Souveränität ist eine Architekturentscheidung

Die Corona-Krise hat 2020 vielen klar gemacht, was vorher Theorie war: Verwaltung muss auch dann liefern, wenn der Boden sich bewegt. Liefern heißt heute digital. Damit wird die Frage, wie souverän die Verwaltung dabei agieren kann, zur strategischen Hauptfrage. Sie gehört nicht mehr in die Schublade fürs Strategiepapier.

Souveränität ist keine Erklärung. Sie ist eine Architekturentscheidung.

Was Souveränität konkret bedeutet

Digitale Souveränität bezeichnet das selbstbestimmte Handeln im digitalen Raum: unabhängig von einzelnen Staaten und Anbietern entscheiden zu können, welche Software die Verwaltung einsetzt, wie sie weiterentwickelt wird und wer sie betreibt. Für die öffentliche Verwaltung ist das keine akademische Frage. Es ist die Voraussetzung dafür, dass eine Behörde im Krisenfall handlungsfähig bleibt – und nicht auf das Wohlwollen eines außereuropäischen Anbieters angewiesen ist.

Die Realität der deutschen Verwaltung sieht 2020 anders aus. Sie ist in weiten Teilen von wenigen großen Softwarekonzernen abhängig, allen voran Microsoft. Die vom Bundesinnenministerium beauftragte PwC-Studie aus dem September 2019 hat das nüchtern dokumentiert: ein Marktanteil von 84 Prozent allein bei Office-Paketen, eine Verzahnung von Outlook, Exchange und Windows Server, die Migration teuer und Wechsel praktisch unmöglich macht, dazu Lizenz- und Pflegekosten, die jedes Jahr neue Schmerzpunkte schaffen. Die Empörung war damals hoch und richtig . Wirklich verändert hat sich seit 2019 wenig.

Wer Souveränität ernst meint, fängt nicht mit der nächsten Strategie-Erklärung an. Sondern mit der nächsten Architekturentscheidung.

Open Source ist das Werkzeug, nicht das Bekenntnis

An dieser Stelle taucht regelmäßig die Open-Source-Frage auf, oft als Glaubensthema behandelt. Das ist aus zwei Richtungen falsch. Open Source ist weder das Wundermittel, das automatisch Souveränität liefert, noch eine Ideologie. Es ist ein Betriebsmodell – und was das für Verwaltungen konkret bedeutet, habe ich gesondert ausgeführt. Eines, das genau die Eigenschaften mitbringt, die Souveränität voraussetzt: Zugriff auf den Code, Möglichkeit zur Anpassung, Kontrolle über die eigene Roadmap, Auswahl bei Wartung und Support. Mehr als ein Anbieter darf das gleiche Produkt pflegen, und der Käufer entscheidet, wem er den Auftrag gibt. Nicht der einzige Hersteller, weil es niemanden sonst gibt.

Konkret bedeutet das nicht, einen US-Anbieter durch einen anderen zu ersetzen. Es bedeutet, eine Architektur zu bauen, in der jede Komponente austauschbar ist. Office-Anwendungen, E-Mail- und Kalendersysteme, Content-Management, Dokumentenmanagement, Videokonferenzen: für jeden dieser Bereiche existieren reife Open-Source-Stacks, die produktiv in Behörden laufen. Sie sind in der Regel nicht so eng integriert wie das Microsoft-Paket, und genau das ist der Punkt. Die Integration entsteht aus eigener Architekturarbeit, nicht aus Konzern-Vorgabe.

Mit GAIA-X , das im Sommer 2020 als deutsch-französisches Vorhaben Form annimmt, kommt erstmals ein europäischer Stack in Reichweite, der nicht von einem US-Hyperscaler abhängt. Auch die Bundescloud ist mehr als ein politisches Versprechen. Sie ist der Versuch, eigene Infrastruktur für die Bundesverwaltung zu bauen, in der Daten von Behörden und Ministerien geschützt liegen.

Diese Bausteine ersetzen nicht die Migration aus der Microsoft-Welt. Sie machen sie möglich. Dass das nicht von heute auf morgen geht, ist offensichtlich. Jede Neueinführung kostet Zeit, Geld und Nerven. Aber sie ist machbar, und die Alternativen liegen in Reichweite. Das Argument, „die Migration sei zu komplex", verschweigt, dass die Nicht-Migration ihre eigenen Kosten hat: weiter steigende Lizenzgebühren, weiter wachsende Lock-in-Effekte, weiter sinkender Verhandlungsspielraum.

Die europäische Frage steht dahinter

Der zweite Strang ist die europäische Perspektive. Eine Verwaltung, die ihre Daten in Rechenzentren auf US-amerikanischem Rechtsraum speichert, hat ein strukturelles Problem mit dem CLOUD Act und mit dem Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 . Speicherort, Hoheit und Jurisdiktion lassen sich nicht entkoppeln. Die Kernaussagen des BfDI zu Schrems II sind in diesem Punkt unmissverständlich. Vertragliche Klauseln allein reichen nicht aus. Wer Datenschutz ernst nimmt, muss die Infrastruktur ernst nehmen, auf der die Daten liegen.

Die Konsequenz daraus ist nicht Autarkie. Die Konsequenz ist Wahlmöglichkeit. Die Verwaltung muss in der Lage sein, zwischen Optionen zu entscheiden. Nicht in einer Situation enden, in der nur noch eine übrig ist.

Souveränität ist Daseinsvorsorge

Digitale Souveränität ist 2020 kein IT-Thema im engeren Sinn. Sie ist Daseinsvorsorge. Genauso wie der Staat dafür sorgt, dass Strom, Wasser und Verkehr funktionieren, muss er dafür sorgen, dass die digitale Infrastruktur, auf der das Verwaltungshandeln läuft, ihm gehört. Und nicht jemand anderem.

Das passiert nicht in der Strategie-Sitzung. Das passiert in jeder Vergabe, in jedem Architektur-Review, in jedem Vertrag.

Souveränität ist eine Architekturentscheidung. Sie ist eine Beschaffungsentscheidung. Und sie ist, am Ende, eine Lieferaufgabe.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.