Der Einsatz von Human-Resources-Cloud-Lösungen im Öffentlichen Dienst ist an besondere Bedingungen geknüpft – insbesondere bezogen auf Datenschutz, Sicherheit und Funktionalität. Deshalb hat die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) wiederholt darauf hingewiesen, dass SAP eine tragfähige Basis schaffen muss, damit die Öffentliche Verwaltung SAP-Personalfunktionen in der Cloud auch tatsächlich nutzen kann. Einen ersten Schritt, um diese Anforderung zu erfüllen, hat der Software-Hersteller nun getan: SAP Deutschland will gemeinsam mit einem Partner ein Unternehmen gründen, das Cloud-Standorte auf Basis der Microsoft-Azure-Infrastruktur in Deutschland betreiben wird, die ausschließlich durch die Öffentliche Verwaltung genutzt werden soll.
Nach SAP-Informationen soll das neue Unternehmen alleiniger Eigentümer der geplanten Plattform sein. Die Rechenzentren und die bestehende Public-Cloud-Infrastruktur in Deutschland werden unabhängig von den globalen Microsoft-Rechenzentren betrieben. SAP bezeichnet dies als Angebot einer souveränen Cloud-Plattform sowohl aus rechtlicher als auch technischer Sicht. Die Cloud-Standorte sollen sich nach SAP-Informationen auch für den Betrieb von S/4HANA in der Cloud und später weitere Lösungen eignen – das gilt auch für Non-SAP- und Non-Microsoft-Lösungen. Gleichermaßen soll den Rechenzentren der Öffentlichen Verwaltung ermöglicht werden, dort selbst Instanzen zu betreiben im Sinne eines Cloud-Broker-Modells.
„Als DSAG begrüßen wir diese Bekanntmachung. Sie ist das Ergebnis unserer Bemühungen für dieses Thema zu sensibilisieren und einer zielorientierten Zusammenarbeit mit SAP“, sagt Hermann-Josef Haag, DSAG-Fachvorstand Personalwesen & Public Sector und ergänzt: „In unseren Gesprächen mit SAP haben wir kontinuierlich auf die Bedeutung der für die Öffentliche Verwaltung relevanten Aspekte beim Thema Cloud insbesondere für Personaldaten hingewiesen und freuen uns, dass diese Gespräche nun erste Früchte tragen.“
Vielfältige Anforderungen an die Cloud
Aus DSAG-Sicht ist das Vorgehen ein großer Schritt in die richtige Richtung. „Es ist positiv zu bewerten, dass etwas passiert und unsere Stimme als Anwender gehört wird“, sagt Hermann-Josef Haag. Insgesamt sind die Anforderungen der Öffentlichen Verwaltung beim Thema Cloud vielfältig. „Beim Datenschutz und insbesondere beim Thema der Personaldaten steht die Öffentliche Verwaltung vor Herausforderungen“, meint Hermann-Josef Haag. Denn: Eine besondere Schutzwürdigkeit der verarbeiteten Personaldaten ergibt sich aus verschiedenen Landesgesetzen und resultiert rechtlich zudem aus § 50 Satz 3 des Beamtenstatusgesetzes (BeamtStG), der den vertraulichen Umgang mit Personalaktendaten ausdrücklich regelt, und Art. 9 Abs. 1 DSGVO, da zumindest z. T. auch besondere Kategorien von personenbezogenen Daten (z. B. Gesundheitsdaten) verarbeitet werden.
Nach dem Berliner Landesbeamtengesetz, dem Hessischen Beamtengesetz und dem Bayerischen Beamtengesetz dürfen zum Beispiel nur Beschäftigte Zugang zur Personalakte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten beauftragt sind, und nur soweit dies zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist. Auftragsdatenverarbeitung ist im Freistaat Bayern nur zulässig zur Realisierung erheblich wirtschaftlicherer Arbeitsabläufe (Art. 108 Abs. 3 BayBG). Das hessische Landesrecht ermächtigt explizit nur landeseigene Dienstleister als Auftragsverarbeiter. Durch Auslagerung an einen Auftragsdatenverarbeiter könnte die gesetzlich geforderte Daten- bzw. digitale Souveränität gefährdet sein. „Mit dem neuen Angebot könnte SAP diese Anforderungen erfüllen. Jetzt muss sich in der Praxis zeigen, ob mit diesem Konstrukt alle Herausforderungen für die Öffentliche Verwaltung gemeistert werden können. Als DSAG stehen wir SAP und dem geplanten neuen Unternehmen natürlich weiterhin für einen konstruktiv-kritischen Dialog zur Verfügung“, so Hermann-Josef Haag.
Brücke in die Cloud
Das geplante Unternehmen baut eine Brücke für die Öffentliche Verwaltung auf dem Weg in die Cloud. „Dass Daten nicht ins Ausland transferiert werden dürfen, wurde im Juli 2020 durch das ‚Schrems II‘-Urteil des Europäischen Gerichtshofs (EuGH) bestätigt. Durch das neue Unternehmen blieben die Daten im Inland und die Öffentliche Verwaltung könnte die Schrems-II-Anforderungen erfüllen“, erläutert Hermann-Josef Haag. Auch der 2018 in Kraft getretenen U.S. Cloud-Act würde auf diese Weise keine Rolle mehr spielen für die Öffentliche Verwaltung.
Der U.S. Cloud-Act sieht vor, dass ein Provider verpflichtet ist, gespeicherte Daten herauszugeben. Dabei kommt es nicht darauf an, ob die Daten bei ihm oder bei einer anderen Stelle gespeichert sind. „Es genügt, dass der Provider legalen Zugriff auf die Daten hat. Dabei spielt es keine Rolle, ob die Daten innerhalb oder außerhalb der Vereinigten Staaten lokalisiert sind“, weiß Hermann-Josef Haag. Die EU hingegen betrachtet sämtliche personenbezogenen Daten in ihrem Hoheitsgebiet als durch EU-Recht vor Zugriffen Dritter geschützt. Der U.S. Cloud-Act ließe sich umgehen, indem Verantwortliche, die personenbezogene Daten in der Cloud verwalten, zu einem Dienstleister in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln. „Für Behörden wäre der Ort nochmals eingeschränkt auf Deutschland. Im Weiteren gilt es mit Blick auf die Gesetzesbindung der Öffentlichen Verwaltung zu prüfen, ob insbesondere die Anforderungen an Datenschutz und IT-Sicherheit erfüllt werden und personenbezogene Daten nur in Deutschland gespeichert bzw. verarbeitet bzw. keine Daten in andere Länder übertragen werden“, ordnet der DSAG-Fachvorstand ein.
Schritt in die richtige Richtung
Aus DSAG-Sicht sind nun die Öffentlichen Verwaltungen gefragt. Sie müssen entscheiden, ob sie auch sehr schutzbedürftige Verfahren über das neue Angebot in die Cloud verlagern wollen. Hier geht der Experte davon aus, dass dies zunächst noch einiger Zeit des Umdenkens bedarf. Dennoch ist Hermann-Josef Haag positiv gestimmt: „Der Vorstoß von SAP Deutschland ist klar ein erster Schritt in die souveräne Cloud für den Öffentlichen Dienst, der auf jeden Fall schon jetzt für selektive Prozesse möglich ist.“ Insgesamt sieht der Interessenverband in der SAP-Initiative großes Potenzial. „Das neue Angebot könnte einen Durchbruch für die Digitalisierung der Öffentlichen Verwaltung in Deutschland bedeuten“, ist sich Hermann-Josef Haag sicher. Es ermöglicht nicht nur den Zugang zur Cloud, sondern bietet auch langfristig die Chance, die Innovationspotenziale der Technologie zu nutzen. Derzeit ist das neue Modell auf Deutschland beschränkt. Ob das Modell auch in kleineren Ländern wie Österreich und der Schweiz abbildbar ist, muss separat bewertet werden.
Fachartikel
Strategien für eine fortgeschrittene digitale Hygiene
Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen
Wie man RMM-Software mit einer Firewall absichert
Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024
Konvergiert vs. Einheitlich: Was ist der Unterschied?
Studien
Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen
Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle
Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart
Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht
Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen
Whitepaper
Unter4Ohren
Datenklassifizierung: Sicherheit, Konformität und Kontrolle
Die Rolle der KI in der IT-Sicherheit
CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft
WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand
