Sichere Beschaffung von Cloud-Diensten im öffentlichen Sektor – Ein Überblick

Der Beitrag zeigt, dass die sichere Beschaffung von Cloud-Diensten im öffentlichen Sektor inzwischen durch ein klar strukturiertes rechtliches Rahmenwerk geprägt ist. Zentrale Grundlage ist § 8 BSIG, der das BSI ermächtigt, verbindliche Mindeststandards für die IT-Sicherheit des Bundes festzulegen. Der Mindeststandard zur Nutzung externer Cloud-Dienste konkretisiert diese Vorgaben entlang des gesamten Lebenszyklus eines Cloud-Dienstes. Behörden müssen eine Cloud-Strategie und Sicherheitsrichtlinie erstellen, Risiken nach IT-Grundschutz analysieren, vertragliche Sicherheitsanforderungen definieren, Unterauftragnehmer transparent steuern, Meldepflichten für Sicherheitsvorfälle vereinbaren und durch Exit-Regelungen Datenrückgabe und -löschung absichern. Von juristischer Bedeutung ist der C5-Katalog des BSI, dessen Basiskriterien der Mindeststandard verpflichtend macht. Anbieter müssen dessen Umsetzung nachweisen. Die Berichte enthalten neben der Prüfung der internen Kontrollen auch Kundenkontrollen und Subservice-Kontrollen, die für die Zuweisung von Verantwortlichkeiten und die Bewertung der Lieferkettensicherheit maßgeblich sind. C5-Berichte ermöglichen zudem eine strukturierte, rechtssichere Risikobewertung, die auch begründete Abweichungen von Mindeststandards trägt. Der EVB-IT-Cloud-Vertrag bildet das zentrale vergaberechtliche und zivilrechtliche Instrument zur Beschaffung marktgängiger Cloud-Leistungen. Er übersetzt die Anforderungen aus BSIG, Mindeststandard, IT-Grundschutz und Datenschutzrecht in durchsetzbare Vertragsmechanismen. Sein modularer Aufbau – Hauptvertrag, Cloud-AGB, Kriterienkatalog und eine Anlage zur kontrollierten Einbeziehung von Anbieter-AGB – schafft einen normativen Ordnungsrahmen, der sowohl Sicherheit als Hauptleistungspflicht als auch dynamische C5-Anpassungen vorsieht. Das Auditregime ist gestuft: zunächst Nachweise, dann ergänzende Unterlagen, schließlich Vor-Ort-Prüfungen bei fortbestehenden Zweifeln. Unterauftragnehmerregelungen sichern Transparenz-, Widerspruchs- und Kündigungsrechte bei sicherheitsrelevanten Leistungen. Im Datenschutz betont der Beitrag die Pflicht des Auftraggebers zur substantiierten Zuverlässigkeitsprüfung nach Art. 28 DSGVO. Die Entscheidung des OLG Karlsruhe (Beschl. v. 07.06.2023 – 15 Verg 1/23 –) bestätigt, dass pauschale DSGVO-Zusicherungen nicht genügen. Der Beschluss der Datenschutzkonferenz vom 31.01.2023 präzisiert die Bewertung von Anbietern, die drittstaatlichen Zugriffspflichten wie dem US CLOUD Act unterliegen. Er stellt klar, dass allein abstrakte Zugriffsmöglichkeiten keine Drittlandübermittlung darstellen, aber die Zuverlässigkeitsprüfung beeinflussen und häufig den Einsatz konsequenter Verschlüsselung mit kundenseitig verwalteten Schlüsseln erfordern. Insgesamt ergibt sich ein kohärentes juristisches System: BSIG und Mindeststandard setzen verbindliche Sicherheitsvorgaben, der C5 liefert prüfbare Nachweise, und der EVB-IT-Cloud macht diese Anforderungen vertraglich durchsetzbar. Dadurch wird die Cloud-Beschaffung im öffentlichen Sektor rechtssicher, steuerbar und mit klaren Verantwortlichkeiten ausgestattet