Nutzung von Cloud-Diensten durch Bundesverwaltung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Mindeststandard zur Mitnutzung externer Cloud-Dienste in der neuen Version 2.0 veröffentlicht. Der nun durch das BSI auf der gesetzlichen Grundlage von § 8 Abs. 1 BSIG veröffentlichte Mindeststandard zur Mitnutzung externer Cloud-Dienste sorgt dafür, dass Entscheidungen im Vorfeld einer Mitnutzung externer Cloud-Dienste einen transparenten Ablauf haben und dadurch ein definiertes Mindestsicherheitsniveau erreicht wird. Die Version 2.0 berücksichtigt zugleich den Kriterienkatalog Cloud Computing (C5:2020) sowie das aktuelle IT-Grundschutz-Kompendium (Edition 2021).
Einen besonderen Mehrwert dürfte die aktualisierte Fassung jedoch für Verantwortliche der Bundesverwaltung aufweisen. Im neuen Mindeststandard sind erstmals zwei Publikationen in einer Veröffentlichung zusammengefasst: Neben dem Mindeststandard zur Nutzung externer Cloud-Dienste gab es bislang einen weiteren Mindeststandard zur Mitnutzung externer Cloud-Dienste. Dieser befasste sich mit dem Sonderfall, dass eine Behörde einen Cloud-Dienst nutzt, aber kein eigenes Vertragsverhältnis mit einem Diensteanbieter besteht, beispielsweise im Rahmen einer Zusammenarbeit mit Dritten. In der Version 2.0 wurde dieses Thema in einem eigenen Kapitel integriert, sodass es nun einen Mindeststandard für beide Nutzungsszenarien gibt.
Bei der klassischen Cloud-Nutzung hat die Bundesbehörde einen Bedarf an einer IT-Leistung, die nicht durch eigene IT-Ressourcen, sondern über einen externen Cloud-Dienst erbracht werden soll. Die Einrichtung nimmt somit die Rolle des Auftraggebers ein.
Hinzu kommen jedoch auch Bereiche, die hier als Mitnutzung bezeichnet werden. Dabei nehmen IT-Anwender einer Einrichtung externe Cloud-Dienste in Anspruch, ohne dass zwischen der Einrichtung und dem eigentlichen Cloud-Anbieter ein Vertragsverhältnis besteht. Somit ist die Einrichtung in diesen Fällen nicht Auftraggeber des Cloud-Dienstes. Insbesondere wenn IT-Anwender im Rahmen von (internationalen) Projekten oder Arbeitsgruppen institutionsübergreifend zusammenarbeiten wollen, wird diese Form der Mitnutzung immer häufiger gewählt.
(Foto: metamorworks – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren
