Digitale-Souveraenitaet on Dr. Christian Knebel

Schleswig-Holstein macht es für drei Millionen. Mai 2026 im E-Government-Rückblick.

Sun, 31 May 2026 12:08:06 +0200

Ein Jahr Bundesdigitalministerium. Die Bilanz, die sich aus den Zahlen ergibt, ist ernüchternd: Die Länder haben Microsoft im Jahr 2025 rund 191 Millionen Euro überwiesen - 84 Prozent mehr als 2021. Der BMI-Rahmenvertrag liegt bei weiteren 481 Millionen Euro . Oracle kommt allein aus neun Ländern auf über 261 Millionen . Das sind keine Schätzungen. Das sind Zahlen aus parlamentarischen Anfragen.

Gleichzeitig zeigt Schleswig-Holstein, was möglich ist, wenn man aufhört zu warten: Der Standardarbeitsplatz kostet dort heute drei Millionen Euro pro Jahr statt achtzehn. Nicht durch ein Sonderprogramm, nicht durch eine neue Behörde. Durch LibreOffice statt Microsoft Office.

Ein Jahr BMDS: Das Werkzeug liegt bereit, wird aber kaum angefasst

Der IT-Zustimmungsvorbehalt war die große strukturelle Neuerung des ersten Jahres. Das Digitalministerium kann seitdem IT-Projekte anderer Ressorts prüfen und stoppen, bevor neue Abhängigkeiten entstehen. In der Theorie ist das genau das Instrument, das jahrelang gefehlt hat. In der Praxis wurden bisher gerade einmal rund 200 Projekte geprüft - bei einem Bundeshaushalt, der Hunderte von IT-Vorhaben parallel trägt.

Das ist kein Versagen des Ministeriums. Es ist ein Kapazitätsproblem mit struktureller Ursache: Wer jeden Projektstart prüfen will, braucht Kriterien, die das automatisch filtern. Nicht ein Team, das manuell entscheidet. Der Weg führt nicht über mehr Personal, sondern über andere Defaults. Wer Open Source als Standardoption in Ausschreibungsvorlagen setzt, muss proprietäre Entscheidungen aktiv begründen. Dann prüft das System, nicht der Sachbearbeiter.

Golem hat das erste Jahr des Digitalministeriums analysiert und die Lücke zwischen Ankündigung und Umsetzung klar benannt. Was jetzt fehlt, ist die nächste Entscheidung: Vergabedefaults ändern. Nicht in einer Legislatur. In den nächsten sechs Monaten.

Dabei passiert auf der Konzeptebene gerade etwas Wichtiges: Das ZenDiS hat ein Diskussionspapier zu Souveränitätskriterien vorgelegt, das digitale Souveränität messbar machen will. Die OSBA-Stellungnahme begrüßt das, setzt aber einen klaren Punkt: Messbarkeit ohne Verbindlichkeit ist Souveränitätswashing. Wer ein europäisches Rechenzentrum bucht, aber weder Quellcode einsehen noch die Roadmap beeinflussen kann, hat keine Souveränität. Er hat einen anderen Lieferanten.

Das ist die richtige Debatte. Und der Begriff trifft.

Was Schleswig-Holstein beweist

Während Berlin diskutiert, liefert Kiel Zahlen. Die Migration der Landesverwaltung von Microsoft Office auf LibreOffice hat die jährlichen Lizenzkosten für den Standardarbeitsplatz von 18 Millionen auf 3 Millionen Euro gesenkt. Das ist kein Pilotprojekt. Das ist Regelbetrieb.

Die OSB Alliance hat im Mai nachgelegt : Unter dem Titel “Trauen Sie sich, Herr Minister!” benennt sie konkrete Hebel, die heute verfügbar sind - keine neuen Gesetze, keine Haushaltsmittel. EVB-IT Musterverträge , die Open-Source-Beschaffung strukturell bevorzugen; OSS-first Vergabekriterien, die den Beweislastwechsel einleiten; Pflichtmeldung bei Neuverträgen mit denselben Herstellern, die schon die Bestandssysteme dominieren. Das sind Verwaltungshandlungen, keine Gesetzgebung.

Der Einwand, den man an dieser Stelle hört, ist immer derselbe: Das Vergaberecht lasse das nicht zu. Schleswig-Holstein hat es trotzdem gemacht. Zürich testet gerade openDesk im Echtbetrieb . Frankreich hat die DINUM-Toolbox. Die Frage ist nicht, ob es geht. Die Frage ist, wer anfängt.

💡 Drei Millionen statt achtzehn ist kein Proof of Concept. Das ist ein Referenzwert, an dem sich jede neue Beschaffungsentscheidung messen lassen muss.

Europa gibt Rückenwind

Bisher mussten Entscheider:innen in Behörden die Open-Source-Entscheidung gegen den Strom treffen. Das ändert sich strukturell: Die EU hat für den 3. Juni die Verabschiedung des Cloud Alignment and Data Act (CADA) angekündigt - Teil des Tech Sovereignty Package. Die EU gibt derzeit schätzungsweise 264 Milliarden Euro pro Jahr für US-IT-Dienstleistungen aus. CADA verpflichtet öffentliche Auftraggeber, bei neuen Cloud-Verträgen aktiv Alternativen zu prüfen und die Entscheidung zu dokumentieren.

Das ist kein Verbot. Es ist ein Begründungszwang. Wer weiterhin AWS, Azure oder Oracle bucht, muss erklären, warum keine europäische Alternative in Frage kam. Das klingt nach Bürokratie, ist aber das Gegenteil: Es macht die implizite Entscheidung für den Incumbent sichtbar. Und angreifbar.

Für Ministerien und Landesbehörden, die intern ohnehin über Souveränität sprechen, ist CADA eine Entlastung. Die Frage “Darf ich das?” stellt sich dann nicht mehr. Die Frage wird: “Warum haben wir es nicht gemacht?”

Fazit

Mai 2026 in zwei Sätzen: Die Kosten steigen weiter, aber die Beweise, dass es anders geht, liegen auf dem Tisch - mit Namen, Zahlen und Kontaktpersonen. Wer jetzt noch auf eine gesetzliche Erlaubnis wartet, wartet auf etwas, das er nicht braucht.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade eine Ausschreibung vorbereiten und wissen wollen, wie OSS-first Kriterien vergaberechtssicher eingebaut werden: Schreiben Sie mir. Ich denke mit, ohne zu verkaufen.

652 Millionen pro Jahr ohne Reform. April 2026 im E-Government-Rückblick.

Thu, 30 Apr 2026 21:06:06 +0200

Im April 2026 liefert die Verwaltungs-Realität konkrete Beweise zu den Diagnosen der Vormonate. Eine Tagesspiegel-Headline vom 07.04.2026 (Tagesspiegel Background, Paywall) fasst es zusammen: „Register kosten ohne Reform 652,5 Millionen Euro jährlich." Das ist die Größenordnung dessen, was der Status quo der föderalen Registerlandschaft an laufendem Betrieb verschlingen wird, wenn staatliche Stellen ihre Register nicht technisch und strukturell modernisieren.

Im selben Monat passieren drei Dinge, die methodisch zusammenhängen: Eine Deutschland-App wird an SAP und Telekom vergeben. Das BSI legt erstmals Cloud-Souveränitätskriterien vor. Der Bundestag beschließt einen Digital-Haushalt. Drei Bewegungen, drei Diagnosen.

652 Millionen ohne Reform

Die Zahl ist beunruhigend, aber sie ist nicht überraschend. Sie ist der Beleg für das, was hier als Diagnose schon im März stand: zu komplex gedacht, zu viel Geld, das jedem erlaubt, sein eigenes Ding zu machen. Der Bundesrechnungshof hat bereits im Oktober 2025 gewarnt , dass die Registermodernisierung an einer Finanzierungslücke von 300 Millionen Euro hängt. Der [Bundeshaushalt 2026 sieht 194 Millionen Euro für Register-Digitalisierung vor[https://www.bundestag.de/presse/hib/kurzmeldungen-1105894), das sind 69 Millionen weniger als 2025. Die Reform wird leiser finanziert, der Bestand teurer betrieben.

Die eigentliche Frage stellt der Tagesspiegel nicht: Wenn die Register im aktuellen Zustand laut dem PD Positionspapier 652 Millionen pro Jahr kosten, ohne dass spürbarer Mehrwert für Bürger:innen oder Unternehmen entsteht, wie teuer wird das Ganze, wenn die Register wirklich genutzt werden? Wenn der Datenaustausch über NOOTS in den vollen Betrieb geht, wenn Once-Only kein Pilot mehr ist, wenn alle Verfahren angeschlossen sind? Wer rechnet?

Reform ist hier nicht ein Wort für Strukturkosmetik. Reform heißt: weniger Register, klarer abgegrenzte Zuständigkeiten, weniger parallele Datentöpfe. Die aktuelle Kosten-Größenordnung ist nicht nur eine Effizienz-Frage. Sie ist ein politisches Risiko.

Die Deutschland-App und drei Probleme

Mitten im April wird klar, wer die Deutschland-App bauen soll. Das BMDS hat den Auftrag an SAP und die Telekom vergeben , eine FOIA-Anfrage von FragDenStaat bestätigt: über bestehende Framework-Verträge, ohne offene Ausschreibung für die erste Phase. Drei Probleme dazu, die alle in der LinkedIn-Diskussion und in netzpolitik , heise und der OSB-Alliance-Kritik auftauchen.

Erstens, die Vergabe. Wenn ein Großprojekt mit dieser strategischen Bedeutung über Framework-Verträge an SAP und Telekom geht, fehlt der Wettbewerb. Das Echo der Corona-Warn-App-Vergabe ist nicht zufällig laut. Wer den deutschen GovTech-Markt ernst nimmt, sollte nicht den ersten relevanten Auftrag der Legislaturperiode an die immer gleichen Konzerne vergeben. Der Protest des Google-Konsortiums gegen den Ausschluss bei einer parallelen Cloud-Vergabe zeigt, dass Vergabeverfahren rechtlich angreifbar sind, wenn der Wettbewerb erkennbar nicht gesucht wird. Die Open-Source-Verbände fordern hier zu Recht Transparenz und Marktöffnung.

Zweitens, das Frontend-Problem. Eine zentrale App ist ein neues Frontend für eine unveränderte Verwaltungsrealität dahinter. Die Verwaltungssuchmaschine NRW (heute Linie6plus) hat einen ähnlichen Suchmaschinen-Ansatz schon vor Jahren probiert, ohne KI-Würze. Dass dieselbe Idee jetzt mit KI-Agenten neu lackiert wird, löst keines der Probleme dahinter: weder die föderalen Zuständigkeiten noch das Kraut-und-Rüben-Problem in den Fachverfahren der Kommunen. Eine zentrale App wirkt höchstens auf wenige Leuchttürme. In die Fläche kommt sie nicht.

Schlimmer: Eine zu zentrale App-Logik droht bestehende, regional oder thematisch funktionierende Lösungen zu verdrängen, ohne sie zu ersetzen. Verdrängung ohne Ersatz ist die teuerste Form von Konsolidierung.

Drittens, das Verhältnis zum Deutschland-Stack. Beides kommt aus demselben Haus, dem BMDS. Wie die Deutschland-App architektonisch zum Stack passt, wer welche Bausteine wem liefert, ob die App den Stack nutzt oder ihn umgeht, ob KI-Agenten ein Stack-Modul werden oder ein App-internes Feature, ist nicht erkennbar. Aus zwei großen Versprechen wird so zwei Mal Risiko, und nicht ein gemeinsames Liefer-Versprechen.

💡 Die Deutschland-App ist nicht das Frontend, das den Stack erklärt. Sie ist ein Großprojekt on top.

BSI-Kriterien: Definition wird konkret

Am 27. April hat das BSI die Criteria enabling Cloud Computing Autonomy (C3A) veröffentlicht. Acht prüfbare Kriterien, anschlussfähig an das EU Cloud Sovereignty Framework, mit Fokus auf das, was das BSI „Cyber Dominance" nennt: den anhaltenden Hersteller-Zugriff auch nach formaler Datenresidenz. Das C3A ist komplementär zum bestehenden C5-Sicherheits-Katalog . Was C5 für Sicherheit definiert, leistet C3A für Autonomie.

Methodisch ist das die richtige Antwort auf die Beobachtung aus dem Januar-Rückblick: dass „Souveränität" als Begriff inflationär und ohne Norm ist. Mit C3A gibt es jetzt einen prüfbaren Maßstab, an dem sich Cloud-Angebote messen lassen müssen. Der Vergabeblog hat bereits darauf hingewiesen , dass C3A in Beschaffungsverfahren als Anforderung gesetzt werden kann.

Damit existieren jetzt parallel mindestens zwei deutsche Souveränitäts-Kataloge. C3A vom BSI ist enger zugeschnitten auf Cloud-Dienste. Die 20 Souveränitätskriterien des ZenDiS (Konsultation läuft noch bis 15. Mai) decken eine breitere IT-Architektur ab, mit Fokus auf Wechselbarkeit und Anbieter-Einflussmöglichkeit. Das ist kein Widerspruch. Es ist eine Schichtung: BSI für Cloud-Beschaffung, ZenDiS für Open-Source-Software-Auswahl, beide an unterschiedlichen Stellen anwendbar.

Was fehlt, ist die Praxis. Welche Ausschreibung im Mai oder Juni wird C3A erstmals als Pflicht ausweisen? Welche Behörde traut sich, einen Anbieter zu disqualifizieren, weil er die Kriterien nicht erfüllt? Definitions-Arbeit ist notwendig, aber sie ersetzt nicht die Vergabe-Praxis – Souveränität entscheidet sich in der Beschaffung, nicht in Erklärungen . Die nächste Stufe heißt: Kriterien in der echten Beschaffung benutzen.

Verschiebebahnhof Digitalhaushalt

Am 22. April hat der Bundestag den ersten Digital-Haushalt der Bundesrepublik beschlossen . 4,47 Milliarden Euro, in einem neuen Einzelplan 24, konsolidiert aus Mitteln, die vorher auf sechs verschiedene Häuser verteilt waren: Kanzleramt, BMI, BMJV, BMF, BMWK und BMVI. Davon entfallen rund 650 Millionen Euro auf Verwaltungsdigitalisierung, der größte Block geht in Breitband-Infrastruktur.

Das ist mehr Reform, als auf den ersten Blick aussieht. Mit BMDS, FITKO, ZenDiS und dem DigitalService gibt es jetzt einen Apparat, der die Zuständigkeit für Verwaltungs-IT bündelt. Aber Zuständigkeit ohne Geld ist halbe Macht. Der Konsolidierungs-Schritt ist deshalb notwendig, damit das BMDS mehr ist als ein Koordinations-Container ohne Hebel.

Genau deshalb ist die Bezeichnung Verschiebebahnhof zutreffend, aber nicht abwertend. Der politische Streit um die Verlagerung ist der eigentliche Punkt: Werden die alten Häuser wirklich Ihre finanzielle Mittel (und damit Macht) abgeben an das BMDS? Mit ihren Lieblings-Projekten, eigenen Anbieter-Beziehungen, Linien-Macht und Personalplanung? Oder bleibt das BMDS am Ende eine zusätzliche Schicht, ohne dass die Häuser ihre eigenen Digitalprojekte aus der Hand geben?

Die Legislaturperiode ist schon weit fortgeschritten. Wenn sich die Konsolidierung zu lange ziert, geht das Zeitfenster zu, in dem die Reform politisch durchsetzbar ist. Eine Bundes-Digital-Architektur, die nominal zentralisiert ist, faktisch aber weiterhin durch Hausherrschafts-Konflikte gebremst wird, leistet wenig.

Fazit

April hat die Vormonate vermessen. 652 Millionen Euro pro Jahr, ohne dass Bürger:innen es spüren. Eine Deutschland-App, die mehr Frontend ist als Lösung. Acht BSI-Kriterien, die jetzt Definitions-Lücken schließen. Ein Digital-Haushalt, der Macht zentralisieren will, aber den Streit erst auslöst.

An Diagnose mangelt es nicht. An echter Reform schon.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

Zuviel Geld ist das Problem. März 2026 im E-Government-Rückblick.

Tue, 31 Mar 2026 18:01:16 +0200

Der März stand im Zeichen des Deutschland-Stacks. Das BMDS hat erstmals eine Nationale Rechenzentrumsstrategie vorgelegt. ZenDiS hat seine 20 Souveränitätskriterien zur öffentlichen Konsultation gestellt. Der IT-Planungsrat hat in Rostock den Stack mit Plattformkern beschlossen und das FITKO-Budget neu sortiert.

Klingt nach Bewegung. Klingt aber auch nach dem, was der Tagesspiegel in derselben Woche pointiert getitelt hat: „Erst der Auftrag, dann das Konzept."

Mein Eindruck nach drei Wochen mit dem Thema: Wir reden hier nicht über zu wenig Geld. Wir reden über die Folgen einer Politik, die zu vielen parallelen Spuren gleichzeitig Geld gibt.

Stack ohne Stack

Wer sich aktuell mit Rechenzentrums-, Souveränitäts- und Stack-Diskussionen beschäftigt, hört von Anbietern und Verbänden den gleichen Satz: „Es ist zu wenig Geld da." Ich halte das für eine Verschiebung der Diagnose.

Geld ist absolut betrachtet eher zu viel da. Es reicht nur nicht aus, um alle parallelen, ähnlichen, aber konkurrierenden Aktivitäten dauerhaft zu finanzieren. Und am Ende wird mehrfach bezahlt, was eigentlich nur einmal gedacht und gebaut werden müsste.

Das aktuell sauberste Beispiel: ZaPuK , die föderale Zielarchitektur für Postfach- und Kommunikationslösungen. Die FITKO hat im März die Phase 2 vorgestellt. Der Hintergrund: In Bund und Ländern existieren über die Jahre eine Reihe von Postfach- und Kommunikationsdiensten parallel – entwickelt, finanziert, betrieben. Jetzt wird Geld investiert, um sie unter eine gemeinsame föderale Architektur zu bringen, samt Anbindung an EUDI-Wallet und BundID. Viel Geld, über viele Jahre, on top – nachdem die Einzellösungen vorher ebenfalls viel Geld gekostet haben.

Das Muster ist alt: Erst entstehen Insellösungen entlang der Föderalismus-Linien, weil jede Ebene ihren Anspruch in eigene Software gegossen hat. Dann kommt der Integrationslayer, der das Ganze zusammenklammert. Dann kommt – drei Jahre später – der nächste Integrationslayer, der die Klammer ersetzt. Das ist nicht Souveränität, das ist Sedimentierung.

Damit verschiebt sich auch das eigentliche Risiko des Deutschland-Stacks. Die Diskussion fokussiert sich darauf, was in den Stack gehört. Sie sollte sich darauf fokussieren, was nicht mehr in den Stack gehört.

Der größte gemeinsame Nenner

Aktuell beobachte ich das Gegenteil. Das BMDS bewirbt den Stack als „nationale souveräne Technologie-Plattform". Verbände, Anbieter, Bundesländer, Communities und Forschungsinstitute reklamieren dazu – nachvollziehbar – Sichtbarkeit für ihre eigenen Bausteine. Jede:r will sagen: „Wir sind da auch drin."

Damit wird der Deutschland-Stack zum größten gemeinsamen Nenner. Er sammelt fleißig ein. Aber genau das war nicht die Idee.

Die Idee eines Stacks lebt davon, was er nicht enthält. Reduktion ist die Funktion, nicht die Schwäche. Eine Plattform, die alles aufnimmt, ist keine Plattform mehr – sie ist ein Verbund mit neuem Logo. Genau das passiert gerade.

Der saubere Test wäre: Welche bestehenden, parallel laufenden Initiativen werden durch den Stack abgelöst? Welche Förderlinien laufen aus, welche Verträge werden nicht verlängert, welche Plattformen werden migriert und dann abgeschaltet? Wenn auf diese Frage keine konkreten Antworten existieren, ist der Stack keine Vereinfachung, sondern eine Erweiterung.

💡 Stack-Politik braucht keine 21. Initiative. Sie braucht die Bereitschaft, ein paar der bestehenden zu beenden.

Die 20 ZenDiS-Souveränitätskriterien sind in genau dieser Logik der konzeptionell stärkste Beitrag des März. Kriterien definieren, was reingehört und was nicht – und damit, was an Vorhandenem nicht mehr ausreicht. Ob die politische Umgebung den Mut für diese Konsequenz aufbringt, ist die zweite Frage. Aber methodisch ist das der richtige Schritt.

Was Österreich uns sagt – und was nicht

Im selben Monat eine andere Geschichte: Österreich migriert Teile seiner Verwaltung auf Open Source. „ Reibungsloser als erwartet ", schreibt Golem über die laufende Umstellung. Parallel hat das Bundesrechenzentrum (BRZ) eine Public-AI-Initiative auf Open-Source-Basis aufgesetzt – mit eigener Modell-Strategie statt Hyperscaler-Abhängigkeit.

Der deutsche Reflex auf solche Nachrichten ist berechenbar: „Lasst uns das übernehmen."

Das wäre ein Trugschluss. Österreich ist juristisch, fachlich und technisch anders aufgestellt als Deutschland. Andere Föderalismus-Architektur, andere Beschaffungsregeln, andere Größenordnungen, andere Anbieter-Ökosysteme. Was dort funktioniert, lässt sich nicht eins zu eins importieren – die Strukturen sind nicht kompatibel.

Daraus lernen ist trotzdem der Punkt. Die Frage ist nie „wie kopieren wir das?", sondern „was davon lässt sich in unseren föderalen Kontext übersetzen?". Welche Vorgehensweise, welche Governance-Struktur, welche Rolle für die Anbieter, welche Eskalationswege – was davon ist anschlussfähig an deutsche Realität, welche Bausteine sind es nicht.

Das ist der Unterschied zwischen Inspiration und Folklore. Aus Wien lassen sich in diesem Sinne mehrere konkrete Punkte herausziehen – der wichtigste: dass Souveränität nicht mit einem zentralen Plattform-Statement beginnt, sondern mit konsequenter Anbieter-Auswahl in jeder einzelnen Ausschreibung. Auch das ist ein Punkt, den der Deutschland-Stack noch nicht beantwortet.

Fazit

März 2026 in einem Satz: An Konzepten mangelt es nicht. An Entscheidungen schon. Und am Mut, parallele Spuren zu schließen, statt sie hinterher mit dem nächsten Stack-Layer zu integrieren.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

Halbfertig, aber teuer. Februar 2026 im E-Government-Rückblick.

Sat, 28 Feb 2026 21:11:23 +0200

481 Millionen Euro hat der Bund 2025 für Microsoft-Lizenzen gezahlt – gegenüber 74 Millionen 2017 ein Anstieg um 550 Prozent in acht Jahren. Die Zahl wurde im Februar öffentlich, aufbereitet von OSB Alliance , nachgereicht in einer Antwort der Bundesregierung auf eine Kleine Anfrage der Grünen. Die Computerwoche schreibt von „digitaler Geiselhaft" , heise von „Microsoft Dependency" . Die Empörung ist groß.

Die Empörung ist auch alt. Die PwC-Studie für das BMI von 2019 hat das Abhängigkeitsproblem schon damals systematisch dokumentiert – mit klaren Handlungsoptionen. Der Bundesrechnungshof hat noch früher Open Source gefordert . Neu ist nicht der Befund. Neu ist, dass jetzt alle reagieren wollen – jeder für sich.

Wegbewegung von Microsoft. Jeder für sich.

Die Bewegung im Februar war auffällig:

Im Bundestag prüft eine Kommission unter Andrea Lindholz Microsoft-Alternativen, mit IT-Strategie bis Mai 2026 und ersten Pilotlösungen (Wire als Messenger, Delos als Cloud-Layer). Berlin hatte Mitte Januar eine Open-Source-Strategie verabschiedet – sieben Maßnahmen über sieben Jahre, ITDZ als Programm-Office. Sachsens neue CIO Daniela Dylakiewicz erklärt, dass Sachsen „gut daran tut, alternative Lösungen zu testen und einzusetzen". Aus dem Hochschulbereich kommt die Forderung, openDesk kostenfrei für Universitäten verfügbar zu machen.

Dass sich da etwas bewegt, ist gut. Wie es sich bewegt, ist das Problem.

Jeder geht das Thema für sich an. Bund, Länder, Kommunen, Hochschulen – jede:r mit eigenem Geld, eigenen Pilotprojekten, eigenen Zeitplänen. Erfahrungen werden nicht systematisch ausgetauscht. Eine Migration in Schleswig-Holstein hilft nur indirekt einer Migration in Sachsen-Anhalt, obwohl die Probleme zu 80 Prozent dieselben sind.

Eigentlich gäbe es einen Akteur, der genau dafür gegründet wurde: ZenDiS, das Zentrum für Digitale Souveränität. Aber ZenDiS ist zu spät dran, zu wenig sichtbar, und das Kernprodukt openDesk ist nach allem, was zu sehen ist, noch kein 1:1-Replacement für Microsoft 365. Das ist ein Problem, das sich technisch lösen lässt – aber nur, wenn es die nötigen Ressourcen und Reichweite bekommt.

Statt dass die nun anlaufenden Migrationsbewegungen in Bund und Ländern ZenDiS stärken, machen viele ihr eigenes Ding. Das ist nachvollziehbar – niemand wartet auf einen Träger, dessen Produkt noch nicht reif ist. Aber die Konsequenz ist absehbar: Am Ende haben alle halbfertige Lösungen. Halbfertig und teuer.

💡 Souveränität skaliert nicht über zerstreute Einzelmigrationen. Sie skaliert über einen Träger, dem alle das Mandat geben – und dem alle den Druck machen, schneller marktreif zu werden.

Mehr Organisationen statt mehr Wirksamkeit

Beim Deutschland-Stack hat der Februar zwei Bewegungen gebracht. Markus Richter (BMDS-Staatssekretär, vorher Bundes-CIO ) plant einen verbindlichen Deutschland-Stack plus ein neues „Digitalcenter". Karsten Wildberger umreißt im selben Monat eine „Deutschland-App" mit KI-Agenten , die BAföG-Anträge, Anmeldungen und Firmengründungen erledigen soll – Details für Sommer 2026 sind angekündigt.

Das Muster ist erkennbar: Statt bestehende Strukturen wirksamer zu machen oder einzelne abzulösen, wird eine neue Organisation hinzugefügt. Und parallel ein neues App-Versprechen kommuniziert. “On top” auf dem, was alles schon existiert-

Bei der Konsultation zum Deutschland-Stack – zweite Runde 16.01.–15.02.2026 – ist aus dem kommunalen Umfeld zu hören, die Beteiligung sei zu spät und zu schmal angesetzt gewesen. Das passt zu einem Muster, das im E-Government seit über 25 Jahren wiederkehrt: Die Kommunen, in denen die Verwaltungsleistungen am Ende ankommen, werden bei der Konzeption strukturell vergessen.

Beides muss man zusammen denken. „Alle mitnehmen" ist richtig – und im deutschen Föderalismus ohne Alternative. Aber „alle mitnehmen" heißt nicht, dass die Wünsche von allen in den D-Stack eingeschrieben werden. Sonst wird er der größte gemeinsame Nenner: Aber die Idee eines Stacks lebt davon, was er nicht enthält.

Verbindlichkeit ist methodisch ein richtiger Hebel. Aber sie funktioniert nur, wenn sie auf einer realistischen, fokussierten Architektur ruht – nicht auf einem aufgeblähten Wunsch-Sammelsurium. Sonst entsteht aus „verbindlich" entweder eine Compliance-Hürde, an der Behörden vorbei-improvisieren. Oder eine politische Sollbruchstelle, die niemand durchhalten will.

Shop für alles. Wettbewerb für wenige.

Parallel zum Stack läuft eine zweite Konsolidierungs-Bewegung: die Vereinheitlichung der IT-Beschaffungs-Marktplätze . Im März geht der Marktplatz Deutschland Digital in den Produktivbetrieb, betrieben von govdigital eG, mit Konsolidierung des FIT-Stores, des EfA-Marktplatzes und des Cloud-Service-Portals. Im Februar lief die Vorbereitung. Auch die Länder denken über eigene Marktplatzlösungen nach.

Auf den ersten Blick eine sinnvolle Bewegung: Findbarkeit für Verwaltungseinkäufer:innen verbessert sich, Anbietersuche wird effizienter. Auf den zweiten Blick steht da ein Problem.

Diese Marktplätze leben innerhalb eines komplexen Geflechts kommunaler und landeseigener IT-Dienstleister, Zweckverbände und gemeinsamer Beschaffungsorgane. Welche Verwaltungseinheit was beziehen darf, hängt nicht nur vom Ausschreibungsergebnis ab – sondern auch von Mitgliedschaften und Zugehörigkeiten. Über solche Konstrukte landet manch ein Rahmenvertrag faktisch im Inhouse-Direktzugriff, ohne dass es nach außen sichtbar wird.

Vereinheitlicht man jetzt die Shops, ohne diese strukturelle Logik anzufassen, verschiebt sich das Problem nicht – es zentralisiert sich. Wer im Geflecht ist, profitiert mehr. Wer nicht drin ist (mittelständische Open-Source-Anbieter, Startups, neue Markteinsteiger), ist von einem wachsenden Anteil öffentlicher IT-Beschaffung praktisch ausgeschlossen.

Wettbewerb sieht anders aus. Innovation bleibt auf der Strecke. Und Startups auch.

Fazit

An Bewegung mangelt es nicht. An Koordination schon. Und am Mut, eigene Pilotprojekte und neue Strukturen zugunsten gemeinsamer, bestehender, schneller wachsender aufzugeben. Das gilt im Microsoft-Exit, im Deutschland-Stack, in der Beschaffung – und es gilt seit mindestens 2019.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

Souveränität ohne Definition. Januar 2026 im E-Government-Rückblick.

Sat, 31 Jan 2026 22:17:28 +0200

Der Januar war ein Souveränitäts-Monat. Hyperscaler taufen ihre Verwaltungsgeschäfte zum „Jahr der souveränen Clouds" (Tagesspiegel Background, Paywall) um. Microsoft, AWS und Google haben sortiert, wie sie ihre „Sovereign Cloud"-Linien an deutsche Behörden vermarkten. Daneben passiert tatsächlich etwas: Sozialversicherungsträger pilotieren openDesk als Notfallarbeitsplatz , Frankreich verlässt Microsoft Teams und Zoom zugunsten der eigenen LaSuite, der Berliner Senat verabschiedet am 14. Januar eine Open-Source-Strategie . Und der Bund unterzeichnet den NOOTS-Staatsvertrag , die Rechtsgrundlage für Once-Only.

Der Begriff „Souveränität" ist im Januar an vielen Stellen gleichzeitig im Mund. Was er bedeutet, weiß keiner.

Open Washing trifft Pioniere

Jede:r ist heute souverän. Auf Foliensätzen jedenfalls. Microsoft hat seine „Sovereign Cloud" , Google sortiert „Sovereign Controls", AWS bewirbt EU-spezifische Datenresidenz, dazu kommt Delos als deutsche Hybrid-Variante. Die Marktübersicht listet inzwischen ein Dutzend Anbieter, die das Wort beanspruchen.

Das Wort ist aber undefiniert. Es gibt keine deutsche oder europäische Norm, die festlegt, was eine „souveräne Cloud" leistet. Open Source nach OSI-Definition ist es bei keinem dieser Angebote. Datenhoheit, Code-Zugriff, Migrierbarkeit – all das wird je nach Anbieter selbst neu definiert. Das ist offenes Spielfeld für Marketing.

Man nennt das auch Open Washing: Der Anbieter klebt sich das Souveränitäts-Etikett selbst auf, der Kunde übernimmt es ungeprüft, der politische Diskurs nimmt das Wort als Beweis, dass etwas geliefert wird. Geliefert wird, was der Anbieter unter Souveränität versteht – nicht, was der Staat braucht.

Die spannende Gegenbewegung im Januar: Die großen Kunden machen tatsächlich Bewegung weg von diesen Angeboten. Nicht alle. Nicht synchron. Aber konkret.

Sozialversicherungsträger probieren openDesk im Pilot-Setup als Krisenfall-Backup ( „Backup statt Blackout" ). Frankreich rollt LaSuite und seine eigene Visio-Plattform für 200.000 Beschäftigte aus und begründet das ausdrücklich mit Sicherheits- und Souveränitätsanforderungen . Berlin verankert in seiner Open-Source-Strategie sieben Maßnahmen über sieben Jahre, mit dem ITDZ als Programm-Office.

💡 Souveränität wird aktuell von zwei Seiten gemacht: Anbieter etikettieren, Kunden migrieren. Beides nennt sich gleich. Geliefert wird Unterschiedliches.

Wer Souveränität ernst nimmt, sollte das Wort nicht den Marketing-Abteilungen überlassen. Eine arbeitstaugliche Definition (Datenhoheit, Code-Zugriff, Vendor-Wechselbarkeit, EU-Recht-Vorrang) muss von den Bedarfsträgern kommen – nicht aus Whitepapers von Anbietern.

NOOTS-Staatsvertrag – der Eigenweg und seine Folgen

Am 14. Januar geht das NOOTS live: Erste Nachweisdatenabrufe laufen über das National-Once-Only-Technical-System. Der Staatsvertrag dazu ist unterzeichnet. Damit fällt eine alte Ausrede weg: „Wir können nicht, weil die Rechtsgrundlage fehlt." Diese Tür ist zu.

Davor stehen die anderen Türen weiterhin offen. Drei verdienen den Blick.

Erstens: Der deutsche Eigenweg architektonisch. Deutschland setzt für NOOTS auf das 4-Corner-Modell – eine eigene Variante, die in dieser Form an europäische Strukturen wie OOTS angeschlossen werden muss, statt nahtlos zu integrieren. Schleswig-Holstein hat im Februar 2025 mit dem Nordic Institute for Interoperability Solutions ein Partnerschaftsabkommen für X-Road unterzeichnet – also für die seit zwei Jahrzehnten in Estland erprobte Standard-Architektur, die auch Finnland, Island und mehrere weitere Länder einsetzen. S-H baut x-road-sh.de parallel zur deutschen Linie auf. Brücken zwischen NOOTS und EU-OOTS müssen jetzt als zusätzliche Teilprojekte gebaut werden. Das kostet Zeit und Geld, das anderswo fehlt.

Wir denken methodisch noch über Architektur nach, während andere Länder ihre Once-Only-Infrastruktur seit Jahren operativ betreiben.

Zweitens: Wieder das Muster paralleler Initiativen. Schleswig-Holstein evaluiert X-Road. Der Bund macht Pilotierungsprojekte mit Nordrhein-Westfalen ( D-NRW ) und Baden-Württemberg ( Jobcenter-Pilot ). Der GovTech Campus arbeitet an Register-as-a-Service . Einzelne Fachverfahrens-Anbieter platzieren sich mit eigenen Anschluss-Lösungen für ihre Bestandskunden. Die Kommunen – am Ende der Lieferkette – werden ohne kollektive Lösung ins Rennen geschickt.

Jeder macht aktuell Registermodernisierung. Niemand fängt es ein. Das ist das gleiche Muster, das im OZG, beim Souveränen Arbeitsplatz und bei den Postfach- und Kommunikationslösungen abläuft. Föderalismus, der seine Vielfalt mit Konzept-Vielfalt verwechselt.

Drittens: Zerstückelung als Beruhigungsmittel. Registermodernisierung war als Milliardenprojekt geplant. Geliefert wird sie als eine Vielzahl von Teilprojekten in Millionen-Größenordnung. Das erhöht die Komplexität. Jedes Teilprojekt braucht eigene Steuerung, eigene Vergaben, eigenes Konsortium, eigene Schnittstellen. Der Vorteil dieser Zerstückelung ist nicht technisch – er ist politisch. Mehr Akteure bekommen ein Stück, mehr Akteure stimmen positiv. Aber die Summe der Teile ergibt nicht das Ganze, das einmal versprochen war.

Der Staatsvertrag ist ein wichtiger Schritt. Er beseitigt eine Ausrede. Er beseitigt nicht das eigentliche Problem: Dass Deutschland in der Once-Only-Frage seit Jahren über Architektur nachdenkt, während andere bereits liefern. Und dass die Liefer-Architektur, auf die wir uns festlegen, das, was anderswo läuft, nicht ablöst, sondern parallel dazu existiert.

Randnotiz: Der BMDS-Startup-Hub

Eine Bewegung des Januar verdient eine eigene Erwähnung – auch wenn sie konzeptionell noch zu früh ist für eine harte Bewertung. Das BMDS hat in einem Workshop „Agentische KI-Lösungen für die Verwaltung" Startups und kommunale Anwender:innen zusammengebracht. Daraus soll ein laufendes Format werden, das KI-fähige Fachverfahren zwischen GovTech-Startups und Bedarfsträgern brokert.

Das Format ist anschlussfähig an die Lücke, die die deutsche Verwaltungs-IT im GovTech-Ökosystem hat: Startups können das öffentliche Vergaberecht selten allein bewältigen, etablierte Integratoren können die Produkt- und Geschwindigkeitslogik junger Anbieter selten übersetzen. Wenn dieser Hub schafft, was bisher noch keine Initiative geschafft hat – Brücken aus dem Pilot-Setup in echte Produkteinsätze zu legen – wäre das eine ernsthafte Bewegung. Wenn er bei Workshop-Pilotage hängen bleibt, eine weitere Initiative im Wimmelbild.

Fazit

An Bewegung mangelt es nicht. An Definition schon. „Souveränität" trägt im Januar zu viele Bedeutungen gleichzeitig – und wer sie ernst nimmt, muss das Wort wieder mit Substanz versehen, statt es den Anbietern als Etikett zu überlassen. Beim NOOTS gilt: Der Vertrag ist da. Die Architektur, die operativ trägt, ist es noch nicht.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

500 Meinungen. Kein Fundament. - E-Government im Dezember 2025.

Mon, 22 Dec 2025 16:17:28 +0200

Der Dezember 2025 fühlte sich an wie ein Sprint auf eine Ziellinie, die noch niemand genau kennt. Die Ministerpräsidentenkonferenz beschloss eine föderale Modernisierungsagenda mit über 200 Maßnahmen. Der IT-Zustimmungsvorbehalt des Bundesdigitalministeriums trat in Kraft. Die Konsultation zum Deutschland-Stack endete mit 500 Stellungnahmen. Und Govtech Deutschland legte den Nachweis vor: Cloud-Register sind rechtlich zulässig.

Klingt nach Bewegung. Klingt aber auch nach Nachholen. Als wollte man Versäumnisse von 2025 noch eben vor Weihnachten schließen.

Der Stack und das Veto: Steuerung ohne Kompass

Die 500 Stellungnahmen zur Konsultation des Deutschland-Stacks sind beeindruckend – von Bitkom über die OSBA bis zu kommunalen IT-Dienstleistern und Einzelpersonen. Ich habe selbst eine eingereicht[https://gitlab.opencode.de/dstack/d-stack-home/-/work_items/505]. Die Frage, die mich dabei begleitet hat: Wer liest das eigentlich – und mit welchem Gewicht? Nicht weil Beteiligung schlecht ist. Sondern weil eine Konsultation ohne transparenten Verarbeitungsprozess schnell zum Alibi wird.

Das Feedback in „Version 1.0 des Tech-Stacks" einfließen lassen, fertig bis Ende Januar 2026 – so lautet die Ansage des BMDS. Wie, nach welchen Kriterien und mit welcher Priorisierung: unbekannt.

Strukturell ist das Problem bekannt. Das Gitlab-Tool funktioniert für Entwicklerinnen und Entwickler. Für die 11.000 Kreise, Städte und Gemeinden, die die größte Nutzergruppe des Stacks sein werden, ist es ein fremdes Format. Der Deutsche Städte- und Gemeindebund hat das klar benannt: Kleinere Kommunen hatten keine Kapazitäten für eine technische Beteiligung. Die, die am meisten betroffen sind, kommen am wenigsten zu Wort.

Parallel dazu trat der IT-Zustimmungsvorbehalt in Kraft. Karsten Wildberger bekommt Veto-Recht über IT-Projekte anderer Bundesministerien ab 500.000 Euro pro Jahr. Die Idee ist richtig: Fünf verschiedene KI-Umgebungen in der Bundesverwaltung sind kein Zeichen von Vielfalt, sondern von koordinationslosem Einkauf. Aber das Veto ist nur so stark wie der Prüfkatalog dahinter. Ohne öffentlich bekannte Kriterien, nach denen Projekte genehmigt oder geblockt werden, ist das zunächst vor allem eines: eine Gefühlssache. Für die anderen Ministerien genauso wie für das BMDS selbst.

Cloud-Register: Technik-Zauber für schlechte Gesetze?

Der Proof of Concept von Govtech Deutschland ist das ehrlichste Stück Lieferung im Dezember. Das Ergebnis: Cloud-Register sind verfassungs- und datenschutzrechtlich zulässig, Confidential Computing macht es technisch möglich. Drei Konsortien haben die Architektur implementiert, Hogan Lovells hat sie geprüft. 💡

Und dann: Zwei von drei beteiligten Kommunen sind aus dem Konsortium ausgestiegen. Sie konnten keine virtuelle Maschine aufsetzen und keinen kryptografischen Vault verwalten. Das ist kein Scheitern – das ist eine präzise Diagnose. Die Technologie ist bereit. Die Kommunen sind es nicht. Die Antwort ist klar: „Komplett As-a-Service. Link klicken und fertig." So Govtech-Vorstand Ammar Alkassar. Das stimmt.

Trotzdem muss man die tieferliegende Frage stellen: Wie viel Technikaufwand betreiben wir gerade, um einen schlechten Status Quo abbildbar zu machen? Die Trennung der Datenzuständigkeiten und Registerführungskompetenzen ist ein juristisches Konstrukt – gewachsen aus Gesetzen, die für die analoge Welt gemacht wurden. Confidential Computing ist die technische Antwort darauf: hochkomplex, kostspielig, erklärungsbedürftig.

Was wäre, wenn man stattdessen die Grundprinzipien der Registerführung selbst anfasste? Einfachere, zentraler organisierbare Lösungen wären möglich – wenn die Gesetzgebung den Weg freimacht. Stattdessen bauen wir technische Schlösser um Paragrafen herum, die niemand anfassen will. Das ist teuer. Und es verlangsamt die NOOTS-Roadmap erheblich.

Haushalt als Verschiebebahnhof

Der Dezember endete mit einem Befund, der sich mit dem Jahresabschluss gut zusammenfasst. Das Geld für die Verwaltungsdigitalisierung ist vorhanden – nur landet es nicht dort, wo es wirken würde. Ein Kommentar auf Golem bringt es auf den Punkt: Der Bundeshaushalt 2026 nutzt das Sondervermögen, um laufende Kosten zu decken – echte Investitionen in digitale Infrastruktur bleiben aus.

ZenDiS ist das anschaulichste Beispiel für das Gegenteil: wenig Ressourcen, viel Wirkung , aber strukturell unterfinanziert. Wer openDesk als strategische Alternative zu Microsoft 365 ernstnimmt – und das sollte man, gerade jetzt, wo Microsoft seine Preise erneut anzieht – muss auch bereit sein, ZenDiS mit entsprechenden Mitteln auszustatten.

Das Muster ist nicht neu. Bekannte Löcher werden gestopft, politische Versprechen bleiben auf dem Papier. Wie sich das 2026 auflöst, wird eine der entscheidenden Fragen des Jahres.

Fazit

An Beschlüssen mangelt es nicht im Dezember 2025. An Konsequenz schon. Der Deutschland-Stack braucht keine weiteren Stellungnahmen mehr – er braucht transparente Kriterien, wie aus Feedback Architekturentscheidungen werden. Das Cloud-Register braucht keinen weiteren Proof of Concept – es braucht Gesetze, die einfachere Lösungen ermöglichen. Und der Haushalt braucht keine weiteren Verschiebebewegungen. Er braucht echte Investitionsentscheidungen.

Hat Sie das Thema interessiert?

Wenn Sie gerade vor ähnlichen Fragen stehen – welche Architekturentscheidungen jetzt die richtigen sind, wie Sie souveräne IT-Infrastruktur in Ihrem Haus realistisch umsetzen, ohne auf technische Hochglanz-Lösungen für strukturelle Probleme zu setzen: Ich bespreche das gerne. Ohne Angebot, ohne Agenda.

Der Gipfel und die Milliarde - E-Government im November 2025.

Sun, 30 Nov 2025 11:57:45 +0200

Ich war in Berlin dabei. Der Summit on European Digital Sovereignty am EUREF-Campus, über 1.000 geladene Gäste, Merz und Macron Seite an Seite, Wildberger und EU-Kommissarin Virkkunen auf der Bühne. Große Bekenntnisse zur digitalen Unabhängigkeit Europas. Schöne Reden, großer Rummel. Die entscheidende Frage ließ sich auf der Bühne nicht beantworten: Was meinen wir eigentlich damit?

Vor dem Gasometer stand ein Pavillon von Microsoft – Delos-Cloud. Auf der Bühne wurde Open Source mit keinem Wort erwähnt . Und als Vorzeige-Projekt für europäische KI-Souveränität präsentierten SAP und Mistral AI ihren geplanten „ersten vollständig souveränen KI-Stack Europas" – wobei Microsoft in Mistral investiert ist und seit Jahrzehnten SAPs zentraler Infrastrukturpartner ist. Bayern zahlte in diesem Monat eine Milliarde Euro an Microsoft . Und die europäische Open-Source-Industrie veröffentlichte die „Declaration of Digital Independence" – als direkte Reaktion auf das, was in Berlin gefeiert wurde.

Zwei Definitionen von Souveränität

Die Debatte hinter den Kulissen in Berlin hat mich mehr beschäftigt als die Reden auf der Bühne.

Frankreich will Souveränität konsequent über Beschaffung umsetzen: Buy European als gelebtes Prinzip, bis in die Vergabeentscheidungen hinein – europäische Anbieter bevorzugt, Punkt. Deutschland folgt dieser Logik nicht. Wahrscheinlich kein Zufall, wenn man schaut, wer auf dem Gipfel einen Pavillon hatte.

💡 Und Open Source? Blendet diese Debatte auf beiden Seiten aus. Dabei liegt hier der eigentlich interessante Gedanke: Codeherkunft taugt nicht als Souveränitätskriterium – Open-Source-Code entsteht in globalen Communities, Entwicklerinnen aus aller Welt tragen bei. Wer das als Filter für „europäisch" nutzen will, scheitert an der Realität. Aber wo die Dienstleistungen rund um Open Source eingekauft werden – Betrieb, Implementierung, Support – das ist eine andere Frage. Und da wäre „European first" nicht nur sinnvoll, sondern würde dem hiesigen Ökosystem tatsächlich nützen.

Stattdessen läuft der Gipfel in eine andere Richtung: Startups auf der Bühne, Big Tech am Steuer . Souveränität als Marketingbegriff , besetzt von denen, die das Gegenteil davon repräsentieren. Die Declaration of Digital Independence der OSBA und ihrer europäischen Partner ist der deutlichste Versuch, diese Lücke zu benennen. Ob daraus mehr wird als ein Dokument, entscheidet sich nicht auf Gipfeln – sondern in Ausschreibungen.

Doppelstrukturen ohne Verantwortung

Parallel zum Souveränitäts-Theater läuft im November ein älteres Problem weiter durch den Institutionen-Apparat.

Die Digitalministerkonferenz traf sich am 24. November in Berlin , zwei Tage später folgte die 48. Sitzung des IT-Planungsrats in Stralsund – dieselben Themen, zwei Gremien, doppelter Personalaufwand, ungeklärtes Verhältnis zueinander. Offen wird die DMK als „Schaufenstergremium" bezeichnet. ZenDiS: Die Idee stimmt, die Umsetzung ist wackelig. Die Länderbeteiligung scheitert am Mischverwaltungsverbot – ein juristisches Konstrukt verhindert, was politisch ausdrücklich gewollt ist.

Das Grundproblem ist bekannt: Wo Zuständigkeiten unklar sind, übernimmt niemand Verantwortung. Das gilt für das Verhältnis DMK zu IT-PLR genauso wie für ZenDiS gegenüber den Ländern.

Der BMDS-Haushalt fügt sich ins Bild . 4,47 Milliarden klingen imposant – aber wenn das Sondervermögen für laufende Kosten verwendet wird und das Ministerium, das gerade den IT-Zustimmungsvorbehalt durchsetzen soll, über kein eigenes KI-Budget verfügt: Dann ist das vor allem eines: ein Scheinriese.

Fazit

November 2025 war der Monat, in dem man genauer hinschauen musste. Nicht weil besonders viel schiefgelaufen ist – sondern weil der Abstand zwischen Gipfel-Rhetorik und tatsächlichen Entscheidungen so greifbar war.

Stehen Sie vor einer solchen Entscheidung?

Wer trotzdem den richtigen Rahmen für echte Souveränitätsprojekte sucht – jenseits der Bekenntnisse – findet ihn nicht in Beschlüssen. Sondern in Architekturentscheidungen, Vergabekriterien und dem Mut, das Richtige zu beschaffen, auch wenn der einfachere Weg der gewohnte Anbieter ist.

Jeder weiß es. Keiner handelt. – E-Government im Oktober 2025.

Fri, 31 Oct 2025 20:17:15 +0200

Oktober 2025 war ein Monat mit zwei Gesichtern. Auf der einen Seite: Bekenntnisse, Dokumente, Websites und der wachsende Verdacht, dass das Wissen über Probleme und das Handeln dagegen zwei verschiedene Dinge sind. Auf der anderen: ein legislativer Meilenstein, auf den die Verwaltungsdigitalisierung lange gewartet hat.

Deutschland-Stack: Wimmelbild mit Frühwert

Mitte Oktober launcht das BMDS die neue Projekt-Website zum Deutschland-Stack und startet den Konsultationsprozess. Die Reaktion in der Community ist geteilt, und ehrlich.

Die Kritik ist berechtigt. „Keine Strategie, keine technische Tiefe und fehlender Mut zur echten Veränderung", schreibt Thomas Bönig , Leiter des Stuttgarter Amts für Digitalisierung, auf LinkedIn. Netzpolitik konstatiert, das Projekt bleibe „Open Source vor verschlossenen Türen" . Der Tagesspiegel Background beschreibt das Informationsangebot als „Sammelsurium von Platzhaltern" (Paywall). Man kann das als Scheitern lesen.

💡 Man kann es aber auch anders einordnen: Im agilen Sinne ist frühes Veröffentlichen richtig. Eine unfertige Website schafft Druck auf den Konsultationsprozess, sie lädt zur Kritik ein, und Kritik braucht das Projekt. Wer eine fertige, glattpolierte Strategie abliefert, bekommt Zustimmung. Wer früh zeigt, was noch nicht steht, bekommt Feedback. Der D-Stack braucht das zweite.

Parallel tickt die Uhr: Die H2KI-Plattform soll bis 15. November in Hamburg stehen, nach mehreren Verspätungen, mit eingekürften Funktionalitäten. Ob der Termin hält, ist ungewiss.

Jeder weiß es. Keiner handelt.

Das Bemerkenswerteste im Oktober ist nicht neu, aber es ist jetzt schwarz auf weiß dokumentiert.

Baden-Württembergs Innenministerium räumt gegenüber Golem ein: Delos Cloud kann von der US-Regierung angewiesen werden, einen Datenabfluss in seine Software zu integrieren . Man nutzt Delos trotzdem.

Warum das relevant ist, zeigt ein Beispiel vom 31. Oktober: Der Internationale Strafgerichtshof in Den Haag gibt bekannt, von Microsoft Office auf OpenDesk zu wechseln , entwickelt von ZenDiS. Der Auslöser: Trump hatte im Februar Sanktionen gegen den ICC-Chefankläger verhängt; sein Microsoft-Konto war danach nicht mehr zugänglich. Keine Theorie, keine Risikobetrachtung. Ein konkreter Einschnitt in den laufenden Betrieb eines internationalen Gerichts.

Das Muster ist in Deutschland bekannt. Schleswig-Holsteins Digitalminister Dirk Schrödter nennt Abhängigkeiten von deutschen Hyperscalern wie Stackit im TSB-Interview (Paywall) „hochgefährlich" und handelt auch: Schleswig-Holstein ist das einzige Bundesland, das die Open-Source-Transformation konsequent umsetzt , auch ohne auf openDesk zu warten. Es gibt Reibung an der Basis, eine Legacy-Anwendung blockiert noch den Linux-Arbeitsplatz. Aber es passiert.

Dänemark, kurz: Kopenhagen und Aarhus kündigen den Abschied von Microsoft an , die Digitalministerin folgt. Der Kontext ist klar: Trump und Grönland. Konkreter geopolitischer Druck erzeugt konkrete Entscheidungen. Ein eigenes Stück dazu kommt.

NOOTS: Lieferung nach langer Wartezeit

Am 16. Oktober verabschiedet der Bundestag das Gesetz zum NOOTS-Staatsvertrag . Für die meisten ein unscheinbarer Verwaltungsakt. Für die Verwaltungsdigitalisierung: ein echter Meilenstein, auf den lange gewartet worden ist.

Das Nationale Once-Only-Technical-System schafft die rechtliche und technische Grundlage dafür, dass Behörden Daten untereinander austauschen können, einmal angegeben, nicht wieder abfragen müssen. Die praktische Bedeutung zeigen zwei konkrete Testfälle : In Baden-Württemberg läuft am selben Tag, an dem der Bundestag abstimmt, der erste erfolgreiche Datenabruf für einen Anwohnerparkausweis über das NOOTS, Fahrzeugdaten direkt vom Kraftfahrt-Bundesamt, kein Papiernachweis. In Nordrhein-Westfalen läuft der zweite Use Case: Gewerbeanmeldung via Handelsregister.

Ohne den Staatsvertrag wären diese Tests nicht weitergegangen. Jetzt sind sie Realität. Das ist der Unterschied zum Wimmelbild.

Fazit

Oktober 2025 zeigte: Wissen reicht nicht. BaWü kennt das Delos-Risiko und zieht keine Konsequenzen. Andere, ein Bundesland, ein internationaler Gerichtshof, ein skandinavisches Nachbarland, ziehen sie. Was davon ein Vorbild ist und was eine Ausnahme bleibt, entscheidet sich nicht in Websites, sondern in Beschaffungsentscheidungen.

Hat Sie das Thema interessiert?

Wenn Sie gerade vor einer solchen Entscheidung stehen, welche Cloud-Abhängigkeiten in Ihrer Infrastruktur Sie tatsächlich eingegangen sind und welche Handlungsoptionen realistisch sind:

Erst die Pressemitteilung, dann das Konzept. – September 2025 im E-Government-Rückblick.

Tue, 30 Sep 2025 20:17:15 +0200

September 2025 war ein Monat voller Startschüsse. Bundesdigitalminister Wildberger schickte seine Modernisierungsagenda in die Kabinettsklausur am Tegeler See. Bayern und Hessen wurden offiziell zu Pilotländern für Verwaltungsdigitalisierung. Und die Denkfabrik Agora Digitale Transformation legte eine Studie vor, die beschreibt, warum Bundesfördergelder digitale Projekte nicht nur nicht voranbringen, sondern manchmal aktiv blockieren.

Ankündigen geht schnell. Liefern braucht Strategie, klare Zuständigkeiten und jemanden, der Verantwortung übernimmt, wenn die Schlagzeile schon wieder woanders ist.

Wer am lautesten trommelt, wird Pilotland

Bundesdigitalminister Wildberger hatte im August angekündigt, bis Jahresende in „einigen Bundesländern" Pilotprojekte starten zu wollen. Die Länder hörten: Jetzt bewerben. Rheinland-Pfalz erklärte sich kurzerhand selbst zum „bundesweiten Pilotland für Verwaltungsdigitalisierung". Das BMDS dementierte, halb: Rheinland-Pfalz komme „zu einem späteren Zeitpunkt". Bayern trommelte lauter, bekam ebenfalls die Zusage. Ende der Woche stehen zwölf Pilotkommunen aus zwei unionsgeführten Ländern (Tagesspiegel Background, Paywall).

Das ist kein Versehen und keine Panne. Es ist ein Symptom: Wo Auswahlkriterien unklar bleiben, entscheiden Lautstärke und politische Nähe. Wo Erfolg zunehmend an Presseresonanz, Followerzahlen und Kommentaren gemessen wird, bewerben sich alle per Pressemitteilung. Wer früh im Newsletter steht, zieht nach. Wer zu leise ist, kommt „zu einem späteren Zeitpunkt".

Der Weg heraus ist nicht kompliziert: Klare Auswahlkriterien vorab, öffentlich nachlesbar. Wer als Pilotland infrage kommt, nach welchen Kriterien, und wann entschieden wird. Dann kann sich kein Land durch Medienarbeit vordrängeln. Die Auswahl wird anfechtbar, was gut ist. Unklare Prozesse erzeugen nicht weniger politischen Druck, sondern mehr. Wenn man die Kriterien vor der Kommunikation veröffentlicht, löst sich das Chaos von selbst.

Was Open Source wirklich zum Laufen bringt

September hatte zwei Open-Source-Meldungen, die zusammen mehr sagen als jede Grundsatzdebatte.

Das österreichische Bundesheer hat seine vollständige Migration von Microsoft Office auf LibreOffice abgeschlossen . Fünf Jahre, kein Rollback, rund 70.000 Nutzer, vom Stabsoffizier bis zur Verwaltungsstelle.

Gleichzeitig zeigt der Bitkom Open Source Monitor 2025 : 73 Prozent der deutschen Unternehmen nutzen Open Source, Höchststand. Aber 63 Prozent ohne Strategie. Größte Bremse: Fachkräftemangel. Dahinter: unklare Gewährleistungssituationen und Lizenzunsicherheiten.

Was macht den Unterschied beim Bundesheer? Strategie, ausreichend Geld und klare Ownership: Eine Stelle ist verantwortlich, nicht alle-und-keiner. Niemand kann sich hinter unklaren Zuständigkeiten verstecken. Wenn die Migration scheitert, scheitert sie mit Namen. Genau das fehlt in vielen deutschen Verwaltungsprojekten.

💡 73 Prozent Nutzung, 37 Prozent mit Strategie. Die Lücke ist nicht das Produkt. Sie ist die Entscheidung, wer die Verantwortung trägt.

Dass Bundesdigitalminister Wildberger Ende September die Schirmherrschaft für den Open Source Wettbewerb 2025 der OSBA übernahm, ist ein Signal. Was auf das Signal folgen müsste: eine konkrete Antwort auf die Frage, wer nach der Preisverleihung die Ownership für die Gewinnerprojekte übernimmt, damit sie nicht im Schrank enden.

Hebelprojekte statt Leuchttürme: Wortschatz oder Wende?

Im August 2025 veröffentlichte die Agora Digitale Transformation das Policy Paper „Strg+C" . Der Befund: Bundesförderprogramme setzen systematisch Anreize für Neuentwicklungen, nicht für Nachnutzung. Das Ergebnis sind Dutzende Digitalprojekte, die in ihrer Pilotkommune funktionieren, aber nicht skalieren. Inseln statt Infrastruktur. Leuchtturm statt Landschaft.

Zeitgleich kursiert in Berlin der Entwurf von Wildbergers Modernisierungsagenda, die das Kabinett bei seiner Klausur am Tegeler See verabschieden soll. Das Wort „Leuchtturmprojekte" taucht darin nicht mehr auf. Stattdessen: „Hebelprojekte". Das klingt besser.

Die entscheidende Frage ist, ob sich nur das Wort ändert oder auch die Auswahllogik. Ein Hebelprojekt mit denselben Förderkriterien wie ein Leuchtturmprojekt landet am gleichen Ort. Was „Hebelprojekt" strukturell bedeuten müsste: EfA-Kompatibilität als Zulassungsbedingung, nicht als Bonus. Nachnutzungspflicht von Anfang an. Und einen Betreiber, der nicht aufhört, wenn die Förderung endet.

Dass messbare Erfolgsindikatoren für Digitalpolitik weitgehend fehlen , hat Agora ebenfalls im September belegt. Ohne Messung, kein Hebel. Und ohne Hebel bleibt der Name das Einzige, was sich geändert hat.

Das wäre kein Gesetzesproblem. Das wäre ein Reihenfolge-Problem.

Fazit

September 2025 erzählte drei Geschichten mit derselben Diagnose. Pilotländer, die sich selbst ernennen, weil Auswahllogik fehlt. Open-Source-Projekte, die skalieren, wo Ownership klar ist. Förderprojekte, die versickern, weil niemand für Nachnutzung zuständig ist.

An Ankündigungen mangelt es nicht. An Verantwortung schon.

Das Bundesheer hat nach fünf Jahren gezeigt: Es geht. Zwölf neue Pilotkommunen haben jetzt die Chance, dasselbe zu beweisen. Vorausgesetzt, jemand ist für den Erfolg zuständig, wenn die nächste Pressemitteilung schon wieder woanders ist.

Hat Sie das Thema interessiert?

Wenn Sie für Ihr Digitalisierungsvorhaben gerade vor der Frage stehen, wie Ownership und Strategie realistisch verankert werden, damit es nicht im Schrank endet:

An Worten mangelt es nicht. An Kriterien schon. – E-Government im August 2025.

Sun, 31 Aug 2025 20:17:15 +0200

Im August hat das BMDS einen Zeitplan für den Deutschland-Stack vorgelegt: fünf Missionen, erste Ergebnisse bis Ende 2025, abgeschlossen 2028. Die OSB Alliance und 59 Mitunterzeichner haben einen offenen Brief an BSI-Präsidentin Claudia Plattner verschickt. Botschaft: Digitale Souveränität ist möglich, man müsse sie nur wollen. Und das Kabinett hat das Vergabebeschleunigungsgesetz beschlossen.

Drei starke Wörter dominierten den Sommer: „Souveränität." „Stack." „Beschleunigung." Alle drei haben dasselbe Problem: Sie kommen nicht in den Beschaffungskriterien an.

Wenn Begriffe nicht ankommen

„Digitale Souveränität" ist ein politisch nützliches Wort. Es schließt Debatten ab, ohne sie zu lösen. Denn sobald man fragt, was es in einer konkreten Ausschreibung bedeutet, also welche Anforderungen daraus folgen und welcher Anbieter damit qualifiziert oder nicht, schweigt der Begriff.

Das zeigt sich gerade an einem konkreten Beispiel: Hyperscaler-„Sovereign Cloud"-Angebote bieten keine echte Souveränität. Die strukturellen Abhängigkeiten von CLOUD Act, Drittstaaten-Jurisdiktion und Lizenz-Architektur bleiben bestehen. Trotzdem werden diese Produkte beschafft, weil niemand sagen kann, was „souverän genug" in einer Leistungsbeschreibung bedeutet.

Windows 10 läuft im Oktober 2025 aus. In Ländern, die rechtzeitig migrieren wollen, sind Fachverfahren das größte Hindernis. Anwendungen, die seit Jahren auf bestimmten Betriebssystem-Versionen festsitzen, weil niemand Exit-Kriterien in die ursprüngliche Beschaffung geschrieben hat. Das ist kein technisches Problem, das ist das Ergebnis von Beschaffungsentscheidungen ohne Ausstiegsplan.

Open Source trifft dasselbe Hindernis von der anderen Seite. Als Argument ist es zu technisch, um politisch verkaufbar zu sein. Die OSB Alliance zieht nach 100 Tagen Bundesregierung eine ernüchternde Bilanz : kein „Open Source by Default" im Vergaberecht, keine klare Priorität im D-Stack. Das Vergabebeschleunigungsgesetz enthält mehr Klauseln, aber nicht klarere Kriterien. Kommunen hatten das vor dem Beschluss deutlich gesagt (Tagesspiegel Background, Paywall).

Was fehlt, sind drei bis fünf konkrete Anforderungen, die in jede Leistungsbeschreibung passen: Offenlegung des Sourcecodes, Kontrolle über Hosting-Standort und Betreiber, Lizenz ohne Drittstaaten-Abhängigkeit, Weiterentwicklungsrecht. Das sind keine Wunschlisten. Das sind Entscheidungskriterien. Wer sie standardisiert und in Vergabeverfahren einbaut, macht aus dem Begriff eine Funktion.

Was konkret aussieht

Schleswig-Holstein hat im August angekündigt, X-Road für den behördeninternen Datenaustausch einzuführen. X-Road ist das estnische Datenaustausch-System, das Behörden direkt miteinander verbindet, ohne zentrale Plattform dazwischen. Estland nutzt es seit fast 25 Jahren, Finnland ebenfalls. Finnland steht aktuell auf Platz 1 im EU-Digitalranking . Deutschland weiter hinten.

Die Ankündigung aus Kiel hat keine große Pressekonferenz bekommen. Sie ist trotzdem präziser als alle Souveränitätsbeschlüsse des Monats zusammen.

Der Reflex, internationale Beispiele mit „das lässt sich nicht übertragen" abzublocken, stimmt und stimmt nicht. Die Frage ist nie „wie kopieren wir das?", sondern „welche Anforderung, welchen ersten Schritt können wir übersetzen?" Estland ist juristisch und strukturell anders aufgestellt. Aber die Entscheidung, Datenaustausch ohne zentrale Plattform-Abhängigkeit zu lösen, ist übertragbar. Schleswig-Holstein hat genau das entschieden.

Deutschland debattiert konzeptionell Ähnliches im NOOTS-Kontext seit Jahren. Schleswig-Holstein wartet nicht auf den bundesweiten Beschluss.

„Eine Behörde reicht. Wenn sie’s vormacht, kommt der Rest mit." Das ist kein Optimismus. Das ist Realismus.

D-Stack: Zeitplan ja, Klarheit nein

Der D-Stack-Zeitplan ist ein Fortschritt. Benannte Missionen, benannte Daten. Konkret genug, um daran gemessen zu werden.

Die Lücken sind bekannt. ZenDiS, die Einheit, die den Stack operativ bauen soll, bekommt 2,6 statt der geforderten 30 Millionen Euro . Das BMDS arbeitet an einem IT-Zustimmungsvorbehalt, der je nach Ausgestaltung 3,5 bis 12 Milliarden Euro Bundesausgaben erfassen könnte, ohne dass die Governance-Struktur dahinter steht (Tagesspiegel Background, Paywall).

Und dann ist da das GovStack-Paradox: Deutschland hat über das BMZ in den vergangenen Jahren einen Tech-Stack für 25 andere Länder entwickelt und exportiert. Für sich selbst baut es einen anderen. Das ist keine Kritik, aber es ist eine offene Frage. Wer anderen erklärt, wie ein guter Stack aussieht, sollte beantworten können, warum er selbst einen anderen braucht.

Geld und Zuständigkeit entscheiden, ob der D-Stack in zwei Jahren ein nutzbares Portfolio hat oder ein gut dokumentiertes Versprechen bleibt. Weder das eine noch das andere ist im August geklärt worden.

Fazit

August 2025 in einem Satz: An starken Begriffen mangelt es nicht. An Beschaffungskriterien schon. Und an Ländern, die einfach anfangen, auch.

Hat Sie das Thema interessiert?

Wenn Sie gerade vor der Frage stehen, was „digitale Souveränität" oder „Open Source" in Ihrer nächsten Ausschreibung konkret bedeuten soll, und niemand eine belastbare Antwort gibt: Ich helfe, das zu übersetzen. Ohne Agenda, ohne Folgegeschäft.

Zehn Jahre. Drei Gremien. Kein Durchgriff. Juli 2025 im E-Government-Rückblick.

Thu, 31 Jul 2025 20:17:15 +0200

Der Bundesrechnungshof hat dem Haushaltsausschuss des Bundestages Anfang Juli einen Bericht zur zentralen IT des Bundes (Tagesspiegel Background, Paywall) vorgelegt: zehn Jahre IT-Konsolidierung, drei parallele Gremien, Einstimmigkeitsprinzip in zwei davon, Parallelentwicklungen trotz Zentralstellenmandat. Gleichzeitig erscheint auf Golem eine nüchterne Analyse: Open Source hat im Bund keine Lobby . Und Microsoft sperrt das Konto eines LibreOffice-Entwicklers . Ohne Vorwarnung, ohne Erklärung.

Das neue Digitalministerium verwaltet unterdessen Haushaltsmittel für Registermodernisierung, EUDI-Wallet, Deutschland-ID. Und erbt eine Entscheidungsarchitektur, die Entscheidungen systematisch verlangsamt.

Klingt nach Handlungsdruck. Klingt aber auch nach einer Frage, die zu selten laut gestellt wird: Welches der geerbten Probleme kann Wildberger eigentlich lösen?

Eine Erbschaft, die niemand freiwillig angetreten hätte

Der Bundesrechnungshof-Bericht ist kein Skandal. Er ist die Dokumentation des Offensichtlichen. Das Einstimmigkeitsprinzip im IT-Rat und im Lenkungsausschuss IT-Konsolidierung lähmt Entscheidungen. Das CIO Board konnte sich nicht einigen, Haushaltsmittel für ein simples Planungstool bereitzustellen. Einzelbeschaffungen gehen weiter an der Zentralstelle IT-Beschaffung vorbei. Fast die Hälfte der Bundesbehörden erfüllt die Sicherheitsanforderungen für die Netze des Bundes nicht vollständig. Sanktionsmöglichkeiten: keine.

Das alles übergibt die Bundesregierung nun an das BMDS. Auftrag laut BMI und BMF: eine „Neujustierung der IT-Steuerung mit Durchgriffsrechten" vornehmen. Was klingt wie Ermächtigung, ist in Wirklichkeit die Umschreibung einer offenen Rechnung, die zehn Jahre kein Haus bezahlen wollte.

Für Wildberger ergibt sich daraus ein klares Bild: Hier gibt es keinen schnellen Erfolg zu holen. IT-Konsolidierung ist Verwaltungspolitik auf Sicht, kein Gewinnerthema für ein neues Ministerium in seiner ersten Legislatur. Wer das zum Leuchtturmprojekt erklärt, läuft in eine strukturelle Falle.

Der eigentliche Hebel liegt nicht in einem weiteren Reorganisationserlass. Er liegt in einer schlichten Änderung der Gremien-Geschäftsordnungen: weg vom Einstimmigkeitsprinzip, hin zu qualifizierten Mehrheitsentscheidungen. Das wäre kein Gesetzesproblem, das wäre ein Reihenfolge-Problem. Und es wäre der erste Schritt, den man in dieser Legislatur tatsächlich sehen könnte.

Open Source braucht keine Lobby. Sondern Beschaffungsentscheidungen.

Die Golem-Analyse zur fehlenden Lobby ist ehrlich. Aber sie trifft die falsche Stelle.

Open Source hat im Bund keine strukturelle Verankerung in der Beschaffung. Nicht in den Ausschreibungsvorlagen, nicht als Muss-Kriterium, nicht in den Bewertungsmatrizen. Solange Open Source als Option behandelt wird statt als Anforderung, wird die Lobby-Frage nie beantwortet sein.

Der Microsoft-Vorfall mit dem LibreOffice-Entwickler erzählt das in einem Bild: Jemand, der aktiv an der Open-Source-Alternative zu Microsoft Office arbeitet, verliert seinen Infrastrukturzugang bei Microsoft. Ohne Vorwarnung. Das ist kein Datenschutzproblem. Das ist eine Infrastrukturabhängigkeit, die niemand bewusst gewählt hat, weil niemand bis zu diesem Punkt gefragt hat: Auf wessen Infrastruktur laufen eigentlich unsere Alternativen?

Die Delos Cloud ist das aktuell anschaulichste Beispiel für diese Spannung. Hessen steht als erster Interessent bereit, die ersten Azure Foundational Services sollen im dritten Quartal 2025 verfügbar sein (Tagesspiegel Background, Paywall), Office 365 Ende des Jahres. Aber die Rechenzentren gehören noch Microsoft. Der Eigentumsübergang ist für 2026 geplant. Das ist kein Einwand gegen Delos, es ist eine Erinnerung daran, wie lang der Weg noch ist, wenn man Souveränität in Infrastruktur-Eigentum messen will.

💡 ZenDiS ist das richtige institutionelle Instrument für Open Source in der Verwaltung. Aber ohne Beschaffungsrichtlinien, die Open Source priorisieren statt optionalisieren, und ohne politischen Rückenwind, der sich in Haushaltsmitteln ausdrückt, bleibt es eine gut gemeinte Initiative ohne Skalierungslogik.

Geld für Register, Komplexität im System

Der Kabinettsentwurf für den Bundeshaushalt 2026 (Tagesspiegel Background, Paywall) sieht 194 Millionen Euro für die Registermodernisierung vor, dazu über 250 Millionen für die Deutschland-ID und 162 Millionen für die EUDI-Wallet. Das Geld ist da.

Eine Golem-Analyse zur Registermodernisierung zeigt die Lücke: Schneller Start beim Umzug in ein neues Bundesland? Theoretisch ja. Praktisch entstehen neue Komplexitäten, sobald die EU-Sicherheitsarchitektur zwischen den beteiligten Registern ins Spiel kommt. Das bekannte Muster: Warum muss ich dem Staat Daten geben, die er schon hat? Die Antwort liegt nicht in mehr Haushaltsmitteln, die sind vorhanden. Sie liegt in der Bereitschaft, Registerführungskompetenzen zu entflechten, statt technische Schichten über bestehende Strukturen zu bauen.

Daneben: Die „Initiative für einen handlungsfähigen Staat" unter Schirmherrschaft von Bundespräsident Steinmeier legt im Juli einen 160-seitigen Abschlussbericht mit 35 Forderungen vor. Experimentierklauseln, Zuständigkeitsentflechtung, zentrale Dienstleistungsplattformen. Zehn Jahre Horizont. Gut diagnostiziert. Aber ohne konkreten ersten Schritt bleibt auch der beste Bericht Papier.

Fazit

Juli 2025 in zwei Sätzen: Das BMDS erbt Baustellen, keine Blaupausen. Wer im Herbst über Wildberger urteilen will, sollte nicht fragen, was er plant, sondern welche seiner Erbschaften er als erstes ablegt.

Hat Sie das Thema interessiert?

Wenn bei Ihnen IT-Vorhaben stocken, weil die Entscheidungsarchitektur im Weg steht, oder wenn Sie abwägen, ob Open Source eine realistische Option für Ihre nächste Beschaffung ist: Ich denke gerne mit, ohne Angebot, ohne Agenda.

Das Gegenbeispiel kommt aus Nürnberg. Juni 2025 im E-Government-Rückblick.

Mon, 30 Jun 2025 20:00:00 +0200

Das Bundesministerium für Digitales und Staatsmodernisierung startete seine ersten Wochen mit einem Kabinettsrang vor dem Verkehrsministerium, einem geliehenen Autohaus-Showroom als Besprechungsraum und drei Diensthandys für Staatssekretär Markus Richter – je eines aus dem Innen-, Verkehrs- und Finanzministerium. Mitte Juni veröffentlichte das Haus ein erstes Organigramm (Tagesspiegel Background, Paywall): „Version 0.1", so Richter intern, „eine Version, die uns zunächst Orientierung bietet." Kein eigener Etat für 2025, rund 500 Mitarbeitende formal noch bei ihren Herkunftshäusern. Gleichzeitig reservierte der Haushaltsentwurf 2025 1,6 Milliarden Euro aus dem Sondervermögen Infrastruktur für zentrale Digitalprojekte: 263 Millionen für die Registermodernisierung, 243 Millionen für das Bürgerkonto, 131 Millionen für die EUDI-Wallet.

Wer in diesem Monat mit konkreter Verwaltungsdigitalisierung überraschte, saß nicht in der Englischen Straße 30 in Berlin-Charlottenburg.

Struktur kommt zuletzt

Ein Ministerium aus sechs Vorläufern zusammenzuziehen ist kein bürokratischer Routinevorgang. Das BMDS war im Juni nicht einmal fertig beschriftet – am Eingang begrüßte die Plakette des Bundesinnenministeriums. Trotzdem produzierte das Haus innerhalb der ersten Wochen zwei Gesetze: das NOOTS-Gesetz , das die rechtliche Grundlage für behördenübergreifenden Datenaustausch legt, und das Glasfaserprivileg , mit dem der Breitbandausbau ins „überragende öffentliche Interesse" gehoben und damit Genehmigungsverfahren beschleunigt werden. Das ist politischer Produktionsbetrieb unter Baustellenbedingungen. Und es zeigt, was geht, wenn der politische Wille da ist.

Was das Organigramm darüber hinaus sichtbar macht: Der Deutschland-Stack bekommt eine eigene Abteilung, mit zwei Unterabteilungen für staatliche Infrastruktur und digitale Dienste. Organisatorisch mehr als eine symbolische Geste. Die Frage, ob dieser Stack eine echte Architekturentscheidung wird oder ein weiteres Sammelbecken für bestehende Initiativen, ließ sich im Juni noch nicht beantworten – das Team sollte bis Ende des Monats die Weichen stellen, ein ambitionierter Zeitplan für ein Vorhaben, das Bund, Länder und Kommunen verbinden soll.

Der eigentliche Hebel des Digitalministeriums liegt woanders: im Zustimmungsvorbehalt über IT-Ausgaben der Bundesverwaltung . Wenn das BMDS dieses Instrument konsequent nutzt, als echtes Entscheidungsfilter und nicht als weitere Koordinationsebene, entscheidet sich dort, ob der Stack eine technische Plattform wird oder ein politisches Label. Welche laufenden IT-Projekte werden auf Stack-Kompatibilität geprüft? Welche Ausschreibungen kommen nicht durch? Das sind die Fragen, die im Herbst Antworten brauchen.

Den Kontext dafür liefert der Markt selbst: Microsofts Ausgaben des Bundes für Softwarelizenzen sind 2024 deutlich gestiegen – Digitalisierung kostet zunächst mehr, nicht weniger, das ist ehrlich. Problematisch wird es, wenn die höheren Ausgaben in tiefere Abhängigkeit fließen, statt in Wahlfreiheit. Microsoft umwarb im Juni europäische Kunden aktiv mit seiner Sovereign-Cloud-Architektur . Deutschland und Frankreich vereinbarten höheres Tempo beim Aufbau europäischer Cloud-Plattformen . Beides zeigt, wohin sich die Debatte bewegt. Was noch fehlt: ein klares Signal des BMDS, welche Standards ein „souveräner" IT-Einkauf des Bundes künftig erfüllen muss – konkret, nicht als Grundsatzpapier.

Was die BA gerade macht

Während das Ministerium seine Organigramm-Version 0.1 kursieren ließ, gab BA-Chefin Andrea Nahles ein Interview über Multi-Cloud, Once-Only und Aleph Alpha (Tagesspiegel Background, Paywall), das im Fachkreis wenig Aufsehen erzeugte – das aber zeigt, wie Verwaltungsmodernisierung aussieht, wenn man sie operativ ernst nimmt.

Die Bundesagentur für Arbeit betreibt seit April einen Cloud-Broker-Rahmenvertrag über den sieben Anbieter abrufbar sind: amerikanische Hyperscaler und europäische Alternativen, ohne Abnahmeverpflichtung, ohne Mono-Strategie. Die zentralen Auszahlungssysteme ziehen 2025 in die SAP-Cloud-Umgebung. Nahles’ Begründung: Rechenzentrumskapazitäten freiräumen, um KI-Anwendungen mit sensiblen Daten weiterhin im eigenen Haus betreiben zu können. Das ist keine Widerspruch-Logik, das ist Architekturdisziplin: Cloudnutzung dort, wo es sinnvoll ist, Eigenregie dort, wo es darauf ankommt.

Beim Once-Only-Prinzip ist die BA als Pilotbehörde konkret unterwegs: Datenaustausch mit dem Bundeszentralamt für Steuern, Anbindung an das Bremer Datenschutzcockpit, vorausgefüllte Anträge. Nicht als Konzeptpapier, sondern als laufende Implementierung. Bremen hatte im selben Monat gezeigt, was Once-Only technisch voraussetzt (Tagesspiegel Background, Paywall): aufgeräumte Datenbestände. Wer seine Register nicht kennt, kann sie nicht teilen. Die BA kennt sie.

💡 Der Unterschied zwischen „wir arbeiten an Once-Only" und „wir tun Once-Only" ist ein aufgeräumtes Datenmodell. Wer da noch nicht angefangen hat, sollte nicht auf den Stack warten.

Und dann ist da noch die KI-Entscheidung. Die BA hat 2024 einen Rahmenvertrag über 19 Millionen Euro mit Aleph Alpha abgeschlossen, entwickelt gemeinsam einen internen Wissens-Assistenten namens „Bakira" und hat laut Nahles 21 KI-Anwendungsfälle aktiv, bis Ende 2025 sollen es über 30 sein. Was hier funktioniert, hat einen strukturellen Grund: Die BA verfügt über einen eigenen Technologie-Stack, der diese Integrationen trägt. Und sie hat eine Führung, die KI nicht als Kommunikationsbotschaft, sondern als Infrastrukturkomponente begreift.

Das ist kein Anlass zur Übertragung eins zu eins. Die BA ist ein Einzelakteur mit klaren Zuständigkeiten, eigenem Haushalt und einem internen IT-Dienstleister. Föderale Verwaltungsdigitalisierung ist strukturell anders. Aber das Muster ist übersetzbar: Erst die Datengrundlage, dann der Datenaustausch. Erst ein Anwendungsfall liefern, dann den nächsten bauen. Wenn eine Behörde es vormacht, kommen andere mit, schneller als es jede Bundesvereinbarung erzwingen könnte.

Fazit

Juni 2025: Das Digitalministerium entsteht. Der Deutschland-Stack bekommt eine Heimat im Organigramm. Die Milliarden aus dem Sondervermögen sind reserviert. Was noch fehlt, hat die BA schon: ein Architekturverständnis, das entscheidet, was reingehört und was nicht, und die Bereitschaft, mit einem konkreten ersten Schritt anzufangen.

Neue Zuständigkeit ist kein neues Ergebnis. Der erste echte Test für das BMDS wird nicht die nächste Agenda-Veröffentlichung sein, sondern die erste IT-Ausgabe einer Bundesbehörde, die es ablehnt.

Hat Sie das Thema interessiert?

Sie bauen gerade eine Cloud- oder Datenstrategie in der Verwaltung und fragen sich, wo der vernünftige erste Schritt sitzt? Oder Sie stehen vor der Frage, welche Voraussetzungen Once-Only in Ihrer Behörde braucht, bevor der Stack kommt? Schreiben Sie mich an – ich denke mit, ohne mitzuverkaufen.

Wildberger hat sechs Ministerien. Trump hat den Schlüssel zur Cloud. – Mai 2025 im E-Government-Rückblick.

Sat, 31 May 2025 20:00:00 +0200

Am 7. Mai 2025 vereidigt Bundeskanzler Friedrich Merz sein Kabinett. Das neue Bundesministerium für Digitales und Staatsmodernisierung (BMDS) unter Karsten Wildberger bündelt Kompetenzen aus sechs Ministerien : OZG, Staatsmodernisierung, IT-Beschaffung, das ITZBund, die strategische Vorausschau. Mehr stand noch nie unter einem digitalpolitischen Dach. In derselben Woche wird bekannt, dass Microsoft das E-Mail-Konto des Chefanklägers am Internationalen Strafgerichtshof (IStGH), Karim Khan, gesperrt hat, weil die Trump-Regierung Sanktionen gegen ihn verhängt hatte ( Tagesspiegel Background, Paywall ).

Klingt nach Zufall. Ist keiner. Der Mai zeigt an zwei Schauplätzen gleichzeitig, was Verwaltungsdigitalisierung 2025 bedeutet.

Das Ministerium, das ITZBund und die erste Machtfrage

Der Zuschnitt des BMDS ist ein echter Schritt. Markus Richter, bisheriger Bundes-CIO, bleibt als Staatssekretär, was operative Kontinuität sichert. Der Deutschland-Stack steht im Koalitionsvertrag. Und erstmals liegt die Zuständigkeit für souveräne Cloud, IT-Beschaffung und Verwaltungsdigitalisierung in einer Hand.

Dann, fast unmittelbar: Das Bundesfinanzministerium will das ITZBund nicht abgeben (Tagesspiegel Background, Paywall). Das ITZBund ist der IT-Dienstleister des Bundes mit Milliardenbudget. Ohne ihn ist das BMDS ein Ministerium mit Papier-Kompetenz, aber ohne operativen Hebel. Der Streit ist in der ersten Woche bereits da.

Das ist kein Betriebsunfall. Wer Haushalt und operative IT trennt, bekommt immer dieselbe Reibung. Der Schritt, der den Streit auflöst, ist nicht ein weiteres Abstimmungsgespräch, sondern eine klare politische Entscheidung: Wer am Ende entscheidet, BMDS oder BMF. Eine halbe Lösung kostet mehr als gar keine.

Parallel beginnt die Diskussion um den Deutschland-Stack, und sie beginnt so, wie solche Diskussionen in Deutschland beginnen: mit vielen Beteiligten, die alle etwas darin sehen wollen, und wenig Klarheit darüber, was der Stack eigentlich nicht enthält. Euro Stack, GovStack, Deutschland-Architektur: Die Begriffe kursieren parallel. Der IT-Planungsrat hat das Thema auf der Agenda, konkrete Beschlüsse gibt es noch nicht. Das ist der Moment, in dem Präzision mehr wert ist als Tempo. Ein Stack, der alles aufnimmt, ist keine Plattform. Er ist ein Verbund mit neuem Logo.

Was Karim Khans E-Mail-Konto mit dem Deutschland-Stack zu tun hat

Peter Ganten, Vorstandsvorsitzender der Open Source Business Alliance, nennt den IStGH-Fall einen „Weckruf für alle, die für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen verantwortlich sind" (Tagesspiegel Background, Paywall). Achim Weiß, CEO von Ionos, zieht die Konsequenz direkt: „Wenn Trump uns morgen die digitale Infrastruktur abdreht, sitzen wir auf dem Trockenen." Das ist kein hypothetisches Szenario mehr. Das ist der Mai 2025.

Die europäische Antwort auf genau diese Frage sollte Gaia-X sein. Fünf Jahre nach dem Start ist die Bilanz nüchtern (Tagesspiegel Background, Paywall): Standardisierungsfortschritte, einige frustrierte Unternehmen, kein handfestes Alternativangebot zu US-Hyperscalern. Die Idee war richtig. Die Umsetzung litt daran, dass zu viele Akteure zu viel auf einmal wollten, ohne dass irgendjemand die Entscheidung über Prioritäten hatte. Auch das ist ein Strukturproblem, kein Pech.

Was konkret hilft, zeigt sich ebenfalls im Mai: Die Schwarz Gruppe will mit ihrer Cloud-Tochter StackIT und SAP zum deutschen Hyperscaler werden . Wildberger war beim Start dabei. Das ist der andere Weg: Ein Unternehmen investiert in echte Infrastruktur, statt auf ein Konsortium zu warten. Kein Prozess, keine Taskforce. Einfach bauen.

Souveränität entscheidet sich nicht in Gipfelreden. Sie entscheidet sich in Beschaffungsentscheidungen. Jede Bundesbehörde, die heute einen europäischen Anbieter wählt, baut an der Antwort auf den IStGH-Fall. Das BMDS hat dafür jetzt die Zuständigkeit. Das ist keine Kleinigkeit.

Logineo und die Kosten der falschen Reihenfolge

Nordrhein-Westfalens Schulplattform Logineo steht vor dem Aus (Tagesspiegel Background, Paywall). T-Systems hat die Verträge gekündigt. Das Projekt existiert seit 2015, hat rund 200 Millionen Euro verschlungen und etwa 3.000 der 5.400 NRW-Schulen angebunden. Es scheitert nicht an fehlendem Budget, sondern an einer Architektur, die beim Start nicht nachnutzbar war und auf Technik setzte, die schon damals veraltet war.

Kritiker bringen es auf den Punkt: keine abgestimmte Strategie, keine Wiederverwendbarkeit, keine Einbindung der Schulträger. Das ist das Ergebnis, wenn die Reihenfolge falsch ist: erst entwickeln, dann fragen, was gebraucht wird.

Was hilft? Nicht das nächste Leuchtturmprojekt. Förderung, die Nachnutzung belohnt statt Innovation erzwingt. Die Agora Digitale Transformation empfiehlt im Mai genau das: Förderprogramme so umbauen, dass Kommunen für die Übernahme bewährter Lösungen gefördert werden, nicht für die Eigenentwicklung der nächsten Plattform. Der Weg ist nicht neu. Er wird nur nicht genommen.

Immerhin zwei konstruktive Signale aus dem Ökosystem: Google hat im Streit mit Nextcloud nachgegeben und gibt der App wieder volle Dateizugriffsrechte zurück. Und Wildberger bekannte sich auf der re:publica öffentlich zu Open-Source-Software, begleitet von erkennbarem Applaus. Beides sind noch keine Strategien. Aber es sind Signale, dass die Richtung stimmt.

Fazit

Der Mai 2025 ist der Monat des institutionellen Aufbruchs. Das BMDS ist real, die Kompetenz gebündelt, der Wille erkennbar. Und gleichzeitig: Die strukturellen Probleme treten ab Tag zwei in voller Schärfe auf. Der ITZBund-Streit ist ein Vorgeschmack. Der Deutschland-Stack ist noch eine Fläche ohne Kontur. Und der IStGH-Fall zeigt, dass die Welt auf keine Roadmap wartet.

An Kompetenzen mangelt es jetzt nicht mehr. An Entscheidungen schon.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade einordnen wollen, welche Cloud-Abhängigkeiten ein echtes Risiko darstellen, oder wenn Sie den Deutschland-Stack für Ihre eigene IT-Strategie schärfen wollen und einen Gesprächspartner suchen, der kein Produkt zu verkaufen hat: Schreiben Sie mich an.

Das Versprechen und die Entlassung. April 2025 im E-Government-Rückblick.

Wed, 30 Apr 2025 20:00:00 +0200

Am 9. April 2025 präsentierten CDU, CSU und SPD ihren Koalitionsvertrag . 144 Seiten, Titel: „Verantwortung für Deutschland." Digitale Souveränität steht weit vorne. Open Source soll mit „ambitionierten Zielen" vorangebracht werden. Das Zentrum für Digitale Souveränität (ZenDiS) wird namentlich als Träger genannt, ebenso wie die Sovereign Tech Agency und SPRIND . Am selben Tag beschloss das Bundesinnenministerium, ZenDiS-Geschäftsführerin Jutta Horstmann abzuberufen.

Das ist keine schlechte Koordination. Das ist die Diagnose.

Ambitionierte Ziele, vakante Strategie

Was der Koalitionsvertrag zu Open Source sagt, ist inhaltlich das Richtige: offene Schnittstellen, offene Standards, das IT-Budget strategisch ausrichten. Was fehlt, ist die Verbindlichkeit. Das von der SPD angestrebte 50-Prozent-Ziel für Open Source in der Beschaffung blieb draußen. Ein Digitalbudget fehlt ebenso. Alle Vorhaben stehen unter Finanzierungsvorbehalt. „Ambitionierte Ziele" ist eine Formel, die man ohne Konsequenzen stehen lassen kann.

Horstmann war dabei nicht irgendeine Managerin. Die Linux-Expertin und Politikwissenschaftlerin hatte das ZenDiS seit Oktober 2024 strategisch aufgestellt, Kooperationen mit Frankreich und den Niederlanden aufgebaut und openDesk als Plattform sichtbar gemacht. Das BMI begründete ihre Abberufung lapidar mit der „Bündelung von Prozessen und Kompetenzen." Die Formulierung erklärt nichts. Was bleibt, ist die von netzpolitik.org beschriebene Sorge , dass das ZenDiS zur Vertriebsorganisation wird: Produkte in die Breite bringen, Umsatz erzielen, die strategische Open-Source-Mission auf der Strecke lassen.

Das Muster ist nicht neu. Deutschland gründet Institutionen für digitale Souveränität, stattet sie mit Mandat und Sichtbarkeit aus und löst dann die Personalentscheidungen davon ab, wer das Mandat eigentlich trägt. Der IT-Planungsrat hat das ZenDiS 2021 erdacht, weil die Abhängigkeit der öffentlichen Verwaltung von US-Tech-Konzernen Informationssicherheit und Innovationsfähigkeit gefährdet. Ob das ZenDiS dieses Mandat unter neuer Führung noch verkörpert, ist offen.

Was würde helfen? Das geplante Digitalministerium könnte die strategische Rolle des ZenDiS verbindlich machen: konkrete Open-Source-Anteile im IT-Budget, Reporting-Pflichten, und die Einbindung der Bundesländer als Mitgesellschafter, die das BMI seit drei Jahren verschleppt . Ambitionierte Ziele brauchen Träger. Wer den Träger schwächt, schwächt das Ziel.

💡 Das 50-Prozent-Ziel wäre gar nicht nötig gewesen. Ein klares Anteilsziel von 20 Prozent für Open Source bei Bundesbeschaffungen, verbindlich und reportingpflichtig, hätte mehr Wirkung als jede Sonntagsformel.

Was trotzdem geliefert wird

Das ZenDiS selbst lieferte im April einen konkreten Beleg: openDesk kommt zur Bundeswehr . Die MS-Office-Alternative wird künftig in den deutschen Streitkräften eingesetzt. Kein Pilotprojekt, kein Memorandum. Ein geschlossener Vertrag. Open Source im Sicherheitsbereich, mit echten Anforderungen an Verfügbarkeit und Datenschutz. Das ist der Beweis, dass das Betriebsmodell funktioniert, auch wenn das Strategiekapitel gerade vakant ist.

Gleichzeitig erzeugt Donald Trumps Handelskrieg einen Marktdruck, den keine Kampagne hätte besser herbeireden können. Europäische Software-Anbieter melden deutlich gestiegene Anfragen . Die Abhängigkeit von US-Clouds ist nicht mehr akademisch: Das Bundesinnenministerium warnte im April explizit davor, dass ein Kollaps des EU-US Data Privacy Frameworks den Einsatz amerikanischer Cloud-Dienste für die Verwaltung faktisch unmöglich machen würde.

Das öffnet ein Fenster. Die Frage ist, ob die Verwaltung vorbereitet ist, es zu nutzen. Die Antwort aus der Praxis ist ernüchternd: Die Kosten für Clouddienste beim Bund werden laut einer Golem-Analyse massiv unterschätzt , weil Betriebskosten, Skalierungseffekte und Migrationsaufwände im Beschaffungsmodell kaum abgebildet sind. Wer jetzt in Alternativen investieren will, braucht zuerst einen realistischen Blick darauf, was der Status quo eigentlich kostet.

Bei der Registermodernisierung ist derweil eine pragmatische Idee in Bewegung: Cloud-Register. Die FITKO arbeitet an einem Konzept, das die dezentrale Registerlandschaft grundlegend verändern soll. Tausende Kommunen führen heute ihre Register lokal, viele auf eigenen Servern mit eingeschränkten Betriebszeiten. Der Koalitionsvertrag will Bundesregister auf „souveränen Cloud-Plattformen" zentralisieren. Welche Plattformen das sein sollen und was „souverän" in diesem Kontext konkret bedeutet: offen. Aber die Richtung stimmt. Und das NOOTS-System, das Register miteinander vernetzen soll, braucht genau diese Infrastruktur-Vereinheitlichung als Voraussetzung.

Das Ministerium und das Wimmelbild

Ende April wurde bekannt, was viele überrascht hat: Karsten Wildberger , bisheriger CEO von MediaMarktSaturn, soll erster Bundesdigitalminister werden. Kein Public-Administration-Hintergrund, kein explizites Open-Source-Profil, dafür Erfahrung in der Digitaltransformation eines komplexen Handelsunternehmens mit Filialnetz, Legacy-IT und Personaldruck.

Ob das reicht, ist die falsche Frage. Die richtige: Mit welchem Unterbau startet das Ministerium? Der Bitkom hat ein Papier vorgelegt, das eine koordinierende Einheit vorschlägt, die ZenDiS, Zentralstelle IT-Beschaffung, Digital Service und andere als „Spinne im Netz" zusammenführt. Das Prinzip klingt vernünftig. Die Gefahr ist dieselbe, die sich bei jedem neuen Koordinationsmechanismus in der föderalen IT zeigt: ein weiterer Layer, der das Wimmelbild unübersichtlicher macht, statt es zu vereinfachen. Der Bitkom formuliert das selbst: Die neue Einheit dürfe „das Wimmelbild nicht unübersichtlicher machen." Dass man das explizit hinschreiben muss, sagt alles über das Ausgangsproblem.

Der erste sichtbare Beweis für ein funktionierendes Digitalministerium wäre deshalb kein neues Konzeptpapier. Er wäre die Benennung dessen, was künftig nicht mehr parallel weiterläuft. Welche Förderlinien auslaufen. Welche Institutionen zusammengehen. Welche Verträge nicht verlängert werden. Reduktion ist die Funktion, nicht die Schwäche.

Fazit

April 2025 in zwei Sätzen: Der Koalitionsvertrag hat Open Source zur Staatsaufgabe erklärt. Das BMI hat am selben Tag die Person entlassen, die dafür am besten qualifiziert war.

An Absichtserklärungen mangelt es nicht. An messbaren Zielen, institutioneller Kontinuität und dem Mut zur Reduktion schon.

Hat Sie das Thema interessiert?

Wenn Sie gerade vor der Frage stehen, was „digitale Souveränität" in Ihrer Behörde oder Ihrem Projekt konkret bedeutet und welche ersten Schritte realistisch sind: Schreiben Sie mir. Ich denke mit, ohne mitzuverkaufen.

500 Milliarden, 0,5 Prozent. März 2025 im E-Government-Rückblick.

Mon, 31 Mar 2025 20:00:00 +0200

Am 12. März startete die Deutsche Verwaltungscloud (DVC) in den Produktivbetrieb . Ina-Maria Ulbrich, Vorsitzende des IT-Planungsrats, sprach von einem „Meilenstein für die digitale Souveränität". In den Koalitionsverhandlungen zwischen CDU/CSU und SPD kursierte zeitgleich ein Zwischenstand der AG Digitales , der Deutschland-Stack, Once-Only und eine mögliche „Deutsche Digitalservice Einheit" skizzierte – und beim Thema Open Source eine auffällige Leerstelle hinterließ. Der Bundestag verabschiedete außerdem mit der alten Mehrheit das Sondervermögen Infrastruktur über 500 Milliarden Euro. Digitalisierung soll einen Teil davon bekommen. Wie viel: offen.

März 2025 ist der Monat vor dem Neustart. Was er zeigt, ist lehrreich.

Die DVC ist live. Die Frage bleibt offen.

Der Produktivstart der Deutschen Verwaltungscloud ist tatsächlich ein Fortschritt. Vier Jahre nach dem Beschluss des IT-Planungsrats zur Stärkung der digitalen Souveränität steht ein Marktplatz für Cloud-Dienste, über den Bund, Länder und Kommunen Angebote verschiedener Anbieter flexibel abrufen können sollen. Das ist keine Selbstverständlichkeit im föderalen Betrieb. Ein funktionierender Marktplatz, der Anbieterwechsel strukturell ermöglicht, ist genau das Instrument, das verhindert, dass eine Cloud-Entscheidung zur Einbahnstraße wird.

Die offene Frage, die der Start nicht beantwortet: Was ist hier eigentlich souverän? Netzpolitik hat sie gestellt und die Antwort der Bundesregierung analysiert. Die IT-Planungsrats-Definition von „Souveränität" schließt Vendor-Lock-in-Vermeidung explizit nicht ein. Eine Exit-Strategie gilt als Kann-Bedingung, nicht als Muss. Und die Integration proprietärer Angebote, etwa über sogenannte Integratoren, die Microsoft-Dienste nach DVC-Standards konfigurieren, ist ausdrücklich vorgesehen.

Das ist das bekannte Muster: Man nennt einen Rahmen souverän, weil er technisch in Deutschland betrieben wird – nicht, weil man ihn verlassen könnte. Die Delos-Cloud-Debatte der Vorjahre zeigt, wohin das führt: Microsoft bleibt, der Standort wechselt. Das ist kein Souveränitätsgewinn, das ist ein Repositionierungsgewinn für Anbieter, die das Narrativ übernehmen.

Der Weg wäre ein anderer: Die DVC-Finanzierungsentscheidung, die der IT-Planungsrat im März in Hannover traf, hätte der richtige Moment gewesen, Souveränität als Vertragsanforderung zu verankern – mit konkreten Interoperabilitätsstandards, die Open-Source-Basis voraussetzen, und einer Exit-Strategie, die als Mindestanforderung gilt, nicht als Bonus. Schleswig-Holstein hat diesen Anspruch bereits formuliert : Wer keine Exit-Option hat, hat keine Souveränität. Das ist kein Purismus, das ist Beschaffungshygiene.

0,5 Prozent – und 50 sollen es werden

Das andere Bild des März stammt aus den Koalitionsverhandlungen. Die OSB Alliance analysiert den Zwischenstand der AG Digitales und benennt, was zwischen den Zeilen steht: Der Open-Source-Anteil an den Bundesausgaben für Software-Entwicklung und Dienstleistungen lag in der vergangenen Legislaturperiode bei etwa 0,5 Prozent des Gesamthaushalts. Die SPD will diesen Anteil bis 2029 auf 50 Prozent heben. Die CDU will „ambitionierte Zielmarken definieren". Das klingt nach einer inhaltlichen Differenz. Es ist eine kategoriale: eine Seite beschreibt eine Marke, die andere beschreibt einen Prozess.

Zum Kontext: Der Bund hat Rahmenverträge über 4,8 Milliarden Euro mit Oracle abgeschlossen. Für Microsoft-Lizenzen und Schulungen wurden 1,3 Milliarden Euro vertraglich gebunden. Das ZenDiS-Budget, das genau die Open-Source-Alternative aufbauen soll, wurde im Haushalt 2024 von knapp 50 Millionen Euro auf 24,7 Millionen Euro halbiert. Wer in dieser Ausgangslage nur „Zielmarken definieren" will, ohne Institutionen, Budgets und Zeitrahmen zu benennen, beschreibt keine Digitalpolitik, er beschreibt eine Absichtserklärung.

Was fehlt, ist das, was die DMK in ihrer Sondersitzung Ende März als Kernbedingung formuliert (Tagesspiegel Background, Paywall): ein zentrales Digitalbudget mit echten Durchgriffsrechten. Nicht als Schönheitsoperation für das Organigramm, sondern als haushaltliche Steuerungsfunktion. Wer das IT-Budget der Bundesverwaltung nicht genehmigen muss, kann den Open-Source-Anteil nicht steuern. Das ist kein Politikproblem, das ist ein Mechanikproblem.

💡 Der Unterschied zwischen 0,5 und 50 Prozent lässt sich nicht durch Zielmarken schließen. Er lässt sich durch Rahmenvertragslogik schließen: Wer die nächsten Bundesrahmenverträge schreibt, entscheidet über die Ausgangslage in vier Jahren.

Das wäre kein Gesetzgebungsproblem. Das wäre eine Beschaffungsentscheidung, die ein Digitalministerium mit Digitalbudget treffen kann – wenn es den Willen dazu hat und die Mandat-Klarheit bekommt, die im März noch nicht existierte. Die Agora Digitale Transformation hatte in einem gleichzeitig erschienenen Papier genau das gefordert: eine Digitalagentur als operativer Arm, der Rahmenverträge steuert, nicht nur Konzepte schreibt.

Fazit

März 2025: Die DVC lebt, das Sondervermögen ist beschlossen, die Koalitionspositionen liegen auf dem Tisch. Und Souveränität bleibt das, was sie in Deutschland oft ist: ein Begriff, über den man sich einig ist, bevor man klärt, was er konkret bedeutet.

Die nächsten Wochen entscheiden, ob das Digitalministerium als echtes Steuerungsinstrument in den Koalitionsvertrag kommt oder als Schaufenster. Der Unterschied liegt nicht im Namen, er liegt im Budget.

Hat Sie das Thema interessiert?

Sie stehen vor einer Beschaffungsentscheidung, bei der die Frage „proprietär oder offen" mehr als eine Grundsatzfrage ist – und suchen jemanden, der die Konsequenzen in beide Richtungen kennt? Schreiben Sie mich an!

Souveränität für 15 Prozent Aufschlag. Februar 2025 im E-Government-Rückblick.

Fri, 28 Feb 2025 20:00:00 +0100

Am 23. Februar 2025 wählt Deutschland einen neuen Bundestag. CDU/CSU gewinnt, Friedrich Merz wird designierter Kanzler. Ein eigenständiges Digitalministerium gilt als sicher, die Besetzung ist noch offen. Ebenfalls im Februar: Deutschland hat 2024 mehr Geld an Microsoft gezahlt als je zuvor , über 200 Millionen Euro. Und SAP-Tochter Delos Cloud veröffentlicht ihre Preisliste für die „souveräne" Microsoft-Cloud für die Verwaltung: 15 Prozent Aufschlag auf den deutschen Standardpreis.

Das ist kein Fortschritt beim Thema Abhängigkeit. Das ist Abhängigkeit mit neuem Preisschild.

Der 15-Prozent-Irrtum

Die Idee hinter Delos klingt vernünftig: Microsoft-Produkte aus deutschen Rechenzentren, betrieben von SAP, geprüft vom BSI, rechtlich abgesichert gegen US-Zugriff. SAP-Vorstand Thomas Saueressig spricht von einer „digitalen Festung", Delos-CEO Nikolaus Hagl verspricht, dass die Cloud im Krisenfall „völlig autark weiterläuft". (Tagesspiegel Background, Paywall)

Was das Modell nicht beantwortet: Wer am Ende den Code schreibt, die Roadmap bestimmt und entscheidet, welche Features geliefert werden. Die Antwort ist dieselbe wie bisher: Microsoft. Delos kauft die Technologie ab und betreibt sie. Das ist ein operativer Fortschritt für den Fall einer akuten Krise, aber kein Ausstieg aus der strukturellen Abhängigkeit.

Neue Funktion. Gleicher Hersteller. Einige Monate autarker Betrieb im Krisenfall. Das ist der Wert des Modells. Und der 15-Prozent-Aufschlag ist der Preis dafür. Wer das für digitale Souveränität hält, verwechselt Notfallbetrieb mit Unabhängigkeit.

Dabei ist das Problem nicht neu. Eine PwC-Studie aus dem Jahr 2019 stellte schon damals fest, dass die Bundesverwaltung an vielen Stellen Standard-Produkte kommerzieller Anbieter einsetzt und dabei Abhängigkeiten entstehen, die Informationssicherheit und Flexibilität gefährden. Das Fazit war damals schon klar. Die Zahlen von 2024 zeigen: Es ist seitdem nicht besser, sondern teurer geworden.

Der Pfad aus dieser Situation führt nicht über einen günstigeren oder souveräner verpackten Microsoft-Vertrag. Er führt über andere Beschaffungsentscheidungen bei neuen Projekten. Wer heute ein neues Fachverfahren, eine neue Plattform oder eine neue Infrastrukturkomponente beschafft, hat die Wahl. Wenn die Antwort immer wieder proprietäre Software lautet, liegt das seltener am Vergaberecht und häufiger daran, dass die Ausschreibungskriterien diese Wahl nicht konsequent öffnen.

Was die Praxis liefert

Genau hier setzt ein Papier an, das im Februar wenig Aufmerksamkeit bekommen hat, aber operativ relevant ist: Die Open Source Business Alliance hat am 11. Februar Vergabekriterien für eine nachhaltige Beschaffung von Open Source Software veröffentlicht.

Das Dokument adressiert ein echtes Problem: Öffentliche Auftraggeber, die OSS beschaffen wollen, geraten regelmäßig in eine Dumpingfalle. Das günstigste Angebot gewinnt, aber es stammt oft von Anbietern, die die Software weder entwickeln noch langfristig pflegen. Das Geld fließt nicht an die Community zurück, die Entwicklung stagniert, die Sicherheit leidet. Und am Ende heißt es: „Open Source hat nicht funktioniert."

Das Papier zeigt, wie Vergabekriterien jenseits des Preises gesetzt werden können, um genau das zu verhindern: Qualifikationsanforderungen an Anbieter, Nachweise über Beiträge zur Community, Anforderungen an Wartung und Weiterentwicklung. Das ist kein Manifest. Das ist eine Checkliste für den Einkauf.

💡 Wer diese Kriterien in Ausschreibungen einbaut, trifft keine Grundsatzentscheidung für Open Source. Er stellt sicher, dass das, was er beschafft, auch hält, was es verspricht.

Parallel gewinnt die Diskussion um einen europäischen Technologie-Stack an Kontur. Die Idee: Statt US-Hyperscaler oder kostspieliger nationaler Wrappers eine koordinierte europäische Antwort auf Cloud, KI-Infrastruktur und Basisdienste. Ob das konkret wird, hängt von politischen Entscheidungen ab, die noch nicht getroffen sind. Aber die Richtung stimmt, und sie ist kein Gegensatz zu kurzfristigen Maßnahmen wie Delos, sondern deren sinnvolle Ergänzung.

Nach der Wahl, vor den Entscheidungen

Die OSB Alliance-Analyse der Wahlprogramme ist ein nüchternes Dokument. Ihr wichtigster Satz steht beim CDU/CSU-Kapitel: Open Source Software wird im Wahlprogramm der CDU/CSU an keiner Stelle erwähnt. Bei der SPD ebenfalls nicht.

Die Partei, die die neue Regierung führen wird, hat digitale Souveränität als Ziel formuliert, aber das wichtigste Werkzeug dafür nicht einmal benannt. Das ist keine Katastrophe, aber es ist ein Signal: Wer Open Source in der nächsten Legislatur politisch verankern will, muss das selbst einbringen. Es kommt nicht von allein.

Das Digitalministerium gilt als sicher . Die neue Regierung würde damit ein Ressort schaffen, das es bisher nicht gab. Ein Budget von rund 19 Milliarden Euro für Digitalisierung steht im Raum. Das ist Hebelmasse. Was damit gemacht wird, entscheidet sich in den Beschaffungsregeln, nicht in den Sonntagsreden.

Golem analysiert die strukturellen Probleme treffend: Föderale Zuständigkeitszersplitterung, fehlende zentrale Steuerung, jahrelange Investition in proprietäre Systeme. Das lässt sich nicht per Ministeriumsgründung auflösen. Aber ein Ministerium, das vom ersten Tag an andere Beschaffungsdefaults setzt, kann in vier Jahren etwas verschieben.

Das wäre kein Gesetzesproblem. Das wäre ein Reihenfolge-Problem. Erst Beschaffungskriterien ändern, dann liefern, dann berichten. Nicht umgekehrt.

Fazit

Februar 2025 in zwei Sätzen: Deutschland zahlt Microsoft immer mehr, und die große Lösung kostet 15 Prozent extra. Die Werkzeuge, es anders zu machen, liegen auf dem Tisch. Jetzt braucht es eine Regierung, die sie benutzt.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade vor einer Beschaffungsentscheidung stehen und wissen wollen, wie sich OSS-Kriterien in die Ausschreibung einbauen lassen, ohne das Vergaberecht zu strapazieren: Schreiben Sie mir. Ich denke mit, ohne mitzuverkaufen.

481 Millionen Euro für Microsoft. Dann kam DeepSeek. – Januar 2025 im E-Government-Rückblick.

Fri, 31 Jan 2025 20:00:00 +0100

Die Open Source Business Alliance veröffentlicht im Januar eine Zahl aus einer Bundestagsanfrage: 481,1 Millionen Euro hat die Bundesverwaltung 2024 für Microsoft-Lizenzen ausgegeben. 38 Prozent mehr als im Vorjahr. Am 20. Januar, dem Tag der Trump-Inauguration, erscheint DeepSeek R1: ein chinesisches Open-Source-Sprachmodell auf GPT-4-Niveau, trainiert für einen Bruchteil der üblichen Kosten, frei verfügbar und lokal betreibbar.

Zwei Nachrichten, ein Monat. Beide beschreiben dasselbe Problem von entgegengesetzten Seiten.

Was 481 Millionen wirklich bedeuten

Die Zahl ist kein Skandal. Sie ist ein Systemzustand.

Die Microsoft-Lizenzkosten der Bundesverwaltung sind in einem Jahr um 38 Prozent gestiegen – nicht weil die Nutzerzahl gewachsen wäre, sondern weil die Abhängigkeit so tief ist, dass kaum Verhandlungsmacht bleibt. Für 2026 sind weitere Preissteigerungen angekündigt . OSBA-Vorstandsvorsitzender Peter Ganten bringt es auf den Punkt: „Geld, das in die Lizenzen eines Konzerns fließt, fehlt für Lösungen, die gezielt auf die Bedürfnisse der Verwaltung zugeschnitten sind."

Die Delos Cloud war die Antwort auf genau dieses Unbehagen: eine „souveräne" Lösung, gebaut auf SAP- und Microsoft-Infrastruktur, mit deutschem Rechenzentrum. Im Januar räumt das Innenministerium Baden-Württembergs ein, was Fachleute seit Langem beobachten: Zugriffe durch Drittstaaten können nicht ausgeschlossen werden . Der Grund ist nicht die Hardware, sondern das Recht. Der CLOUD Act verpflichtet US-Unternehmen , auf behördliche Anordnung Daten herauszugeben – unabhängig davon, wo die Server stehen. Ein Microsoft-Frankreich-Direktor hat das im Juni 2024 unter Eid bestätigt: Er könne nicht garantieren, dass Daten französischer Behörden niemals ohne deren Zustimmung an die US-Regierung gehen.

Keine Architektur, kein Vertrag, kein nationales Rechenzentrum ändert daran etwas. Das ist kein technisches Problem. Das ist ein rechtliches. Und es macht eine ganze Klasse von „Souveränitätslösungen" strukturell wirkungslos.

Was hilft? Nicht das nächste Zertifikat für ein US-Produkt mit deutschem Label. Sondern die sachliche Frage, für welche Daten US-abhängige Infrastruktur überhaupt akzeptabel ist. Für unkritische Workloads kann das eine pragmatische Antwort sein. Für klassifizierte Verwaltungsvorgänge, Sicherheitsbehörden und kritische Infrastruktur ist es das nicht. Die Datenkategorie zieht die Grenze – nicht der Vertragstext.

Was DeepSeek mit Souveränität zu tun hat

Am 20. Januar erscheint DeepSeek R1 : ein chinesisches Open-Source-Sprachmodell, das in Benchmarks mit GPT-4 und Claude mithalten kann und dabei nach eigenen Angaben für einen Bruchteil der bisherigen Trainingskosten entwickelt wurde. Trump bezeichnet es als „Weckruf" für die US-KI-Industrie. An der Wall Street bricht der Nvidia-Kurs ein.

In der deutschen Verwaltungsdigitalisierungsdiskussion löst das vor allem eine Frage aus: Kann man einem chinesischen Modell vertrauen? Die Frage ist nicht falsch. Sie übersieht aber den wichtigeren Punkt.

Dass ein leistungsfähiges Open-Source-Modell existiert, bedeutet: Es lässt sich lokal betreiben. Auf eigener Infrastruktur. Ohne Hyperscaler. Ohne US-Rechenzentrum. Ohne CLOUD-Act-Risiko. Die Bedeutung von DeepSeek für die digitale Souveränität liegt nicht darin, ob man es einsetzt, sondern darin, was es beweist: Dass die technische Architektur moderner KI keine Milliardenpipeline nach Redmond oder Seattle braucht.

Das ist dieselbe Logik wie bei VMware. Nachdem Broadcom die Preise nach der Übernahme drastisch erhöht hatte, haben europäische Cloud-Anbieter begonnen, auf Open-Source-Alternativen zu migrieren. Das österreichische Unternehmen Anexia hat 12.000 virtuelle Maschinen umgestellt . Der Schmerz war real. Die Migration auch. Am Ende lief die Infrastruktur – auf offenen Systemen.

💡 Souveränität entsteht nicht durch Bekenntnis, sondern durch laufende Systeme.

Open Source als Betriebsmodell hat dort funktioniert, wo proprietäre Preispolitik den Anstoß gab. Das sollte kein Zufall sein, sondern Strategie.

Was trotzdem vorangeht

Deutschland ist im Januar 2025 ein Land im Vorwahlmodus. Die Regierung agiert geschäftsführend, die Koalitionsverhandlungen für den Koalitionsvertrag liegen noch vor uns. Trotzdem passieren Dinge.

Berlin bereitet den Einsatz von openDesk in der Verwaltung vor, dem Open-Source-Arbeitsplatz von ZenDiS. Schleswig-Holstein veröffentlicht ein Impulspapier zum Deutschland-Stack mit konkreten Vorschlägen, wie ein föderaler Technologiestapel mit Open-Source-Kern aussehen könnte.

Und das Bundeskabinett beschließt die rechtliche Grundlage für NOOTS, das Nationale Once-Only Technical System : die föderale Dateninfrastruktur, mit der Bürger:innen staatlichen Stellen einmal gemeldete Daten nicht immer wieder neu übermitteln müssen. Das klingt nach Selbstverständlichkeit. In der deutschen Föderalstruktur ist es ein jahrzehntelanger Kampf – an dem in einem politisch schwergewichtigen Monat trotzdem ein weiterer Schritt gelingt.

Der Weg ist nicht neu. Er wird nur endlich genommen.

Fazit

Januar 2025 in zwei Sätzen: Die Kosten der Abhängigkeit sind sichtbar geworden. Und die Alternativen auch.

481 Millionen Euro Lizenzgebühren zeigen, wohin ein Jahrzehnt ohne Ausstiegsstrategie führt. DeepSeek zeigt, dass Open Source als ernsthaftes Betriebsmodell funktioniert. Und wer die Delos-Diskussion ehrlich führt, landet bei einer simplen Erkenntnis: Souveränität ist keine Produktkategorie. Sie ist eine Beschaffungsentscheidung.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Behörde gerade vor der Frage stehen, welche Cloud-Abhängigkeiten ein echtes Souveränitätsrisiko darstellen und welche nicht – und einen Gesprächspartner suchen, der diese Abwägung ohne Verkaufsinteresse kennt: Schreiben Sie mich an.

Koalition geplatzt. Digitalstrategie beschlossen. – November 2024 im E-Government-Rückblick.

Sat, 30 Nov 2024 20:00:00 +0100

Am 6. November 2024 entlässt Bundeskanzler Olaf Scholz Finanzminister Christian Lindner. Die Ampelkoalition ist Geschichte. Sieben Tage später, am 13. November, tritt der IT-Planungsrat zu seiner 45. Sitzung zusammen und beschließt den ersten Teil der Föderalen Digitalstrategie : eine gemeinsame strategische Ausrichtung für Bund und 16 Länder.

Die Koalition endet. Das föderale System arbeitet.

Was mit der Ampel geht – und was bleibt

Die Netzpolitik-Bilanz der Ampel ist gemischt, und Mischung ist in diesem Fall eine freundliche Formulierung. Kritiker sprechen von einem „Sammelsurium gebrochener Versprechen" . Das OZG 2.0 hat es nach langem Ringen durch den Bundesrat geschafft. Die Registermodernisierung hat erste Schritte gemacht. Das ZenDiS ist operativ. Das sind reale Lieferungen, keine Ankündigungen.

Was geht: Der Koalitionsvertrag. Die Planungen für ein eigenständiges Digitalministerium, wie die FDP es angestrebt hatte, sind vorerst erledigt. Die Digital- und IT-Kompetenzen bleiben im Innenministerium gebündelt, unter einer geschäftsführenden Regierung ohne Gestaltungswillen. Neue politische Impulse für die nächsten Monate? Unwahrscheinlich.

Was bleibt: die Rechtsrahmen. OZG 2.0 gilt. Der künftige Rechtsanspruch auf digitale Verwaltung steht im Gesetz, nicht im Koalitionsvertrag. Das ist der Unterschied. Koalitionsverträge laufen mit der Regierung aus. Gesetze nicht.

Der strukturelle Fehler der letzten Jahre war kein Ampel-spezifisches Problem: Digitalisierungsfortschritt wurde zu stark ans Bundesprogramm geknüpft. Als das Geld knapp wurde, die Steuereinnahmen sanken und der Haushaltsstreit eskalierte, schrumpfte auch das Budget für Verwaltungsdigitalisierung . Das ist ein Konstruktionsfehler, kein Versehen. Wer Digitalisierung ausschließlich als Bundesförderprogram begreift, macht sie abhängig von Haushaltsjahren.

Die Alternative: robuste föderale Finanzierungsmodelle, die nicht mit jeder Koalitionsrunde neu verhandelt werden müssen.

Was der IT-Planungsrat beschlossen hat – und was das bedeutet

Die Föderale Digitalstrategie des IT-Planungsrats ist kein Koalitionsvertrag. Sie bindet alle 16 Länder und den Bund, unabhängig davon, welche Partei gerade in Berlin regiert. Das ist ihr struktureller Vorteil.

Der Beschluss vom 13. November ist der erste Teil: Zukunftsbild und Leitlinien. Der zweite Teil, konkrete Projektvorhaben, soll 2025 folgen. Das klingt nach bürokratischer Reihenfolge. Es ist eine. Aber sie ist die richtige.

Ein gemeinsames Zukunftsbild ist keine Selbstverständlichkeit im deutschen Föderalismus. 16 Länder, die unterschiedliche Fachverfahren betreiben, unterschiedliche Dienstleister beauftragen und unterschiedliche politische Prioritäten setzen, auf eine gemeinsame Richtung zu verpflichten, dauert. Dass es passiert, während die Bundeskoalition auseinanderfällt, ist keine Ironie. Es ist der Beweis, dass das föderale IT-Governance-System mehr Puffer hat, als die politische Kommentarspalte vermutet.

Was fehlt: operativer Druck. Eine Strategie, die nicht terminiert und nicht budgetiert ist, ist ein Dokument. Die erste Bewährungsprobe der Föderalen Digitalstrategie ist, ob sie 2025 in konkrete Projektbeschlüsse mündet, mit Zeitplan und Verantwortlichkeit, nicht in ein weiteres Rahmenwerk.

openDesk: läuft – aber wo?

Einen Monat vor dem November-Rückblick, auf der Smart Country Convention Mitte Oktober in Berlin , hat ZenDiS openDesk 1.0 offiziell vorgestellt. Die Open-Source-Office-Suite ist als Cloud-Angebot für öffentliche Stellen verfügbar: Textverarbeitung, Tabellenkalkulation, E-Mail, Kalender, Videokonferenz, Projektmanagement. Alles auf offener Software, alles ohne US-Hyperscaler.

Frühe Nutzer sind das BMI, der Deutsche Wetterdienst, das Technische Hilfswerk und das Robert-Koch-Institut . Das sind keine kleinen Pilotkommunen. Das ist Bundesverwaltung mit Gewicht.

Was jetzt gebraucht wird: Rollout-Tempo. Der Launch ist die Voraussetzung, nicht das Ergebnis. Tausende Behörden kennen openDesk nicht, haben keine Migrationsressourcen und warten auf den nächsten Haushalt, um Entscheidungen zu treffen. Die technische Bereitschaft ist da. Die Anreizstruktur für die Breite ist es noch nicht.

Das löst keine geschäftsführende Regierung. Das löst eine neue, die openDesk aktiv in Beschaffungsrichtlinien verankert, statt es als Angebot zu parken.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

openDesk ist live. Der Sovereign Tech Fund ist Agency. – Oktober 2024 im E-Government-Rückblick.

Thu, 31 Oct 2024 20:00:00 +0100

Vom 15. bis 17. Oktober findet die Smart Country Convention in Berlin statt. Das ZenDiS nutzt die Bühne für den offiziellen Launch von openDesk 1.0 : die Open-Source-Office-Suite für die öffentliche Verwaltung, ab sofort als Enterprise Edition verfügbar, mit zwei Betriebsmodellen und ersten Bundesbehörden als Pilotkunden. Fast gleichzeitig wird der Sovereign Tech Fund zur Sovereign Tech Agency GmbH, einer eigenständigen Bundesgesellschaft unter SPRIND.

Zwei Institutionalisierungen in einem Monat. Beide erzählen dieselbe Geschichte: Open Source in der Verwaltung wächst aus der Pilotphase heraus.

openDesk 1.0: Was neu ist und was das bedeutet

openDesk ist seit Oktober nicht mehr im Beta-Status. Version 1.0 kommt als Enterprise Edition mit zwei Betriebsmodellen: Self-Hosting, unterstützt durch den ZenDiS-Partner B1 Systems, und Software-as-a-Service auf der StackIT-Infrastruktur der Schwarz Gruppe. Das bedeutet: Behörden, die keine eigene Serverkapazität haben oder wollen, können openDesk aus einer souveränen deutschen Cloud beziehen, ohne US-Hyperscaler zu benötigen.

Die integrierten Komponenten sind das, was man erwarten würde: Textverarbeitung, Tabellenkalkulation, E-Mail, Kalender, Videokonferenz, Cloudablage, Projektmanagement. Das Besondere ist nicht die Featureliste, sondern die Integration. Souveräne Office-Suiten scheitern in der Verwaltung regelmäßig nicht an einzelnen Funktionen, sondern an der fehlenden Kohärenz. Wer zwischen fünf verschiedenen Open-Source-Tools wechseln muss, wechselt irgendwann zurück zu Microsoft 365.

openDesk beantwortet das mit einer einheitlichen Oberfläche über alle Komponenten hinweg. Ob das in der Praxis hält, entscheidet sich nicht auf der SCCON, sondern in sechs Monaten, wenn die ersten Pilotbehörden ehrliche Rückmeldung geben.

Die Pilotkunden sind kein Zufall. BMI, Deutscher Wetterdienst, Technisches Hilfswerk und Robert-Koch-Institut sind keine Kleinstbehörden. Sie haben IT-Betrieb, Nutzeranforderungen und Compliance-Vorgaben in einem Maßstab, der einem echten Belastungstest nahekommt. Scheitert openDesk dort, hat man ein Problem. Hält es dort, hat man ein Argument.

Der nächste Schritt ist kein technischer, sondern ein beschaffungspolitischer: openDesk muss in Vergabeentscheidungen als Option erscheinen, nicht als Ausnahme. Das setzt voraus, dass Behörden wissen, dass es existiert. Die SCCON liefert Sichtbarkeit. Ausschreibungspraxis und Beschaffungsrichtlinien liefern Skalierung.

Was die Sovereign Tech Agency jetzt kann, was der Fund nicht konnte

Der Sovereign Tech Fund wird zur Sovereign Tech Agency GmbH . Der Unterschied klingt verwaltungsrechtlich. Er ist strategisch.

Als Pilotprojekt bei SPRIND war der STF agil, aber abhängig von jährlichen Haushaltsentscheidungen. Als eigenständige GmbH kann er Verträge mehrjährig planen, Personal mit Marktgehältern ausschreiben und Partnerschaften langfristig eingehen. Das sind Voraussetzungen, ohne die Open-Source-Infrastrukturförderung nicht skaliert.

Bis Ende 2024 hat der STF Verträge mit 60 kritischen Open-Source-Projekten geschlossen , Gesamtvolumen rund 23,5 Millionen Euro. Das klingt nach viel. Verglichen mit dem, was die öffentliche Verwaltung jährlich für proprietäre Lizenzen ausgibt, ist es wenig. Die Frage ist nicht, ob die Förderung gut angelegt ist. Die Frage ist, ob die Größenordnung stimmt.

Der Bundestag hat im Oktober 2024 zusätzlich rund vier Millionen Euro genehmigt, über den Regierungsvorschlag hinaus. Das ist ein Signal, dass der parlamentarische Rückhalt für Open-Source-Förderung vorhanden ist. Es ist kein Automatismus. Mit der Ampel, die auf ihr Ende zusteuert, ist offen, wie die nächste Regierung diese Linie hält.

💡 Was openDesk und Sovereign Tech Agency gemeinsam zeigen: Open Source in der Verwaltung braucht keine Manifeste. Es braucht laufende Systeme und institutionelle Dauerhaftigkeit.

Beide Launches im Oktober sind Schritte in diese Richtung. Die Belastungsprobe kommt 2025, wenn der Haushalt neu verhandelt wird und politische Prioritäten neu gesetzt werden.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

Draghi rechnet ab. Schleswig-Holstein liefert. – September 2024 im E-Government-Rückblick.

Mon, 30 Sep 2024 20:00:00 +0200

Am 9. September 2024 veröffentlicht Mario Draghi seinen Bericht zur Zukunft der EU-Wettbewerbsfähigkeit . 400 Seiten, eine Investitionslücke von 800 Milliarden Euro jährlich und ein klares Urteil: Europa ist im Bereich digitaler Technologien von wenigen Lieferanten abhängig und handelt nicht, als wäre das ein Problem. Zur gleichen Zeit gibt Schleswig-Holsteins Digitalminister Dirk Schrödter in einem Brief an alle Landesbediensteten zu, dass die Open-Source-Migration Probleme hatte. Und setzt sie fort.

Zwei Aussagen, beide ungemütlich, beide notwendig.

Was Draghi sagt und was es für die Verwaltungsdigitalisierung bedeutet

Draghis Bericht ist kein digitalpolitisches Dokument im engeren Sinne. Er ist ein Wettbewerbsdiagnose-Bericht, der digitale Abhängigkeit als strukturelles Risiko behandelt. Die Schlussfolgerung ist ernüchternd: Europa ist besonders anfällig bei kritischen Rohstoffen und digitalen Technologien. Die Verwaltungsinfrastruktur kommt im Bericht nicht mit Namen vor. Die Beschaffungsmuster der deutschen Bundesverwaltung sind aber ein Lehrbuchbeispiel für das, was Draghi kritisiert.

800 Milliarden Euro Investitionslücke pro Jahr. Das ist die Größenordnung, die Europa benötigt, um mit den USA und China mitzuhalten. Ein Teil dieser Lücke betrifft digitale Infrastruktur. Wer sich die Verwaltungs-IT ansieht, die seit Jahrzehnten auf proprietären US-Systemen läuft, versteht, wo die Lücke entsteht: nicht im fehlenden Geld, sondern im fehlenden Willen, Geld in europäische Alternativen zu lenken.

Was bedeutet das konkret für Bund und Länder? Beschaffungsentscheidungen der nächsten Jahre. Jede Behörde, die jetzt Infrastrukturverträge neu verhandelt, sollte den Draghi-Bericht auf dem Tisch haben. Nicht als Argument für Schlussfolgerungen, die ohnehin gezogen werden. Sondern als Argument dafür, dass Abweichungen von der Standard-US-Infrastruktur keine ideologische Entscheidung sind, sondern eine wirtschaftspolitisch gebotene.

Das lässt sich übersetzen. Schlüsselwort ist Präferenz bei Gleichwertigkeit: europäische Anbieter und Open-Source-Lösungen als erste Wahl, wenn die Leistung vergleichbar ist. Das ist kein Vergaberecht-Umbau, das ist eine Beschaffungspolitik-Frage.

Schleswig-Holstein: Probleme zugeben, Migration fortsetzen

Schleswig-Holstein hat sich vorgenommen, 30.000 Behördenmitarbeitende von Microsoft auf Open-Source-Software umzustellen. LibreOffice statt Office, Thunderbird und Open-Xchange statt Outlook und Exchange, Linux statt Windows.

Im Sommer gab es Rückmeldungen aus der Praxis, die nicht schönzureden waren. Die Gewerkschaft der Polizei meldete E-Mail-Chaos nach der Migration, Mails aus dem Innenministerium landeten in falschen Abteilungen . Digitalminister Schrödter schrieb einen offenen Brief an alle Staatsbediensteten, räumte Fehler ein und erklärte, was die nächsten Schritte sind.

Das ist das Richtige. Nicht weil Transparenz schön ist, sondern weil sie die Einzige ist, die aus Piloten lernende Projekte macht. Wer Probleme vertuscht, macht in der nächsten Migration dieselben Fehler. Wer sie dokumentiert, gibt anderen Ländern die Möglichkeit, es besser zu machen.

Zum Zeitpunkt des Rückblicks sind rund 80 Prozent der Microsoft-Lizenzen in Schleswig-Holstein gekündigt. Die E-Mail-Migration läuft. Die Schulungen sind das, was am meisten Ressourcen bindet.

Was bedeutet das für andere Länder, die auf die SH-Erfahrung warten, bevor sie selbst entscheiden? Es bedeutet: Die Probleme sind real und lösbar. Das ist keine Werbung für Open Source als schmerzfreie Entscheidung. Es ist eine Einladung zu ehrlicher Migrationsvorbereitung, guter Schulungsplanung und dem Verzicht auf Big-Bang-Einführungen. SH hat nicht alles richtig gemacht. Es hat trotzdem weitergemacht. Das unterscheidet es von Bundesländern, die seit Jahren „prüfen".

EU AI Act: Die Uhr läuft

Am 1. August 2024 ist der EU AI Act in Kraft getreten. Der erste harte Termin – das Verbot bestimmter KI-Praktiken – gilt ab Februar 2025. Danach folgen in Zweijahresabständen weitere Stufen. Das klingt nach Vorlaufzeit.

Für öffentliche Verwaltungen, die KI-Systeme einsetzen oder planen, klingt es nach wenig. Wer risikoreiche KI im öffentlichen Sektor einsetzen will, muss vorher eine grundrechtliche Folgenabschätzung durchführen . Das ist keine Formalität, das ist ein Prozess. Behörden, die KI-Beschaffungsvorhaben jetzt starten, tun das in einem Rechtsrahmen, der sich noch in der Implementierung befindet und dessen nationale Umsetzungsgesetze noch nicht alle verabschiedet sind.

Der pragmatische Weg ist nicht Abwarten, sondern geordnete Bestandsaufnahme: Welche KI-Systeme sind bereits im Einsatz? Wie werden sie klassifiziert? Wer ist intern zuständig? Diese Fragen lassen sich jetzt beantworten, bevor die Behörde 2025 unter Druck steht.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

OZG 2.0 in Kraft. VMware kostet das Dreifache. – Juli 2024 im E-Government-Rückblick.

Wed, 31 Jul 2024 20:00:00 +0200

Am 24. Juli 2024 tritt das OZG-Änderungsgesetz in Kraft . Der Bundesrat hatte Ende Juni zugestimmt, nach einem langen Ringen zwischen Bund und Ländern. Das Gesetz war im Winter im Bundesrat hängengeblieben, weil die Länder mehr Einfluss auf die Umsetzungsarchitektur forderten. Ein offener Brief mittelständischer IT-Unternehmer hatte damals auf die Signalwirkung des Gesetzes aufmerksam gemacht. Jetzt ist es da.

Gleichzeitig verhandeln CIOs und IT-Verantwortliche in Behörden gerade eine andere Art von Gesetz: die neuen VMware-Lizenzpreise nach der Broadcom-Übernahme. Dreistellige Prozentanstiege, laufende Kosten statt Einmalkauf, gerichtliche Auseinandersetzungen in mehreren Ländern.

Was das OZG 2.0 wirklich ändert

Das OZG 1.0 war eine Frist ohne ausreichende Konsequenz. 575 Verwaltungsleistungen sollten bis Ende 2022 digitalisiert sein. Wer Anfang 2024 auf die öffentlich zugänglichen Dashboards schaute, sah je nach Zählweise zwischen 40 und 60 Prozent Erfüllungsgrad, mit erheblichen Unterschieden zwischen den Ländern.

Das OZG 2.0 räumt zwei strukturelle Fehler aus. Erstens baut es einen künftigen Rechtsanspruch auf digitale Verwaltung auf, der schrittweise eingeführt wird. Das ist kein Selbstvollzugsrecht, das Bürger:innen sofort einklagen können. Es ist die politische Commitmentstärke, die das OZG 1.0 nicht hatte.

Zweitens verankert es die Once-Only-Grundlage : Daten, die der Staat bereits kennt, soll er nicht mehrfach abfragen. Das ist der Hebel, der NOOTS seinen Sinn gibt. Kein technisches System kann Once-Only liefern, wenn es keine rechtliche Grundlage gibt, Daten zwischen Behörden zu teilen.

Was das OZG 2.0 nicht löst: die Umsetzungsarchitektur. Wer welche Leistung unter welchen Standards digitalisiert, wer finanziert, wer koordiniert, das sind Fragen, die das Gesetz zwar rahmt, aber nicht beantwortet. Genau hier ist die föderale Auseinandersetzung seit Jahren festgeklebt. Die gute Nachricht: Der IT-Planungsrat arbeitet daran. Die schlechte: Es dauert.

VMware und die Lektion, die niemand lernen wollte

Broadcom hat die VMware-Übernahme Ende 2023 abgeschlossen und danach die Preisgestaltung fundamental verändert. Weg von Dauerlizenz, hin zu Subscription. Weg von Einzelprodukten, hin zu Bundles. Die Preiserhöhungen für bestehende Kunden liegen laut Berichten zwischen 300 und 1.050 Prozent , je nach Vertragsstruktur.

Öffentliche Verwaltungen sind besonders betroffen. Sie haben VMware oft seit Jahrzehnten im Einsatz, mit tiefem Integrationsstatus in Fachverfahren und Rechenzentrumsarchitekturen. Verhandlungsmacht: gering. Alternativen: bekannt, aber nicht vorbereitet.

Die Alternative heißt ProxmoxVE, OpenStack oder schlicht bare-metal Linux. Das sind keine neuen Technologien. Sie sind seit Jahren stabil. Sie werden im kommunalen IT-Umfeld kaum eingesetzt, weil die Investition in Migration als Risiko galt, während die Investition in VMware als Standard galt.

Standard ist der Zustand, auf den man sich nicht vorbereitet. VMware war Standard. Jetzt ist Standard zu teuer.

Was die Broadcom-VMware-Situation für die Verwaltungsdigitalisierung konkret bedeutet: Sie ist ein Testlauf für jede andere proprietäre Plattform im öffentlichen Einsatz. Die Logik ist dieselbe. Ein Anbieter, der nach einer Konsolidierungsphase über genuinen Verhandlungsmacht verfügt, setzt Preise, die die Infrastruktur, die man braucht, unbezahlbar macht. Das passiert mit VMware. Es kann mit anderen Plattformen passieren.

Der einzige strukturelle Schutz dagegen ist nicht der Vertrag. Es ist die Exit-Fähigkeit. Wer auf offene Standards baut und dokumentiert, wie ein Systemwechsel aussehen würde, hat Verhandlungsmacht. Wer es nicht tut, zahlt die Rechnung, die Broadcom stellt.

Was der Juli zeigt

Zwei Schlagzeilen, eine Strukturdiagnose: Deutschland hat gerade Fortschritte beim OZG-Rechtsrahmen gemacht und gleichzeitig gezeigt, wie tief die Infrastrukturabhängigkeiten in proprietären Plattformen sitzen. Das OZG gibt dem Ziel eine neue Verbindlichkeit. VMware gibt der Frage nach digitaler Souveränität eine neue Dringlichkeit.

Beides zusammen ist keine Garantie für Fortschritt. Es ist ein Angebot. Man kann es annehmen.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

Schleswig-Holstein wirft Microsoft raus. Der Bundesrat hält das OZG auf. – April 2024 im E-Government-Rückblick.

Tue, 30 Apr 2024 20:00:00 +0200

Am 22. März lehnt der Bundesrat das OZG-Änderungsgesetz ab, mit 35 zu 34 Stimmen. Knapper geht es kaum. Ende März ruft die Bundesregierung den Vermittlungsausschuss an. Anfang April gibt Schleswig-Holstein bekannt, was es schon länger geplant hat : 30.000 Arbeitsplätze in der Landesverwaltung werden von Microsoft Windows und Office 365 auf Linux und LibreOffice umgestellt. Kabinettsbeschluss, Verbindlichkeit, Zeitplan.

Zwei Nachrichten, entgegengesetzte Richtungen. Der Bund hängt im föderalen Kompromiss fest. Ein Land liefert.

Was Schleswig-Holstein ankündigt – und was das bedeutet

Das Kabinett der schwarz-grünen Landesregierung hat beschlossen, was in der deutschen Verwaltungsdigitalisierung lange als theoretisches Szenario galt: den vollständigen Ausstieg aus der Microsoft-Office-Welt. Betroffen sind etwa 25.000 IT-Arbeitsplätze , die schrittweise auf LibreOffice umgestellt werden, dazu kommt der Wechsel von Exchange und SharePoint auf Open-Xchange und Nextcloud, mittelfristig auch der Wechsel von Windows auf Linux.

Das ist kein Pilotprojekt in zwei Behörden. Es ist ein Kabinettsbeschluss, der den gesamten Landesbetrieb betrifft.

Warum tut das Schleswig-Holstein? Die offizielle Begründung: digitale Souveränität, Kostensenkung und Unabhängigkeit von einzelnen Anbietern. Die ehrlichere Begründung dahinter: Lizenzkosten steigen, Verhandlungsmacht gegenüber Microsoft sinkt, und nach der Broadcom/VMware-Geschichte weiß jeder IT-Verantwortliche, was passiert, wenn der Anbieter die Preise nach einer Konsolidierung unilateral setzt.

Was das für andere Länder bedeutet: Schleswig-Holstein ist jetzt das Referenzprojekt. Wer in Bayern, Sachsen oder NRW überlegt, ob eine Microsoft-Migration machbar ist, schaut jetzt nach Kiel. Das ist gut. Es setzt aber auch Erwartungen: Wenn das Projekt scheitert oder hinter dem Plan zurückbleibt, wird es für Jahre als Argument gegen Open-Source-Migrationen zitiert werden.

Der Druck ist also nicht nur auf Schleswig-Holstein. Er ist auf das gesamte Ökosystem der Open-Source-Anbieter und -Dienstleister, die die Migration begleiten. Das ist keine übertriebene Formulierung. Es ist eine Anforderung an eine ehrliche Umsetzungsbegleitung: mit echten Fortschrittsberichten, ohne Beschönigung von Problemen.

Warum das OZG im Bundesrat gescheitert ist – und was das sagt

Der Bundesrat hat das OZG 2.0 abgelehnt , weil er dem Bund nicht das einseitige Recht zugestehen wollte, Implementierungsstandards festzulegen, ohne die Länder ausreichend einzubinden. Das ist kein Blockade-Akt aus schlechtem Willen. Das ist der Föderalismus, der so funktioniert, wie er konzipiert ist.

Das Problem ist, dass der Föderalismus bei digitaler Infrastruktur nicht so funktioniert, wie die Digitalisierung funktioniert. Software braucht Standards. Standards brauchen Verbindlichkeit. Verbindlichkeit braucht jemanden, der entscheidet. Im deutschen Föderalismus entscheidet niemand allein, also entscheidet es der Vermittlungsausschuss, also dauert es.

Das ist kein Vorwurf an den Bundesrat. Es ist eine Strukturdiagnose. Und die Lösung liegt nicht in einem Verfassungsprozess. Sie liegt in der politischen Einsicht, dass bestimmte digitale Infrastrukturentscheidungen einfacher und schneller fallen müssen, als das Grundgesetz es für Gesetzgebungsverfahren vorsieht.

Was das konkret bedeutet: Mehr EfA-Prinzip (Einer für alle), weniger gesetzliche Regulierung für jede Standardisierungsentscheidung. Einmal aushandeln, im IT-Planungsrat, was für alle gilt. Dann anwenden. Das setzt Vertrauen zwischen Bund und Ländern voraus. Der April 2024 zeigt, dass dieses Vertrauen noch erarbeitet werden muss.

Was beide Vorgänge gemeinsam zeigen

Schleswig-Holstein und das OZG-Scheitern beschreiben zwei verschiedene Pfade zur Verwaltungsdigitalisierung. Der Länderpfad: Ein entschlossenes Land trifft eine klare Entscheidung, setzt sie um und wird zum Modell. Der Bundesebenen-Pfad: Gesetze, Vermittlungsausschüsse, Kompromissformeln, Implementierungsregeln.

Keiner der beiden ist falsch. Aber es ist symptomatisch, dass der Länderpfad im April schneller vorankommt. Das spricht für mehr Spielraum der Länder – und für einen Bund, der seine Energie weniger in gesetzliche Standardsetzung investiert und mehr in Koordination und Anreize.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

Europa 523:46 dafür. Deutschland 35:34 dagegen. – März 2024 im E-Government-Rückblick.

Sun, 31 Mar 2024 20:00:00 +0100

Der 13. März und der 22. März 2024 gehören zusammen, auch wenn in Berlin und Brüssel wenig aufeinander achtet.

Am 13. März verabschiedet das Europäische Parlament den AI Act mit 523 Ja-Stimmen, 46 Nein-Stimmen, 49 Enthaltungen. Der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz ist beschlossen.

Am 22. März lehnt der Bundesrat das OZG-Änderungsgesetz ab. Die Abstimmung endet 35 zu 34 . Eine Stimme mehr. Der Rechtsrahmen für Verwaltungsdigitalisierung, an dem seit Jahren gearbeitet wurde, hängt im Vermittlungsausschuss.

Beides ist legitim. Aber der Kontrast sagt etwas.

Was der AI Act für die Verwaltung bedeutet

Der AI Act ist kein Verwaltungsgesetz. Er ist eine Produktregulierung. Aber wer öffentliche Verwaltungen betreibt und KI einsetzt, ist betroffen. Konkret: Systeme, die im Bereich Strafverfolgung, Sozialhilfe, Bewerbungsverfahren oder Kreditwürdigkeitsprüfung von Bürgerinnen und Bürgern eingesetzt werden, fallen unter die Hochrisiko-Klassifikation .

Was das bedeutet: Wer diese Systeme betreibt, muss Risikoabschätzungen dokumentieren, Transparenzpflichten erfüllen und die Systeme in einer EU-weiten Datenbank registrieren. Das sind keine theoretischen Anforderungen. Die ersten harten Termine kommen im Februar 2025.

Der praktische Ratschlag für März 2024 ist nicht der strategischste, aber der dringendste: Bestandsaufnahme. Welche Systeme laufen bereits in meiner Behörde? Was davon nutzt algorithmische Entscheidungsunterstützung? Wer ist intern zuständig? Wer noch keine Antworten auf diese Fragen hat, hat weniger als ein Jahr, um sie zu entwickeln, bevor die ersten Verbote greifen.

Die Chance des AI Acts: Er zwingt Behörden, KI-Einsatz strukturiert zu dokumentieren, was viele bisher nicht tun. Das ist schmerzhaft. Es ist auch nützlich.

Warum der Bundesrat beim OZG nein gesagt hat

Die 34-zu-35-Niederlage des OZG-Änderungsgesetzes hat eine einfache und eine schwierigere Erklärung.

Die einfache: Die Länder wollten nicht, dass der Bund künftig allein die Implementierungsstandards für die Verwaltungsdigitalisierung festsetzen kann, ohne sie ausreichend einzubinden. Das ist föderale Grundlogik, keine Blockade-Taktik.

Die schwierigere: Bundes-CIO Markus Richter hat Mitte März im Behörden Spiegel darauf hingewiesen , dass der Föderalismus neu gedacht werden muss, wenn digitale Infrastruktur funktionieren soll. Das ist eine richtige Diagnose, die wenig hilft, wenn das konkrete Gesetz eine Woche später scheitert.

Das OZG-Scheitern ist kein Skandal. Es ist ein Symptom. Digitale Infrastrukturentscheidungen, die bundesweit verbindlich sein sollen, passen schlecht in einen Gesetzgebungsprozess, der auf Konsens zwischen 16 Ländern und dem Bund angewiesen ist. Andere Bereiche, etwa Straßenverkehr oder Telekommunikation, haben dafür andere Regelungsmechanismen entwickelt. Die digitale Verwaltung hat das noch nicht.

Was jetzt helfen würde: Nicht mehr Gesetze, sondern robustere Strukturen im IT-Planungsrat, die verbindlichere Beschlüsse ermöglichen. Weniger Gesetzgebungsverfahren für jede Standardentscheidung, mehr operativer Handlungsspielraum für FITKO und IT-Planungsrat. Das ist keine Verfassungsreform. Es ist eine politische Entscheidung über Governance.

Was März trotzdem vorwärts gebracht hat

Nicht alles im März ist Stillstand. Das Registermodernisierungsprojekt läuft: Das Bundesverwaltungsamt und das Statistische Bundesamt arbeiten an der Registerlandkarte, die den Grundstock für NOOTS legt. Das passiert ohne großes öffentliches Echo, aber es passiert.

Und der AI Act ist jetzt beschlossen. Das gibt Planungssicherheit für alle, die KI in der Verwaltung einsetzen oder entwickeln. Wer die nächsten Monate nutzt, um Systeme zu klassifizieren und Prozesse aufzubauen, hat 2025 weniger Überraschungen.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

OZG durch den Bundestag. ZenDiS zu viert. – Februar 2024 im E-Government-Rückblick.

Thu, 29 Feb 2024 20:00:00 +0100

Am 23. Februar 2024 beschließt der Bundestag das OZG-Änderungsgesetz . Das ist der erste Schritt. Dass der Bundesrat vier Wochen später dagegen stimmt, weiß zu diesem Zeitpunkt noch niemand offiziell. Aber die Signale sind da: Die Länder haben ihre Bedenken schon im Gesetzgebungsverfahren geäußert, die Einbindung des IT-Planungsrats ist umstritten, die Finanzierungsfrage nicht gelöst.

Ebenfalls im Februar: netzpolitik.org berichtet über die ZenDiS-Ressourcenlage . Das Zentrum für Digitale Souveränität, das openDesk und openCode voranbringen soll, hat im laufenden Jahr vier Mitarbeitende, die an den eigentlichen Projekten arbeiten. Der selbst errechnete Bedarf: 45 Millionen Euro. Die Bewilligung: 19 Millionen.

Ein Gesetz, das vor dem Bundesrat scheitern wird. Eine Institution, die mit halber Kraft läuft. Der Februar zeigt, wo die Lücken sind.

Was das OZG 2.0 enthalten hat – und was noch unklar blieb

Der Bundestag hat das Gesetz mit den Stimmen der Ampelkoalition beschlossen. Der Inhalt: Ende-zu-Ende-Digitalisierung als Grundprinzip, digitale Signatur statt Schriftform für mehr Verwaltungsvorgänge, ein künftiger Rechtsanspruch auf digitale Verwaltungsleistungen.

Was das Gesetz nicht klar beantwortet: Wer zahlt für die kommunalen Digitalisierungsleistungen? Der Bund hatte im Entwurf vorgesehen, dass er für Bundesleistungen zahlt, die Länder für ihre Leistungen. Kommunen, die die meisten bürgernahen Leistungen erbringen, sind auf Landesmittel angewiesen, die je nach Bundesland unterschiedlich üppig fließen.

Das ist der Knackpunkt, den die Länder im Bundesrat angesprochen haben: Nicht nur Standardsetzungsrechte des Bundes waren das Problem. Es war auch die Finanzierungsarchitektur, die Kommunen potenziell höhere Digitalisierungspflichten auferlegt, ohne sicherzustellen, dass das Geld dafür vorhanden ist.

Die Lösung, die der Vermittlungsausschuss im Juni gefunden hat , sieht klarere Bundesfinanzierungsregeln für Bundesleistungen vor. Das Kommunalproblem bleibt ein Länderauftrag.

Was mit ZenDiS wirklich passiert

Das ZenDiS wurde Ende 2022 gegründet, um Open Source in der öffentlichen Verwaltung systematisch voranzubringen. Die Idee war richtig. Die Ausstattung blieb dahinter zurück.

Vier Mitarbeitende für openDesk und openCode bei einem Budget von 19 Millionen Euro klingt nach viel Geld pro Person. Es ist aber zu wenig, wenn die Aufgabe ist, zwei produktionsreife Open-Source-Plattformen zu entwickeln, zu betreiben, zu dokumentieren und in Tausenden Behörden einzuführen. netzpolitik.org berichtete konkret: Der interne Bedarf wurde auf 45 Millionen Euro berechnet . Die Bundesregierung bewilligte 19 Millionen. Das ist weniger als die Hälfte.

Das erklärt, warum openDesk im Februar 2024 noch nicht als fertige Lösung verfügbar ist. Es erklärt auch, warum das ZenDiS zunächst als Beratungs- und Vernetzungsorganisation agiert und nicht als Lieferorganisation. Der Launch auf der SCCON im Oktober ist das Ergebnis des Jahres, das trotz dieser Ausgangslage Fahrt aufgenommen hat.

Der strukturelle Fehler liegt nicht bei ZenDiS, sondern bei der Entscheidung, eine Institution zu gründen, die eine Bundesaufgabe erfüllen soll, und sie gleichzeitig mit einem Budget auszustatten, das keine Bundesaufgabe erfüllen kann. Das ist kein Einzelfall: Deutschland gründet regelmäßig Institutionen mit richtigen Aufgaben und falscher Dimensionierung. Wenn sie dann nicht liefern, liegt es angeblich an der Institution. Meistens liegt es am Budget.

Was die richtige Reaktion wäre: Nicht Umbenennung und Reorganisation, sondern eine ehrliche Bedarfsrechnung, die das ZenDiS selbst vorgelegt hat, und die Bereitschaft, diese zu finanzieren. Wer 15 Prozent des Jahresbudgets von SAP für eine einzige Lizenzrunde ausgibt, aber 45 Millionen Euro für die Infrastruktur digitaler Souveränität zu viel findet, hat Prioritäten gesetzt, die sichtbar sind.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

OZG-Deadline verpufft. Haushalt eingefroren. Was 2024 trotzdem möglich ist. – Januar 2024 im E-Government-Rückblick.

Wed, 31 Jan 2024 20:00:00 +0100

Das neue Jahr beginnt mit einem doppelten Erbe. Zum 31. Dezember 2023 ist die OZG-Frist abgelaufen: 575 Verwaltungsleistungen sollten bis dahin vollständig digitalisiert sein. Das IW Köln bilanziert im Behörden-Digimeter 2024 : Ein Jahr nach der Frist ist noch erheblicher Nachholbedarf. Gleichzeitig hat das Bundesverfassungsgericht im November 2023 die Umwidmung von 60 Milliarden Euro für unzulässig erklärt, was den Bundeshaushalt 2024 blockiert. Digitalisierungsmittel stehen auf Warteposition.

Kein guter Start. Aber auch nicht der Anfang vom Ende.

Was die OZG-Bilanz wirklich zeigt

Die OZG-Deadline ist abgelaufen, ohne dass die politische Konsequenz eintritt, die eine Deadline normalerweise hat. Das war absehbar: Das OZG 1.0 hatte keine Sanktionsmechanismus für den Bund gegenüber den Ländern, und die Länder hatten keinen für die Kommunen. Wer Fristen ohne Konsequenz setzt, bekommt Fristen ohne Konsequenz.

Die Frage ist deshalb nicht, ob Deutschland die Frist verpasst hat. Sie ist, was die Bilanz konkret zeigt. Das IW-Behörden-Digimeter nennt erhebliche Unterschiede zwischen den Bundesländern : Einige Länder, vor allem im Norden, sind weiter als andere. Leistungen, die EfA-Nachnutzung ermöglicht haben, sind deutlich breiter ausgerollt als solche, die jedes Land einzeln entwickeln musste. Das ist kein Zufall.

Was das für das OZG 2.0 bedeutet, das die Ampel gerade vorbereitet: Es muss nachholen, was das OZG 1.0 versäumt hat. Verbindlichkeit durch Rechtsanspruch, Standardisierung durch klare Kompetenzregeln, Finanzierung durch tragfähige Modelle. Alle drei Baustellen sind offen, und alle drei müssen die Länder mitziehen.

Der pragmatische Schritt für Januar 2024: Nicht auf das OZG 2.0 warten, sondern mit dem nachnutzen, was schon ausgebaut ist. Wer heute noch keinen EfA-Dienst eingebunden hat, der in seinem Bundesland verfügbar ist, hat ein selbst verursachtes Problem.

Haushalt auf Eis – was das für Digitalisierungsprojekte bedeutet

Das Verfassungsgerichtsurteil vom November 2023 hat den Bundeshaushalt 2024 in eine Ausnahmesituation gebracht. Geplante Ausgaben für Digitalisierungsvorhaben stehen unter Vorbehalt, bis ein verfassungskonformer Haushalt verabschiedet ist. Das passiert nicht in den ersten Januarwochen.

Was das konkret bedeutet: Projekte, die auf Bundesmittelzusagen warten, können nicht starten. Ausschreibungen werden verschoben. Dienstleister planen konservativ. In einem Bereich, der ohnehin zu langsam läuft, ist ein Haushaltsvakuum das, was er am wenigsten braucht.

Was hilft: Projekte, die auf Ländermitteln oder Eigenmitteln basieren, sind von der Bundeshaushaltskrise unabhängiger. Kommunen, die Eigenfinanzierung oder Landesförderung nutzen können, haben jetzt einen relativen Vorteil. Das ist kein Argument für dauerhaft unkoordinierte Kommunaldigitalisierung. Es ist ein Argument dafür, Projekte so zu strukturieren, dass sie nicht an einem einzigen Finanzierungsstrang hängen.

Was trotzdem läuft: Sovereign Tech Fund mit neuem Budget

Der Sovereign Tech Fund ist seit Ende 2023 als Tochter von SPRIND strukturiert und startet ins Jahr 2024 mit einem Budget von 17 Millionen Euro, mehr als im Vorjahr. Das Modell ist einfach: Der Fonds finanziert Entwickler:innen, die kritische Open-Source-Infrastruktur warten und verbessern, Komponenten, von denen die gesamte digitale Infrastruktur abhängt, die aber keine kommerziellen Sponsor:innen haben.

Das ist keine glamouröse Förderlogik. Es ist eine notwendige. Wer Log4Shell im Dezember 2021 verfolgt hat, weiß, was passiert, wenn eine kritische Open-Source-Bibliothek von einer Person in ihrer Freizeit gewartet wird und dann eine Sicherheitslücke enthüllt wird, die Millionen von Systemen betrifft.

17 Millionen Euro für das gesamte Open-Source-Infrastruktur-Ökosystem Deutschlands ist wenig. Es ist mehr als Null. Und die Institutionalisierung als SPRIND-Tochter gibt dem Fonds mehr operative Stabilität als zuvor. Wer prüft, welche eigene Open-Source-Abhängigkeiten in seiner Behörde nicht aktiv gepflegt werden, hat jetzt zumindest einen Ansprechpartner für den förmlichen Weg.

2024 wird kein einfaches Jahr für die Verwaltungsdigitalisierung. Der Haushalt ist unklar, das OZG braucht eine neue Fassung und das Bundesgerichtsurteil hat Prioritäten neu gesetzt. Was nicht geändert hat: Der Bedarf, digitale Infrastruktur auf solide Fundamente zu stellen. Das geht auch in Jahren, in denen die politischen Rahmenbedingungen schwierig sind.

Hat Sie das Thema interessiert?

Wenn Sie die Themen dieses Rückblicks beschäftigen und einen Gesprächspartner suchen, der ohne Verkaufsinteresse mitdenkt: Nutzen Sie gerne das Kontaktformular.

KI-Einigung in Brüssel. OZG-Jahresbilanz in Berlin. – Dezember 2023 im E-Government-Rückblick.

Sun, 31 Dec 2023 20:00:00 +0100

Am 8. Dezember 2023 einigen sich Europäisches Parlament, EU-Rat und Kommission nach 38 Stunden Trilog auf den AI Act . Das weltweit erste umfassende KI-Regulierungsgesetz ist politisch beschlossen. Zur gleichen Zeit schließt das Bundesministerium des Innern sein OZG-Digitalisierungsprogramm nach fünf Jahren ab und überführt es in den Regelbetrieb.

In Brüssel entsteht ein Rechtsrahmen für die nächste Technologiegeneration. In Berlin endet eine Programmphase mit gemischter Bilanz.

Was der AI Act nach dem Trilog bedeutet

Das Ergebnis des Trilogs ist ein Kompromiss, wie alle politischen Einigungen. Die ursprünglich geplanten strengeren Regelungen für KI-Systeme in der Strafverfolgung wurden abgemildert. Biometrische Fernidentifizierung im öffentlichen Raum bleibt grundsätzlich verboten, mit definierten Ausnahmen.

Was für öffentliche Verwaltungen relevant bleibt: Die Hochrisiko-Klassifikation. Systeme, die in der Sozialhilfe, bei Kreditwürdigkeitsprüfungen, in der Strafverfolgung oder bei der Bewerbungsauswahl eingesetzt werden, unterliegen strengen Anforderungen. Das betrifft mehr Behörden, als auf den ersten Blick sichtbar ist.

Die politische Einigung ist der Startschuss, kein Abschluss. Bis zur förmlichen Verabschiedung und dem Inkrafttreten vergehen Monate. Die ersten Verbote greifen erst 2025. Das klingt nach Vorlaufzeit. Es ist trotzdem jetzt der Moment, mit der Bestandsaufnahme zu beginnen: Welche Systeme laufen? Welche Risikokategorie haben sie? Wer ist intern zuständig? Diese Fragen später zu klären kostet mehr als sie jetzt zu stellen.

Was die OZG-Jahresbilanz wirklich zeigt

Das Bundesministerium des Innern veröffentlicht seinen Jahresrückblick 2023 und resümiert: 106 von 115 priorisierten OZG-Diensten umgesetzt, über 900 von 1.400 Verwaltungsleistungen in der einen oder anderen Form online verfügbar. Das klingt nach Fortschritt.

Die IW-Köln-Studie zum Zielzeitpunkt des OZG Anfang 2023 war nüchterner: Viele Leistungen existieren in digitaler Form, aber nicht überall, nicht vollständig digitalisiert von Antrag bis Bescheid, und nicht in einer Qualität, die den Papierweg überflüssig macht. Vollständige Ende-zu-Ende-Digitalisierung, das bleibt die offene Baustelle.

Was hingegen funktioniert hat: der EfA-Mechanismus dort, wo er genutzt wurde. Länder, die Dienste nachgenutzt haben, statt sie eigenständig zu entwickeln, sind weiter als Länder, die es nicht getan haben. Das ist kein statistischer Ausreißer, das ist ein Wirksamkeitsnachweis. Wer 2024 noch über EfA diskutiert statt es zu nutzen, verzögert sich selbst.

Parallel schließt das OZG-Bundesdigitalisierungsprogramm sein fünftes Jahr ab und überführt seine Strukturen in den Regelbetrieb . Das ist keine Niederlage. Es ist die Erkenntnis, dass Verwaltungsdigitalisierung kein zeitlich befristetes Projekt ist, sondern eine Daueraufgabe mit dauerhafter Finanzierung braucht. Das ist der richtige Gedanke. Ob die Finanzierung nach dem Verfassungsgerichtsurteil im November noch gesichert ist, steht auf einem anderen Blatt.

Was zum Jahresende noch passiert ist

Am 12. Dezember läuft die EU-SDG-Frist aus: Das Single Digital Gateway der EU, über das Bürger:innen in allen 27 Mitgliedstaaten bestimmte Verwaltungsleistungen digital beantragen können sollen, hat seinen finalen Umsetzungstermin erreicht. Deutschland ist mit seinem föderalen Verwaltungsportal dabei, mit Anpassungsbedarf in Teilbereichen.

Und der Bundeshaushalt 2024 ist noch nicht verabschiedet. Das Verfassungsgerichtsurteil vom November hat ein 60-Milliarden-Loch hinterlassen. Was das für Digitalisierungsetats konkret bedeutet, wird das erste Quartal 2024 zeigen. Die Ausgangslage für das neue Jahr ist keine entspannte.

Hat Sie das Thema interessiert?

Wenn dieser Rückblick Themen berührt, die Sie gerade selbst beschäftigen, sei es die AI-Act-Vorbereitung oder die Frage, was nach dem OZG-Programm kommt: Das Kontaktformular steht offen.

Karlsruhe kippt 60 Milliarden. Der Digital-Gipfel tagt. – November 2023 im E-Government-Rückblick.

Thu, 30 Nov 2023 20:00:00 +0100

Am 15. November 2023 erklärt das Bundesverfassungsgericht das Zweite Nachtragshaushaltsgesetz 2021 für nichtig . 60 Milliarden Euro, die aus ungenutzten Corona-Krediten in den Klima- und Transformationsfonds umgewidmet wurden, sind verfassungswidrig. Das Urteil trifft die Bundesregierung unvorbereitet. Es zieht Mittel ein, die schon verplant waren.

Wenige Wochen vorher, Ende November, tagt der Digital-Gipfel 2023 . Bundes-CIO Markus Richter diskutiert mit Ländervertretern, Wirtschaft und Wissenschaft, wie die Verwaltungsdigitalisierung beschleunigt werden kann.

Das ist der November 2023 in zwei Bildern: politische Erschütterung und Fachdiskussion, die so tut, als gäbe es sie nicht.

Was das Urteil konkret bedeutet

Das Urteil hat eine unmittelbare und eine strukturelle Folge.

Unmittelbar: Der Klima- und Transformationsfonds verliert rund zwei Drittel seines geplanten Volumens. Projekte, die aus ihm finanziert werden sollten, stehen unter Finanzierungsvorbehalt. Darunter sind nicht wenige Digitalisierungsvorhaben, die ihre Mittel aus diesem Topf erwartet haben.

Strukturell: Das Urteil ist ein Grundsatzentscheid zu Sondervermögen. Wer Kredite für einen Zweck aufnimmt, kann sie nicht ohne Weiteres für einen anderen Zweck verwenden, auch wenn der Neue gesellschaftlich wichtiger erscheint. Das schränkt die haushaltspolitische Kreativität der Bundesregierung dauerhaft ein.

Für die Verwaltungsdigitalisierung ist das kein abstraktes Problem. Das OZG-Nachfolgeprogramm, die Registermodernisierungsfinanzierung, die ZenDiS-Ausstattung: Alle hängen an Bundesmitteln, die jetzt unter neuen Vorzeichen verhandelt werden müssen. Wer davon ausgeht, dass die bewilligten Zahlen 2024 halten, unterschätzt den Druck auf den Bundeshaushalt.

Was hilft: Projekte, die auf föderaler Kofinanzierung basieren oder bereits laufen, sind stabiler als solche, die auf neue Bundesmittel warten. Es ist ein ungemütlicher Hinweis, aber er stimmt: Wer jetzt auf Bund-Mittel wartet, könnte länger warten als geplant.

Was der Digital-Gipfel zeigt – und was er nicht löst

Der Digital-Gipfel ist das jährliche Schaufenster der deutschen Digitalpolitik. Markus Richter positioniert die Registermodernisierung als zentrales Projekt der kommenden Jahre, was sie ist . Ohne saubere Register kein Once-Only. Ohne Once-Only kein ernst gemeintes Bürgerversprechen.

Das Problem des Digital-Gipfels ist nicht das Programm. Es ist die Taktung: Ein Treffen im Jahr, das nach dem Urteil vom 15. November stattfindet, ohne das Urteil zum Thema zu machen, signalisiert eine Fachöffentlichkeit, die Haushaltspolitik und Digitalpolitik noch zu sehr in getrennten Schubladen denkt.

Wer auf einem Digitalgipfel über Geschwindigkeit redet, aber nicht darüber, wo das Geld herkommt, beantwortet die halbe Frage. Registermodernisierung kostet. NOOTS kostet. ZenDiS kostet. Ohne die Haushaltsfrage zu klären, ist der beste Fahrplan wertlos.

Der konstruktive Schritt für die nächsten Wochen: Prioritäten benennen. Welche Projekte sind notwendig für die Infrastruktur und kommen zuerst? Welche sind politisch gewollt, aber verschiebbar? Diese Unterscheidung zu treffen, bevor der Bundeshaushalt 2024 unter Druck gerät, ist klüger als sie hinterher unter Druck zu treffen.

Hat Sie das Thema interessiert?

Wenn Sie in Ihrer Institution gerade die Konsequenzen der Haushaltslage für Ihre Digitalisierungsvorhaben einordnen wollen oder verstehen möchten, welche Projekte haushaltssicher strukturiert werden können: Über das Formular unten erreichen Sie mich direkt.

openDesk im Alpha-Status. Der AI-Act-Trilog klemmt. – September 2023 im E-Government-Rückblick.

Sat, 30 Sep 2023 20:00:00 +0200

Am 20. September veröffentlicht die Free Software Foundation Europe (FSFE) die Antworten des Bundesinnenministeriums auf ihre Anfragen zum souveränen Verwaltungsarbeitsplatz openDesk . Das BMI bestätigt: Für 2023 sind 21,6 Millionen Euro eingestellt. Der erste Quellcode liegt als Alpha-Version auf openCoDE. Ein produktionsreifer Release ist für das laufende Jahr geplant.

Zur gleichen Zeit dauern die EU-AI-Act-Trilog-Verhandlungen an. Der Hauptknoten: Biometrische Fernidentifizierung im öffentlichen Raum. Das Europäische Parlament will ein weitgehendes Verbot, der Rat hält Ausnahmen für Strafverfolgung und Sicherheitsbehörden für unerlässlich. Ohne Einigung bleibt der AI Act im Herbst 2023 ein Entwurf.

Was die openDesk-Antworten zeigen

Die FSFE-Anfragen waren keine freundlichen Rückfragen. Sie haben konkret gefragt: Welche Lizenzen werden eingesetzt? Wie wird sichergestellt, dass openDesk wirklich freie Software ist und nicht nur freie Software enthält? Wer kontrolliert die Entwicklungsrichtung?

Die BMI-Antworten sind differenziert. openDesk bündelt Open-Source-Komponenten unter einer kohärenten Oberfläche, Groupware über Open-Xchange, Videokonferenz über Jitsi, Dateispeicherung über Nextcloud, Projektmanagement über OpenProject. Die Integration ist das, was ZenDiS leistet, nicht die Neuentwicklung.

Was das bedeutet: openDesk ist kein eigenständiges Produkt, sondern eine orchestrierte Zusammenstellung bewährter Open-Source-Software für den Verwaltungseinsatz. Das ist keine Schwäche. Es ist eine kluge Strategie: Keine proprietären Lock-ins, keine Neuentwicklung von Rädern, die schon existieren.

Die 21,6 Millionen Euro klingen nach viel. Für eine Organisation, die Bundes-, Landes- und kommunale Verwaltungen auf dem Weg zur digitalen Souveränität begleiten und gleichzeitig zwei produktive Plattformen entwickeln soll, ist es eng. Die Alpha-Version ist ehrlich. Ein fertiges Produkt für 100.000 Verwaltungsarbeitsplätze ist noch ein langer Weg.

Was jetzt gefragt ist: Pilotbehörden, die früh einsteigen, Erfahrungen strukturiert dokumentieren und ZenDiS mit echtem Nutzerfeedback versorgen. Das ist der Mechanismus, der Alpha zu Beta und Beta zu produktionsreif macht. Wer wartet, bis openDesk fertig ist, verhindert, dass es fertig wird.

Warum der AI Act am Biometrie-Knoten hängt

Die Trilog-Verhandlungen zum AI Act drehen sich im Herbst 2023 zentral um Artikel 5: Welche KI-Systeme sind verboten? Das Europäische Parlament hat im Sommer einen ambitionierten Entwurf beschlossen, der biometrische Fernidentifizierung weitgehend verbietet. Der Rat will Ausnahmen für Strafverfolgung und nationale Sicherheit, die dem Parlament zu weit gehen.

Das ist kein technisches Missverständnis. Es ist eine grundsätzliche Wertentscheidung: Wie viel Überwachungsfähigkeit braucht ein Rechtsstaat, und wer kontrolliert den Einsatz?

Für Verwaltungen in Deutschland hat das einen direkten Bezug: Wer heute KI-Systeme anschafft, die irgendwo an biometrische Identifikation, Profiling oder automatisierte Entscheidungsunterstützung grenzen, kauft unter Rechtsrahmenvorbehalt. Was heute erlaubt ist, kann nach AI-Act-Inkrafttreten Nachbesserung erfordern.

Die pragmatische Empfehlung: Keine KI-Beschaffung ohne Risikoklassifikationsanalyse. Und keine Klassifikationsanalyse nach dem Schema „ist wahrscheinlich in Ordnung". Wer im Herbst 2023 KI-Systeme für die Verwaltung evaluiert, sollte auf Berater hören, die den AI-Act-Entwurf kennen, nicht nur auf Produktbroschüren.

Hat Sie das Thema interessiert?

Wenn openDesk für Ihre Behörde ein Thema ist oder Sie die AI-Act-Anforderungen für Ihre KI-Beschaffungen einordnen wollen: Schreiben Sie mir über das Formular unten.

499 zu 28. Europa stimmt für KI-Regulierung. – Juni 2023 im E-Government-Rückblick.

Fri, 30 Jun 2023 20:00:00 +0200

Am 14. Juni stimmt das Europäische Parlament über seinen Verhandlungsstandpunkt zum AI Act ab. 499 Ja-Stimmen, 28 Nein-Stimmen, 93 Enthaltungen . Das ist kein knappes Ergebnis. Es ist ein politisches Signal mit erheblichem Nachdruck.

Gleichzeitig berät der Bundestag den im Mai vom Kabinett beschlossenen OZG-Änderungsentwurf. Zwei Gesetzgebungsverfahren, zwei Ebenen, beide für die Verwaltungsdigitalisierung relevant.

Was das EU-Parlament zum AI Act beschlossen hat

Der Parlamentsstandpunkt ist in einem Punkt klarer als der Kommissionsvorschlag: biometrische Fernidentifizierung im öffentlichen Raum in Echtzeit soll grundsätzlich verboten sein. Ausnahmen für die Strafverfolgung, die der Rat will, lehnt das Parlament weitgehend ab.

Das klingt wie ein Grundrechtsdebatte. Für Verwaltungen ist es eine Beschaffungsdebatte. Wer heute ein System kauft, das Gesichtserkennung oder automatische Verhaltensanalyse auf Basis von Kameradaten nutzt, kauft etwas, das nach AI-Act-Inkrafttreten möglicherweise angepasst werden muss oder verboten ist.

Die Liste der Hochrisiko-Anwendungen im Parlamentsstandpunkt ist lang und umfasst explizit Systeme in Sozialleistungen, Strafverfolgung, Bildung und Beschäftigung. Wer als Behörde KI in einem dieser Bereiche einsetzt, sollte sich nicht auf die Ausnahmen verlassen, die noch im Trilog verhandelt werden. Besser auf Systeme setzen, die die Anforderungen des strengeren Parlamentsstandpunkts schon heute erfüllen könnten.

OZG-Änderungsgesetz: Was der Bundestag berät

Das Kabinett hat im Mai beschlossen, was der Bundestag jetzt diskutiert: Ein Gesetz, das Ende-zu-Ende-Digitalisierung als Grundprinzip verankert, Schriftformerfordernisse abbaut und die BundID zur zentralen digitalen Identität ausbaut.

Der parlamentarische Prozess ist wichtig, weil er die Stellen sichtbar macht, an denen das Gesetz noch unscharf ist. Kommunalverbände haben Bedenken zur Finanzierung. Länder haben Bedenken zur Standardsetzungskompetenz des Bundes. Das sind keine Blockadereflexe, das sind legitime föderale Fragen, die Antworten brauchen.

Die konstruktive Frage für den Juni 2023 lautet: Welche Teile des Gesetzes sind strittig und könnten im Bundesrat scheitern? Wer das weiß, kann im Herbst keine Überraschungen erleben. Das Scheitern im Bundesrat im März 2024 wäre weniger überraschend gewesen, wenn dieser Frage früher mehr politische Energie gewidmet worden wäre.

Was der Sovereign Tech Fund im Frühsommer liefert

Der Sovereign Tech Fund fördert 2023 kritische Open-Source-Infrastruktur mit einem Gesamtvolumen von rund 11,5 Millionen Euro. Darunter sind Projekte wie curl, die Python-Kernbibliotheken und weitere Basistechnologien, die in der gesamten öffentlichen IT-Infrastruktur verwendet werden, ohne je als Ausgabeposten aufzutauchen.

Das Modell beweist sich: Gezielte, zeitlich begrenzte Förderung von Maintainern in Vollzeit hebt Sicherheitslücken, verbessert Dokumentation und beschleunigt Releases. Das ist kein philanthropisches Programm. Es ist eine Investition in die Sicherheit und Stabilität der gesamten digitalen Infrastruktur.

Was fehlt: Skalierung. 11,5 Millionen Euro für die gesamte kritische Open-Source-Infrastruktur Deutschlands ist ein Anfang, kein ausreichendes Niveau. Die Investitionen in proprietäre Softwarelizenzen derselben Behörden, die von dieser Infrastruktur abhängen, liegen um Größenordnungen höher.

Hat Sie das Thema interessiert?

Wenn Sie mehr über die praktischen Konsequenzen des AI Acts für Ihre Beschaffungsstrategie wissen möchten oder Orientierung beim OZG-Umsetzungsstand in Ihrer Behörde suchen: Das Kontaktformular unten bringt Sie direkt mit mir in Kontakt.

ZenDiS gegründet. NIS2 beschlossen. Und der Digitalgipfel tagt. – November 2022 im E-Government-Rückblick.

Wed, 30 Nov 2022 20:00:00 +0100

November 2022 bringt drei Nachrichten, die für die Verwaltungsdigitalisierung langfristig relevant sind.

Erstens: Das Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS) wird gegründet. Die neue Bundesbehörde soll openDesk entwickeln und die souveräne Verwaltungs-IT-Infrastruktur ausbauen. Zweitens: Der Digitalgipfel der Bundesregierung diskutiert Plattformökonomie, KI und föderale Digitalstrategie. Drittens: Der EU-Rat verabschiedet NIS2 , die neue EU-Richtlinie zur Cybersicherheit.

Sechs Wochen bis zur OZG-Deadline.

Was ZenDiS bedeutet und was es braucht

Die Gründung von ZenDiS ist eine Strukturentscheidung. Deutschland hat damit eine Institution, die souveräne Verwaltungs-IT nicht nur fördert, sondern selbst entwickelt und betreibt. Das unterscheidet ZenDiS von bisherigen Förderinstitutionen.

Was das Modell richtig macht: openDesk als Integration vorhandener Open-Source-Software, nicht als Neuentwicklung. Nextcloud, Open-Xchange, OpenProject, Jitsi als bewährte Bausteine. Die eigentliche ZenDiS-Leistung liegt in der Integration, im sicheren Betrieb und in der Pflege für den Verwaltungskontext.

Was ZenDiS braucht, um erfolgreich zu sein: Pilotbehörden, die früh einsteigen und Erfahrungen strukturiert zurückmelden. Keine Organisation kann ein Produkt für Hunderttausende Nutzer:innen im Labor fertigstellen. openDesk wird im Einsatz besser, nicht in der Planung.

Was das bedeutet: Bundesbehörden, die jetzt einen Piloten wagen, tun mehr für die digitale Souveränität Deutschlands als Behörden, die auf ein fertiges Produkt warten, das ohne ihre Mitarbeit nicht fertig werden kann.

Was NIS2 für die öffentliche Verwaltung bedeutet

Die NIS2-Richtlinie erweitert den Kreis der Organisationen, die Cybersicherheitspflichten erfüllen müssen, erheblich. Mehr Sektoren, mehr Einrichtungen, strengere Anforderungen an Risikomanagement, Meldepflichten und Lieferkettensicherheit.

Für die öffentliche Verwaltung ist das keine neue Welt, sondern eine verschärfte. Viele Behörden haben bereits Sicherheitsanforderungen nach BSI-Grundschutz oder vergleichbaren Rahmen. Was NIS2 hinzufügt: explizite Verantwortlichkeit auf Leitungsebene, klarere Meldepflichten bei Incidents, und eine Ausweitung auf Lieferketten.

Was das bedeutet: Wer bisher Cybersicherheit als IT-Thema behandelt hat, muss es künftig als Führungsthema behandeln. NIS2 schreibt Verantwortung auf Leitungsebene vor. Das ist richtig, weil Cybersicherheit Ressourcen und Entscheidungen braucht, die auf Leitungsebene getroffen werden.

Die Umsetzungsfrist für die NIS2-Transposition ins deutsche Recht liegt bei Oktober 2024. Wer jetzt mit der Gap-Analyse beginnt, hat 23 Monate. Wer wartet, hat weniger.

Digitalgipfel: Was bleibt

Der Digitalgipfel ist die größte jährliche Digitalveranstaltung der Bundesregierung. Ministerien, Wirtschaft, Zivilgesellschaft und Wissenschaft diskutieren Prioritäten. Was bleibt, sind meist die Beschlüsse und Vereinbarungen, die im Hintergrund entstehen, nicht die Podiumsdiskussionen.

Was aus dem November-Digitalgipfel für die Verwaltungsdigitalisierung relevant ist: die Bekräftigung der föderalen Digitalstrategie als Rahmen für die IT-Planungsrat-Arbeit und die erneute Positionierung von openDesk als bundesweites Souveränitätsprojekt.

Was er nicht löst: die Finanzierungsfrage für kommunale IT. Die ist keine Gipfelfrage, sondern eine Haushaltsfrage.

Hat Sie das Thema interessiert?

Wenn ZenDiS, NIS2 oder die digitale Souveränität für Ihre Institution gerade ein Thema sind: Das Kontaktformular steht offen.

Smart Country Convention: openDesk kündigt sich an. Und die OZG-Uhr tickt. – Oktober 2022 im E-Government-Rückblick.

Mon, 31 Oct 2022 20:00:00 +0100

Die Smart Country Convention 2022 in Berlin bringt E-Government, digitale Souveränität und föderale IT-Architektur auf eine Messe. Für die Szene ist sie der wichtigste Herbsttermin. Was in Berlin präsentiert wird, gibt den Ton für die nächsten Monate vor.

Im Hintergrund nimmt das Projekt für einen souveränen Verwaltungsarbeitsplatz Kontur an. Noch zwei Monate bis zur OZG-Deadline am 31. Dezember.

Was der souveräne Arbeitsplatz jetzt ist und was er werden soll

Die Bundesregierung plant ein Zentrum für Digitale Souveränität der öffentlichen Verwaltung. Die Aufgabe: einen Verwaltungsarbeitsplatz entwickeln, der nicht von US-amerikanischen Softwareanbietern abhängig ist. Die Bezeichnung, die sich durchzusetzen beginnt, ist openDesk.

Das Ziel ist klar. Der Weg dorthin ist es nicht vollständig.

Was openDesk werden soll: eine orchestrierte Zusammenstellung bewährter Open-Source-Software für den Verwaltungseinsatz. Kein proprietärer Lock-in, keine neue Eigenentwicklung von Rädern, die bereits existieren. Nextcloud für Dateispeicherung, Open-Xchange für Groupware, OpenProject für Projektmanagement, Jitsi für Videokonferenz.

Was das voraussetzt: eine Organisation, die diese Komponenten integriert, pflegt, sicher betreibt und bundesweit ausrollt. Das ist das Zentrum für Digitale Souveränität, das in Gründung ist.

Was die SCCON zeigt: Das Interesse ist groß. Behörden, die Microsoft 365 für teures Geld betreiben und gleichzeitig Souveränitätsbedenken haben, suchen Alternativen. Die Frage ist nicht, ob es Bedarf gibt, sondern ob das Angebot rechtzeitig und in ausreichender Qualität entsteht.

Der kritische Zeitplan: openDesk muss als Pilotprodukt 2023 entstehen, damit Behörden 2024 und 2025 in Pilots einsteigen können. Wer mit dem Aufbau der Organisation erst 2023 beginnt, hat keinen Vorlauf für Fehler.

Was SCCON über den Markt zeigt

Die Smart Country Convention ist auch ein GovTech-Markt. Start-ups, IT-Dienstleister und Beratungsunternehmen präsentieren Lösungen für die öffentliche Verwaltung. Was dieser Markt zeigt, ist Doppeltes.

Erstens: Es gibt echte Innovation im GovTech-Segment. Prozessautomatisierung, interoperable Schnittstellen, nutzerorientierte Frontends für Verwaltungsleistungen, Open-Source-Basisdienste. Der Markt ist aktiver als die öffentliche Debatte über Behördendigitalisierung suggeriert.

Zweitens: Die Vergabepraxis erreicht diese Innovation oft nicht. Kleine Unternehmen mit guten Lösungen scheitern an Anforderungen, die für Großprojekte gedacht sind. Referenzvolumen, Kapazitätsnachweise, Zertifizierungspflichten. Das ist kein böser Wille, das ist eine Vergabelogik, die auf Risikominimierung optimiert ist, nicht auf Innovationsoffenheit.

Was sich ändern ließe: § 19 VgV (Vergabeverordnung) erlaubt unter bestimmten Bedingungen, innovativen Unternehmen Zugang zu verschaffen. Was fehlt, ist die routinierte Anwendung. Wer das Vergaberecht kennt, findet dort mehr Spielraum als die meisten Ausschreibungen nutzen.

Zwei Monate bis zur OZG-Deadline

Noch zwei Monate. Was jetzt noch geht: Dienste, die im Testbetrieb sind und bis Dezember in Produktion gehen können, wenn alle Beteiligten Priorität setzen. Was nicht mehr geht: Neuentwicklungen.

Das bedeutet: Der Fokus der nächsten acht Wochen liegt auf Nachnutzung vorhandener EfA-Dienste, nicht auf neuer Entwicklung. Welche Länder haben welche Dienste noch nicht in Betrieb? Wo liegt der konkrete Hinderungsgrund? Geld, Kapazität, politischer Wille?

Diese Analyse jetzt zu machen, ist der erste Schritt für eine ehrliche Bilanz im Januar 2023.

Hat Sie das Thema interessiert?

Wenn digitale Souveränität in Ihrer Behörde kein Abstraktum bleiben soll und Sie konkrete nächste Schritte suchen: Schreiben Sie mir über das Kontaktformular unten.

Sovereign Tech Fund gegründet. Drei Monate bis zur OZG-Frist. – September 2022 im E-Government-Rückblick.

Fri, 30 Sep 2022 20:00:00 +0200

Das Bundesministerium für Wirtschaft und Klimaschutz richtet den Sovereign Tech Fund ein. Das Modell: Direkte Förderung von Maintainern kritischer Open-Source-Infrastruktur, die in der öffentlichen und privaten IT-Landschaft genutzt wird, ohne je als Beschaffungsposition aufzutauchen. Curl. Python-Kernbibliotheken. OpenSSL. FreeBSD. Software, die überall läuft und nirgendwo im Budget steht.

Das ist ein neues Modell. Und es ist das richtige.

Was der Sovereign Tech Fund anders macht

Klassische öffentliche IT-Förderung kauft Produkte oder beauftragt Entwicklung. Der STF kauft weder noch. Er finanziert Menschen: Maintainer, die bestehende kritische Software pflegen, Sicherheitslücken schließen, Dokumentation verbessern, Releases stabilisieren.

Das klingt nach einem kleinen Unterschied. Es ist ein fundamentaler.

Kritische Open-Source-Infrastruktur hat ein Marktversagen eingebaut. Niemand kauft curl direkt. Alle nutzen es. Maintainer, die diese Software pflegen, tun das oft nebenberuflich, ohne Vergütung, auf Grundlage von Gemeinschaftsprinzip. Das funktioniert bis zu dem Moment, in dem ein Maintainer abbricht oder eine Sicherheitslücke entdeckt wird, für die es niemanden gibt, der sie schließt.

Der STF setzt genau an dieser Stelle an. Gezielte Vollzeitfinanzierung von Maintainern, zeitlich begrenzt, auf Basis eines Bewerbungsverfahrens mit klaren Kriterien. Das Ergebnis ist nicht spektakulär. Es zeigt sich in dem, was nicht abstürzt.

Was das für Verwaltungen bedeutet: Sie sind von dieser Infrastruktur abhängig, ob sie es wissen oder nicht. Jede Bundesbehörde, die Python-Anwendungen betreibt, jede Landesverwaltung, die HTTPS-Verbindungen nutzt, jede kommunale IT, die Linux-Server einsetzt, ist Nutznießerin dieser Infrastruktur. Der STF ist im Eigeninteresse der öffentlichen Hand, nicht nur im Sinne der Open-Source-Idee.

Was das für die Open-Source-Strategie der Bundesregierung bedeutet

Der STF ergänzt die Open-Source-Beschaffungspräferenz aus dem Koalitionsvertrag um eine neue Dimension: die Pflege des Bestehenden. Bevorzugte Beschaffung erzeugt Nachfrage für neue Open-Source-Lösungen. Der STF sichert die Infrastruktur, auf der diese Lösungen laufen.

Beides zusammen ist eine kohärente Open-Source-Strategie. Beides einzeln ist unvollständig.

Was noch fehlt: die Skalierung. Der STF startet mit einem begrenzten Budget. Die kritische Open-Source-Infrastruktur, die von der öffentlichen Hand in Deutschland genutzt wird, hat einen Pflegebedarf, der damit nicht vollständig gedeckt ist. Das Modell ist richtig. Die Budgetgröße ist ein Anfang.

Der mittelfristige Schritt: eine öffentliche Inventur der kritischen Open-Source-Abhängigkeiten der Bundesverwaltung, mit daraus abgeleitetem STF-Budgetbedarf. Wer diese Inventur nicht macht, weiß nicht, wie viel er nicht investiert.

Drei Monate bis zur OZG-Deadline

Der 31. Dezember 2022 ist drei Monate entfernt. Was jetzt noch in Produktion gehen kann, ist begrenzt. Was realistisch nicht fertig wird, sollte jetzt offiziell in den OZG-2.0-Aufschlag wandern, damit der politische Druck nicht in Schönrechnerei endet.

Die OZG-Deadline war immer ein politisches Instrument, kein technisches. Ihr Wert lag nicht darin, dass sie eingehalten wird, sondern darin, dass sie Dringlichkeit schafft. Diese Dringlichkeit hat sie erfüllt, EfA-Dienste sind entstanden, Koordinationsstrukturen wurden aufgebaut. Was jetzt kommt, ist die nüchterne Bilanz: Was haben wir, was fehlt, und was braucht welches Modell für den nächsten Schritt.

Hat Sie das Thema interessiert?

Wenn Open-Source-Strategie oder der OZG-Endspurt für Sie gerade Priorität haben und Sie einen strukturierten Austausch suchen: Das Kontaktformular unten genügt für den ersten Schritt.

EU Data Governance Act in Kraft. Was das für öffentliche Daten bedeutet. – Juni 2022 im E-Government-Rückblick.

Thu, 30 Jun 2022 20:00:00 +0200

Am 23. Juni tritt der EU Data Governance Act in Kraft. Er ist das erste größere Stück der europäischen Datenstrategie, das aus der Planungsphase in die Rechtsverbindlichkeit übergeht. Der DGA regelt, wie öffentliche Daten geteilt werden können, wie Datenmittler operieren, und wie ein europäischer Rahmen für Datenräume entstehen soll.

Für die Verwaltungsdigitalisierung in Deutschland ist er nicht optional.

Was der Data Governance Act konkret verlangt

Der DGA schafft drei neue Kategorien.

Erstens: Vorgaben für das Teilen geschützter öffentlicher Daten. Verwaltungen, die Daten halten, die nicht vollständig öffentlich sind, weil sie personenbezogene Daten, Geschäftsgeheimnisse oder urheberrechtlich geschütztes Material enthalten, müssen unter dem DGA definieren, unter welchen Bedingungen diese Daten für Forschung, Innovation oder öffentliches Interesse genutzt werden können. Das ist eine neue operative Aufgabe für Datenschutzbeauftragte und IT-Verantwortliche.

Zweitens: Ein Zulassungsrahmen für Datenmittler. Organisationen, die als Plattform für das Teilen von Daten zwischen Unternehmen oder Bürger:innen und Unternehmen fungieren, werden reguliert. Für öffentliche Verwaltungen ist das relevant, weil einige Behörden de facto als Datenvermittler fungieren, ohne diesen Status bisher rechtlich geklärt zu haben.

Drittens: Ein Rahmen für Datenaltruismus. Organisationen, die freiwillig Daten für Gemeinwohl-Zwecke bereitstellen, können sich als „anerkannte Datenaltruismusorganisation" zertifizieren lassen. Das ist für Forschungsinstitutionen interessant.

Was Verwaltungen jetzt tun sollten: Inventarisieren. Welche Daten halten sie? Welche davon fallen unter den DGA? Welche Prozesse brauchen sie, um Datenanfragen unter dem DGA-Rahmen zu bearbeiten? Diese Inventur ist keine einmalige Aufgabe, sondern der Beginn eines Datenmanagementsystems.

Was das mit der Registermodernisierung zu tun hat

Der DGA und die Registermodernisierung lösen dasselbe Problem von zwei Seiten. Der DGA regelt, wie Daten geteilt werden. Die Registermodernisierung soll sicherstellen, dass die richtigen Daten in den richtigen Registern liegen und technisch abrufbar sind.

Once-Only, das Prinzip, dass Bürger:innen Daten nur einmal einreichen müssen, funktioniert nur, wenn die Register, die diese Daten halten, miteinander kommunizieren können. Der DGA schafft den europäischen Rahmen dafür. Die Registermodernisierung schafft die nationale Infrastruktur.

Was Deutschland hier konkret tun muss: Die Umsetzung des DGA und die Registermodernisierung koordiniert behandeln, nicht als getrennte Projekte. Welche Register müssen bis wann welche Schnittstellen haben, damit Once-Only unter dem DGA-Rahmen tatsächlich funktioniert? Wer diese Frage nicht beantwortet, hat zwei Programme, die dasselbe Ziel beschreiben, ohne denselben Weg zu gehen.

Sechs Monate bis zur OZG-Deadline

Halbzeit. Der 31. Dezember 2022 ist sechs Monate entfernt. Die EfA-Dienste, die bis Jahresende live gehen sollen, müssen jetzt in finaler Entwicklung oder im Testbetrieb sein. Was noch nicht in Produktion ist, wird bis Dezember kaum noch fertig.

Was das bedeutet: Der Fokus für das zweite Halbjahr sollte weniger auf der Entwicklung neuer Dienste liegen als auf der Nachnutzung bestehender. Welche Länder haben welche EfA-Dienste noch nicht integriert? Was ist der konkrete Hinderungsgrund? Wo liegt er in Geld, wo in Kapazität, wo in politischem Willen?

Diese Fragen zu beantworten, ist anstrengend. Sie zu ignorieren, ist teurer.

Hat Sie das Thema interessiert?

Wenn Sie den Data Governance Act für Ihre Datenstrategie konkret einordnen wollen oder die OZG-Halbzeitbilanz für Ihre Planung brauchen: Über das Kontaktformular unten bin ich erreichbar.

Digitale Souveränität nach dem Schock. Was jetzt konkret passiert. – März 2022 im E-Government-Rückblick.

Thu, 31 Mar 2022 20:00:00 +0200

Ein Monat nach dem russischen Angriff auf die Ukraine ist die Souveränitätsdebatte in der deutschen Verwaltungs-IT angekommen. Ministerien, Behörden und IT-Dienstleister diskutieren Abhängigkeiten, die vorher als Selbstverständlichkeit galten. Das ist gut. Die Frage ist, ob aus dieser Diskussion Entscheidungen werden, oder ob der Druck nachlässt, bevor die ersten konkreten Schritte getan sind.

Denn Souveränitätsdebatten haben ein bekanntes Muster: Laut, solange der Anlass akut ist. Still, wenn der nächste Quartalsbericht kommt.

Was aus der Souveränitätsdebatte konkret wird

Die Bundesverwaltung nutzt Microsoft-Produkte in erheblichem Umfang . Lizenzen, Infrastruktur, Kollaborationswerkzeuge. Das ist kein Betriebsunfall, sondern das Ergebnis von Beschaffungsentscheidungen über Jahrzehnte, die auf Funktionalität, Preis und Marktdurchdringung optimiert haben. Nicht auf Exit-Optionen.

Der richtige nächste Schritt ist nicht die Kündigung aller Microsoft-Verträge. Das wäre operativ nicht umsetzbar. Der richtige Schritt ist eine Priorisierungsentscheidung: Welche Systeme verarbeiten besonders schützenswerte Daten? Welche davon haben tragfähige europäische oder Open-Source-Alternativen? Diese Systeme sind die Kandidaten für die erste Migrationswelle.

Was dabei hilft: Behörden, die diesen Weg bereits gegangen sind, haben Erkenntnisse, die andere nicht neu erarbeiten müssen. Schleswig-Holstein hat öffentlich dokumentiert, was eine Ablösung von Microsoft-Produkten erfordert. Das ist kein Blaupausen-Dokument, aber ein ehrlicher Erfahrungsbericht. Wer beginnen will, fängt mit solchen Berichten an, nicht mit generischen Souveränitätsstrategien.

Bundescloud: Was existiert und was noch fehlt

Deutschland hat keine leere Infrastrukturlandschaft. Die Bundescloud als Rechenzentrumsinfrastruktur des Bundes existiert. Dataport, ITDZ Berlin und weitere Landes-IT-Dienstleister betreiben eigene Cloud-ähnliche Infrastrukturen unter deutschem Recht.

Was fehlt, ist die Skalierung. Und die Standardisierung. Wer als Behörde von AWS zu einem deutschen Anbieter wechseln will, steht vor dem Problem, dass jeder Anbieter eigene Schnittstellen hat, eigene Servicekataloge, eigene Betriebsmodelle. Der Aufwand für eine Migration ist deshalb nicht nur technisch, sondern auch administrativ erheblich.

Was helfen würde: ein föderaler Rahmen, der definiert, welche Anforderungen eine souveräne Cloud für die öffentliche Verwaltung erfüllen muss, und der mehrere Anbieter zulässt, die denselben Standard erfüllen. Wettbewerb innerhalb eines gemeinsamen Standards ist besser als ein einziger nationaler Anbieter ohne Wettbewerb.

Was die OZG-Umsetzung mit Souveränität zu tun hat

Das OZG schreibt vor, was digitalisiert werden soll, nicht womit. Viele EfA-Dienste (Einer für Alle) laufen auf proprietären Plattformen oder nutzen proprietäre Komponenten. Das ist kurzfristig pragmatisch. Mittelfristig baut es genau die Abhängigkeiten auf, die die Souveränitätsdebatte gerade sichtbar macht.

Der konstruktive Umgang: OZG-Dienste, die neu entwickelt oder neu vergeben werden, sollten Interoperabilität und Austauschbarkeit als Anforderungen enthalten, nicht als Wunschliste. Offene Schnittstellen, standardisierte Datenformate, dokumentierter Quellcode. Das erhöht den Aufwand bei der Erstentwicklung minimal. Es verhindert Lock-in für Jahre.

Wer diese Anforderungen nicht in die Leistungsbeschreibung schreibt, schreibt sie implizit heraus.

Hat Sie das Thema interessiert?

Wenn Cloud-Abhängigkeiten in Ihrer Behörde gerade neu bewertet werden und Sie einen strukturierten nächsten Schritt suchen: Das Kontaktformular unten öffnet die Tür.

Krieg in der Ukraine. Digitale Souveränität in neuem Licht. – Februar 2022 im E-Government-Rückblick.

Mon, 28 Feb 2022 20:00:00 +0100

Am 24. Februar beginnt der russische Angriff auf die Ukraine. Was das für die europäische Sicherheitsarchitektur bedeutet, wird in diesen Tagen intensiv diskutiert. Was es für die digitale Infrastruktur der deutschen öffentlichen Verwaltung bedeutet, wird zunächst weniger laut besprochen. Zu Unrecht.

Die Frage, wer welche Daten öffentlicher Verwaltungen auf welchen Servern unter welchem Rechtsrahmen speichert, war vorher eine Compliance-Frage. Ab jetzt ist sie eine geopolitische.

Was der Ukraine-Krieg für die öffentliche IT-Infrastruktur bedeutet

Die meisten deutschen Bundesbehörden, Länder und Kommunen nutzen Cloud-Dienste oder Software von US-amerikanischen Anbietern: Microsoft 365, AWS, Google Workspace in unterschiedlichen Varianten. Das ist kein Vorwurf. Es sind oft die leistungsfähigsten und am besten unterstützten Lösungen auf dem Markt.

Das Problem ist struktureller Natur. Der CLOUD Act von 2018 erlaubt US-Behörden unter bestimmten Umständen den Zugriff auf Daten von US-Unternehmen, auch wenn diese in Europa gespeichert sind. Das war vorher ein Datenschutzproblem. Im Kontext eines geopolitischen Konflikts wird es zu einer Infrastrukturrisikofrage.

Was öffentliche IT-Verantwortliche jetzt tun können: Das ist nicht der Moment für einen sofortigen Microsoft-Ausstieg. Das wäre operativ nicht umsetzbar und würde mehr Schaden als Nutzen bringen. Der richtige Schritt ist eine ehrliche Inventur: Welche Systeme haben welche Abhängigkeiten? Welche Daten liegen wo? Welche Verträge enthalten Exit-Klauseln? Diese Inventur schafft die Grundlage für einen mittelfristigen Migrationsplan, der machbar ist, statt einen Sofortausstieg, der es nicht ist.

Was GAIA-X dazu beitragen kann und was nicht

GAIA-X ist die europäische Antwort auf US-Cloud-Dominanz. Oder zumindest soll es das sein. Das Konsortium aus europäischen Unternehmen, Forschungseinrichtungen und Behörden arbeitet an einem Framework für einen europäischen Datenraum, der europäisches Recht respektiert.

Das Problem: GAIA-X ist ein Framework, keine Cloud. Es definiert Standards und Zertifizierungsprozesse, betreibt aber keine Infrastruktur. Wer eine sichere Alternative zu AWS braucht, findet in GAIA-X keinen Anbieter, sondern eine Spezifikation, die europäische Anbieter erfüllen können, wenn sie wollen.

Das ist nicht wertlos. Ein gemeinsamer Standard, der europäische Datenschutzregeln operationalisiert und Herstellerabhängigkeiten dokumentiert, ist eine Grundlage für informiertere Beschaffungsentscheidungen. Aber er ist kein Schnellschuss-Ersatz für AWS und Azure.

Was hilft: Der Fokus auf konkrete Bundescloud-Alternativen, also Rechenzentrumkapazitäten, die unter deutschem oder europäischem Recht operieren und für Verwaltungsdaten geeignet sind. Die BWI und die Infrastrukturen von Dataport oder ITDZ Berlin zeigen, dass solche Alternativen existieren. Was fehlt, ist der politische Wille, sie systematisch zu skalieren.

Was das für die nächste Beschaffungsentscheidung bedeutet

Wer gerade eine IT-Beschaffung vorbereitet, sollte zwei Fragen ergänzen, die bisher optional waren.

Erstens: Unter welchem Rechtsrahmen operieren Daten, die in diesem System verarbeitet werden? DSGVO-Konformität allein reicht nicht mehr als Antwort. Der CLOUD Act und ähnliche Drittstaaten-Zugriffsgesetze sind ein eigenes Risikofeld.

Zweitens: Wie sieht der Exit-Plan aus? Nicht als theoretische Option, sondern als konkrete Beschreibung, wie Daten und Prozesse in ein anderes System überführt werden könnten, wenn nötig. Wer das heute nicht beschreiben kann, hat sich in eine Abhängigkeit manövriert, die nicht zwangsläufig teuer war, aber im Ernstfall teuer wird.

Diese Fragen jetzt zu stellen, ist kein Panikmodus. Es ist Infrastruktur-Hygiene, die aus guten Gründen jetzt auf der Agenda steht.

Hat Sie das Thema interessiert?

Wenn die Souveränitätsfrage für Ihre IT-Infrastruktur gerade konkret wird und Sie einen Austausch suchen, der nicht mit einem Produkt endet: Das Kontaktformular unten ist der schnellste Weg zu mir.

Koalitionsvertrag unterzeichnet. Neue Regierung, alte Baustellen. – Dezember 2021 im E-Government-Rückblick.

Fri, 31 Dec 2021 20:00:00 +0100

Am 7. Dezember 2021 unterzeichnet die Ampel-Koalition ihren Koalitionsvertrag . Am 8. Dezember wird Olaf Scholz zum Bundeskanzler gewählt. Das Bundesministerium für Digitales und Verkehr (BMDV) nimmt unter Volker Wissing seine Arbeit auf.

Zwölf Monate bis zur OZG-Deadline. Ein Jahresende mit viel Agenda.

Was das Jahr 2021 hinterlässt

2021 war ein Jahr struktureller Offenlegung. Die Impfportal-Panne im Februar hat gezeigt, dass Verwaltungs-IT unter Spitzenlast nicht standhält. Der Wahlkampf hat gezeigt, dass Digitalpolitik breite Unterstützung hat, aber keine klare operative Mechanik. Der Koalitionsvertrag hat gezeigt, dass die richtigen Themen adressiert sind: Open Source, digitale Souveränität, OZG-Nachfolge.

Was das Jahr nicht gelöst hat: das Konnexitätsproblem, den Kapazitätsengpass bei kommunaler IT, und die Interoperabilitätsfrage bei föderalen Systemen. Diese drei Diagnosen stehen am Jahresende genauso wie am Jahresanfang.

Das ist keine Niederlage. Diagnosen, die sauber benannt sind, können angegangen werden. Diagnosen, die unausgesprochen bleiben, werden reproduziert.

Was der Koalitionsvertrag verspricht, das bis Dezember 2022 zählt

Der Koalitionsvertrag nennt das Zentrum für Digitale Souveränität, OZG-Nachfolge, Open-Source-Bevorzugung, BundID -Ausbau und Registermodernisierung. Das ist die richtige Agenda.

Was bis Dezember 2022 noch möglich ist: die OZG-Endphase. Zwölf Monate, um die EfA-Dienste mit hoher Nutzungsfrequenz bundesweit abzuschließen, nicht alle 575, aber die wichtigsten.

Was bis Dezember 2022 beginnen muss: ZenDiS . Das Zentrum für Digitale Souveränität muss 2022 gegründet werden, seinen Auftrag klären und die ersten Piloten für openDesk gewinnen. Wer damit auf 2023 wartet, hat das Zeitfenster für eine substantielle Alternative zu Microsoft 365 bis 2025 bereits verkürzt.

Was bis Dezember 2022 entschieden werden muss: die Finanzierungsmechanik für das OZG 2.0. Ohne klare Antwort auf die Frage, wer kommunale Digitalisierung finanziert, wird OZG 2.0 dasselbe Problem haben wie OZG 1.0.

Was das neue Jahr bringen muss

Das neue Jahr beginnt mit einem klaren Vorteil gegenüber 2017, als das OZG verabschiedet wurde: Es gibt jetzt Erfahrung. Wir wissen, was funktioniert und was nicht. EfA funktioniert als Konzept, scheitert an der Nachnutzungskapazität. BundID funktioniert technisch, scheitert an der Integration. Registermodernisierung ist gesetzlich verankert, scheitert an der operativen Komplexität.

Diese Erkenntnisse sind das wertvollste Erbe des OZG-Programms. Wer sie in die OZG-2.0-Planung einbaut, vermeidet die Fehler der ersten Runde. Wer sie ignoriert, reproduziert sie.

Der konstruktivste erste Schritt der neuen Bundesregierung im Januar 2022: eine ehrliche Bestandsaufnahme des OZG-Stands, nicht als Erfolgsmeldung, sondern als Grundlage für die Planung des zweiten Anlaufs.

Hat Sie das Thema interessiert?

Was kommt nach 2021? Wenn Sie die Agenda der neuen Bundesregierung für die Verwaltungsdigitalisierung für Ihre eigene Planung einordnen wollen: Das Kontaktformular ist der direkteste Weg.

Ampel steht. Digitalministerium kommt. Was der Koalitionsvertrag für die Verwaltung verspricht. – November 2021 im E-Government-Rückblick.

Tue, 30 Nov 2021 20:00:00 +0100

Die Ampel-Koalition einigt sich. Der Koalitionsvertrag wird im Dezember unterzeichnet, aber die wesentlichen Inhalte sind bekannt: Ein eigenständiges Bundesministerium für Digitales und Verkehr (BMDV) unter Volker Wissing (FDP). Open-Source-Bevorzugung als Koalitionsziel. Eine OZG-Nachfolge, die Rechtsansprüche und föderale Finanzierung neu ordnen soll. Ein Zentrum für Digitale Souveränität der öffentlichen Verwaltung.

Vier Versprechen, die alle in die richtige Richtung zeigen. Ob sie halten, entscheidet sich in der Umsetzung.

Was das BMDV bringt und was es nicht verändert

Ein eigenständiges Digitalministerium ist strukturell richtig. Digitalpolitik als Querschnittsthema braucht einen Ort, der nicht zwischen BMI, BMWi und anderen Ressorts koordinieren muss, sondern selbst entscheiden kann.

Was das BMDV nicht sofort ändert: Die OZG-Zuständigkeit bleibt beim BMI. Das ist eine bewusste Entscheidung, die die Kontinuität der laufenden Umsetzungsstrukturen sichert. Was langfristig folgen muss: eine klare Klärung, wo OZG-Governance liegt, und ob das BMDV koordinierende Kompetenzen übernimmt oder nicht.

Zwei Ministerien, die beide für Digitalisierung zuständig sind, schaffen Koordinationsaufwand, den die Verwaltung nicht braucht.

Was Open Source im Koalitionsvertrag bedeutet

Die Open-Source-Bevorzugung ist mehr als ein Bekenntnis. Sie ist eine Beschaffungsrichtung, die aus dem Bereich der Experten-Forderungen in die Koalitionspolitik übergewechselt ist.

Was das konkret ändern muss: Vergabeverfahren, die Open-Source-Lösungen tatsächlich einen fairen Zugang ermöglichen. Heute scheitern Open-Source-Anbieter oft an Referenzanforderungen, die für Großprojekte formuliert sind, und an Schnittstellenspezifikationen, die proprietäre Systeme bevorzugen. Eine Koalitionspräferenz, die nicht in Vergabeleitlinien übersetzt wird, ist eine Absichtserklärung ohne operative Wirkung.

Der erste Schritt, den das BMDV gehen kann: eine verbindliche Leitlinie für Bundesbehörden, wie Open-Source-Beschaffung konkret aussieht. Was muss in die Leistungsbeschreibung? Welche Bewertungskriterien ändern sich? Das ist keine Gesetzgebungsaufgabe. Es ist eine Verwaltungsanweisung.

Was das geplante Zentrum für Digitale Souveränität leisten soll

Im Koalitionsvertrag kündigt sich ein Zentrum für Digitale Souveränität der öffentlichen Verwaltung an. Die Aufgabe: einen souveränen Verwaltungsarbeitsplatz auf Open-Source-Basis entwickeln, als Alternative zu Microsoft 365.

Das ist das richtige Ziel. Was es braucht: eine Organisation mit genug Kapazität, genug Mandat, und genug Zeit. Wer in sechs Monaten ein produktionsreifes Produkt für Hunderttausende Verwaltungsarbeitsplätze erwartet, erwartet das Falsche.

Was realistisch ist: 2022 eine erste Alpha, Pilotbehörden, die früh einsteigen, strukturiertes Feedback, und dann eine Beta, die 2023 und 2024 in Produktionsbetrieb gehen kann. Das wäre schnell für ein Projekt dieser Größe. Es wäre zu spät, wenn man erst 2023 anfängt.

Hat Sie das Thema interessiert?

Wenn Sie die Ampel-Versprechen zur Verwaltungsdigitalisierung für Ihre eigene Planung einordnen wollen: Über das Kontaktformular unten sind Sie direkt bei mir.

Bundestagswahl. Knappe Ergebnisse. Offene Fragen für die Digitalpolitik. – September 2021 im E-Government-Rückblick.

Thu, 30 Sep 2021 20:00:00 +0200

Am 26. September 2021 wählt Deutschland. Das Ergebnis : SPD 25,7 Prozent, CDU/CSU 24,1 Prozent, Grüne 14,8 Prozent, FDP 11,5 Prozent. Kein eindeutiges Mandat für eine Regierungsbildung. Drei mögliche Koalitionen, zwei haben rechnerische Mehrheiten: Ampel (SPD, Grüne, FDP) und Jamaica (CDU/CSU, Grüne, FDP).

Koalitionsverhandlungen beginnen. Das dauert Wochen, wahrscheinlich Monate.

Für die Verwaltungsdigitalisierung bedeutet das: Politischer Rückenwind bleibt erst einmal aus. Die OZG-Deadline ist in 15 Monaten.

Was das Wahlergebnis für die Digitalpolitik bedeutet

Beide möglichen Koalitionen haben Digitalpolitik in ihren Programmen. Die Kernunterschiede liegen weniger in den Zielen als in der Mechanik.

Eine Ampel-Koalition (SPD+Grüne+FDP) hätte die FDP im zentralen Digitalressort. Die FDP hat sich für ein eigenständiges Digitalministerium ausgesprochen, das nicht nur koordiniert, sondern Kompetenzen bündelt. Das wäre strukturell ein Fortschritt: Ein Ministerium, das Querschnittsaufgaben der Digitalisierung verantwortet, ohne dass jede Zuständigkeit bilateral zwischen BMI und BMF oder BMWI ausgehandelt werden muss.

Eine Jamaica-Koalition (CDU/CSU+Grüne+FDP) hätte stärkere Kontinuität zu bestehenden Strukturen, mit dem Risiko, dass das BMI weiterhin die Digitalpolitik nebenamtlich mitverantwortet.

Was unabhängig vom Koalitionsergebnis gilt: Die Verwaltungsdigitalisierung braucht eine klare politische Verantwortlichkeit. Wer OZG verantwortet, wer EfA koordiniert, wer BundID ausbaut. Wenn das auf drei Ministerien verteilt ist, entsteht kein Tempo.

Was in den Koalitionsverhandlungen zu OZG kommen muss

Wer auch immer koaliert, muss im Koalitionsvertrag drei Fragen beantworten.

Erstens: Wer verantwortet die OZG-Nachfolge? Eine dezidierte politische Verantwortlichkeit, nicht nur eine Koordinationsstelle.

Zweitens: Wie wird die kommunale Digitalisierung finanziert? Ohne klare Antwort bleibt OZG 2.0 ein Gesetz ohne Durchsetzungskraft für die Ebene, die die meisten bürgernahen Leistungen erbringt.

Drittens: Welchen Status bekommt Open Source in der öffentlichen Beschaffung? „Bevorzugung" ist eine Absichtserklärung. Was fehlt, ist die operative Mechanik, die diese Bevorzugung in Vergabeprozesse übersetzt.

Diese drei Fragen sind nicht schwierig zu beantworten. Sie erfordern politischen Willen, nicht technisches Wissen.

Was die Verwaltungsdigitalisierung in den nächsten Wochen tut

Unabhängig davon, wer regiert: Die IT-Projekte laufen. Die OZG-Deadline zieht näher. Was kommunale IT-Dienstleister und Landesbehörden jetzt tun, tun sie ohne politischen Rückenwind, aber auch ohne politische Störung.

Das ist keine schlechte Phase für operative Arbeit. Projekte, die politischer Aufmerksamkeit bedürfen, warten. Projekte, die klare Anforderungen haben und nur Umsetzungskapazität brauchen, können jetzt vorankommen.

Hat Sie das Thema interessiert?

Wenn Sie wissen wollen, was die Koalitionsverhandlungen für Ihre Digitalisierungsprojekte bedeuten: Schreiben Sie mir über das Kontaktformular unten.

Hochsommer. Wahljahr. OZG auf der Zielgeraden. – Juli 2021 im E-Government-Rückblick.

Sat, 31 Jul 2021 20:00:00 +0200

Zwei Monate bis zur Bundestagswahl am 26. September. Siebzehn Monate bis zur OZG-Deadline. Wahlkampf und Verwaltungsdigitalisierung stehen selten in Zusammenhang. In diesem Jahr ist es anders: Digitalpolitik ist sichtbarer als in jedem Wahljahr davor.

Das hat mit COVID zu tun. Und mit der Offensichtlichkeit der Lücken.

Was die Parteiprogramme versprechen

Fast alle Parteiprogramme zur Bundestagswahl 2021 enthalten Abschnitte zur Digitalpolitik. Was auffällt, wenn man sie vergleicht:

Der Konsens ist breit. Schnelleres Internet, mehr digitale Verwaltungsleistungen, digitale Souveränität, Open-Source-Förderung. Das steht links wie rechts. Der Unterschied liegt in der Mechanik.

Grüne und SPD betonen öffentliche Infrastruktur und digitale Daseinsvorsorge. FDP betont Entbürokratisierung und Marktmechanismen. CDU/CSU betont Sicherheit und bewährte Strukturen. Was alle vermeiden: die konkrete Frage, wie OZG finanziert wird, wenn Länder und Kommunen die Umsetzungslast tragen, aber der Bund die Anforderungen setzt.

Das ist kein Versehen. Es ist die politisch unbequeme Antwort, die jede Partei vermeidet, weil sie bedeutet: mehr Geld für kommunale IT, verbindlichere Bundesstandards, oder beides. Keine der Optionen ist populär genug, um sie im Wahlkampf laut zu sagen.

Open Source im Wahljahr

Bemerkenswert ist die Konsensbreite bei Open Source. Die OSBA-Stellungnahmen und die Forderung nach „Public Money, Public Code" haben 2021 mehr parteipolitische Resonanz als je zuvor.

Was das zeigt: Die Argumente für Open Source in der öffentlichen Verwaltung sind angekommen. Souveränität, Nachnutzbarkeit, Kostentransparenz, kein Vendor-Lock-in. Das ist kein Nischenthema mehr.

Was noch aussteht: die operative Mechanik. Wie sieht eine Open-Source-konforme Vergabe konkret aus? Was ändert sich an Leistungsbeschreibungen, Bewertungskriterien, Vertragsbedingungen? Wer diese Fragen nicht beantwortet, hat einen politischen Konsens ohne Umsetzungspfad.

Der Schritt, den die nächste Bundesregierung tun kann, ist überschaubar: eine Vergabeleitlinie für Open-Source-konforme Beschaffungen, verbindlich für Bundesbehörden, empfohlen für Länder. Das wäre kein Gesetz, sondern ein Verwaltungsakt. Erfordert keine Mehrheiten im Bundesrat. Braucht politischen Willen, nicht mehr.

Was im Sommer trotzdem weiterläuft

Wahlkampf bedeutet keine OZG-Pause. Die eigentliche Umsetzungsarbeit passiert nicht in Ministerien, sondern bei IT-Dienstleistern, kommunalen Zweckverbänden und Landesbehörden. Diese arbeiten weiter.

Was in der Sommerpause gut möglich ist: Planungsgespräche. Welche EfA-Dienste werden bis Ende 2022 integriert? In welcher Reihenfolge? Mit welchen IT-Dienstleistern? Wer im Sommer diese Gespräche führt, kann im Herbst direkt starten.

Was der Sommer für OZG-Projekte nicht ist: Wartezeit. 17 Monate klingen nach viel. Wenn man sechs davon wartet, sind es noch elf. Das reicht nur, wenn man sofort mit dem Richtigen anfängt.

Hat Sie das Thema interessiert?

Wenn Sie OZG-Projekte planen und den Sommer für strategische Gespräche nutzen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.

EU legt KI-Gesetz vor. Was öffentliche Verwaltungen jetzt wissen müssen. – April 2021 im E-Government-Rückblick.

Fri, 30 Apr 2021 20:00:00 +0200

Am 21. April veröffentlicht die EU-Kommission ihren Vorschlag für den AI Act . Erstmals soll der Einsatz von KI-Systemen in der EU reguliert werden, mit einem risikobasierten Ansatz: Verbotene Anwendungen, Hochrisiko-Anwendungen mit Pflichten, und alles andere ohne besondere Regulierung.

Für die öffentliche Verwaltung ist dieser Vorschlag nicht Zukunftsmusik. Viele Systeme, die Behörden heute einsetzen oder planen, fallen in die Hochrisiko-Kategorien.

Was im AI-Act-Entwurf steht

Der Kommissionsvorschlag unterscheidet vier Risikostufen.

Verboten sind KI-Systeme, die Grundrechte unterhöhlen: soziales Scoring durch Behörden, subliminale Manipulation, biometrische Massenüberwachung im öffentlichen Raum. Das sind klare Grenzen, die in der EU-Rechtsordnung ohnehin kaum anders denkbar wären.

Hochrisiko sind Systeme in explizit genannten Sektoren: Biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, Sozialleistungen, Strafverfolgung, Migration, Rechtsprechung. Was das für Behörden bedeutet: Systeme, die in diesen Bereichen Entscheidungen unterstützen, also Bearbeitungsalgorithmen für Sozialleistungen, automatisierte Dokumentenprüfung, Priorisierungssysteme bei Anträgen, werden mit erheblichen Compliance-Anforderungen belegt.

Konkret: Technische Robustheit, Transparenz, menschliche Aufsicht, Dokumentation, Konformitätsbewertung vor Inbetriebnahme, Registrierung in einer EU-Datenbank.

Was das heute für Beschaffungen bedeutet: Wer jetzt KI-Systeme in Hochrisiko-Bereichen beschafft, die den AI-Act-Anforderungen nicht genügen werden, beschafft in zwei bis drei Jahren ein Nachbesserungsprojekt. Der Vorschlag wird noch verhandelt, die Richtung steht.

Wie man jetzt klug reagiert

Die falsche Reaktion: Alle KI-Projekte stoppen, bis der AI Act endgültig ist.

Die richtige Reaktion: Bestehende und geplante KI-Systeme klassifizieren. Welche fallen wahrscheinlich in die Hochrisiko-Kategorie? Welche nicht? Für die Hochrisiko-Kandidaten prüfen: Erfüllen sie schon heute die wahrscheinlichen Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht?

Viele gute KI-Systeme tun das bereits, weil es handwerklich sauber ist, nicht weil es vorgeschrieben ist. Wer darauf setzt, ist risikoarm. Wer auf proprietäre Black-Box-Systeme setzt, die keine Erklärbarkeit bieten, kauft unter Rechtsrahmenvorbehalt.

Was öffentliche Beschaffungen heute anders machen können: KI-Anforderungen in Leistungsbeschreibungen aufnehmen, die an den wahrscheinlichen AI-Act-Anforderungen orientiert sind. Keine Zertifizierungspflicht, die es noch nicht gibt. Aber Anforderungen an Transparenz, Dokumentation und Aufsichtsmöglichkeiten, die jedes gute System erfüllt.

Warum der Zeitplan wichtig ist

Der AI Act ist ein Kommissionsvorschlag. Jetzt beginnen die Verhandlungen zwischen Rat und Parlament, gefolgt vom Trilog. Das dauert Jahre. Frühestes Inkrafttreten: 2023 oder 2024. Anwendung für Hochrisiko-Systeme: mit Übergangsfrist.

Wer heute beschafft, hat Zeit. Zu wenig, um nichts zu tun. Genug, um es richtig anzufangen.

Die wichtigste Frage für Behörden, die KI einsetzen oder planen: Hat das System, das wir kaufen, eine nachvollziehbare Entscheidungslogik, und kann ein Mensch jederzeit eingreifen? Wenn ja, steht es auf sicherem Boden. Wenn nein, sollte die Beschaffung neu bewertet werden, unabhängig davon, was der AI Act am Ende genau vorschreibt.

Hat Sie das Thema interessiert?

Wenn Sie KI-Beschaffungen in Ihrer Behörde vorbereiten und dabei einen strukturierten Blick auf den AI-Act-Rahmen suchen: Eine Nachricht über das Kontaktformular genügt.

Souveränität ist eine Architekturentscheidung

Tue, 15 Sep 2020 09:00:00 +0200

Die Corona-Krise hat 2020 vielen klar gemacht, was vorher Theorie war: Verwaltung muss auch dann liefern, wenn der Boden sich bewegt. Liefern heißt heute digital. Damit wird die Frage, wie souverän die Verwaltung dabei agieren kann, zur strategischen Hauptfrage. Sie gehört nicht mehr in die Schublade fürs Strategiepapier.

Souveränität ist keine Erklärung. Sie ist eine Architekturentscheidung.

Was Souveränität konkret bedeutet

Digitale Souveränität bezeichnet das selbstbestimmte Handeln im digitalen Raum: unabhängig von einzelnen Staaten und Anbietern entscheiden zu können, welche Software die Verwaltung einsetzt, wie sie weiterentwickelt wird und wer sie betreibt. Für die öffentliche Verwaltung ist das keine akademische Frage. Es ist die Voraussetzung dafür, dass eine Behörde im Krisenfall handlungsfähig bleibt – und nicht auf das Wohlwollen eines außereuropäischen Anbieters angewiesen ist.

Die Realität der deutschen Verwaltung sieht 2020 anders aus. Sie ist in weiten Teilen von wenigen großen Softwarekonzernen abhängig, allen voran Microsoft. Die vom Bundesinnenministerium beauftragte PwC-Studie aus dem September 2019 hat das nüchtern dokumentiert: ein Marktanteil von 84 Prozent allein bei Office-Paketen, eine Verzahnung von Outlook, Exchange und Windows Server, die Migration teuer und Wechsel praktisch unmöglich macht, dazu Lizenz- und Pflegekosten, die jedes Jahr neue Schmerzpunkte schaffen. Die Empörung war damals hoch und richtig . Wirklich verändert hat sich seit 2019 wenig.

Wer Souveränität ernst meint, fängt nicht mit der nächsten Strategie-Erklärung an. Sondern mit der nächsten Architekturentscheidung.

Open Source ist das Werkzeug, nicht das Bekenntnis

An dieser Stelle taucht regelmäßig die Open-Source-Frage auf, oft als Glaubensthema behandelt. Das ist aus zwei Richtungen falsch. Open Source ist weder das Wundermittel, das automatisch Souveränität liefert, noch eine Ideologie. Es ist ein Betriebsmodell – und was das für Verwaltungen konkret bedeutet, habe ich gesondert ausgeführt. Eines, das genau die Eigenschaften mitbringt, die Souveränität voraussetzt: Zugriff auf den Code, Möglichkeit zur Anpassung, Kontrolle über die eigene Roadmap, Auswahl bei Wartung und Support. Mehr als ein Anbieter darf das gleiche Produkt pflegen, und der Käufer entscheidet, wem er den Auftrag gibt. Nicht der einzige Hersteller, weil es niemanden sonst gibt.

Konkret bedeutet das nicht, einen US-Anbieter durch einen anderen zu ersetzen. Es bedeutet, eine Architektur zu bauen, in der jede Komponente austauschbar ist. Office-Anwendungen, E-Mail- und Kalendersysteme, Content-Management, Dokumentenmanagement, Videokonferenzen: für jeden dieser Bereiche existieren reife Open-Source-Stacks, die produktiv in Behörden laufen. Sie sind in der Regel nicht so eng integriert wie das Microsoft-Paket, und genau das ist der Punkt. Die Integration entsteht aus eigener Architekturarbeit, nicht aus Konzern-Vorgabe.

Mit GAIA-X , das im Sommer 2020 als deutsch-französisches Vorhaben Form annimmt, kommt erstmals ein europäischer Stack in Reichweite, der nicht von einem US-Hyperscaler abhängt. Auch die Bundescloud ist mehr als ein politisches Versprechen. Sie ist der Versuch, eigene Infrastruktur für die Bundesverwaltung zu bauen, in der Daten von Behörden und Ministerien geschützt liegen.

Diese Bausteine ersetzen nicht die Migration aus der Microsoft-Welt. Sie machen sie möglich. Dass das nicht von heute auf morgen geht, ist offensichtlich. Jede Neueinführung kostet Zeit, Geld und Nerven. Aber sie ist machbar, und die Alternativen liegen in Reichweite. Das Argument, „die Migration sei zu komplex", verschweigt, dass die Nicht-Migration ihre eigenen Kosten hat: weiter steigende Lizenzgebühren, weiter wachsende Lock-in-Effekte, weiter sinkender Verhandlungsspielraum.

Die europäische Frage steht dahinter

Der zweite Strang ist die europäische Perspektive. Eine Verwaltung, die ihre Daten in Rechenzentren auf US-amerikanischem Rechtsraum speichert, hat ein strukturelles Problem mit dem CLOUD Act und mit dem Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 . Speicherort, Hoheit und Jurisdiktion lassen sich nicht entkoppeln. Die Kernaussagen des BfDI zu Schrems II sind in diesem Punkt unmissverständlich. Vertragliche Klauseln allein reichen nicht aus. Wer Datenschutz ernst nimmt, muss die Infrastruktur ernst nehmen, auf der die Daten liegen.

Die Konsequenz daraus ist nicht Autarkie. Die Konsequenz ist Wahlmöglichkeit. Die Verwaltung muss in der Lage sein, zwischen Optionen zu entscheiden. Nicht in einer Situation enden, in der nur noch eine übrig ist.

Souveränität ist Daseinsvorsorge

Digitale Souveränität ist 2020 kein IT-Thema im engeren Sinn. Sie ist Daseinsvorsorge. Genauso wie der Staat dafür sorgt, dass Strom, Wasser und Verkehr funktionieren, muss er dafür sorgen, dass die digitale Infrastruktur, auf der das Verwaltungshandeln läuft, ihm gehört. Und nicht jemand anderem.

Das passiert nicht in der Strategie-Sitzung. Das passiert in jeder Vergabe, in jedem Architektur-Review, in jedem Vertrag.

Souveränität ist eine Architekturentscheidung. Sie ist eine Beschaffungsentscheidung. Und sie ist, am Ende, eine Lieferaufgabe.

Hat Sie das Thema interessiert?

Dann schreiben Sie mir gerne eine kurze Nachricht.

Nach Schrems II: Cloud-Souveränität wird operativ. – August 2020 im E-Government-Rückblick.

Mon, 31 Aug 2020 20:00:00 +0200

Ein Monat nach dem Schrems-II-Urteil. Was ist passiert? Wenig Konkretes. Viel Diskussion.

Datenschutzbehörden haben Stellungnahmen veröffentlicht, die im Kern bestätigen, was das Urteil sagt: Datenübermittlungen in die USA ohne angemessene Schutzmaßnahmen sind rechtswidrig. Konkrete Sanktionen: noch nicht. Konkrete Handlungsanleitungen: begrenzt.

Microsoft hat angekündigt, Datenspeicherung und Verarbeitung in Europa ausbauen zu wollen. Was das bedeutet: Die Daten könnten in Frankfurt oder Amsterdam liegen, aber der Anbieter bleibt ein US-Unternehmen, das dem CLOUD Act unterliegt. Europäische Server lösen das Schrems-II-Problem strukturell nicht.

Was Behörden jetzt wirklich tun können

Die Frage, die nach Schrems II alle beschäftigt, ist praktisch: Was tue ich jetzt, am Montag, mit meinen Microsoft-Verträgen?

Die pragmatische Antwort: Nichts Überstürztes. Schrems II hat keine Übergangsfrist definiert. Datenschutzbehörden haben angekündigt, Beschwerden nachzugehen, nicht proaktiv alle Behörden zu prüfen. Es gibt Zeit für eine geordnete Strategie.

Was eine geordnete Strategie erfordert: Erstens eine Datenklassifikation. Welche Daten verarbeite ich in welchen Systemen? Sensible Kategorien (Gesundheit, Sozialdaten, Personalakten) sind sofort priorisiert, andere können warten. Zweitens eine Alternativenbewertung für die priorisierten Systeme. Was gibt es in Europa? Was kann von GAIA-X -zertifizierten Anbietern bezogen werden? Drittens ein Migrationspfad, der in Jahren, nicht Wochen denkt.

Wer all das in einem Monat abschließen will, scheitert. Wer es in drei Jahren plant, schafft es.

Was an Microsoft-Kritik fair ist und was nicht

Die Kritik an Microsoft nach Schrems II ist manchmal schärfer als berechtigt. Microsoft ist kein böser Akteur. Es ist ein US-Unternehmen, das US-Recht unterliegt. Dass der CLOUD Act US-Behörden Datenzugriff erlaubt, ist eine Konsequenz der US-Rechtslage, nicht einer Kooperationsbereitschaft von Microsoft.

Was fair zu kritisieren ist: Der Lock-in, den Microsoft-Produkte in vielen Verwaltungen erzeugt haben. Wer 20 Jahre auf Microsoft-Produkten aufgebaut hat, kann nicht in zwei Jahren migrieren, auch wenn er das wollte. Dieser Lock-in ist das eigentliche Problem, nicht Microsoft als Anbieter.

Was das für Beschaffungsentscheidungen heute bedeutet: Jede neue Lösung, die eingeführt wird, sollte ein dokumentiertes Exit-Szenario enthalten. Nicht als Drohung gegen den Anbieter, sondern als Sicherheitsnetz gegen zukünftige Rechtsentwicklungen, die niemand vorhersagen kann.

Hat Sie das Thema interessiert?

Wenn Sie eine Cloud-Strategie entwickeln, die Schrems-II-konform und operativ machbar ist: Über das Kontaktformular unten bin ich erreichbar.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.

Konjunkturpaket, Corona-Warn-App, GAIA-X. Ein Monat, drei Weichenstellungen. – Juni 2020 im E-Government-Rückblick.

Tue, 30 Jun 2020 20:00:00 +0200

Juni 2020 bringt drei Nachrichten, die alle auf dasselbe Thema einzahlen: Digitale Souveränität als praktische Politik.

Am 3. Juni beschließt die Bundesregierung ein Konjunkturpaket von 130 Milliarden Euro. Darin: drei Milliarden Euro für die Digitalisierung der öffentlichen Verwaltung, für OZG. Am 16. Juni startet die Corona-Warn-App als quelloffenes Projekt auf GitHub, entwickelt von SAP und Deutsche Telekom im Auftrag des Bundes. Am 4. Juni kündigen Frankreich und Deutschland gemeinsam GAIA-X als europäisches Cloud-Infrastrukturprojekt an.

Drei Milliarden Euro OZG-Budget. Eine Open-Source-App mit Millionen Downloads. Eine europäische Cloud-Vision.

Was das Konjunkturpaket für OZG ändert

Die drei Milliarden Euro für die Verwaltungsdigitalisierung sind das größte Digitalisierungs-Sonderbudget, das das OZG-Programm je hatte. Was das bedeutet: Finanzierungsengpässe, die bisher als Argument gegen schnellere Umsetzung dienten, sind für eine Weile kein Argument mehr.

Was es nicht ändert: die Kapazitätsfrage. Drei Milliarden Euro können nur dann zu Diensten werden, wenn Länder und Kommunen die Kapazität haben, sie einzusetzen. Was nützt ein Budget, wenn die IT-Dienstleister, die die Arbeit leisten müssten, bereits ausgelastet sind?

Die sinnvolle Verwendung des OZG-Sonderbudgets ist deshalb nicht nur Entwicklung neuer Dienste, sondern Kapazitätsaufbau: Stellen für kommunale IT, Schulungsprogramme für Nachnutzung, Betriebsfinanzierung für Komponenten wie BundID und Servicekonten. Wer drei Milliarden Euro vollständig in Neuentwicklung steckt, kauft Produkte ohne Betrieb.

Was die Corona-Warn-App zeigt

Die Corona-Warn-App ist am 16. Juni auf GitHub öffentlich. Das ist eine Premiere: Eine vom Bund finanzierte App mit offenem Quellcode, von Anfang an. Nicht als nachträgliche Transparenzgeste, sondern als Designentscheidung.

Was das Modell zeigt: Open-Source-Veröffentlichung öffentlich finanzierter Software ist technisch und rechtlich möglich. Es erfordert Willen, keine Gesetzesänderung. Die Sicherheitsreview durch die Community findet statt. Fehler werden schneller gefunden und gemeldet als bei geschlossenem Code.

Was das für den Rest des OZG-Programms bedeutet: Wer die Corona-Warn-App als Referenz nutzt, muss erklären, warum EfA-Dienste keinen offenen Quellcode haben. Das ist eine berechtigt unangenehme Frage.

Was GAIA-X leisten kann und was nicht

GAIA-X ist eine europäische Initiative, die Regeln für einen souveränen europäischen Datenraum definieren soll. Kein einzelnes Rechenzentrum, kein nationaler Cloud-Anbieter, sondern ein Rahmen, in dem interoperable, GDPR-konforme Cloud-Dienste entstehen können.

Was das für öffentliche Verwaltungen bedeutet: GAIA-X gibt langfristig Orientierung. Kurzfristig hilft es wenig. Wer heute eine Alternative zu AWS braucht, findet in GAIA-X kein Betriebsmodell, sondern eine Spezifikation.

Was es dennoch wert ist: GAIA-X schafft eine gemeinsame europäische Sprache für digitale Souveränität. Das ist die Voraussetzung für koordinierte Beschaffungsentscheidungen, die heute noch bilateral ausgehandelt werden.

Hat Sie das Thema interessiert?

Wenn das Konjunkturpaket für Ihre OZG-Projekte Spielraum eröffnet oder Open Source als Beschaffungsstrategie für Sie ein Thema wird: Das Kontaktformular unten ist der direkteste Weg.

Contact Tracing, Open Source und die Frage der Digitalsouveränität. – Mai 2020 im E-Government-Rückblick.

Sun, 31 May 2020 20:00:00 +0200

Die Diskussion um eine deutsche Corona-Tracing-App ist im Mai 2020 auf ihrem Höhepunkt. Was wird entwickelt? Zentralisiert oder dezentralisiert? Open Source oder proprietär? Welche Daten fließen wohin? Was das Bundesgesundheitsministerium und das BSI am Ende entscheiden werden, ist noch nicht final. Aber die Debatte selbst ist lehrreich.

Denn selten wurde in Deutschland so öffentlich über digitale Souveränität als praktische Frage diskutiert wie in diesem Mai.

Der Datenschutz-Grundsatzstreit als Vertrauensfrage

Die große Streitlinie bei Contact-Tracing-Apps ist zentralisiert vs. dezentralisiert. Zentralisiert bedeutet: Begegnungsdaten laufen auf einem Server zusammen, der die Risikobewertung vornimmt. Dezentralisiert bedeutet: Die Begegnungsdaten bleiben auf dem Endgerät, nur anonymisierte Schlüssel werden geteilt.

Was Datenschützer, CCC und Teile der Wissenschaft sagen: Zentralisierte Systeme schaffen Potenziale für Missbrauch und Aggregation, die bei dezentralisierten Systemen strukturell nicht möglich sind. Das ist kein Misstrauen gegen die aktuelle Regierung. Es ist eine Infrastrukturentscheidung für Jahrzehnte.

Was die Entscheidung für Dezentralisierung zeigt: Datenschutz by Design ist nicht nur Compliance, sondern Vertrauensarchitektur. Bürger:innen nutzen Apps, denen sie vertrauen. Apps, die Vertrauen strukturell einbauen, haben höhere Nutzungsraten. Das ist ein pragmatisches Argument, kein ideologisches.

Open Source als Transparenzinstrument

Was im Mai durchsickert: Die Corona-Warn-App soll Open Source veröffentlicht werden. Der Quellcode auf GitHub. Das ist in der deutschen Behörden-IT eine Seltenheit. Üblicherweise ist der Code von öffentlich finanzierter Software proprietär und beim Auftragnehmer.

Was Open Source hier leistet: Transparenz für die Öffentlichkeit, unabhängige Sicherheitsprüfung, Nachnutzbarkeit für andere Länder. Das sind drei Argumente, die nichts miteinander zu tun haben, aber alle für dieselbe Entscheidung sprechen.

Was das für OZG bedeutet: Wenn der politische Wille für Open-Source-Veröffentlichung bei einer App entsteht, die jeden Monat Millionen nutzen werden, ist die Frage berechtigt, warum das nicht Standard für alle öffentlich finanzierten Softwareentwicklungen ist. „Public Money, Public Code" ist keine radikale Forderung. Es ist die logische Konsequenz aus dem, was gerade für die Corona-Warn-App entschieden wird.

Was die Krise für die OZG-Priorisierung gelernt hat

Im Mai beginnt die Politik, aus dem Krisenmodus in den Erholungsmodus zu wechseln. Was das für OZG bedeutet: Die unfreiwillige Priorisierung durch die Krise, also krisenrelevante Dienste zuerst, könnte als Prinzip beibehalten werden.

Welche Verwaltungsleistungen sind bei gesellschaftlichen Ausnahmesituationen besonders kritisch? Diese sollten in der Nachpriorisierung nach vorne rücken. Nicht weil andere unwichtig sind, sondern weil Resilienz ein eigenständiger Wert ist.

Hat Sie das Thema interessiert?

Wenn Sie die Open-Source-Debatte für Ihre eigene Softwarestrategie einordnen wollen oder OZG-Prioritäten unter Krisenperspektive neu denken: Das Formular unten verbindet uns.

Jahresrückblick 2016. Was vor dem OZG steht und was fehlt. – Dezember 2016 im E-Government-Rückblick.

Sat, 31 Dec 2016 20:00:00 +0100

Das Jahr 2016 endet. Was das Onlinezugangsgesetz betrifft: Es kommt. Im parlamentarischen Verfahren, angekündigt für 2017. Was dieses Jahr ohne OZG für die Verwaltungsdigitalisierung geleistet hat, ist trotzdem mehr als nichts.

Was 2016 für die E-Government-Grundlagen gebracht hat

Die DSGVO ist in Kraft getreten. Was das für alle digitalen Verwaltungsdienste bedeutet, die bis Mai 2018 starten oder laufen: Sie müssen DSGVO-konform sein. Wer jetzt anfängt zu planen, hat die Übergangszeit auf seiner Seite.

Die NIS-Richtlinie wurde beschlossen. IT-Sicherheit für kritische Infrastrukturen und digitale Dienste wird europaweit verbindlicher. Was Deutschland daraus macht, entscheidet die Umsetzung in nationales Recht.

Was die geopolitischen Ereignisse, Brexit und Trump-Wahl, für die Verwaltungsdigitalisierung bedeuten: Die Frage der digitalen Souveränität ist vom Randthema zur strategischen Notwendigkeit geworden. Europäische digitale Infrastruktur ist nicht mehr nur ein ideologisches Anliegen, sondern eine praktische Resilienzanforderung.

Was 2016 nicht geleistet hat

Das Onlinezugangsgesetz ist nicht beschlossen worden. Was das bedeutet: Die verbindliche gesetzliche Grundlage für das große Digitalisierungsprogramm fehlt noch. Was 2017 nachholen muss.

Die Registermodernisierung ist nicht vorangekommen. Das Once-Only-Prinzip bleibt Wunsch. Was gelöst werden muss: die Frage einer einheitlichen Personenkennung und die rechtliche Grundlage für den Register-Datenaustausch.

Die kommunale Kapazitätsfrage ist ungelöst. Was Kommunen brauchen, um die kommenden Digitalisierungsanforderungen zu erfüllen, steht in keinem Verhältnis zu dem, was ihnen strukturell zur Verfügung steht.

Was 2017 leisten muss

Das Onlinezugangsgesetz muss im ersten Halbjahr 2017 verabschiedet werden. Was danach sofort beginnen muss: Die operative Planung, die Themenfeld-Zuordnungen, der Start der FITKO -Gründungsplanung.

Was die Bundestagswahl im September bedeutet: Das Gesetz sollte vor der Wahl verabschiedet sein, damit die operative Planung nicht vollständig von der neuen Bundesregierung abhängt. Wer wartet, bis nach der Wahl eine neue Koalition steht, verliert ein weiteres halbes Jahr.

Was 2016 hinterlässt: eine klarere Problemdiagnose als je zuvor, und den Druck, 2017 konkret zu liefern.

Hat Sie das Thema interessiert?

Wenn Sie die OZG-Planung für 2017 angehen wollen: Ich bin über das Kontaktformular unten erreichbar.

Trump-Wahl und digitale Souveränität. Was das für Europas IT bedeutet. – November 2016 im E-Government-Rückblick.

Wed, 30 Nov 2016 20:00:00 +0100

Am 8. November wird Donald Trump zum 45. Präsidenten der Vereinigten Staaten gewählt. Was das für die europäische Digitalpolitik bedeutet, ist im November 2016 noch unklar. Was absehbar ist: Die Verlässlichkeit transatlantischer Abkommen kann nicht als selbstverständlich angesehen werden.

Was die Trump-Wahl für den Privacy Shield bedeutet

Der Privacy Shield ist das Datenschutzabkommen zwischen EU und USA, das im August 2016 in Kraft getreten ist. Er regelt, unter welchen Bedingungen personenbezogene Daten aus der EU in die USA übertragen werden dürfen.

Was die Trump-Wahl daran ändert: Der Privacy Shield ist ein exekutives Abkommen, das von der US-Administration eingehalten werden muss. Was eine Administration, die Datenschutz und europäische Regulierungen nicht priorisiert, mit diesem Abkommen machen kann: es schwächen oder faktisch unterlaufen.

Was europäische Behörden, die US-Cloud-Dienste nutzen, jetzt prüfen sollten: Auf welcher Rechtsgrundlage werden Daten in die USA übertragen? Was passiert, wenn der Privacy Shield wegfällt oder ausgehöhlt wird? Welche Alternativen gibt es?

Das ist keine theoretische Frage. Sie ist für Behörden, die Microsoft 365 oder AWS nutzen, sehr praktisch.

Was die Cloud-Abhängigkeit öffentlicher IT bedeutet

Was europäische öffentliche Verwaltungen in den vergangenen Jahren getan haben: in erheblichem Maß US-amerikanische Cloud-Dienstleister für Infrastruktur, Kommunikation und Datenspeicherung genutzt. Was das im Normalbetrieb bedeutet: Effizienz und Funktionalität.

Was es im Krisenfall bedeutet: Abhängigkeit von Anbietern, die unter US-amerikanischem Recht operieren und damit dem Zugriff amerikanischer Behörden unterliegen. Der USA PATRIOT Act und seine Nachfolger erlauben unter bestimmten Bedingungen den Zugriff auf Daten, die auf US-Servern liegen.

Was das für die strategische Planung öffentlicher IT bedeutet: Eine vollständige Vermeidung US-amerikanischer Dienstleister ist kurzfristig nicht realistisch. Was realistisch ist: eine schrittweise Diversifizierung hin zu europäischen Alternativen für die sensibelsten Daten und Prozesse.

Was digitale Souveränität für die Verwaltungsdigitalisierung bedeutet

Was “digitale Souveränität” im November 2016 bedeutet: die Fähigkeit, digitale Infrastrukturen zu kontrollieren und unabhängig von außereuropäischen Anbietern zu betreiben, wenn es nötig ist.

Was das für das OZG und die Verwaltungsdigitalisierung bedeutet: Die digitalen Dienste, die in den nächsten Jahren entstehen, sollten auf einer Infrastruktur aufbauen, die dieser Anforderung genügt. Was das ausschließt: Cloud-Architekturen, die nur in einer proprietären US-Infrastruktur betrieben werden können und bei der kein Ausweichweg besteht.

Was das nicht ausschließt: die pragmatische Nutzung von US-Cloud-Diensten für unkritische Infrastruktur, kombiniert mit einer strategischen Investition in europäische Alternativen für kritische Daten.

Hat Sie das Thema interessiert?

Wenn Sie Cloud-Entscheidungen für Ihre Behörde unter Souveränitätsgesichtspunkten prüfen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.

Brexit-Abstimmung. Was der EU-Austritt für die digitale Verwaltungspolitik bedeutet. – Juni 2016 im E-Government-Rückblick.

Thu, 30 Jun 2016 20:00:00 +0200

Am 23. Juni 2016 stimmt Großbritannien für den Austritt aus der Europäischen Union. Was das für die Verwaltungsdigitalisierung und Digitalpolitik bedeutet, ist im unmittelbaren Nachgang noch unklar. Was absehbar ist: Es wird nicht ohne Auswirkungen bleiben.

Was der Brexit für die europäische Digitalpolitik bedeutet

Großbritannien war in der europäischen Digitalpolitik ein aktiver Akteur. Was mit dem Brexit wegfällt: eine liberale Stimme in Regulierungsdiskussionen, eine Großvolkswirtschaft im digitalen Binnenmarkt, und ein Partner in der Umsetzung europäischer Datenschutzregeln.

Was die DSGVO angeht: Großbritannien wird nach dem Austritt entweder die DSGVO als sogenanntes “angemessenes Datenschutzniveau” anerkennen müssen, wenn es weiterhin Daten aus der EU verarbeiten will, oder Unternehmen und Behörden werden mit Datentransferrestriktionen konfrontiert sein.

Was das für deutsche Behörden konkret bedeutet: Wer britische Cloud-Dienstleister nutzt, wird die DSGVO-Compliance dieser Dienstleister nach dem Brexit neu prüfen müssen. Was das für die Beschaffung bedeutet: Anbieter-Diversifizierung in Richtung europäischer Anbieter ist eine Strategie, die Brexit-Risiken reduziert.

Was Brexit für eIDAS bedeutet

eIDAS ermöglicht grenzüberschreitende digitale Identifikation in der EU. Was der Brexit bedeutet: Britische digitale Identitäten fallen nach dem Austritt aus dem eIDAS-Rahmen, sofern kein gesondertes Abkommen getroffen wird.

Was das für deutsche Verwaltungsdigitalisierung bedeutet: Britische Bürger:innen, die in Deutschland Verwaltungsleistungen in Anspruch nehmen, werden nach dem Brexit möglicherweise keinen eIDAS-basierten Zugang mehr haben. Das betrifft eine relevante Gruppe.

Was das für die Planung digitaler Dienste bedeutet: Szenarien, die europäische Interoperabilität voraussetzen, sollten den Brexit als Planungsvariable einschließen.

Was der Brexit als Argument für europäische digitale Infrastruktur leistet

Was der Brexit unbeabsichtigt stärkt: das Argument für eine eigenständige europäische digitale Infrastruktur. Was passiert, wenn ein großes EU-Land austritt und dabei digitale Plattformen mitnimmt, die EU-weit genutzt wurden, zeigt die Abhängigkeit von nationalen oder nicht-europäischen Infrastrukturen.

Was das für die Verwaltungsdigitalisierung bedeutet: Die Stärkung europäischer Cloud-Infrastruktur, europäischer Identitätslösungen und europäischer Datenräume ist keine abstrakte Digitalsouveränitätsdebatte. Sie ist eine praktische Resilienzfrage.

Was Deutschland und die verbliebenen EU-27 in den nächsten Jahren tun können: in europäische digitale Infrastruktur investieren, die nicht von einzelnen Mitgliedstaaten abhängt und nicht von außereuropäischen Anbietern kontrolliert wird.

Hat Sie das Thema interessiert?

Wenn Sie die Brexit-Auswirkungen für Ihre digitale Verwaltungsstrategie einordnen wollen: Eine Nachricht über das Kontaktformular unten genügt.