Diese in der Praxis relevante Frage will ein neues Paper der GMDS Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG), verfasst von Dr. Bernd Schütze, beantworten. Hintergrund ist die Definition eines Cloud-Computing-Dienstes im Unionsrecht, in concreto in Artikel 6 Z 30 NIS-2-Richtlinie (diese RL ist am 16. Jänner 2023 in Kraft getreten und ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen), wonach der Begriff
„Cloud-Computing-Dienst“ einen digitalen Dienst [bezeichnet], der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
Dr. Schütze geht in diesem Dokument u.a. auf die möglichen Rechtsfolgen des Vorliegens eines Cloud-Dienstes ein - diese Folgen werden in der Praxis manchmal übersehen (siehe aus österreichischer Sicht auch den Verweis auf das GTelG unten).
Der Begriff Cloud Computing beschreibt, kurz gesprochen, das Anbieten von IT-Ressourcen, die bedarfsorientiert (skalierbar) vor allem über das Internet zur Verfügung gestellt werden,[1] wobei – auch aufgrund der ständigen technischen Fortentwicklung – keine abschließende Definition existiert. Der Begriff des Cloud Computing ist auch in Legaldefinitionen im österreichischen Recht abgebildet, so wird (derzeit) in § 3 Z 17 NISG[2] ein „Cloud-Computing-Dienst“ definiert als „ein digitaler Dienst, der den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht.” Im Schulwesen findet sich in § 8 Abs 2 IKT-Schulverordnung[3] der nicht näher definierte Begriff des „Clouddiensteanbieters”.[4]
—
[1] Siehe ausf Österreichisches Informationssicherheitshandbuch (Version 4.2.3) A.3.1; NIST, The NIST Definition of Cloud Computing, Special Publication 800-145 (2011) 2.
[2] Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen BGBl I 2018/111.
[4] Nur am Rande sei hier noch auf den in § 6 Abs 3 GTelG 2012 verwendeten Begriff des „Cloud Computing” hingewiesen, welcher wie folgt lautet: „Es ist sicherzustellen, dass die Speicherung von Gesundheitsdaten und genetischen Daten in Datenspeichern, die einem Verantwortlichen (Art. 4 Z 7 DSGVO) bedarfsorientiert von einem Auftragsverarbeiter (Art. 4 Z 8 DSGVO) bereitgestellt werden („Cloud Computing“), nur dann erfolgt, wenn die Gesundheitsdaten und genetischen Daten mit einem dem aktuellen Stand der Technik entsprechenden Verfahren (Abs. 1 Z 2) verschlüsselt worden sind.”