Datenschutz-Folgenabschätzung / Vorherige Konsultation der Deutschen Bahn zu Microsoft Azure und AWS

Anfrage an:
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Verwendete Gesetze:
Status dieser Anfrage:
Information nicht vorhanden
Zusammenfassung der Anfrage

in Pressemitteilungen hat die Deutsche Bahn mitgeteilt, "ihre komplette IT in die Cloud überführt und das konzerneigene Rechenzentrum geschlossen" zu haben.

Laut öffentlichen Informationen werden dabei im Rahmen einer Multi-Cloud-Strategie die Angebote Microsoft Azure und Amazon Web Services genutzt.

Christa Koenen, CIO der Deutschen Bahn und Geschäftsführerin der IT-Tochter DB Systel, wird dazu mit folgenden Aussagen zitiert:
"Wir haben natürlich gleich zu Anfang des Projektes einen ganz besonderen Fokus auf Sicherheit und Datenschutz gelegt."
"Wir verschlüsseln alle Daten, und nur wir können sie entschlüsseln. Das heißt, nur wir haben Zugriff auf die Schlüssel und nicht die Cloud-Provider"
"Wir haben das mit den Cloud-Providern auch entsprechend vertraglich abgesichert und überprüfen die Einhaltung regelmäßig."

Ich bitte diesbezüglich um folgende Informationen:
1. Informationen zu und aus Besprechungen und Abstimmungen, insbesondere (aber nicht nur) einer Datenschutz-Folgenabschätzung und einer etwaigen Vorherigen Konsultation (Art. 35, 36 DSGVO).
2. Informationen zu den erwähnten vertraglichen Absicherungen mit den Dienstleistern.
3. Etwaige interne oder öffentliche Stellungnahmen hierzu.

Ich danke Ihnen im Voraus.

Quellen:
https://www.deutschebahn.com/de/presse/…
https://digitalspirit.dbsystel.de/en/th…
https://www-cio-de.cdn.ampproject.org/c…
https://www.heise.de/news/Warum-die-Bah…


Korrespondenz

Von
Olaf Koglin
Betreff
Datenschutz-Folgenabschätzung / Vorherige Konsultation der Deutschen Bahn zu Microsoft Azure und AWS [#204602]
Datum
28. November 2020 23:30
An
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.

Anfrage nach dem Berliner Informationsfreiheitsgesetz, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
in Pressemitteilungen hat die Deutsche Bahn mitgeteilt, "ihre komplette IT in die Cloud überführt und das konzerneigene Rechenzentrum geschlossen" zu haben. Laut öffentlichen Informationen werden dabei im Rahmen einer Multi-Cloud-Strategie die Angebote Microsoft Azure und Amazon Web Services genutzt. Christa Koenen, CIO der Deutschen Bahn und Geschäftsführerin der IT-Tochter DB Systel, wird dazu mit folgenden Aussagen zitiert: "Wir haben natürlich gleich zu Anfang des Projektes einen ganz besonderen Fokus auf Sicherheit und Datenschutz gelegt." "Wir verschlüsseln alle Daten, und nur wir können sie entschlüsseln. Das heißt, nur wir haben Zugriff auf die Schlüssel und nicht die Cloud-Provider" "Wir haben das mit den Cloud-Providern auch entsprechend vertraglich abgesichert und überprüfen die Einhaltung regelmäßig." Ich bitte diesbezüglich um folgende Informationen: 1. Informationen zu und aus Besprechungen und Abstimmungen, insbesondere (aber nicht nur) einer Datenschutz-Folgenabschätzung und einer etwaigen Vorherigen Konsultation (Art. 35, 36 DSGVO). 2. Informationen zu den erwähnten vertraglichen Absicherungen mit den Dienstleistern. 3. Etwaige interne oder öffentliche Stellungnahmen hierzu. Ich danke Ihnen im Voraus. Quellen: https://www.deutschebahn.com/de/presse/pressestart_zentrales_uebersicht/Die-Deutsche-Bahn-ist-europaweit-Vorreiter-bei-der-Cloudmigration-5692046 https://digitalspirit.dbsystel.de/en/the-cloud-is-the-future/ https://www-cio-de.cdn.ampproject.org/c/s/www.cio.de/a/amp/deutsche-bahn-schaltet-alle-rechenzentren-ab,3645878 https://www.heise.de/news/Warum-die-Bahn-jetzt-ihre-Daten-bei-Microsoft-und-Amazon-speichert-4940919.html
Dies ist ein Antrag auf Akteneinsicht bzw. Aktenauskunft nach § 3 Abs. 1 Berliner Informationsfreiheitsgesetz (IFG) bzw. nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen nach § 2 Abs. 1 VIG betroffen sind. Ausschlussgründe liegen meines Erachtens nicht vor. Ich möchte Sie darum bitten, mich vorab über den voraussichtlichen Verwaltungsaufwand sowie die voraussichtlichen Kosten für die Akteneinsicht bzw. Aktenauskunft zu informieren. Soweit Verbraucherinformationen betroffen sind, bitte ich Sie zu prüfen, ob Sie mir die erbetene Akteneinsicht bzw. Aktenauskunft nach § 7 Abs. 1 Satz 2 VIG auf elektronischem Wege kostenfrei gewähren können. Ich verweise auf § 14 Abs. 1 Satz 1 IFG und bitte Sie, ohne Zeitverzug über den Antrag zu entscheiden. Soweit Verbraucherinformationen betroffen sind, verweise ich auf § 5 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen baldmöglichst, spätestens bis zum Ablauf eines Monats nach Antragszugang zugänglich zu machen. Sollten Sie den Antrag ablehnen, gilt dafür nach § 15 Abs. 5 IFG Berlin eine Frist von zwei Wochen. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich möchte Sie um eine Antwort in elektronischer Form (E-Mail) und um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Olaf Koglin Anfragenr: 204602 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/204602/ Postanschrift Olaf Koglin << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Olaf Koglin
Von
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Betreff
Datenschutz-Folgenabschätzung / Vorherige Konsultation der Deutschen Bahn zu Microsoft Azure und AWS [#204602]
Datum
5. Januar 2021 16:12
Status
Anfrage abgeschlossen

Sehr geehrter [geschwärzt], auf Ihre Anfrage vom 28. November 2020 teile ich Ihnen mit, dass die von Ihnen gewünschten Informationen (s. u. Ziff. 1 - 3) betreffend die Nutzung von Microsoft Azure und Amazon Web Services durch die Deutsche Bahn hier nicht vorhanden sind. Wir beabsichtigen, die in Rede stehende Datenverarbeitung der Deutschen Bahn im Laufe des Jahres 2021 zu überprüfen. Zugleich teile ich Ihnen mit, dass wir im Vorfeld die Deutsche Bahn auf deren Bitte in Bezug auf eine beabsichtigte Cloud-Datenverarbeitung beraten haben. Der diesbezügliche Vorgang enthält Unterlagen (insgesamt ca. 250 Seiten) aus dem Zeitraum Juli 2015 bis September 2017 (also aus dem Zeitraum vor dem Inkrafttreten der DS-GVO Ende Mai 2018). Sofern Sie Interesse an diesen Unterlagen haben, müssen wir sie gemäß §§ 6, 7 und 9 Berliner Informationsfreiheitsgesetz (IFG) auf schützenswerte Daten überprüfen und diese ggf. schwärzen (§ 12 IFG). Dies würde einen "außergewöhnlich umfangreichen Verwaltungsaufwand" verursachen, so dass die Offenlegung der (übrigen) Informationen gemäß § 16 IFG i. V. m. Tarifstelle 1004 b) Ziff. 3 der Verwaltungsgebührenordnung (VGebO) voraussichtlich eine Gebühr zwischen 350 € und 400 € nach sich ziehen würde. Das IFG und die gebührenrechtlichen Vorschriften sind abrufbar unter https://www.datenschutz-berlin.de/infor… Ein gebührenfreier Informationszugang nach dem Verbraucherinformationsgesetz (VIG) kommt nicht in Betracht, weil es sich hier nicht um Verbraucherinformationen im Sinne von §§ 1, 2 Abs. 1 Satz 1 Nr. 1 VIG handelt. Bitte teilen Sie uns mit, ob Sie den gebührenpflichtigen Informationszugang im vorgenannten Sinne wünschen. Mit freundlichen Grüßen [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt], [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt], [geschwärzt] [geschwärzt], [geschwärzt] ([geschwärzt]) [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] [geschwärzt] ([geschwärzt]) [geschwärzt] [geschwärzt] [geschwärzt], [geschwärzt] [geschwärzt] [geschwärzt]

Unterstützen Sie unsere Arbeit!

Mit Ihrer Spende halten Sie die Plattform am Laufen, ermöglichen neue Features sowie Support vom FragDenStaat-Team. Kämpfen Sie mit uns für mehr Transparenz in Politik und Verwaltung!

Jetzt spenden

Von
Olaf Koglin
Betreff
AW: Datenschutz-Folgenabschätzung / Vorherige Konsultation der Deutschen Bahn zu Microsoft Azure und AWS [#204602]
Datum
13. Februar 2021 21:46
An
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Status
E-Mail wurde erfolgreich versendet.

Sehr << Anrede >> haben Sie noch vielen Dank für Ihre ausführliche Antwort vom 05.02.2021. Ich beabsichtige derzeit nicht, den von Ihnen angebotenen gebührenpflichtigen Informationszugang in Anspruch zu nehmen. Mit freundlichen Grüßen Olaf Koglin Anfragenr: 204602 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/204602/