Meine 3. Kleine Anfrage zum Einsatz von KI im Bund ergab erstaunliche Ergebnisse: die Nutzung von KI steigt rasant, aber die nötigen Voraussetzungen dafür fehlen einfach weiter. Meine Kleine Anfrage stellt dazu wenigstens rudimentäre Transparenz und eine Vergleichbarkeit der Daten her. Die Analyse ist aufwändig, aber die Ergebnisse sind aufschlussreich.

Inhalt:

  1. TL;DR: Die wichtigsten Erkenntnisse
  2. Hintergrund (Relevanz, was bisher geschah, was die Bundesregierung versprach)
  3. Ausführliche Analyse der Antwort der Ampel auf meine Kleine Anfrage KI 2024
  4. Fazit und Forderungen aus linker Sicht

1. tl;dr: Die wichtigsten Erkenntnisse

  • Es gibt auch im 3. Jahr (!) in Folge keine Umsetzungsstrategie für den KI-Einsatz im Bund, inkl. Kompetenzaufbau sowie Unterstützungsstrukturen, insbesondere gibt es weiterhin keine Zentralstelle mit Überblick über die KI-Projekte des Bundes, die Folge u.a.: ineffiziente Doppelentwicklungen (z.B. 2 verschiedene KI-Vorhaben zur Fisch-Identifikation) und keine sinnvolle Koordinierung
  • Wichtige organisatorische Strukturen, wie das Beratungszentrum für Künstliche Intelligenz (BeKI) und die Algorithmenbewertungsstelle für Behörden und Organisationen mit Sicherheitsaufgaben (ABOS) sind weiterhin nur “in Planung” oder “im Aufbau” (seit Jahren), dies bedeutet bei stark steigendem Einsatz von KI jedoch steigende Risiken: die Schere zwischen Fähigkeiten und Einsatz geht auseinander
  • Keine Mindeststandards zur Nachhaltigkeit, Risikobewertung, Evaluation oder Kosten-Nutzen-Analyse, bei keinem der “NfD eingestuften” KI-Vorhaben von Sicherheitsbehörden hat eine Risikobewertung stattgefunden
  • Besonders kritisch: fehlende Standardprozesse zur Risiko- und Evaluationsbewertung von KI-Systemen in grundrechtssensiblen Bereichen (z.B. bei Sicherheitsbehörden) 
  • Mangelnde Transparenz: Geheimdienste sind eine vollkommene Blackbox, BMVg und Sicherheitsbehörden antworten eingestuft sowie unvollständig, das untergräbt Vertrauen in den Staat
  • Ein nationales KI-Register nach Vorgabe der KI-Verordnung der EU ist geplant, wann es kommt und wie es ausgestaltet wird, bleibt weiterhin offen.
  • Nachhaltigkeit wird zwar in Leitlinien und Strategien betont, spielt jedoch weder beim Einsatz von KI-Anwendungen im Bund noch bei der erheblichen Vergabe von Fördergeldern für KI-Vorhaben eine Rolle 
  • Die mehr als 220 KI-Anwendungen im Bund haben eine große thematische Bandbreite, von Texttools für mehr Effizienz bei Verwaltungsaufgaben bis hin zum digitalen Zwilling von Deutschland, darunter sind jedoch auch grundrechtssensible KI-Anwendungen z.B. vom BAMF oder BKA zur Analyse von Massendaten
  • Geld fließt reichlich, insgesamt stehen von 2023-2025 mehr als 2,5 Milliarden Euro für KI-Vorhaben aus Steuermitteln zur Verfügung.

2. Hintergrund

Der aktuell heißeste Hype ist (immer noch) Künstliche Intelligenz. Mit ihrer Hilfe sollen viele Probleme gelöst werden, selbst die, für die es gar keine technischen, sondern soziale Lösungen braucht. Geld spielt hier anders als bei Kindergrundsicherung oder Deutschlandticket keine Rolle. Bei Hype Themen lohnt jedoch immer ein gründlicher Blick, denn da besteht grundsätzlich das Risiko, dass Technologien ohne die notwendige Sorgfalt eingesetzt werden, überzogene Erwartungen damit verbunden und Risiken ausgeblendet werden. Deshalb habe ich zum 3. Mal in 3 Jahren den Bund gefragt, wofür und wie er KI einsetzt, aber auch wofür und wie er KI-Vorhaben finanziell fördert.

Wichtig: sinnvolle Balance zwischen Nutzen und Nachteilen

Die Risiken und Nebenwirkungen von KI-Systemen können hoch sein, z.B. wenn sie für Zwecke eingesetzt werden, für die sie nicht trainiert wurden oder wenn die Datenbasis zu diskriminierenden Ergebnissen führt. Nutzen und Nachteile können wie bei Medikamenten in ein Missverhältnis geraten, daher ist es wichtig, sowohl den erwarteten Nutzen als auch die möglichen Nachteile sachlich kompetent zu bewerten. Zu den Nachteilen gehören z.B. eventuelle Grundrechtsverletzungen aber auch ein hoher Ressourcenverbrauch.

Politisch haben sich mit dem Thema KI eine Enquete Kommission im Bundestag (Link), eine von der GroKo eingesetzte Datenethikkommission (Link), aber auch die EU mit der KI-Verordnung (AI-Act. Link) intensiv auseinandergesetzt, um die Risiken zu minimieren und den Einsatz von KI sicher und verantwortungsvoll auszugestalten. Beim Einsatz von KI durch staatliche Stellen müssen dabei besonders hohe Standards gelten.

Kleine Anfrage als Ausgleich für mangelnde Transparenz

Über den Einsatz von KI in der Bundesverwaltung gab und gibt es viel zu wenig Transparenz. Ein KI-Register wie in den Niederlanden gibt es in Deutschland nicht. Daher habe ich 2022 (Link), 2023 (Link) und nun erneut in 2024 (Link) eine Kleine Anfrage an die Bundesregierung gestellt, und damit sozusagen das erste KI-Transparenzregister des Bundes im PDF-Format geschaffen. Jede der Antworten der Bundesregierung war bisher lückenhaft, dennoch ist auch die diejährige Anfrage erneut die einzige Quelle, der man die KI-Nutzungen und Förderungen des Bundes gesammelt entnehmen kann. 

Aktuelle Versprechen der Bundesregierung zum Einsatz von KI

Regierungsvertreter:innen betonen häufig, z.B. in der Fortschreibung der KI-Strategie (Link), dass KI wertebasiert, gemeinwohlorientiert, transparent und nachvollziehbar sein soll, damit ihr Nutzen für die Allgemeinheit maximiert, Risiken verringert und insgesamt die Akzeptanz erhöht wird. Die KI-Strategie der GroKo (Link) versprach mehr Effizienz, Qualität und die Sicherheit von Verwaltungsdienstleistungen durch KI und eine Vorreiterrolle des Bundes dabei und die Digitalstrategie der Ampel (Link) versprach: “Wir setzen (…) auf Nachhaltigkeit by Design”. Nachhaltigkeit und KI gehören zusammen, deshalb habe ich gezielt in meiner KA danach gefragt.

Ein jüngeres 24-seitiges Papier des BMI (Mai 2024; Link) enthält Leitlinien für den Einsatz von KI, zu Governance, Standards, Nachhaltigkeit und Transparenz. So sollen z.B. “stets Kosten und Nutzen von Anwendungen gegenüber” gestellt werden, um “Nachhaltigkeit aus ökonomischer, ökologischer und organisatorischer Sicht” zu bewerten. Es werden “nachhaltiger Kompetenzaufbau und Energieeffizienz” angekündigt, sowie “Vermeidung von Doppelstrukturen und die effiziente Nachnutzung verfügbarer Infrastrukturen, Modelle und Anwendungen”. Außerdem wird “größtmögliche Transparenz” versprochen und standardisierte Prozesse, da geht es um die Nutzung von “Vorgehensmodellen für die KI-Implementierung sowie die Verankerung von Themen wie Risiko-, Qualitäts- und Anforderungsmanagement in KI-relevanten Prozessen”. Das klingt alles ziemlich gut, aber hat es mit der gelebten Praxis irgendetwas zu tun? Wir werden sehen…

3. Detailanalyse der Ampel-Antwort – Kleine Anfrage KI 2024

3.1 KI im Bund 2024 in Zahlen

Hinweise:

  • Die Analyse meiner Anfrage KI im Bund von 2022 gibt es HIER, für die Anfrage KI im Bund von 2023 gibt’s meine Pressemitteilung (Link).
  • Die Links zu sämtlichen Dokumenten, meiner Anfrage, der Antwort der Bundesregierung und all ihren Anlagen gibt’s am Ende dieses Beitrages

Was ist aus der Umsetzung der Versprechen von GroKo und Ampel-Regierung geworden? Wie hat sich überhaupt der Einsatz von KI beim Bund verändert? Das werde ich Euch nachfolgend auseinanderklamüsern.

Über 220 Mal setzt der Bund KI ein, plus hohe Dunkelziffer

Die Transparenz selbst der Anzahl vom Bund eingesetzter KI-Systeme ist mangelhaft, die angegebenen Zahlen sind unvollständig, lassen aber dennoch ein rasantes Wachstum eingesetzter KI-Systeme im Bund stark vermuten. Nach meiner Kleinen Anfrage KI im Bund von 2022 kritisierte der Bundesrechnungshof, dass die Bundesregierung etwa 60% der eingesetzten KI-Systeme nicht erwähnt hatte, obwohl das Grundgesetz Abgeordneten das Recht auf vollständige und umfassende Antworten einräumt (Link). In 2023 wurden nach meiner öffentlichen Kritik an der absoluten Geheimhaltung der KI-Systeme, die von Sicherheitsbehörden eingesetzt wurden, 24 dieser Anwendungen als Nachbericht nachgereicht (Link), mit monatelanger Verspätung und ohne mich darüber auch nur zu benachrichtigen.

In 2024 wurden 7 Anwendungen von Behörden mit Sicherheitsaufgaben nur eingestuft mitgeteilt, darunter das BKA (2), das ZITIS (3), das Bundespolizeipräsidium zur Unterstützung des Bundesamts für Verfassungsschutz (1) und das BMVg (1). Sämtliche KI- Anwendungen der Geheimdienste bleiben über alle Jahre hinweg völlig intransparent, ich erfahre sie nicht, weil das “das Staatswohl gefährden würde”. Zwei Ministerien melden überhaupt keine KI-Nutzung, die einzige KI-Nutzung im BMVg gab es nur in eingestufter Fassung – im Vergleich zum Vorjahr ist das unplausibel wenig.

Tabelle 1: Einsatz von KI Systemen im Bund steigt stark von 2023 zu 2024

Quelle: Antwort auf Fragen 1a-d, Anlage 1a)

Hinweis: KI-Anwendungen der Geheimdienste wurden wg. potenzieller “Staatswohlgefährdung” nicht mitgeteilt .

Fast 300 Mio Euro fließen in die Förderung von 277 KI-Forschungsvorhaben

Tabelle 2: Förderungen von KI-Forschung, Piloten, Reallaboren seit 01.01.2023

Quelle: Antwort auf Frage 6, Anlage 2, sowie NfD eingestufte Anlage (nicht öffentlich),

Hinweis: Enthält 2 Forschungsvorhaben des BMVg, die als NfD eingestuft und daher nicht in den veröffentlichten Anlagen enthalten sind, mit einem Gesamtfinanzvolumen von 13,64 Mio €. Ausgaben für Reallabore wurden nicht angegeben und werden daher mit 0€ angesetzt.

2,3 Mrd Euro für KI-Vorhaben zur Umsetzung der KI-Strategie bis 2025

Das Geld ist nicht knapp, wenn es um die Finanzierung von KI-Vorhaben geht. Der Bund stellt allein im Rahmen der Umsetzung der KI-Strategie 2,3 Milliarden Euro dafür bereit, der größte Teil soll in 2024 ausgegeben werden und 85% dieser 2,3 Milliarden entfallen auf nur 4 Ministerien: BMBF, BMG, BMWK und BMDV.

Tabelle 3: Finanzmittel für KI-Vorhaben aus dem Budget zur Umsetzung der KI-Strategie

Quelle: Antwort auf Frage 8, Anlage 3

Weitere 210 Mio Euro in 2023-25 zusätzlich zur Umsetzung der KI-Strategie

Tabelle 4: Finanzierung von KI-Vorhaben des Bundes außerhalb der KI-Strategie

Quelle: Antwort auf Frage 9, Anlage 3a

Mehr als 2,5 Mrd Euro Steuergeld innerhalb von 3 Jahren für KI!

Mehr als 2,5 Milliarden Euro gibt es also insgesamt für KI aus dem Budget für die Umsetzung der KI-Strategie sowie aus zusätzlichen Mitteln von 2023 bis 2025! Zum Vergleich: 2,23 Milliarden standen in 2024 für die gesamte humanitäre Hilfe zur Verfügung, mit 1,5 Milliarden bezuschusst der Bund das Deutschlandticket.

Tabelle 5: Alle Mittel für KI-Vorhaben mit Beteiligung des Bundes (Tabelle 2 und 3 addiert)

Quelle: Addition der Daten aus den Antworten auf Fragen 8 und 9, Anlagen 3 und 3a

Mehr als 84,2 Mio gibt es für den Einsatz der über 200 KI-Projekte im Bund, die v.a. extern beauftragt wurden, die Angaben sind jedoch unvollständig, v.a. für die 7 eingestuften Projekte. Das geht aus der Anlage 1e hervor, die Antwort auf Frage 4 der Kleinen Anfrage. 

3.2 Kein Durchblick im Bund, keine Koordinierung, aber immer mehr KI-Projekte

4 Ministerien setzen 71 % der mehr als 219 KI-Anwendungen ein

Inzwischen werden mindestens 219 KI-Anwendungen im Bund genutzt. Vier Ministerien, BMWK (44), BMI (40+6 NfD), BMEL (35) und BMDV (30) meldeten zusammen 155 KI-Vorhaben, das sind 71% aller KI-Systeme im Bund. Seit dem 1.1.2023 kamen 194 Forschungsvorhaben, 28 Pilotprojekte und 5 Reallabore neu hinzu, also insgesamt 227 neue Vorhaben. Diese Zahlen zeigen: es ist höchste Zeit, verbindliche Prozesse zu etablieren, die den Einsatz von KI begleiten, oder falls ihre Risiken unvertretbar sind, den Einsatz nicht zulassen oder wieder zu beenden. Es geht dabei auch um jede Menge Haushaltsmittel: allein von 2023 bis 2025 sollen mehr als 2,5 Mrd. EUR für KI Vorhaben ausgeben werden.

Keine Umsetzungsstrategie, keine zentrale Steuerung, keine verbindlichen Standards

Was auf den ersten Blick wie ein Innovationsschub in einer bisher eher analog beschriebenen Verwaltung aussieht, hat seine Schattenseiten, denn die Antwort der Bundesregierung zeigt auch, dass sie keine Umsetzungsstrategie für diese nicht nur chancen- sondern auch risikoreiche Technologie hat, dass sie weder beim Kompetenzaufbau noch beim Aufbau geplanter Unterstützungsstrukturen voran gekommen ist, dass es weiterhin null Koordinierung gibt und keine einzige Stelle, die einen Überblick hat über den Einsatz von KI im Bund.

Die Folge dieser fehlenden strategischen Steuerung und Strukturen ist der Mangel an verbindlichen Vorgaben für Standards und Prozesse, z.B. zur Risiko-, oder Kosten-Nutzen-Bewertung, zur Nachhaltigkeit oder auch dazu, wer, wann und wie eine Evaluation durchführen sollte. Und so macht offenbar jede Behörde ihr eigenes Ding, hauptsache KI.

Das ist einerseits ineffizient, weil oft verschiedene Anwendungen für die gleichen Aufgaben verwendet werden (z.B. Chatbots) und andererseits werden Mindeststandards regelmäßig nicht eingehalten, weder zur Nachhaltigkeit, noch zur Risiko- oder Kosten-Nutzen-Betrachtung, was nicht nur der Bundesrechnungshof problematisch findet, sondern letztlich auch das Vertrauen in Regierungshandeln und in die Technologie Künstliche Intelligenz insgesamt erschüttert.

Wenn Strukturen fehlen, steigen Risiken – vor allem wenn Grundrechte berührt sind

Ohne klare Strukturen und Zuständigkeiten erhöht sich das Risiko, dass KI-Systeme ineffizient oder unsicher eingesetzt werden. Für einen guten Einsatz von KI im Bund braucht es sinnvolle sowie klare Strukturen, mit Fachkräften, die beraten, Kompetenz aufbauen, den KI-Einsatz evaluieren, Standards entwickeln, koordinieren und alle Akteur:innen vernetzen. Der hier schon häufiger zitierte Bericht des Bundesrechnungshofs monierte auch schon 2023: “Eine fehlende Aufsicht und zentrale Koordinierung sowie eklatanten Personalmangel.” Leider hat die Bundesregierung hier wenig Abhilfe geschaffen.

Verhöhnung des parlamentarischen Fragerechts durch die Ampel

Abbildung 2: Frage 10 in der Kleinen Anfrage:

In meiner Frage 10 erfragte ich zu den verschiedenen geplanten organisatorischen Strukturen die verfügbaren und geplanten Ressourcen (Stellen und Haushaltsmittel), die Governance bzw. Organisationsstruktur, die Zuständigkeit und Federführung, die jeweilige Aufsicht, wie sie sich von einander abgrenzen und ob es eine zentrale Stelle zur Koordinierung gibt. Die Antwort der Bundesregierung auf diese Frage ist eine Frechheit, denn kaum eine meiner Fragen wurde überhaupt beantwortet. Es fehlen jegliche Angaben zu:

  • Stellen und Haushaltsmitteln
  • Governance und Organisationsstrukturen
  • Zuständigkeiten, Federführung und Aufsicht
  • Zentrale Stelle für die Koordinierung

Stattdessen wird vage von “Prüfung bestehender Strukturen” geschrieben und oberflächliche Angaben zu den verschiedenen Strukturen gemacht. In einer schriftlichen Beschwerde habe ich eine Nachreichung der fehlenden Informationen angefordert (Link).

Keine zentrale Koordinierung, kein Chief AI Officer, kein Beratungszentrum für KI

Offensichtlich ist jedoch, dass es weiterhin keine zentrale Koordinierungsstelle innerhalb der Bundesregierung gibt. Auch nicht im Sinne der Chief AI Officer, wie sie aktuell innerhalb der US-Administration eingeführt werden. Eine solche ist zwar laut Antwort auf meine Frage 13  “in Prüfung”, bisher jedoch ergebnislos. Eine zentrale koordinierende Stelle müsste einen Überblick über alle KI-Projekte des Bundes haben, Doppelentwicklungen verhindern, für Wissenstransfer sorgen und beratende sowie unterstützende Funktionen übernehmen. Diese Funktionen sollte eigentlich das seit 3 Jahren angekündigte Beratungszentrum für Künstliche Intelligenz (BeKI) übernehmen, auch laut Bundesregierung, die das BeKI in seiner Antwort beschreibt als “künftige zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung”. Leider ergeben meine Anfragen seit ebenfalls 3 Jahren, dass das BeKI über den Planungsstand einfach nicht hinauskommt und weiterhin nicht existiert. Für das BeKI sind von 2022 bis 2023 bereits 280.000 Euro an externen Beratungsleistungen geflossen, wie meine Schriftliche Frage vom Juni 2023 ergab (Link).

Die Schere zwischen dem rasant wachsenden Einsatz von KI-Systemen im Bund und den dafür notwendigen Kompetenzen, Standards, Koordinierung und Überblick geht dadurch immer weiter auseinander. 

Ineffizient: Parallelentwicklung von KI-Systemen

Es ist ineffizient, wenn verschiedene Ministerien zwei KI-Systeme entwickeln, für die Identifikation von Fischen und offenbar nichts voneinander wissen (BMDV – Bundesamt für Gewässerkunde Zeile 95 und BMEL – Max Rubner Institut, Zeile 166 in der Anlage 1a). Es werden außerdem von einigen Behörden kommerzielle (und aus Datenschutz- und Informationssicherheitsgründen fragwürdige) KI-Dienste von US-Konzernen für die gleichen Aufgaben genutzt, für die andere Behörden auf vertrauenswürdigere KI-Systeme beim ITZ-Bund zurückgreifen.

Microsoft Co-Pilot oder ITZ-Bund-KI-Plattform? – Fehlende Richtlinien führen zu Wildwuchs

Warum wird im Geschäftsbereich des BMDV ausgerechnet der Microsoft Co-Pilot für die KI-gestützte Texterstellung genutzt, obwohl es mit KIPITZ eine ITZ-Bund Plattform gibt, die solche Leistungen ebenfalls anbietet? Immerhin wurde sie dafür schon mit einem eGovernment Preis ausgezeichnet. Seltsamerweise gibt die Bundesregierung in ihrer Antwort an, dass sie die ressortübergreifende Pilotierung von KIPITZ erst vorbereitet, obwohl im Juli 2024 schon über 2.000 Nutzende im Rahmen des eGov Wettbewerbes öffentlich kommuniziert wurden (Link). Das Angebot klingt sehr vielversprechend, hier ist ein Lob angebracht. Das ITZ-Bund schreibt selbst, dass es v.a. auf Open Source basierende LLM nutzt, kommerzielle Sprachmodelle integrieren kann und im Sinne des Einer-für-Alle Prinzips KI-basierte Apps für Behörden entwickelt und anschließend auf der Plattform verfügbar macht. In der Antwort der Ampel kann man das alles aber nicht lesen, das stand auf LinkedIn.

KI-Kompetenzzentrum – bei Bundesdruckerei statt in der Bundesverwaltung

Laut BMI Leitlinien sollen Doppelstrukturen verhindert werden, aber wie sich das KI-Kompetenzzentrum (KIKC) von all den anderen geplanten Strukturen abgrenzt, bleibt unklar. Die Frage nach seinen Aufgaben und der Abgrenzung wurde nicht beantwortet. Immerhin existiert es und ist seit Juni 2023 “als eigenständige Organisationseinheit“ der Bundesdruckerei GmbH produktiv. Was es leistet, den Steuerzahler kostet, wie es mit den anderen zuständigen Stellen kooperiert, alles das bleibt im Dunkeln. Laut Selbstdarstellung der Bundesdruckerei soll das KIKC vor allem Ausprobieren und Testen, Prototypen entwickeln, aber auch technische Kompetenzen aufbauen und bei der Vernetzung unterstützen (Link).

Grundrechtsgefährdend: fehlende Algorithmenbewertungsstelle für Behörden mit Sicherheitsaufgaben

Bei KI-Anwendungen in Behörden mit besonderem Grundrechtsbezug stellen sich noch ganz andere Herausforderungen. Für die ist auch seit mehreren Jahren die “Algorithmenbewertungsstelle für Behörden und Organisationen mit Sicherheitsaufgaben” (ABOS) geplant. Für das ABOS sind sogar schon in 2022 über eine Million Euro Steuergelder an Externe bezahlt worden, wie aus meiner o.g. schriftlichen Frage (Link) hervorging. Für Berater war das offenbar ein gutes Geschäft, aber bisher fehlt der notwendige Mehrwert für die Verwaltung und für die Gesellschaft, denn Sicherheitsbehörden haben den höchsten Grundrechtsbezug, die geringste Transparenz und es gibt dort besonders viele KI-Projekte. So verteilen sich 36 der 46 KI-Anwendungen (ein Anteil von knapp  80%!) beim BMI auf das BKA (19), die Bundespolizei (14) und auf die staatliche Hackerbehörde ZITIS. Es ist zutiefst beunruhigend, wenn es weder hinreichend Informationen für eine sinnvolle parlamentarische Kontrolle gibt, noch ausreichend Transparenz für den kritischen Blick von Journalist:innen und NGOs und gleichzeitig nicht einmal die versprochene interne Algorithmenbewertungsstelle. Betrachtet man die folgenden Ausführungen zur Risikobewertung und zu den Evaluationen, schläft man danach nicht besser.

3.3. Fehlende Risikobewertungen gefährden Grundrechte und zerstören Vertrauen

“Ein Bild sagt mehr als 1.000 Worte”, daher gibts hier exemplarisch vorab einen Screenshot aus der Antwort der Bundesregierung auf meine Frage nach der Bewertung von Risiken der KI-Anwendung. Tabelle 6:

Quelle: Anlage 1d, Antwort des BMI/BKA auf Frage 3 zu Risikobewertungen

Die Datenethikkommission forderte bereits 2019 ein Risikoklassenmodell, damals noch “Kritikalitätspyramide” genannt, dennoch fehlt auch 5 Jahre später eine systematische Risikobewertung von KI-Anwendungen im Bund. Die Folgen fehlender Risikobewertungen sind nicht immer gleich.

KI-Anwendungen des Bundes mit offensichtlich geringem Risiken

Es gibt viele KI-Anwendungen mit vorstellbar geringem Risikopotenzial, wo es vermutlich keine bis wenig Auswirkungen hat, ob eine Risikoeinschätzung stattfand. Hier ein paar Beispiele aus den KI-Anwendungen des Bundes, Anlage 1a:

  • Entzifferung alter Handschriften (Zeile 41),
  • Analyse von Bodenprofilfotos (Zeile 55),
  • Stresserkennung von Hühnern durch KI-Auswertung von Videodaten (Zeile 192 ),
  • Identifizierung von Baumarten (Zeile 170) oder von Fischarten (Zeilen 95 und 165),
  • Altersbestimmung von Fischen (Zeile 168)
  • Erkennen von Plastik in Flüssen oder Öl auf dem Meer (Zeilen 92 und 94).

Solche Fälle lassen sich leicht mit gesundem Menschenverstand einschätzen.

KI-Anwendungen des Bundes mit unklarem Risikopotenzial

Bei vielen anderen Anwendungen ist das schon komplizierter, und aus dem Bauch heraus würden da einige Menschen Potenziale für Risiken sehen, andere nicht. Es braucht daher ein standardisiertes Modell, um das Risiko sinnvoll zu bewerten. Nachfolgend Beispiele für diese Kategorie:

  • Aufdeckung von Giftstoffen im Wasser (Zeile 22),
  • Waldbranderkennung (Zeile 172),
  • Identifikation von Cyberangriffen (Zeile 137)
  • Chatbot für Bevölkerungsfragen bei radiologischem Notfall (Zeile 28). 

KI-Anwendungen des Bundes mit potenziell hohen Risiken

Konsens sollte aber sein, dass alle KI-Anwendungen mit eindeutigen Grundrechtsbezügen auf ihre potenziellen Risiken VORAB zu überprüfen sind. Schön wäre, wenn es dafür die angekündigte Algorithmenbewertungsstelle für Behörden und Organisationen mit Sicherheitsaufgaben schon geben würde, aber – siehe Abschnitt 3.2., die ist ja immer noch in Planung, auch wenn immer mehr KI-Anwendungen in diesen Bereichen eingesetzt werden.

Mangelnde Risikobewertung bei Hochrisiko KI-Anwendungen

Wenn immer wieder von Vertrauen und Akzeptanz die Rede ist, gleichzeitig aber gerade in grundrechtssensiblen Bereichen, wie der Strafverfolgung und der Gefahrenabwehr, viele KI-Anwendungen ohne jede Risikobewertung betrieben werden, ist das ein Riesenproblem. Grundrechtsverletzungen werden wahrscheinlicher, und damit sinkt das Vertrauen in den Staat und die Demokratie. Solche Entwicklungen sind gefährlich. Allein im Geschäftsbereich des BMI ist die Bilanz eine Katastrophe, obwohl das BMI sich selbst schön klingende Leitlinien für den Einsatz von KI gegeben hat (Link). So wurde beim BKA für keine einzige der 19 KI-Anwendungen eine Risikobewertung durchgeführt, zwei davon waren sogar eingestuft und dürfen nicht einmal öffentlich genannt werden.

BKA, Bundespolizei, Zitis: hohe potenzielle Risiken werden nicht einmal untersucht

Zu den 19 KI-Anwendungen des BKA ohne durchgeführte Risikoanalyse gehören u.a.:

  • Spracherkennung (Zeile 143)
  • Fingerabdruckerkennung (“Papillarleistenerkennung”, Zeile 145)
  • Semantische Bildanalyse (Zeile 146)
  • Ähnliche Bildersuche (Zeile 149)
  • Gesichtserkennungssystem zur Strafverfolgung und Gefahrenabwehr (Zeile 156)

Zu den 10 der 14 Anwendungen der Bundespolizei ohne Risikobewertung (eine davon eingestuft für die Unterstützung des Verfassungsschutzes) gehören u.a.:

  • Videoanalyse zur Gefahrenabwehr am Bahnhof (Zeile 138),
  • Sensordatenanalyse zur Gefahrenabwehr an Bahnhöfen (Zeile 140)
  • Sensordatenanalyse zur Gefahrenabwehr an Eisenbahntunneln (Zeile 139).

Keinerlei Risikobewertung gab es für sämtliche 3 KI-Anwendungen des ZITIS (alle eingestuft). What can possibly go wrong. Die wenigen Male, wo es im Geschäftsbereich des BMI überhaupt zu einer Risikoeinschätzung kam, führten nur bei einer der 46 Anwendungen zur Einschätzung “hohes Risiko” – bei der “Auswertung von Videodaten – Sichtung und Kategorisierung von Massendaten” durch das Bundespolizeipräsidium. Ich stelle mir darunter die Auswertung zum Beispiel von Videokameras im öffentlichen Raum vor, z.B. von Demos. Das gibt kein gutes Gefühl, insbesondere nicht, wenn die Antwort auf meine Frage nach den Auswirkungen der jeweiligen Risikobewertung auch bei dieser Hochrisiko-Anwendung “nicht bekannt” lautete.

Nancy Faeser hat falsche Prioritäten beim Einsatz von KI

Die Wahrung der Grundrechte und ein transparenter, nachvollziehbarer und professioneller Umgang mit KI-Anwendungen bei Behörden mit Sicherheitsaufgaben scheinen für Innenministerin Nancy Faeser keinerlei Priorität zu haben, eine denkbar schlechte Ausgangslage.

Darüberhinaus wurden generell meine eindeutigen Fragen zum Umgang mit den Risiken von KI schlecht beantwortet, nämlich überwiegend an der Frage vorbei, unpräzise und inkonsistent und insgesamt extrem unvollständig. So habe ich explizit danach gefragt, welches Risikoklassenmodell konkret verwendet wurde und bat darum, explizit NICHT auf die (simplifizierten) Risikokategorien der KI-VO zu referenzieren. Das wurde durchweg ignoriert, stattdessen tauchte die KI-VO sogar in der Tabellen-Überschrift der Ampel-Antworten auf und daneben eine Spalte “Klassifizierung”, wodurch etliche Antworten in beide Spalten das gleiche eintrugen, nämlich “minimales Risiko”, aber (fast) nirgendwo das Risiko-Modell, nach dem die Bewertung vorgenommen wurde.

Klar wurde dennoch daraus, dass es weiterhin keinerlei Standards, keine einheitlichen Prozesse, keinerlei Vorgaben zum Umgang und zur Bewertung von Risiken gibt.

Mantel des Schweigens: Viele KI-Anwendungen der Sicherheitsbehörden bleiben intransparent

Darüber hinaus gibt es weitere Einschränkungen des parlamentarischen Fragerechts im grundrechtssensiblen Bereich: über ganze drei (!) Seiten erfolgte eine Rechtfertigung, in wieweit mir wegen potenzieller Gefährdung des Staatswohls viele Informationen zum Einsatz von KI in Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden überhaupt nicht mitgeteilt werden können. Einige wenige (7) KI-Anwendungen dieser Sicherheitsbehörden wurden mir in eigestufter (VS-NfD) Form mitgeteilt, ich darf sie also nicht öffentlich diskutieren.

Zum Einsatz von KI bei den Geheimdiensten erfahre ich auch absolut gar nichts, dabei ist vermutlich dort das Risiko für Grundrechtsverletzungen und die Gefahr gravierender negativer Auswirkungen auf Individuen und die Gesellschaft durch einen Missbrauch besonders hoch. Eine sinnvolle parlamentarische Kontrolle ist so jedenfalls nicht möglich. Auch die immer wieder auch von der Ampel-Regierung propagierte offene Debatte zum Einsatz von KI durch staatliche Stellen und die Diskussion dazu, welche Risiken wir als Gesellschaft zu tragen bereit sind und welcher Nutzen dem dafür gegenüber stehen soll, kann es auch nicht geben.

Abbildung 1: Ausschnitt aus den Vorbemerkungen der Bundesregierung zu ihrer Antwort

Statt “öffentlich, transparent und vollständig” dem “verfassungsrechtlich verbrieften Aufklärungs- und Informationsanspruch des Bundestages zu entsprechen”, wie die Ampel in ihrer Antwort offenbar ohne jede Ironie schreibt,

  • Erfahre ich NICHTS über alle KI-Systeme beim Verfassungsschutz, BND und MAD
  • Erfahre ich WENIG über die KI-Systeme bei ZITIS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich, aka Hackerbehörde der Bundesregierung), BDBOS (Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben), das BKA oder andere Sicherheitsbehörden. Und über einen Teil dieser Informationen darf ich nicht einmal öffenlich reden.

Wie groß der blinde Fleck ist, darf ich leider auch nicht wissen, denn ich habe die Bundesregierung in einer schriftlichen Frage gefragt, um wie viele KI-Anwendungen es sich dabei handelt, über die ich wegen potenzieller Staatswohlgefährdung keine Informationen erhalte. Und selbst diese Antwort, eine zusammengefasste Zahl, die nichts über den Zweck des KI-Systems und seinen Einsatz verraten hätte, wurde mir mit Verweis auf eine mögliche Staatswohlgefährdung verweigert (Link).

Der Mangel an wenigstens internen Strukturen und Standards, z.B. die weiter fehlende Bewertungsstelle für Algorithmen bei sicherheitsrelevanten Behörden wie Geheimdiensten und Polizei sind dabei besonders besorgniserregend. Gerade wenn Menschenrechte, das Recht auf Diskriminierungsfreiheit oder andere Grundrechte berührt sind, braucht es ein hohes Maß an Nachvollziehbarkeit und Überprüfbarkeit und Mindeststandards für vertrauenswürdige Checks and Balances, die bisher schlichtweg nicht etabliert werden. Wenn Sicherheitsbehörden jedoch Technologien wie Künstliche Intelligenz vermehrt einsetzen wollen, ohne dass es diese Checks and Balances gibt, steigen mit jedem Tag die Gefahren für einen Missbrauch oder Fehleinsatz von KI zum Nachteil der Öffentlichkeit. Die Versuchung wird hoch sein, also müssen es die Standards für Kontrolle und Transparenz auch sein.

Einsatz von KI im Hochrisikobereich Asyl und Migration

Besonders besorgniserregend sind in diesem Kontext auch die jüngsten Äußerungen von Kanzler Olaf Scholz, der sich einen vermehrten Einsatz Künstlicher Intelligenz bei Asylverfahren vorstellen kann (Link). Unklar bleibt, ob sich Olaf Scholz dabei neue bzw. weitere KI-Verfahren wünscht oder auf bereits bestehende Anwendungen bezog – denn das BAMF setzt seit mehreren Jahren KI bereits aktiv ein, wie meine Kleinen Anfragen und auch die Recherchen von Netzpolitik.org seit Jahren zeigen.

So verwendet das BAMF z.B. das sogenannte “Assistenzsystem, das Entscheidende dabei unterstützt, sicherheitsrelevante Sachverhalte zu erkennen, die an Sicherheitsbehörden weitergeleitet werden müssen.” Verständlicher formuliert werden durch die KI-Anwendung sog. Anhörungsprotokolle aus Asylverfahren und Befragungen erfasst, ausgewertet und gegebenenfalls Hinweise an Sicherheitsbehörden weitergegeben – ohne dass die Betroffenen darüber informiert werden. Doch die Systeme sind immer auch fehleranfällig, können erhebliche Auswirkungen für die Schutzbedürftigen haben – auch aufgrund eines automation sowie confirmation bias, die gewiss auch dort noch nicht ausgeschlossen werden können. Es zeigt sich eine eklatante Diskrepanz zwischen den formulierten Zielen und deren Umsetzung. Insbesondere in der Digitalpolitik klaffen auch bei der selbsternannten Fortschrittskoalition Anspruch und Wirklichkeit, Worte und Taten meilenweit auseinander. Beim Thema Künstliche Intelligenz scheint allein das Mantra „Digital first, Bedenken second“ zu gelten, wobei Milliarden an Steuergeldern ohne klare Regeln oder koordinierende Instanzen für KI-Vorhaben bereitgestellt werden – auch in sensiblen Bereichen, wo es hohe Schutzstandards statt freier Experimentierräume braucht.

3.4 Fortschritt bei Evaluationen, aber nicht genug

Zum KI-Hype gehört die Erwartung, dass man mit künstlicher Intelligenz auf einmal alle möglichen Probleme lösen kann. Die Technologie ist aber noch experimentell, vieles geht noch schief und viele Erwartungen werden nicht erfüllt. Die “Risiken und Nebenwirkungen” werden oft schlecht oder falsch eingeschätzt. Aus all diesen Gründen ist es besonders wichtig, jeden Einsatz von KI zu evaluieren, damit sicher gestellt ist, dass der Nutzen die möglichen unerwünschten Nebenwirkungen übersteigt, zu denen ja auch nicht nur Diskriminierungsfälle oder Grundrechtsverletzungen gehören, sondern z.B. auch der negative Klima-Impact, den die ressourcenfressenden KI-Systeme nun mal mit sich bringen.

Erfreulicherweise betont der BMI-Leitfaden zum Einsatz von KI sogar die Notwendigkeit einer Evaluation und nennt folgende zu evaluierende Aspekte:

  • Erfüllung der Nutzungserwartungen,
  • Überwachung rechtlicher Vorgaben,
  • Einhaltung ethischer Anforderungen,
  • Datenschutz,
  • Transparenz und Verantwortlichkeit
  • Fehleridentifikation und -behebung,
  • Kosten-Nutzen-Analyse,
  • Mitarbeiterakzeptanz und -schulung,
  • Sicherstellung der Fairness

Evaluationen erfolgen vor allem intern – das ist ein Problem

Darüber hinaus ist ein Fortschritt, dass inzwischen bei fast drei Viertel (73 %) der KI-Anwendungen im Bund irgendeine Form der Evaluation vollzogen wird. Aber der Teufel steckt im Detail. So finden die Evaluationen überwiegend intern statt, z.B. durch die eigenen Fachtabteilungen und Projektbeteiligte, also oft durch die Nutzenden der KI-Anwendungen selbst. Selbstevaluationen sind aber nur mäßig sinnvoll, da man dabei weder Neutralität noch Objektivität sicher annehmen kann, was für eine gute Evaluation aber unbedingte Voraussetzung sein muss. Wie sollen verantwortungsvolle KI-Nutzung, Transparenz, Fehlersuche, Kosten-Nutzenanalysen, ethische Regelkonformität etc. durch interne Selbstevaluation sinnvoll möglich sein? Dafür braucht es geschulte Fachkräfte, z.B. des geplanten (immer noch nicht existierenden) Beratungszentrums für Künstliche Intelligenz, das bis vor Kurzem noch Beratungs- und Evaluationszentrum für Künstliche Intelligenz hieß. Warum wurde der Name von der Ampel geändert? Soll das BEKI keine Evaluationen mehr vornehmen, die nach standardisierten Prozessen ablaufen würden? Das wäre bedauerlich, denn das BEKI kann dafür genau die richtige Stelle sein, wenn es dafür auch die nötigen Ressourcen erhält.  

Zu oft keine Evaluation – vor allem im BMI

Bei immer etwa jedem 5. Einsatz von KI im Bund (19 %) fand keinerlei Evaluation statt. Besonders fällt auf und beunruhigt, dass fast jede zweite nicht evaluierte Anwendung (49 %) im BMI angesiedelt ist, wo viele grundrechtssensible KI-Einsätze stattfinden. Dazu zählen Anwendungen wie die Videodatenanalyse (Bundespolizei, Zeile 129, Anlage 1f) und die Sicherung und Aufbereitung für die Mobilfunkforensik und Cloudsicherung, wo KI eingesetzt wird, um “Massendaten zu sichten und zu kategorisieren” (Bundespolizei, Zeile 135, ebd.). Auf die Frage nach einer Begründung für die ausgebliebene-Evaluierung steht als Antwort ein schlichtes “Nein”. Bei der BKA KI-Anwendung zur Papillarleistenerkennung (Fingerabdruckerkennung) wurde die Antwort auf die Ja / Nein Frage nach Durchführung einer Evaluation einfach komplett verweigert, weil ein “öffentliches Bekanntwerden die Verwendbarkeit des Werkzeugs stark beeinträchtigen würde” (Zeile 145, ebd.). Da fehlen mir schon die Worte, denn wie soll ein Ja oder Nein auf die Evaluationsfrage die Verwendbarkeit der KI-Anwendung negativ beeinflussen? Die Frage nach “gab es ein Ergebnis der Evaluation wurde übrigens beantwortet – mit “Nein”.

Tabelle 7: Fehlende Evaluationen in BMI-Anwendungen  – Auszug aus Anlage 1f

Für einen verantwortungsvollen Einsacht von Künstlicher Intelligenz innerhalb der Bundesverwaltung sind Audits bzw. Evaluationen unverzichtbar. Nur durch die Durchführung objektiver und umfassender Überprüfung der Systeme können die versprochenen Vorteile des Einsatzes realisiert und die möglichen Risiken minimiert werden. Daher fordere ich die Bundesregierung auf, sich endlich an die selbstgesteckten Ziele und die selbst erstellten Leitfäden zu halten und die dafür notwendigen Strukturen und Prozesse zu schaffen, um Transparenz, ethische Grundfragen und Risiken sowie die Nachvollziehbarkeit ihrer KI-Anwendungen sicherzustellen.

3.5 Mangelnde Transparenz

Die Nutzung von KI im Bund sollte besonders hohen Transparenzanforderungen genügen. Leider zeigt sowohl die fehlende Transparenz zum Einsatz von KI im Bund im Allgemeinen als auch die unvollständige Antwort der Ampel-Regierung auf meine Kleine Anfrage im Besonderen, wie groß die Defizite sind.

Wir brauchen eine einheitliche, einfach zugängliche und transparente Datenbasis über eingesetzte Algorithmen- und KI-Systeme in der öffentliche Verwaltung, z.B. damit die Überprüfung und Evaluierung möglicher Diskriminierungspotenziale, die Einhaltung (und Förderung) von Grundrechten genauso wie von Nachhaltigkeitskriterien oder schlicht Kontrolle und Bewertung durch die digitale Zivilgesellschaft, die freie Presse, sowie durch Forschende möglich sind.

Begrüßenswert sind die aktuellen Pläne des BMI, ein KI-(Transparenz) Register für Anwendungen des Staates aufzubauen. Dieses Register soll beim (immer noch nicht existierenden) Beratungszentrum für Künstliche Intelligenz (BEKI) angesiedelt werden, der künftig zentralen Koordinierungsstelle für KI im Bund. Ein solches Register muss verpflichtend für alle KI-Anwendungen im Bund sein, aber für KI-Anwendungen aller staatlichen Stellen in Deutschland (auch auf Länder- und kommunaler Ebene) geöffnet werden. Dafür sollte das BMI rechtzeitig in einen offenen Dialog unter Einbeziehung der Zivilgesellschaft und der Wissenschaft starten, um Bedarfe, Schnittstellen, Potenziale und Herausforderungen (z.B. Finanzierung) rechtzeitig zu adressieren. Im Ausland gibt es schon Erfahrungen, etwa in Helsinki (Link) sowie Amsterdam (Link), und auch in Deutschland gibt es bereits Konzepte (Link). 

Ein „Marktplatz für KI-Anwendungen“ ersetzt kein KI-Register

Im BEKI soll es künftig auch einen “Marktplatz für KI-Anwendungen” geben, der offensichtliche Doppelentwicklungen verhindern und zum Kompetenzaustausch zwischen Behörden beitragen könnte. Aber ein KI-Transparenzregister ist so ein Marktplatz natürlich nicht und er kann auch keine Strukturen zum Kompetenzaufbau und zur Koordinierung ersetzen, die der Bundesrechnungshof bereits 2023 angemahnt hatte (Link). Außerdem sollte das künftige KI- Transparenzregister gerade auch solche KI-Anwendungen enthalten, die in Behörden und staatlich kontrollierten Organisationen eingesetzt werden, die Ordnungs- und Sicherheitsaufgaben wahrnehmen, also häufig qua Amt mit der Verletzung von Grundrechten zur Wahrung weiterer Grundrechte zu tun haben, aber ihre KI-Systeme sicher nicht auf einem Marktplatz für KI-Anwendungen teilen werden. Auf meine schriftliche Nachfrage erfuhr ich, dass der Start dieses KI-Marktplatzes für Herbst 2024 geplant sei (Link). Stand 01.11.24 gibt es von ihm noch keine Spur.

Jenseits der grundsätzlichen und allgemeinen Herstellung von struktureller Transparenz zum Einsatz von KI im Bund zeigt auch die vorliegende Antwort der Bundesregierung auf meine 3. Kleine Anfrage zu KI im Bund, dass es mit der Transparenz nicht weit her ist. Das wird einen Mix aus Gründen haben: fehlender Durchblick, überbordende Geheimniskrämerei, mangelnder Respekt gegenüber dem Parlament und schlichte Schlamperei – vielleicht auch Personalmangel und Überarbeitung, man steckt ja nicht drin.

Schlechtes Handwerk: lückenhaft, inkonsistent, an Fragen vorbei geantwortet

Die Antwort der Ampel hat jedenfalls erhebliche Lücken, ist in einigen Bereichen inkonsistent, lässt einige Fragen komplett unbeantwortet oder enthält Aussagen, die komplett an der Frage vorbei gehen. Manche Antworten sind trotz präziser Fragestellung so daneben, dass sie eine sinnvolle Auswertung verhindern, z.B. im Bereich der Risikoeinschätzung von KI-Systemen. Über Geheimdienste erfährt man gar nichts, über andere Behörden mit Sicherheitsaufgaben verstümmelte Antworten, Bullshit-Antworten oder als NfD eingestufte Antworten oder auch gar nichts, wegen vermeintlicher Staatswohlgefährdung. Mehrere Ministerien melden überhaupt keine KI-Anwendungen (BMFSFJ, BMWSB). Wie weiter oben bereits erwähnt, wurde mir selbst die Anzahl der eingesetzten und intransparent bleibenden KI-Systeme für die Behörden mit Sicherheitsaufgaben und Geheimdienste verweigert, weil selbst dadurch das Staatswohl in Gefahr sei (Link).

Das Militär: eine besonders finstere Blackbox

Das Verteidigungsressort mit dem größten IT-Bereich der gesamten Bundesregierung (im Kommando Cyber und Informationsraum arbeiten über 10.000 Fachleute) meldete eine einzige Anwendung und die ist als NfD eingestuft. Das überrascht vor allem deshalb, weil die Bundeswehr öffentlich frei über diverse KI-Anwendungen berichtet – z.B. auf dem Start Up Summit in Berlin 2024 oder auf ihrer Website, dort z.B. erfährt man über das KI-Labor der Bundeswehr (Link) von KI-Projekten wie „Voice Activity Detector“, „Sparrow Tracking“ und „CWBuddy“ (Link). Auch im aktuellen Haushaltsentwurf 2025 für das BMVg (Stand 01.11.24) sind in Titelgruppe 02 „Forschung, Entwicklung und Künstliche Intelligenz“ immerhin satte 795 Mio Euro vorgehen (Link). Auch im Cyber-Innovation-Hub der Bundeswehr laufen KI-Projekte wie z.B. „ImageAware“ (Link), die alles Andere als geheim sind. Ich habe deshalb eine Schriftliche Frage hinterhergeschickt und die Ampel mit diesem Widersprüchen konfrontiert.

IT-Auslagerung an GmbH als Ausrede für Intransparenz

Statt „sorry“ und mehr Informationen gab es darauf nur eine absurde Antwort der Bundesregierung (Link): Die erwähnten Aktivitäten liefen bei der BWI GmbH und damit nicht im Geschäftsbereich des BMVg, und deswegen könne man sich eine genauere Auskunft sparen. Die BWI GmbH gehört immerhin zu 100% dem Bund, dort arbeiten 7.000 Menschen und machen 1,5 Milliarden Euro Umsatz, ihre Selbstbezeichnung lautet: „Wir sind das IT-Systemhaus der Bundeswehr“. Es ist ziemlich wenig vertrauensbildend, null Transparenz zum Einsatz von KI zu schaffen, nur weil man sich einer staatseigenen GmbH bedient, um diesen Einsatz zu ermöglichen. Verwiesen wird auch darauf, dass die KI-Anwendungen, die ich über öffentliche Quellen fand, ja nur „im Rahmen von explorativem Lernen, Erproben und Entwickeln zum Zwecke des Erwerbs von Methoden-, Bewertungs- und Entscheidungskompetenz bei Innovationen, Analysen und Planungen dienen“ – na dann ist ja völlig egal, was man da so macht (WTF!). Übrigens sind militärische Anwendungen vom Geltungsbereich der KI-Verordnung komplett ausgenommen, weil für Verteidigungsfragen die Mitgliedsstaaten die Verantwortung tragen. Es gibt also nur dann Regeln für die Anwendung von KI im Militär, wenn die Bundesregierung sich selbst welche gibt. Das stimmt mich nicht gerade optimistisch.

Laut Digitalstrategie (Link) will sich die Ampel bis 2025 übrigens daran messen lassen, dass sie

“Kapazitäten und Fähigkeiten aufgebaut (ADB: hat), um Daten auf dem Gefechtsfeld schneller mit Hilfe von KI zu analysieren und damit die Effektivität auf dem Gefechtsfeld zu erhöhen.“

Abbildung 2: Auszug aus der Digitalstrategie der Bundesregierung:

60 Prozent KI-Systeme verschwieg der Bund in 2022. Heute? Unbekannt.

Stutzig wird man auch bei den Angaben aus dem Gesundheitsministerium, denn das Robert Koch-Institut meldete im vergangenen Jahr noch 8 KI-Anwendungen, in diesem Jahr jedoch keine einzige. Im Jahr 2022 hatte der Bundesrechnungshof festgestellt, dass die Bundesregierung in ihrer damaligen Antwort auf meine erste Anfrage zum Einsatz von KI im Bund etwa 60 % aller KI-Anwendungen “vergessen” hatte. Ich habe keine Möglichkeit festzustellen, wie hoch der Anteil der unterschlagenen KI-Anwendungen in diesem Jahr ist. Vielleicht ist er genauso hoch wie damals, dann gibt es möglicherweise schon 550 KI-Anwendungen im Bund, vielleicht ist auch nur das Dunkelfeld aufgehellt worden und der Anstieg von 86 KI-Anwendungen in 2022 auf mind. 219 in 2024 ist gar kein echtes Wachstum, denn mit den “verschwiegenen” Anwendungen wurden auch 2022 schon 215 KI-Systeme im Bund genutzt. Vermutlich liegt die Realität irgendwo in der Mitte – aber parlamentarische und öffentliche Kontrolle sollte nicht schätzen oder raten müssen, sondern klare Aussagen bekommen, sowohl was die nackte Anzahl eingesetzter KI-Systeme angeht (219 oder 550 oder noch mehr?), als auch was ihren Verwendungszweck, ihre Risikobewertung und viele andere Aspekte betrifft.

Vertrauen in den Einsatz einer mit hohen Chancen aber eben auch hohen Risiken behafteten Technologie baut man so nicht auf! Es ist eine der größten Schwächen der Ampel, dass sie zwar durchaus in diversen Strategien sinnvolle Ziele formuliert hatte, aber nicht ansatzweise in der Lage ist, die für die Umsetzung nötigen Voraussetzungen auch zu schaffen.

3.6 Nachhaltigkeit von KI spielt bei 3 von 4 Vorhaben überhaupt keine Rolle

KI-Systeme wachsen weltweit rasant, wodurch immer mehr und immer größere Rechenzentren entstehen, die riesige Mengen Wasser und eine exponentiell wachsende Menge erneuerbarer Energien verschlingen, die für andere Zwecke nicht mehr zur Verfügung steht, was den Ausstieg aus fossilen Energieträgern bremst. Ihre Hardware bindet außerdem Unmengen kritischer Rohstoffe, die in anderen Ländern z.T. unter fragwürdigen Umständen (Umwelt, Menschenrechte, Kinderarbeit…) gefördert werden und unsere Abhängigkeit erhöhen. Will man die Folgen der Klimakrise bekämpfen und die Umwelt schützen, muss der Einsatz von KI nachhaltig erfolgen.

Schon die GroKo verabschiedete ein Fünf-Punkte-Programm “KI für Umwelt und Klima” (Link), wonach der “Einsatz von KI-Technologien selbst klima- und umweltschonend erfolgen muss”, die Ampel kündigte in ihrer Digitalstrategie “Nachhaltigkeit by Design” an (Link) und das BMI versprach in seinen eigenen Leitlinien (Link) zum Einsatz von KI:

“Wir stellen stets Kosten und Nutzen von Anwendungen gegenüber. Dabei bewerten wir Nachhaltigkeit aus ökonomischer, ökologischer und organisatorischer Sicht”.

Nur 2% Förderungen mit umfassender Berücksichtigung ökol. Nachhaltigkeit

Diese Versprechungen haben mit der Realität einfach überhaupt nichts zu tun. Bei etwa 75 % der KI-Anwendungen im Bund werden ökologische Nachhaltigkeitsaspekte gar nicht berücksichtigt. Lediglich bei 2 % dieser knapp 219 Vorhaben wurden ökologische Nachhaltigkeitskriterien umfassend einbezogen. Selbst bei den vom Bund geförderten KI-Projekten spielt Nachhaltigkeit nur eine marginale Rolle. Wie will eine Regierung glaubwürdig ihre Forderung nach nachhaltigerem Einsatz von KI nach außen vertreten, wenn sie bei 98 Prozent der eigenen KI-Anwendungen selbst nicht hinreichend dafür sorgt? Man kann nicht Wasser predigen, aber Wein trinken, das führt zu Vertrauensverlusten, aber auch dazu, dass Unternehmen sich fragen, warum sie solchen Aufforderungen Folge leisten sollen, wenn es der Bund nicht mal selbst macht.

Enttäuschend ist dabei vor allem der Realitätscheck bei den beiden Ministerien, die sich ehrgeizige eigene KI-Leitlinien gegeben hatten. So hat das BMI, das laut eigenem Leitfaden “stets” Nachhaltigkeit beim KI-Einsatz berücksichtigen wollte, diesen Vorsatz in der eigenen Praxis bei 45 seiner 46 KI-Vorhaben (98%) komplett ignoriert, denn nur in einem einzigen Fall (BAMF) wurden Nachhaltigkeitsaspekte überhaupt betrachtet. Das BMDV wiederum schrieb sich in den eigenen Leitfaden: “Wir setzen auf nachhaltige KI-Lösungen”, aber tatsächlich spielten Nachhaltigkeitskriterien nur bei einem von 30 KI-Vorhaben (3%) tatsächlich eine Rolle und das war beim Deutschen Wetterdienst, der KI übrigens zur Simulation von Klimamodellen und zur Prognose schwerer Unwetterlagen verwendet.

Totalausfall: Klima- und Umweltministerium

Die beiden Ministerien mit Verantwortung für Umwelt und Klima sind leider ganz und gar keine Vorbilder. Das BMWK interessiert sich nicht mal, jedenfalls weiß man im Klimaministerium bei jedem vierten KI-Einsatz (11 der insgesamt 44 KI-Vorhaben) in seinem Geschäftsbereich nicht einmal, ob Nachhaltigkeit betrachtet wurde oder nicht, bei weiteren 31 KI-Vorhaben war die Antwort einfach “Nein”. Die Bilanz des Klimaministeriums bei seinen eigenen KI-Projekten ist daher bei 95 Prozent der Vorhaben (42 von 44) “keine Ahnung” oder “Nachhaltigkeit nicht betrachtet”. Ich wüsste schon gern, was Minister Habeck dazu sagt, ich vermute, dass er das nicht einmal weiß. Auch das Umweltministerium hat bei 11 KI-Projekten im eigenen Haus nur zwei mal Nachhaltigkeitskriterien berücksichtigt, und das ist erschütternd schlecht, denn das BMUV ist auch für das Thema Green IT im Bund zuständig.

Ökologische Nachhaltigkeit: keine Förderbedingung bei 98% der KI-Förderprojekte!

Aus dem Kopfschütteln kommt man aber erst recht nicht mehr raus, wenn man dann noch lesen muss, dass der Bund selbst bei der Vergabe von Fördergeldern nicht steuernd gewirkt hat, denn bei 98 Prozent der vom Bund seit Jan. 2023 geförderten KI-Forschungsprojektewar ökologische Nachhaltigkeit keinerlei Förderbedingung und bei über 80 Prozent der geförderten KI-Projekte war sie nicht einmal ein Förderkritierium, sondern spielte einfach überhaupt keine Rolle! Solche Zahlen lassen mich ehrlich gesagt ratlos zurück. Gerade wenn Millionen Euro ausgegeben werden, muss der Staat seiner Verantwortung gerecht werden und diese Mittel auch so ausgeben, dass sie das fördern, was auch langfristig für die Gesellschaft sinnvoll ist. Dazu gehört, KI-Systeme nur dann finanziell zu fördern, wenn sie auch in Sachen Nachhaltigkeit innovativ sind, denn so kann die Marktmacht des Staates gemeinwohlorientierten Innovationen einen Wettbewerbsvorteil verschaffen, der ihre Verbreitung unterstützt und sowohl einen direkten als auch einen indirekten Beitrag zur Erreichung der Klimaziele leisten.

4. Fazit und Forderungen aus Linker Sicht

Das Fazit ist klar, vermutlich wird immer mehr KI im Bund eingesetzt, ohne die dafür erforderliche Sorgfalt, ohne die notwendigen Standards und Prozesse, ohne hilfreiche Strukturen, ohne hinreichend Kompetenz bei Anwender:innen und Entscheider:innen, ohne öffentliche Debatte und die dafür benötigte Transparenz. Daraus ergeben sich vier grundlegende Forderungen.

Was es aus linker Sicht braucht:

  1. Schere schließen zwischen “Immer mehr Einsatz von KI” bei “weiterhin fehlenden Supportstrukturen u ohne zentrale Koordinierung, ungenügendem Kompetenzaufbau”
  • Stelle für zentrale Koordinierung einrichten
  • Support-Strukturen aufbauen! BEKI, Algorithmen-Bewertungsstelle für Behörden mit Sicherheitsaufgaben und hinreichend ausstatten mit Ressourcen
  • Kompetenzaufbau: Kein Einsatz ohne Schulung! 
  1. Verbindliche Prozesse und Standards für Auswahl, Einsatz, Evaluierung von KI-Systemen, zum Beispiel:
  • Risikobewertung, vor jedem Einsatz, mit standardisiertem Risikoklassenmodell, nicht ohne Schulung, und nicht durch Anwender:innen selbst
  • Evaluation, immer – während und nach jedem Einsatz, nach einheitlichen Qualitätsstandards, nicht durch Anwender:innen selbst
  1. Gemeinwohlorientierung im Vordergrund, insbesondere Klimawirkung einbeziehen
  • Nachhaltigkeit als relevantes Entscheidungskriterium bei Einsatz im Bund und bei Förderprojekten
  • Prüfen der Erforderlichkeit der KI-Anwendung anhand der Bedeutung erwartbarer gesellschaftlicher Fortschritte in Abwägung zu Ressourcenverbrauch (Rohstoffe, Energie), Treibhauseffekt, Steuergeldverbrauch und Lösungsalternativen wie Software mit regelbasierten Algorithmen
  1. Maximale Transparenz: Öffentliches Register für KI Einsatz durch den Staat zeitnah umsetzen
  • Offene, gesellschaftliche Debatte! – nur so sind Vertrauen und Akzeptanz möglich
  • Keine Blackbox für besonders grundrechtssensible Bereiche!

Bereits zum dritten Mal in Folge hat meine Kleine Anfrage einen Beitrag zur dringend notwendigen Transparenz in die KI-Anwendungspraxis der Bundesregierung geleistet. Es ist vermutlich meine letzte, denn die Ampel ist in Auflösung begriffen und dem nächsten Bundestag gehöre ich nicht mehr an. Ich hoffe, es wird sich trotzdem endlich viel verbessern!

Herzlichen Glückwunsch und ein Dankeschön an alle, die bis hier diesen sehr langen Text gelesen haben. Mein Team und ich haben viel Arbeit in diese Analyse gesteckt und schätzen die Aufmerksamkeit für dieses wichtige Thema. Sollte es Fragen und/oder Hinweise dazu geben, stehen wir unter anke.domscheit-berg@bundestag.de gerne zur Verfügung.

Screenshot: Antwort der Bundesregierung auf meine Kleine Anfrage

In einer aktuellen Kleinen Anfrage an den Bund habe ich viele Fragen rund um Microsoft, die Microsoft-SAP-Cloud („Delos-Cloud“), zu Abhängigkeiten, IT-Sicherheit, zur Digitalen Souveränität und vor allem zum konkreten Lobbyismus zwischen Bundesregierung, Microsoft und SAP gestellt und erhellende Antworten erhalten. Ein derartiges Ausmaß an Lobbyismus, also an Treffen auf höchsten Ebenen zwischen der Bundesregierung und großen Tech Firmen, ist mir noch nicht begegnet – 12 Mal war sogar Kanzler Scholz dabei, über 110 Treffen gab es in nur 2,5 Jahren. Aber bevor ich Euch die Antworten des Bundes beschreibe, erst mal ein bisschen zum Hintergrund. Wer sich nur für die Neue Kleine Anfrage interessiert, springt am Besten direkt dorthin.

Monokulturen (wie Microsoft) in der IT sind ein strukturelles Risiko – und sehr teuer

Die Abhängigkeit von einigen US-Konzernen ist groß, steigt und diversifiziert sich. Das ist nicht nur teuer, sondern auch gefährlich. Monokulturen in der IT sind genauso ein strukturelles Risiko, wie Monokulturen in der Natur. Hier ein paar Fakten zur Einordnung:

  • Der laufende Rahmenvertrag des Bundes mit Microsoft hat ein Volumen von 1,3 Milliarden (!) Euro, er läuft im Mai 2025 aus
  • Neben MS Office nutzt der Bund viele weitere Dienste von Microsoft, darunter Outlook für Mails, Teams für Videokonferenzen, Co-Pilot als KI-Assistent und diverse Server und Clouddienste. Diese Abhängigkeiten verstärken sich gegenseitig! MS Office möchte Microsoft im Rahmen der Cloud-First-Strategie nur noch in der Cloud anbieten (Microsoft 365), aber es muss die Microsoft Cloud sein… Ein klassisches Beispiel für einen funktionierenden Lock-In Effekt. Verschiedene Microsoft Produkte werden stark miteinander integriert, während die Integration zu externen Diensten absichtlich begrenzt ist. Deshalb läuft das Office-Paket Microsoft 365 auch auf keiner fremden Cloud.
  • Seit Jahren steigen die Kosten des Bundes für Microsoft Lizenzen und Dienstleistungen, von 2017 bis 2023 ein Plus von 270 Prozent, rund 200 Millionen Euro flossen allein in 2023 aus dem Bundeshaushalt an das US-Unternehmen.

Bund versucht, Abhängigkeit von Microsoft zu verschleiern

  • Die Transparenz zur Abhängigkeit und ihren Kosten ist inakzeptabel schlecht. Meine Kleine Anfrage zum Stand von Open Source im Bund vom Dezember 2023 ergab nicht nur die hohen Volumen für Rahmenverträge, sondern auch, dass frühestens 2024 ein Lizenzmanagement des Bundes eingesetzt wird – der Bund weiß also gar nicht, wo er genau was für Software einsetzt.
  • Aber was bezahlt wurde, das ist bekannt und wird Jahr für Jahr von meinem MdB Kollegen, dem Haushaltspolitiker Victor Perli, abgefragt. In diesem Jahr wurden zum ersten Mal vom Bund die Antworten nach den Ausgaben für Microsoft Lizenzen als VS-NfD eingestuft, was bedeutet hätte, dass ich die o.g. Kosten von 200 Mio Euro gar nicht hätte verraten dürfen. Erst nach einer Beschwerde wurde die Einstufung aufgehoben. So ein Vorgehen ist unwürdig, beschränkt sowohl die parlamentarische Arbeit als auch die öffentliche Debatte zu einem Thema, das selbst die Ampel zu einer Priorität erklärt hat: Digitale Souveränität.

Leere Versprechen: Kaum Open Source im Bund, Milliarden für Großkonzerne

  • Im Koalitionsvertrag stand noch: „Entwicklungsaufträge für Software beauftragen wir im Regelfall als Open Source“, die im vorherigen Abschnitt verlinkte Kleine Anfrage von mir ergab jedoch einen großen Widerspruch: nur lächerliche 0,5% Dienstleistungen im Zusammenhang mit Software entfielen in der aktuellen Legislatur auf Open Source, bei einem Gesamtvolumen von mind. 3,5 Mrd €,  und für Entwicklungsaufträge hat z.B. das BMDV auch nur 0,5% seiner Gesamtausgaben von 22 Mio € für die Entwicklung von Open Source-Software beauftragt. Alle Details dazu, finden sich in meiner Berichterstattung vom Dezember 2023.
  • Daran wird sich auch nichts ändern, denn die mickrigen Budgets für Open Source wurde schon im aktuellen Haushalt gekürzt und sollen im Haushalt 2025 noch einmal kräftig zusammengestrichen werden, dazu gleich mehr. Die Ausgaben für gigantische Rahmenverträge steigen jedoch Jahr für Jahr. Oracle: 4,6 Milliarden € Rahmenvertrag, SAP: 700 Millionen Euro Rahmenvertrag, der Microsoft Rahmenvertrag wird gerade verhandelt, der aktuelle umfasst 1,2 Milliarden €.

Abhängigkeit von Microsoft – ein Risiko für IT-Sicherheit und Daten

  • Auch im Digitalausschuss befassten wir uns mit der mangelhaften IT-Sicherheit von Microsoft, insbesondere mit drei sehr großen Sicherheitsvorfällen (das war noch vor Crowdstrike) allein aus den letzten 12 Monaten. US-Berater des Präsidenten stellten fest, dass Microsoft der IT-Sicherheit zu wenig Priorität einräumt und damit selbst zum Sicherheitsrisiko wird. Dabei stellte sich heraus, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogar Rechtswege gegen Microsoft beschreiten musste, um an sicherheitsrelevante Informationen heranzukommen, die die Nutzung von Microsoft Cloud Diensten betreffen. Der US-Kongress hat die Nutzung des Microsoft Co-Pilot wegen Sicherheitsrisiken sogar ganz verboten.
  • Der EU-Datenschutzbeauftragte kritisierte, dass die Nutzung von Microsoft 365 rechtswidrig sei und ein Bruch der Datenschutzverordnung für EU-Institutionen. Die deutsche Datenschutzkonferenz warnte in 2023: “Rein vertragliche Maßnahmen genügen in der Regel nicht, auch wenn die Datenverarbeitung regelhaft ausschließlich im Europäischen Wirtschaftsraum erfolgt” (um einen Zugriff auf die Daten durch US-Behörden zu verhindern).
  • Ein von mir beauftragtes Gutachten des Wissenschaftlichen Dienstes stellte fest: wirkliche Sicherheit gegen Zugriffe von US-Geheimdiensten auf Daten, die mit Software von US-Unternehmen oder ihren Töchtern verarbeitet werden, gäbe es nur bei einer effektiven technischen Trennung. Ob es eine solche Trennung überhaupt geben kann, z.B. weil ja irgendwie Updates von Microsoft auf die in Deutschland bei Deutschen Unternehmen gehosteten Server kommen müssen, habe ich daher auch in der vorliegenden Kleinen Anfrage erfragt.
  • Noch ist die Datenverarbeitung rechtssicher auch bei Datenübermittlung in die USA möglich – solange ein für wahrscheinlich anzunehmendes Schrems III-Urteil nicht das neueste US-EU Data Privacy Framework (Privacy Shields 2.0) kippt. Ich würde keinen Cent dagegen wetten. Unabhängig davon bestehen Risiken auch wegen des CLOUD-Acts, der Herausgabepflichten auch von ausschließlich in Europa verarbeiteten und gespeicherten Daten regelt. Solange die US-Rechtslage so bleibt, dass sie die Menschenrechte nur für US-Bürger*innen, nicht aber für EU-Bürger*innen verankert sind, bleibt klar: Sicherheit geht nur mit weniger Abhängigkeit von Microsoft.

Kl. Anfrage zu Microsoft + Delos-Cloud – wichtigste Erkenntnisse

Kanzler meets SAP CEO – 73 Lobbytreffen zwischen Bund und SAP

  • In a Nutshell: Es gab extrem viele Kontakte zwischen den höchsten Ebenen des Bundes und von SAP
  • Bei 63 Terminen seit 2022 gab es mehr als 73 Kontakte zw. Bund u SAP, davon entfielen 44 allein auf das BMI (15), Kanzleramt u Bundespresseamt (15) und BMF (14)
  • 19 Mal ging es dabei explizit um Delos Cloud – in 2024 bei 9 von 15 Terminen (60%)
  • 10 Mal war der Kanzler selbst dabei, 20 Mal Minister:innen und 13 Mal die Spitzen von Behörden, darunter 9 Mal der/die Präsident:in des BSI (Sicherheitsfragen spielten offenbar eine wichtige Rolle und das ist eine gute Nachricht), 38 Mal waren Staatssekretär:innen präsent
  • auch auf Seiten SAP nahmen 51 Mal höchste Führungsebenen teil – CEO/ Vorstandsmitglieder/ Geschäftsleitung/ Vicepresident/ Senior Vice President beteiligt, darunter 3 mal der CEO der Delos Cloud GmbH, und erstaunliche 20 Mal der SAP CEO selbst. Man erkennt, es geht um viel Geschäft.

Massiver Lobbyismus: 50 Treffen zwischen Bund und Microsoft

  • Hoher Lobbydruck und sehr enge Beziehungen gibt es auch zwischen Microsoft und Bund 
  • Mehr als 50 Mal trafen in den letzten 2,5 Jahren höchste Ebenen des Bundes mit höchsten Ebenen von Microsoft zusammen
  • 23 Mal ging es dabei um das Thema Cloud, in 2023 war das bei mehr als der Hälfte aller Termine der Fall. 
  • Über 60 Mal war dabei höheres Management von Microsoft vertreten – vom General Manager über Senior Vice Präsidenten oder den CEO Global und die Deutschlandchefin von Microsoft (16 Mal). 
  • Fast 70 Mal schüttelten die Unternehmensvertreter:innen die Hände hoher Bundesbeamter, von Staatsekretär:innen (10), den Spitzen von Bundesbehörden (19), von Minister:innen  (18) oder die des Kanzlers (2 Mal). 9 Mal war Robert Habeck dabei. 

Kanzler und BMI lobbyieren massiv für Delos-Cloud

  • Die Bundesregierung bestätigt in ihrer Antwort auf meine Kleine Anfrage: Kanzler Scholz machte am 20.6.24 die Delos Cloud bei der Ministerpräsidentenkonferenz zum Thema. Das ist schon erstaunlich, denn bisher interessierte sich Scholz nullkommanix für digitale Themen.
  • Außerdem: Die direkt danach und ultrakurzfristig für den 27.6.24 anberaumte Sondersitzung des ITPlanungsrates war eindeutig eine Folge dieser MPK (Frage 9) und es ging dabei nur um die Delos Cloud. Dort wurde ein Beschluss diskutiert, in dem das “gemeinsame Interesse” und der “Mehrwert einer gemeinsamen Nutzung” der Delos-Cloud festgehalten werden sollte. Ein solches “gemeinsames Interesse” sei relevant für Investitionsentscheidungen von Seiten Microsoft, Delos und der Delos-Eigentümerin SAP. Der Bund denkt also weniger an IT-Sicherheit oder effiziente Steuermittelverwendung oder an sein Versprechen, vor allem Open Source einzusetzen, sondern macht sich vor allem um die Profitabilität von SAP und Microsoft Gedanken. Der Kanzler und das BMI machen sich damit zum langen Arm des Vertriebes großer IT-Unternehmen.
  • Kurz vor der MPK beehrte Kanzler Scholz übrigens den Gründer von SAP Hasso Plattner bei dessen Abschiedsfeier…Honni soit, qui mal y pense (Ein Schelm, wer Böses dabei denkt?). 

Kein Schritt in Richtung digitale Souveränität – im Gegenteil!

  • Bisher hat die Bundesregierung keinerlei Zusicherung von Microsoft, dass weiterhin On-Premise Lösungen für die Bundesverwaltung angeboten werden können  (Frage 6)
  • Im Gegenteil: die Ampel geht selbst davon aus, dass sich die angekündigte “Cloud-first-Strategie” von Microsoft auch konkret auf die bisher On-Premise genutzten Lösungen in der Bundesverwaltung bezieht (siehe Vorbemerkungen der Bundesregierung in ihrer Antwort)
  • Trotzdem werden die Abhängigkeiten geleugnet und das Erpresserpotenzial heruntergespielt, z.B. schreibt die Bundesregierung einerseits, ihr Interesse an der Delos Cloud hätte nichts mit Abhängigkeiten von Microsoft zu tun (Frage 12) und erklärt andererseits, dass die geplante Weiterentwicklung des IT-Arbeitsplatzes (mit Microsoft Exchange) eine Anbindung an die Microsoft Cloud (Azure) erforderlich mache (Frage 6).  
  • Abhängigkeiten zu US-Konzernen und IT-Sicherheitsrisiken hat die Ampel offenbar generell nicht hinreichend im Blick: Erst vor kurzem zeigte eine Kleine Anfrage von mir auf, dass der Bund extrem abhängig vom US-Konzern Broadcom ist, weil deren Produkt „VMware“ in der IT des Bundes mit heftigem Lock-In-Effekt verankert ist und Open Source-Alternativen nicht forciert wurden.

Bund weiß nicht, ob Delos-Cloud sicher und rechtskonform ist

  • Klipp und klar steht in der Antwort der Bundesregierung, dass noch völlig offen ist, ob die Delos Cloud sicher und rechtskonform verwendbar ist
  • Denn das wird immer noch geprüft (Frage 8a/b; 16), der Ausgang dieser Prüfung sei “offen”. Interessant ist dabei, dass bereits im Juni 2024 ein neuer Rahmenvertrag mit SAP geschlossen wurde, dessen Volumen mit 700 Mio € dreimal so hoch ist wie der Vorgänger-Rahmenvertrag, der auch Cloud Lösungen umfasst.
  • Die Open Source Business Alliance hatte in einem offenen Brief vor den Risiken der Delos-Cloud gewarnt und auf datenschutzrechtliche, vergaberechtliche, sicherheitstechnische, und strategische Risiken hingewiesen. Der Bund erklärt nun auf Nachfrage, dass man diese Bedenken zwar teile, aber dass sie nicht zu einer Infragestellung der Delos-Cloud führen würden. Auch da gibt es unauflösbare Widersprüche, denn der Bund teilt gleichzeitig mit, dass eine Nutzung der Microsoft Cloud vom positiven Ergebnis des laufenden “Prüfauftrages” des IT-Rats abhängig sei, der die Themen Informationssicherheit, Datenschutz und Geheimschutz hoch priorisiere. Der Widerspruch löst sich nur dann auf, wenn das Ergebnis des Prüfauftrages bereits vorab feststeht und die Bedenken ausräumt.

Abgeschottete Cloud? Nope! Direkte Netzverbindung zu Microsoft bestätigt!

  • Das Hauptargument für die Delos-Cloud ist bisher, dass sie die Microsoft Azure Cloud in Deutschland und im Rechenzentrum eines deutschen Unternehmens, der 100%igen SAP Tochter Delos Cloud GmbH betreibt und damit die technische Trennung vor einem Zugriff von US-Geheimdiensten auf deutsche Daten schützt. Laut Gutachten des Wissenschaftlichen Dienstes des Bundestages ist nur eine echte technische Barriere gegen jeden Zugriff von US-Behörden über zur Kooperation verpflichtete US-Unternehmen wirklich sicher. Nun gibt die Bundesregierung in ihrer Antwort zu: eine direkte Netzverbindung zwischen der Delos-Cloud und Microsoft ist zwingend erforderlich (Frage 14a), weil regelmäßig Updates eingespielt werden müssen! Und das hat natürlich Auswirkungen auf die Sicherheit, denn so ist nie ganz überprüfbar, was an Updates von Microsoft eingespielt wirdAuch die Sicherheit dieser Verbindung untersucht übrigens das “Prüfungsprojekt des Bundes”. 
  • Sicherheit spielte offensichtlich bei vielen hochrangigen Gesprächen eine wichtige Rolle, das zeigt auch, dass 20 Mal der Präsident bzw. die Präsidentin des BSI bei Gesprächen mit Führungskräften von Microsoft (11 Mal) und SAP (9 Mal) dabei war. Dabei ging es jedoch auch um andere Sicherheitsprobleme bei Microsoft. 
  • Funfact: die Bundesregierung erklärte auch, die No-Spy-Klausel gäbe es nur für “Gewährleistungsansprüche im Schadensfall”, deshalb unterschreiben diese zwar alle Vertragspartner, aber überprüft wird da nix (Frage 18c).
  • Damit bleiben US-gesetzliche Herausgabepflichten von Kundendaten, über deren mögliche praktische Anwendung die die US-Unternehmen übrigens schweigen und im Ernstfall sogar lügen müssen, ein reales Risiko, z.B. könnten über Updates Hintertüren eingebaut werden.

Bund hofft auf Einsparungen, kommen werden höhere Kosten

  • Es ist geradezu putzig. Die Bundesregierung gibt Jahr für Jahr mehr Geld aus für Microsoft Lizenzen und hofft nun, durch die Nutzung ZUSÄTZLICHER Produkte von Microsoft (nämlich die Azure Cloud, verwendet von SAP) künftig Geld einsparen zu können (Frage 11). Damit ignoriert sie außerdem die erwartbaren Mehrkosten, denn Kostensteigerung durch Mietmodelle u lock-in-Effekte sind häufig. 
  • Gleichzeitig legt die Bundesregierung einen unfassbaren Anti-Souveränitäts Haushalt 2025 vor und kürzt bei allem, was für Alternativen zu Microsoft wichtig wäre: z.B. beim Zentrum für Digitale Souveränität (ZenDiS) und der FITKO. Die Mittel für das ZenDiS wurden von 2023 auf 2024 bereits von etwa 50 Millionen auf weniger als 25 Millionen € gekürzt. In 2025 soll das ZenDiS nur noch 2,7 Mio € enthalten (Haushaltsentwurf 2025) – das ist eine Kürzung um fast 90%. Das ZenDiS soll übrigens die Alternative zu Microsoft Office entwickeln, die OpenDesk heißt, und neben klassischer Office Software auch Open Source Varianten für Videokonferenzen, Mail, Cloudspeicher und Messenger enthält. OpenDesk sollte ab 2025 „breitflächig“ im Bund ausgerollt werden. Das wird wohl kaum möglich sein mit einem solchen Budget. Wir erinnern uns: in 2025 läuft auch der Microsoft Rahmenvertrag aus und wird erneuert, dann aber vermutlich in Verbindung mit der Delos-Cloud, weil es nur noch die Cloud-Variante geben wird. Open Source würgt man finanziell ab, damit Großkonzerne noch mehr Geschäft machen können und die Abhängigkeiten weiter steigen.
  • Wirklich Geld sparen könnte der Bund, wenn endlich ordentlich in Open Source Alternativen investiert würde, denn damit gäbe es ein echtes Ausstiegsszenario aus der extremen Abhängigkeit von Microsoft, die den Bund jährlich hunderte von Millionen Euro kostet.

Delos-Cloud konterkariert deutsche Verwaltungscloudstrategie

  • Im Koalitionsvertrag steht wörtlich: “Auf Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf.” Meine Frage nach Widersprüchen zwischen den Transparenzvorgaben der Verwaltungscloudstrategie (DVS) und einer Microsoft-basierten Delos-Cloud, beantwortete die Bundesregierung inhaltlich überhaupt nicht (Frage 8d). Stattdessen behauptete sie einfach, man setze die Verwaltungscloudstrategie um.
  • Dazu kann ich nur feststellen: Wer derart massiv für eine “gemeinsame” Nutzung der Delos (=Microsoft) Cloud wirbt, setzt keineswegs eine Multicloud-Strategie um. Außerdem entspricht das nicht dem erklärten Vorrang für eine Open Source Cloud, der explizit in der Deutschen Verwaltungscloudstrategie formuliert ist.
  • Völlig irre finde ich die Antwort der Bundesregierung auf meine Frage, ob die Delos Cloud der grundsätzlichen Beauftragung von Entwicklungsaufträgen als Open Source Software nicht widerspricht. Sie verweist nämlich nur auf den rein theoretischen Vorrang von Open Source im neuen eGovernment Gesetz, weicht also eigentlich nur aus. Ganz praktisch ist die Delos Cloud genau null Open Source und ganz praktisch werden nur 0,5 Prozent der Software Entwicklungsaufträge des Bundes als OSS beauftragt (siehe meine Kleine Anfrage 20/9417). Man könnte auch argumentieren, Delos sei letztlich ein Produkt von SAP und deshalb kein Software-Entwicklungsauftrag der Verwaltung, aber die Delos-Cloud wird extra für den Einsatz in der öffentlichen Verwaltung entwickelt und insbesondere für den Bund, aber Open Source hat vermutlich trotzdem bei all den zig Lobbyterminen mit SAP und Microsoft niemand aus der Bundesregierung je angesprochen und gefordert. Der Bund hat schlicht keinen Bock auf Open Source.

Durchblick? Lizenzmanagement Tool kommt erst noch

  • Teil des Problems ist, dass nicht mal der Bund selbst weiß, welche Software Lizenzen er besitzt und/oder welche davon die Behörden nutzen. Ich habe seit Jahren immer wieder nachgefragt, auch in dieser Kleinen Anfrage. Und siehe da, endlich wird ein Software Lizenzmanagement Tool des Bundes ausgerollt, aber erst jetzt und erst mal nur für vier Behörden.
  • Bis Ende 2024 kommt das Lizenzmanagement für zwei Ministerien und zwei Bundesbehörden (Bundesarchiv und Eisenbahnbundesamt), Mitte 2025 sollen fünf, bis Ende 2025 drei weitere Behörden dazukommen, darunter drei Ministerien. Ob es danach weiter geht, hängt laut Antwort der Bundesregierung „von der Haushaltslage“ ab. Das läßt nichts Gutes ahnen.
  • Transparenz ist elementar für gute Staatsführung, nach innen und nach außen, sie muss deutlich höhere Priorität genießen! 

Das war meine Analyse der Kleinen Anfrage, nachfolgend gibts noch Pressestatements von mir dazu und darunter – ganz am Ende – gibts die Links zu den Antwort Dokumenten der Bundesregierung und weitere interessante Quellen.

Meine Pressestatements zur Kleinen Anfrage Microsoft / Delos-Cloud

Zusammenfassend:

„Die extreme Kontaktdichte zwischen hochrangigen Regierungsvertreter:innen und höchsten Repräsentant:innen von SAP und Microsoft in den letzten zwei Jahren wirft Fragen auf und ein schlechtes Licht auf die Bundesregierung, denn obwohl sie zugibt, dass es noch jede Menge offener Fragen zur sicheren Verwendung der Microsoft Cloud unter dem Dach der SAP-Tochter Delos gibt, wurde bereits im Juni ein aufgeblähter Rahmenvertrag mit SAP für ihren Einkauf abgeschlossen, und machte Kanzler Scholz auf der MPK und Nancy Faesers Staatssekretär auf einer Sondersitzung des IT-Planungsrates Werbung für die Delos Cloud bei den Bundesländern. 

So stärkt die Bundesregierung die von ihr immer wieder wortreich angestrebte Digitale Souveränität Deutschlands nicht, sie wird im Gegenteil drastisch geschwächt. Denn wenn das Buddy-System des Dreigestirns aus Bundesregierung und dem Topmanagements bei SAP und Microsoft dazu führt, dass die auf Open Source setzende Deutsche Verwaltungscloud Strategie munter ignoriert und eine Microsoft Cloud im Delos Mantel zur Haupt-Cloud staatlicher Stellen werden kann, führt das direkt zu noch mehr Abhängigkeiten von Microsofts proprietärer Software. 

Derart extreme Abhängigkeiten sind auch mit extremen Risiken verbunden: mit Erpressbarkeit bei steigenden Preisen, unkalkulierbaren Sicherheitsrisiken und noch weiter eingeschränkter Flexibilität, weil das Microsoft Universum faktisch zementiert und ständig erweitert werden wird und Open Source Alternativen künftig noch weniger integrierbar sind. Mit einer Umsetzung des Koalitionsvertrags oder der Digitalstrategie hat diese Entwicklung wenig zu tun. Das ist kurzsichtig und gefährdet die Souveränität der IT in Bund und Ländern.“  

Zum Lobbyismus:

„Ich kann mich aus meinen sieben Jahren im Bundestag an keine einzige Abfrage zu Lobbytreffen zwischen Bund und Vertreter:innen der Wirtschaft erinnern, bei der eine derart hohe Zahl bilateraler Treffen auf derart hohem hierarchischen Level stattgefunden hat, wie zwischen dem Bund und den Unternehmen SAP und Microsoft in den letzten ca. 2,5 Jahren. Da geht ein Bundeskanzler 10 Mal zu SAP und Minister Robert Habeck neun Mal zu Microsoft, ingesamt waren 38 Mal Minister:innen und 48 Mal Staatssekretär:innen bei 113 Terminen mit SAP oder Microsoft dabei. Über 60 Mal waren höchste Management Ebenen von Microsoft präsent, über 50 Mal die von SAP, allein der CEO von SAP war 20 Mal zugegen, die Deutschland Chefin von Microsoft 16 Mal. 

Bei 33 Treffen ging es dabei explizit um Cloud Dienste. Wie viele Treffen hat es wohl gegeben, mit Anbietern von wirklich souveränen Cloud Lösungen, die auf Open Source basieren? Wie neutral wird eine Entscheidung mit langfristigen Folgen, sowohl für die künftige IT-Architektur als auch für Kosten, Flexibilität und Integrationsfähigkeit getroffen werden können, wenn es so viele Lobbytermine mit den Anbietern einer ganz bestimmten Lösung gibt, zu denen bereits extrem hohe Abhängigkeiten bestehen? Es liegt doch nahe, dass bei derart geballter Firmenrepräsentanz, wo vom Global CEO bis zu General Managern und Senior Vice Presidents alles aufgefahren wird, was an hierarchischer Prominenz aufzubieten ist, mit vielen Topjurist:innen und Marketing Expert:innen jeder Kritik der Wind aus den Segeln genommen und mit vielen blumigen Erklärungen das Blaue vom Himmel herunter versprochen wird – ohne dass es hinreichend Gelegenheiten gibt, Gegenargumente auf den Tisch zu legen. 

Und so sah sich auch die Open Source Business Alliance genötigt, einen offenen Brief an die Bundesregierung zu schreiben. Denn für Unternehmen, die Alternativen zu proprietärer Software in Deutschland entwickeln, auch im Bereich Cloud Dienste, haben Kanzler, Minister, Behördenleitungen und ihr Gefolge aus Staatsekretär:innen keine auch nur ansatzweise vergleichbare Aufmerksamkeit übrig. So bleibt die Bevorzugung von Open Source durch den Bund eine Sprechblase der Ampel-Regierung, die nicht nur im Koalitionsvertrag, sondern auch in der Verwaltungscloudstrategiesteht, aber in der Realität weiterhin nicht stattfindet.“ 

Zum Mangel an digitaler Souveränität:

“Nicht müde wird die Bundesregierung, auf die Notwendigkeit einer digitalen Souveränität hinzuweisen, denn Abhängigkeiten sind gefährlich und einseitige Abhängigkeiten sind es doppelt. Da ist eine IT-Landschaft durchaus vergleichbar einem Ökosystem in der Natur, bei dem Monokulturen erheblich anfälliger sind als ein Ökosystem, in dem mehr Vielfalt herrscht. 

Die flächendeckende Abhängigkeit des Bundes von Microsoft wurde häufig kritisiert, wächst aber weiter an, sie diversifiziert sich und umfasst längst nicht mehr nur klassische Office-Anwendungen, sondern u.a. auch Maildienste (Outlook), Videokonferenzsysteme (Teams), KI-Dienste (Co-Pilot), Serversoftware oder Cloud-Dienste. Abhängigkeiten von einem Produkt bedingen häufig neue Abhängigkeiten, so verfolgt Microsoft eine Cloud First Strategie und will auch Office Anwendungen künftig nur noch in der Cloud anbieten, aber nicht in irgendeiner Cloud, sondern in der Microsoft Cloud. 

Seit Jahren wird vor den Konsequenzen gewarnt, nicht nur vom Rechnungshof, der die stetig steigenden Lizenzausgaben kritisiert. In 2023 floss schon jeder sechste Bundes-Euro, der für Software Lizenzen und Services ausgegeben wurde, an Microsoft – mehr als 200 Millionen Euro. Transparenz zum Grad der Abhängigkeit von Microsoft gibt es nicht, sie ist auch nicht erwünscht, denn erstmalig versuchte in diesem Jahr die Bundesregierung, ihre Antwort auf die jährliche Abfrage der Lizenzausgaben durch meinen MdB Kollegen Viktor Perli als VS-NfD einstufen zu lassen, damit sie in der öffentlichen Debatte nicht verwendet werden kann, was nur eine formelle Beschwerde verhinderte. Nicht einmal im Bund gibt es hinreichend Transparenz, denn ein flächendeckendes, verbindliches Lizenzmanagement gibt es nicht. Erst im Laufe des Jahres sollen die allerersten Bundesbehörden ein Software-Lizenzmanagement Tool nutzen können, es befindet sich noch im Roll-out. 

Wie viel, oder besser wie wenig Open Source Software eine Rolle spielt, hat daher auch erst eine Kleine Anfrage von mir ans Licht gebracht. Während im Koalitionsvertrag noch versprochen wurde, dass “im Regelfall” Softwareentwicklungen als Open Source beauftragt werden, kam heraus, dass in den ersten beiden Jahren der Ampelregierung nur lächerliche 0,5 Prozent der 3,5 Milliarden Ausgaben für IT-Dienstleistungen im Zusammenhang mit Software auf Open Source Software entfielen und ausgerechnet das Digitalministerium von 22 Mio € Kosten für Softwareentwicklungen ebenfalls nur 0,5 Prozent davon für Open Source ausgab. Der Regelfall ist nicht offene Software, sondern proprietäre, da hat sich mit der Fortschrittskoalition jenseits der Rhetorik leider absolut nichts geändert.” 

Zu fehlgelenkten Haushaltsmitteln: 

“Mit dem anstehenden großen ‘Gang in die Cloud’ könnten viele Karten neu gemischt werden, aber nicht beim Bund, der bleibt lieber beim Alten, also bei Microsoft. Wie ernst das Gerede von der digitalen Souveränität wirklich gemeint ist, merkt man spätestens am Geld, und das fließt sehr einseitig. Auch Investitionen in Alternativen wie den Open Source Arbeitsplatz des Bundes, OpenDesk, werden zwar sogar international angepriesen, aber trotzdem finanziell ausgebremst. 

Haushaltsmittel sollen steuernd wirken, das tun sie auch bei diesem Thema, nur leider in die falsche Richtung. Auch derHaushaltsentwurf für 2025 ist ein Verrat an der digitalen Souveränität, denn alles was das Potenzial hatte, die Unabhängigkeit der Bundes-IT von proprietären SoftwareW-Anbietern zu verringern, bekam besonders empfindlich Christian Lindners Rotstift zu spüren. Am krassestens trifft es das Zentrum für digitale Souveränität selbst, das unter anderem.a. OpenDesk weiterentwickeln soll, dessen ohnehin unzulänglichen Mittel von gut 20 Millionen Euro in 2024 auf künftig nur noch 2,7 Millionen schrumpfen sollen. Vielleicht hat deshalb der ZenDiS Geschäftsführer hingeschmissen. Wer kann schon mit so einem eklatanten Widerspruch von Anspruch und Wirklichkeit sinnvoll arbeiten. Auch der FITKO sollen die Haushaltsmittel von 43 Mio auf knapp 10 Mio gekürzt werden, obwohl die FITKO eine wesentliche Rolle bei der digitalen Souveränität spielt, Standards entwickeln und pflegen und für den dauerhaften Betrieb der deutschen Verwaltungscloud zuständig sein soll. Mehr Verachtung kann man dem Thema Open Source und Digitale Souveränität kaum entgegenbringen.”

Zur Sicherheit der Delos Cloud:

“Das jahrelange und ungewöhnlich intensive Engagement der Bundesregierung für eine Bundes-Cloud auf Basis von Microsoft Technologie erstaunt insbesondere in Anbetracht der Tatsache, dass es bis heute keine abgeschlossene Prüfung der Delos Cloud gibt, die ihre Unbedenklichkeit vor allem hinsichtlich der Informationssicherheit, des Datenschutzes und des Geheimschutzes feststellt. Die Prüfungen laufen immer noch, wie lange weiß man nicht, ihr Ausgang soll laut Bundesregierung offen und der Einsatz der Delos Cloud davon abhängig sein. Aber wie offen ist diese Prüfung wirklich, wenn der gerade erst im Juni abgeschlossene Rahmenvertrag mit SAP plötzlich dreimal so viel Volumen  – ca. 700 Mio Euro – wie sein Vorgängervertrag umfasst, aber dafür die Delos-Cloud mit abdeckt? An Zufälle glaube ich da nicht und die Bundesregierung gibt ja auch in ihrer Antwort selbst zu, dass die Kritik der OSBA, die auf die gerade in Prüfung befindlichen Sicherheitsrisiken hinwies, nicht zu einer Infragestellung der Delos Cloud führen würde. Immerhin nimmt das BSI das Thema ernst und zwar auf höchster Ebene, 20 Mal waren der Präsident des BSI und seine Nachfolgerin Claudia Plattner bei Terminen mit Microsoft und SAP dabei. 

Brisant ist jedoch, dass die Bundesregierung zugeben musste, dass die Microsoft Azure Technologie keineswegs quasi abgeschottet in Rechenzentren der SAP Tochter Delos laufen kann, was eine technische Barriere sein sollte, um Datenabflüsse Richtung US-Geheimdienste zu verhindern, denn US-Gesetze können US-Firmen weiterhin zum heimlichen Ausspähen von Daten ihrer Kunden zwingen. Nun bestätigte die Bundesregierung: Auch wenn die Azure Cloud im Rechenzentrum von Delos läuft, müssen die dortigen Server über eine Netzwerkverbindung mit den Servern von Microsoft direkt verbunden sein, denn anders lassen sich die notwendigen Updates gar nicht einspielen. 

Aber wo es derartige Verbindungen mit Software Updates gibt, kann auch nicht ausgeschlossen werden, dass aus der Ferne absichtlich Sicherheitslücken als Hintertüren eingebaut werden. Auf das Ergebnis der andauernden Sicherheitsprüfung und die darin verwendeten Argumente bin ich daher sehr gespannt. 

Aus meiner Sicht sollte man als Regierung eines europäischen Landes auf die Abhängigkeit von US-Konzernen komplett verzichten, das schaffen schließlich auch andere Mitgliedsstaaten der EU. Was es dafür braucht, ist eine umfassende Exit-Strategie, eine Priorisierung und ausreichende Förderung bereits verfügbarer Alternativen und vor allem eins: ‘Walk the Talk!’ – Also eine Bundesregierung, die ihre Versprechen und Vorgaben von Koalitionsvertrag bis zur Verwaltungscloud-Strategie endlich umsetzt und einhält.”

Links und Anlagen

  • Antwort der Bundesregierung: Hauptdokument LINK
  • Antwort der Bundesregierung Anlage 1 (Lobbytreffen mit SAP) LINK
  • Antwort der Bundesregierung Anlage 2 (Lobbytreffen mit Microsoft) LINK
  • Kleine Anfrage Open Source vom Dezember 2023 LINK zum Pressestatement
  • Gutachten der Wissenschaftlichen Dienste zur Sicherheit vor US-Zugriffen auf in DE gehostete Daten LINK
  • Diverse Tabellen mit Auswertungen der Lobbytreffen LINK

Zum Dritten Mal nach 2022 und 2023 befragte die Gruppe DIE LINKE im Bundestag die Bundesregierung nach dem Einsatz von Künstlicher Intelligenz im Bund und zur Förderung von KI. Aus der Antwort der Ampel zur diesjährigen Kleinen Anfrage ergibt sich ein starker Zuwachs der KI-Anwendungen sowie immense verfügbare finanzielle Mittel in Höhe von über 2,5 Milliarden Euro für KI-Vorhaben bei gleichzeitig fehlenden Supportstrukturen, mangelnden Kompetenzen, Standards und verbindlichen Prozessen, obwohl alles dies seit Jahren angekündigt wurde. Auch Ankündigungen der Ampel zur Nachhaltigkeit beim Einsatz von KI wurden flächendeckend nicht eingehalten.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag:

Weiterlesen

In 2023 machte die Unternehmensübernahme von VMWare durch Broadcom Schlagzeilen, da VMWare Produkte u.a. bei sogenannten Virtualisierungen und Clouddiensten den Markt dominieren und Broadcom bei früheren Übernahmen durch radikale Veränderungen von Lizenzmodellen und Preisstrukturen zu Lasten der Kunden auffiel und dabei vorhandene Abhängigkeiten gnadenlos ausnutzte. Auch die Bundes-IT hängt stark von VMWare Produkten ab und ist potenziell erheblichen Preiserhöhungen unterworfen. Trotzdem vergab der Bund noch im Herbst 2023 Rahmenverträge im Volumen von 600 Mio Euro für VMWare-Produkte. Eine Kleine Anfrage der Gruppe DIE LINKE im Bundestag deckte auf, dass die Bundesregierung nicht einmal eine Risikobewertung vorgenommen hat, dass die Abhängigkeiten wie vermutet enorm sind, dabei Detailinformationen wegen potenzieller Staatswohlgefährdung eingestuft wurden, einschließlich der Folgekosten für den Bund.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Bundesregierung verspricht immer wieder mehr Digitale Souveränität, aber tut weiterhin viel zu wenig, um dieses Versprechen in die Realität umzusetzen. Das rächt sich auch im Fall der einseitigen Abhängigkeit von VMWare-Produkten, für die allein von Nov. 2019 bis Mai 2024 Lizenzen im Wert von 460 Mio € vom Bund bezogen wurden. Der Bund ruht sich darauf aus, dass er Lizenzen über Rahmenverträge mit Dritten bezieht und diese noch bis zu drei Jahre Laufzeit haben, so dass die enormen Preissteigerungen erst mit Zeitverzug bei der IT des Bundes ankommen. Aber eine entscheidende Software in einem Gesamtsystem, wie z.B. in vielen der über 180 Rechenzentren des Bundes, kann man nicht von heute auf morgen austauschen. Dazu braucht es zuerst eine Gesamtrisikobewertung und darauf aufbauend eine Exitstrategie. In ihrer Antwort gibt die Bundesregierung zu, dass es beides bisher nicht gibt.

Kurzfristig sieht sie keinerlei Handlungsbedarf, nicht einmal ein Vergabestopp wird erwähnt. Für die Gesamtwirtschaft rechnet die Bundesregierung allerdings direkt mit Einschränkungen der Zuverlässigkeit des IT-Betriebs durch auslaufende Updates, sowie mit Kostensteigerungen. Der Fall “VMware” zeigt tatsächlich sehr anschaulich, wie ein Lock-in-Effekt funktioniert, denn viele VMware-Kunden können gar nicht zu Alternativen wechseln, weil ein Umstieg zu komplex oder technisch auf absehbare Zeit nicht machbar ist. Diese Kunden müssen in den sauren Apfel willkürlicher Preiserhöhungen beißen, was besonders kleine- und mittlere Unternehmen in finanzielle Schieflage bringen kann. Aber auf drei Jahren sicherer Konditionen kann sich der Bund nicht ausruhen.

Aktuell fehlt jedoch ohnehin jeglicher Überblick, denn von den öffentlich breit diskutierten Problemen wie dem Zwang zum Umstieg von on-premise Lösungen auf Cloud-Lösungen und von Einzel- auf (in vielen Fällen erheblich teurere und oft unnötige) Bündellizenzen oder den negativen Auswirkungen beim Zwangsumstieg auf Abo-Modelle und von gestoppten Wartungsverträgen, die zu erheblichen IT-Sicherheitsrisiken führen, hat die Bundesregierung nach ihrer Aussage bisher nichts mitbekommen.

Die Folgen des schlechten Risikomanagements sollen offenbar nicht öffentlich werden, denn wichtige Teile ihrer Antwort stellte sie nur in nichtöffentlichen Dokumenten bereit, wozu auch meine Frage zu erwarteten Kostensteigerungen gehört, die mit Verweis auf eine mögliche Staatswohlgefährdung zur Verschlusssache erklärt wurden.

Vor allem aber muss die Bundesregierung endlich ihr Bekenntnis zur digitalen Souveränität auch leben und dazu gehört eine angemessene Ausstattung des Zentrums für Digitale Souveränität, damit es seine Aufgabe, Open Source Alternativen für den Bund bereitzustellen, auch erfüllen kann. Statt immer wieder Milliardenschwere Rahmenverträge mit den immer gleichen großen US-Konzernen abzuschließen, sollte der Bund konsequent das Ökosystem für Open Source Produkte weiterentwickeln und wo immer es diese Möglichkeit gibt, leistungsfähige Open Source Lösungen einsetzen. Dies gilt insbesondere für den anstehenden Wechsel hin zu einer Cloud-basierten Bundes-IT. Denn wenn nicht endlich ein konsequentes Umdenken im Sinne einer tatsächlichen digitalen Souveränität und damit auch im Sinne des Gemeinwohls stattfindet, bleibt die unabhängige, hoheitliche und sichere Digitalisierung der Verwaltung unerreichbar.“

Weiterführende Links:

Am 27.12.2023 habe ich auf dem 37. Chaos Communication Congress (#37C3) über “Klimafreundliche Digitalisierung: Koalitionsvertrag vs. Wirklichkeit” gesprochen. Ich habe die drei möglichen Rollen vorgestellt, in denen der Bund seinen Einfluss auf die Nachhaltigkeit der Digitalisierung nutzen könnte: als Förderer (Stichwort Hunderte von  Millionen Euro Fördergelder für Künstliche Intelligenz), als Regulierer (Stichworte Reparaturgesetz, Energieeffizienzgesetz) und als Einkäufer mit enormer Marktmacht und Nutzer von ITK-Produkten und Dienstleistungen, von Hardware über Software bis zum Einkauf von Rechenzentrumsdienstleistungen.

Der Bund hat zwar enorme Einflussmöglichkeiten, aber nutzt diese nicht ansatzweise und bleibt weit hinter den eigenen Versprechen im Koalitionsvertrag oder in der Digitalstrategie zurück. Klimafreundlichere Rechenzentren, energieeffiziente Software und Websites, Förderung von Reparaturcafés (dafür gab es 2023 eigentlich 2 Mio Euro im Haushalt, die leider nicht dort landeten), kluge Regulierung oder Einhaltung eigener Vorschriften zur Nachhaltigkeit – Fehlanzeige, egal wohin man näher guckt. Selbst die Datenlage ist weiterhin grottig, wenn auch hier und da besser, als bei meinen früheren Nachfragen.

Der Vortrag dauerte 30 Minuten, er wurde aufgezeichnet und kann HIER angesehen werden.

Die in meinem Vortrag benannten Fakten gehen auf einige meiner parlamentarischen Anfragen (Kleine Anfragen, schriftliche Fragen) zurück. In diesem Blogtext möchte ich die darin erwähnten parlamentarischen Initiativen in einer Übersicht auflisten, erklären und verlinken.

Meine neueste Kleine Anfrage zur Nachhaltigkeit der Rechenzentren (RZ) des Bundes vom 06.11.23

  • Darin gibt es Daten zum Berichtswesen, zur Anzahl der Rechenzentren, zur Nachhaltigkeit (Abwärmenutzung, Kältemittel, Erneuerbare Energien, Blauer Engel), Energieeffizienzregister u.v.m.
  • Ausgewählte Fakten:
    • Die Anzahl der RZ nimmt immer weiter zu. Der Bund nennt eine Zahl von 118 RZ, die nicht stimmen kann. Plausibel sind 194 RZ, 10 mehr als vor 1 Jahr.
    • Das Berichtswesen ist schlecht, aber soll (immer noch) überarbeitet werden, Das Berichtsjahr 2024 soll endlich bessere Daten bringen.
    • Es gibt ein erhebliches strukturelles Informationsdefizit, nur sehr wenige RZ haben ein Energiemanagementsystem, Monitoren Strom, Klima und Wasser oder ihre IT-Last.
    • Abwärme nutzen nur 11 der 118 Rechenzentren
    • Klimafreundliche Kältemittel nutzen nur 13 der 118 RZ
    • Erneuerbare Energien nutzen ganz oder z.T. 74 der 118 RZ
    • Einen Blauen Engel nach altem Standard haben 2 RZ, aber keines hat einen nach aktuellem Standard
  • HIER Antwort der Bundesregierung vom 07.12.2023, Drucksache: 20/9667
  • HIER Mein Blogpost mit Analyse dazu

Meine Vorgänger Anfragen zur Nachhaltigkeit der Bundes-IT findet man hier:

  • 2021: Kleine Anfrage “Nachhaltigkeit und Klimaverträglichkeit der Digitalisierung
    • HIER Antwort der Bundesregierung vom 25.06.21, Drucksache 19/31210
    • HIER Mein Blogpost mit Analyse dazu
  • 2022: Kleine Anfrage “Status quo und Fortschritt bei der Nachhaltigkeit der Informationstechnologie des Bundes
    • HIER Antwort der Bundesregierung vom 20.09.22, Drucksache 20/3619
    • HIER Mein Blogpost mit Analyse dazu

Meine Kleine Anfrage “Die Bedeutung von Open Source Software im Bund und die Stärkung der digitalen Souveränität der Bundesverwaltung” vom 17.11.23

  • Daten zum Einkaufsverhalten des Bundes hinsichtlich Rahmenverträge, Open Source, proprietärer Software, zur Entwicklung und zum Rollout von Open Source Software durch das Zentrum für digitale Souveränität, Verlängerung von Microsoft Rahmenverträgen etc.
  • Ausgewählte Fakten:
    •  KoaV: “Darüber hinaus sichern wir die digitale Souveränität, u. a. durch das Recht auf Interoperabilität und Portabilität sowie das Setzen auf offene Standards, Open Source und europäische Ökosysteme (KoaV, 2021)
    • Alles Blabla? Realität beim BMDV:
    • Anteil Open-Source-Software an allen Software-Entwicklungsaufträgen der Ampel im BMDV: 0,5%!!! (121 000 € von 22,3 Mio €)
    • Realität der Bundesregierung:
    • Rahmenverträge der 10 größten Vertragspartner: Zus. 13,6 Milliarden € Vertragsvolumen
    • Allein zwei Rahmenverträge für Oracle u Microsoft haben zus. 5,9 Milliarden € Volumen
  • HIER Antwort der Bundesregierung vom 06.12.23, Drucksache 20/9641
  • HIER Meine Analyse dazu (pdf)

Meine Kleine Anfrage zum “Einsatz Künstlicher Intelligenz im Geschäftsbereich der Bundesregierung”

  • HIER gibt es die Antwort der Bundesregierung vom 17.05.23, Drucksache 20/6862, sowie HIER später nachgereichte Vorhaben von Sicherheitsbehörden wie BKA und Bundespolizei
  • Daten zu Anzahl und Art von KI-Vorhaben des Bundes, Durchführung von Evaluationen, Risikoassessments, Vorhandensein von Standards und standardisierten Prozessen, Reallabore, Pilotprojekte, Nachhaltigkeitsstandards etc.
  • Ausgewählte Fakten:
    • KI Förderung Bund in der 20. Whalperiode (Aw. Auf Frage 7): 1,4 Mrd €, 514 Vorhaben
    • 44x Nachhaltigkeit als Förderbedingung, Projektziel o Vorhabeninhalt
    • 65x Nachhaltigkeit anderweitig erwähnt
    • 405x Nachhaltigkeit NICHT erwähnt
    • Auch bei KI-Einsatz in Bundesbehörden Nachhaltigkeit kaum berücksichtigt (Antwort auf Frage 1 h), z.B:
    • BMDV, BMEL, BMVg u.a. schneiden besonders schlecht ab, fast keine Nachhaltigkeitskriterien berücksichtigt oder erfasst
    • Auch beim BMUV nicht, aber wenigstens Absichtserklärung es besser zu machen
  • Meine Analyse mit Schwerpunkt KI-Projekte des Bundes HIER
  • Analyse meiner MdB Kollegin Petra Sitte mit Schwerpunkt Förderung von KI-Forschungsprojekten HIER und zum verschenkten Potential für Gemeinwohl HIER

  • Für Neugierige: die Vorgängeranfragen früherer Jahre gibts hier:
    • 2021: Kleine Anfrage “Künstliche Intelligenz im Geschäftsbereich der Bundesregierung”, Antwort der Bundesregierung vom 14.01.22: Drucksache 20/430 HIER
    • Meine Analyse dazu HIER
    • 2022: Antwort auf Nachfrage zur 2021er Kleinen Anfrage vom 05.08.22 HIER

Meine Schriftlichen Fragen zur Nachhaltigkeit von Software, Green-IT-Initiative und Nachnutzung von IKT des Bundes

  • Antworten der Bundesregierung auf mehrere schriftliche Fragen von mir vom 08.12.23: HIER zur Reparatur und Nachnutzung der IT des Bundes, HIER zu Maßnahmen zur Verbesserung der Nachhaltigkeit der IT des Bundes und HIER zur Nachhaltigkeit von Software für den Bund.
  • In a nutshell:
    • Keine einzige mit Blauem-Engel (BE)-zertifizierte Software beim Bund eingesetzt
    • Kein Wunder, denn der Dok-Reader Okular ist einzige Software, mit Blauem-Engel-Zertifikat, mehr gibts nicht
    • Keine Ausschreibungen von Entwicklungsaufträgen für Software mit Vorgabe: „Blauer Engel für Software“ also, obwohl es den Blauen Engel schon seit 2020 gibt.
    • “In der Regel” fänden Blaue Engel-Kriterien bei Ausschreibung Anwendung, heißt es – das kann aber kaum stimmen, sonst gäbe es mehr Software mit Blauem Engel
    • Für Dezember 2023 wurde eine überarbeitete Version des Blauen Engels angekündigt, der auch serverbasierte Software einbeziehen soll, das wäre gut (aber ob das passierte, weiß ich nicht)
    • Verbindliches zu nachhaltiger Software enthält theoretisch die Verwaltungsvorschrift AVV Klima von 2021, bei Ausschreibungen sollen Nachhaltigkeitskriterien davon “in unterschiedlichen Ausprägungen” berücksichtigt worden sein – eine Kontrolle gibt es offenbar nicht, glaubwürdig ist die Behauptung nicht – aber auch nicht überprüfbar
    • Zur Wiederverwertung IKT: ein Rahmenvertrag mit Inklusionsunternehmen wurde Ende 2022 geschlossen und soll auch angemessen genutzt werden, das ist gut!
    • Das (löchrige) Berichtswesen Green-IT soll überarbeitet werden, um endlich (ohne meine Nachfragen) Daten zur Erfüllung der Blaue Engel Standards auch für Rechenzentren zu erheben und soll erstmalig 2024 veröffentlicht werden
    • Eine Nachhaltige Ausstattungsrichtlinie soll 2024 veröffentlicht werden
    • Auch der Maßnahmenplan für nachhaltige Rechenzentren soll 2024 kommen
    • Der „schönste“ Satz: „Im Jahr 2024 wird mit der Erarbeitung einer Empfehlung zum nachhaltigen Downsizing von Rechenzentren aufgrund von Konsolidierung begonnen“ – die IT-Konsolidierung läuft von 2015-2025 und 2024 will man mit der Erarbeitung von Empfehlungen beginnen… LOL“
  • Fazit: Große Ankündigungen, nachweisbar fast nichts erreicht!

Meine Schriftliche Frage zur Nachhaltigkeit von Webseiten des Bundes

  • Antwort der Bundesregierung vom 08.12.23 HIER
  • In a nutshell:
    • Ein Leitfaden zur umweltfreundlichen öffentlichen Beschaffung von Software wurde überarbeitet und im Sommer 2023 veröffentlicht.
    • Leider ohne Hinweise auf mögliche Richtlinien für Umsetzung des Prinzips der Datensparsamkeit und Senkung von Treibhausgasemissionen des vermeidbaren Datenverkehrs
    • Interne Vorgabe: Software ist werbefrei —> das ist ja wohl bei Websites von staatlichen Stellen ein Nobrainer!
    • Was fehlt: die Verbindlichkeit in der gelebten Praxis
Screenshot aus der Aufzeichnung meines Vortrages beim 37C3 im Dez. 2023, im Bild eine Darstellung des CO2 Ratings für die Website des BMWK - 96% aller Webseiten haben einen geringeren Carbon Footprint.
Screenshot Vortrag Anke Domscheit-Berg beim 37C3 in Hamburg, 27.12.2023

Meine Schriftlichen Fragen zur Förderung von Repair-Cafés

  • Im Haushalt 2023 hatte die Ampel-Regierung 2 Mio Euro für ein „Reparieren statt Wegwerfen“ Programm bereitgestellt. Weil es auch bei uns in Fürstenberg/Havel ein Repair-Café im Verstehbahnhof gibt, wollte ich wissen, wann da was ankommt und fragte nach, erst mündlich, ohne Erfolg, dann schriftlich.
  • Antwort der Bundesregierung vom 06.09.23 auf meine Frage, was mit den Haushaltsmitteln passiert, ob schon Gelder flossen und wenn ja wofür und wie es weitergeht (Antwort: HIER ) und weil ich aus der Basis hörte, dass den Ankündigungen keine Taten folgten, fragte ich Anfang Januar 2024 nach, wie viel denn nun aus dem Haushalt 2023 abgeflossen ist für Repair-Café und die enttäuschende aber nicht überraschende Antwort vom 11.01.24 gibts HIER.
  • In a nutshell:
    • Antwort der Bundesregierung vom Sept. 2023: Haushaltsmittel für “Reparieren statt Wegwerfen” wurden noch nicht verausgabt, eine Förderrichtlinie fehlt noch, aber die Ausgabe soll noch vollständig (!) in 2023 erfolgen
    • Antwort der Bundesregierung vom Jan. 2024: Oops, doch kein einziger Euro der 2 Mio € ist geflossen, weder an Repair-Cafés noch sonst irgendwie für für das Programm Reparieren statt Wegwerfen
  • Übrigens: auch im Haushalt 2024 wird es Geld geben für dieses Programm, diesmal sogar 4,5 Mio Euro, ich hoffe sehr, dass diesmal wirklich auch was ankommt bei den Repair-Cafés! Ich werde ein Auge darauf haben.

Nachtrag: wie die Ampel das Fragerecht der linken Opposition beschneidet

Am 2. Februar 2024 hat der Bundestag mit der Mehrheit der Ampel die Gruppe der Linken im Bundestag anerkannt, was einerseits eine gute Nachricht und andererseits eine schlechte ist. Das Gute: wir erhalten viele Rechte zurück, die wir nach der Auflösung als Linksfraktion nicht mehr hatten, denn wir galten alle als „fraktionslos“ und durften z.B. keine einzige Kleine Anfrage mehr stellen und wir bekamen keine zusätzlichen Mittel mehr (für gemeinsame IT, für Personal, für Öffentlichkeitsarbeit), keine Räumlichkeiten für Sitzungen etc. Nun bekommen wir wieder (gekürzte) Mittel, können wieder gemeinsam Dinge tun bzw. dafür bezahlen und dürfen wieder in Ausschüssen abstimmen und Kleine Anfragen stellen.

Das Schlechte: Unser Recht auf Kleine Anfragen wurde extrem beschnitten – auf 10 K.A. je Monat für die gesamte Gruppe. Die Linksfraktion hatte bis zur Auflösung in der aktuellen Legislatur etwa das Vierfache an Kleinen Anfragen. Etwa ein Viertel der Fraktion – 10 MdB – hatte sich als BSW abgespalten, die als eigene Gruppe anerkannt wurde. Sie erhalten ebenfalls ein Recht auf 10 K.A. je Monat. Jedes MdB der BSW kann also monatliche eine K.A. stellen, als Mitglied der Gruppe der Linken kann ich rechnerisch nur einmal im Quartal eine K.A. stellen. Zweidrittel unserer bisher gestellten Kleinen Anfragen können wir also mit dieser Quotierung nicht mehr stellen!

Das ist natürlich völlig inakzeptabel, weil es in das parlamentarische Informations- und Kontrollrecht von Abgeordneten unzulässig eingreift und außerdem Ungleiches gleich behandelt. Wir werden dagegen klagen und ganz sicher vor Gericht gewinnen, bis dahin ist jedoch unser Fragerecht stark beschnitten und ich kann künftig viele der oben beschriebenen Informationen nicht mehr für die Öffentlichkeit in Erfahrung bringen. Damit schadet die Ampel-Koalition nicht nur mir und der Gruppe der Linken, sondern auch der Demokratie – in einer Zeit, wo das ein gefährliches Agieren ist. Sie muss sich vorwerfen lassen, dass sie ihre Mehrheit mißbraucht, um die (linke) Opposition ihrer Rechte zu beschneiden – Wasser auf die Mühlen der Politik- und Parteienverdrossenheit.

Auch in diesem Jahr habe ich eine Kleine Anfrage an die Bundesregierung gestellt, um zu erfahren, wie nachhaltig die IT des Bundes ist, insbesondere die Rechenzentren. Damit sich nicht jede:r durch die vielen schwer lesbaren Dokumente aus der Antwort der Bundesregierung quälen muss, gibt es nachfolgend eine ausführliche Analyse mit vielen Zahlen und Fakten, die ich mit meinem Team aus den Dokumenten erarbeitet habe. Vergnügungssteuerpflichtig war das nicht, keine Tabelle war maschinenlesbar, alles nur PDF mit z.T. inkonsistenten Antworten. Für alle, die die Zeit dafür aufbringen können, lohnt sich dennoch HIER ein Blick in die Originaldokumente.

Datenlage – Die Bundesregierung hat keinen Durchblick

  • Laut Frage 1 soll (immer noch) das Berichtswesen Green IT überarbeitet werden, für 2023 sollen dann (rückblickend) alle 21 Kriterien des (neuen) Blauen Engels für RZ berichtet werden
  • Wichtige Informationen werden strukturell nicht erhoben von den meisten Rechenzentren ! 
    • Nur 7% geben an, ein Energiemanagementsystem (Blauer Engel) zu haben (Frage 10)
    • Nur 29% haben ein IT-Last Monitoring (Blauer Engel) (Frage 10)
    • Nur 13% haben ein Monitoring von Strom, Klima u Wasser (Blauer Engel) (Frage 10)
  • Die Bundesregierung senkt sich dabei die Latte selbst: noch vor 1 Jahr kündigte sie an, alle Bundes-RZ ab 100 kW Anschlussleistung würden ein Energie-Management-System einführen – das beträfe 41 RZ laut Antwort auf eine Schriftliche Frage von mir; laut Energieeffizienzgesetz gibt es diese Pflicht aber nur noch für Bundes-RZ ab 300KW Nennleistung, das sind aber nur noch 16 RZ, also 25 Rechenzentren weniger!
  • Für mehr als jedes vierte der aufgelisteten 118 RZ des Bundes gibt es keine Daten für den Stromverbrauch oder den Ökostrom-Anteil (besonders schlecht: Digitalministerium: bei 8 von 10 RZ gibt es keine Angabe), und auch nicht für die verwendeten Kältemittel (Frage 13)
  • Transparenz gibt es überhaupt nicht: 0% der RZ gaben an, irgendwelche Daten zur Energieeffizienz zu veröffentlichen (ein Blauer Engel Kriterium, Frage 10)
  • Auch am künftigen Energieeffizienzregister hat sich kein einziges RZ des Bundes bereits mit Daten in der Pilotphase beteiligt, es ist finanziert vom BMWK (Frage 2 b)
  • Auch der Fortschrittsbericht zum Maßnahmenprogramm Nachhaltigkeit kommt regelmäßig verspätet, der noch ausstehende Bericht für 2022 soll laut Ampel nun irgendwann im ersten Quartal 2024 kommen. (Frage 1c)
  • Es fehlen nicht nur viele Daten, manche widersprechen sich auch direkt: zB die Angaben des BMFSFJ zur Abwärmenutzung: in der Antwort auf Frage 14 “Nutzung Abwärme?” steht 6 Mal Nein u 1 Mal Keine Angabe, bei Frage 10 (Blauer Engel, Kriterium Abwärmenutzung) steht jedoch bei 2 RZ des BMFSFJ “erfüllt” – nur eins davon kann stimmen. Auch bei der Nutzung klimaschädlicher Kältemittel gibt es Widersprüche zwischen verschiedenen Tabellen (Anlage 1 und Anlage 3), wonach entweder nur 1 oder mindestens 3 der 6 RZ des Umweltministeriums klimaschädliche Kältemittel verwenden. 

Nachhaltigkeit der Bundes-IT: Hoher Anspruch – kaum Umsetzung

Nachfolgend detailliertere Analysen zu den Themen:

  1. Allgemein – Überblick – Blauer Engel
  2. Erneuerbare Energien, Stromverbrauch
  3. Abwärmenutzung
  4. Kältemittel
  5. Einkauf und Nachnutzung von IT
  6. Sonderauswertung BMWK und BMUV
  7. IT-Konsolidierung des Bundes – Anzahl RZ

1. Allgemein – Überblick – Blauer Engel

  • Nur 2 RZ haben einen Bl. Engel – aber nur nach alten Kriterien (Frage 11)
  • Kein einziges RZ erfüllt alle 21 Kriterien des neuen Blauen Engel (Anlage 1)
  • Nur 5% der 118 RZ gaben an, wenigstens die Hälfte dieser Kriterien zu erfüllen 
  • Jedes 5. RZ (19%/22) gab für kein einziges der 21 Kriterien an, dass es erfüllt wird (also inkl. “Keine Angabe”) 
  • Jedes 5. RZ gab an, mehr als 5 von 21 Kriterien zu erfüllen (18%)
  • Das beste RZ ist eines, das zumindest 17 von 21 Kriterien erfüllt.
  • Auch bei neuen RZ spielt weiterhin der Blaue Engel eine untergeordnete Rolle, obwohl die Einhaltung seiner Kriterien seit Jahren Vorschrift ist. (Frage 15)

Übersicht Erfüllung Kriterien des Blauen Engels für RZ:

 Auswahl der 9 besonders relevanten Blaue-Engel-Kriterien:

Nachfolgend drei Tabellen zu den 9 wichtigsten Kriterien des Neuen Blauen Engels, einmal die Übersicht über alle 118 RZ des Bundes und dann noch mal je eine Tabelle für die Rechenzentren des BMWK und des BMUV, die ja beide für das Thema Nachhaltigkeit der IT kompetent und verantwortlich sein sollten.

2. Erneuerbare Energie:

  • Für jedes 4. RZ sind weder Stromverbrauch noch Ökostrom-Anteil bekannt,
  • Immerhin: 74 / 118 RZ nutzen erneuerbare Energien, (2022: 52 RZ) – das sieht aus wie eine deutliche Verbesserung! Schaut man jedoch in die Tabelle der 118 RZ (Anlage 2), ist nur bei 4 Rechenzentren eine Verbesserung des Anteils von Erneuerbaren Energien erkennbar. Spitzenreiter mit 100% Erneuerbaren für alle ihre RZ sind: BMAS (3 RZ), BMBF (4 RZ), BMF (11 RZ) u BPA (4 RZ). Auch ganz gut sind: BMWK: 11 RZ mit 100% Erneuerbaren, 1 mit keiner Angabe)
  • Besonders uninteressiert ist offenbar das Digitalministerium: 8 mal Angabe „Keine Ahnung“ (die Abkürzung K.A. kann auch „Keine Angabe“ heißen), 1 mal 36 % Erneuerbare u nur 1 mal 100 % Erneuerbare.
  • Die Bundesregierung bestätigt den Plan, bis Ende 2024 ALLE Liegenschaften des Bundes (dazu gehören auch RZ) mit 100% Erneuerbare zu versorgen – das Ziel ist durchaus erreichbar. (Frage 6)

Übersicht zum Anteil erneuerbarer Energien

Stromverbrauch: steigt wieder

Nachdem er jahrelang sank, steigt der Stromverbrauch der Bundes-IT wieder, laut Bundesregierung wegen der “Zunahme der Digitalisierung und mehr mobiler Arbeit”, sie will gegensteuern durch “Umsetzung der Kriterien des Blauen Engels für Rechenzentren” und durch “kontinuierliches Monitoring” (Frage 3) – da aber nur 2 von 118 RZ einen Blauen Engel haben u ein kontinuierliches Monitoring offenbar gar nicht stattfindet, wird das wohl nichts…. Der Bund kann auch nicht schätzen, ob der Stromverbrauch steigen oder sinken wird.

3. Abwärme: Verschlechterung!

  • Nur 9 % der 118 Rechenzentren nutzen Abwärme in irgendeiner Form (keines detailliert trotz Nachfrage wie und wie viel), in absoluten Zahlen: 11 RZ nutzen Abwärme, in 2022 waren es noch 14! (Anlage 4)
  • Die Abwärme-Kriterien des Blauen Engels erfüllen sogar nur 6 der 118 RZ – das sind 5 % – wahrlich keine Vorbildwirkung! (Anlage 1)
  • Bemerkenswert: 2 Rechenzentren des BMWK gaben in 2022 an, Abwärme zu nutzen, jetzt aber nicht mehr. Das ist kurios und ginge jedenfalls in die falsche Richtung.

Übersicht zur Abwärmenutzung:

4. Kältemittel: keine Verbesserung, gleichbleibend schlecht

  • Nur 13 von 118 Rechenzentren nutzen klimafreundliche Kältemittel – eins mehr als in der Antwort zur Kleinen Anfrage 2022 stand, von den 12 RZ des BMWK gehört keines dazu (Anlage 3)
  • 73 RZ nutzen explizit klimaschädliche Kältemittel (32 RZ = Keine Angabe)
  • Immerhin haben 16 RZ eine Umrüstung auf weniger klimaschädliche Kältemittel geplant, davon 4 der 11 RZ mit klimaschädlichen Kältemitteln beim BMWK, aber keines der 2 RZ mit klimaschädlichen Kältemitteln beim BMUV

Übersicht zur Klimafreundlichkeit der Kältemittel:

5. Einkauf und Nachnutzung von IT

Ein Reuse-Management haben nur 26 der 118 RZ (40 „keine Angabe“, 52: “nein”) – Es gibt also weiterhin kein systematisches Lifecycle-Management für die Unmengen an Hardware in den Rechenzentren des Bundes. (Anlage 1) 

Einkaufsmacht des Bundes: zu wenig Nachhaltigkeitskriterien in RZ-Dienstleistungsverträgen:

  • Der Bund kauft für Milliarden Euro IT-Produkte u Dienstleistungen ein – er hat eine hohe Marktmacht u kann damit steuernd wirken, das tut er aber viel zu wenig.
  • „100% erneuerbare Energie“ findet sich bei fast allen (14 von 15) Co-Location RZ des Bundes (Frage 16)
  • Klimafreundliche Kältemittel sind nirgendwo Vertragsbestandteil
  • Nur selten gibt es einen Mindest-PUE Wert (4 von 15 Mal)
  • Aber zunehmend spielt Abwärmenutzung eine Rolle, 5 Mal als Vertragsbestandteil u 2 weitere Male findet sie statt (ohne Verankerung im Vertrag)

6. Sonderauswertung: BMWK und BMUV sind keine Vorbilder!

Die Bilanz ist für beide grün-geführten und für Umwelt und Klima zuständigen Ministerien mehr als peinlich.

  • BMWK:
    • 0 von 12 RZ des BMWK haben ein Energiemanagementsystem (Anl. 1)
    • Kein RZ nutzt Abwärme (Anlage 4)
    • Kein RZ nutzt klimafreundliche Kältemittel (für 4 ist eine Umrüstung geplant) (Anl. 3)
    • Nur bei Nutzung von Erneuerbaren blamiert sich Klimaminister Habeck nicht (11 von 12 RZ) (Anlage 2)
    • Das BMWK hat keine Personalstellen für die Nachhaltigkeit seiner RZ (Frage 1b)
  • BMUV:
    • Immerhin 5 von 6 RZ haben ein Energiemanagementsystem  (Anlage 1)
    • Nur 2 von 6 nutzen klimafreundl. Kältemittel (lt. Anlage 3).
    • Nur 1 von 6 nutzt Abwärme (Anlage 4)
    • Nur 4 von 6 RZ nutzen 100% Erneuerbare Energien
    • Lobenswert: es gibt 3 Personalstellen für Nachhaltigkeit in RZ (Frage 1b)

7. IT-Konsolidierung des Bundes: Ziele werden nicht erreicht, sondern abgeschafft

  • Das Großprojekt IT Konsolidierung des Bundes läuft von 2015 bis 2025 und wird vorr. 3,5 Mrd. € kosten. Laut Grobkonzept von 2015 soll die Anzahl der Bundes-RZ auf 10, laut Aussage im Herbst 2023 im Digitalausschuss sogar auf 3 RZ reduziert werden.
  • Seit Jahren steigt jedoch die Anzahl RZ anstatt zu sinken.
  • Laut Frage 8 hat der Bund 118 Rechenzentren, im letzten Jahr gab er 184 RZ an
  • Allerdings fehlen dieses Jahr in der Tabelle alle RZ des Kanzleramtes und der Beauftragten für Kultur und Medien (2022: 1+8 RZ) sowie beim Vergleich mit den Tabellen in 2022 auch 67 RZ des BMI, vermutlich die RZ der Netze des Bundes.
  • Rechnet man diese 9 + 67 RZ zu den 118 RZ hinzu, hat der Bund 194 RZ, also wieder 10 mehr als im letzten Jahr.
  • Bis 2025 will der Bund laut Frage 8 b) die Anzahl der RZ von 118 auf 99 verringern, auch in dieser Prognose-Zahl sind die unterschlagenen RZ aus drei Ressorts nicht enthalten.
  • Laut Antwort auf Frage 7 ist das aber für die BuReg offenbar kein Problem, da „die Anzahl der Rechenzentren kein Kriterium mehr für die Zielerreichung ist“ – ob die Anzahl RZ also nun wirklich reduziert wird oder nicht und wann es welche erreichbaren Ziele gibt, bleibt schleierhaft.

So viel also zum Fortschritt der Nachhaltigkeit der Bundes-Rechenzentren. Noch mehr Informationen zum Thema Nachhaltigkeit der Bundes-IT – also auch zu Software, Webseiten aber auch zum Einkauf von Open Source im Allgemeinen gibt es in meinem Artikel zum Vortrag Nachhaltigkeit der Bundes-IT: Koalitionsvertrag vs. Wirklichkeit zu lesen, den ich am 27.12.2023 beim 37. Chaos Communication Congress (#37C3) gehalten habe. Den Vortrag kann man sich HIER ansehen.

Eine aktuelle Kleine Anfrage der Linken im Bundestag zur Bewertung der Digitalen Souveränität des Bundes erfragte Informationen zu Rahmenverträgen der Bundes-IT und zu Ausgaben für proprietäre Software und Open Source Software (OSS). Aus der Antwort der Bundesregierung mit DS 20/9641 ergibt sich, dass die 10 größten Vertragspartner für IT-Rahmenverträge ein gemeinsames Rahmenvertragsvolumen von über 13,6 Mrd. Euro haben. Davon entfällt allein auf Produkte und Dienstleistungen des US-Herstellers Oracle ein Gesamtvertragsvolumen von 4,8 Milliarden Euro, mit dem größten Einzel-Rahmenvertrag über 4,6 Mrd Euro bei einer Laufzeit bis 2030. Weitere knapp 1,3 Milliarden entfallen auf zwei Rahmenverträge für Lizenzen des US-Unternehmens Microsoft.

Aus der detaillierten Abfrage von Ausgaben zu Entwicklungsaufträgen von Software und zu Dienstleistungen im Zusammenhang mit Software ergab sich, dass der Bund seit Beginn dieser Legislatur nur etwa 0,5 Prozent seiner entsprechenden Ausgaben für OSS einsetzte. So vergab das Digitalministerium Entwicklungsaufträge im Volumen von 22,3 Mio Euro, wovon aber nur 121.000 Euro (0,55 Prozent) auf die Entwicklung von OSS entfielen. Für Dienstleistungen im Zusammenhang mit Software verausgabte der Bund insgesamt sogar etwa 3,5 Milliarden Euro, auch davon flossen aber nur 18,6 Mio (0,54 Prozent) an Open Source. Sowohl der Koalitionsvertrag der Ampel-Regierung als auch ihre Digitalstrategie versprachen jedoch, auf Open Source zu setzen. Dazu erklärt Anke Domscheit-Berg:

“Ich kann mich an keine Regierung erinnern, bei der digitalpolitische Ankündigungen und ihre Umsetzung derart eklatant auseinander klafften! Die Förderung von Open Source und die Betonung der Digitalen Souveränität als Richtschnur für IT-Entscheidungen sind offensichtlich reine Lippenbekenntnisse, denn in der Praxis setzt auch die sogenannte Fortschrittskoalition auf die übliche Praxis, für sehr viel Geld teure proprietäre Software insbesondere von großen US-Konzernen einzukaufen. Nicht einmal der für die Digitalstrategie zuständige Minister Wissing hält sich an das, was er darin angekündigt, denn für OSS Entwicklung gab er nur 0,5 Prozent seines Budgets für Softwareentwicklung aus.

Dass außerdem mehrjährige IT-Rahmenverträge über extrem hohe Summen v.a. mit US-Konzernen sowie zu ihren Produkten abgeschlossen wurden, ist genau das Gegenteil von Stärkung der digitalen Souveränität und erhöht auf viele Jahre die Abhängigkeit des Bundes von einzelnen US-Konzernen. Mit einer einzigen US-Firma (Oracle) sogar einen Rahmenvertrag über 4,6 Mrd Euro abzuschließen, der noch bis zum Ende der nächsten (!) Legislatur laufen wird, ist schlicht auch obszön, denn diese Summe ist doppelt so hoch, wie die Kosten der mühsam erkämpften Kindergrundsicherung bei ihrer Einführung und auch in Anbetracht des für 2024 zu erwartenden Kahlschlaghaushalts für viele soziale Belange. Außerdem wird damit die Abhängigkeit von einem einzelnen Hersteller über Jahre hinweg extrem erhöht. Wer aber abhängig ist von einzelnen Firmen und ihren Produkten, wird erpressbarer – muss also häufig immer mehr bezahlen, ist außerdem weniger flexibel und geht ein zusätzliches IT-Sicherheitsrisiko ein. Deshalb ist es völlig inakzeptabel, dass der Koalitionsvertrag zwar einerseits verspricht, die digitale Souveränität durch mehr OSS zu sichern, aber gleichzeitig der Bund mit milliardenschweren Rahmenverträgen das Gegenteil erreicht und Tatsachen schafft, die bei einer Handvoll US-Konzernen die Kassen klingeln lassen, aber jede Menge Nachteile und Risiken bedeuten, bis hin zum Risiko, dass es über eingebaute Hintertüren Datenabflüsse an US-Geheimdienste gibt.

Am Ende erkennt man doch immer am Geld, wie ernst es eine Regierung mit ihren Versprechen meint! Bisher stehen auch im Haushalt für 2024 Kürzungen ausgerechnet für Open Source Initiativen an, denn die Haushaltsmittel für das Zentrum für Digitale Souveränität sollen fast halbiert werden. Diese Kürzungen betreffen die beiden wichtigsten Vorhaben des Bundes zur Förderung von OSS: die Entwicklung eines Open Source Arbeitsplatzes, als Alternative zu Microsoft Office, und die Plattform OpenCode, auf der Software der Verwaltung veröffentlicht werden soll.

Würde es die Bundesregierung ernst meinen mit der Förderung von Open Source in der eigenen Verwaltung, gäbe es messbare Ziele und ein Monitoring für den Anteil von OSS im Bund, beides existiert bisher nicht, selbst ein Software-Lizenzmanagementsystem befindet sich erst in der Planungsphase, was bei so hohen Ausgaben für Lizenzen schlicht nicht nachvollziehbar ist. Die gesamte Praxis der Bundesregierung zur Entwicklung von Software und Vergabe von Rahmenverträgen konterkariert ihre eigenen strategischen Ziele und trägt viel zu wenig zur Entwicklung europäischer Open Source Alternativen und eines Open Source Ökosystems bei, sie schadet außerdem aktiv der digitalen Souveränität.”

Links:

Anmerkung:

Die Detailtabellen zu den einzelnen Entwicklungs- und Dienstleistungsverträgen (3 weitere Anlagen) sind eingestuft als „Nur für den Dienstgebrauch“ und können daher nicht veröffentlicht werden.

Zum Dritten Mal hatte die Linksfraktion mit einer Kleinen Anfrage Informationen zur Nachhaltigkeit der Bundes-IT erfragt, da die Digitalisierung eine erhebliche Klimawirkung hat. Auch die Ampelregierung hat sich die Nachhaltigkeit der Digitalisierung auf die Fahnen geschrieben, u.a. im Koalitionsvertrag, in ihrer Digitalstrategie und zuletzt mit dem Energieeffizienzgesetz aus dem Hause Habeck, das insbesondere Rechenzentren reguliert. Aber bereits die Anfragen von 2021 und 2022 ergaben, dass einerseits die Datenlage zum Thema katastrophal ist – die Bundesregierung weiß nicht einmal hinreichend, wo sie steht – und dass andererseits der Bund alles andere als ein Vorreiter in nachhaltiger Digitalisierung ist. Während in Dubai die COP28 zur Klimakrise tagt und nachdem gerade wieder ein Gericht dem Bund zu langsames Handeln bescheinigte, ergab die aktuelle Kleine Anfrage zur Nachhaltigkeit der Bundes-IT, dass es dennoch nur marginale Verbesserungen, punktuell sogar Verschlechterungen gab und dass insbesondere keine strukturellen Verbesserungen erreicht wurden. Dazu erklärt Anke Domscheit-Berg, Digitalpolitikerin der Linken im Bundestag:

Zu Daten u Intransparenz:

„So lange die Ampel weiterhin dieses eklatante strukturelle Informationsdefizit hat, wird sie keines ihrer Nachhaltigkeitsziele für ihre IT erreichen können. Kaum irgendwo ein Monitoring von Strom, Klima oder Wasser, für jedes 4. Rechenzentrum sind weder Ökostromanteil noch der Gesamtenergieverbrauch bekannt. Nicht einmal jedes dritte  Rechenzentrum gibt an, ein IT-Last-Monitoring zu betreiben, mit dem sich die Auslastung der Server optimieren lässt, was Energie spart. Auch zur Power UsageEffektiveness, ein übliches Maß zur Ermittlung von Energieeffizienz, gibt es für fast 40% der Rechenzentren des Bundes keine Daten. Ich bin es leid, immer nur von Ankündigungen einesguten Berichtswesen zu lesen, denn ohne vernünftige Daten kann man nicht gut steuern! Gerade zu frech ist die Unterschlagung von mehr als 60 Rechenzentren, für die es in 2022 noch Daten gab.“

Zu Nachhaltigkeit

„Ein besonders schlechtes Vorbild ist ausgerechnet das Klimaministerium von Habeck, der ein Energieeffizienzgesetz für nachhaltigere Rechenzentren durchsetzte, aber von dessen 12 Rechenzentren keines Abwärme nutzt oder klimafreundliche Kältemittel, es hat auch keines ein Energiemanagementsystem und nicht ein einziges steuerte Daten für den Aufbau seines Energieeffizienzregisters bei, alle anderen RZ des Bundes allerdings auch nicht.“

„Nachhaltigkeit schafft die Ampel nur auf dem Papier: Der Blaue Engel ist für Rechenzentren des Bundes schon seit Jahren eine Vorgabe, aber nicht einmal zwei Prozent haben ihn, Abwärme nutzt nicht mal jedes 10. Rechenzentrum – sogar weniger, als im letzten Jahr und knapp 90 Prozent der Rechenzentren nutzen weiter klimaschädliche Kältemittel. Die „besten“ fünf Prozent der Rechenzentren erfüllen gerade einmal die Hälfte der Anforderungen des aktuellen Blauen Engels. So wenig Fortschritt, noch dazu bei der angeblichen Fortschrittskoalition, habe ich mir nicht vorstellen können.

Zur IT-Konsolidierung

„Wenn die Ampel-Regierung ein Ziel nicht schafft, schafft sie es offenbar ab, denn nachdem erneut die Anzahl der Rechenzentren um 10 auf 194 RZ stieg, statt von 184 RZ auf 10 RZ zu sinken, erklärt sie nun, die Anzahl der RZ sei kein Kriterium mehr für dieZielerreichung. Das ist eine Bankrotterklärung erster Klasse. Auf der Strecke bleibt dadurch nicht nur die Nachhaltigkeit, sondern auch die Leistungsfähigkeit, Souveränität und Sicherheit der Bundes-IT.“ 

Antwort der Bundesregierung:

Datenblatt zur Analyse:

Dieser Blogpost dreht sich um die Nachhaltigkeit der IT des Bundes. Schon zweimal habe ich dazu eine Kleine Anfrage an die Bundesregierung gestellt. Hier werden die Daten der letzten Anfrage ausgewertet und außerdem zusammengefasst, was die Ampel sonst so zu dem Thema versprach oder seitdem beschloss. Zur besseren Orientierung und damit Ihr auch Abschnitte einzeln finden und lesen könnt, hier eine Übersicht:

    1. Ausgangslage und Vorgeschichte – meine erste Anfrage 2021

    Die Welt ist mit zwei globalen Transformationen konfrontiert: Digitalisierung und Klimakrise, beide hängen auch eng zusammen. Ohne Digitalisierung gibt’s keine Energie- und Verkehrswende, gleichzeitig steigt der Ressourcenverbrauch und der CO2 Fußabdruck der Digitalisierung rasant an. Digitalisierung muss daher nachhaltig sein. In der Pflicht steht dabei auch der Bund, der mit über 180 Rechenzentren und einem Einkaufsvolumen von einer Milliarde Euro im Jahr für ITK-Produkte und Dienstleistungen einen erheblichen Klimafußabdruck verursacht.

    Im Juni 2021, also noch zu GroKo Zeiten, erfragte ich erstmalig den Status der Nachhaltigkeit der Bundes-IT. Die Antworten waren deprimierend, denn einerseits fehlte es massiv an Überblick – viele Daten waren einfach nicht bekannt, und andererseits zeugten die Daten, die vorhanden waren, von durchgehend mangelhafter Nachhaltigkeit. Seit 2012 gibt es einen Blauen Engel für effizienten Rechenzentrumsbetrieb, seine acht Kriterien erfüllten die Rechenzentren des Bundes (da wo es überhaupt Daten gab) kaum: 80% nutzten z.B. klimaschädliche Kältemittel, 93% nutzten keine Abwärme. Wer sich für diese erste Anfrage interessiert, kann die Antwort der Bundesregierung hier nachlesen: Drucksache 19/31210.

    Im August 2022 wollte ich wissen, was sich seitdem getan hat und war gespannt, welche Unterschiede es zwischen GroKo und Ampel-Koalition gibt. Die ganze Antwort auf diese zweite Kleine Anfrage kann man hier finden: Drucksache 20/3619

    2. Die Versprechen der Ampel – Koalition

    Hoffnung machte mir dabei der Koalitionsvertrag der Ampel vom November 2021. Darin stand z.B., dass „neue Rechenzentren ab 2027 klimaneutral zu betreiben seien, und dass bei„IT-Beschaffungen des Bundes Zertifizierungen wie z. B. der Blaue Engel Standard sein sollen“. Weitere Vorhaben und Ziele folgten, so wurde im August 2022 die Digitalstrategie veröffentlicht, in der die Ampel-Koalition verspricht:

    „Wir wollen uns 2025 daran messen lassen, ob:

    1. „…die 3. Abwärme von Rechenzentren besser genutzt wird und sich der Einsatz umwelt- und klimafreundlicher Kühlmethoden verbessert hat. Um dieses Ziel zu erreichen werden wir Beschaffungsrichtlinien anpassen (…).
    2. …der Aufbau eines Energieeffizienzregisters für Rechenzentren einen Wettbewerb unter den Rechenzentrums-Betreibern um die größte Energieeffizienzleistung ausgelöst hat.
    3. Methoden zur energieeffizienten Softwareentwicklung (ADB: gemeint ist vermutlich Entwicklung energieeffizienter Software)und effizienter KI-Entwicklung und -Übertragung (ADB: KI-Übertragung? gemeint ist vermutlich „Datenübertragung“) etabliert sind.“

    Schon im Juli 2022 wurde ein Sofortprogramm für den Gebäudesektor  angekündigt, in dem konkret davon die Rede ist, dass ein Energieeffizienzgesetz kommt und Rechenzentren zu mindestens 30% Abwärmenutzung verpflichten soll. Soweit die Ankündigungen. Aber wie sah es nun mit Transparenz und Nachhaltigkeit der Bundes-IT im Sommer 2022 aus?

    3. Kleine Anfrage 2022 offenbart eklatanten Mangel an Transparenz

    Um ein Problem beheben zu können, muss man sein Ausmaß kennen, dafür braucht es geeignete Daten. Die Datenlage zur Nachhaltigkeit der Bundes-IT war auch ein Jahr nach meiner ersten Anfrage unverändert schlecht. Selbst einfache Fragen, wie nach der Nutzung erneuerbarer Energie in Rechenzentren konnten mir für zwei Drittel der Rechenzentren nicht beantwortet werden. Ein RZ des BMI gab als Erklärung dafür an, dass es gar keinen eigenen Stromzähler hat. In meinem Haus gibt es drei verschiedene Stromzähler, einer ist für das kleine Rechenzentrum in meinem Keller. Was bei mir im Keller geht, sollte auch das Bundesinnenministerium bei seinen Rechenzentren schaffen.

    Ohne eigenen Stromzähler wird es schwierig, den Energieverbrauch gezielt zu erfassen… Angaben des BMI aus Anlage 5

    Für jedes vierte seiner RZ weiß der Bund offenbar nicht, welche Kältemittel dort verwendet werden. Es ist nicht einmal klar, wie viele RZ die Bundesregierung tatsächlich hat oder in den nächsten Jahren haben wird. Die Zahlen sind inkonsistent. Es sind offenbar irgendwie um die 180 Rechenzentren, für 118 dieser RZ gab es zu keinem einzigen der acht Kriterien des Blauen Engels auch nur eine einzige Angabe. Sie sind offenbar im Blindflug was ihre Klimawirkung und Energieeffizienz angeht. Sehr dünn ist die Informationslage auch beim BMI, wo es besonders weh tut, denn das BMI ist für 82 Rechenzentren zuständig.

    Die Tabellen aus der Antwort der Bundesregierung waren allgemein bemerkenswert konfus, uneinheitlich ausgefüllt und enthielten sogar offensichtliche Fehler, etwa die Einstufung eines eindeutig klimaschädlichen Kältemittels in einem RZ des BMI als unbedenklich.

    Das BMI klassifiziert in Anlage 6 die Kältemittel R410a und R134a als unbedenklich, obwohl sie starke Treibhausgase sind (GWP-Wert 2088 bzw. 1430) 

    Das Bundesministerium für Ernährung und Landwirtschaft verrät an irgendeiner Stelle, dass es die Daten für fünf verschiedene Rechenzentren einfach zusammengefasst hat. Wie soll man solche Daten sinnvoll auswerten?

    Die abgefragten Daten für das RZ Nr. 39 des BMEL gelten offenbar konsolidiert für fünf Rechenzentren. (aus: Anlage 2.1).

    Es fehlt an gutem Willen, Datenkompetenz oder auch an Datenquellen, wie einem getrennten Zähler für den Stromverbrauch. Ich habe da wohl Staub aufgewirbelt, denn drei Wochen nach Eingang meiner Anfrage wurde die Green-IT Initiative des Bundes mit erweiterten Ziele neu aufgelegt: nun soll das Berichtswesen verbessert und künftig jährlich die Kriterien des Blauen Engels für RZ erfasst werden! Auch aus der Opposition heraus kann man offenbar etwas bewirken.

    4. Zu wenig: Abwärmenutzung, Strom aus Erneuerbaren, klimafreundliche Kältemittel

    Bei der Transparenz hat sich offenbar nichts verbessert seit meiner ersten Anfrage in 2021. Leider auch kaum bei der tatsächlichen Nachhaltigkeit, die man ja nur dort beurteilen kann, wo es Daten gab. Für die Rechenzentren des Bundes habe ich acht Kriterien des Blauen Engels  für effizienten RZ-Betrieb  – von Ökostrom bis Kältemittel – abgefragt. Die häufigste Antwort war auch hier: „keine Ahnung“, die zweithäufigste war „keiner der acht Parameter wird erfüllt“.

    Über 90% der RZ, für die Daten angegeben werden, erfüllen nicht einmal vier der acht Kriterien des Blauen Engels. Nach den Angaben in den Tabellen erfüllt kein einziges RZ alle acht Kriterien, tatsächlich gibt es aber ein RZ, das mit dem Blauen Engel zertifiziert ist, das gleiche wie 2021.


    Nicht einmal für jedes Dritte RZ wurde angegeben, dass Strom aus erneuerbarer Energie verwendet wird.

    Nutzung von Ökostrom laut Anlage 5 der Antwort der Bundesregierung

    Null Veränderung gab es beim Thema Abwärme: 93% von 190 RZ nutzen sie immer noch nicht – genau wie im Vorjahr (für die Daten siehe Anlage 7 der Antwort der Bundesregierung)

    Nutzung von Abwärme laut Anlage 7 der Antwort der Bundesregierung

    Verbesserung auf niedrigem Niveau gab es bei klimaschädlichen Kältemitteln, deren Anteil von 80% in 2021 auf 67% in 2022 sank (Basis 190 RZ des Bundes), allerdings hat ja jedes vierte RZ die Frage nicht beantwortet, ob es wirklich eine Verbesserung gab, kann man daher nicht sicher sagen. 

    Nutzung von Kältemitteln nach Klimawirkung laut Anlage 6 der Antwort der Bundesregierung

    Entsprechend der umweltpolitischen Digitalagenda vom März 2020 sollten alle künftig in Betrieb gehenden Rechenzentren alle Kriterien des Blauen Engels einhalten. In der Antwort auf meine Kleine Anfrage gab die Bundesregierung jedoch zu, dass mindestens 38% aller 34 RZ, die seit März 2020 neu in Betrieb gingen oder noch in Planung sind, die Kriterien des Blauen Engels NICHT erfüllen werden.

    Hinweis: Im Januar 2023 wurde der Blaue Engel für Rechenzentren novelliert, anstatt zwei getrennter Siegel für RZ und Co-Location-RZ gibt es nun einen einheitlichen Blauen Engel RZ-Betrieb allgemein.

    Anwendung der Kriterien des Blauen Engels bei neuen und geplanten RZ seit März 2020 laut Anlage 3 der Antwort der Bundesregierung

    5. Kein Fortschritt bei nachhaltiger Software und Webservices

    Nachhaltige IT hat aber nicht nur mit Rechenzentren zu tun. Laut Umweltbundesamt verbraucht eine ineffizient programmierte Software bis zu vier Mal so viel Energie wie nachhaltig programmierte Software, weshalb es inzwischen auch einen Blauen Engel für nachhaltige Software gibt. Meine Anfrage ergab, dass der Bund keine einzige Software nennen kann, die mit diesem Blauen Engel zertifiziert ist und vom Bund oder in seinem Auftrag entwickelt wurde. In manchen Behörden sollen Leitfäden für nachhaltige Softwareentwicklung zwar existieren (konkrete Beispiele werden keine genannt), aber ein Monitoring gibt es nicht und kontrolliert wird da vermutlich nichts.

    Die Bundesregierung schreibt in ihrer Antwort, dass für die nachhaltigere Beschaffung von Software nun auch ein Leitfaden überarbeitet werden soll, aber ohne Verbindlichkeit und Umsetzungskompetenz wird ein Leitfaden mehr nichts ändern. Wir erinnern uns: die Ampel Koalition will sich laut Digitalstrategie daran messen lassen, dass „bis 2025 Methoden zur energieeffizienten Softwareentwicklung etabliert sind“. In ihren eigenen Häusern könnte sie damit anfangen.

    Vom BMUV wurde mir im November 2022 im Nachgang zum Digitalausschuss mitgeteilt, dass eine Selbstverpflichtung der Bundesverwaltung zur Nutzung von Software mit Blauem Engel in Planung sei  – gehört habe ich seither jedoch nichts mehr davon.

    Für die unzähligen Websites des Bundes gibt es übrigens gleich gar keine Art von Vorgaben, Richtlinien oder Standards für Nachhaltigkeit, dabei hat auch ihre Programmierung einen großen Einfluss darauf, wie viel Energie bei ihrem Aufruf verbraucht wird.

    6. IKT des Bundes soll nachhaltiger werden, doch ein Monitoring fehlt

    Der Bund kauft jährlich im Wert von einer Milliarde Euro IT-Produkte und Dienstleistungen ein, da kommt es auch darauf an, dass nachhaltig eingekauft wird. Dabei ist der gesamte Lebenszyklus von Hardware zu betrachten, denn häufig hat die Nutzungsdauer einen erheblichen Einfluss auf den Klimafußabdruck. So entstehen nach Informationen des Öko-Institut e.V. z. B. 84% des Treibhausgasausstoßes von Laptops bereits durch die Herstellung des Geräts, bei Tablets sind es sogar 98%.

    In ihrer schriftlichen Antwort an mich kündigt die Bundesregierung hier etliche Verbesserungen an, z.B. wird die Abgabe von Gebrauchtgeräten an gemeinnützige Organisationen geprüft, neue Ausschreibungsprozesse mit Lebenszyklusbetrachtung pilotiert und ein Rahmenvertrag für die Wiederverwendung von IKT-Produkten inklusive ihrer Aufbereitung sogar durch ein Inklusionsunternehmen geplant. Ich hoffe, dass das alles auch umgesetzt wird und bin gespannt auf die gelebte Praxis!

    Auszug aus der Antwort der Bundesregierung auf Frage 21, ob die Bundesregierung plant, alte IT-Geräte verbindlich und unbürokratisch zu reparieren/aktualisieren, auf Markt für Gebrauchtwaren zu veräußert oder an gemeinnützige Institutionen abzugeben).

    Verunsichernd war allerdings eine Antwort des BMUV vom November 2022 auf meine Frage im Digitalausschuss, wie denn beim IKT-Einkauf des Bundes die Nachhaltigkeit berücksichtigt werden solle. Die lakonische Antwort war, dass diese Kriterien bereits jetzt umgesetzt würden. Um es mal vorsichtig zu formulieren: diese Antwort ist mit der Realität schlicht nicht vereinbar. Außerdem spricht sie nicht für ein vorhandenes Problembewusstsein und echte Veränderungsbereitschaft.

    Leider existiertkein Monitoring der Einhaltung von Nachhaltigkeitskriterien im IKT-Lebenszyklus und es ist auch nicht geplant. So ist unklar, ob man überhaupt Einblick in die gelebte Praxis erhalten kann. 

    7. IT-Konsolidierung des Bundes tritt auf der Stelle

    Keinen erkennbaren Fortschritt gibt es bei der IT-Konsolidierung des Bundes, denn sie soll die Anzahl der Rechenzentren verringern, was auch ihren nachhaltigen Betrieb erleichtert. Die Bundesregierung scheint zwar immer noch nicht genau sagen zu können, wie viele Rechenzentren sie nun wirklich hat, aber dennoch wird aus ihrer Antwort eins klar: eine Reduktion der Anzahl Rechenzentren ist auch Jahre nach Beginn des Mammutprojektes nicht in Sicht, im Gegenteil, die Anzahl RZ steigt. Die IT-Konsolidierung wird damit nicht nur zum Milliardengrab für Steuergelder, sondern auch zu einer erheblichen Hürde auf dem Weg zu einer nachhaltigeren IT-des Bundes.

    8. Tacheles: Was die Ampel Koalition für nachhaltige IT tut

    Seit September 2022 gilt eine neue Green-IT-Initiative, die neben einem verbesserten Berichtswesen und Monitoring mit vereinheitlichten und zentral erfassten Kennzahlen auch die Einhaltung der Blauen Engel Kriterien forcieren soll – alles bis spätestens 2027. Dafür wurde ein Maßnahmeplan für die Umsetzung angekündigt. Dieser Plan scheint bisher noch nicht zu existieren.

    Konkret steht in der Green-IT Initiative als Zielvorgabe für 2027: „Grundsätzliche Erfüllung der Kriterien des Blauen Engels in allen bundeseigenen Haupt-Rechenzentren“. Von der Einschränkung auf Haupt-RZ (>100KW max. Anschlussleistung) ganz zu schweigen, gibt es Einschränkungen wie „Nachweis der Einhaltung der Wirtschaftlichkeit“ – womit sich die Vorgabe wieder aushebeln lässt. Weiterentwickelt werden soll das „Maßnahmenprogramm Nachhaltigkeit“ aus der Nachhaltigkeitsstrategie der Vorgänger GroKo-Regierung. Funfact: schon in dieser älteren Strategie stand, dass bei allen RZ des Bundes die Kriterien des Blauen Engels berücksichtigt werden sollen. Außerdem wurde in der Green-IT-Initiative konkret die vollständige Umstellung aller RZ auf Ökostrom bis Ende 2024 (die Rede ist von 2TWh pro Jahr) und das Erreichen einer klimaneutralen Bundesverwaltung bis 2030 festgelegt.

    Einige der Ziele der Ampel-Regierung soll das neue Energieeffizienzgesetz (EnEfG) umsetzen. Nach dem aktuellen Stand des Gesetzesentwurfs sollen nur noch Rechenzentren überhaupt reguliert sein, die mindestens 200 KW Anschlussleistung haben, in früheren Entwürfen war von 100 KW die Rede. Mit dieser Einschränkung sind ca 98% aller RZ raus aus jeder Pflicht. Abwärmenutzung für neue Rechenzentren soll bis 2028 stufenweise von 10% auf nur noch 20% ausgebaut werden (frühere Entwürfe: 40%), und die Ausnahmeregelungen und Übergangsfristen dafür wurden deutlich erweitert. Berechtigt ist die Kritik von Bitkom, Eco und Umweltinstitut München, dass Wärmenetzbetreiberselbst bisher keine Verpflichtung zur Kooperation bei der Abwärmenutzung haben, es gibt auch keine Anforderung, Rechenzentren bei der Stadtplanung neuer Wohngebiete etc. aktiv einzuplanen. Stattdessen finden sich lediglich gewisse Informationspflichten der Wärmenetzbetreiber, welche Nutzungsmöglichkeiten theoretisch bestehen. Das ist eindeutig zu wenig! Sinnvoll ist die Anforderung eines  PUE ≤ 1,3 (auch wenn es geeignetere Kriterien gibt) für neue Rechenzentren ab 2026 und für alle anderen ab 2030, 100% erneuerbare Energie ab 2027 und Umweltmanagements- und Informationspflichten.  Schließlich reguliert der Gesetzentwurf die Luftkühlung stärker, die schrittweise auch für ältere Rechenzentren nur noch bei einer Eintrittstemperatur ab 27°C zulässig sein soll. Ein öffentlich zugängliches Energieeffizienzregister, vom Bund eingerichtet, steht leider nur ohne Umsetzungsfrist im Gesetz, mehr Transparenz ist dennoch überfällig. Wer mehr sachliche Kritik zum EnEffG lesen möchte, dem empfehle ich die Stellungsnahme des Umweltinstitutes vom April 2023.

    Bei der ersten Lesung zum Energieeffizienzgesetz bin ich in meiner Rede vor allem auf das Thema Rechenzentren eingegangen, man kann sie auf meiner Homepage nachlesen oderdas Video davon sehen und hören.

    9. Fazit

    Für 2022 hatte ich eine bessere Datenlage zur Nachhaltigkeit der Rechenzentren erhofft, tatsächlich aber sind die Informationslücken unverändert groß. Eine sinnvolle Steuerung im Sinne der Nachhaltigkeit ist auf dieser Basis nicht möglich, der Fortschritt steht und fällt also damit, dass der Bund die erklärte Verbesserung im Berichtswesen und im Monitoring schnell umsetzt.

    Mein Eindruck ist schon, dass die Ampel insgesamt das Thema nachhaltige IT stärker verfolgt, als die Vorgängerregierung, aber die Klimakrise schreitet ja auch voran und da müssen auf Absichtserklärungen in Strategien endlich auch konkrete Taten mit messbaren Effekten folgen. Das Energieeffizienzgesetz könnte dazu einen wichtigen Beitrag leisten, wenn es nicht, so wie bisher,  zum zahnlosen Tiger geschliffen wird und viele Aspekte weiter unberücksichtigt bleiben.

    Ich erwarte, dass die Umstellung der Bundes-RZ auf 100% Erneuerbare Energien kurzfristig erfolgt und dass man auch für die Umstellung auf klimafreundliche Kältemittel einen ehrgeizigen Plan vorlegt, der den Stand der Technik berücksichtigt. So können manche stark klimaschädlichen Kältemittel auch ohne Umbau der Kälteanlage durch erheblich weniger schädliche Kältemittel zeitnah ersetzt werden. Neue RZ des Bundes müssen höchsten Nachhaltigkeitsstandards genügen und dürfen nur noch so beschafft werden. Der Bund muss eine Rolle als Vorreiter bei der Gestaltung nachhaltiger IT einnehmen und sein Gewicht als Großauftragnehmer voll einsetzen, aber nicht nur bei der Beschaffung von Hardware, sondern auch bei Software und Dienstleistungen. Damit lässt sich erheblicher Druck auf den Markt als Ganzes ausüben und der notwendige Veränderungsprozess beschleunigen. Es braucht jeden Beitrag zur sozial gerechten Rettung des Klimas und das so schnell wie möglich! Die nachhaltige Digitalisierung der Bundes-IT könnte einer davon sein.

    10. Anhang

    • Die Antwort der Bundesregierung Drucksache 20/3619:

    In ihrer Antwort auf die zweite Kleine Anfrage der Linksfraktion zum Einsatz von KI in Bundesbehörden (Drucksache 20/6862) gab die Bundesregierung an, in mehr als 100 Fällen verteilt auf 12 Bundesministerien und ihre nachgeordneten Behörden KI-Systeme zu nutzen. Gleichzeitig unterstützt der Bund 446 Forschungsvorhaben, 58 Pilotprojekte und 10 Reallabore rund um Künstliche Intelligenz. Für die Umsetzung der KI-Strategie werden bis 2025 insg. 3,5 Mrd € zusätzlicher Mittel bereitgestellt, davon sind 2,78 Mrd € bereits verausgabt oder gebunden. Trotz starkem Zuwachs von KI im Bund fehlt es weiterhin an Kompetenzen, Strukturen und verbindlichen Prozessen, um die notwendige Transparenz und Nachvollziehbarkeit herzustellen und die potenziellen Risiken sowohl bewerten, als auch einschränken zu können. Auch die Nachhaltigkeit der KI-Systeme spielt kaum eine Rolle.

    Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linksfraktion im Bundestag:

    „Die Bundesregierung betont immer wieder, wie wichtig es sei, dass KI wertebasiert, gemeinwohlorientiert, transparent und nachvollziehbar eingesetzt wird, damit Vertrauen aufgebaut wird und die Akzeptanz steigt. Gelebt wird beim Bund das Gegenteil: Die Schere zwischen KI-Befähigung und KI-Einsatz geht weiter auseinander und hat im Bund ein erschreckendes Ausmaß angenommen, denn immer mehr KI-Systeme werden eingesetzt, ohne dafür die notwendigen Grundlagen zu schaffen. Es braucht aber keinen Hype, sondern ein strukturiertes Vorgehen, was ein Mindestmaß an Kompetenz zu KI in Bundesbehörden voraussetzt.

    Die Antwort der Ampel offenbart: Grundlegende ethische Standards werden nicht eingehalten, es gibt keine allgemeinverbindlichen Richtlinien zur Risikobewertung von KI-Systemen, kein dafür vorgegebenes Risikoklassenmodell, obwohl das schon im letzten Jahr angekündigt wurde. Manche Behörden zeigten durch ihre Antwort, dass sie nicht einmal die Frage danach verstanden haben. Vielleicht auch, weil die schon vor 13 Monaten angekündigten unterstützenden Strukturen weiter hin fehlen, wie die Schaffung eines Beratungs- und Evaluierungszentrums für Künstliche Intelligenz und eines KI-Kompetenzzentrums für die öffentliche Verwaltung, deren Prüfung und Aufbau immer noch ‚weiter vorangetrieben’ wird. 

    Ein absolutes NoGo ist jedoch der Umgang der Bundesregierung mit dem Einsatz von KI-Systemen in besonders grundrechtssensiblen Bereichen. Im letzten Jahr erhielt ich noch (eingestufte) Informationen zu KI-Systemen in Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes – so zu diversen Vorhaben bei ZITIS, die eine Laufzeit von mindestens bis 2023 haben, über die ich aber in der aktuellen Anfrage nichts mehr erfahren darf, weil selbst eine in der Geheimschutzstelle des Bundestages hinterlegte Information das Staatswohl gefährden würde. Zum Einsatz von KI-Systemen in sämtlichen Sicherheitsbehörden (Strafverfolgung, Ermittlung, Gefahrenabwehr und Geheimdienste) verweigert die Bundesregierung die Aussage, obwohl die Missbrauchsgefahren und Risiken hier besonders hoch sind.

    Die geplante EU-KI-Verordnung klassifiziertden Einsatz von KI in der Strafverfolgung als Hochrisiko-Bereich, für den hohe Anforderungen gelten, z.B. hinsichtlich der Bewertung und Minimierung von Risiken, der Qualität der Datensätze, der Dokumentation des Einsatzes und der Information der Nutzer:innen. Es ist verantwortungslos und demokratiegefährdend, jegliche Transparenz dazu zu verweigern, denn sie ist sowohl Grundlage für die ständig angemahnte gesellschaftliche Debatte als auch für die notwendige parlamentarische Kontrolle. Auch die lang angekündigte Algorithmenbewertungsstelle für Behörden und Organisationen mit Sicherheitsaufgaben gibt es weiterhin nicht, es fehlt also selbst ein internes Sicherheitsnetz.

    Bei beiden KI-Anwendungsfällen aus dem Hochrisiko-Bereich Migration wurde überhaupt keine Risikobewertung vorgenommen – spätestens nach Inkraft Treten der KI-Verordnung ist das ein Rechtsverstoß. Die Einstufung als Hochrisiko-KI gibt es nicht ohne Grund, denn Grundrechte können hier besonders leicht und besonders schwerwiegend verletzt werden.

    Mehr als zwei Milliarden Euro hat der Bund bereits in die Finanzierung von KI-Projekten gesteckt, 3,5 Milliarden stehen insgesamt zur Verfügung, aber die Schaffung eigener Strukturen im Bund, die dazu beitragen würden, dass KI-Systeme nur verantwortungsvoll und kompetent eingesetzt und evaluiert werden, bleibt auf der Strecke. Mit dieser dilettantischen und gefährlichen Vorgehensweise wird die Bundesregierung wohl kaum Vertrauen und Akzeptanz für KI in der Gesellschaft erreichen.

    Eine löbliche Ausnahme ist der Geschäftsbereich des BMAS, wo man sich kompetent mit den Prozessen rund um den Einsatz von KI befasst hat, Technikfolgeabschätzungen vornahm, Richtlinien für den KI-Einsatz im Arbeits- und Sozialbereich sowohl existieren als auch angewendet werden und wo auch Evaluationen stattfinden. Solche guten Beispielen müssen aber der Regelfall und nicht nur eine Ausnahme sein.

    Im Übrigen kritisiere ich scharf, dass die Ampel-Regierung etliche meiner Fragen unvollständig, gar nicht oder irreführend beantwortet hat und damit das parlamentarische Fragerecht verletzt. Das ist entweder Schlamperei oder Absicht, alternativ beides und in jedem Fall inakzeptabel.

    Hintergrund

    Anwendungen künstlicher Intelligenz prägen die öffentliche Debatte, seit ChatGPT und andere generative KI-Modelle vorstellbar machten, welche Potenziale – gute wie bedrohliche – in dieser Technologie liegen und wie wichtig Transparenz und Nachvollziehbarkeit bei ihrem Einsatz sind. In der EU läuft aktuell die Trilog Verhandlung zur Verabschiedung der KI-Verordnung. In ihrer Antwort auf eine Kleine Anfrage von Anke Domscheit-Berg gab die Bundesregierung bereits im Januar 2022 an, 86 Mal KI-Systeme in der Bundesverwaltung einzusetzen, wobei nur ein einziges Mal eine Risikoklassifizierung vor dem Einsatz stattfand. Die Anfrage von 2022 offenbarte enorme Kompetenzlücken, einen eklatanten Mangel an Risikobewußtsein und strukturelle Defizite. In erweiterter Form wurde diese Kleine Anfrage von Anke Domscheit-Berg in 2023 erneut gestellt.

    Anhang – Antwort der Bundesregierung im Original (eingestufte Informationen geschwärzt):