Schwacher Staat im Netz
Digitalisierung stellt den Staat in Frage
Martin Schallbruch forscht seit 2016 am Digital Society Institute der ESMT Berlin. Davor leitete er die Abteilung IT, Digitale Gesellschaft und Cybersicherheit im Innenministerium.
- Deutschland braucht dringend digitale Infrastrukturen für die erfolgreiche Digitalisierung des Landes – auch über Breitbandnetze hinaus
- Der paternalistische Datenschutz-Gesetzgeber wiegt die Menschen in Sicherheit und verleitet sie geradezu, mit ihren Daten zu sorglos umzugehen.
- Die Schwäche des Staates bei der Verantwortungsverteilung trifft Unternehmen mindestens so hart wie Endkunden.
- Vier Punkte, mit denen die Schwächen des Staates überwunden werden können.
In diesen Tagen sind die elektronischen Postfächer voller als sonst. Die Datenschutzgrundverordnung entfaltet ihre Wirkung und zwingt Unternehmen, all ihren Kunden, Interessenten und Geschäftspartnern Einwilligungserklärungen abzuverlangen. Nach zehn Jahren Vorarbeit hat die Politik einen wichtigen Bereich der DigitalisierungDigitalisierung erfolgreich geordnet: den DatenschutzDatenschutz. Doch stimmt das eigentlich? Löst die Datenschutzgrundverordnung die Probleme, die sich aus massenhaften Datensammlungen internationaler Plattformen ergeben? Können wir, und stellvertretend für uns die Datenschutzbeauftragten, zukünftig durchschauen, beurteilen, steuern, wer wann was mit unseren persönlichen Daten macht? Alles zu Datenschutz auf CIO.de Alles zu Digitalisierung auf CIO.de
Überregulierter Datenschutz
In meinem Buch "Schwacher Staat im Netz. Wie die Digitalisierung den Staat in Frage stellt" habe ich das an einem Beispiel untersucht. Wahrscheinlich führen auch Sie Ihr Bankkonto bereits auf dem Smartphone. Sicherlich haben Sie eine dieser praktischen Apps im Einsatz, mit denen Sie an einer Stelle den Zugriff auf Ihre verschiedenen Konten und Depots haben.
Dort hinterlegen Sie Ihre Bankverbindungen und erlauben den Zugriff auf das Online-Banking. Die App nimmt Ihnen alles Weitere ab, fragt Giro-, Spar- und Kreditkartenkonten, Wertpapierdepots und den Kontostand verschiedener Bonuskarten ab. Das Resultat wird übersichtlich und tagesaktuell angezeigt. Selbstverständlich sind mit solchen Apps auch Bankgeschäfte möglich.
Wie ist das mit dem Datenschutz bei einer solchen App? Am Beispiel eines Markführers habe ich die Arbeit der App Schritt für Schritt datenschutzrechtlich geprüft. Dabei stellt man vor allem eines fest: eine vollständige Beschreibung aller Datenverarbeitungsvorgänge, beteiligten Einrichtungen, rechtlicher Regelungen ist nicht mehr möglich.
App-Hersteller, Bank, Smartphone-Hersteller, Mobilfunkanbieter, iOS-/Android-Systemverantwortliche - sie alle hantieren bei Nutzung der App mit Ihren persönlichen Daten, unterliegen unterschiedlichen Datenschutzregelungen und Aufsichtsbehörden, haben eigene Richtlinien, haben Einwilligungen eingeholt oder auch nicht. Beschreibbar ist das kaum noch, nachvollziehbar ist es für Endkunden überhaupt nicht mehr.
Mein Fazit: Während das Datenschutzrecht explodiert ist, hat der Datenschutz gelitten. Der kleinteilige Ansatz des Datenschutzrechts verpufft in der Praxis weitgehend und vermag es nicht mehr, die Bürgerinnen und Bürger wirksam, nachvollziehbar und transparent vor den eigentlichen Unbillen der Datenverarbeitung zu schützen. Im Gegenteil: Der paternalistische Datenschutz-Gesetzgeber wiegt die Menschen in Sicherheit und verleitet sie geradezu, mit ihren Daten zu sorglos umzugehen.
Vom Staat kommt wenig Hilfe
Der Datenschutz ist ein besonders prominentes Beispiel für die grundlegenden Probleme des Staates beim Umgang mit der Digitalisierung. Ein anderes ist die Sicherheit unseres digitalen Alltagslebens: Haben Sie schon einmal durchgezählt, wieviel digitale Geräte in Ihrem Haushalt mit dem WLANWLAN verbunden sind? Sind Sie sicher, dass Sie keinen E-Book-Reader, kein Heizungsthermostat und keine digital steuerbare Glühbirne vergessen haben? Mehr als 20 digitale Geräte im lokalen Netz sind bei einer Durchschnittsfamilie keine Seltenheit. Alles zu WLAN auf CIO.de
Eine zweite Frage: wissen Sie, wo Ihre Daten gespeichert sind? Also Ihre Texte, Fotos, Musik, Videos? Welche Cloud-Dienste nutzen sie? Oder noch wichtiger: welche nutzen Sie nicht mehr, haben dort aber noch Daten liegen? Eine letzte Frage: haben Sie eine Übersicht, welche Nutzerkonten Sie im Internet eingerichtet haben? Also wie viele Login-Kennungen bei Händlern, Zeitschriften, Vereinen, Spieleanbietern, Verkehrsunternehmen oder Reiseplattformen? Schon 2015 hatten Internet-Nutzer bereits durchschnittlich 90 verschiedene Accounts, im Jahr 2020 sollen es über 200 Accounts sein.
Jeder Internet-Nutzer nennt mittlerweile eine Vielzahl von Geräten, Programmen, Internet-Diensten und Nutzerkonten "sein Eigen", ohne noch den Überblick zu haben. Jedes dieser Programme hat Schwachstellen, jedes der Geräte ist angreifbar. Regelmäßige Wartung, Updates und Patches, Aktualisierung von Sicherheitseinstellung, Reaktion auf bekannt gewordene Angriffe: all das liegt in der Verantwortung von Ihnen.
Jede Einzelne, jeder Einzelne muss sich selbst um die Sicherheit seines vernetzten digitalen Hausrats kümmern. Und ist dazu kaum in der Lage. Vom Staat kommt hier wenig Hilfe. Politik und Recht haben es bislang nicht vermocht, eine einfache Verantwortungsverteilung bei der IT-Sicherheit vorzunehmen, die die einzelnen Bürgerinnen und Bürger nicht überfordert, die Hersteller von Hardware und Software stärker in die Pflicht nimmt, auch die besondere Verantwortung der Provider gegenüber ihren Kunden abbildet.
Verschwommene Verantwortung im digitalen Raum
Datenschutzrecht und Sicherheit des vernetzten Haushalts zeigen einen Aspekt des "Schwachen Staats im Netz" auf: die verschwommene Verantwortung im digitalen Raum. Politik und Verwaltung haben hierfür bislang keinen adäquaten Lösungsansatz gefunden. Überkomplexe Rechtssetzung wie beim Datenschutz sind ebenso untauglich wie der Verzicht auf Verantwortungszuweisung wie bei der IT-Sicherheit. Mit der Diskussion um automatisierte Entscheidungen, den Einsatz von maschinellem Lernen in allen Gesellschaftsbereichen zieht das nächste Feld der Digitalisierung auf, bei dem die Politik um Lösungen ringt.
Die Schwäche des Staates bei der Verantwortungsverteilung trifft die Unternehmen mindestens so hart wie die Endkunden. Im Datenschutzrecht explodieren die Compliance-Aufwände, jede Änderung von Geschäftsmodellen und Prozessen erfordert hohen Aufwand bei der datenschutzrechtlichen Dokumentation, bei Informations- und Einwilligungspflichten. Bei der IT-Sicherheit ist es umgekehrt, zum Beispiel beim Einsatz von IoT-Devices. Fehlende Mindestsicherheitsanforderungen an solche Geräte und ständig neue Schwachstellen erschweren ihren Einsatz gerade im mittelständischen Bereich.
Während der Staat sich mit der Zuweisung von Verantwortung im digitalen Raum schwertut, hat er zugleich Schwierigkeiten mit der Wahrnehmung der eigenen digitalen Verantwortung. Die mäßigen Fortschritte bei der Digitalisierung des Behördenhandelns sind allgemein bekannt. Hinzu kommt nun aber eine neue Herausforderung: mit der Digitalisierung aller relevanten Lebensbereiche, vom Gesundheitswesen bis zur Energieversorgung, vom Verkehr bis zur Kultur wird vom Staat weit mehr abverlangt als digitale Behördendienste.
Digitaler Versorgungsauftrag
Doch unser Gemeinwesen ist bereits ins Hintertreffen geraten: Gesundheits-Apps sind weiter verbreitet als digitale Angebote unseres Gesundheitswesens, GoogleGoogle hat mehr Bücher digitalisiert als alle deutschen Bibliotheken, Nahverkehrsfahrpläne sind leichter über globale Plattformen zu finden als über die örtlichen Busbetriebe. Alles zu Google auf CIO.de
Große Plattformen machen dem Staat in vielen Bereichen öffentlicher Daseinsversorge Konkurrenz. Das bringt die Digitalisierung voran, das birgt aber auch eine Gefahr für unser Gemeinwesen. Denn die Steuerung der privaten Anbieter liegt nicht mehr in der Hand von Parlamenten und Regierungen. Verkehrs-, Energie-, Gesundheits-, Bildungs- und andere Basisinfrastrukturen entziehen sich mehr und mehr einer öffentlichen Steuerung und Kontrolle, Einzelangebote ersetzen Infrastrukturplanung.
Dabei benötigen wir dringend digitale Infrastrukturen für die erfolgreiche Digitalisierung unseres Landes - auch über Breitbandnetze hinaus: Politik und Verwaltung müssen den Versorgungsauftrag des Staates im digitalen Raum umfassend definieren und digitale Infrastrukturplanung betreiben. Ob es das digitale Spiegelbild unserer Verkehrsinfrastruktur ist - von Verkehrsampeln bis zu Busfahrplänen - oder der digitale Zugang zum Gesundheitswesen, zu Patientenakten und forschungsrelevanten Daten, oder ob es die Digitalisierung der Bibliotheken oder die digitale Zukunft des öffentlich-rechtlichen Rundfunks ist: digitale Transformation des Staates ist mehr als die IT der Behörden.
Digitale Handlungsfähigkeit erringen
Digitale Handlungs- und Zukunftsfähigkeit unseres Staates, die Überwindung der digitalen Schwäche ist eine komplizierte und langwierige Aufgabe. An vielen weiteren Beispiel untersuche ich in meinem Buch die Ursachen für die Schwäche des Staates im digitalen Raum und arbeite vier Ansatzpunkte heraus, die Schwäche zu überwinden:
1. Erstens brauchen wir ein neues, weniger detailversessenes Digitalrecht, einen gut durchdachten großen Wurf, eine Art BGB für den digitalen Raum. Dort sollten Grundregeln der Verantwortung im digitalen Raum festgelegt sein, etwa eine Mindestverpflichtung auf Sicherheit für Hersteller vernetzter Geräte.
2. Wir brauchen zweitens eine Veränderung in der Aufgabenzuweisung unserer staatlichen Ebenen - Bund und Länder müssen sich aus der Verklammerung befreien, ihre digitalen Aufgaben klarer abgrenzen und selbständiger wahrnehmen. Eine höhere Geschwindigkeit des Staates bei der Digitalisierung können wir nur erreichen, wenn die einzelnen Einrichtungen selbständig handeln können und sich nicht bei jedem Schritt abstimmen müssen.
- Denis Alt, CIO von Rheinland-Pfalz
Denis Alt ist neuer Staatssekretär im rheinland-pfälzischen Ministerium für Arbeit, Soziales, Transformation und Digitalisierung. Der bisherige IT-Chef des Landes, Feodor Ruhose, wird Chef der Staatskanzlei. - Markus Richter, Bundes-CIO
BAMF-Vizepräsident Markus Richter ist Bundes-CIO. Er löste Klaus Vitt ab, der Ende April 2020 in den Ruhestand ging. - Christian Pfromm, CDO von Hamburg
Christian Pfromm ist seit Januar 2018 neuer CDO der Stadt Hamburg Sein genauer Titel lautet: "Chief Digital Officer / Leiter des Amtes für IT und Digitalisierung". Der CDO berichtet an den 1. Bürgermeister der Stadt Hamburg und an den Chef der Senatskanzlei. Zuvor war Pfromm von Juni 2011 bis Dezember 2017 Group CIO der BHF-Bank AG. CIO Jörn Riedel berichtet an ihn. - Bernd Schlömer, Landes-CIO von Sachsen-Anhalt
Bernd Schlömer ist seit Oktober 2021 CIO des Landes Sachsen-Anhalt. Er folgte auf Rüdiger Malter, der das Amt seit April 2020 innehatte. - Hartmut Schubert, CIO in Thüringen
Hartmut Schubert ist seit Dezember 2014 Staatssekretär im Thüringer Finanzministerium. Der Titel CIO kommt in der „Richtlinie für die Organisation des E-Government und des IT-Einsatzes in der Landesverwaltung des Freistaats Thüringen“ nicht vor. Dennoch erfüllt Schubert, der Beauftragte des Freistaats Thüringen für E-Government und IT, genau die Aufgaben und die Funktion des CIO. Mit dem Kabinettbeschluss der Richtlinie vom 7. Juli 2015 erhält Thüringen deshalb als letztes Bundesland einen Landes-CIO. - Thomas Popp, Staatssekretär für Digitale Verwaltung und Verwaltungsmodernisierung als Mitglied der Sächsischen Staatsregierung (CIO)
Im Januar 2020 ernannte Sachsens Ministerpräsident Michael Kretschmer (CDU) CIO Thomas Popp zum Staatssekretär für Digitale Verwaltung und Verwaltungsmodernisierung als Mitglied der Staatsregierung (CIO). Popp war bisher Landes-CIO in Sachsen. - Ina-Maria Ulbrich, Staatsekretärin, Mecklenburg-Vorpommern
Ina-Maria Ulbrich ist seit November 2016 Staatsekretärin im neu geschaffenen Ministerium für Energie, Infrastruktur und Digitalisierung Mecklenburg-Vorpommern. Aus "Landesentwicklung" wurde nun "Digitalisierung". Die Juristin wurde 2002 Regierungsrätin und Referentin im Umweltministerium, beim Landkreis Ostvorpommern und im Wirtschaftsministerium. Von 2006 bis 2008 leitete sie das Büros des Ministers für Verkehr, Bau und Landesentwicklung, von 2008 bis 2011 war Ulbrich Leiterin des Büros des Ministerpräsidenten. Ulbrich vertritt das Land auch im IT-Planungsrat. - Ralf Stettner, CIO in Hessen
Ralf Stettner ist Chief Information Officer und Bevollmächtigter der Hessischen Landesregierung für E-Government und Informationstechnologie (CIO) und folgt damit Patrick Burghardt, der im Januar 2024 das Amt des Oberbürgermeisters von Rüsselsheim übernahm. Stettner hatte von Ende 2018 bis Anfang 2024 die Position des Chief Information Security Officers (CISO) in der hessischen Landesverwaltung inne und war Leiter der Abteilung Cyber- und IT-Sicherheit und Verwaltungsdigitalisierung im Hessischen Ministerium des Innern und für Sport. - Stefan Krebs, CIO in Baden-Württemberg
Seit dem 1. Juli 2015 leitet Stefan Krebs die IT-Geschicke des Landes Baden-Württemberg als Beauftragter der Landesregierung für Informationstechnologie (CIO/CDO). Der Diplom-Verwaltungswirt kennt sich mit Banken und IT-Sicherheit aus. Zu seinen ersten Aufgaben gehörte die Feinplanung für die schrittweise Bündelung der bisher dezentralen IT-Einheiten der Landesverwaltung. - Daniel Sieveke, CIO in Nordrhein-Westfalen
Nachdem Andreas Meyer-Falcke Ende 2023 in den Ruhestand ging, hat Nordrhein-Westfalen nun wieder einen IT-Verantwortlichen. Am 14. Mai 2024 entschied das Landeskabinett, die Funktion des Beauftragten der Landesregierung für Informationstechnik (CIO) an Daniel Sieveke zu übertragen. - Sven Thomsen, CIO von Schleswig-Holstein
Seit Mitte Juli 2013 lenkt Sven Thomsen als CIO des Landes Schleswig-Holstein die Geschicke des Zentralen IT-Management Schleswig-Holstein (ZIT-SH). Im ZIT-SH sind die Aufgaben der ressortübergreifenden IT- und Finanzensteuerung für alle Fragen der Informations- und Kommunikationstechnologie zentralisiert. Wie auch in Hamburg ist Sven Thomsen nicht Staatssekretär und gehört nicht dem IT-Planungsrat an. Im IT-Planungsrat wird Schleswig-Holstein durch Knud Büchmann, Beauftragter der Landesregierung Schleswig-Holstein für Zentrale IT-, Organisations- und Personalentwicklung vertreten. Seit Mitte 2017 ist Thomsen an das neue Ministerium für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung (MELUND) angedockt. - Elena Yorgova-Ramanauskas, CIO im Saarland
Elena Yorgova-Ramanauskas, ist seit Juni 2022 Chief Digital Officer (CIO) im Saarland. Seit 2022 ist sie Staatssekretärin im Ministerium für Wirtschaft, Innovation, Digitales und Energie. - Judith Gerlach, Staatsministerin für Digitales in Bayern
Die Landtagsabgeordnete und Rechtsanwältin Judith Gerlach (CSU) ist seit November 2018 Staatsministerin für Digitales in Bayern. Das Ministerium wurde neu geschaffen. Das neue Staatsministerium übernimmt die Grundsatzangelegenheiten und die Koordinierung der Digitalisierung Bayerns, die bisher bei der Staatskanzlei angesiedelt waren. Das Ministerium soll sich außerdem um die strategischen Fragen der digitalen Verwaltung kümmern. - Jörn Riedel, CIO von Hamburg
Seit 2008 hat Hamburg einen CIO. Den Posten hat seitdem Jörn Riedel inne. Angesiedelt ist er bei der Finanzbehörde der Hansestadt. Beim dortigen Amt für Organisation und Zentrale Dienste ist Riedel Abteilungsleiter für E-Government und IT-Steuerung. Anders als in anderen Bundesländern ist CIO Riedel nicht Staatssekretär - und gehört nicht dem IT-Planungsrat an. Hamburg vertritt in dem Bund-Länder-Gremium der Staatsrat der Finanzbehörde, Jens Lattmann. CIO Jörn Riedel verantwortet derzeit gleich mehrere übergreifende IT-Projekte in Hamburg. - Cornelius Everding, CPIO von Brandenburg
In Brandenburg fließen die Fäden in IT-Angelegenheiten nicht bei einem CIO zusammen sondern beim CPIO - dem Chief Process Innovation Officer. Mit dieser Bezeichnung soll die Orientierung an Prozessen betont werden, sagte gegenüber CIO.de Cornelius Everding, der das Amt seit seiner Schaffung im August 2008 innehat. Everding sieht sich nicht als alleine für IT zuständig an, sondern setzt auf einen Dreiklang: Mit dem CPIO kümmern sich um IT-Themen der zentrale IT-Dienstleister von Brandenburg und der sogenannte RIO-Ausschuss, die Runde der Ressort Information Officers. Aktuelles Thema ist das Forschungsprojekt "Stein-Hardenberg 2.0". Der Bund, Hamburg und Berlin, der öffentlich-rechtliche IT-Dienstleister Dataport und das Potsdamer Institut für E-Government bearbeiten die Frage, wie sich das Gemeinwesen mit modernen Werkzeugen organisieren lässt. Den CPIO hat Brandenburg beim Innenministerium angesiedelt. Amtsinhaber Everding ist nicht Staatssekretär, weshalb er - wie Kollegen aus anderen Ländern - nicht im IT-Planungsrat sitzt. Dort spricht Innenstaatssekretär Rudolf Zeeb für das Bundesland. - Hans-Henning Lühr, Staatsrat im Bremer Finanzressort
In Bremen ist die CIO-Funktion beim Staatsrat des Finanzressorts angesiedelt, Hans-Henning Lühr. Ihm direkt zugeordnet ist die Stabsstelle "Zentrales IT-Management und E-Government", die von Martin Hagen geleitet wird. Ein aktuelles Projekt der Bremer IT ist der einheitliche "Verwaltungs-PC": Ziel ist eine Standardisierung und die Professionalisierung des IT-Supports über alle Dienststellen hinweg. Im IT-Planungsrat vertritt Lühr Bremen. - Horst Baier, CIO von Niedersachsen
Das Land Niedersachsen hat am 20. März 2020 Horst Baier zum IT-Bevollmächtigten ernannt. Formal agiert der 57-Jährige als IT-Bevollmächtigter und leitet die Stabsstelle "Informationstechnik der Landesverwaltung".
3. Wir brauchen drittens eine digitale Infrastrukturplanung, die weit über die Glasfasernetze hinausgeht und alle staatlich verantworteten Infrastrukturen umfasst, eine zukünftige digitale Architektur des Gesundheitswesens ebenso wie eine digitale Architektur im Bereich der Bildung: welche gemeinsamen Angebote gibt es aus der Cloud? Welche digitalen Identitäten werden genutzt? Für was sind die örtlichen Schulträger verantwortlich, für was die Länder?
4. Und schließlich brauchen wir, viertens, eine Neuorganisation der Digitalpolitik: all die genannten Fragen sind Querschnittsfragen. Es geht nicht um Wirtschafts- oder Rechts-, um Innen- oder Finanzpolitik. Für das Querschnittsthema Digitalpolitik aber sind unsere Institutionen noch nicht richtig aufgestellt. Dazu gehört die Organisation in den Regierungen des Bundes und der Länder.
Die neue Verantwortung des Bundeskanzleramtes ist ein erster Schritt, ein Ministerium für Digitales wird folgen müssen. Dazu gehört aber auch eine dauerhaftere und intensivere Zusammenarbeit von Staat und Wirtschaft bei der Ausgestaltung der Digitalisierung. Dafür braucht es keine neuen Initiativen, sondern eine Bündelung der zahlreichen vorhandenen Plattformen, Kommissionen und Arbeitskreise.
Martin Schallbruch hat das Entstehen der Netz- und Digitalpolitik in Deutschland in verantwortlichen Positionen innerhalb der Bundesregierung seit 1998 miterlebt und mitgestaltet, zuletzt als Leiter der Abteilung Informationstechnik, Digitale Gesellschaft und Cybersicherheit im Bundesministerium des Innern. Seit 2016 forscht er am Digital Society Institute der ESMT Berlin.