dritte die Geheimnisse tatsächlich zur Kenntnis genommen hat. Nutzt ein Behördenmitarbeiter eine Cloud, könnten dadurch Daten mit darin enthaltenen Geheimnissen unter Umständen dem Cloud-Anbieter oder seinen Mitarbeitern zur Kenntnis gelangen. Um einem Strafbarkeitsrisiko zu begegnen und dennoch Angebote aus der Cloud in Anspruch nehmen zu können, ist es notwendig, die Möglichkeit der Kenntnisnahme der Bürgerdaten zu verhindern.

Soweit Daten beim Cloud-Anbieter nur gespeichert werden sollen, beispielsweise weil ein Cloud-Dienst als Behörden-Archiv genutzt werden soll, kann mithilfe der behördenseitigen Verschlüsselung die Kenntnisnahme verhindert werden – die Tathandlung der unbefugten Offenbarung liegt dann nicht vor. Sollen aber IT-Lösungen aus der Cloud genutzt werden, die eine Datenverarbeitung betreffen oder Kommunikation und Datenzugriffe anderer Behörden ermöglichen oder gar die Bürgerbeteiligung fördern sollen, ist die monopolare Verschlüsselung durch die öffentliche Verwaltung nicht möglich – die Daten müssen unverschlüsselt vorliegen. Um dennoch die strafbare Offenbarung von Geheimnissen zu vermeiden, müssen IT-Lösung genutzt werden, bei denen die Daten oder Metadaten zwar in unverschlüsseltem Zustand verarbeitet werden, die Möglichkeit der Kenntnisnahme der in den Daten enthaltenen Geheimnisse durch den Cloud-Anbieter oder seine Mitarbeiter aber technisch dennoch ausgeschlossen ist.

Behörden sind beim Cloud Computing daher über die strengen Anforderungen des Datenschutzrechts hinaus verpflichtet, spezielle Cloud-Anbieter mit besonderen technischen Lösungsansätzen auszuwählen, die technisch eine Kenntnisnahme von Dateninhalten auch durch ihre eigenen Mitarbeiter ausschließen können.