Public Clouds und der „Public Sector“ tragen fast den gleichen Namen, dennoch könnten die beiden Begriffe in Europa kaum unterschiedlicher sein. Dabei beruht die hinreichend verfahrende Situation schon fast auf Gegenseitigkeit. Während Cloud Provider den Bedarf der öffentlichen Verwaltung jahrelang nicht beachtet haben, herrschen bei vielen Entscheidungsträgern und CIOs in Behörden und Ämtern häufig noch immer falsche Vorstellungen davon, was ein Cloud Provider eigentlich ist und wie er sich von einem Rechenzentrum unterscheidet. Dazu kommt noch eine traditionell vorsichtige Taktik der Behörden in Bezug auf die Daten der Bürger. Während die Industrie in Europa seit mehr als 10 Jahren der öffentlichen Cloud positiv gegenübersteht und seine Anwälte damit beauftragt gemeinsam mit den Cloud Providern herauszufinden, welche Vorteile von öffentlichen Clouds für das Unternehmen nutzbar sind und wie, geht die öffentliche Hand den entgegengesetzten Weg. Hier sehen Datenschützer und Anwälte hauptsächlich ihre Aufgabe darin, den CIOs und Verwaltungsleitern zu vermitteln, was sie NICHT nutzen können. In den meisten Fällen hat dies eben dazu geführt, dass die Vorteile von Public Clouds, wie agile Anwendungsentwicklung oder Cloud–Native–Orchestrierung von PaaS-Diensten, gar nicht im Public Sector ankommen.
Letztlich hat die Pandemie auch noch die Erwartungen der Bürger an eine Digitalisierung des Staates schlagartig erhöht. Egal ob es um die Digitalisierung der Bildung oder so simple Dinge wie die Vergabe von Impfterminen geht. Die Zahl der Bürger, die den meisten Europäischen Staaten ein „digitales Totalversagen“ attestieren, war schon vor der Pandemie bedrohlich hoch: Besonders die Wähler von morgen im Alter zwischen 18 und 29 Jahren haben weit überdurchschnittlich mit 90 % schon digitale Dienste des Staates genutzt, aber nur 11 % waren in einer Umfrage von Accenture 2015 zufrieden damit. Der aktuelle 2020 eGovernment Monitor zeigt auch nach dem Corona Lockdown immer noch nur eine kleine Bekanntheit von 18 % (26 %) der digitalen Verwaltungsabläufe in Deutschland (Österreich), aber eine vernichtend schlechte Nutzerakzeptanz von nur 5 % in Deutschland bzw. 10 % in Österreich.
Cloud ist nicht gleich Cloud. Schon „traditionell“ etabliert sind die drei Kategorien Infrastruktur-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Die Abbildung zeigt die Arbeitsverteilung zwischen Cloud Provider und Kunden auf den drei Ebenen. Während bei vielen Wirtschaftsunternehmen alle drei Typen munter gemischt werden, ist hier für den öffentlichen Sektor genauer zu differenzieren: 
Wo sind die Daten und wer hat Zugriff?
Betrachtet man den Datenschutz positiv – also unter der Prämisse,wie etwas möglich ist, und nicht unter der Prämisse,warum etwas zu vermeiden ist,–stellen sich schnell zwei grundsätzliche Themenblöcke heraus, die wir hier auch bewusst mit den englischen Begriffen behandeln, falls man es eben mit englischsprachigen Nutzungsbedingungen einzelner Anbieter vergleichen möchte.
- Data-Residency – Wo sind die Daten gespeichert? Nach der Homogenisierung des europäischen Datenschutzes mit der DSGVO spielt es, auch nach Aussage von auf dem Gebiet führenden Juristen gegenüber Cloudflight, keine Rolle mehr in welchem EU-Land die Daten tatsächlich liegen. Ob also Behörden in Österreich ihre Daten im eigenen Land, in Deutschland oder in Irland lokalisieren, ist irrelevant, da der EU-Datenschutz nationale Anforderungen ersetzt hat.
- Administrative Jurisdiction – In welchem Rechtsraum findet die Administration statt? Die Tatsache, dass die Daten in der EU gespeichert sind, heißt nicht, dass nur Mitarbeiter aus der EU Zugang zu diesen Daten haben oder sie im europäischen Rechtsraum handeln. Gerade bei Internationalen Anbietern, werden Systeme ja rund um die Uhr aus unterschiedlichen Ländern administriert. Ob und wie Daten in der EU von außerhalb erreichbar sind, beschreiben Gesetze, Grundsatzurteile und Abschnitte in den Verträgen. Eine Vereinfachung dieser Rechtslage hatte das EU-US-Privacy-Shield Abkommen (https://www.datenschutz.org/privacy-shield ) beabsichtigt, welches jedoch am 16. Juli 2020 vom Europäischen Gerichtshof (EuGH) für unwirksam erklärt wurde. Die großen Anbieter sind deshalb wieder auf die älteren sogenannten EU-Muster-Vertragsklauseln zurück gegangen. Mit diesem Konstrukt verpflichtet sich ein Anbieter dazu, dass sich alle Mitarbeiter und Subunternehmer, die potenziell Zugang zu Daten oder Meta-Daten haben, an den EU-Datenschutz halten – egal in welchem Land oder Rechtsraum sie sich befinden.
Tatsächlich wurde die Frage der Datenspeicherung (Data Residency) schon vor einigen Jahren von allen drei amerikanischen Hyperscalern – also den schnell wachsenden Anbietern Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsofts Azure – klar gelöst. Alle haben Rechenzentren in der EU und bieten sogar alle drei Kategorien (IaaS, PaaS, SaaS) dort an. Mit Bezug auf den Rechtsraum der Administration bieten die drei großen Clouds momentan die EU-Muster-Vertragsklauseln. Kann eine öffentliche Verwaltung oder Behörde diesem vagen Rechtskonstrukt nun trauen? Tatsächlich ist dies der Hauptkritikpunkt der Datenschützer. Die Antwort liegt wieder im Unterschied zwischen IaaS, PaaS und SaaS.
Grünes Licht für IaaS-Dienste in der öffentlichen Verwaltung – selbst für vertrauliche Daten
Für IaaS-Dienste, also virtuelle Rechenleistung und einfache Speicherdienste sehen wir die Situation durchaus positiv.
- IaaS Provider haben im Idealfall gar keinen Zugriff auf irgendwelche Daten. In der traditionellen IT hat ein Betreiber eines Servers auch immer dem physischen Zugriff zu den Daten. In modernen Cloud Infrastrukturen ist dies aber nicht so! Besondern AWS und GCP kapseln die eigentlichen Kundendaten und ganze virtuelle Maschinen in eine moderne Hardware-Verschlüsselung (siehe AWS Nitro Enclaves oder GCP Confidential Computing). Damit kann der Cloud Provider also nachweisen, dass er rein technisch gar keine Möglichkeit hat, Daten zu lesen, egal von welchem Ort.
- Die volle Verantwortung und Kompetenz liegt bei der Behörde. Um diesen hohen Sicherheitslevel aber überhaupt zu verstehen und die umfangreichen Tools der Anbieter richtig zu nutzen, muss sichdieIT-Mannschaft der Behörde sehr intensiv mit der Materie auskennen oder ein Cloud-Native-Operations-Unternehmen aus der EU wie Cloudflight zur Hilfe holen. Der Cloud Provider kann hier bewusstkeine weiteren Dienste zur Verfügung stellen. Würde er dies machen, würde er wieder Kenntnis zumindest von Metadaten erhalten.
Man muss also den EU-Muster-Vertragsklauseln gar nicht trauen, weil der CloudProvider zwar die virtuelle Infrastruktur zur Verfügung stellt, aber mit keinem einzigen Mitarbeiter – egal aus welchem Land – einen technischen Zugriff auf Daten hat, wenn die angebotenen Private-Key und Verschlüsselungswerkzeuge richtig zum Einsatz kommen!
Besonders in Deutschland und in Frankreich ist im Moment der Ruf nach sogenannter Datensouveränität groß und wird mit der Gaia-X initiative national gefördert. Diese Selbstkontrolle über alle Daten kann eine Behörde mit einer modernen IaaS-Infrastruktur und den genannten Tools schon heute vollständig erreichen, obwohl die Daten physisch in einem Rechenzentrum liegen, dass einem Amerikanischen Provider gehört. Der administrative Rechtsraum – also die Gruppe der Menschen die Zugang zu Daten haben – wird dann nämlich durch die Behörde und nicht durch den Cloud Provider bestimmt. Der Aufwand dies zu verstehen, ist tatsächlich auch nicht größer als die neuen Methoden von Gaia-X zu verstehen, die bis heute leider noch nicht operativ verfügbar sind. (Siehe unseren aktuellen Artikel „Warum GAIA-X bis heute nicht erfolgreich ist“).
Der Aufwand,IaaS-Dienste im öffentlichen Sektor einzusetzen,lohnt sich dennoch, wenn es um moderne Anwendungen geht, die beispielsweise über den Tag hinweg unterschiedliche Auslastung haben, wie alle Bürger-Self-Service „eGovernment“ Anwendungen. Sobald die Nutzerzahl kleiner wird, schmilzt die erzeugte Infrastruktur weg und entsteht innerhalb von Minuten wieder neu, sobald die Leistung nötig ist. Dies kann signifikante Kostenersparnisse bringen und gleichzeitig deutlich bessere Nutzerzufriedenheit.Beispielsweise nutzt die Deutsch Bank in dieser Weise die Google GCP selbst für BAFIN regulierte Finanzdaten.Es bringt aber noch keine größere Agilität bei der Erstellung neuer Anwendungen.
PaaS-Dienste bringen Innovationsgeschwindigkeit für bestimmte Daten
Die PaaS-Dienste unterscheiden sich erheblich von reiner Infrastruktur. Hier übernimmt der Cloud Provider die komplette technische Administration wie in der Abbildung angedeutet. Beispiele sind Datenbanken-as-a-Service oder das dynamische Function Computing. Viele Moderne PaaS-Dienste bei den Hyperscalern sind heute auch schon verschlüsselt, so dass der Cloud Provider die Inhalte nicht sehen könnte, selbst wenn er dies, entgegen der Verträge, probieren würde. Um den Dienst aber überhaupt sicher betreiben zu können, müssen Meta-Daten verarbeitet werden. Beispielweise kann ein CloudProvider einen DDOS-Angriff auf seinen PaaS-Dienst nur abwehren, indem er IP-Nummern von Zugriffen verarbeitet und kriminelleBot-Nets blockiert. PaaS-Dienste von Hyperscalern in der öffentlichen Verwaltung oder in der Bildung sind also, pauschal gesagt, dann eine gute Option, wenn:
- Daten im PaaS-Dienst verschlüsselt sind. Leider bringt dies auch große Einschränkungen mit sich. Verständlicherweise kann eine Datenbank verschlüsselte Daten nicht performant durchsuchen oder indizieren. Ein modernes Service Design ist hier die Lösung. So können personenbezogene Datenteile in IaaS-Diensten verarbeitet werden, während größere Volumen von Datenmengen auf PaaS-Diensten mit geheimen, aber im Dienst lesbaren Schlüsseln liegen. Anonymisierung und Pseudonymisierung sind die Fachbegriffe. Nur eine Applikation auf dem IaaS-Dienst kennt die Beziehung zwischen diesen Schlüsseln und echten Personen-Identitäten.
- Die EU-Muster-Vertragsklauseln für die Verarbeitung der Meta-Daten ausreichen.Tatsächlich geht hier mehr, als man zunächst denkt. Praktisch jeder Tourist, der sein Smartphone in irgendeinemEU-Land außerhalb seines Heimatlandes einschaltet, teilt bereits Meta-Daten mit einem Roaming-Mobilfunknetz auf diesem Niveau.Die Verarbeitung von Meta-Daten durch Dritte hat also schon eine weite Akzeptanz bei Bürgern.
Um PaaS-Dienste nutzen zu können muss der CIO die Datenschützer und die Datenbank-Designer zusammenbringen. Gelingt es den kleineren Teil der sehr sensiblen Daten vom größeren Teil der verschlüsselbaren bzw. weniger sensiblen (Meta-)Daten zu trennen, können hierfür die PaaS-Dienste genutzt werden. Hintergrund Datenklassifikation, schützenswerte Daten laut DSGVO
Besonders wichtig ist einerseits die Unterscheidung von Metadaten und User generierten Inhalten (user generated contents), andererseits die klare Abgrenzung zwischen personenbezogenen, sensiblen und anonymisierten Daten. Metadaten sind beschreibende Daten wie bspw. Netzwerkinformationen (IP-Adressen, Uhrzeit, Sendeprotokolle etc.), während user generated contents die vom Benutzer erstellten Inhalte wie bspw. Texte oder Nachrichten selbst darstellen.
Schützenswerte Daten laut der EU–Datenschutzgrundverordnung (DSGVO) sind personenbezogene und sensible Daten. Personenbezogene Daten sind alle Daten, die jemanden identifizieren (Name, Adresse, Geburtsdatum) oder mit relativ wenig Aufwand identifizierbar machen (bspw. KFZ-Kennzeichen, IBAN etc.). Sensible Daten, oder auch besondere Kategorien personenbezogener Daten genannt, sind personenbezogene Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen oder biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.In der Realität werden viele CIOs, IT-Leiter und Datenschützer überrascht sein, wie groß der Anteil der Daten ist, der transient-flüchtig, nicht personenbezogen oder verschlüsselbar ist. Nutzung von PaaS-Diensten hierfür bringt tatsächliche eine enorme Agilität bei der Erstellung neuer eGovernment-Anwendungen. Zudem ist dann für die Orchestrierung von cloud-nativen PaaS-Diensten weit weniger tiefes technisches Detailwissen nötig als bei der gewissenhaften Nutzung von IaaS-Diensten. Dies bringt letztlich die Innovationsgeschwindigkeit der Softwareentwicklungaus der freien Wirtschaft in den Public Sektor.
SaaS-Dienste bleiben das Sorgenkind der Öffentlichen Verwaltung und Bildung
SaaS-Dienste sind komplette Anwendungen wie Microsofts Office 365 oder das konkurrierende Google Workspace Angebot. Zu SaaS gehören aber auch komplette Business-Anwendungen wie das Customer-Relationship-Management (CRM) von Salesforce.com, um nur ein Beispiel zu nennen. Wie die Abbildung bereits nahelegt, hat hier der Anwender praktisch keine Verantwortlichkeiten oder Pflichten außer den einigen Konfigurationseinstellungen. Die gesamte Infrastruktur, darunterliegende Plattform und Software-Anwendung liegen komplett im Management des SaaS Providers.
Damit diese SaaS-Anwendungen richtig funktionieren können, müssen alle Daten in der Cloud liegen. Auch wenn inzwischen alle seriösen amerikanischen Anbieter dem Wunsch der Datenspeicherung in der EU nachkommen konnten, ist die SaaS-Anwendung heute nur nutzbar, wenn man den EU-Muster-Vertragsklauseln traut. Um klarzumachen auf welchem hohen Niveau wir uns bereits befinden, hier die Fakten im Überblick:
- Office 365 und Google Workspace halten sich extrem gründlich an den Europäischen Datenschutz gemäß der DSGVO.
Google: https://cloud.google.com/security/gdpr?hl=de
Microsoft: https://www.microsoft.com/de-de/trust-center/privacy/gdpr-overview - Google und Microsoft sind auf dem höchstmöglichen Level zertifiziert. Dies hat inzwischen ein Niveau erreicht, dass kaum durch lokale Cloud Provider erreichbar ist. (https://cloud.google.com/security/compliance)
- Microsoft und Google gewähren statistische und Einzelfall-Transparenz und haben feste Prozesse für Anfragen von Strafverfolgungs- und Regierungs-Behörden. Dazu zählen Anfragen vom NSA, CIA und FBI genauso wie von Interpol. Gemäß der EU-Muster-Vertragsklauseln werden Anfragen von Geheimdiensten nur aus dem entsprechenden Rechtsraum zugelassen. So lehnt Google beispielsweise grundsätzlich Anfragen von allen Behörden außerhalb von Interpol zu Workspace Daten ab, die von EU-Kunden sind, um den EU-Muster-Vertragsklauseln zu genügen. Mögliche Zugriffe durch Interpol werden im Einzelfall dem Kunden transparent gemacht und man hat VOR dem Zugriff die Möglichkeit in seinem Rechtsraum dagegen zu klagen. Trotzdem kann es zu richterlichen Einzelentscheidungen aus dem US-Rechtsraum kommen, die auch EU-Daten betreffen. Beide SaaS-Anbieter veröffentlichen regelmäßig Statistiken und diese Einzelfälle sowie eine genaue Prozessbeschreibung (siehe https://transparencyreport.google.com/ und https://privacy.microsoft.com/de-de/privacy-report).
- Microsoft und besonders Google trennen ihre Workspace Produkte deutlich von anderen Geschäftsmodellen – insbesondere von Werbung. Google ist bekannt für sein Werbebusiness, dass immer noch fast zehnmal so groß wie das kommerzielle CloudBusiness für Unternehmen und die öffentliche Verwaltung ist. Deshalb trennt Google ganz besonders sein CloudBusiness deutlich vom Werbebusiness. Seit 15 Jahren gibt es keinen einzigen dokumentierten oder Cloudflight bekannten Fall, in dem Daten aus Gmailoder Google Docs(jetzt Teil von Google Workspace) zur Profilierung von Personen oder gar zu Werbetechnischen Zwecken missbraucht wurden.Genausowenig bekommt man von Microsoft plötzlich Werbung für einen SurfacePro, auch wenn man beispielweise seiner IT-Abteilung via Office 365 Mail um einen neuen PC bittet. Die Verträge schließen hier sehr explizit eine Einsicht durch die Unternehmen in die Daten und natürlich die Weitergabe an Dritte aus.
Dieser Stand an Transparenz ist schon auf einem extrem hohen Niveau, dass in Deutschland kaum ein kommunales oder Landesrechenzentrum erreicht. Einige Landesrechenzentren in Deutschland (z. B. das Belwue in Baden-Württemberg)haben weder Basis-Zertifizierungen (ISO 27001) noch eine solche Transparenzverpflichtung. Ein Datenaustausch mit Behörden des gleichen Landes wie dem LKA, ist in den Nutzungsbedingungen eingeräumt und muss nicht einmal dem betroffenen Bürger mitgeteilt werden. Besonders mit dem Hintergrund der polizeilichen Datavorratsspeicherung, die in Bayerneinige Monate legal war, sehen progressive Datenschützer das Restrisiko für Missbrauch durch staatliche Sicherheitsbehörden bei amerikanischen Hyperscalerndeutlich kleiner als bei staatlichen Rechenzentren in Deutschland.
Die meisten Wirtschaftsunternehmen trauen den EU-Muster-Verträgen inzwischen undempfehlen dies auch für öffentliche Anwendungen wie den Bildungssektor.
Um sehr deutlich zu sein, den EU-Muster-Verträgen nicht zu trauen, bedeutet dem Cloud Provider fahrlässigen oder gar vorsätzlichen Vertragsbruch zu unterstellen. Eine fahrlässige Verletzung wäre beispielweise der Fall, wenn ein Google Mitarbeiter außerhalb der EU – z. B. inden USA oder der Schweiz –Daten aus der EU stiehlt und verkauft. Aufgrund der Vertragslage müsste er sich an die EU-Gesetze halten. Aufgrund der Rechtslage hat aber die Europäische Strafverfolgung nur beschränkte Möglichkeiten.
SaaS Wunschliste – Was Cloud Provider für die öffentliche Verwaltung machen sollten
Man sieht,dass die genannten Beispiele schon sehr konstruierte Fälle sind und extrem selten oder noch nie vorkamen.Dennoch reicht allein diese theoretische Möglichkeit unter Bruch aller Verträge, für die Datenschützer die SaaS-Modelle nicht (mehr) für den öffentlichen Bereich wie das Gesundheitswesen, polizeiliche Ermittlungsdatenund sogar den Bildungssektor zu empfehlen.Dabei ist der fehlende Schritt sehr klar wenn auch technologisch herausfordernd:
- Administrative EU-Fence – Ein virtueller Zaun für den Administrativen Zugriff. Darunter versteht man die technische Einschränkung des Zugriffs durch administrative Personen auf Systeme die EU-Daten enthalten.
Das hört sich einfach an, wenn man an das Hosting von traditionellen Anwendungen denkt. Besonders Cloud Native Anwendungen wie Google Workspace sind aber nicht aus traditionellen Anwendungen entstanden (wie beispielsweise Microsoft OneDrive aus dem Sharepoint-Server) und lassen sich gar nicht einfach administrativ in Regionen trennen. Hier betreut zum Beispiel ein Team rund um den Globus das File-System, ein anderes das Identitätsmanagement und ein drittes bestimmte Anwendungen in allen Rechenzentren. Alle Teams für den 24/7 Betrieb in einer Region komplett vorzuhalten ist nicht nur signifikant mehr Aufwand, sondern würde auch das komplette Betriebskonzept globaler Cloud Providerin Frage stellen. Dabei werdennormalerweise alle Standorte mit nur wenigen Minuten oder Stunden Verzögerung mit der gleichen Software versorgt.Jeder einzelne der eine Milliarden Google Workspace Nutzer auf der ganzen Welt nutzt exakt die gleiche Software-Version.
Der öffentliche Sektor sollte im Gespräch mit den Hyperscalern bleiben
Cloudflight verfolgt den Cloud-Markt seit mehr als 15 Jahren. Letztlich sind besonders die drei erfolgreichsten amerikanischen Unternehmen AWS, Google und Microsoft extrem kundengetrieben. Deshalb sind sie so erfolgreich. Das mag vielen in Europa nicht so erscheinen, weil hierzulande die Nutzung und damit der Einfluss auf die Marktführer immer noch vergleichbar klein ist. Um einen Bedarf an diese Firmen zu kommunizieren, muss ein Kunde oder Interessent also überhaupt im Dialog sein. Zur sicheren Nutzung von PaaS- und SaaS-Lösungen aus der Cloud fehlt nur noch sehr wenig. Würde ein ganzer Staat mit Microsoft oder Google verhandeln, oder klare rechtliche Vorgaben machen, würden weitere Leistungen wie ein „Administrative EU-Fence“sehr wahrscheinlich auf den Roadmaps landen.
Ältere Leser werden sich noch daran erinnern,dass Microsoft vor 15+ Jahren mit massiver Marketing-Macht versuchte seinen Internet-Explorer mit dem Windows Betriebssystem untrennbar zu verbinden. Zu Recht haben besonders öffentliche Verwaltungen mit Linux-Desktops Alternativen gesucht – ähnlich wie Deutschland heuteGaia-X in der Cloud. Gleichzeitig war aberdie konstruktive Diskussion mit Microsoft nicht abgebrochen. Eine deutlicheUnterstützungdes Europäischen Gerichtshofhat letztlich dazu geführt, dass heute alle führenden Browser(Google Chrome und Microsoft Edge) auf dem OpensourceChromium basieren, der offen und transparent von allen Betriebssystemen entkoppelt ist – inklusive der Linux-Desktops. Damals hat die ganze EU die klare Anforderung zur Vermeidung des Monopols artikuliert. Das gleiche gemeinsame, aber konstruktive Vorgehen brauchen wir jetzt für die Privatsphäre in PaaS- und SaaS-Diensten. Nur dann werden viele von ihnen in zehn Jahren noch erfolgreich sein und sowohl auf Hyperscalern als auch auf lokalen Gaia-X Providern erfolgreich laufen – wie heute die Browser auf verschiedenen Endgeräten.
Die EU bewegt sich mit dem EU-Cloud-Code-Of-Conduct https://eucoc.cloud/ in die richtige Richtung. Während sich die großen Cloud Provider schnell und einheitlich dazu bekennen, sind die einzelnen Europäischen Länder jedoch immer noch mit unterschiedlichen Geschwindigkeiten unterwegs.