Rumänisches Cloud-Projekt führt zu Datenschutzkontroverse

Die staatliche Cloud ist für den rumänischen Nationalen Plan für Wiederaufbau und Widerstandsfähigkeit (NRRP) im Bereich der Digitalisierung von großer Bedeutung. [dotshock/Shutterstock]

Das Cloud-Projekt ist das Herzstück des Digitalisierungsplans der rumänischen Regierung. Es soll 500 Millionen Euro von der EU erhalten und das Land den europäischen E-Governance-Zielen näher bringen. Bislang hat der Vorschlag jedoch datenschutzrechtlich einige Kontroversen ausgelöst. 

Die ersten Schritte der rumänischen Behörden zur Einführung einer staatlichen Cloud wurden von Vertreter:innen der Zivilgesellschaft und auch von einigen staatlichen Einrichtungen, die sich an der Cloud beteiligen sollen, kritisiert.

Im Einklang mit den europäischen E-Governance-Zielen verpflichtete sich Bukarest zu einem universellen Zugang zu öffentlichen Online-Diensten. Außerdem soll es einen Online-Verlauf der Interaktionen der Bürger:innen mit dem Staat geben, und persönliche Daten und Dokumente sollen durch leistungsfähige Cybersicherheitssysteme geschützt werden.

„Die staatliche Cloud erleichtert den Übergang zu einer datengesteuerten, sicheren und dynamischen Wirtschaft, einer digitalen Wirtschaft, die mit den strategischen Leitlinien der EU für Maßnahmen zur Datenverwaltung im Einklang steht“, sagte Dragoș Vlad, Präsident der rumänischen Digitalisierungsbehörde.

Der NRRP als Fahrplan für die digitale Wende

Die staatliche Cloud ist für den rumänischen Nationalen Plan für Wiederaufbau und Widerstandsfähigkeit (NRRP) im Bereich der Digitalisierung von großer Bedeutung.

Die vorgesehenen Reformen zielen darauf ab, diese Cloud einzurichten, „Interoperabilität zu gewährleisten, die Konnektivität zu verbessern, den Schutz und die Cybersicherheit öffentlicher und privater Einrichtungen zu stärken und die digitalen Kompetenzen im öffentlichen Sektor zu fördern“.

Im NRRP werden, direkt oder indirekt, rund 500 Millionen Euro für die staatliche Cloud bereitgestellt. Dabei handelt es sich um eine IT-Infrastruktur, die mit der erforderlichen Cybersicherheit einhergeht und öffentliche Anwendungen und Datenbanken in vier Rechenzentren hosten soll.

Dieser Rechtsrahmen muss gemäß den rumänischen Verpflichtungen bis zum 30. Juni in Kraft getreten sein. Außerdem muss das Gesetz über Cyberverteidigung und -sicherheit bis Ende 2022 abgeschlossen sein und gelten.

Der Skandal um die Notverordnung

Im Zusammenhang mit der Notwendigkeit dieser Schritte hat die Regierung einen Entwurf für eine Notverordnung veröffentlicht.

Das in Rumänien häufig genutzte Rechtsinstrument hat negative Reaktionen der IT-Branche, des Privatsektors und sogar einiger staatlicher Einrichtungen hervorgerufen.

Dem Entwurf zufolge soll die Implementierung und Wartung der öffentlichen Cloud dem Sonderdienst für Telekommunikation, einem spezialisierten Nachrichtendienst, übertragen werden. Der rumänische Nachrichtendienst (SRI) soll für die Cybersicherheit zuständig sein.

„Der SRI kann die Sicherheit personenbezogener Daten nicht gewährleisten, da sein gesetzlicher Zweck das Sammeln von Informationen ist“, warnte der Verband für Technologie und Internet (APTI) unter der Leitung von Rechtsanwalt Bogdan Manolea.

Das Ministerium für Digitalisierung wies Bedenken hinsichtlich des Datenschutzes zurück und betonte, dass das SRI nicht in der Lage sei, auf den Inhalt der Daten in der Cloud zuzugreifen.

Anton Rog, Leiter des Nationalen Cyberint-Zentrums der SRI, erklärte gegenüber dem Fernsehsender Digi24, dass die staatliche Cloud eine kritische Infrastruktur sei und dass es in den sieben Jahren, in denen das Zentrum Cybersicherheit für 61 öffentliche Einrichtungen bietet, keine einzige Beschwerde über den Zugriff der SRI auf deren Daten gegeben habe.

Dennoch bestehen nach wie vor Bedenken, dass das SRI Verkehrsdaten sammeln könnte, also die Daten, die hinter jeder Kommunikation stehen, da es ohne diese Informationen unmöglich wäre, Cybersicherheitsdienste anzubieten.

Radu Puchiu, IT-Unternehmer und Beauftragter für den Aktionsplan der Open Government Partnership, bezeichnete die Entscheidung, die staatliche Cloud an den STS (Special Telecommunications Service) zu delegieren, als „mehr als merkwürdig“, da das Finanzministerium eine IT-Abteilung mit Hunderten von Mitarbeiter:innen hat und das Innenministerium ebenfalls eine kritische Datenbank verwaltet.

Für Puchiu ist der neu geschaffene Rahmen von vornherein sehr starr, was seine Entwicklung behindern werde.

Auch die IT-Branche kritisierte den Gesetzesentwurf. Der Arbeitgeberverband der Softwareindustrie (ANIS) warnte, dass es bei Beibehaltung der Bestimmungen des Gesetzentwurfs nicht möglich sei, beim Aufbau der Cloud herstellerunabhängige Technologien oder Open-Source-Technologien zu verwenden.

Das Ministerium für Digitalisierung dementierte dies und erklärte, dass der private Sektor in der Lage sei, Lösungen und Dienstleistungen für staatliche Cloud-Anwendungen zu entwickeln.

Auch öffentliche Einrichtungen sind nicht zufrieden

Kritik an der Beteiligung des SRI am staatlichen Cloud-Projekt kommt nicht nur aus der Zivilgesellschaft, sondern auch von staatlichen Institutionen.

SRI, STS und die rumänische Digitalisierungsbehörde (RDA) schickten im Februar einen technischen Fragebogen zur Cloud-Migration an 108 öffentliche Behörden und Institutionen in Rumänien. Zwei Wochen später hatten nur 83 Institutionen den Fragebogen ausgefüllt.

Von denjenigen, die noch ausstehen, weigern sich sechs, ihre Anwendungen und Daten in die staatliche Cloud zu übertragen. Darunter befinden sich äußerst wichtige Institutionen wie die Ständige Wahlbehörde, das Verfassungsgericht und die Nationale Antikorruptionsbehörde (DNA).

„Wir halten es nicht für angemessen, dass STS und SRI Zugang zu allen Daten und Dokumenten haben, die die Ständige Wahlbehörde (AEP) für die Wahlen vorbereitet“, sagte AEP-Chef Constantin Mitulețu-Buică der Zeitung Libertatea.

In ähnlicher Weise haben die DNA-Beamt:innen ihre eigenen IT-Anwendungen mit modernster Ausrüstung eingerichtet, um den Fluss und die Speicherung sensibler Informationen im Zusammenhang mit laufenden Strafverfahren zu schützen.

„Es war nie die Rede davon, dass der Betrieb und die Nutzung der Datenbanken von jemand anderem als der rumänischen Digitalisierungsbehörde durchgeführt werden würde“, sagte Digitalisierungsminister Marcel Boloș in einem Versuch, die Polemik zu entschärfen.

Boloș betonte, dass die Kontrolle über die öffentlichen Datenbanken „im zivilen Bereich“ bleiben werde.

[Bearbeitet von Zoran Radosavljevic]

Subscribe to our newsletters

Subscribe