In den IT-Systemen der öffentlichen Verwaltung werden häufig sensible und vertrauliche Daten von Bürgerinnen und Bürgern sowie Unternehmen verarbeitet, die ein hohes Maß an Datenschutz und Sicherheit erfordern. Mit diesen Anforderungen geht auch die Forderung nach Souveränität der öffentlichen Verwaltung im digitalen Raum einher. Der CIO des Bundes, Dr. Markus Richter, definiert digitale Souveränität als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.“1
Der Koalitionsvertrag der aktuellen Regierungskoalition adressiert digitale Souveränität ausdrücklich als Ziel staatlichen Handelns, auch und vor allem in Krisenzeiten. Da Cloud-Technoogien mittlerweile die Basis der meisten IT-Systeme sind, hat die digitale Souveränität in Cloud-Systemen für die öffentliche Verwaltung sehr große Bedeutung. Die öffentliche Verwaltung ist im Wesentlichen durch den föderalen Staatsaufbau Deutschlands geprägt.
Grundlegende politische Entscheidungen werden auf Bundesebene getroffen, die Umsetzung der meisten Gesetze geschieht jedoch in der Verantwortung der Länder und Kommunen. Darunter fallen auch Entscheidungen über die eingesetzten IT-Systeme. Konkret bedeutet das die Möglichkeit, den Anbieter von IT-Komponenten frei zu wählen und auch wieder zu wechseln. Dies setzt die Kompetenz zur Bewertung von Alternativen sowie zur Entwicklung und zum Betrieb der eigenen IT-Systeme voraus. Ein weiterer Aspekt der digitalen Souveränität ist die Möglichkeit, eigene Anforderungen an Produkteigenschaften und die Vertragsgestaltung gegenüber Anbietern zu artikulieren und durchzusetzen.2
Vollkommene Freiheit bei der Auswahl und Gestaltung der IT-Systeme ist weder für Unternehmen noch für die öffentliche Verwaltung möglich oder sinnvoll. Möglich und wichtig ist aber, durch den Aufbau eigener Kompetenzen und Expertenwissen auf Augenhöhe mit Anbietern agieren zu können – und in der aktuellen Diskussion ist Kompetenz bezüglich digitaler Souveränität in Cloud-Systemen eine Schlüsselqualifikation.
In der Vergangenheit konnte die öffentliche Verwaltung ihre IT-Systeme on premise in ihren eigenen Dienstleitungszentren betreiben. Da mittlerweile viele IT-Komponenten nur noch cloudbasiert angeboten werden, können die Dienstleistungszentren die Datenhaltung und -verarbeitung nicht mehr vollständig in ihren eigenen, geschlossenen Systemen betreiben. Auch ist die mittlerweile notwendige Standardisier- und Skalierbarkeit mit klassischen, eigenen Rechenzentren nicht mehr erreichbar.
Ähnlich wie Unternehmen hat die öffentliche Verwaltung kaum eine Alternative dazu, Teile ihrer IT-Systeme in die Cloud zu verlagern. Daraus resultieren völlig neue Herausforderungen an IT-Sicherheit, Datenschutz und an die Wahrung staatlicher Handlungsfähigkeit – aber auch an die Rechtsstaatlichkeit der Verfahren.
Eine souveräne Cloud muss gewährleisten, dass uneingeschränkt deutsches Recht bei der Datenverarbeitung und -speicherung angewendet wird. Angesichts einer weitgehenden Dominanz US-amerikanischer Unternehmen ist eine wesentliche Frage daher der juristische und tatsächliche Standort der Datenverarbeitung und -speicherung in einer Cloud. Daher bieten alle großen Cloud-Provider mittlerweile Lösungen an, bei denen durch technische und organisatorische Maßnahmen der Zugriff auf Daten außerhalb von Deutschland ausgeschlossen werden kann. Und es gibt inzwischen auch eine Reihe von deutschen Unternehmen – nicht zuletzt das ITZBund mit seiner „Bundescloud“ – die Cloud-Services „Made in Germany“ anbieten.
Wenn es also bereits für den Einsatz in der öffentlichen Verwaltung zertifizierte Lösungen gibt, wieso werden diese Angebote noch nicht großflächiger von Bund, Ländern und Kommunen genutzt? Das liegt an der oben erwähnten föderalen Struktur unseres Staates. Es gibt nicht „die“ öffentliche Verwaltung – die Entscheidungen über die Nutzung von IT-Systemen werden nicht zentral getroffen, die Verantwortung für den Aufbau von Know-how und Expertise über den Einsatz von Cloud ist auf den Bund und die Länder verteilt.
Der IT-Planungsrat – ein Gremium zur Abstimmung der IT-Strategien zwischen dem Bund und den Ländern – hat eine Arbeitsgruppe Cloud-Computing und Digitale Souveränität (kurz: AG Cloud) zur Erarbeitung der Zielarchitektur einer einheitlichen deutschen Verwaltungscloud eingerichtet. Damit soll die Grundlage für gemeinsame Standards einer föderalen Cloud-Infrastruktur gelegt werden. Darüber hinaus spezifiziert der Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des BSI Mindestanforderungen an sicheres Cloud-Computing.3
Die politischen Fragestellungen sind leider in unserem föderalen System weit schwieriger zu lösen als technische. Denn die Vorteile der Cloud, wie Skalierbarkeit und gemeinsame Nutzung von Services, sind erst dann wirklich nutzbar, wenn Bund und Länder sich auf die flächendeckende Nutzung standardisierter Cloud-Systeme einigen. Und die bestehenden IT-Systeme bei Bund und Ländern sind im Moment in den wenigsten Fällen cloudfähig. Die nächste Herausforderung wird sein, die Verfahrenslandschaft bei Bund, Ländern und Kommunen mit völlig neuen Architektur- und Servicekonzepten in die Cloud zu bringen.
Es bleibt also noch ein weiter Weg.