Digitale Souveränität ist für Staat und Verwaltung ein Schlüsselthema. Im digitalen Zeitalter sind Daten und technische Infrastrukturen auch für sie die entscheidenden „Produktionsmittel“. Für die Informationstechnik (IT), mit der der Staat arbeitet, gelten besondere Anforderungen an Schutz, Sicherheit und Datenverarbeitung, denn der Staat verarbeitet sehr sensible Informationen und Daten.
Vor diesem Hintergrund ist nun folgendes zu beobachten: Die Software-Unternehmen wenden sich von der öffentlichen Verwaltung mit ihren Besonderheiten ab. Sie stellen nämlich ihre Geschäftsmodelle für Cloud Computing um: von der Strategie, immer mehr ihrer Software in die Cloud zu verlagern („Cloud first“) dahin, Software ausschließlich aus der Cloud anzubieten („Cloud only“). Künftig wird es deutlich weniger lizenzbasierte Modelle für die Nutzung von Software („on premise“) geben. Der Kunde hat dann nicht mehr die Wahl, ob er Software und die mit ihr verarbeiteten Daten in seinem eigenen Rechenzentrum betreibt oder ob er sie von Servern abrufen muss, die irgendwo auf der Welt stehen.
Der Staat ist in besonderer Verantwortung
Für den Staat bedeutet das einen Richtungswechsel. Staatliche Daten werden bislang vom Staat gehostet. Nicht von Privatunternehmen. Das hat seine Gründe, denn der Staat arbeitet mit nun einmal sensiblen Daten von Bürgerinnen und Bürgern, um das Gemeinwesen zu verwalten. Für ihre Erhebung, Nutzung und Speicherung gibt es datenschutzrechtliche Vorgaben. Privatunternehmen sammeln und speichern zwar auch Daten, das aber, weil auf ihnen ihre Geschäfte basieren. Daten sind so wertvoll wie Rohstoffe geworden. Daten von Bürgern und Unternehmen, mit denen der Staat arbeitet, sind jedoch keine Ware. Sie bedürfen eines ganz besonderen Schutzes.
Der Staat ist deshalb in besonderer Verantwortung, dafür zu sorgen, dass die Bürgerdaten auch in Zukunft nach deutschem Datenschutzrecht und für rein staatliche Zwecke verarbeitet werden. Das Schlüsselwort lautet hierbei „digitale Souveränität“. Damit ist gemeint: die Hoheit über eigene Daten und über die Informationstechnik, die man nutzt, zu haben und zu wahren. Ein Staat, der die Hoheit über seine Informationstechnik aufgibt und an private Unternehmen übergibt, hat keine Kontrolle mehr über Software, Services und Daten. In der Folge kann er auch nicht mehr die digitale Souveränität seiner Bürger schützen, denn er gibt deren Daten aus der Hand.
Der Schutz der digitalen Souveränität gehört somit zu den Kernaufgaben des Staates. Und deshalb ist „Cloud only“ für den Staat keine angemessene Antwort auf sein Schutzbedürfnis. Damit sind wir nun am Scheidepunkt. Der Staat und seine IT-Dienstleister müssen andere Wege gehen, um digital souverän zu bleiben. Drei Maßnahmen tragen dazu bei.
Dieses Maßnahmenpaket braucht es
Erstens: Abhängigkeit vermeiden und auf mehrere Anbieter setzen („Multivendor-Strategie“). Man braucht immer eine Alternative, um nicht von der Cloud-Strategie eines Anbieters abhängig zu sein.
Zweitens: Eigene Alternativen entwickeln. Das können Open-Source-Lösungen sein. Dataport entwickelt derzeit im Projekt Phoenix eine im eigenen Rechenzentrum gehostete Cloud-Plattform für die Verwaltung, die auf Open Source basiert. Sie bündelt verschiedene Dienste rund um Zusammenarbeit oder Kommunikation und löst gängige Produkte der Microsoft-Suite ab.
Drittens: Gemeinsam handeln. Keiner wird es allein schaffen, die digitale Souveränität gegen die wirtschaftlichen Interessen globaler IT-Player durchzusetzen. Nur mit Kooperation wird dies gelingen. Dafür müssen föderale Schranken überwunden werden, um arbeitsteilige Lösungen zu schaffen. Ziel sollte eine Cloud der öffentlichen IT-Dienstleister sein, die aus ihren sicheren Rechenzentren gemeinsam Services für alle Verwaltungen erbringen. Dieser Idee folgt auch die Genossenschaft Govdigital, die zehn öffentliche IT-Dienstleister, unter anderem Dataport, kürzlich gegründet haben, um gemeinsam digitale Infrastrukturen für den öffentlichen Sektor weiterzuentwickeln und zu betreiben.
Übrigens gibt es nicht nur bei uns „Öffentlichen“ Unbehagen beim „Cloud only“. Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) hat schon Ende 2018 Bedenken geäußert. Das spiegelte sich auch in Zahlen wieder: Kernprozesse wie Finanzen oder Personal gaben laut einer DSAG-Umfrage nur zehn Prozent der 3.500 Mitgliedsunternehmen aus der Hand (Marketing- und Vertriebsprozesse: 48 Prozent).
Vor uns liegt kein leichter Weg. Aber er ist der einzig gangbare, um die Balance zwischen den Interessen der staatlichen IT und denen der Technologieunternehmen zu verteidigen. Ich bin gesprächsbereit.
Johann Bizer ist seit November ist Vorstandsvorsitzender bei Dataport und verantwortlich für die Bereiche Lösungen und Ressourcen. Er ist Mitglied im Vorstand der Bundesarbeitsgemeinschaft der kommunalen IT-Dienstleister (Vitako). Den zweiten Teil der Debatte mit einem Beitrag von Nikolaus Hagl von SAP lesen Sie hier.
