Mit einem überarbeiteten Onlinezugangsgesetz (OZG) will die Ampelkoalition die stockende Digitalisierung in der Verwaltung voranbringen. Dass Deutschland in diesem Prozess deutlich hinterherhinkt, zeigen andere EU-Länder wie Dänemark oder Estland. Sie gelten hierzulande als leuchtende Vorbilder. Dabei wird häufig übersehen, dass sie anders als Deutschland zunächst eine Gesamtstrategie entwickelt haben, die unter anderem technische Standards und Regeln, diverse Software und Rechtsvorschriften in Einklang bringt.
Doch dem OZG-Entwurf von Innenministerin Nancy Faeser fehlt weiterhin dieser grundsätzliche Ansatz, kritisiert unter anderem der Normenkontrollrat vehement. Ohne Gesamtstrategie leidet die Effizienz, IT-Sicherheit und die Art und Weise, wie Digitalisierung bei uns als Bürger:innen ankommt. Die Folgen davon erklärt der OpenData-Aktivist Markus Drenger im Interview. Er ist als IT-Sicherheitsexperte und Berater tätig, zuvor hat er unter anderem zu Themen der Digitalisierung im Bundestag und im Landtag Nordrhein-Westfalen gearbeitet.
Verwaltungsdigitalisierung ohne Plan
netzpolitik.org: Was läuft in der deutschen Verwaltungsdigitalisierung im Moment schief, vor allem mit Blick darauf, wie eine verantwortungsvolle Digitalisierung aussehen müsste?
Markus Drenger: Über drei wesentliche Punkte macht sich die Politik zu wenig Gedanken. Es fehlt an einer passenden Architektur, damit Projekte aufeinander aufbauen können. Zweitens fehlt eine weit verbreitete Möglichkeit der Authentifizierung, etwa per Signatur. Und drittens fehlt ein sicherer Kommunikationskanal zwischen Behörde und Bürger:in, Unternehmen, Organisation.
Viele schauen gern nach Estland und fangen an zu schwärmen. Der Unterschied zu Deutschland ist aber, dass Estland beim Umsetzen der Verwaltungsdigitalisierung einen Plan hatte, ein System mit dem Namen X-Road, wo verschiedene Komponenten für verschiedene Bereiche definiert wurden. Dann wurden diese unabhängig voneinander entwickelt und ergaben eine Art Baukasten an verschiedenen Leistungen. Zusammen haben sie das Ökosystem gebildet. Dazu gehören unter anderem das Payment-Modul, das Thema Identifizierung mit Chip-Karten und mit dem OpenID-Server.
netzpolitik.org: Was läuft anders in Deutschland?
Drenger: In Deutschland werden diese Themen nicht in einer Gesamtstruktur zusammengefasst. Es gibt kein Architektur-Konzept. Das heißt, verschiedene Stellen entwickeln Bausteine, aber in verschiedenen Größen, so dass sie nicht zusammenpassen, wie Legosteine, die sich nicht miteinander kombinieren lassen. Aus der IT-Perspektive würde man beim Thema Identifizierung und Signatur anfangen, aber auch beim Thema Kommunikation. Wenn man die Punkte gelöst hat, kann man alle anderen deutlich leichter lösen und muss nicht erst das Rad neu erfinden.
Beispielsweise haben wir eigene Identifikationsmittel im Bereich Gesundheitswesen, eigene Zugangskarten für Ärzte, eigene Identifikationskarten für Anwälte, eigene Karten für Notare, zudem die BundID und die Service-Konten. Das heißt, wir haben für ein einzelnes Problem viele verschiedene Lösungen entwickelt, wo eine Lösung ausgereicht hätte.
Der Tellerrand der eigenen Behörde
netzpolitik.org: Woran liegt es, dass jeder Bereich für sich eigene Lösungen entwickelt hat?
Drenger: Das scheint mit dem Ressortprinzip zusammenzuhängen. Jedes Ministerium denkt zuerst an seinen Fachbereich. Zudem sind die Ministerien personell nicht aufgestellt, so etwas konzeptionell zu denken. Dort arbeiten eher Juristen und weniger die Software-Architekten. Auch die CIOs auf der jeweiligen Entscheidungsebene des Bundes und der Länder sind Juristen. Da ist niemand, der das Themengebiet technisch und architektonisch durchdringen kann.
netzpolitik.org: Wie wirkt sich das konkret aus?
Drenger: Es fehlt an politischer Gestaltung und es wird alles einer Arbeitsebene überlassen. Wenn ihre Aufgabe ist, Dinge zu verwalten, dann tut sie eben das, verwalten. Das heißt, sie beteiligt Externe, spricht mit allen anderen Stellen, trifft aber keine grundlegenden Entscheidungen. Es gibt niemanden, der das in die Hand nimmt. Die Stellen versuchen sich auf ihre Zuständigkeiten zu berufen und sich abzuschotten. Der Bund fühlt sich dann nicht dafür verantwortlich, was die Länder oder Kommunen machen.
Was es bräuchte, wäre ein 360-Grad-Blick, um wirklich alle Ebenen mitzudenken, auch wenn sie vielleicht nicht unmittelbar in der eigenen Zuständigkeit liegen. Nachhaltig wäre es, Lösungen zu bauen, die nicht nur für das eigene Ministerium, sondern auch für die Länder und Kommunen funktionieren. Das hätte eine ganz andere Hebelwirkung.
netzpolitik.org: Ist das nicht die Aufgabe des IT-Planungsrates, das zu koordinieren?
Drenger: Der IT-Planungsrat ist ein geschlossenes Gremium. Die Berichte, die dort vorgelegt werden, die Entscheidungen, die Unterlagen sind nicht öffentlich oder werden teilweise erst im Nachhinein veröffentlicht. Das heißt, man kann selten auf Beschlüsse im Vorhinein einwirken. Dabei sind diese oft besonders relevant für Wirtschaft und Zivilgesellschaft. Es fehlt hier an Beteiligungsformaten. Eigentlich würde man Anderes erwarten, gerade in Bezug auf die OZG-Umsetzung. Die Verwaltung ist hier aber sehr verwaltungszentrisch organisiert. Sie denkt die Leistungen aus einer Verwaltungsperspektive und gar nicht aus Sicht der Nutzerinnen und Nutzer.
Tuschelei hinter verschlossenen Türen
netzpolitik.org: Gibt es solche Beteiligungsformate in anderen Bereichen, die mit Verwaltungsdigitalisierung zu tun haben?
Drenger: Im digitalen Bereich gibt es kaum welche. Stellen der technischen Verwaltung wie der IT-Planungsrat oder auch der E-Justice-Rat schotten sich eher ab. Es gibt Formate auf Länderebene für den Austausch der Kommunen, wie den IT-Kooperationsrat in NRW. Auf der Ebene des IT-Planungsrates bleibt Vieles im Dunkeln. Es ist zum Beispiel schwierig, Anträge nach dem Informationsfreiheitsgesetz in diesem Bereich zu stellen. Alles, was mit IT und IT-Systemen zu tun hat, wird gern mit dem Verweis auf die IT-Sicherheit abgelehnt.
netzpolitik.org: Über welche Wege kommt man an Informationen?
Drenger: Die meisten öffentlichen Informationen stellen die Behörden auf privaten Fachkongressen zur Verfügung, also auf Veranstaltungen wie der Digitale Staat vom Behördenspiegel oder der Zukunftskongress der Agentur Wegweiser. Das sind Veranstaltungen, zu denen nur die öffentliche Hand und die Wirtschaft eingeladen sind, geschlossene Verkaufsmessen, die das Netzwerken der Firmen und Lobbyisten in die Verwaltung verbessern sollen. Die Eintrittskarte für den Digitalen Staat kostet für Leute aus der Wirtschaft über 1.000 Euro. Beamte bezahlen 80 Euro oder haben gratis Zutritt. Und die Zivilgesellschaft bleibt draußen.
Eigentlich kann man das so betrachten wie Facebook. Es ist eine private Plattform. Der Staat stellt jede Menge Beamte ab, die solche Kongresse besuchen, Vorträge halten und Inhalte produzieren, die die privaten Firmen aufgreifen und vermarkten. Für die Öffentlichkeit sind diese Inhalte nicht zugänglich.
netzpolitik.org: Was bedeutet das mit Blick auf die Vorgehensweise der Digitalisierung?
Drenger: Es gibt keine politische Gestaltung. Auf Verwaltungsebene und Arbeitsebene wird daher eine Art Beteiligungsspiel gespielt. Man bindet in gemeinsame Projekte von Bund und Ländern möglichst viele Akteure ein, was am Ende in eine Politikverflechtungsfalle führt. Je mehr Stakeholder involviert sind, desto größer wird der Kommunikationsoverhead, sodass man kaum noch effizient an einem bestimmten Problem arbeiten kann.
Das könnte man mithilfe einer Gesamtstrategie umgehen. Entsprechend klassischer Designprinzipien in der Informatik könnten Komponenten, unabhängig voneinander, modular und wiederverwendbar konzipiert werden. Angenommen man hat 1200 Formulare, dann würde man eine Bezahlfunktion nicht für jedes Formular einzeln bauen, sondern eine, die für alle funktioniert.
Bei Projekten, für die die Grundlagen noch fehlen, braucht man zurzeit ganz viele Provisorien und Brücken. Wir produzieren viele technische Schulden anstelle eines effizienten Systems. Die Insellösungen implementieren verschiedene Funktionen doppelt und dreifach. Dadurch werden sie immer teurer und komplexer und zunehmend schwierig in der Wartung.
Wir bräuchten hier wie bei der Corona-Warnapp eine öffentliche Debatte über die Architektur, um etwas zu schaffen, das datenschutzfreundlich ist, effizient und sicher, aber auch ausreichend modern, um als Basis zu dienen für die nächsten 20, 30 oder 80 Jahre in der digitalen Verwaltung.
Politische Spitze hat sich abgemeldet
netzpolitik.org: Hat der Prozess, dass Lösungen immer komplexer werden, irgendwo ein Ende?
Drenger: Ohne eine Gesamtstrategie, die Standards klar definiert, auf denen einzelne Lösungen aufbauen können, wird das Problem nur größer und größer. Um Projekte effizient und kostengünstig umsetzen zu können, muss man Komplexität reduzieren. Der Teile-und-herrsche-Grundsatz in der Softwareentwicklung bedeutet, dass man große Probleme herunterbricht auf kleinere und diese dann unabhängig voneinander löst. Anstatt sich jahrelang in Meetings und Gremien zu treffen, wäre es sinnvoller zu schauen, ob man das Riesenprojekt nicht in kleinere Themen aufspalten kann, um die dann einzeln zu lösen.
netzpolitik.org: Welche Stelle könnte das in die Hand nehmen?
Drenger: Die Digitalabteilung im Kanzleramt könnte durchaus zusammen mit den Ministerien ein entsprechendes Programm aufsetzen, um eine Strategie und einen Plan zu erarbeiten. Den könnte man auch unter Beteiligung der Öffentlichkeit und der Wirtschaft fortschreiben, um sich Knowhow und Input für das bestmögliche Ergebnis zu holen.
Wenn Verwaltungen immer nur ihre eigenen Berater fragen, dann ist die Wahrscheinlichkeit groß, dass ihnen Lösungen vorgeschlagen werden, die mehr Berater involvieren, als nötig ist. Die Frage ist aber, wie eine gemeinnützige Orientierung in den Plan integriert wird.
Todesstoß für ePerso
netzpolitik.org: Im Sinn einer solchen Orientierung bewirbt der Bund die BundID. Ist sie eine gute Lösung?
Drenger: Die BundID ist eine Krücke, die man gebaut hat, weil man die Leute nicht in die Lage versetzt hat, technisch einfach digital zu unterschreiben. Der ePerso hatte eigentlich die Funktion, offline Dokumente zu unterschreiben. Das wurde auch beworben. Dazu gibt es immer noch Flyer in den ganzen Bürgerämtern. Aber die Bundesdruckerei hat die Funktion eingestellt. Stattdessen verkauft sie Online-Signaturen. Während man vorher mit dem ePerso offline selbstständig und souverän unbegrenzt viele Signaturen hätte erstellen können, bezahlt man jetzt die Bundesdruckerei für jede einzelne Signatur, die online erstellt wird. Hier hat ihr Abrechnungsmodell dem ePerso den Todesstoß versetzt, weil man den ePerso insgesamt unbrauchbar gemacht hat.
netzpolitik.org: Was bedeutet das für den ePerso im Kontext der BundID?
Drenger: Der ePerso hat für die BundID nur noch die Funktion des Ausweisens, aber auch nur gegenüber einer Stelle, dem eID-Server. Das ist technisch unzureichend, weil man dann diese Identifizierung nicht gegenüber anderen nachweisen kann. Das heißt, wenn ein Bürger über den Portalverbund einen Antrag stellen möchte und der wird dann weitergeleitet an die Kommune, kann sie nicht mehr sehen, von wem der Antrag gekommen ist, vom Bürger, von einem Angreifer oder vom Portal-Server. Es gibt keinen Beweis mehr dafür, dass der Antrag vom Bürger stammt. Das erschwert natürlich die Überprüfbarkeit wie auch die Datenschutzprüfung enorm.
Ferner entspricht dieses Verfahren nicht dem Stand der Technik, weil man üblicherweise mehrere Faktoren haben möchte, um eine solche Willenserklärung auch nachvollziehen zu können.
netzpolitik.org: Wie würde das Ganze technisch ohne BundID aussehen?
Drenger: Die BundID ist eine schlechte Kopie vom Einwohnermeldeamt. Als Nutzer hat man ein Passwort und kann sich damit einloggen. Dabei haben wir bessere Lösungen. Weil so ein Passwort geklaut werden kann oder verloren geht, fangen Google, Apple, PayPal oder auch Banken an, solche Anwendungen an den Geräten festzumachen, wo ein sicherer Schlüssel gespeichert ist, oder arbeiten mit Chip-Karten. Anstelle der Servicekonten könnten wir ganz einfach den ePerso nutzen, um uns anzumelden und Nachrichten zu empfangen oder ähnliches.
Zersplitterte Landschaft treibt Aufwand in die Höhe
netzpolitik.org: Wie wirkt sich das Fehlen einer Gesamtstrategie auf die Personallage in den Behörden aus?
Drenger: Wir haben einige IT-Stellen in der Verwaltung, die jeweils einzeln betrachtet für ihren Bereich zuständig sind und dort die Systeme betreiben. Eine Kommune muss x Leistungen betreuen und hat dafür eine gewisse Anzahl an Administratoren. Da jede Kommune aber eigene Lösungen betreut, ist die Personallage angespannt. Mit flächendeckenden Open-Source-Lösungen wäre hier der Grundstein dafür gelegt, dass man nachnutzbare Pakete baut, wodurch auch der Administrationsaufwand sinkt.
Idealerweise gäbe es eine große IT-Abteilung, die remote mit den kleineren kooperiert. Dann könnte man spezialisierte Teams für die einzelnen Themen zusammenstellen, die diese dann betreuen. Das hätte den Vorteil, dass es nicht für jedes Thema Experten in den jeweiligen Stellen geben muss.
netzpolitik.org: Wie würde sich das auf IT- und Datensicherheit auswirken?
Drenger: Man könnte bestimmte Lösungen vereinheitlichen, ohne sie zu zentralisieren. Zwar würde man Vorlagen und Sammlungen verteilen, die vor Ort eingesetzt werden. Die Datenhoheit könnte aber bei den verschiedenen Stellen verbleiben. Damit würde man den Arbeitsaufwand deutlich reduzieren und das Ergebnis qualitativ höherwertiger machen. Denn an den Vorlagen könnte Personal arbeiten, das in dieser Hinsicht qualifizierter ist als das in den Kommunen. Wenn eine Vorlage einmal pro Bundesland erstellt wird und nicht alle 400 Kommunen in NRW das gleiche Problem selbstständig lösen müssen, würde das einiges an Kapazitäten freisetzen.
Kaum Nachnutzung trotz Einer-für-Alle-Prinzips
netzpolitik.org: Die Länder haben jeweils ein Themenfeld an OZG-Leistungen übernommen, für die sie Lösungen entwickeln. Dabei sollen sie das Einer-für-Alle-Prinzip (EfA) berücksichtigen. Das heißt, andere Länder sollen ihre Lösungen nachnutzen können.
Drenger: Verwaltung oder IT-Planungsrat verstehen das so, dass ein Land einen zentralen Dienst anbietet und die anderen diesen einkaufen. Das hat wenig mit Nachnutzbarkeit zu tun. Denn die anderen Länder müssen den Dienst unter Umständen mit hohem Aufand an eigene Systeme anpassen. Die Abstimmungsbedarfe steigen, für jeden EfA-Dienst muss man eine EfA-Koordinationsstelle schaffen. Das bedeutet viel Bürokratie und einen enormen Arbeitsaufwand für die Kommunikation zwischen den Stellen.
netzpolitik.org: Nimmt die Politik diese Problematik wahr?
Drenger: Es ist wie mit der Energiewende. Es muss Strom aus der Steckdose kommen. Die Frage ist aber, wie der Strom aus der Steckdose kommt und wie man das organisiert. Die Politik ist bei der Digitalisierung oft auf dem Niveau der Steckdose. Sie schaut sich nicht an, was die Probleme in der Produktion sind oder dass Open Source Vorteile hat, die Closed Source vielleicht nicht hat.
Wenn man sieht, was wir an Lizenzkosten zahlen für diverse Microsoft-Software, die wir jetzt für die OZG-Leistungen brauchen, kommt man bereits in einen Vendor Lock-in, wo die öffentliche Hand nicht mehr in der Lage ist, frei auszuschreiben und auch andere Hersteller zu berücksichtigen. Sie ist auf einzelne Hersteller angewiesen.
netzpolitik.org: Gibt es Bemühungen, daran etwas zu ändern?
Drenger: Die Verwaltung öffnet sich an einigen Stellen schon. Ich habe auch die Hoffnung, dass ein Bundestransparenzgesetz ganz viel Licht in diesen Bereich bringt. Für die Verwaltung wäre es auch hilfreich, wenn die Verwaltung das wüsste, was die Verwaltung weiß. Ganz viele Informationen sind zwischen den Stellen verteilt und nicht jede Verwaltung weiß, was andere Verwaltungen wissen.
Diese ganzen internen Gutachten und Vermerke zeigen, dass es der öffentlichen Hand schwerfällt, da einen ehrlichen Sachstandsbericht abzugeben. Gerade wenn Informationen und Berichtswesen den Weg nach oben nehmen, dann kommt oben im IT-Planungsamt immer an, dass alles ganz toll ist, Probleme fallen da eher unter den Tisch. Klar ist, dass es in jeder Beziehung eine neue Weichenstellung braucht, die die Ampel beschließen muss.
Danke für diese perfekte Bestandsaufnahme! Umfassender und präziser kann man das bestehende Debakel kaum formulieren.
Allerdings fehlt mir der fällige zweite Schritt nach einer Diagnose:
Welche Therapie wird empfohlen? Wer oder was könnte die real existierende Krankheit, dieses Siechtum, zu einer Heilung bringen?
Wo fangen wir an? Beim Föderalismus? Bei den „nützlichen Aufwendungen“ von Microsoft an politische Entscheidungsträger (auch Lobbyarbeit genannt)? Beim Vergaberecht? Es gibt dermaßen viele offene Baustellen, dass ich nicht wüsste, welche zuerst dran wäre. Hat Markus Drenger dazu Ideen?