— 1 — B R E M I S C H E B Ü R G E R S C H A F T Landtag 18. Wahlperiode Drucksache 18 / 1800 Kleine Anfrage der Fraktion der SPD vom 10. Februar 2015 Cloud Computing in der öffentlichen Verwaltung Cloud Computing ist ein Modell zur Bereitstellung von IT-Dienstleistungen. Auf Anforderung kann über Internetdienste der Zugriff auf einen gemeinsamen Pool von ITRessourcen wie Netzwerke, Server, Speichersysteme und Anwendungen (Programme) ermöglicht werden. Dienstleistungsanbieter von Cloud-Lösungen versprechen damit eine schnelle, kostengünstige und unkomplizierte Bereitstellung von IT-Lösungen. Organisationen, die Cloud-Lösungen nutzen, sind selbst also nicht oder nur zum Teil mit der Verwaltung der IT-Ressourcen beschäftigt und somit abhängig von einem externen Dienstleister. Die öffentliche Verwaltung hat einen besonderen Schutzauftrag für die Verarbeitung von Daten ihrer Bürgerinnen und Bürger. Die Nutzung externer IT-Dienstleister in der öffentlichen Verwaltung ist also genau zu prüfen; der Fall CSC aus dem Jahr 2014 macht dies in besonderem Maße deutlich. Vor diesem Hintergrund fragen wir den Senat 1. Greifen der Senat und/oder Dataport als der zentrale IT-Dienstleister Bremens auf externe Cloud-Dienste zurück? 2. Welche IT-Dienstleistungen könnten im Auftrag des Senats und/oder Dataports potenziell durch externe Dienstleister erbracht werden? 3. Planen der Senat und/oder Dataport in bestimmten Bereichen zukünftige kommerzielle Cloud Services zu nutzen? 4. Sind dem Senat Beispiele anderer Bundesländer oder Kommunen bekannt, die kommerzielle Cloud Services nutzen? 5. Wie kann in kommerziellen Cloud Services der Datenschutz sichergestellt werden ? 6. Werden bei der Nutzung von Cloud Services durch den Senat und/oder Dataport Datenschutzbehörden beteiligt? 7. Entsteht bei der Nutzung kommerzieller Cloud Services aus der Sicht des Senats ein Abhängigkeitsverhältnis gegenüber dem Cloud-Anbieter? 8. Befürchtet der Senat ein Verlust an eigener IT-Kompetenz, falls auf externe Dienstleister zurückgegriffen wird? 9. Sind dem Senat Beispiele für Cloud Services in Deutschland und Europa bekannt , die von der öffentlichen Hand selbst oder in Zusammenarbeit mit privaten Partnern eingerichtet wurden („Governmental Clouds“)? Falls ja, welche? 10. Strebt der Senat die Einrichtung einer „Governmental Cloud“ in Zusammenarbeit mit dem Bund und/oder anderen Bundesländern an? 11. Liegen dem Senat Studien und/oder Kostenschätzungen hinsichtlich des Aufbaus einer „Governmental Cloud“ vor? Rainer Hamann, Björn Tschöpe und Fraktion der SPD — 2 — D a z u Antwort des Senats vom 24. März 2015 1. Greifen der Senat und/oder Dataport als der zentrale IT-Dienstleister Bremens auf externe Cloud-Dienste zurück? Externe Cloud-Dienste werden auch in einigen Fällen für Anwendungen der bremischen Verwaltung genutzt. Es handelt sich um kleine Anwendungen. Zum Beispiel wird das Terminmanagement des Stadtamts als externer Dienst über das Internet bezogen. 2. Welche IT-Dienstleistungen könnten im Auftrag des Senats und/oder Dataports potenziell durch externe Dienstleister erbracht werden? Potenziell können alle IT-Dienstleistungen durch externe Dienstleister erbracht werden. Der Dienstleister muss allerdings hierzu die erforderliche Qualifikation vorweisen. Welche Daten ihm anvertraut werden können, hängt weiter vom Schutzbedarf dieser Daten ab. 3. Planen der Senat und/oder Dataport in bestimmten Bereichen zukünftige kommerzielle Cloud Services zu nutzen? Cloud Computing kann in einer Vielzahl von Abstufungen realisiert werden, die sich darin unterscheiden, wie umfassend eine Dienstleistung auf externe ITDienstleister übertragen wird. Sofern mit „Kommerzielle Cloud Services“ in der Frage öffentlich zugängliche Public Clouds gemeint sind, gibt es Planungen, IT-Dienstleistungen mit geringem oder gar keinem Personenbezug und niedrigem Schutzbedarf auf Public Clouds auszulagern. Dazu können insbesondere Schulungs- und Entwicklungssysteme gezählt werden, Daten ohne Personenbezug und Daten, die ohnehin im Internet veröffentlicht werden. 4. Sind dem Senat Beispiele anderer Bundesländer oder Kommunen bekannt, die kommerzielle Cloud Services nutzen? Die unter 3. genannten Überlegungen werden z. B. auch von den anderen Trägerländern von Dataport gemeinsam vorgenommen und umgesetzt. Informationen , welche Länder und Kommunen dies darüber hinaus vorhaben oder bereits tun, sammelt der Senat nicht. Dem Senat ist durch die Mitarbeit im IT-Planungsrat indes bekannt, dass ähnliche Überlegungen in allen Bundesländern angestellt werden (vergleiche Antwort zu Frage 9). 5. Wie kann in kommerziellen Cloud Services der Datenschutz sichergestellt werden ? Der Schutz personenbezogener Daten kann in kommerziellen Clouds primär vertraglich sichergestellt werden. Dies geschieht durch geeignete, vertraglich vereinbarte Formen der Auftragsdatenverarbeitung, die auch eine Überprüfung ermöglichen müssen. Die Wirksamkeit der Überprüfungsmechanismen hängt dabei davon ab, ob und inwieweit sich der Vertragspartner dem jeweiligen Datenschutzrecht unterwirft bzw. unterwerfen darf. Dabei ist der Schutzbedarf der Daten festzustellen und zu berücksichtigen. Zusätzlich kann auch noch eine Verschlüsselung zum Einsatz kommen, wobei geeignete Vorkehrungen für das Schlüsselmanagement zu treffen sind. 6. Werden bei der Nutzung von Cloud Services durch den Senat und/oder Dataport Datenschutzbehörden beteiligt? Cloud Services sind eine besonders weitgehende Form der Auftragsdatenverarbeitung . Die Beteiligung der Datenschutzbehörden findet bei personenbezogenen Daten im jeweiligen konkreten Verfahren der Vorabkontrolle, bei nicht personenbezogenen Daten bzw. allgemeinen Fragestellungen auf informatorischer Ebene statt. — 3 — 7. Entsteht bei der Nutzung kommerzieller Cloud Services aus der Sicht des Senats ein Abhängigkeitsverhältnis gegenüber dem Cloud-Anbieter? Informationstechnik ist generell eine besonders stark durch Arbeitsteilung gekennzeichnete Branche. Der Senat erwartet nicht, dass durch die Nutzung einzelner kommerzieller Cloud Services ein Abhängigkeitsverhältnis entsteht. Die Handlungsoptionen der Anwender werden eher durch die Marktstellung bestimmter Softwareprodukte eingeschränkt . Es besteht beim Cloud Computing jedoch auch eine Abhängigkeit von einem funktionsfähigen Internet und dem Internetzugangsprovider, der in der Regel nicht mit dem Cloud-Dienstleister identisch ist. Die Gefahr der Abhängigkeit lässt sich durch eine Standardisierung der Anforderungen und die Vermeidung spezifischer technischer Lösungen beim CloudAnbieter weiter reduzieren. 8. Befürchtet der Senat einen Verlust an eigener IT-Kompetenz, falls auf externe Dienstleister zurückgegriffen wird? Cloud Computing zeichnet sich durch ein hohes Maß an Standardisierung aus. Eine entsprechende Beauftragung erfordert weiterhin entsprechende IT-Kompetenzen . Der Senat hat jedoch keine Absicht, seine IT-Strategie zu ändern. Dataport ist der zentrale interne – und öffentliche – IT-Dienstleister und mit dem Betrieb der zentralen technischen Infrastrukturen beauftragt. Auch unter dem Aspekt „digitaler Souveränität“ ist die Nutzung externer Cloud Services auch in Zukunft nur in begrenztem Umfang und bei nicht sensiblen Daten vorstellbar. Einen Verlust an eigener IT-Kompetenz erwartet der Senat deshalb nicht. 9. Sind dem Senat Beispiele für Cloud Services in Deutschland und Europa bekannt , die von der öffentlichen Hand selbst oder in Zusammenarbeit mit privaten Partnern eingerichtet wurden („Governmental Clouds“)? Falls ja, welche? a) Deutschland Der Senat ist durch die Senatorin für Finanzen im IT-Planungsrat vertreten. Dort spielt das Thema „Cloud“ regelmäßig eine Rolle. Eine besondere Herausforderung ist dabei die Datenverarbeitung in gemeinsamen föderalen Strukturen. Die Datenzentralen der Länder haben es sich zur Aufgabe gemacht, eine gemeinsame Empfehlung als Richtlinie zu Cloud-Diensten zu erarbeiten und anzuwenden. Auf die Erfahrungen in einzelnen Bundesländern, in denen erste Cloud-Infrastrukturen geschaffen und Erfahrungen mit dem Betrieb gesammelt wurden, konnte dabei zurückgegriffen werden. Im Auftrag der Leiter der Datenzentralen (ALD) erarbeiteten der Landesbetrieb Daten und Information Rheinland-Pfalz (LDI) und die DVZ Datenverarbeitungszentrum M-V GmbH, als die zentralen IT-Dienstleister der beiden Länder, unter Mitwirkung des Bundesrechenzentrums Österreichs einen Entwurf einer Cloud-Richtlinie als Grundlage für ein Vorgehensmodell. Die Datenzentralen aus Rheinland-Pfalz und Mecklenburg-Vorpommern sprechen derzeit Termine mit privaten Cloud-Anbietern ab. Nach wie vor ist es für die Datenzentralen wichtig, dass auf die Ausschreibung von CloudDiensten richtlinienkonforme Angebote der Cloud-Anbieter eingereicht werden müssen. b) Europa Der Senat beobachtet die europäische Entwicklung von IT nicht direkt, nur anhand der Berichte europäischer Institutionen. Das Ausrollen sicherer Cloud-Dienste befindet sich in den Verwaltungen und Regierungen der europäischen Mitgliedstaaten immer noch in einem frühen Stadium. Zu diesem Ergebnis kommt aktuell ein neuer Leitfaden der Europäischen Agentur für Netz- und Informationssicherheit ENISA (https://www.enisa.europa.eu/ activities/Resilience-and-CIIP/cloud-computing/governmental-cloudsecurity /security-framework-for-govenmental-clouds). Die Autoren des gemeinsamen Sicherheitsrahmens haben Best Practices, Cloud-Sicherheits- — 4 — analysen sowie vier existierende Regierungs-Clouds in Estland, Griechenland , Spanien und Großbritannien analysiert, um daraus ein generisches Cloud-Modell für alle Mitgliedstaaten abzuleiten. Eine konkrete Übernahme dieser Modelle in Bremen ist zurzeit nicht geplant. 10. Strebt der Senat die Einrichtung einer „Governmental Cloud“ in Zusammenarbeit mit dem Bund und/oder anderen Bundesländern an? Durch Dataport sind wesentliche Aspekte einer Cloud im öffentlichen Bereich für Bremen bereits jetzt verwirklicht. Hauptunterschied ist, dass Dataport über eigene Leitungen an die Verwaltungen angebunden ist. Das schafft zusätzlichen Schutz. Es zeichnet sich ab, dass Dataport standardisierte Dienste, wie z. B. E-Mail, seinen Nutzern sowohl in eigenen Netzen, als auch über das Internet anbieten wird. Dieses Vorhaben läuft bei Dataport unter dem Arbeitstitel „Community Cloud“ und wird für die bremische Verwaltung derzeit konzipiert. Die Teilnahme der anderen Trägerländer Hamburg und Schleswig-Holstein ist ebenfalls vorgesehen. Der Senat hält den Begriff „Community Cloud“ für verwirrend, weil kein Betrieb außerhalb des verwaltungseigenen Rechenzentrums bei Dataport erfolgt und hat deshalb eine Namensänderung vorgeschlagen. 11. Liegen dem Senat Studien und/oder Kostenschätzungen hinsichtlich des Aufbaus einer „Governmental Cloud“ vor? Bisher liegen dem Senat keine Kostenschätzungen vor. Für die von Dataport gegenüber seinen Trägern bereitgestellten Community Cloud wird zeitnah eine Kostenangabe erwartet. Druck: Anker-Druck Bremen