Eu-Regulierung on Dr. Christian Knebel

ZenDiS gegründet. NIS2 beschlossen. Und der Digitalgipfel tagt. – November 2022 im E-Government-Rückblick.

Wed, 30 Nov 2022 20:00:00 +0100

November 2022 bringt drei Nachrichten, die für die Verwaltungsdigitalisierung langfristig relevant sind.

Erstens: Das Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS) wird gegründet. Die neue Bundesbehörde soll openDesk entwickeln und die souveräne Verwaltungs-IT-Infrastruktur ausbauen. Zweitens: Der Digitalgipfel der Bundesregierung diskutiert Plattformökonomie, KI und föderale Digitalstrategie. Drittens: Der EU-Rat verabschiedet NIS2 , die neue EU-Richtlinie zur Cybersicherheit.

Sechs Wochen bis zur OZG-Deadline.

Was ZenDiS bedeutet und was es braucht

Die Gründung von ZenDiS ist eine Strukturentscheidung. Deutschland hat damit eine Institution, die souveräne Verwaltungs-IT nicht nur fördert, sondern selbst entwickelt und betreibt. Das unterscheidet ZenDiS von bisherigen Förderinstitutionen.

Was das Modell richtig macht: openDesk als Integration vorhandener Open-Source-Software, nicht als Neuentwicklung. Nextcloud, Open-Xchange, OpenProject, Jitsi als bewährte Bausteine. Die eigentliche ZenDiS-Leistung liegt in der Integration, im sicheren Betrieb und in der Pflege für den Verwaltungskontext.

Was ZenDiS braucht, um erfolgreich zu sein: Pilotbehörden, die früh einsteigen und Erfahrungen strukturiert zurückmelden. Keine Organisation kann ein Produkt für Hunderttausende Nutzer:innen im Labor fertigstellen. openDesk wird im Einsatz besser, nicht in der Planung.

Was das bedeutet: Bundesbehörden, die jetzt einen Piloten wagen, tun mehr für die digitale Souveränität Deutschlands als Behörden, die auf ein fertiges Produkt warten, das ohne ihre Mitarbeit nicht fertig werden kann.

Was NIS2 für die öffentliche Verwaltung bedeutet

Die NIS2-Richtlinie erweitert den Kreis der Organisationen, die Cybersicherheitspflichten erfüllen müssen, erheblich. Mehr Sektoren, mehr Einrichtungen, strengere Anforderungen an Risikomanagement, Meldepflichten und Lieferkettensicherheit.

Für die öffentliche Verwaltung ist das keine neue Welt, sondern eine verschärfte. Viele Behörden haben bereits Sicherheitsanforderungen nach BSI-Grundschutz oder vergleichbaren Rahmen. Was NIS2 hinzufügt: explizite Verantwortlichkeit auf Leitungsebene, klarere Meldepflichten bei Incidents, und eine Ausweitung auf Lieferketten.

Was das bedeutet: Wer bisher Cybersicherheit als IT-Thema behandelt hat, muss es künftig als Führungsthema behandeln. NIS2 schreibt Verantwortung auf Leitungsebene vor. Das ist richtig, weil Cybersicherheit Ressourcen und Entscheidungen braucht, die auf Leitungsebene getroffen werden.

Die Umsetzungsfrist für die NIS2-Transposition ins deutsche Recht liegt bei Oktober 2024. Wer jetzt mit der Gap-Analyse beginnt, hat 23 Monate. Wer wartet, hat weniger.

Digitalgipfel: Was bleibt

Der Digitalgipfel ist die größte jährliche Digitalveranstaltung der Bundesregierung. Ministerien, Wirtschaft, Zivilgesellschaft und Wissenschaft diskutieren Prioritäten. Was bleibt, sind meist die Beschlüsse und Vereinbarungen, die im Hintergrund entstehen, nicht die Podiumsdiskussionen.

Was aus dem November-Digitalgipfel für die Verwaltungsdigitalisierung relevant ist: die Bekräftigung der föderalen Digitalstrategie als Rahmen für die IT-Planungsrat-Arbeit und die erneute Positionierung von openDesk als bundesweites Souveränitätsprojekt.

Was er nicht löst: die Finanzierungsfrage für kommunale IT. Die ist keine Gipfelfrage, sondern eine Haushaltsfrage.

Hat Sie das Thema interessiert?

Wenn ZenDiS, NIS2 oder die digitale Souveränität für Ihre Institution gerade ein Thema sind: Das Kontaktformular steht offen.

EU Data Governance Act in Kraft. Was das für öffentliche Daten bedeutet. – Juni 2022 im E-Government-Rückblick.

Thu, 30 Jun 2022 20:00:00 +0200

Am 23. Juni tritt der EU Data Governance Act in Kraft. Er ist das erste größere Stück der europäischen Datenstrategie, das aus der Planungsphase in die Rechtsverbindlichkeit übergeht. Der DGA regelt, wie öffentliche Daten geteilt werden können, wie Datenmittler operieren, und wie ein europäischer Rahmen für Datenräume entstehen soll.

Für die Verwaltungsdigitalisierung in Deutschland ist er nicht optional.

Was der Data Governance Act konkret verlangt

Der DGA schafft drei neue Kategorien.

Erstens: Vorgaben für das Teilen geschützter öffentlicher Daten. Verwaltungen, die Daten halten, die nicht vollständig öffentlich sind, weil sie personenbezogene Daten, Geschäftsgeheimnisse oder urheberrechtlich geschütztes Material enthalten, müssen unter dem DGA definieren, unter welchen Bedingungen diese Daten für Forschung, Innovation oder öffentliches Interesse genutzt werden können. Das ist eine neue operative Aufgabe für Datenschutzbeauftragte und IT-Verantwortliche.

Zweitens: Ein Zulassungsrahmen für Datenmittler. Organisationen, die als Plattform für das Teilen von Daten zwischen Unternehmen oder Bürger:innen und Unternehmen fungieren, werden reguliert. Für öffentliche Verwaltungen ist das relevant, weil einige Behörden de facto als Datenvermittler fungieren, ohne diesen Status bisher rechtlich geklärt zu haben.

Drittens: Ein Rahmen für Datenaltruismus. Organisationen, die freiwillig Daten für Gemeinwohl-Zwecke bereitstellen, können sich als „anerkannte Datenaltruismusorganisation" zertifizieren lassen. Das ist für Forschungsinstitutionen interessant.

Was Verwaltungen jetzt tun sollten: Inventarisieren. Welche Daten halten sie? Welche davon fallen unter den DGA? Welche Prozesse brauchen sie, um Datenanfragen unter dem DGA-Rahmen zu bearbeiten? Diese Inventur ist keine einmalige Aufgabe, sondern der Beginn eines Datenmanagementsystems.

Was das mit der Registermodernisierung zu tun hat

Der DGA und die Registermodernisierung lösen dasselbe Problem von zwei Seiten. Der DGA regelt, wie Daten geteilt werden. Die Registermodernisierung soll sicherstellen, dass die richtigen Daten in den richtigen Registern liegen und technisch abrufbar sind.

Once-Only, das Prinzip, dass Bürger:innen Daten nur einmal einreichen müssen, funktioniert nur, wenn die Register, die diese Daten halten, miteinander kommunizieren können. Der DGA schafft den europäischen Rahmen dafür. Die Registermodernisierung schafft die nationale Infrastruktur.

Was Deutschland hier konkret tun muss: Die Umsetzung des DGA und die Registermodernisierung koordiniert behandeln, nicht als getrennte Projekte. Welche Register müssen bis wann welche Schnittstellen haben, damit Once-Only unter dem DGA-Rahmen tatsächlich funktioniert? Wer diese Frage nicht beantwortet, hat zwei Programme, die dasselbe Ziel beschreiben, ohne denselben Weg zu gehen.

Sechs Monate bis zur OZG-Deadline

Halbzeit. Der 31. Dezember 2022 ist sechs Monate entfernt. Die EfA-Dienste, die bis Jahresende live gehen sollen, müssen jetzt in finaler Entwicklung oder im Testbetrieb sein. Was noch nicht in Produktion ist, wird bis Dezember kaum noch fertig.

Was das bedeutet: Der Fokus für das zweite Halbjahr sollte weniger auf der Entwicklung neuer Dienste liegen als auf der Nachnutzung bestehender. Welche Länder haben welche EfA-Dienste noch nicht integriert? Was ist der konkrete Hinderungsgrund? Wo liegt er in Geld, wo in Kapazität, wo in politischem Willen?

Diese Fragen zu beantworten, ist anstrengend. Sie zu ignorieren, ist teurer.

Hat Sie das Thema interessiert?

Wenn Sie den Data Governance Act für Ihre Datenstrategie konkret einordnen wollen oder die OZG-Halbzeitbilanz für Ihre Planung brauchen: Über das Kontaktformular unten bin ich erreichbar.

Sieben Monate bis zur OZG-Frist. Was mit dem Rest passiert. – Mai 2022 im E-Government-Rückblick.

Tue, 31 May 2022 20:00:00 +0200

Sieben Monate bis zur OZG-Deadline. Der Fortschrittsmonitor des IT-Planungsrats zeigt, was läuft. Was er nicht zeigt: wie viele der geplanten Dienste bis zum 31. Dezember 2022 tatsächlich vollständig online sein werden. Die Zahl der produzierten EfA-Dienste wächst. Die Nachnutzungsquoten bei Kommunen sind heterogen. Die Rechenaufgabe ist schwierig.

Gleichzeitig arbeitet der EU-Rat weiter an seiner Position zum AI Act . Was in Brüssel verhandelt wird, betrifft jede Behörde, die KI-Systeme einsetzt oder beschaffen will.

OZG-Endspurt: Realismus statt Schönrechnung

Die Frage, ob Deutschland die OZG-Frist vollständig erfüllt, ist keine Fachfrage mehr. Sie ist politisch. Und die ehrlichere Antwort für Mai 2022 lautet: Nein, nicht vollständig.

Das ist keine Katastrophe, wenn die richtigen Lehren folgen. Was OZG 1.0 geleistet hat: Es hat Digitalisierungsthemen auf die politische Tagesordnung gesetzt. Es hat Koordinationsstrukturen aufgebaut, die vorher fehlten. Es hat EfA als Nachnutzungsmechanismus etabliert. Es hat gezeigt, welche Dienste mit überschaubarem Aufwand digital werden können.

Was es nicht gelöst hat: die Finanzierungsfrage für kommunale Digitalisierung, die Standardisierungsfrage bei heterogenen Fachverfahren, die Kapazitätsfrage bei kommunalen IT-Dienstleistern.

Der konstruktive Umgang mit dieser Bilanz ist ein OZG-Nachfolgerahmen, der aus den Erfahrungen lernt. Was die Koalition als OZG 2.0 plant, muss genau diese Lücken adressieren: verbindlichere Finanzierungsregelungen, klare Standardsetzungsrechte, und ein Rechtsanspruch, der Anreize für Länder und Kommunen schafft, die heute noch keine Digitalisierungspflicht spüren.

Der falsche Umgang wäre, die Deadline unverändert zu feiern, indem man die Zielgröße nachträglich anpasst.

EU AI Act: Was die Ratsverhandlungen für Beschaffung bedeuten

Der EU-Rat arbeitet an seiner gemeinsamen Position zum AI Act. Die Kommission hatte April 2021 ihren Vorschlag vorgelegt. Jetzt werden die Details verhandelt, die für die Umsetzung entscheidend sind: Wie wird Hochrisiko-KI definiert? Welche Ausnahmen gibt es für Strafverfolgungsbehörden? Wie werden Konformitätspflichten operationalisiert?

Für Verwaltungen, die KI-Systeme einsetzen oder planen, ist das nicht abstrakt. Systeme, die automatisiert Entscheidungen über Sozialleistungen, Bußgelder oder Antragsbearbeitungen unterstützen, werden wahrscheinlich in die Hochrisiko-Kategorien fallen. Was das bedeutet: Dokumentationspflichten, Transparenzanforderungen, menschliche Aufsichtspflichten.

Das ist kein Grund, KI-Einsatz zu stoppen. Es ist ein Grund, ihn von Anfang an so zu gestalten, dass er den wahrscheinlichen Anforderungen standhält. Wer heute ein KI-System beschafft, das diese Anforderungen nicht erfüllen kann, beschafft in zwei oder drei Jahren ein Nachbesserungsprojekt on top.

Der einfachste Schritt jetzt: KI-Beschaffungen um eine Risikoklassifikation ergänzen, die den AI-Act-Entwurf als Maßstab nimmt. Was hoch ist, wird hoch bleiben. Was niedrig ist, muss nicht rund um die Uhr überwacht werden.

FITKO und der föderale Koordinationsaufwand

Die FITKO (Föderale IT-Kooperation) koordiniert die föderale Umsetzungsarchitektur. Das ist kein kleiner Job. 16 Länder, Tausende Kommunen, hunderte Fachverfahren: Die Koordination allein ist ein Vollzeitprojekt.

Was FITKO zeigt: Ein zentraler Koordinationsknoten ist notwendig, weil der föderale Abstimmungsaufwand sonst in bilateralen Verhandlungen versickert. Was er nicht leisten kann: Entscheidungen treffen, die politische Einigungen erfordern. FITKO koordiniert, was politisch schon entschieden ist. Was noch nicht entschieden ist, bleibt im Koordinationsrückstau.

Der Hebel für die verbleibenden sieben Monate ist keine neue FITKO-Initiative, sondern klare politische Entscheidungen: Welche EfA-Dienste sind Pflicht für alle Länder? Mit welchem Mindeststandard? Wer diese Entscheidungen trifft, gibt FITKO das Mandat, sie umzusetzen.

Hat Sie das Thema interessiert?

Wenn Sie KI-Beschaffungen oder OZG-Planung für das zweite Halbjahr vorbereiten und dabei einen klaren Blick von außen suchen: Das Kontaktformular unten genügt.

EU-COVID-Zertifikat startet. Ein europäisches Digitalprojekt, das liefert. – Juni 2021 im E-Government-Rückblick.

Wed, 30 Jun 2021 20:00:00 +0200

Am 1. Juni 2021 startet das EU Digital COVID Certificate in einer Gruppe von Pilotstaaten. Ab 1. Juli ist es EU-weit gültig. Impfnachweis, Testnachweis, Genesungsnachweis in einem fälschungssicheren, interoperablen digitalen Format, das in allen 27 EU-Mitgliedstaaten erkannt wird.

Das ist ein europäisches Digitalprojekt, das liefert. Unter erheblichem Zeitdruck. Mit echten grenzüberschreitenden Interoperabilitätsanforderungen.

Was das EU-COVID-Zertifikat zeigt, das andere nicht zeigen

Das EU-COVID-Zertifikat ist in weniger als sechs Monaten von der politischen Entscheidung zur EU-weiten Einsatzfähigkeit gegangen. Das ist in europäischen Digitalprojekten ungewöhnlich. Was hat das ermöglicht?

Erstens: Ein gemeinsamer technischer Standard, der frühzeitig definiert und für alle verbindlich war. Das Technische Framework liegt als Open-Source-Spezifikation vor. Niemand musste eigene Lösungen finden, jeder implementierte denselben Standard.

Zweitens: Der politische Druck war extrem hoch und eindeutig: Das Sommer-Reisesaisonziel hat die Koalition zusammengehalten. Wenn das Ergebnis Monate nach dem Sommer fertig wäre, hätte es niemanden geholfen. Das klingt banal, ist aber entscheidend: klares Ziel, klarer Zeitpunkt, klarer Nutzen.

Drittens: Dezentrale Implementierung, zentraler Standard. Jeder Mitgliedstaat hat sein eigenes Backend, seine eigenen Ausstellungsregeln, seine eigene App. Was zentral ist: das Vertrauensmodell und die kryptographische Signaturprüfung. Interoperabilität entsteht nicht durch Zentralisierung aller Daten, sondern durch gemeinsame Standards.

Das ist das Muster, das auf OZG übertragbar ist. Nicht zentralisierte Lösungen, sondern gemeinsame Standards, dezentrale Implementierung. EfA ist dieses Muster für Deutschland. Das EU-COVID-Zertifikat ist es für Europa.

Was das für eIDAS 2.0 bedeutet

Parallel hat die EU-Kommission im Juni ihren Vorschlag für eIDAS 2.0 vorgelegt. Das European Digital Identity Wallet soll eine EU-weite digitale Identität schaffen: eine App auf dem Smartphone, in der Personalausweis, Führerschein und andere Credentials sicher gespeichert werden.

Das klingt nach einem bekannten Ziel. Was es neu macht: Die EU-Wallet soll von jedem Mitgliedstaat akzeptiert werden müssen, und nicht nur für Verwaltungsleistungen, sondern auch für private Dienste.

Für Deutschland bedeutet das: Die BundID , die gerade als zentrale digitale Identität aufgebaut wird, muss in einen europäischen Kontext eingebettet werden. Was technisch als BundID gebaut wird, sollte eIDAS-2.0-kompatibel sein. Sonst entsteht eine nationale Lösung, die in drei bis fünf Jahren gegen eine europäische ausgetauscht werden muss.

Was die Lücke zur deutschen Umsetzung zeigt

Das EU-COVID-Zertifikat hat gezeigt, was geht, wenn Druck hoch und Ziel klar ist. Die deutsche OZG-Umsetzung läuft unter anderem Druck: 575 Leistungen, 16 Länder, tausende Kommunen, kein einheitliches Zeitdruckgefühl auf allen Ebenen.

Was sich übertragen lässt: der Standard-first-Ansatz. Wer zuerst einen gemeinsamen interoperablen Standard definiert und dann implementieren lässt, bekommt interoperable Ergebnisse. Wer implementieren lässt und danach Interoperabilität versucht herzustellen, bekommt 16 technisch unterschiedliche Lösungen, die nicht zusammenpassen.

Für die OZG-Restlaufzeit bis Ende 2022 ist dieser Schritt noch möglich. Aber er erfordert Entscheidungen heute, nicht in sechs Monaten.

Hat Sie das Thema interessiert?

Wenn Sie das EU-COVID-Zertifikat als Blaupause für Ihre eigene Digitalisierungsstrategie verstehen wollen: Über das Kontaktformular unten bin ich erreichbar.

EU legt KI-Gesetz vor. Was öffentliche Verwaltungen jetzt wissen müssen. – April 2021 im E-Government-Rückblick.

Fri, 30 Apr 2021 20:00:00 +0200

Am 21. April veröffentlicht die EU-Kommission ihren Vorschlag für den AI Act . Erstmals soll der Einsatz von KI-Systemen in der EU reguliert werden, mit einem risikobasierten Ansatz: Verbotene Anwendungen, Hochrisiko-Anwendungen mit Pflichten, und alles andere ohne besondere Regulierung.

Für die öffentliche Verwaltung ist dieser Vorschlag nicht Zukunftsmusik. Viele Systeme, die Behörden heute einsetzen oder planen, fallen in die Hochrisiko-Kategorien.

Was im AI-Act-Entwurf steht

Der Kommissionsvorschlag unterscheidet vier Risikostufen.

Verboten sind KI-Systeme, die Grundrechte unterhöhlen: soziales Scoring durch Behörden, subliminale Manipulation, biometrische Massenüberwachung im öffentlichen Raum. Das sind klare Grenzen, die in der EU-Rechtsordnung ohnehin kaum anders denkbar wären.

Hochrisiko sind Systeme in explizit genannten Sektoren: Biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, Sozialleistungen, Strafverfolgung, Migration, Rechtsprechung. Was das für Behörden bedeutet: Systeme, die in diesen Bereichen Entscheidungen unterstützen, also Bearbeitungsalgorithmen für Sozialleistungen, automatisierte Dokumentenprüfung, Priorisierungssysteme bei Anträgen, werden mit erheblichen Compliance-Anforderungen belegt.

Konkret: Technische Robustheit, Transparenz, menschliche Aufsicht, Dokumentation, Konformitätsbewertung vor Inbetriebnahme, Registrierung in einer EU-Datenbank.

Was das heute für Beschaffungen bedeutet: Wer jetzt KI-Systeme in Hochrisiko-Bereichen beschafft, die den AI-Act-Anforderungen nicht genügen werden, beschafft in zwei bis drei Jahren ein Nachbesserungsprojekt. Der Vorschlag wird noch verhandelt, die Richtung steht.

Wie man jetzt klug reagiert

Die falsche Reaktion: Alle KI-Projekte stoppen, bis der AI Act endgültig ist.

Die richtige Reaktion: Bestehende und geplante KI-Systeme klassifizieren. Welche fallen wahrscheinlich in die Hochrisiko-Kategorie? Welche nicht? Für die Hochrisiko-Kandidaten prüfen: Erfüllen sie schon heute die wahrscheinlichen Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht?

Viele gute KI-Systeme tun das bereits, weil es handwerklich sauber ist, nicht weil es vorgeschrieben ist. Wer darauf setzt, ist risikoarm. Wer auf proprietäre Black-Box-Systeme setzt, die keine Erklärbarkeit bieten, kauft unter Rechtsrahmenvorbehalt.

Was öffentliche Beschaffungen heute anders machen können: KI-Anforderungen in Leistungsbeschreibungen aufnehmen, die an den wahrscheinlichen AI-Act-Anforderungen orientiert sind. Keine Zertifizierungspflicht, die es noch nicht gibt. Aber Anforderungen an Transparenz, Dokumentation und Aufsichtsmöglichkeiten, die jedes gute System erfüllt.

Warum der Zeitplan wichtig ist

Der AI Act ist ein Kommissionsvorschlag. Jetzt beginnen die Verhandlungen zwischen Rat und Parlament, gefolgt vom Trilog. Das dauert Jahre. Frühestes Inkrafttreten: 2023 oder 2024. Anwendung für Hochrisiko-Systeme: mit Übergangsfrist.

Wer heute beschafft, hat Zeit. Zu wenig, um nichts zu tun. Genug, um es richtig anzufangen.

Die wichtigste Frage für Behörden, die KI einsetzen oder planen: Hat das System, das wir kaufen, eine nachvollziehbare Entscheidungslogik, und kann ein Mensch jederzeit eingreifen? Wenn ja, steht es auf sicherem Boden. Wenn nein, sollte die Beschaffung neu bewertet werden, unabhängig davon, was der AI Act am Ende genau vorschreibt.

Hat Sie das Thema interessiert?

Wenn Sie KI-Beschaffungen in Ihrer Behörde vorbereiten und dabei einen strukturierten Blick auf den AI-Act-Rahmen suchen: Eine Nachricht über das Kontaktformular genügt.

Registermodernisierung beschlossen. Jetzt kommt der schwierige Teil. – März 2021 im E-Government-Rückblick.

Wed, 31 Mar 2021 20:00:00 +0200

Der Bundestag verabschiedet das Registermodernisierungsgesetz . Das Gesetz führt die Steuer-ID als sektorübergreifende Personenkennziffer ein, mit der Verwaltungsregister künftig Daten untereinander austauschen können. Das ist die rechtliche Grundlage für Once-Only: Bürger:innen sollen Daten nur einmal einreichen müssen, danach holt die Verwaltung sie sich selbst.

Zeitgleich veröffentlicht die EU-Kommission den Digital Compass 2030 . Ambitionierte Ziele für ein digitales Europa bis 2030: 80 Prozent der Bevölkerung mit digitalen Grundkenntnissen, vollständig digitale öffentliche Dienste, sichere und nachhaltige digitale Infrastruktur.

Beides zusammen beschreibt, wo Deutschland hinmuss. Die Lücke zwischen gesetzlichem Rahmen und Verwaltungsrealität ist der Ort, an dem 2021 die eigentliche Arbeit liegt.

Was das Registermodernisierungsgesetz bringt und was es nicht löst

Das Gesetz ist ein Meilenstein. Nicht weil es Once-Only sofort liefert, sondern weil es den rechtlichen Rahmen schafft, ohne den Once-Only nicht möglich ist.

Die Kernfrage war die Datenschutzkontroverse. Die Steuer-ID ist eine einheitliche Kennung, die über Registergrenzen hinweg genutzt werden kann. Kritiker:innen, darunter der Bundesbeauftragte für den Datenschutz, haben gewarnt: Eine zentrale Kennung, die alle Lebensbereiche verknüpft, schafft Risiken für Profilbildung und staatliche Überwachung. Diesen Einwänden begegnet das Gesetz mit technischen Schutzmaßnahmen: Die Steuer-ID wird nicht direkt übermittelt, sondern für jeden Registerkontext in eine spezifische Kennung umgerechnet. Bereichsspezifische Kennzeichen statt universeller Profilnummer.

Das ist der richtige Kompromiss. Kein Once-Only ohne Registerverbindung. Keine Registerverbindung ohne datenschutzkonforme Kennung.

Was das Gesetz nicht löst: die operative Komplexität. Deutschland hat über 200 relevante Verwaltungsregister. Jedes hat seine eigene Geschichte, seine eigene Datenstruktur, seinen eigenen Betreiber. Sie alle an einen gemeinsamen Datenaustausch anzuschließen, ist keine Gesetzgebungsaufgabe. Es ist ein Jahrzehntprojekt.

Was 2021 konkret passieren muss: Eine Prioritätenliste. Welche Register sind für die häufigsten Verwaltungsleistungen zwingend notwendig? Diese zuerst. Wer alle 200 Register gleichzeitig reformieren will, reformiert keinen.

Was der EU Digital Compass für Deutschland bedeutet

Der Digital Compass 2030 setzt vier Säulen: Menschen (digitale Kompetenzen), sichere und nachhaltige digitale Infrastruktur, Digitalisierung von Unternehmen und Digitalisierung öffentlicher Dienste.

Für die öffentliche Verwaltung ist der Compass kein Gesetz, sondern ein politisches Zielbild. Er gibt Orientierung, aber keine Finanzierung. Was er schafft: einen europäischen Vergleichsrahmen. Deutschland kann sich daran messen lassen, was bei Estland, Dänemark oder den Niederlanden bereits funktioniert.

Was der Compass auch zeigt: Digitale Infrastruktur und digitale Kompetenzen gehen zusammen. Die besten Verwaltungsportale helfen wenig, wenn ein erheblicher Teil der Bevölkerung sie nicht nutzen kann. Digitale Inklusion ist keine Begleitmaßnahme, sondern eine Voraussetzung für den Nutzen der Investitionen.

Was die nächsten Schritte beim Registermodernisierungsgesetz sind

Das Gesetz ist verabschiedet. Was jetzt folgt, ist die operative Umsetzung: Pilotregister identifizieren, Schnittstellen definieren, Betreiber einbinden. Das NOOTS-System (Nationales Once-Only Technical System) ist das technische Rückgrat dafür.

Der kritische Pfad läuft über die Fachverfahrensanbieter. Jedes Register hat einen Betreiber, oft ein privatwirtschaftliches Unternehmen, das das Fachverfahren entwickelt hat und betreibt. Diese Betreiber müssen Schnittstellen öffnen und NOOTS-kompatibel werden. Ohne sie kommt keine Registermodernisierung in die Praxis.

Wer diese Anbieter nicht frühzeitig einbindet und ihre Einwände ernst nimmt, baut einen Rechtsrahmen ohne Umsetzungspartner.

Hat Sie das Thema interessiert?

Wenn Registermodernisierung oder Once-Only in Ihrer Behörde oder Ihren Projekten gerade ein Thema ist: Ich freue mich über Ihre Nachricht über das Kontaktformular unten.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.

Konjunkturpaket, Corona-Warn-App, GAIA-X. Ein Monat, drei Weichenstellungen. – Juni 2020 im E-Government-Rückblick.

Tue, 30 Jun 2020 20:00:00 +0200

Juni 2020 bringt drei Nachrichten, die alle auf dasselbe Thema einzahlen: Digitale Souveränität als praktische Politik.

Am 3. Juni beschließt die Bundesregierung ein Konjunkturpaket von 130 Milliarden Euro. Darin: drei Milliarden Euro für die Digitalisierung der öffentlichen Verwaltung, für OZG. Am 16. Juni startet die Corona-Warn-App als quelloffenes Projekt auf GitHub, entwickelt von SAP und Deutsche Telekom im Auftrag des Bundes. Am 4. Juni kündigen Frankreich und Deutschland gemeinsam GAIA-X als europäisches Cloud-Infrastrukturprojekt an.

Drei Milliarden Euro OZG-Budget. Eine Open-Source-App mit Millionen Downloads. Eine europäische Cloud-Vision.

Was das Konjunkturpaket für OZG ändert

Die drei Milliarden Euro für die Verwaltungsdigitalisierung sind das größte Digitalisierungs-Sonderbudget, das das OZG-Programm je hatte. Was das bedeutet: Finanzierungsengpässe, die bisher als Argument gegen schnellere Umsetzung dienten, sind für eine Weile kein Argument mehr.

Was es nicht ändert: die Kapazitätsfrage. Drei Milliarden Euro können nur dann zu Diensten werden, wenn Länder und Kommunen die Kapazität haben, sie einzusetzen. Was nützt ein Budget, wenn die IT-Dienstleister, die die Arbeit leisten müssten, bereits ausgelastet sind?

Die sinnvolle Verwendung des OZG-Sonderbudgets ist deshalb nicht nur Entwicklung neuer Dienste, sondern Kapazitätsaufbau: Stellen für kommunale IT, Schulungsprogramme für Nachnutzung, Betriebsfinanzierung für Komponenten wie BundID und Servicekonten. Wer drei Milliarden Euro vollständig in Neuentwicklung steckt, kauft Produkte ohne Betrieb.

Was die Corona-Warn-App zeigt

Die Corona-Warn-App ist am 16. Juni auf GitHub öffentlich. Das ist eine Premiere: Eine vom Bund finanzierte App mit offenem Quellcode, von Anfang an. Nicht als nachträgliche Transparenzgeste, sondern als Designentscheidung.

Was das Modell zeigt: Open-Source-Veröffentlichung öffentlich finanzierter Software ist technisch und rechtlich möglich. Es erfordert Willen, keine Gesetzesänderung. Die Sicherheitsreview durch die Community findet statt. Fehler werden schneller gefunden und gemeldet als bei geschlossenem Code.

Was das für den Rest des OZG-Programms bedeutet: Wer die Corona-Warn-App als Referenz nutzt, muss erklären, warum EfA-Dienste keinen offenen Quellcode haben. Das ist eine berechtigt unangenehme Frage.

Was GAIA-X leisten kann und was nicht

GAIA-X ist eine europäische Initiative, die Regeln für einen souveränen europäischen Datenraum definieren soll. Kein einzelnes Rechenzentrum, kein nationaler Cloud-Anbieter, sondern ein Rahmen, in dem interoperable, GDPR-konforme Cloud-Dienste entstehen können.

Was das für öffentliche Verwaltungen bedeutet: GAIA-X gibt langfristig Orientierung. Kurzfristig hilft es wenig. Wer heute eine Alternative zu AWS braucht, findet in GAIA-X kein Betriebsmodell, sondern eine Spezifikation.

Was es dennoch wert ist: GAIA-X schafft eine gemeinsame europäische Sprache für digitale Souveränität. Das ist die Voraussetzung für koordinierte Beschaffungsentscheidungen, die heute noch bilateral ausgehandelt werden.

Hat Sie das Thema interessiert?

Wenn das Konjunkturpaket für Ihre OZG-Projekte Spielraum eröffnet oder Open Source als Beschaffungsstrategie für Sie ein Thema wird: Das Kontaktformular unten ist der direkteste Weg.