Datenschutzbericht bis 24.05.2018 § 2 Abs. 7 HDSG Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automati- sierten Datenverarbeitung ist. Der Gesetzgeber geht hier von einem umfassenden Aktenbegriff aus. Das „Ergebnisprotokoll“ gibt den Inhalt und das Ergebnis der Beratung des Aus- schusses zu dem in der Akte geführten Fall wieder. Es dient der Beurteilung des Falles und wird zudem für die Fälle etwaiger späterer Beschwerden gegen das Kammermitglied aufbewahrt. Es dient daher dem Zweck der Aufgabenerfüllung des Ausschusses, nämlich dem möglichen Fehlverhalten des Kammermitglieds nachgehen zu können. Sollte dies nicht der Fall sein, müsste das Ergebnisprotokoll vernichtet werden. Die physische Trennung des Ergebnisprotokolls von der Akte (zum Beispiel durch einen Ordner oder einen Hefter) kann aus den o. g. Gründen nicht dazu führen, dass dieses nicht Bestandteil der Akte im datenschutzrechtlichen Sinne wird. Vielmehr würde eine solche Betrachtung die aus dem informationellen Selbstbestim- mungsrecht resultierenden Akteneinsichts- und Auskunftsrechte umgehen. Schutz Daten Dritter Dem Argument der Kammer, die „Ergebnisprotokolle“ würden teilweise schüt- zenswerte Daten Dritter enthalten, setzte ich entgegen, dass der Gesetzgeber in § 18 Abs. 5 Satz 3 HDSG genau solche Konstellationen berücksichtigt habe: § 18 Abs. 5 Stz 3 HDSG Die Einsichtnahme ist unzulässig, wenn die Daten des Betroffenen mit Daten Dritter … derart verbunden sind, dass ihre Trennung nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. Hier hat stets eine Einzelfallprüfung stattzufinden. Lassen sich einzelne Daten vor der Einsicht abdecken oder einzelne Dokumente für die Einsicht durch das Austauschen mit teilweise geschwärzten Kopien ersetzen, kann der Aufwand nicht als unverhältnismäßig eingestuft werden. Dafür, dass im Fall der „Ergebnisprotokolle“ eine Separierung bzw. Schwärzung nicht in Frage käme, weil dies mit einem unverhältnismäßig hohen Aufwand verbunden wäre, sah ich keine Anhaltspunkte. 51

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz Ergebnis Die LPPKJP Hessen gewährte dem Mitglied auch Akteneinsicht in das „nicht öffentliche Ergebnisprotokoll“. Die Daten unbeteiligter Dritter wurden geschwärzt. In die geänderte Geschäftsordnung des Ausschusses für Beschwerde und Schlichtung wurde folgende Änderung aufgenommen: § 5 Abs. 5 Geschäftsordnung des Ausschusses für Beschwerde und Schlichtung Nach Abschluss des Verfahrens vor dem Ausschuss ist sicherzustellen, dass alle fallbezo- genen Unterlagen in der bei der GS geführten Verfahrensakte zusammengeführt werden. Die GS sichert die Akte mit einem Siegel und verwahrt den Vorgang unter Verschluss. Akteneinsichts- und Auskunftsrechte Betroffener oder Dritter bleiben davon unberührt. 3.4.2 Vorstellung eines neuen Rollen- und Berechtigungskonzepts zum Krankenhausinformationssystem des Klinikums Höchst Ein Krankenhaus ist keine rechtliche Einheit, innerhalb derer personenbezo- gene Patientendaten beliebig offenbart werden dürfen. Auch innerhalb des Krankenhauses ist die ärztliche Schweigepflicht im Sinne der Berufsordnung und des Strafgesetzbuchs zu beachten. Das Krankenhausinformationssystem (KIS) ist so auszugestalten, dass Mitarbeiter im Krankenhaus nur Zugriff auf die Patientendaten haben, die sie tatsächlich für ihre Aufgabenerfüllung benötigen. Ausgangspunkt war ein Datenschutzvorfall im Klinikum Höchst aus dem Jahr 2016. Damals kam es zu einem Zwischenfall auf einer Station, wo ein Patient mit einer Pistole um sich geschossen und dabei mehrere Klinikmitarbeiter verletzt hatte. Dieser veranlasste die Klinikleitung, vorsorglich eine Prüfung der erfolgten internen Zugriffe auf die elektronischen Patientenakten der betroffenen Klinikmitarbeiter vorzunehmen. Es stellte sich dabei heraus, dass eine ganze Reihe von Mitarbeiterinnen und Mitarbeitern – sowohl ärztliches wie auch pflegerisches Personal – aus verschiedenen Abteilungen unberech- tigt auf die Krankenakten der verletzten Klinikmitarbeiter zugegriffen hatten. Als Reaktion auf den Vorfall und zur Verhinderung weiterer vergleichbarer Ereignisse sicherte mir die Geschäftsleitung der Klinik zu, eine umfangreiche Anpassung des Rollen- und Berechtigungskonzepts vorzunehmen und stich- probenhafte Kontrollen der Zugriffe auf Krankenakten einzuführen. Diesen Prozess habe ich im vergangenen Jahr weiter begleitet. 52

Datenschutzbericht bis 24.05.2018 Für den Umgang mit den Patientendaten der eigenen Krankenhausmitarbei- ter/-innen gibt es keine speziellen gesetzlichen Regelungen. Für die Betrof- fenen ist es jedoch von besonderer Bedeutung, dass ihre Patientendaten geschützt bleiben und nicht Unberechtigten zur Kenntnis gelangen. Weder die Personalabteilung noch möglicherweise persönlich interessierte Kolle- ginnen oder Kollegen sollen die Behandlungsdaten zur Kenntnis erhalten. Grundsätzlich dürfen im Krankenhaus Patientendaten nur für den Zweck weiterverarbeitet werden, für den sie erhoben oder gespeichert worden sind, d. h. konkret für die Durchführung des Behandlungsvertrages. In Hessen ist im Hessischen Krankenhausgesetz 2011 (HKHG 2011) aus- drücklich vorgeschrieben, dass die in § 12 Abs. 2 HKHG 2011 festgelegten rechtlichen Voraussetzungen für die Übermittlung von Daten entsprechend auch für die Weitergabe von Patientendaten innerhalb des Krankenhauses zwischen Fachabteilungen Anwendung finden (§ 12 Abs. 3 HKHG 2011). Zugriff auf die Daten eines Patienten darf daher nur denjenigen Kranken- hausmitarbeiter/-innen möglich sein, die in die Behandlung einbezogen sind oder die Behandlung verwaltungsmäßig abwickeln. Ein Krankenhaus ist keine rechtliche Einheit, innerhalb derer personenbezo- gene Patientendaten beliebig offenbart werden dürfen. Auch innerhalb des Krankenhauses ist die ärztliche Schweigepflicht im Sinne der Berufsordnung und des Strafgesetzbuchs zu beachten („Inselkonzept“). So darf insbesondere eine Fachabteilung, die einen Patienten nicht behandelt, dessen detaillierte medizinische Daten nicht zur Kenntnis erhalten, es sei denn, sie übernimmt im Einvernehmen mit dem Patienten die Mit- oder Nachbehandlung. Das Verwaltungspersonal darf nur Zugriff auf Patientendaten haben, soweit dies für seine Aufgabenerfüllung und für den jeweiligen Zweck im Rahmen der Durchführung des Behandlungsvertrages erforderlich ist. Diese recht- lichen Vorgaben sind bei der Ausgestaltung der Zugriffsberechtigungen des Krankenhausinformationssystems zu beachten. Allerdings muss das entsprechende Rollen- und Berechtigungskonzept für ein Krankenhaus wegen der komplexen Aufgaben noch ausreichend Flexibilität ermöglichen (z. B. für Notfälle, Überbelegung, Nachtdienst, Verlegung, Konsil), um nicht die Patientensicherheit zu gefährden. Umsetzung der Orientierungshilfe für Krankenhausinformationssysteme (OH KIS) Als Orientierungsrahmen für die datenschutzkonforme Gestaltung und den datenschutzgerechten Betrieb des KIS kann die von den Datenschutzbeauf- tragten des Bundes und der Länder erstellte Orientierungshilfe für Kranken- 53

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz hausinformationssysteme (OH KIS) dienen (siehe auch https://­datenschutz. hessen.de/sites/datenschutz.hessen.de/files/content-downloads/Orientie- rungshilfe%20Krankenhausinformationssysteme.pdf). Danach muss das Rollen- und Berechtigungskonzept und dessen Umsetzung sicherstellen, dass Mitarbeiter/-innen im Klinikum nur Zugriff auf die Patientendaten haben, die sie tatsächlich für ihre Aufgabenerfüllung benötigen. Nach der OH KIS soll es in einem KIS-System möglich sein, dass Fallak- ten bei Bedarf dahingehend gekennzeichnet werden können, dass der/die Patient/-in Mitarbeiter/-in des behandelnden Krankenhauses ist und dass für die Fallakte ein besonderer Schutzbedarf besteht. Die Struktur des Rollen- und Berechtigungskonzepts soll es ermöglichen, dass an diese Kennzeichnung besondere Zugriffsregelungen geknüpft werden können. Nach den Angaben des Klinikums Höchst gibt es in der eingesetzten KIS-Soft- ware bislang keine softwaretechnische Lösung, die die Patientendaten von Mitarbeitern besonders schützt. Somit müssen, solange das eingesetzte KIS keine ausreichenden technischen Möglichkeiten bietet, entsprechend angemessene organisatorische Maßnahmen ergriffen werden, um die Patien­ tendaten der Mitarbeiter/-innen zu schützen. Neben der Sensibilisierung der Mitarbeiter/-innen ist dabei die Protokollierung der Zugriffe im KIS und deren regelmäßige Auswertung von zentraler Bedeutung für die datenschutzge- rechte Ausgestaltung des KIS. Die Protokolldaten dienen letztendlich auch zum Nachweis der fehlerfreien und ordnungsgemäßen Datenverarbeitung und zur Aufdeckung von missbräuchlichen Zugriffen oder Zugriffsversu- chen. Entsprechend den Forderungen in der OH KIS muss ein Verfahren für regelmäßige, verdachtsunabhängige Kontrollen sowie für Fälle eines Verdachts auf unberechtigte Zugriffe vorgesehen sein. Dabei sind Fallakten von Mitarbeiter/-innen in einem angemessenen Umfang mit einzubeziehen. Im Interesse der Transparenz für alle Beteiligten ist das entsprechende Protokollierungs- und Auswertungskonzept den Mitarbeiter/-innen bekannt zu machen. Im Klinikum wurde mittlerweile ein entsprechendes Konzept erstellt und umgesetzt. Da es in der Vergangenheit wiederholt zu unberechtigten Zugriffen auf Patientendaten von Mitarbeiter/-innen im Klinikum gekommen ist, war auch zu vermuten, dass es einzelnen Mitarbeiter/-innen an der entsprechenden Sensibilität für den Datenschutz mangelt. Ich habe die Klinik aufgefordert, geeignete Maßnahmen zu ergreifen, um das Datenschutzbewusstsein der Mitarbeiter/-innen zu verbessern. Die Klinik hat darauf reagiert und ent- sprechende Informationen und Rundschreiben verschickt. Weiterhin sind die Mitarbeiter/-innen verpflichtet, regelmäßig an Datenschutzschulungen teilzunehmen. Zusätzlich erfolgen abteilungsspezifische Schulungen zu 54

Datenschutzbericht bis 24.05.2018 Datenschutzthemen, um auf Besonderheiten in der jeweiligen Arbeitseinheit einzugehen. Zwischenzeitlich hat mir die Klinik erste Teile eines überarbeiteten Zugriffs- konzepts vorgestellt, in dem die Möglichkeiten von unberechtigten Zugriffen auf Patientendaten weiter reduziert werden können: –– Um zukünftig in Notfällen trotz der eingeschränkten Zugriffsberechtigungen auf Patientendaten außerhalb des eigentlichen Zuständigkeitsbereichs zugreifen zu können, wird ein Notfallzugriff eingerichtet. Jeder Zugriff über diese Funktion ist vom Nutzer zu begründen und wird dokumentiert. Monatlich erfolgt eine stichprobenhafte Prüfung und Auswertung der erfolgten Zugriffe. –– Weiterhin wurde die bislang klinikweite Patientensuchfunktion einge- schränkt. –– Um eine unbefugte Nutzung des KIS durch Dritte auszuschließen, erfolgt zukünftig eine automatische Abmeldung des Mitarbeiters vom KIS bei längerer Inaktivität. Die Diskussion über einige Bereiche ist aktuell noch nicht abgeschlossen. So hat man mir zugesagt, auch weiter an einer technisch befriedigenden Umsetzung eines Konzepts zum Schutz von VIPs oder Mitarbeitern, die sich in Behandlung befinden, zu arbeiten. Ich werde die diesbezüglichen Entwicklungen weiterverfolgen. 3.4.3 Einsichtnahme in die Patientenakte durch Erben und Angehörige nach dem Tod des Patienten Erben und Angehörige haben im Fall des Todes der Patientin oder des Patienten ein Recht auf Einsicht in die Patientenakte der oder des Verstor- benen unter den Voraussetzungen des § 630g Abs. 3 BGB. Immer wieder zeigt sich jedoch, dass Ärzteschaft und Krankenhäuser nicht rechtssicher mit dem Anspruch umgehen. In der ersten Jahreshälfte gingen in meiner Behörde mehrere Beschwerden darüber ein, dass Angehörigen verstorbener Patientinnen und Patienten Akteneinsicht in die Patientendokumentation verwehrt wurde. In einem Fall handelte es sich um die Schwester einer verstorbenen Patientin, in einem weiteren um die Tochter des Verstorbenen. Beide beriefen sich gegenüber den Krankenhäusern auf ihr Recht aus § 630g Abs. 3 BGB als Angehörige. Ein immaterielles Interesse wurde jeweils vorgetragen. 55

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz § 630g BGB (1) Dem Patienten ist auf Verlangen unverzüglich Einsicht in die vollständige, ihn betreffende Patientenakte zu gewähren. … … (3) Im Fall des Todes des Patienten stehen die Rechte aus den Absätzen 1 und 2 zur Wahrnehmung der vermögensrechtlichen Interessen seinen Erben zu. Gleiches gilt für die nächsten Angehörigen des Patienten, soweit sie immaterielle Interessen geltend machen. Die Rechte sind ausgeschlossen, soweit der Einsichtnahme der ausdrückliche oder mut- maßliche Wille des Patienten entgegensteht. Die Einsicht wurde aus vielerlei Gründen verwehrt. Der Schwester gegenüber machte das Krankenhaus u. a. geltend, sie sei keine „nächste Angehörige“, es würden wohl noch Kinder und der Ehemann der verstorbenen Schwester leben, die in der Rangfolge vor ihr kämen. Soll- ten diese verstorben sein, stünde der Schwester ein Recht auf Einsicht zu. Von der Tochter des Verstorbenen wurde zunächst ein Erbschein verlangt. Sollte dieser dem Krankenhaus als Nachweis der Erbschaft vorgelegt wer- den, würde die Kopie der Akte ohne weitere Nachfrage übersandt werden. Als die Tochter sich mangels eines Erbscheins auf ihr Recht als Angehörige berief, wurde ihr entgegnet, die Unterlagen könnten nur mit vermutetem Einverständnis des verstorbenen Patienten zur Verfügung gestellt werden. Ein solches müsse von ihr belegt werden. Das in § 630g BGB normierte Recht des Patienten auf Einsicht in die ihn betref- fende Patientenakte dient nach der Gesetzesbegründung der Verwirklichung seines Rechts auf informationelle Selbstbestimmung (BTDrucks. 17/10488, S. 26). Trotz des zivilrechtlichen Charakters der Norm ist diese auch daten- schutzrechtlich relevant. Zum Begriff der „nächsten Angehörigen“ habe ich die Position bezogen, dass von einer Rangfolge der in der Gesetzesbegründung genannten Angehörigen (Ehegatten, Lebenspartner, Kinder, Eltern, Geschwister und Enkel) nicht auszugehen ist. Das Fehlen einer ausdrücklichen Bestimmung zur Rangfolge spricht dafür, dass eine solche nicht vorgesehen ist und somit alle nächsten Angehörigen gleichermaßen bei Vorliegen eines immateriellen Interesses zur Einsichtnahme berechtigt sind. Hierin unterscheidet sich die Vorschrift des § 630g Abs. 3 BGB etwa von den Vorschriften des Transplantationsgesetzes (TPG), das in § 1a Nr. 5 ausdrücklich eine Rangfolge bestimmt und in den folgenden Vorschriften jeweils nur von einem nächsten Angehörigen spricht (vgl. § 3 Abs. 3 TPG, § 4 Abs. 1 und 2 TPG) oder von § 77 Abs. 2 StGB, der ebenfalls eine Rangfolge der antragsberechtigten Angehörigen vorgibt. Der Wortlaut des § 630g Abs. 3 BGB bestimmt „die nächsten Angehörigen“ als an- 56

Datenschutzbericht bis 24.05.2018 spruchsberechtigt. Wäre der Gesetzgeber von einer Rangfolge ausgegangen, hätte er „den nächsten Angehörigen“ als Anspruchsberechtigten bestimmt. Zudem habe ich im zweiten Fall darauf hingewiesen, dass die Beweislast für einen entgegenstehenden Willen die behandelnde Person trägt. Nicht die Angehörigen bzw. die Erben müssen mithin darlegen und beweisen, dass die oder der Verstorbene mit einer Einsicht einverstanden gewesen wäre, sondern die oder der Behandelnde muss in Grundzügen darlegen und be- weisen, dass der Einsichtnahme der ausdrückliche oder mutmaßliche Wille der oder des Verstorbenen entgegensteht. Dies ergibt sich schon aus dem Wortlaut des § 630g Abs. 3 Satz 3 BGB und soll – unter Berücksichtigung des Schutzes des Patienten in Bezug auf die in der Patientenakte enthaltenen Informationen auch über seinen Tod hinaus – dem Grundsatz Rechnung tragen, dass es im Normalfall dem Willen des Patienten entspricht, dass nach seinem Tod Erben und Angehörige die Patientenakte im gesetzlich definierten Umfang einsehen. Den beiden Angehörigen wurde daraufhin von den Krankenhäusern Einsicht gewährt. Aufgrund der zahlreichen zu Tage getretenen Unsicherheit im Umgang mit dem § 630g Abs. 3 BGB habe ich die in den Fällen relevanten Fragestellun- gen zusammengefasst und ein Informationspapier für meine Homepage erstellt (https://datenschutz.hessen.de/datenschutz/gesundheits-und-­sozialwesen/ gesundheitswesen/einsichtnahme-die-­patientenakte-durch-erben). 3.5 Technik, Organisation 3.5.1 Angriffsszenarien Spectre und Meltdown: Was bedeuten sie für virtualisierte Umgebungen? Seit mehreren Jahren ist auf Unternehmensseite ein anhaltender Trend zur Virtualisierung von IT-Infrastrukturen und zur Verlagerung von Diensten und Applikationen in die Cloud zu beobachten. Am 03.01.2018 wurden unter den Namen Spectre und Meltdown zwei Arten von Angriffsszenarien auf gravierende Schwachstellen in modernen Prozessorarchitekturen veröffentlicht. Hiervon sind in großem Umfang virtualisierte Umgebungen betroffen, sodass aus Sicht des Datenschutzes eine Analyse möglicher Auswirkungen und resultierender Risiken als Grundlage für eine angemessene Risikobewertung unerlässlich ist. Virtualisierung und Cloud-Computing Virtualisierung und Cloud-Computing sind zwei eng miteinander verknüpfte, weit verbreitete und populäre Trends im Kontext heutiger IT-Landschaften. 57

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz Hierbei kommt häufig eine Virtualisierung als Grundlage des Cloud-Computing zum Einsatz. Ein wesentliches Konzept der Virtualisierung ist die gemeinsa- me Nutzung von Hardware-Ressourcen bei gleichzeitiger Abgrenzung der nutzenden Software-Systeme untereinander. Einem Software-System wird hierbei eine virtuelle Umgebung exklusiv zur Verfügung gestellt. Mehrere vir- tuelle Umgebungen können auf Basis ein und derselben Hardware-Plattform parallel und voneinander separiert betrieben werden. Durch die Separierung werden virtuelle Umgebungen derart isoliert, dass unerwünschte Wechsel- wirkungen, etwa der wechselseitige Zugriff auf Daten, unterbunden werden. Durch solche Maßnahmen wird u. a. das Ziel einer Mandantentrennung verfolgt. Aus Sicht des Betreibers von Virtualisierungsplattformen lassen sich Hardware-Ressourcen insbesondere dann effizient einsetzen, wenn auf ihnen mehrere virtuelle Umgebungen gleichzeitig zum Einsatz kommen. Neben wirtschaftlichen Aspekten werden hierdurch auch Forderungen an eine Green IT erfüllt. Grundlage der Virtualisierung ist eine Trennung in die wesentlichen Kom- ponenten Wirt und Gast. Ein Wirt übernimmt vor allem die Kernaufgabe der Verwaltung von Ressourcen. Er stellt Gästen virtuelle Gast-Umgebungen zur Verfügung und übernimmt die Zuteilung der verfügbaren Ressourcen an diese Gast-Umgebungen. Gäste nutzen die ihnen zugeteilte virtuelle Umgebung zur Erfüllung ihrer Aufgaben. Die folgende Abbildung zeigt diese Struktur schematisch. Gast           Gast            Gast           Gast Gast-          Gast-           Gast-         Gast- umgebung        umgebung       umgebung       umgebung Wirt Ressourcen Abbildung: Grundaufbau virtualisierter Umgebungen In der Praxis kommen unterschiedliche Virtualisierungsarten vor. Prominente Vertreter sind die Hardware- und die Betriebssystem-Virtualisierung. Bei der Hardware-Virtualisierung stellt der Wirt dem Gast eine virtuelle Maschine als Gast-Umgebung zur Verfügung, welche dieser i. d. R. zunächst als Ba- sis für die Installation und Konfiguration eines Betriebssystems verwendet. Anschließend erfolgen weiterführende Aktivitäten gemäß dem beabsichtig- ten Einsatzzweck, etwa die Installation, Konfiguration und Inbetriebnahme 58

Datenschutzbericht bis 24.05.2018 von Diensten. Die Betriebssystem-Virtualisierung verfolgt den Ansatz der gemeinsamen Nutzung eines Betriebssystems durch Gäste. Während das Basis-Betriebssystem bzw. dessen Kern gemeinsam genutzt wird, können darauf aufbauende Komponenten, z. B. Bibliotheken, Gästen zur Verfügung gestellt und durch diese exklusiv genutzt werden. Die Bereitstellung der Gastumgebung erfolgt hierbei in Form eines sogenannten Containers. Eine wesentliche Anforderung beim Einsatz von Virtualisierungsplattformen ist, aus Sicht des Datenschutzes, eine uneingeschränkte Isolation der virtu- ellen Umgebungen untereinander. Eine solche Isolation ist grundlegend für eine Mandantentrennung, die wiederum Voraussetzung einer datenschutz- konformen Verarbeitung von personenbezogenen Daten ist. Dies gilt umso mehr, falls sich Umgebungen unterschiedlicher Nutzer ein und dieselbe Hardware-Plattform teilen, etwa im Kontext der Plattform eines Cloud-Dienst- leisters (Public Cloud). Andernfalls könnten sich potenziell unkalkulierbare Risiken für Gewährleistungsziele, wie Verfügbarkeit, Integrität, Vertraulichkeit und Nichtverkettbarkeit, ergeben. Rollen Im Kontext virtualisierter Umgebungen sind unterschiedliche Rollen mit ent- sprechenden Verantwortlichkeiten zu berücksichtigen. Diese lassen sich in die zwei Gruppen Hersteller und System-Betreibende unterteilen. In der Gruppe der Hersteller sind diejenigen Rollen zusammengefasst, die Hardware oder Software als Grundlage virtueller Architekturen bereitstellen. Entsprechend lässt sich die Gruppe der Hersteller weiter in Hardware- und Betriebssystem-Hersteller sowie Hersteller von Virtualisierungssoftware unterteilen. In der Gruppe der System-Betreibenden sind Plattform-Betreibende und Gast-Betreibende zusammengefasst. Erstere setzen eine Kombination aus Hardware und Software ein, um eine Virtualisierungsplattform bereitzustellen und dauerhaft zu betreiben. Letztere nutzen eine vom Plattform-Betreibenden auf Basis seiner Virtualisierungsplattform bereitgestellte virtuelle Umgebung, um hierauf aufbauend die von ihm gewünschten Anwendungen und Dienste bereitzustellen. Es ist hervorzuheben, dass durchaus mehrere Rollen von ein und demselben Akteur wahrgenommen werden können. So kann bspw. ein Unternehmen eine eigene Virtualisierungsplattform (Private Cloud) betreiben und auf Basis dieser Dienste bereitstellen. In diesem Szenario würde das Unternehmen sowohl die Rolle des Plattform-Betreibenden als auch die des Gast-Betrei- benden einnehmen. 59

Der Hessische Beauftragte für Datenschutz 47. Tätigkeitsbericht zum Datenschutz Komplexe IT-Landschaften In den beiden vorangegangenen Kapiteln wurden virtuelle Umgebungen und Rollen dargestellt. Dabei wurde auf eine einzelne physische Umgebung und deren Hardware-Ressourcen fokussiert. Plattform-Betreibende verfügen in ihrer jeweiligen Plattform-Landschaft jedoch in der Regel über mehrere phy- sische Umgebungen. Diesen ordnen sie Gast-Umgebungen zu. Die Menge der einem Gast zur Verfügung gestellten virtuellen Umgebungen und der Verbindungen zwischen diesen bilden entsprechend eine Gast-Landschaft. Bisher wurde jeweils von genau einem Gast-Betreibenden und genau einem Plattform-Betreibenden ausgegangen. Diese Situation ist jedoch häufig so nicht gegeben: Ein Unternehmen kann virtuelle Umgebungen bei unterschiedlichen, unterneh- mensexternen Plattform-Betreibenden, etwa in einer Public Cloud, anmieten. Gleichzeitig kann das Unternehmen selbst intern als Plattform-Betreibender mit eigenem Rechenzentrum auftreten. Im Kontext öffentlicher Virtualisie- rung-Plattformen kommt es darüber hinaus häufig zu Situationen, in denen virtuelle Umgebungen unterschiedlicher Gäste auf derselben physischen Umgebung eines Cloud-Dienstleisters betrieben werden. Im Ergebnis sind im praktischen Einsatz häufig komplexe IT-Landschaften mit einer Vielzahl von Akteuren in unterschiedlichen Rollen anzutreffen. Dies gilt insbesondere für Public Clouds. Auswirkungen Sofern eine uneingeschränkte Mandantentrennung der einzelnen virtuellen Umgebungen untereinander sowie in Bezug auf Verbindungen zwischen diesen gewährleistet ist, ist aus Gast-Sicht eine Fokussierung auf die eigene virtuelle Gast-Landschaft ausreichend. Dies ist aus Sicherheitsgesichtspunk- ten möglich, da in einem solchen Szenario eine vollständige Abgrenzung der Gast-Umgebungen und -Landschaften sichergestellt ist. Durch die von Spectre und Meltdown ausgenutzten Schwachstellen in modernen Prozessorarchitekturen ist das unberechtigte Auslesen von Spei- cherbereichen und somit von Daten auf Hardware-Ebene möglich. In Be- zug auf die vorangegangenen Erläuterungen zur Virtualisierung und zum Cloud-Computing bedeutet dies, dass die unterste Ebene der skizzierten Architekturen betroffen ist. Auf dieser Ebene werden Ressourcen bereitgestellt, die auf darüber liegenden Ebenen an Gast-Umgebungen vergeben werden. Dementsprechend besteht, sofern die zugrundeliegende Hardware von den Schwachstellen betroffen ist, grundsätzlich die Gefahr eines Ausspähens von Daten über die Grenzen von Gast-Umgebungen hinweg. Dies gilt für 60