vom 24. Januar 2023

Meine Frage:

Hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie in einem Artikel von The Intercept berichtet und mit einer E-Mail von Twitter belegt wird (https://theintercept.com/2023/01/16/twitter-covid-vaccinepharma/), nicht nur wie vom BSI in Tweets am 17.01.2023 und am 18.01.2023 dazu erklärt hatte, verschiedene Impfstoffhersteller wie z.B. BionTech vor Störungen des Geschäftsbetriebes durch “massenhafte Mails und Anrufe” als Folge einer Online-Kampagne der britischen Organisation “Global Justice Now” mit dem Ziel der Patentfreigabe für Covid-19 Impfstoffe gewarnt, sondern auch vor der Gefahr der möglichen “Übernahme von Konten” insbesondere vor der “Übernahme persönlicher Konten von Mitgliedern des Managements” der betreffenden Impfstoffhersteller sowie vor der “Erstellung von FakeSchriftliche Einzelfrage – 23-01-0346Accounts” und falls zutreffend, welche IT-sicherheitstechnischen Einschätzungen bzw. Anhaltspunkte führten zu der Warnung vor Kontenhacking und Fake-Accounts bzw. falls nicht zutreffend, welche Maßnahmen hat das BSI den betreffenden Unternehmen nahegelegt, um sich vor den erwarteten möglichen Störungen im Geschäftsbetrieb zu schützen?

Antwort des Staatssekretärs Johann Saathoff:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Impfstoffhersteller sowohl „vor Störungen des Geschäftsbetriebs durch massenhafte Mails und Anrufe“ als Folge der in der Frage genannten Online-Kampagne gewarnt, als auch in dieser Warnung weitere mögliche Aspekte zu Ablaufmustern solcher Kampagnen ergänzt.

Derartige Kampagnen nutzen nach Erfahrungen des BSI oftmals nicht nur einen, sondern verschiedene Angriffsmechanismen, um den Betrieb und die Reaktionsfähigkeiten zu stören und damit möglicherweise die Erbringung der kritischen Dienstleistung für Deutschland zu gefährden. Daher hat das BSI weitere Aspekte solcher Bedrohungen beschrieben, damit die möglicherweise Betroffenen im eigenen Ermessen geeignete Gegen- und Reaktionsmaßnahmen bewerten und vorbereiten könnten.

Antwortschreiben im Original:

25.01.2023

Frage:

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung auf meine Schriftliche Frage 45 in Drs. 20/833 aufschlüsseln, s. https://dserver.bundestag.de/btd/20/008/2000833.pdf)?

Weiterlesen

Pressemitteilung vom 02.01.2023

Fünf Jahre sind vergangen, seit das Onlinezugangsgesetz (OZG) in Kraft getreten ist. Zum 31.12.2022 lief es aus, ein Nachfolgegesetz gibt es weiterhin nicht. Seit längerem war absehbar, dass nicht einmal die im OZG verankerten Ziele der Verwaltungsdigitalisierung erreicht werden, weshalb sich der IT-Planungsrat im Mai 2022 auf 35 OZG-Leistungen einigte, die als “Booster” priorisiert bis Ende 2022 umgesetzt werden sollten. Auf Anfragen von Anke Domscheit-Berg, digitalpolitische Sprecherin der Linksfraktion, informierte das Bundesministerium des Innern und für Heimat (BMI) über den Status Quo zur Umsetzung dieser Booster-Leistungen. Aus den Antworten geht hervor, dass das Ziel des OZG-Boosters völlig verfehlt wurde. Zum Jahresende waren kaum Booster-Dienste flächendeckend verfügbar, es gab nur wenig Nachnutzung und vollständig digital und in ganz Deutschland verfügbar ist nur ein einziger der 35 Dienste. Offenbart wurden auch viele Barrieren, die von Domscheit-Berg schon länger kritisiert worden sind, aber deren Abbau weiterhin stockt. Mängel gibt es außerdem bei der Gesamtkoordination und bei der Nachvollziehbarkeit der Verwaltungsdigitalisierung, deren Fortschritte zu intransparent sind.

Die schriftlichen Fragen und die Antworten der Bundesregierung sind am Ende dieses Beitrages verlinkt.

Das Versagen des OZG-Boosters in Zahlen:

  • 7 der 35 Booster-Leistungen (jede fünfte) sind überhaupt nicht digital verfügbar
  • nicht mal jede zehnte (3 von 35) sind in ganz DE verfügbar, davon ist nur eine (Corona-Hilfe) voll digital (Baföganträge werden zB. immer noch in den Behörden ausgedruckt)
  • Nur 1 Booster-Leistung ist damit flächendeckend und voll digital (Reifegrad 3 oder 4) verfügbar (Corona-Hilfe)*
  • Fast jede 2. OZG Booster-Leistung (16 von 35 = 46%) ist digital verfügbar, ohne dass sie irgendwo nachgenutzt wird
  • Nur 7 Leistungen (jede fünfte) werden in 1-2 Ländern genutzt


Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linksfraktion:

,,Kurz vor Ablauf der versemmelten fünfjährigen Umsetzungsfrist des Onlinezugangsgesetzes fragte ich die Bundesregierung, wie es wenigstens mit den 35 sogenannten Booster-Leistungen aussieht, die als priorisierte Leistungen bis Jahresende verfügbar gemacht werden sollten. Die Antworten der Bundesregierung offenbaren, dass selbst dieses extrem abgespeckte Ziel weit verfehlt wurde, denn nur eine einzige dieser Leistungen steht vollständig digitalisiert und flächendeckend in Deutschland zur Verfügung, jede fünfte der Booster-Leistungen (sieben) ist überhaupt noch nicht digitalisiert, darunter besonders häufig genutzte Leistungen, wie Personalausweis beantragen oder Kfz-An- und Ummeldung. Die Hälfte der digitalen Booster-Leistungen können Bürger:innen wiederum nur in einem einzigen Bundesland nutzen. Da hat man dann Pech, wenn man in den 15 anderen Bundesländern wohnt. Zu den drei Leistungen, die es überhaupt bundesweit gibt, gehört der Bafög Antrag, der zwar online gestellt werden kann, allerdings in den Behörden immer noch ausgedruckt werden muss. Dieses Beispiel als Erfolg zu vermelden, wäre mir peinlich.

Unfassbar finde ich, dass mit der Kfz An- und Ummeldung laut Unterlagen der Bundesregierung gerade eine besonders häufige Verwaltungsdienstleistung bisher offenbar daran scheitert, dass ausgerechnet der Digital- und Verkehrsminister bisher die fehlende gesetzliche Grundlage nicht geschaffen hat, obwohl sich hier sogar die Themenfelder Verkehr und Digitalisierung verbinden.

Längst bekannte und von mir seit Jahren kritisierte Barrieren bestehen weiterhin und immer noch gibt es keinen funktionierenden Austausch von Informationen zwischen Bund und Ländern. Die Intransparenz über den Umsetzungsfortschritt ist erschütternd, inbesondere mit Blick auf den Digitalisierungsgrad . Weil die Booster-Leistungen in der Verantwortung der Länder liegen, antwortet mir die Bundesregierung, dass ich die Länder danach fragen muss, welchen Reifegrad die umgesetzten Booster-Leistungen überhaupt haben, also ob man wie beim Bafög z.B. in der Behörde trotzdem noch den Antrag ausdrucken muss oder nicht. Ich soll auch die Länder danach fragen, wann die bisher nicht umgesetzten Booster-Leistungen nun kommen sollen, denn der Bund ließ offenbar das gemeinsam beschlossene Zieldatum verstreichen, ohne sich mit den Ländern auf neue Zieldaten wenigstens für die fehlenden OZG-Booster-Leistungen zu einigen. Mir fehlt dafür jedes Verständnis. So kann man ein gemeinsames Großvorhaben nicht steuern. Auf diese Weise kommen wir mit der Verwaltungsdigitalisierung in Deutschland nicht voran!

Viel Zeit ging offenbar auch verloren, weil die Finanzierung der Umsetzung und Nachnutzung für 2023 zu lange ungesichert, obwohl die Ampel-Koalition doch immer wieder erklärte, welche hohe Priorität die Verwaltungsdigitalisierung für sie hat. Bei Haushaltsverhandlungen sieht man dann, wie die Prioritäten wirklich verteilt sind. Aber auch an anderen Grundlagen fehlt es weiterhin, denn aus den Unterlagen des BMI geht auch hervor, dass immer noch viel zu komplizierte Vertragsabstimmungen, intransparente Betriebskosten und unklare Datenschutzregeln die Nachnutzung bereits digitalisierter Booster-Leistungen behindern.

Am Traurigsten macht jedoch der Grund dafür, warum es die OZG Leistung „Ummeldung“ immer noch nicht flächendeckend in Deutschland gibt, was nach Auskunft der Bundesregierung daran liegt, dass dieser Prozess sogar vollständig digital umgesetzt wurde, was bedeutet, dass in der Abwicklung auch die Verwaltung digital mit den Bürger:innen kommunizieren kann. Anders als alle anderen im Alltag bekannten elektronischen Postfächer, wo man Nachrichten und Anhänge nicht nur schicken, sondern auch empfangen kann, sind viele Nutzerkonten für digitale Verwaltungsdienstleistungen aber nur Einbahnstraßen und kommen mit vollständig digitalisierten Prozessen, die eine Kommunikation in beide Richtungen erfordern, nicht klar. Überall dort kann man also die verfügbare online Dienstleistung „Ummeldung“ gar nicht anbieten. An diesem Beispiel zeigt sich erschütternd deutlich, wie grundfalsch es war, beim Onlinezugangsgesetz nur auf Schaufensterdigitalisierung zu setzen und nicht erst einmal die Grundlagen zu schaffen, nämlich unter anderem gut funktionierende Basisdienste, wie ein richtiges Postfach, und standardisierte Schnittstellen. Jede Häuslebauerin versteht, dass es erst eine gute Planung, dann ein Fundament und erst zum Schluss eine schöne Tür braucht, und dass die verschiedenen Gewerke beim Hausbau durch eine vernünftige Bauleitung koordiniert werden müssen, damit alles in der richtigen Reihenfolge und ohne Zeitverzug gebaut wird. Bei der Verwaltungsdigitalisierung in Deutschland bauen wir zuerst schicke Türen, ohne Plan, ohne Fundament, ohne Haus drumrum und offenbar ohne jegliche Koordination des Gesamtprozesses – so kann das nicht funktionieren und seit Jahren predigen das viele Fachleute und leider werden sie immer noch nicht ausreichend gehört.

Umso wichtiger wird das OZG 2.0 als Nachfolgegesetz, das endlich die Grundlagen für eine wirkliche Verwaltungsdigitalisierung schaffen muss. Obwohl die Bundesregierung ein solches Gesetz bereits im Frühjahr ankündigte, kann sie jetzt immer noch keine Zeitplanung dafür vorlegen und verweist in ihrer Antwort auf meine schriftlichen Fragen auf die baldige Einleitung formaler Abstimmungsprozesse mit den anderen Ministerien und den Bundesländern. Ich habe selbst als Oppositionspolitikerin keinerlei Genugtuung dabei, die jeweiligen Bundesregierungen für ihr Versagen bei der Verwaltungsdigitalisierung zu kritisieren, denn wie alle anderen Bürger:innen finde ich einen weiterhin derart schlechten Standard schlicht unerträglich.“

* Hinweis: Da das BMI zu den Reifegraden keine Aussage treffen konnte, wurden diese auf dem Infoportal der OZG-Umsetzung selbst recherchiert. Davon abgesehen sind die Basis der Auswertung die referenzierten Antworten des BMI und die vom BMI bereitgestellten weiterführenden Dokumente (verlinkt am Ende des Beitrages).

Kontakt:

Anke Domscheit-Berg

mailto: anke.domscheit-berg@bundestag.de

Tel.: (030) 227 73107


Weiterführende Informationen:

Die URLs zu den externen Dokumenten im Antwortschreiben #2 und #3 waren nicht korrekt, auf Rückfrage teilte das BMI die gültigen URLs mit:

https://www.it-planungsrat.de/fileadmin/beschluesse/2022/Information2022_05_AL_Formblatt_Anbieter.pdf

https://www.it-planungsrat.de/fileadmin/beschluesse/2022/Information2022_05_AL_%C3%9Cbersicht_zum_Status_der_priorisierten_EfA-Leistungen.pdf

Datum: 29.11.2022 und 02.12.2022

Schriftliche Frage 1:

Mit wie viel Personal (bitte Angabe in Personenmonaten) wird derzeit jeweils in den Ressorts BMI, BMDV, BMF, BMWK und Kanzleramt im interministeriellen Laborformat digitale Identitäten mit Angabe des jeweiligen Themenschwerpunkts gearbeitet, und welche Erhöhung der Personenmonate ist jeweils gegebenenfalls geplant?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff (BMI):

Derzeit wird mit folgendem Personaleinsatz im interministeriellen Laborformat GovLabDE Digitale Identitäten gearbeitet (Angaben erfolgen in Vollzeitäquivalenten – VZÄ). Bundesministerium des Innern und für Heimat (BMI): Die Beteiligung des BMI am Laborformat Digitale Identitäten umfasst fünf Personen in einem Umfang von 4,5 VZÄ. Es besteht folgende thematische Aufteilung: Projekt-leitung (1 VZÄ); Smart-eID (1 VZÄ); Projektmanagement-Office und Berichtswesen (1 VZÄ), Large-Scale-Pilots (1 VZÄ); Berechtigungszertifikate (0,5 VZÄ). Bundeskanzleramt (BK): 0,25 VZÄ zur allgemeinen Projektbegleitung.
Bundesministerium für Wirtschaft und Klimaschutz (BMWK): Die Beteiligung des BMWK am Laborformat Digitale Identitäten umfasst (Zeitraum: Januar 2022 bis heute) eine Person mit ca. 0,3 VZÄ. Hinzu kommt die punktuelle Be-teiligung von Personen der Begleitforschung „Sichere Digitale Identitäten“, die über das Schaufensterprogramm durch das BMWK finanziert wird. Bundesministerium der Finanzen (BMF): Im BMF sind für das interministerielle Laborformat digitale Identitäten 0,75 VZÄ vor-gesehen und derzeit auch besetzt. Die Kollegen betreuen hauptsächlich die Entwick-lung einer ID-Wallet und einer Smart-eID. Bundesministerium für Digitales und Verkehr (BMDV): Derzeit ist das Bundesministerium für Digitales und Verkehr (BMDV) mit insgesamt 1,25 Personenmonaten am interministeriellen Laborformat GovLabDE Digitale Identi-täten beteiligt. Inhaltlich sind die Mitarbeiterinnen und Mitarbeiter vorrangig mit den Themenschwerpunkten „Regulierung“ sowie „Marketing und Vertrieb“ befasst. Das BMDV plant, die Mitarbeit ab Mitte Dezember 2022 auf 2,0 Personenmonate zu erhöhen.

Schriftliche Frage 2:

Bei wie vielen der OZG-Leistungen mit hohem (substanziellen) Vertrauensniveau ist konkret geplant, für deren digitale Nutzung ausschließlich den elektronischen Perso-nalausweis (nPA) als digitale Identifikationsmöglichkeit zu akzeptieren und bei wie vielen anderen OZG-Leistungen ist geplant, auch eine Smart-eID oder weitere digi-tale Identifikationsmöglichkeiten zu akzeptieren (bitte die fraglichen OZG Leistungen aufschlüsseln nach den 14 Themenfeldern des OZG und jeweils die Anzahl der Leis-tungen angeben, für die nur der nPA geplant ist und davon unterschieden, jeweils die Anzahl der Leistungen mit geplanten anderen Identifikationsmöglichkeiten für diese OZG-Leistungen)?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff (BMI):

Gemäß § 2 Abs. 3 des E-Government-Gesetzes des Bundes ist jede Bundesbehörde verpflichtet, in Verwaltungsverfahren, in denen sie die Identität einer Person auf Grund einer Rechtsvorschrift festzustellen hat oder aus anderen Gründen eine Identi-fizierung für notwendig erachtet, die eID-Funktion anzubieten. Die meisten E-Govern-ment-Gesetze der Länder sehen ähnliche Bestimmungen vor, wobei diese teilweise nur als Soll-Vorschrift verfasst sind. Die Nutzung der eID-Funktion ist zudem komfor-tabel auch über die Einbindung eines Nutzerkontos möglich, und zwar unabhängig davon, ob das Nutzerkonto des Bundes oder eines Landes, das die eID-Funktion be-reits unterstützt, verwendet wird. Die Smart-eID ist nur eine andere technische Reali-sierung der eID-Funktion – es sind derzeit keine Leistungen des Onlinezugangsge-setzes (OZG) geplant, welche die Nutzung der Smart-eID ausschließen. Entsprechend den Vorgaben der Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste (eIDAS-Verordnung) ist keine OZG-Leistung geplant, welche ausschließlich die eID-Funktion des Personalausweises akzeptiert. Alle digitalen Verwaltungsleistungen werden auch Identifikationsmittel anderer EU-Mitgliedstaaten akzeptieren, welche auf dem erforderlichen Vertrauensniveau notifi-ziert sind.

Schriftliche Frage 3:

Gab es fachlichen Austausch zwischen Vertreterinnen und Vertretern des Bun-desministeriums des Innern und für Heimat, Bundesministerium für Digita-les und Verkehr, Bundesministerium der Finanzen, Bundesministerium für Wirtschaft und Klimaschutz und des Bundeskanzleramtes (bitte jeweils nach Ressort aufschlüs-seln) mit (wenn ja) genau welchen konkreten Interessensver-treterinnen und Inte-ressenvertretern von Verbänden, Einzelunternehmen, NGOs, und Einzelperso-nen seit Januar 2022 bis jetzt, zu Themen, die die Ent-wicklung digitaler Identitä-ten berühren (diese Themen bitte mindestens nach nPA, IDWallet und Smart-eID aufschlüsseln) und welche Verbändeanhörun-gen gab es dazu?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff (BMI):

Die Frage wird dahingehend verstanden, dass nach Kontakten der Leitungsebenen der jeweiligen Häuser gefragt ist. Die Aufstellung ist der Tabelle zu entnehmen. Die Leitungsebenen von BK, BMWK, BMDV, BMF und BMI pflegen im Rahmen der Aufgabenwahrnehmung Kontakte mit einer Vielzahl von Akteuren aller gesellschaftli-chen Gruppen. Unter diesen regelmäßigen Austausch fallen Gespräche und auch Kommunikation in anderen Formen (schriftlich, elektronisch, telefonisch). Es ist we-der rechtlich geboten, noch im Sinne einer effizienten und ressourcenschonenden öf-fentlichen Verwaltung leistbar, entsprechende Informationen und Daten (z. B. sämtli-che Veranstaltungen, Sitzungen und Termine nebst Teilnehmerinnen und Teilneh-mern) vollständig zu erfassen oder entsprechende Dokumentationen darüber zu er-stellen oder zu pflegen. Eine Verpflichtung zur Erfassung sämtlicher geführter Ge-spräche oder deren Ergebnisse – einschließlich Telefonate und elektronischer Kom-munikation – besteht nicht und eine solche umfassende Dokumentation wurde insoweit nicht durchgeführt oder vorgehalten. Neben Gesprächen auf Leitungsebene bestehen zusätzlich auf der Arbeitsebene di-verse fachliche Austausche. Verbändeanhörungen sind nicht erfolgt.

Schriftliche Frage 4:

In welchem Rahmen wurden bei der Konzeptionierung der Smart-eID gesellschaftli-che Auswirkungen im Rahmen einer Technikfolgenabschätzung, einer Analyse der ethischen, rechtlichen und sozialen Auswirkungen durch die Bundesregierung oder durch Dritte wie z.B. des BfDI, der Zivilgesellschaft oder der Wissenschaft einbezo-gen (bitte die jeweilige Art der Einbeziehung und Auswertung gesellschaftlicher Aus-wirkungen konkret nennen, einschließlich das Format und/oder die Quelle) und wel-che spezifischen Schlussfolgerungen hat die Bundesregierung für ihr konkretes Han-deln gezogen (hinsichtlich eID Vorhaben) nach den Stellungnahmen der Fiff und des CCC, die am 17.05.2021 im Rahmen der Anhörung „Elektronischer Identitätsnach-weis mit einem mobilen Endgerät“ im Innenauschuss vorgelegt wurden (https://www.ccc.de/system/uploads/314/original/eID_Stellungnahme-cccfiff9.pdf9)?

Antwort des Parlamentarischen Staatssekretärs Johann Saathoff (BMI):

Mit dem Online-Ausweis existiert seit 2010 ein besonders sicheres und datensparsa-mes Mittel für die Online-Identifizierung, das die Souveränität des Individuums über seine hoheitliche Identität besonders schützt. Neben einer technisch sehr sicheren Konzeption und Umsetzung besteht ein besonderer Vorteil im System der Berechti-gungszertifikate, die einerseits bei einem Identifizierungsvorgang auch die Identifizie-rung des Anfragenden gegenüber dem Nutzer sicherstellt und andererseits durch die vorgeschaltete Prüfung durch die Vergabestelle für Berechtigungszertifikate die Zweckmäßigkeit der Datenerhebung erfordert. Durch die Bereitstellung auf dem Personalausweis, dem elektronischen Aufenthaltsti-tel und der Unionsbürgerkarte steht dieses System sehr vielen Menschen offen. Den-noch wird es heute noch zu oft nicht genutzt und stattdessen auf andere Identifizie-rungsmethoden, oft unter Einbeziehung dritter Parteien zurückgegriffen. Es ist daher ein Anliegen der Bundesregierung, die Nutzung des Online-Ausweises weiter zu be-fördern. Mit der Smart-eID besteht zukünftig die freiwillige Möglichkeit, die bisher nur auf den Karten gespeicherte digitale Identität auch auf dem Smartphone zu speichern und damit die Karte zum Online-Ausweisen nicht mehr an das Smartphone halten zu müssen. Dabei wird durch strikte technische Vorgaben ein vergleichbares Sicher-heitsniveau wie bei den Karten erreicht. Für die Identifizierung wird dabei weiterhin die bereits seit 2010 in Betrieb befindliche Infrastruktur des Online-Ausweises genutzt. Die genannte gemeinsame Stellungnahme von Fiff und CCC stellt darauf ab, dass nur teure Smartphones die erforderlichen Voraussetzungen mitbringen und daher Menschen mit geringen finanziellen Möglichkeiten von der Nutzung ausgeschlossen werden. Die Smart-eID ist jedoch nur eine „Komfortfunktion“ für das bestehende Sys-tem und keine neue Identifizierungsmöglichkeit. Daher wird, auch wenn heute noch nicht alle Smartphones die notwendigen Voraussetzungen mitbringen, durch die Smart-eID niemand von der Online-Ausweisfunktion ausgeschlossen. Dezidierte Un-tersuchungen zu den in der Schriftlichen Frage genannten Aspekten wurden auf-grund der relativ geringen Änderung des bestehenden Systems in der Konzeptions-phase der Smart-eID daher nicht vorgenommen. Zudem ist davon auszugehen, dass die erforderlichen Sicherheitselemente zukünftig in Geräten aller Preisklassen vorhanden sein werden. Neben dem steigenden Bedarf an sicherheitsrelevanten Applikationen ist dies vor allem in einer zunehmenden Ver-breitung eingebauter SIM-Karten (eSIM/eUICC) begründet. Hier zeichnet sich ein ähnlicher Weg ab wie bei der kontaktlosen Schnittstelle NFC. Nur durch die Ent-scheidung, den Personalausweis mit dieser Schnittstelle auszustatten, obwohl diese 2010 noch nicht verbreitet war, können heute Smartphones als Lesegerät für das Online-Ausweisen verwendet werden.

17. Oktober 2022

Frage:

Warum setzt sich die Bundesregierung in den Verhandlungen zur EU KI-Verordnung dafür ein, dass KI-Anwendungen der öffentlichen Verwaltung durch gesonderten Rechtsakt oder ein gesondertes Kapitel der KI-Verordnung reguliert werden sollen, wie es die Bundesregierung in der Stellungnahme „KI-Regulierung – stärkere Berücksichtigung von Besonderheiten der öffentlichen Verwaltung insbesondere im Sicherheits- und Migrationsbereich“ (BReg-Dok 272/2022) formuliert, und wie unterscheiden sich nach Auffassung der Bundesregierung die jeweiligen Vor- und Nachteile einer Regulierung von KI-Anwendungen der öffentlichen Verwaltung in einem gänzlich gesonderten Rechtsakt im Vergleich zu einer Regulierung in einem gesonderten Kapitel der KI-Verordnung?

Antwort des Staatssekretärs Benjamin Strasser:

Die Bundesregierung strebt die Regulierung von Künstlichen Intelligenz-Systemen (KI-Systeme) an und unterstützt den europäischen Artificial Intelligence Act (AI Act). Dies umfasst auch die rasche und zeitgleiche Regulierung von KI-Systemen für die öffentliche Verwaltung, einschließlich der Bereiche der Sicherheits-, Migrations- und Asylbehörden sowie Steuer- und Zollverwaltung (einschließlich Financial Intelligence Unit (FIU)).

Die besonderen Belange der staatlichen Tätigkeit der vorgenannten Behörden werden durch den Entwurf der Kommission jedoch nicht in jeder Hinsicht hinreichend berücksichtigt. Es ist schwierig, den besonderen Belangen dieser Behörden sowie den für hoheitliche Maßnahmen geltenden grundrechtlichen Anforderungen im Rahmen der primär privatrechtlich- und binnenmarktorientierten Vorschriften des Vorschlags für den AI Act vollständig gerecht zu werden. Die Erfüllung staatlicher Aufgaben muss gewährleistet bleiben und gleichzeitig die unmittelbare Grundrechtsbindung der staatlichen Verwaltung Beachtung finden. Notwendige diverse Einzelausnahmen /-anpassungen in den Einzelvorschriften des aktuellen Verordnungsentwurfs können zu Rechtsunsicherheit bei den Normadressaten führen.

Aus Sicht der Bundesregierung kann den Besonderheiten der öffentlichen Verwaltung (ins- besondere von Sicherheits-, Migrations- und Asylbehörden sowie der Steuer- und Zollverwaltung einschließlich FIU) durch einen separaten, gesonderten Technologierechtsakt oder jedenfalls durch ein gesondertes Kapitel in der Verordnung mit jeweils abschließendem Regelungsinhalt besser Rechnung getragen werden. Für die Bundesregierung ist es dabei nicht entscheidend, ob entsprechende Regelungen in einem separaten Kapitel im Entwurf des europäischen AI Acts oder zeitgleich in einem eigenständigen Rechtsakt erfolgen.

10. Oktober 2022

Frage:

Produkte der Protelion GmbH werden bzw. wurden von Einrichtungen des Bundes (Bundesministerien und Bundeskanzleramt, inkl. nachgeordneter Behörden) in den letzten 3 Jahren eingesetzt (die Angaben sollten laut Antwort der Bundesregierung in Bundestagsdrucksache 20/534, Frage Nr. 36, im Assetmanagement für Hard- und Software in den jeweiligen Ressorts und Bundesbehörden verfügbar sein, ansonsten bitte erheben; in der Antwort bitte Name des Produkts, einsetzende Behörde und Einsatzzweck angeben, sowie von wann bis wann der Vertrag bestand bzw. besteht)?

Antwort von Johann Saathoff:

Eine ressortweite Abfrage innerhalb der Bundesregierung hat ergeben, dass keine Produkte der Protelion GmbH von Einrichtungen des Bundes eingesetzt werden bzw. wurden.

10. Oktober 2022

Frage:

Gab es in den vergangenen drei Jahren Kontakte zwischen Vertreterinnen und Vertretern der Protelion GmbH mit Vertreterinnen und Vertretern der Bundesregierung oder hohen Beamtinnen und Beamten von Behörden/öffentlichen Stellen (bitte jeweils Datum, Teilnehmende und Gegenstand/Anlass des Gesprächs auflisten) und beabsichtigt das Bundesgesundheitsministerium, seine Mitgliedschaft im Cybersicherheitsrat Deutschland e.V. zu kündigen?

Antwort von Johann Saathoff:

Eine ressortweite Abfrage innerhalb der Bundesregierung hat ergeben, dass es in den vergangenen drei Jahren keine Kontakte zwischen Vertreterinnen und Vertretern der Protelion GmbH mit Vertreterinnen und Vertretern der Bundesregierung oder hohen Beamtinnen und Beamten von Behörden/öffentlichen Stellen gab.

In diesem Zusammenhang weist die Bundesregierung darauf hin, dass sie im Rahmen der Aufgabenwahrnehmung Kontakte mit einer Vielzahl von Wirtschaftsvertretern pflegt, insbesondere auch auf dem Gebiet sicherer IT-Lösungen. Unter diesen ständigen Austausch fallen Gespräche und auch Kommunikation in anderen Formen (schriftlich, elektronisch, telefonisch).

Es ist weder rechtlich geboten noch im Sinne einer effizienten und ressourcenschonenden öffentlichen Verwaltung leistbar, entsprechende Informationen und Daten
(z. B. sämtliche Veranstaltungen, Sitzungen und Termine nebst Teilnehmerinnen und Teilnehmern) vollständig zu erfassen oder entsprechende Dokumentationen darüber zu erstellen oder zu pflegen. Die Ermittlung der „Verbundenheit“ von Einzelpersonen zu entsprechenden Unternehmen ist darüber hinaus kein regelmäßiger Standardprozess.

Insbesondere bei größeren Veranstaltungen (z. B. Festakten, Vorträgen etc.) lässt sich vielfach nicht mehr rekonstruieren, welche Personen konkret teilgenommen haben und welche Gespräche anlässlich dieser Veranstaltungen im Einzelnen geführt worden sind. Eine vollständige und umfassende Aufstellung über all diese Kontakte existiert nicht, weil derartige Teilnahmen, Termine und Gespräche nicht festgehalten werden.

Das Bundesgesundheitsministerium hat seine Mitgliedschaft im Cybersicherheitsrat Deutschland e.V. gekündigt.

07. Oktober 2022

Frage:

Wie schlüsseln sich die Kosten der Jahre 2021 und 2022 für die Corona Warn App auf Software- Betrieb und allgemeine Pflege (z.B. für Gewährleistung der Sicherheit und kleinere Updates), Software-Entwicklung (Implementierung neuer Funktionalitäten), Hotline-Betrieb und ggf. weitere Aufgaben (z.B. Anschluss Testzentren, Marketingausgaben, Verlängerung von Zertifikaten – siehe auch https://www.welt.de/wirtschaft/webwelt/article240567471/Corona-Warn-App-Ministeriumkorrigiert-Mehrkosten-auf-70-Millionen-Euro.html auf, und wie hoch war die Anzahl Calls für die CWA-Hotlines je Monat im Jahr 2022?

Antwort von Staatssekretär Edgar Franke:

Im Jahr 2021 wurden für die Corona Warn App (CWA) insgesamt 78,2 Mio. EUR verausgabt; im Jahr 2022 fielen bislang Kosten in Höhe von 51,8 Mio. EUR an. Eine feingranulare Aufschlüsselung nach Funktionalitäten der CWA ist nicht möglich, da ver- schiedene Kostenbestandteile nicht trennscharf zwischen Entwicklungs-, Wartungs- und Betriebsaufwand unterschieden werden können.

Die Anzahl eingegangener Anrufe bei den CWA-Hotlines in 2022 ist nachfolgend aufgeführt:

04. Oktober 2022

Frage:

Mit welchen Daten (bitte unter Angabe des Zeitplans) soll die in der Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 20/3619 erwähnte Verbesserung des Berichtswesens zu den Rechenzentren des Bundes (vor allem auch hinsichtlich ihrer Nachhaltigkeit) als Teil des angekündigten Maßnahmenplans der Green-IT Initiative verbindlich werden für die Rechenzentren des Bundes und wann ist mit der Veröffentlichung des gesamten Maßnahmenplans zu rechnen?

Antwort des Staatssekretärs Christian Kühn:

Das angepasste Berichtswesen soll ab Ende 2023 für den Berichtszeitraum 2023 verwendet werden. Eine Veröffentlichung des Berichts 2023 ist für das erste Halbjahr 2024 vorgesehen. Der Maßnahmenplan befindet sich aktuell in Ausgestaltung und eine Kommunikation zu den Maßnahmen erfolgt nach dessen Fertigstelung im Jahr 2023.

30. September 2022

Frage:

Ab wann sollen im öffentlichen Energieeffizienzregister für Rechenzentren “PEER-DC” Kennzahlen für die Nachhaltigkeit von Rechenzentren (siehe Antwort auf die Kleine Anfrage zur Nachhaltigkeit der Bundes-IT; Bundestagsdrucksache 20/3619, Frage 2) erfasst werden und wird die Erfassung von Daten zur Nachhaltigkeit für a) alle vom Bund genutzten Rechenzentren und b) alle Rechenzentren in Deutschland verpflichtend sein (in der Antwort auf die Kleine Anfrage – Bundestagsdrucksache 20/3619 gab es widersprüchliche Angaben zur Erfassungspflicht von Bundes-RZ, einerseits war in der Antwort auf Frage 1 von sog. Haupt-Rechenzentren des Bundes die Rede, andererseits in der Antwort auf Frage 2 von allen RZ des Bundes – falls die Erfassungspflicht also nur einige RZ des Bundes betrifft, bitte deren Anzahl angeben)?

Das laufende Forschungsvorhaben „Aufbau eines Registers für Rechenzentren in Deutschland und Entwicklung eines Bewertungssystems für energieeffiziente Rechenzentren“ (Kurztitel: Peer DC) soll die Basis für die Veröffentlichung von wichtigen Kenndaten zum Energieverbrauch und zur Energieeffizienz der Rechenzentren in Deutschland schaffen. Hierbei sollen auch erste Daten erfasst und über das entwickelte Register für Rechenzentren veröffentlicht werden. Das Register für energieeffiziente Rechenzentren soll mit Abschluss des Forschungsvorhaben Ende 2023 zur Verfügung stehen.

Antwort des Staatssekretärs Christian Kühn zu Frage a):

Nach Abschluss des Aufbaus des Registers soll dieses durch die Bundesregierung betrieben werden. Die Aufnahme der Daten der bundeseigenen Hauptrechenzentren in das Rechenzentrums Register ist geplant. Die Green-IT-Initiative des Bundes prüft, ob das Register für das Berichtswesen bezüglich Kennzahlen zur Energieeffizienz für alle Rechenzentren des Bundes genutzt werden kann. Alle Rechenzentren des Bundes sind verpflichtet, jährlich ihre Daten zum Energieverbrauch und zur Energieeffizienz an die Geschäftsstelle Green-IT im BMUV zu melden.

Antwort des Staatssekretärs Christian Kühn zu Frage b):

Das BMWK und BMWSB haben im Sofortprogramm für den Sektor Gebäude bereits angekündigt, dass ein neues Bundes-Energieeffizienzgesetz (EnEfG) die Betreiber von Rechenzentren verpflichten soll, Angaben zum Energieverbrauch und zur Energieeffizienz machen zu müssen, um diese über ein Register für energieeffiziente Rechenzentren zu veröffentlichen. Um den Aufwand für kleine Betreiber von Rechenzentren zu begrenzen, sind angemessene Schwellenwerte vorzusehen, ab der die Informationspflichten greifen.