Cloud-Souveraenitaet on Dr. Christian Knebel

Wildberger hat sechs Ministerien. Trump hat den Schlüssel zur Cloud. – Mai 2025 im E-Government-Rückblick.

Sat, 31 May 2025 20:00:00 +0200

Am 7. Mai 2025 vereidigt Bundeskanzler Friedrich Merz sein Kabinett. Das neue Bundesministerium für Digitales und Staatsmodernisierung (BMDS) unter Karsten Wildberger bündelt Kompetenzen aus sechs Ministerien : OZG, Staatsmodernisierung, IT-Beschaffung, das ITZBund, die strategische Vorausschau. Mehr stand noch nie unter einem digitalpolitischen Dach. In derselben Woche wird bekannt, dass Microsoft das E-Mail-Konto des Chefanklägers am Internationalen Strafgerichtshof (IStGH), Karim Khan, gesperrt hat, weil die Trump-Regierung Sanktionen gegen ihn verhängt hatte ( Tagesspiegel Background, Paywall ).

Klingt nach Zufall. Ist keiner. Der Mai zeigt an zwei Schauplätzen gleichzeitig, was Verwaltungsdigitalisierung 2025 bedeutet.

Das Ministerium, das ITZBund und die erste Machtfrage

Der Zuschnitt des BMDS ist ein echter Schritt. Markus Richter, bisheriger Bundes-CIO, bleibt als Staatssekretär, was operative Kontinuität sichert. Der Deutschland-Stack steht im Koalitionsvertrag. Und erstmals liegt die Zuständigkeit für souveräne Cloud, IT-Beschaffung und Verwaltungsdigitalisierung in einer Hand.

Dann, fast unmittelbar: Das Bundesfinanzministerium will das ITZBund nicht abgeben (Tagesspiegel Background, Paywall). Das ITZBund ist der IT-Dienstleister des Bundes mit Milliardenbudget. Ohne ihn ist das BMDS ein Ministerium mit Papier-Kompetenz, aber ohne operativen Hebel. Der Streit ist in der ersten Woche bereits da.

Das ist kein Betriebsunfall. Wer Haushalt und operative IT trennt, bekommt immer dieselbe Reibung. Der Schritt, der den Streit auflöst, ist nicht ein weiteres Abstimmungsgespräch, sondern eine klare politische Entscheidung: Wer am Ende entscheidet, BMDS oder BMF. Eine halbe Lösung kostet mehr als gar keine.

Parallel beginnt die Diskussion um den Deutschland-Stack, und sie beginnt so, wie solche Diskussionen in Deutschland beginnen: mit vielen Beteiligten, die alle etwas darin sehen wollen, und wenig Klarheit darüber, was der Stack eigentlich nicht enthält. Euro Stack, GovStack, Deutschland-Architektur: Die Begriffe kursieren parallel. Der IT-Planungsrat hat das Thema auf der Agenda, konkrete Beschlüsse gibt es noch nicht. Das ist der Moment, in dem Präzision mehr wert ist als Tempo. Ein Stack, der alles aufnimmt, ist keine Plattform. Er ist ein Verbund mit neuem Logo.

Was Karim Khans E-Mail-Konto mit dem Deutschland-Stack zu tun hat

Peter Ganten, Vorstandsvorsitzender der Open Source Business Alliance, nennt den IStGH-Fall einen „Weckruf für alle, die für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen verantwortlich sind" (Tagesspiegel Background, Paywall). Achim Weiß, CEO von Ionos, zieht die Konsequenz direkt: „Wenn Trump uns morgen die digitale Infrastruktur abdreht, sitzen wir auf dem Trockenen." Das ist kein hypothetisches Szenario mehr. Das ist der Mai 2025.

Die europäische Antwort auf genau diese Frage sollte Gaia-X sein. Fünf Jahre nach dem Start ist die Bilanz nüchtern (Tagesspiegel Background, Paywall): Standardisierungsfortschritte, einige frustrierte Unternehmen, kein handfestes Alternativangebot zu US-Hyperscalern. Die Idee war richtig. Die Umsetzung litt daran, dass zu viele Akteure zu viel auf einmal wollten, ohne dass irgendjemand die Entscheidung über Prioritäten hatte. Auch das ist ein Strukturproblem, kein Pech.

Was konkret hilft, zeigt sich ebenfalls im Mai: Die Schwarz Gruppe will mit ihrer Cloud-Tochter StackIT und SAP zum deutschen Hyperscaler werden . Wildberger war beim Start dabei. Das ist der andere Weg: Ein Unternehmen investiert in echte Infrastruktur, statt auf ein Konsortium zu warten. Kein Prozess, keine Taskforce. Einfach bauen.

Souveränität entscheidet sich nicht in Gipfelreden. Sie entscheidet sich in Beschaffungsentscheidungen. Jede Bundesbehörde, die heute einen europäischen Anbieter wählt, baut an der Antwort auf den IStGH-Fall. Das BMDS hat dafür jetzt die Zuständigkeit. Das ist keine Kleinigkeit.

Logineo und die Kosten der falschen Reihenfolge

Nordrhein-Westfalens Schulplattform Logineo steht vor dem Aus (Tagesspiegel Background, Paywall). T-Systems hat die Verträge gekündigt. Das Projekt existiert seit 2015, hat rund 200 Millionen Euro verschlungen und etwa 3.000 der 5.400 NRW-Schulen angebunden. Es scheitert nicht an fehlendem Budget, sondern an einer Architektur, die beim Start nicht nachnutzbar war und auf Technik setzte, die schon damals veraltet war.

Kritiker bringen es auf den Punkt: keine abgestimmte Strategie, keine Wiederverwendbarkeit, keine Einbindung der Schulträger. Das ist das Ergebnis, wenn die Reihenfolge falsch ist: erst entwickeln, dann fragen, was gebraucht wird.

Was hilft? Nicht das nächste Leuchtturmprojekt. Förderung, die Nachnutzung belohnt statt Innovation erzwingt. Die Agora Digitale Transformation empfiehlt im Mai genau das: Förderprogramme so umbauen, dass Kommunen für die Übernahme bewährter Lösungen gefördert werden, nicht für die Eigenentwicklung der nächsten Plattform. Der Weg ist nicht neu. Er wird nur nicht genommen.

Immerhin zwei konstruktive Signale aus dem Ökosystem: Google hat im Streit mit Nextcloud nachgegeben und gibt der App wieder volle Dateizugriffsrechte zurück. Und Wildberger bekannte sich auf der re:publica öffentlich zu Open-Source-Software, begleitet von erkennbarem Applaus. Beides sind noch keine Strategien. Aber es sind Signale, dass die Richtung stimmt.

Fazit

Der Mai 2025 ist der Monat des institutionellen Aufbruchs. Das BMDS ist real, die Kompetenz gebündelt, der Wille erkennbar. Und gleichzeitig: Die strukturellen Probleme treten ab Tag zwei in voller Schärfe auf. Der ITZBund-Streit ist ein Vorgeschmack. Der Deutschland-Stack ist noch eine Fläche ohne Kontur. Und der IStGH-Fall zeigt, dass die Welt auf keine Roadmap wartet.

An Kompetenzen mangelt es jetzt nicht mehr. An Entscheidungen schon.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade einordnen wollen, welche Cloud-Abhängigkeiten ein echtes Risiko darstellen, oder wenn Sie den Deutschland-Stack für Ihre eigene IT-Strategie schärfen wollen und einen Gesprächspartner suchen, der kein Produkt zu verkaufen hat: Schreiben Sie mich an.

Das Versprechen und die Entlassung. April 2025 im E-Government-Rückblick.

Wed, 30 Apr 2025 20:00:00 +0200

Am 9. April 2025 präsentierten CDU, CSU und SPD ihren Koalitionsvertrag . 144 Seiten, Titel: „Verantwortung für Deutschland." Digitale Souveränität steht weit vorne. Open Source soll mit „ambitionierten Zielen" vorangebracht werden. Das Zentrum für Digitale Souveränität (ZenDiS) wird namentlich als Träger genannt, ebenso wie die Sovereign Tech Agency und SPRIND . Am selben Tag beschloss das Bundesinnenministerium, ZenDiS-Geschäftsführerin Jutta Horstmann abzuberufen.

Das ist keine schlechte Koordination. Das ist die Diagnose.

Ambitionierte Ziele, vakante Strategie

Was der Koalitionsvertrag zu Open Source sagt, ist inhaltlich das Richtige: offene Schnittstellen, offene Standards, das IT-Budget strategisch ausrichten. Was fehlt, ist die Verbindlichkeit. Das von der SPD angestrebte 50-Prozent-Ziel für Open Source in der Beschaffung blieb draußen. Ein Digitalbudget fehlt ebenso. Alle Vorhaben stehen unter Finanzierungsvorbehalt. „Ambitionierte Ziele" ist eine Formel, die man ohne Konsequenzen stehen lassen kann.

Horstmann war dabei nicht irgendeine Managerin. Die Linux-Expertin und Politikwissenschaftlerin hatte das ZenDiS seit Oktober 2024 strategisch aufgestellt, Kooperationen mit Frankreich und den Niederlanden aufgebaut und openDesk als Plattform sichtbar gemacht. Das BMI begründete ihre Abberufung lapidar mit der „Bündelung von Prozessen und Kompetenzen." Die Formulierung erklärt nichts. Was bleibt, ist die von netzpolitik.org beschriebene Sorge , dass das ZenDiS zur Vertriebsorganisation wird: Produkte in die Breite bringen, Umsatz erzielen, die strategische Open-Source-Mission auf der Strecke lassen.

Das Muster ist nicht neu. Deutschland gründet Institutionen für digitale Souveränität, stattet sie mit Mandat und Sichtbarkeit aus und löst dann die Personalentscheidungen davon ab, wer das Mandat eigentlich trägt. Der IT-Planungsrat hat das ZenDiS 2021 erdacht, weil die Abhängigkeit der öffentlichen Verwaltung von US-Tech-Konzernen Informationssicherheit und Innovationsfähigkeit gefährdet. Ob das ZenDiS dieses Mandat unter neuer Führung noch verkörpert, ist offen.

Was würde helfen? Das geplante Digitalministerium könnte die strategische Rolle des ZenDiS verbindlich machen: konkrete Open-Source-Anteile im IT-Budget, Reporting-Pflichten, und die Einbindung der Bundesländer als Mitgesellschafter, die das BMI seit drei Jahren verschleppt . Ambitionierte Ziele brauchen Träger. Wer den Träger schwächt, schwächt das Ziel.

💡 Das 50-Prozent-Ziel wäre gar nicht nötig gewesen. Ein klares Anteilsziel von 20 Prozent für Open Source bei Bundesbeschaffungen, verbindlich und reportingpflichtig, hätte mehr Wirkung als jede Sonntagsformel.

Was trotzdem geliefert wird

Das ZenDiS selbst lieferte im April einen konkreten Beleg: openDesk kommt zur Bundeswehr . Die MS-Office-Alternative wird künftig in den deutschen Streitkräften eingesetzt. Kein Pilotprojekt, kein Memorandum. Ein geschlossener Vertrag. Open Source im Sicherheitsbereich, mit echten Anforderungen an Verfügbarkeit und Datenschutz. Das ist der Beweis, dass das Betriebsmodell funktioniert, auch wenn das Strategiekapitel gerade vakant ist.

Gleichzeitig erzeugt Donald Trumps Handelskrieg einen Marktdruck, den keine Kampagne hätte besser herbeireden können. Europäische Software-Anbieter melden deutlich gestiegene Anfragen . Die Abhängigkeit von US-Clouds ist nicht mehr akademisch: Das Bundesinnenministerium warnte im April explizit davor, dass ein Kollaps des EU-US Data Privacy Frameworks den Einsatz amerikanischer Cloud-Dienste für die Verwaltung faktisch unmöglich machen würde.

Das öffnet ein Fenster. Die Frage ist, ob die Verwaltung vorbereitet ist, es zu nutzen. Die Antwort aus der Praxis ist ernüchternd: Die Kosten für Clouddienste beim Bund werden laut einer Golem-Analyse massiv unterschätzt , weil Betriebskosten, Skalierungseffekte und Migrationsaufwände im Beschaffungsmodell kaum abgebildet sind. Wer jetzt in Alternativen investieren will, braucht zuerst einen realistischen Blick darauf, was der Status quo eigentlich kostet.

Bei der Registermodernisierung ist derweil eine pragmatische Idee in Bewegung: Cloud-Register. Die FITKO arbeitet an einem Konzept, das die dezentrale Registerlandschaft grundlegend verändern soll. Tausende Kommunen führen heute ihre Register lokal, viele auf eigenen Servern mit eingeschränkten Betriebszeiten. Der Koalitionsvertrag will Bundesregister auf „souveränen Cloud-Plattformen" zentralisieren. Welche Plattformen das sein sollen und was „souverän" in diesem Kontext konkret bedeutet: offen. Aber die Richtung stimmt. Und das NOOTS-System, das Register miteinander vernetzen soll, braucht genau diese Infrastruktur-Vereinheitlichung als Voraussetzung.

Das Ministerium und das Wimmelbild

Ende April wurde bekannt, was viele überrascht hat: Karsten Wildberger , bisheriger CEO von MediaMarktSaturn, soll erster Bundesdigitalminister werden. Kein Public-Administration-Hintergrund, kein explizites Open-Source-Profil, dafür Erfahrung in der Digitaltransformation eines komplexen Handelsunternehmens mit Filialnetz, Legacy-IT und Personaldruck.

Ob das reicht, ist die falsche Frage. Die richtige: Mit welchem Unterbau startet das Ministerium? Der Bitkom hat ein Papier vorgelegt, das eine koordinierende Einheit vorschlägt, die ZenDiS, Zentralstelle IT-Beschaffung, Digital Service und andere als „Spinne im Netz" zusammenführt. Das Prinzip klingt vernünftig. Die Gefahr ist dieselbe, die sich bei jedem neuen Koordinationsmechanismus in der föderalen IT zeigt: ein weiterer Layer, der das Wimmelbild unübersichtlicher macht, statt es zu vereinfachen. Der Bitkom formuliert das selbst: Die neue Einheit dürfe „das Wimmelbild nicht unübersichtlicher machen." Dass man das explizit hinschreiben muss, sagt alles über das Ausgangsproblem.

Der erste sichtbare Beweis für ein funktionierendes Digitalministerium wäre deshalb kein neues Konzeptpapier. Er wäre die Benennung dessen, was künftig nicht mehr parallel weiterläuft. Welche Förderlinien auslaufen. Welche Institutionen zusammengehen. Welche Verträge nicht verlängert werden. Reduktion ist die Funktion, nicht die Schwäche.

Fazit

April 2025 in zwei Sätzen: Der Koalitionsvertrag hat Open Source zur Staatsaufgabe erklärt. Das BMI hat am selben Tag die Person entlassen, die dafür am besten qualifiziert war.

An Absichtserklärungen mangelt es nicht. An messbaren Zielen, institutioneller Kontinuität und dem Mut zur Reduktion schon.

Hat Sie das Thema interessiert?

Wenn Sie gerade vor der Frage stehen, was „digitale Souveränität" in Ihrer Behörde oder Ihrem Projekt konkret bedeutet und welche ersten Schritte realistisch sind: Schreiben Sie mir. Ich denke mit, ohne mitzuverkaufen.

openDesk ist live. Der Sovereign Tech Fund ist Agency. – Oktober 2024 im E-Government-Rückblick.

Thu, 31 Oct 2024 20:00:00 +0100

Vom 15. bis 17. Oktober findet die Smart Country Convention in Berlin statt. Das ZenDiS nutzt die Bühne für den offiziellen Launch von openDesk 1.0 : die Open-Source-Office-Suite für die öffentliche Verwaltung, ab sofort als Enterprise Edition verfügbar, mit zwei Betriebsmodellen und ersten Bundesbehörden als Pilotkunden. Fast gleichzeitig wird der Sovereign Tech Fund zur Sovereign Tech Agency GmbH, einer eigenständigen Bundesgesellschaft unter SPRIND.

Zwei Institutionalisierungen in einem Monat. Beide erzählen dieselbe Geschichte: Open Source in der Verwaltung wächst aus der Pilotphase heraus.

openDesk 1.0: Was neu ist und was das bedeutet

openDesk ist seit Oktober nicht mehr im Beta-Status. Version 1.0 kommt als Enterprise Edition mit zwei Betriebsmodellen: Self-Hosting, unterstützt durch den ZenDiS-Partner B1 Systems, und Software-as-a-Service auf der StackIT-Infrastruktur der Schwarz Gruppe. Das bedeutet: Behörden, die keine eigene Serverkapazität haben oder wollen, können openDesk aus einer souveränen deutschen Cloud beziehen, ohne US-Hyperscaler zu benötigen.

Die integrierten Komponenten sind das, was man erwarten würde: Textverarbeitung, Tabellenkalkulation, E-Mail, Kalender, Videokonferenz, Cloudablage, Projektmanagement. Das Besondere ist nicht die Featureliste, sondern die Integration. Souveräne Office-Suiten scheitern in der Verwaltung regelmäßig nicht an einzelnen Funktionen, sondern an der fehlenden Kohärenz. Wer zwischen fünf verschiedenen Open-Source-Tools wechseln muss, wechselt irgendwann zurück zu Microsoft 365.

openDesk beantwortet das mit einer einheitlichen Oberfläche über alle Komponenten hinweg. Ob das in der Praxis hält, entscheidet sich nicht auf der SCCON, sondern in sechs Monaten, wenn die ersten Pilotbehörden ehrliche Rückmeldung geben.

Die Pilotkunden sind kein Zufall. BMI, Deutscher Wetterdienst, Technisches Hilfswerk und Robert-Koch-Institut sind keine Kleinstbehörden. Sie haben IT-Betrieb, Nutzeranforderungen und Compliance-Vorgaben in einem Maßstab, der einem echten Belastungstest nahekommt. Scheitert openDesk dort, hat man ein Problem. Hält es dort, hat man ein Argument.

Der nächste Schritt ist kein technischer, sondern ein beschaffungspolitischer: openDesk muss in Vergabeentscheidungen als Option erscheinen, nicht als Ausnahme. Das setzt voraus, dass Behörden wissen, dass es existiert. Die SCCON liefert Sichtbarkeit. Ausschreibungspraxis und Beschaffungsrichtlinien liefern Skalierung.

Was die Sovereign Tech Agency jetzt kann, was der Fund nicht konnte

Der Sovereign Tech Fund wird zur Sovereign Tech Agency GmbH . Der Unterschied klingt verwaltungsrechtlich. Er ist strategisch.

Als Pilotprojekt bei SPRIND war der STF agil, aber abhängig von jährlichen Haushaltsentscheidungen. Als eigenständige GmbH kann er Verträge mehrjährig planen, Personal mit Marktgehältern ausschreiben und Partnerschaften langfristig eingehen. Das sind Voraussetzungen, ohne die Open-Source-Infrastrukturförderung nicht skaliert.

Bis Ende 2024 hat der STF Verträge mit 60 kritischen Open-Source-Projekten geschlossen , Gesamtvolumen rund 23,5 Millionen Euro. Das klingt nach viel. Verglichen mit dem, was die öffentliche Verwaltung jährlich für proprietäre Lizenzen ausgibt, ist es wenig. Die Frage ist nicht, ob die Förderung gut angelegt ist. Die Frage ist, ob die Größenordnung stimmt.

Der Bundestag hat im Oktober 2024 zusätzlich rund vier Millionen Euro genehmigt, über den Regierungsvorschlag hinaus. Das ist ein Signal, dass der parlamentarische Rückhalt für Open-Source-Förderung vorhanden ist. Es ist kein Automatismus. Mit der Ampel, die auf ihr Ende zusteuert, ist offen, wie die nächste Regierung diese Linie hält.

💡 Was openDesk und Sovereign Tech Agency gemeinsam zeigen: Open Source in der Verwaltung braucht keine Manifeste. Es braucht laufende Systeme und institutionelle Dauerhaftigkeit.

Beide Launches im Oktober sind Schritte in diese Richtung. Die Belastungsprobe kommt 2025, wenn der Haushalt neu verhandelt wird und politische Prioritäten neu gesetzt werden.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

Digitale Souveränität nach dem Schock. Was jetzt konkret passiert. – März 2022 im E-Government-Rückblick.

Thu, 31 Mar 2022 20:00:00 +0200

Ein Monat nach dem russischen Angriff auf die Ukraine ist die Souveränitätsdebatte in der deutschen Verwaltungs-IT angekommen. Ministerien, Behörden und IT-Dienstleister diskutieren Abhängigkeiten, die vorher als Selbstverständlichkeit galten. Das ist gut. Die Frage ist, ob aus dieser Diskussion Entscheidungen werden, oder ob der Druck nachlässt, bevor die ersten konkreten Schritte getan sind.

Denn Souveränitätsdebatten haben ein bekanntes Muster: Laut, solange der Anlass akut ist. Still, wenn der nächste Quartalsbericht kommt.

Was aus der Souveränitätsdebatte konkret wird

Die Bundesverwaltung nutzt Microsoft-Produkte in erheblichem Umfang . Lizenzen, Infrastruktur, Kollaborationswerkzeuge. Das ist kein Betriebsunfall, sondern das Ergebnis von Beschaffungsentscheidungen über Jahrzehnte, die auf Funktionalität, Preis und Marktdurchdringung optimiert haben. Nicht auf Exit-Optionen.

Der richtige nächste Schritt ist nicht die Kündigung aller Microsoft-Verträge. Das wäre operativ nicht umsetzbar. Der richtige Schritt ist eine Priorisierungsentscheidung: Welche Systeme verarbeiten besonders schützenswerte Daten? Welche davon haben tragfähige europäische oder Open-Source-Alternativen? Diese Systeme sind die Kandidaten für die erste Migrationswelle.

Was dabei hilft: Behörden, die diesen Weg bereits gegangen sind, haben Erkenntnisse, die andere nicht neu erarbeiten müssen. Schleswig-Holstein hat öffentlich dokumentiert, was eine Ablösung von Microsoft-Produkten erfordert. Das ist kein Blaupausen-Dokument, aber ein ehrlicher Erfahrungsbericht. Wer beginnen will, fängt mit solchen Berichten an, nicht mit generischen Souveränitätsstrategien.

Bundescloud: Was existiert und was noch fehlt

Deutschland hat keine leere Infrastrukturlandschaft. Die Bundescloud als Rechenzentrumsinfrastruktur des Bundes existiert. Dataport, ITDZ Berlin und weitere Landes-IT-Dienstleister betreiben eigene Cloud-ähnliche Infrastrukturen unter deutschem Recht.

Was fehlt, ist die Skalierung. Und die Standardisierung. Wer als Behörde von AWS zu einem deutschen Anbieter wechseln will, steht vor dem Problem, dass jeder Anbieter eigene Schnittstellen hat, eigene Servicekataloge, eigene Betriebsmodelle. Der Aufwand für eine Migration ist deshalb nicht nur technisch, sondern auch administrativ erheblich.

Was helfen würde: ein föderaler Rahmen, der definiert, welche Anforderungen eine souveräne Cloud für die öffentliche Verwaltung erfüllen muss, und der mehrere Anbieter zulässt, die denselben Standard erfüllen. Wettbewerb innerhalb eines gemeinsamen Standards ist besser als ein einziger nationaler Anbieter ohne Wettbewerb.

Was die OZG-Umsetzung mit Souveränität zu tun hat

Das OZG schreibt vor, was digitalisiert werden soll, nicht womit. Viele EfA-Dienste (Einer für Alle) laufen auf proprietären Plattformen oder nutzen proprietäre Komponenten. Das ist kurzfristig pragmatisch. Mittelfristig baut es genau die Abhängigkeiten auf, die die Souveränitätsdebatte gerade sichtbar macht.

Der konstruktive Umgang: OZG-Dienste, die neu entwickelt oder neu vergeben werden, sollten Interoperabilität und Austauschbarkeit als Anforderungen enthalten, nicht als Wunschliste. Offene Schnittstellen, standardisierte Datenformate, dokumentierter Quellcode. Das erhöht den Aufwand bei der Erstentwicklung minimal. Es verhindert Lock-in für Jahre.

Wer diese Anforderungen nicht in die Leistungsbeschreibung schreibt, schreibt sie implizit heraus.

Hat Sie das Thema interessiert?

Wenn Cloud-Abhängigkeiten in Ihrer Behörde gerade neu bewertet werden und Sie einen strukturierten nächsten Schritt suchen: Das Kontaktformular unten öffnet die Tür.

Krieg in der Ukraine. Digitale Souveränität in neuem Licht. – Februar 2022 im E-Government-Rückblick.

Mon, 28 Feb 2022 20:00:00 +0100

Am 24. Februar beginnt der russische Angriff auf die Ukraine. Was das für die europäische Sicherheitsarchitektur bedeutet, wird in diesen Tagen intensiv diskutiert. Was es für die digitale Infrastruktur der deutschen öffentlichen Verwaltung bedeutet, wird zunächst weniger laut besprochen. Zu Unrecht.

Die Frage, wer welche Daten öffentlicher Verwaltungen auf welchen Servern unter welchem Rechtsrahmen speichert, war vorher eine Compliance-Frage. Ab jetzt ist sie eine geopolitische.

Was der Ukraine-Krieg für die öffentliche IT-Infrastruktur bedeutet

Die meisten deutschen Bundesbehörden, Länder und Kommunen nutzen Cloud-Dienste oder Software von US-amerikanischen Anbietern: Microsoft 365, AWS, Google Workspace in unterschiedlichen Varianten. Das ist kein Vorwurf. Es sind oft die leistungsfähigsten und am besten unterstützten Lösungen auf dem Markt.

Das Problem ist struktureller Natur. Der CLOUD Act von 2018 erlaubt US-Behörden unter bestimmten Umständen den Zugriff auf Daten von US-Unternehmen, auch wenn diese in Europa gespeichert sind. Das war vorher ein Datenschutzproblem. Im Kontext eines geopolitischen Konflikts wird es zu einer Infrastrukturrisikofrage.

Was öffentliche IT-Verantwortliche jetzt tun können: Das ist nicht der Moment für einen sofortigen Microsoft-Ausstieg. Das wäre operativ nicht umsetzbar und würde mehr Schaden als Nutzen bringen. Der richtige Schritt ist eine ehrliche Inventur: Welche Systeme haben welche Abhängigkeiten? Welche Daten liegen wo? Welche Verträge enthalten Exit-Klauseln? Diese Inventur schafft die Grundlage für einen mittelfristigen Migrationsplan, der machbar ist, statt einen Sofortausstieg, der es nicht ist.

Was GAIA-X dazu beitragen kann und was nicht

GAIA-X ist die europäische Antwort auf US-Cloud-Dominanz. Oder zumindest soll es das sein. Das Konsortium aus europäischen Unternehmen, Forschungseinrichtungen und Behörden arbeitet an einem Framework für einen europäischen Datenraum, der europäisches Recht respektiert.

Das Problem: GAIA-X ist ein Framework, keine Cloud. Es definiert Standards und Zertifizierungsprozesse, betreibt aber keine Infrastruktur. Wer eine sichere Alternative zu AWS braucht, findet in GAIA-X keinen Anbieter, sondern eine Spezifikation, die europäische Anbieter erfüllen können, wenn sie wollen.

Das ist nicht wertlos. Ein gemeinsamer Standard, der europäische Datenschutzregeln operationalisiert und Herstellerabhängigkeiten dokumentiert, ist eine Grundlage für informiertere Beschaffungsentscheidungen. Aber er ist kein Schnellschuss-Ersatz für AWS und Azure.

Was hilft: Der Fokus auf konkrete Bundescloud-Alternativen, also Rechenzentrumkapazitäten, die unter deutschem oder europäischem Recht operieren und für Verwaltungsdaten geeignet sind. Die BWI und die Infrastrukturen von Dataport oder ITDZ Berlin zeigen, dass solche Alternativen existieren. Was fehlt, ist der politische Wille, sie systematisch zu skalieren.

Was das für die nächste Beschaffungsentscheidung bedeutet

Wer gerade eine IT-Beschaffung vorbereitet, sollte zwei Fragen ergänzen, die bisher optional waren.

Erstens: Unter welchem Rechtsrahmen operieren Daten, die in diesem System verarbeitet werden? DSGVO-Konformität allein reicht nicht mehr als Antwort. Der CLOUD Act und ähnliche Drittstaaten-Zugriffsgesetze sind ein eigenes Risikofeld.

Zweitens: Wie sieht der Exit-Plan aus? Nicht als theoretische Option, sondern als konkrete Beschreibung, wie Daten und Prozesse in ein anderes System überführt werden könnten, wenn nötig. Wer das heute nicht beschreiben kann, hat sich in eine Abhängigkeit manövriert, die nicht zwangsläufig teuer war, aber im Ernstfall teuer wird.

Diese Fragen jetzt zu stellen, ist kein Panikmodus. Es ist Infrastruktur-Hygiene, die aus guten Gründen jetzt auf der Agenda steht.

Hat Sie das Thema interessiert?

Wenn die Souveränitätsfrage für Ihre IT-Infrastruktur gerade konkret wird und Sie einen Austausch suchen, der nicht mit einem Produkt endet: Das Kontaktformular unten ist der schnellste Weg zu mir.

Nach Schrems II: Cloud-Souveränität wird operativ. – August 2020 im E-Government-Rückblick.

Mon, 31 Aug 2020 20:00:00 +0200

Ein Monat nach dem Schrems-II-Urteil. Was ist passiert? Wenig Konkretes. Viel Diskussion.

Datenschutzbehörden haben Stellungnahmen veröffentlicht, die im Kern bestätigen, was das Urteil sagt: Datenübermittlungen in die USA ohne angemessene Schutzmaßnahmen sind rechtswidrig. Konkrete Sanktionen: noch nicht. Konkrete Handlungsanleitungen: begrenzt.

Microsoft hat angekündigt, Datenspeicherung und Verarbeitung in Europa ausbauen zu wollen. Was das bedeutet: Die Daten könnten in Frankfurt oder Amsterdam liegen, aber der Anbieter bleibt ein US-Unternehmen, das dem CLOUD Act unterliegt. Europäische Server lösen das Schrems-II-Problem strukturell nicht.

Was Behörden jetzt wirklich tun können

Die Frage, die nach Schrems II alle beschäftigt, ist praktisch: Was tue ich jetzt, am Montag, mit meinen Microsoft-Verträgen?

Die pragmatische Antwort: Nichts Überstürztes. Schrems II hat keine Übergangsfrist definiert. Datenschutzbehörden haben angekündigt, Beschwerden nachzugehen, nicht proaktiv alle Behörden zu prüfen. Es gibt Zeit für eine geordnete Strategie.

Was eine geordnete Strategie erfordert: Erstens eine Datenklassifikation. Welche Daten verarbeite ich in welchen Systemen? Sensible Kategorien (Gesundheit, Sozialdaten, Personalakten) sind sofort priorisiert, andere können warten. Zweitens eine Alternativenbewertung für die priorisierten Systeme. Was gibt es in Europa? Was kann von GAIA-X -zertifizierten Anbietern bezogen werden? Drittens ein Migrationspfad, der in Jahren, nicht Wochen denkt.

Wer all das in einem Monat abschließen will, scheitert. Wer es in drei Jahren plant, schafft es.

Was an Microsoft-Kritik fair ist und was nicht

Die Kritik an Microsoft nach Schrems II ist manchmal schärfer als berechtigt. Microsoft ist kein böser Akteur. Es ist ein US-Unternehmen, das US-Recht unterliegt. Dass der CLOUD Act US-Behörden Datenzugriff erlaubt, ist eine Konsequenz der US-Rechtslage, nicht einer Kooperationsbereitschaft von Microsoft.

Was fair zu kritisieren ist: Der Lock-in, den Microsoft-Produkte in vielen Verwaltungen erzeugt haben. Wer 20 Jahre auf Microsoft-Produkten aufgebaut hat, kann nicht in zwei Jahren migrieren, auch wenn er das wollte. Dieser Lock-in ist das eigentliche Problem, nicht Microsoft als Anbieter.

Was das für Beschaffungsentscheidungen heute bedeutet: Jede neue Lösung, die eingeführt wird, sollte ein dokumentiertes Exit-Szenario enthalten. Nicht als Drohung gegen den Anbieter, sondern als Sicherheitsnetz gegen zukünftige Rechtsentwicklungen, die niemand vorhersagen kann.

Hat Sie das Thema interessiert?

Wenn Sie eine Cloud-Strategie entwickeln, die Schrems-II-konform und operativ machbar ist: Über das Kontaktformular unten bin ich erreichbar.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.

Konjunkturpaket, Corona-Warn-App, GAIA-X. Ein Monat, drei Weichenstellungen. – Juni 2020 im E-Government-Rückblick.

Tue, 30 Jun 2020 20:00:00 +0200

Juni 2020 bringt drei Nachrichten, die alle auf dasselbe Thema einzahlen: Digitale Souveränität als praktische Politik.

Am 3. Juni beschließt die Bundesregierung ein Konjunkturpaket von 130 Milliarden Euro. Darin: drei Milliarden Euro für die Digitalisierung der öffentlichen Verwaltung, für OZG. Am 16. Juni startet die Corona-Warn-App als quelloffenes Projekt auf GitHub, entwickelt von SAP und Deutsche Telekom im Auftrag des Bundes. Am 4. Juni kündigen Frankreich und Deutschland gemeinsam GAIA-X als europäisches Cloud-Infrastrukturprojekt an.

Drei Milliarden Euro OZG-Budget. Eine Open-Source-App mit Millionen Downloads. Eine europäische Cloud-Vision.

Was das Konjunkturpaket für OZG ändert

Die drei Milliarden Euro für die Verwaltungsdigitalisierung sind das größte Digitalisierungs-Sonderbudget, das das OZG-Programm je hatte. Was das bedeutet: Finanzierungsengpässe, die bisher als Argument gegen schnellere Umsetzung dienten, sind für eine Weile kein Argument mehr.

Was es nicht ändert: die Kapazitätsfrage. Drei Milliarden Euro können nur dann zu Diensten werden, wenn Länder und Kommunen die Kapazität haben, sie einzusetzen. Was nützt ein Budget, wenn die IT-Dienstleister, die die Arbeit leisten müssten, bereits ausgelastet sind?

Die sinnvolle Verwendung des OZG-Sonderbudgets ist deshalb nicht nur Entwicklung neuer Dienste, sondern Kapazitätsaufbau: Stellen für kommunale IT, Schulungsprogramme für Nachnutzung, Betriebsfinanzierung für Komponenten wie BundID und Servicekonten. Wer drei Milliarden Euro vollständig in Neuentwicklung steckt, kauft Produkte ohne Betrieb.

Was die Corona-Warn-App zeigt

Die Corona-Warn-App ist am 16. Juni auf GitHub öffentlich. Das ist eine Premiere: Eine vom Bund finanzierte App mit offenem Quellcode, von Anfang an. Nicht als nachträgliche Transparenzgeste, sondern als Designentscheidung.

Was das Modell zeigt: Open-Source-Veröffentlichung öffentlich finanzierter Software ist technisch und rechtlich möglich. Es erfordert Willen, keine Gesetzesänderung. Die Sicherheitsreview durch die Community findet statt. Fehler werden schneller gefunden und gemeldet als bei geschlossenem Code.

Was das für den Rest des OZG-Programms bedeutet: Wer die Corona-Warn-App als Referenz nutzt, muss erklären, warum EfA-Dienste keinen offenen Quellcode haben. Das ist eine berechtigt unangenehme Frage.

Was GAIA-X leisten kann und was nicht

GAIA-X ist eine europäische Initiative, die Regeln für einen souveränen europäischen Datenraum definieren soll. Kein einzelnes Rechenzentrum, kein nationaler Cloud-Anbieter, sondern ein Rahmen, in dem interoperable, GDPR-konforme Cloud-Dienste entstehen können.

Was das für öffentliche Verwaltungen bedeutet: GAIA-X gibt langfristig Orientierung. Kurzfristig hilft es wenig. Wer heute eine Alternative zu AWS braucht, findet in GAIA-X kein Betriebsmodell, sondern eine Spezifikation.

Was es dennoch wert ist: GAIA-X schafft eine gemeinsame europäische Sprache für digitale Souveränität. Das ist die Voraussetzung für koordinierte Beschaffungsentscheidungen, die heute noch bilateral ausgehandelt werden.

Hat Sie das Thema interessiert?

Wenn das Konjunkturpaket für Ihre OZG-Projekte Spielraum eröffnet oder Open Source als Beschaffungsstrategie für Sie ein Thema wird: Das Kontaktformular unten ist der direkteste Weg.