Screenshot: Antwort der Bundesregierung auf meine Kleine Anfrage

In einer aktuellen Kleinen Anfrage an den Bund habe ich viele Fragen rund um Microsoft, die Microsoft-SAP-Cloud („Delos-Cloud“), zu Abhängigkeiten, IT-Sicherheit, zur Digitalen Souveränität und vor allem zum konkreten Lobbyismus zwischen Bundesregierung, Microsoft und SAP gestellt und erhellende Antworten erhalten. Ein derartiges Ausmaß an Lobbyismus, also an Treffen auf höchsten Ebenen zwischen der Bundesregierung und großen Tech Firmen, ist mir noch nicht begegnet – 12 Mal war sogar Kanzler Scholz dabei, über 110 Treffen gab es in nur 2,5 Jahren. Aber bevor ich Euch die Antworten des Bundes beschreibe, erst mal ein bisschen zum Hintergrund. Wer sich nur für die Neue Kleine Anfrage interessiert, springt am Besten direkt dorthin.

Monokulturen (wie Microsoft) in der IT sind ein strukturelles Risiko – und sehr teuer

Die Abhängigkeit von einigen US-Konzernen ist groß, steigt und diversifiziert sich. Das ist nicht nur teuer, sondern auch gefährlich. Monokulturen in der IT sind genauso ein strukturelles Risiko, wie Monokulturen in der Natur. Hier ein paar Fakten zur Einordnung:

  • Der laufende Rahmenvertrag des Bundes mit Microsoft hat ein Volumen von 1,3 Milliarden (!) Euro, er läuft im Mai 2025 aus
  • Neben MS Office nutzt der Bund viele weitere Dienste von Microsoft, darunter Outlook für Mails, Teams für Videokonferenzen, Co-Pilot als KI-Assistent und diverse Server und Clouddienste. Diese Abhängigkeiten verstärken sich gegenseitig! MS Office möchte Microsoft im Rahmen der Cloud-First-Strategie nur noch in der Cloud anbieten (Microsoft 365), aber es muss die Microsoft Cloud sein… Ein klassisches Beispiel für einen funktionierenden Lock-In Effekt. Verschiedene Microsoft Produkte werden stark miteinander integriert, während die Integration zu externen Diensten absichtlich begrenzt ist. Deshalb läuft das Office-Paket Microsoft 365 auch auf keiner fremden Cloud.
  • Seit Jahren steigen die Kosten des Bundes für Microsoft Lizenzen und Dienstleistungen, von 2017 bis 2023 ein Plus von 270 Prozent, rund 200 Millionen Euro flossen allein in 2023 aus dem Bundeshaushalt an das US-Unternehmen.

Bund versucht, Abhängigkeit von Microsoft zu verschleiern

  • Die Transparenz zur Abhängigkeit und ihren Kosten ist inakzeptabel schlecht. Meine Kleine Anfrage zum Stand von Open Source im Bund vom Dezember 2023 ergab nicht nur die hohen Volumen für Rahmenverträge, sondern auch, dass frühestens 2024 ein Lizenzmanagement des Bundes eingesetzt wird – der Bund weiß also gar nicht, wo er genau was für Software einsetzt.
  • Aber was bezahlt wurde, das ist bekannt und wird Jahr für Jahr von meinem MdB Kollegen, dem Haushaltspolitiker Victor Perli, abgefragt. In diesem Jahr wurden zum ersten Mal vom Bund die Antworten nach den Ausgaben für Microsoft Lizenzen als VS-NfD eingestuft, was bedeutet hätte, dass ich die o.g. Kosten von 200 Mio Euro gar nicht hätte verraten dürfen. Erst nach einer Beschwerde wurde die Einstufung aufgehoben. So ein Vorgehen ist unwürdig, beschränkt sowohl die parlamentarische Arbeit als auch die öffentliche Debatte zu einem Thema, das selbst die Ampel zu einer Priorität erklärt hat: Digitale Souveränität.

Leere Versprechen: Kaum Open Source im Bund, Milliarden für Großkonzerne

  • Im Koalitionsvertrag stand noch: „Entwicklungsaufträge für Software beauftragen wir im Regelfall als Open Source“, die im vorherigen Abschnitt verlinkte Kleine Anfrage von mir ergab jedoch einen großen Widerspruch: nur lächerliche 0,5% Dienstleistungen im Zusammenhang mit Software entfielen in der aktuellen Legislatur auf Open Source, bei einem Gesamtvolumen von mind. 3,5 Mrd €,  und für Entwicklungsaufträge hat z.B. das BMDV auch nur 0,5% seiner Gesamtausgaben von 22 Mio € für die Entwicklung von Open Source-Software beauftragt. Alle Details dazu, finden sich in meiner Berichterstattung vom Dezember 2023.
  • Daran wird sich auch nichts ändern, denn die mickrigen Budgets für Open Source wurde schon im aktuellen Haushalt gekürzt und sollen im Haushalt 2025 noch einmal kräftig zusammengestrichen werden, dazu gleich mehr. Die Ausgaben für gigantische Rahmenverträge steigen jedoch Jahr für Jahr. Oracle: 4,6 Milliarden € Rahmenvertrag, SAP: 700 Millionen Euro Rahmenvertrag, der Microsoft Rahmenvertrag wird gerade verhandelt, der aktuelle umfasst 1,2 Milliarden €.

Abhängigkeit von Microsoft – ein Risiko für IT-Sicherheit und Daten

  • Auch im Digitalausschuss befassten wir uns mit der mangelhaften IT-Sicherheit von Microsoft, insbesondere mit drei sehr großen Sicherheitsvorfällen (das war noch vor Crowdstrike) allein aus den letzten 12 Monaten. US-Berater des Präsidenten stellten fest, dass Microsoft der IT-Sicherheit zu wenig Priorität einräumt und damit selbst zum Sicherheitsrisiko wird. Dabei stellte sich heraus, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sogar Rechtswege gegen Microsoft beschreiten musste, um an sicherheitsrelevante Informationen heranzukommen, die die Nutzung von Microsoft Cloud Diensten betreffen. Der US-Kongress hat die Nutzung des Microsoft Co-Pilot wegen Sicherheitsrisiken sogar ganz verboten.
  • Der EU-Datenschutzbeauftragte kritisierte, dass die Nutzung von Microsoft 365 rechtswidrig sei und ein Bruch der Datenschutzverordnung für EU-Institutionen. Die deutsche Datenschutzkonferenz warnte in 2023: “Rein vertragliche Maßnahmen genügen in der Regel nicht, auch wenn die Datenverarbeitung regelhaft ausschließlich im Europäischen Wirtschaftsraum erfolgt” (um einen Zugriff auf die Daten durch US-Behörden zu verhindern).
  • Ein von mir beauftragtes Gutachten des Wissenschaftlichen Dienstes stellte fest: wirkliche Sicherheit gegen Zugriffe von US-Geheimdiensten auf Daten, die mit Software von US-Unternehmen oder ihren Töchtern verarbeitet werden, gäbe es nur bei einer effektiven technischen Trennung. Ob es eine solche Trennung überhaupt geben kann, z.B. weil ja irgendwie Updates von Microsoft auf die in Deutschland bei Deutschen Unternehmen gehosteten Server kommen müssen, habe ich daher auch in der vorliegenden Kleinen Anfrage erfragt.
  • Noch ist die Datenverarbeitung rechtssicher auch bei Datenübermittlung in die USA möglich – solange ein für wahrscheinlich anzunehmendes Schrems III-Urteil nicht das neueste US-EU Data Privacy Framework (Privacy Shields 2.0) kippt. Ich würde keinen Cent dagegen wetten. Unabhängig davon bestehen Risiken auch wegen des CLOUD-Acts, der Herausgabepflichten auch von ausschließlich in Europa verarbeiteten und gespeicherten Daten regelt. Solange die US-Rechtslage so bleibt, dass sie die Menschenrechte nur für US-Bürger*innen, nicht aber für EU-Bürger*innen verankert sind, bleibt klar: Sicherheit geht nur mit weniger Abhängigkeit von Microsoft.

Kl. Anfrage zu Microsoft + Delos-Cloud – wichtigste Erkenntnisse

Kanzler meets SAP CEO – 73 Lobbytreffen zwischen Bund und SAP

  • In a Nutshell: Es gab extrem viele Kontakte zwischen den höchsten Ebenen des Bundes und von SAP
  • Bei 63 Terminen seit 2022 gab es mehr als 73 Kontakte zw. Bund u SAP, davon entfielen 44 allein auf das BMI (15), Kanzleramt u Bundespresseamt (15) und BMF (14)
  • 19 Mal ging es dabei explizit um Delos Cloud – in 2024 bei 9 von 15 Terminen (60%)
  • 10 Mal war der Kanzler selbst dabei, 20 Mal Minister:innen und 13 Mal die Spitzen von Behörden, darunter 9 Mal der/die Präsident:in des BSI (Sicherheitsfragen spielten offenbar eine wichtige Rolle und das ist eine gute Nachricht), 38 Mal waren Staatssekretär:innen präsent
  • auch auf Seiten SAP nahmen 51 Mal höchste Führungsebenen teil – CEO/ Vorstandsmitglieder/ Geschäftsleitung/ Vicepresident/ Senior Vice President beteiligt, darunter 3 mal der CEO der Delos Cloud GmbH, und erstaunliche 20 Mal der SAP CEO selbst. Man erkennt, es geht um viel Geschäft.

Massiver Lobbyismus: 50 Treffen zwischen Bund und Microsoft

  • Hoher Lobbydruck und sehr enge Beziehungen gibt es auch zwischen Microsoft und Bund 
  • Mehr als 50 Mal trafen in den letzten 2,5 Jahren höchste Ebenen des Bundes mit höchsten Ebenen von Microsoft zusammen
  • 23 Mal ging es dabei um das Thema Cloud, in 2023 war das bei mehr als der Hälfte aller Termine der Fall. 
  • Über 60 Mal war dabei höheres Management von Microsoft vertreten – vom General Manager über Senior Vice Präsidenten oder den CEO Global und die Deutschlandchefin von Microsoft (16 Mal). 
  • Fast 70 Mal schüttelten die Unternehmensvertreter:innen die Hände hoher Bundesbeamter, von Staatsekretär:innen (10), den Spitzen von Bundesbehörden (19), von Minister:innen  (18) oder die des Kanzlers (2 Mal). 9 Mal war Robert Habeck dabei. 

Kanzler und BMI lobbyieren massiv für Delos-Cloud

  • Die Bundesregierung bestätigt in ihrer Antwort auf meine Kleine Anfrage: Kanzler Scholz machte am 20.6.24 die Delos Cloud bei der Ministerpräsidentenkonferenz zum Thema. Das ist schon erstaunlich, denn bisher interessierte sich Scholz nullkommanix für digitale Themen.
  • Außerdem: Die direkt danach und ultrakurzfristig für den 27.6.24 anberaumte Sondersitzung des ITPlanungsrates war eindeutig eine Folge dieser MPK (Frage 9) und es ging dabei nur um die Delos Cloud. Dort wurde ein Beschluss diskutiert, in dem das “gemeinsame Interesse” und der “Mehrwert einer gemeinsamen Nutzung” der Delos-Cloud festgehalten werden sollte. Ein solches “gemeinsames Interesse” sei relevant für Investitionsentscheidungen von Seiten Microsoft, Delos und der Delos-Eigentümerin SAP. Der Bund denkt also weniger an IT-Sicherheit oder effiziente Steuermittelverwendung oder an sein Versprechen, vor allem Open Source einzusetzen, sondern macht sich vor allem um die Profitabilität von SAP und Microsoft Gedanken. Der Kanzler und das BMI machen sich damit zum langen Arm des Vertriebes großer IT-Unternehmen.
  • Kurz vor der MPK beehrte Kanzler Scholz übrigens den Gründer von SAP Hasso Plattner bei dessen Abschiedsfeier…Honni soit, qui mal y pense (Ein Schelm, wer Böses dabei denkt?). 

Kein Schritt in Richtung digitale Souveränität – im Gegenteil!

  • Bisher hat die Bundesregierung keinerlei Zusicherung von Microsoft, dass weiterhin On-Premise Lösungen für die Bundesverwaltung angeboten werden können  (Frage 6)
  • Im Gegenteil: die Ampel geht selbst davon aus, dass sich die angekündigte “Cloud-first-Strategie” von Microsoft auch konkret auf die bisher On-Premise genutzten Lösungen in der Bundesverwaltung bezieht (siehe Vorbemerkungen der Bundesregierung in ihrer Antwort)
  • Trotzdem werden die Abhängigkeiten geleugnet und das Erpresserpotenzial heruntergespielt, z.B. schreibt die Bundesregierung einerseits, ihr Interesse an der Delos Cloud hätte nichts mit Abhängigkeiten von Microsoft zu tun (Frage 12) und erklärt andererseits, dass die geplante Weiterentwicklung des IT-Arbeitsplatzes (mit Microsoft Exchange) eine Anbindung an die Microsoft Cloud (Azure) erforderlich mache (Frage 6).  
  • Abhängigkeiten zu US-Konzernen und IT-Sicherheitsrisiken hat die Ampel offenbar generell nicht hinreichend im Blick: Erst vor kurzem zeigte eine Kleine Anfrage von mir auf, dass der Bund extrem abhängig vom US-Konzern Broadcom ist, weil deren Produkt „VMware“ in der IT des Bundes mit heftigem Lock-In-Effekt verankert ist und Open Source-Alternativen nicht forciert wurden.

Bund weiß nicht, ob Delos-Cloud sicher und rechtskonform ist

  • Klipp und klar steht in der Antwort der Bundesregierung, dass noch völlig offen ist, ob die Delos Cloud sicher und rechtskonform verwendbar ist
  • Denn das wird immer noch geprüft (Frage 8a/b; 16), der Ausgang dieser Prüfung sei “offen”. Interessant ist dabei, dass bereits im Juni 2024 ein neuer Rahmenvertrag mit SAP geschlossen wurde, dessen Volumen mit 700 Mio € dreimal so hoch ist wie der Vorgänger-Rahmenvertrag, der auch Cloud Lösungen umfasst.
  • Die Open Source Business Alliance hatte in einem offenen Brief vor den Risiken der Delos-Cloud gewarnt und auf datenschutzrechtliche, vergaberechtliche, sicherheitstechnische, und strategische Risiken hingewiesen. Der Bund erklärt nun auf Nachfrage, dass man diese Bedenken zwar teile, aber dass sie nicht zu einer Infragestellung der Delos-Cloud führen würden. Auch da gibt es unauflösbare Widersprüche, denn der Bund teilt gleichzeitig mit, dass eine Nutzung der Microsoft Cloud vom positiven Ergebnis des laufenden “Prüfauftrages” des IT-Rats abhängig sei, der die Themen Informationssicherheit, Datenschutz und Geheimschutz hoch priorisiere. Der Widerspruch löst sich nur dann auf, wenn das Ergebnis des Prüfauftrages bereits vorab feststeht und die Bedenken ausräumt.

Abgeschottete Cloud? Nope! Direkte Netzverbindung zu Microsoft bestätigt!

  • Das Hauptargument für die Delos-Cloud ist bisher, dass sie die Microsoft Azure Cloud in Deutschland und im Rechenzentrum eines deutschen Unternehmens, der 100%igen SAP Tochter Delos Cloud GmbH betreibt und damit die technische Trennung vor einem Zugriff von US-Geheimdiensten auf deutsche Daten schützt. Laut Gutachten des Wissenschaftlichen Dienstes des Bundestages ist nur eine echte technische Barriere gegen jeden Zugriff von US-Behörden über zur Kooperation verpflichtete US-Unternehmen wirklich sicher. Nun gibt die Bundesregierung in ihrer Antwort zu: eine direkte Netzverbindung zwischen der Delos-Cloud und Microsoft ist zwingend erforderlich (Frage 14a), weil regelmäßig Updates eingespielt werden müssen! Und das hat natürlich Auswirkungen auf die Sicherheit, denn so ist nie ganz überprüfbar, was an Updates von Microsoft eingespielt wirdAuch die Sicherheit dieser Verbindung untersucht übrigens das “Prüfungsprojekt des Bundes”. 
  • Sicherheit spielte offensichtlich bei vielen hochrangigen Gesprächen eine wichtige Rolle, das zeigt auch, dass 20 Mal der Präsident bzw. die Präsidentin des BSI bei Gesprächen mit Führungskräften von Microsoft (11 Mal) und SAP (9 Mal) dabei war. Dabei ging es jedoch auch um andere Sicherheitsprobleme bei Microsoft. 
  • Funfact: die Bundesregierung erklärte auch, die No-Spy-Klausel gäbe es nur für “Gewährleistungsansprüche im Schadensfall”, deshalb unterschreiben diese zwar alle Vertragspartner, aber überprüft wird da nix (Frage 18c).
  • Damit bleiben US-gesetzliche Herausgabepflichten von Kundendaten, über deren mögliche praktische Anwendung die die US-Unternehmen übrigens schweigen und im Ernstfall sogar lügen müssen, ein reales Risiko, z.B. könnten über Updates Hintertüren eingebaut werden.

Bund hofft auf Einsparungen, kommen werden höhere Kosten

  • Es ist geradezu putzig. Die Bundesregierung gibt Jahr für Jahr mehr Geld aus für Microsoft Lizenzen und hofft nun, durch die Nutzung ZUSÄTZLICHER Produkte von Microsoft (nämlich die Azure Cloud, verwendet von SAP) künftig Geld einsparen zu können (Frage 11). Damit ignoriert sie außerdem die erwartbaren Mehrkosten, denn Kostensteigerung durch Mietmodelle u lock-in-Effekte sind häufig. 
  • Gleichzeitig legt die Bundesregierung einen unfassbaren Anti-Souveränitäts Haushalt 2025 vor und kürzt bei allem, was für Alternativen zu Microsoft wichtig wäre: z.B. beim Zentrum für Digitale Souveränität (ZenDiS) und der FITKO. Die Mittel für das ZenDiS wurden von 2023 auf 2024 bereits von etwa 50 Millionen auf weniger als 25 Millionen € gekürzt. In 2025 soll das ZenDiS nur noch 2,7 Mio € enthalten (Haushaltsentwurf 2025) – das ist eine Kürzung um fast 90%. Das ZenDiS soll übrigens die Alternative zu Microsoft Office entwickeln, die OpenDesk heißt, und neben klassischer Office Software auch Open Source Varianten für Videokonferenzen, Mail, Cloudspeicher und Messenger enthält. OpenDesk sollte ab 2025 „breitflächig“ im Bund ausgerollt werden. Das wird wohl kaum möglich sein mit einem solchen Budget. Wir erinnern uns: in 2025 läuft auch der Microsoft Rahmenvertrag aus und wird erneuert, dann aber vermutlich in Verbindung mit der Delos-Cloud, weil es nur noch die Cloud-Variante geben wird. Open Source würgt man finanziell ab, damit Großkonzerne noch mehr Geschäft machen können und die Abhängigkeiten weiter steigen.
  • Wirklich Geld sparen könnte der Bund, wenn endlich ordentlich in Open Source Alternativen investiert würde, denn damit gäbe es ein echtes Ausstiegsszenario aus der extremen Abhängigkeit von Microsoft, die den Bund jährlich hunderte von Millionen Euro kostet.

Delos-Cloud konterkariert deutsche Verwaltungscloudstrategie

  • Im Koalitionsvertrag steht wörtlich: “Auf Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf.” Meine Frage nach Widersprüchen zwischen den Transparenzvorgaben der Verwaltungscloudstrategie (DVS) und einer Microsoft-basierten Delos-Cloud, beantwortete die Bundesregierung inhaltlich überhaupt nicht (Frage 8d). Stattdessen behauptete sie einfach, man setze die Verwaltungscloudstrategie um.
  • Dazu kann ich nur feststellen: Wer derart massiv für eine “gemeinsame” Nutzung der Delos (=Microsoft) Cloud wirbt, setzt keineswegs eine Multicloud-Strategie um. Außerdem entspricht das nicht dem erklärten Vorrang für eine Open Source Cloud, der explizit in der Deutschen Verwaltungscloudstrategie formuliert ist.
  • Völlig irre finde ich die Antwort der Bundesregierung auf meine Frage, ob die Delos Cloud der grundsätzlichen Beauftragung von Entwicklungsaufträgen als Open Source Software nicht widerspricht. Sie verweist nämlich nur auf den rein theoretischen Vorrang von Open Source im neuen eGovernment Gesetz, weicht also eigentlich nur aus. Ganz praktisch ist die Delos Cloud genau null Open Source und ganz praktisch werden nur 0,5 Prozent der Software Entwicklungsaufträge des Bundes als OSS beauftragt (siehe meine Kleine Anfrage 20/9417). Man könnte auch argumentieren, Delos sei letztlich ein Produkt von SAP und deshalb kein Software-Entwicklungsauftrag der Verwaltung, aber die Delos-Cloud wird extra für den Einsatz in der öffentlichen Verwaltung entwickelt und insbesondere für den Bund, aber Open Source hat vermutlich trotzdem bei all den zig Lobbyterminen mit SAP und Microsoft niemand aus der Bundesregierung je angesprochen und gefordert. Der Bund hat schlicht keinen Bock auf Open Source.

Durchblick? Lizenzmanagement Tool kommt erst noch

  • Teil des Problems ist, dass nicht mal der Bund selbst weiß, welche Software Lizenzen er besitzt und/oder welche davon die Behörden nutzen. Ich habe seit Jahren immer wieder nachgefragt, auch in dieser Kleinen Anfrage. Und siehe da, endlich wird ein Software Lizenzmanagement Tool des Bundes ausgerollt, aber erst jetzt und erst mal nur für vier Behörden.
  • Bis Ende 2024 kommt das Lizenzmanagement für zwei Ministerien und zwei Bundesbehörden (Bundesarchiv und Eisenbahnbundesamt), Mitte 2025 sollen fünf, bis Ende 2025 drei weitere Behörden dazukommen, darunter drei Ministerien. Ob es danach weiter geht, hängt laut Antwort der Bundesregierung „von der Haushaltslage“ ab. Das läßt nichts Gutes ahnen.
  • Transparenz ist elementar für gute Staatsführung, nach innen und nach außen, sie muss deutlich höhere Priorität genießen! 

Das war meine Analyse der Kleinen Anfrage, nachfolgend gibts noch Pressestatements von mir dazu und darunter – ganz am Ende – gibts die Links zu den Antwort Dokumenten der Bundesregierung und weitere interessante Quellen.

Meine Pressestatements zur Kleinen Anfrage Microsoft / Delos-Cloud

Zusammenfassend:

„Die extreme Kontaktdichte zwischen hochrangigen Regierungsvertreter:innen und höchsten Repräsentant:innen von SAP und Microsoft in den letzten zwei Jahren wirft Fragen auf und ein schlechtes Licht auf die Bundesregierung, denn obwohl sie zugibt, dass es noch jede Menge offener Fragen zur sicheren Verwendung der Microsoft Cloud unter dem Dach der SAP-Tochter Delos gibt, wurde bereits im Juni ein aufgeblähter Rahmenvertrag mit SAP für ihren Einkauf abgeschlossen, und machte Kanzler Scholz auf der MPK und Nancy Faesers Staatssekretär auf einer Sondersitzung des IT-Planungsrates Werbung für die Delos Cloud bei den Bundesländern. 

So stärkt die Bundesregierung die von ihr immer wieder wortreich angestrebte Digitale Souveränität Deutschlands nicht, sie wird im Gegenteil drastisch geschwächt. Denn wenn das Buddy-System des Dreigestirns aus Bundesregierung und dem Topmanagements bei SAP und Microsoft dazu führt, dass die auf Open Source setzende Deutsche Verwaltungscloud Strategie munter ignoriert und eine Microsoft Cloud im Delos Mantel zur Haupt-Cloud staatlicher Stellen werden kann, führt das direkt zu noch mehr Abhängigkeiten von Microsofts proprietärer Software. 

Derart extreme Abhängigkeiten sind auch mit extremen Risiken verbunden: mit Erpressbarkeit bei steigenden Preisen, unkalkulierbaren Sicherheitsrisiken und noch weiter eingeschränkter Flexibilität, weil das Microsoft Universum faktisch zementiert und ständig erweitert werden wird und Open Source Alternativen künftig noch weniger integrierbar sind. Mit einer Umsetzung des Koalitionsvertrags oder der Digitalstrategie hat diese Entwicklung wenig zu tun. Das ist kurzsichtig und gefährdet die Souveränität der IT in Bund und Ländern.“  

Zum Lobbyismus:

„Ich kann mich aus meinen sieben Jahren im Bundestag an keine einzige Abfrage zu Lobbytreffen zwischen Bund und Vertreter:innen der Wirtschaft erinnern, bei der eine derart hohe Zahl bilateraler Treffen auf derart hohem hierarchischen Level stattgefunden hat, wie zwischen dem Bund und den Unternehmen SAP und Microsoft in den letzten ca. 2,5 Jahren. Da geht ein Bundeskanzler 10 Mal zu SAP und Minister Robert Habeck neun Mal zu Microsoft, ingesamt waren 38 Mal Minister:innen und 48 Mal Staatssekretär:innen bei 113 Terminen mit SAP oder Microsoft dabei. Über 60 Mal waren höchste Management Ebenen von Microsoft präsent, über 50 Mal die von SAP, allein der CEO von SAP war 20 Mal zugegen, die Deutschland Chefin von Microsoft 16 Mal. 

Bei 33 Treffen ging es dabei explizit um Cloud Dienste. Wie viele Treffen hat es wohl gegeben, mit Anbietern von wirklich souveränen Cloud Lösungen, die auf Open Source basieren? Wie neutral wird eine Entscheidung mit langfristigen Folgen, sowohl für die künftige IT-Architektur als auch für Kosten, Flexibilität und Integrationsfähigkeit getroffen werden können, wenn es so viele Lobbytermine mit den Anbietern einer ganz bestimmten Lösung gibt, zu denen bereits extrem hohe Abhängigkeiten bestehen? Es liegt doch nahe, dass bei derart geballter Firmenrepräsentanz, wo vom Global CEO bis zu General Managern und Senior Vice Presidents alles aufgefahren wird, was an hierarchischer Prominenz aufzubieten ist, mit vielen Topjurist:innen und Marketing Expert:innen jeder Kritik der Wind aus den Segeln genommen und mit vielen blumigen Erklärungen das Blaue vom Himmel herunter versprochen wird – ohne dass es hinreichend Gelegenheiten gibt, Gegenargumente auf den Tisch zu legen. 

Und so sah sich auch die Open Source Business Alliance genötigt, einen offenen Brief an die Bundesregierung zu schreiben. Denn für Unternehmen, die Alternativen zu proprietärer Software in Deutschland entwickeln, auch im Bereich Cloud Dienste, haben Kanzler, Minister, Behördenleitungen und ihr Gefolge aus Staatsekretär:innen keine auch nur ansatzweise vergleichbare Aufmerksamkeit übrig. So bleibt die Bevorzugung von Open Source durch den Bund eine Sprechblase der Ampel-Regierung, die nicht nur im Koalitionsvertrag, sondern auch in der Verwaltungscloudstrategiesteht, aber in der Realität weiterhin nicht stattfindet.“ 

Zum Mangel an digitaler Souveränität:

“Nicht müde wird die Bundesregierung, auf die Notwendigkeit einer digitalen Souveränität hinzuweisen, denn Abhängigkeiten sind gefährlich und einseitige Abhängigkeiten sind es doppelt. Da ist eine IT-Landschaft durchaus vergleichbar einem Ökosystem in der Natur, bei dem Monokulturen erheblich anfälliger sind als ein Ökosystem, in dem mehr Vielfalt herrscht. 

Die flächendeckende Abhängigkeit des Bundes von Microsoft wurde häufig kritisiert, wächst aber weiter an, sie diversifiziert sich und umfasst längst nicht mehr nur klassische Office-Anwendungen, sondern u.a. auch Maildienste (Outlook), Videokonferenzsysteme (Teams), KI-Dienste (Co-Pilot), Serversoftware oder Cloud-Dienste. Abhängigkeiten von einem Produkt bedingen häufig neue Abhängigkeiten, so verfolgt Microsoft eine Cloud First Strategie und will auch Office Anwendungen künftig nur noch in der Cloud anbieten, aber nicht in irgendeiner Cloud, sondern in der Microsoft Cloud. 

Seit Jahren wird vor den Konsequenzen gewarnt, nicht nur vom Rechnungshof, der die stetig steigenden Lizenzausgaben kritisiert. In 2023 floss schon jeder sechste Bundes-Euro, der für Software Lizenzen und Services ausgegeben wurde, an Microsoft – mehr als 200 Millionen Euro. Transparenz zum Grad der Abhängigkeit von Microsoft gibt es nicht, sie ist auch nicht erwünscht, denn erstmalig versuchte in diesem Jahr die Bundesregierung, ihre Antwort auf die jährliche Abfrage der Lizenzausgaben durch meinen MdB Kollegen Viktor Perli als VS-NfD einstufen zu lassen, damit sie in der öffentlichen Debatte nicht verwendet werden kann, was nur eine formelle Beschwerde verhinderte. Nicht einmal im Bund gibt es hinreichend Transparenz, denn ein flächendeckendes, verbindliches Lizenzmanagement gibt es nicht. Erst im Laufe des Jahres sollen die allerersten Bundesbehörden ein Software-Lizenzmanagement Tool nutzen können, es befindet sich noch im Roll-out. 

Wie viel, oder besser wie wenig Open Source Software eine Rolle spielt, hat daher auch erst eine Kleine Anfrage von mir ans Licht gebracht. Während im Koalitionsvertrag noch versprochen wurde, dass “im Regelfall” Softwareentwicklungen als Open Source beauftragt werden, kam heraus, dass in den ersten beiden Jahren der Ampelregierung nur lächerliche 0,5 Prozent der 3,5 Milliarden Ausgaben für IT-Dienstleistungen im Zusammenhang mit Software auf Open Source Software entfielen und ausgerechnet das Digitalministerium von 22 Mio € Kosten für Softwareentwicklungen ebenfalls nur 0,5 Prozent davon für Open Source ausgab. Der Regelfall ist nicht offene Software, sondern proprietäre, da hat sich mit der Fortschrittskoalition jenseits der Rhetorik leider absolut nichts geändert.” 

Zu fehlgelenkten Haushaltsmitteln: 

“Mit dem anstehenden großen ‘Gang in die Cloud’ könnten viele Karten neu gemischt werden, aber nicht beim Bund, der bleibt lieber beim Alten, also bei Microsoft. Wie ernst das Gerede von der digitalen Souveränität wirklich gemeint ist, merkt man spätestens am Geld, und das fließt sehr einseitig. Auch Investitionen in Alternativen wie den Open Source Arbeitsplatz des Bundes, OpenDesk, werden zwar sogar international angepriesen, aber trotzdem finanziell ausgebremst. 

Haushaltsmittel sollen steuernd wirken, das tun sie auch bei diesem Thema, nur leider in die falsche Richtung. Auch derHaushaltsentwurf für 2025 ist ein Verrat an der digitalen Souveränität, denn alles was das Potenzial hatte, die Unabhängigkeit der Bundes-IT von proprietären SoftwareW-Anbietern zu verringern, bekam besonders empfindlich Christian Lindners Rotstift zu spüren. Am krassestens trifft es das Zentrum für digitale Souveränität selbst, das unter anderem.a. OpenDesk weiterentwickeln soll, dessen ohnehin unzulänglichen Mittel von gut 20 Millionen Euro in 2024 auf künftig nur noch 2,7 Millionen schrumpfen sollen. Vielleicht hat deshalb der ZenDiS Geschäftsführer hingeschmissen. Wer kann schon mit so einem eklatanten Widerspruch von Anspruch und Wirklichkeit sinnvoll arbeiten. Auch der FITKO sollen die Haushaltsmittel von 43 Mio auf knapp 10 Mio gekürzt werden, obwohl die FITKO eine wesentliche Rolle bei der digitalen Souveränität spielt, Standards entwickeln und pflegen und für den dauerhaften Betrieb der deutschen Verwaltungscloud zuständig sein soll. Mehr Verachtung kann man dem Thema Open Source und Digitale Souveränität kaum entgegenbringen.”

Zur Sicherheit der Delos Cloud:

“Das jahrelange und ungewöhnlich intensive Engagement der Bundesregierung für eine Bundes-Cloud auf Basis von Microsoft Technologie erstaunt insbesondere in Anbetracht der Tatsache, dass es bis heute keine abgeschlossene Prüfung der Delos Cloud gibt, die ihre Unbedenklichkeit vor allem hinsichtlich der Informationssicherheit, des Datenschutzes und des Geheimschutzes feststellt. Die Prüfungen laufen immer noch, wie lange weiß man nicht, ihr Ausgang soll laut Bundesregierung offen und der Einsatz der Delos Cloud davon abhängig sein. Aber wie offen ist diese Prüfung wirklich, wenn der gerade erst im Juni abgeschlossene Rahmenvertrag mit SAP plötzlich dreimal so viel Volumen  – ca. 700 Mio Euro – wie sein Vorgängervertrag umfasst, aber dafür die Delos-Cloud mit abdeckt? An Zufälle glaube ich da nicht und die Bundesregierung gibt ja auch in ihrer Antwort selbst zu, dass die Kritik der OSBA, die auf die gerade in Prüfung befindlichen Sicherheitsrisiken hinwies, nicht zu einer Infragestellung der Delos Cloud führen würde. Immerhin nimmt das BSI das Thema ernst und zwar auf höchster Ebene, 20 Mal waren der Präsident des BSI und seine Nachfolgerin Claudia Plattner bei Terminen mit Microsoft und SAP dabei. 

Brisant ist jedoch, dass die Bundesregierung zugeben musste, dass die Microsoft Azure Technologie keineswegs quasi abgeschottet in Rechenzentren der SAP Tochter Delos laufen kann, was eine technische Barriere sein sollte, um Datenabflüsse Richtung US-Geheimdienste zu verhindern, denn US-Gesetze können US-Firmen weiterhin zum heimlichen Ausspähen von Daten ihrer Kunden zwingen. Nun bestätigte die Bundesregierung: Auch wenn die Azure Cloud im Rechenzentrum von Delos läuft, müssen die dortigen Server über eine Netzwerkverbindung mit den Servern von Microsoft direkt verbunden sein, denn anders lassen sich die notwendigen Updates gar nicht einspielen. 

Aber wo es derartige Verbindungen mit Software Updates gibt, kann auch nicht ausgeschlossen werden, dass aus der Ferne absichtlich Sicherheitslücken als Hintertüren eingebaut werden. Auf das Ergebnis der andauernden Sicherheitsprüfung und die darin verwendeten Argumente bin ich daher sehr gespannt. 

Aus meiner Sicht sollte man als Regierung eines europäischen Landes auf die Abhängigkeit von US-Konzernen komplett verzichten, das schaffen schließlich auch andere Mitgliedsstaaten der EU. Was es dafür braucht, ist eine umfassende Exit-Strategie, eine Priorisierung und ausreichende Förderung bereits verfügbarer Alternativen und vor allem eins: ‘Walk the Talk!’ – Also eine Bundesregierung, die ihre Versprechen und Vorgaben von Koalitionsvertrag bis zur Verwaltungscloud-Strategie endlich umsetzt und einhält.”

Links und Anlagen

  • Antwort der Bundesregierung: Hauptdokument LINK
  • Antwort der Bundesregierung Anlage 1 (Lobbytreffen mit SAP) LINK
  • Antwort der Bundesregierung Anlage 2 (Lobbytreffen mit Microsoft) LINK
  • Kleine Anfrage Open Source vom Dezember 2023 LINK zum Pressestatement
  • Gutachten der Wissenschaftlichen Dienste zur Sicherheit vor US-Zugriffen auf in DE gehostete Daten LINK
  • Diverse Tabellen mit Auswertungen der Lobbytreffen LINK

Meine Frage:

„Berücksichtigt der kürzlich zwischen dem Beschaffungsamt des BMI und dem Unternehmen SAP geschlossene Rahmenvertrag im Volumen von knapp 700 Mio. Euro zu SAP Produkten und Dienstleistungen (siehe zum Beispiel https://news.sap.com/germany/2024/06/neue-rahmenvereinbarung-sap-digitalisierungbundesverwaltung/) ökologische Nachhaltigkeitsaspekte, zum Beispiel für die Energieeffizienz von Software oder von Cloud Dienstleistungen (siehe Leitfaden zur umweltfreundlichen öffentlichen Beschaffung von Software in der Fassung von 2023: www.umweltbundes-amt.de/publikationen/leitfaden-zur-umweltfreundlichenoeffentlichen-21 sowie die Vorgaben des Blauen Engels für ressourcen- und energieeffiziente Softwareprodukte (DE-UZ 215) https://produktinfo.blauer-engel.de/uploads/criteriafile/de/DE-UZ%20215-202001-de%20Kriterien-V4.pdf), und wenn ja, in welcher Weise, und wenn nein, wie begründet die Bundesregierung diese Abweichung von den Leitfäden und ihrem öffentlichen Commitment zur Nutzung nachhaltigerer IT im Bund, wie im Koalitionsvertrag zwischen SPD, BÜNDNIS 90/DIE GRÜNEN und FDP und in der Digitalstrategie festgehalten?“

Antwort der Bundesregierung vom 04.09.2024:

„Die Frage bezieht sich auf die Rahmenvereinbarung 21884 „Überlassung und Pflege von SAP-Software und die Bereitstellung von SAP Cloud-Services sowie Dienstleistungen“. Dabei handelt es sich um eine herstellerfestgelegte Ausschreibung, die explizit den genannten Leistungsgegenstand zum Inhalt hatte. Die in der Rahmenvereinbarung abgeschlossenen Leistungen werden von verschiedenen Behörden, darunter auch Behörden des Zivil- und Katastrophenschutzes, Sicherheitsbehörden, Infrastrukturdienstleistern benötigt, und sind für die Aufrechterhaltung des Dienstbetriebes der einzelnen Behörden notwendig. Die wesentlichen Bestandteile der Rahmenvereinbarung werden nur von SAP angeboten.

Die Aspekte der ökologischen Nachhaltigkeit konnten daher nur eingeschränkt berücksichtigt werden. Die Thematik Nachhaltigkeit wurde im Rahmen der Verhandlungen zwar besprochen. Gütezeichen konnten allerdings nur insoweit berücksichtig werden, wie sie die Produkte der Firma SAP AG ohnehin schon umfassen. Eine Auszeichnung des Blauen Engels von SAP Produkten bestand zum Zeitpunkt der Rahmenvereinbarung nicht. Bedarfsträgern und Bedarfsträgerinnen können durch ihre Abrufe aus der Rahmenvereinbarung die Nachhaltigkeit allerdings im Einzelfall fördern, indem sie z. B. IT-Dienstleistungen nachhaltig per Fernzugriff abrufen, statt einem Vor-Ort Service.“

Antwortschreiben im Original (geschwärzt):

Meine erste Frage:
„Wie viele KI-Anwendungen setzt die Bundesregierung und ihre nachgeordneten Behörden insgesamt ein, die in der Antwort der Bundesregierung auf die Kleine Anfrage der Gruppe der Linken auf Bundestagsdrucksache 20/12191 mit Verweis auf eine mögliche Staatswohlgefährdung nicht genannt wurden, auch nicht in eingestufter Form (bitte je Behörde die Anzahl der KI-Anwendungen nennen, da ihre bloße Anzahl nach meiner Auffassung keinerlei staatswohlgefährdende Information darstellt), und ab wann plant die Bundesregierung die Verfügbarkeit und damit Nutzung eines öffentlichen KI-Registers (mindestens) für die KI-Anwendungen des Bundes, wie sie in der oben genannten Antwort der Bundesregierung zu Frage 14 der Kleinen Anfrage erwähnt wurde?“


Antwort der Bundesregierung vom 03.09.2024:

„Die Behörden, die Gegenstand der Frage sind, setzen unter anderem auch KI-Anwendungen ein. Darüber hinaus wird auf die Vorbemerkung der Bundesregierung zur Antwort der Bundesregierung auf die Kleine Anfrage der Gruppe DIE LINKE auf BT-Drs. 20/12191 verwiesen. Die Verfügbarkeit des in der Kleinen Anfrage genannten Marktplatzes der KI-Möglichkeiten ist derzeit im Herbst 2024 beabsichtigt.“

Meine zweite Frage:

„Wie grenzen sich die Angaben zu Haushaltsmitteln und Kosten in den Tabellen Anlage 1e (zu Frage 4; Kosten für KI-Anwendungen im Bund), Anlage 2 (zu Frage 6; Forschungsvorhaben, Pilotprojekte, Reallabore mit Beteiligung des Bundes, oder initiiert bzw. unterstützt vom Bund), Anlage 3 (zu Frage 8; bisher bewilligte und gebundene Mittel im Rahmen der KI-Strategie und ihre Verteilung auf Förderprogramme und Haushaltsmittel) sowie Anlage 3a (zu Frage 9; weitere Mittel außerhalb der KI-Strategie für die Förderung und den Einsatz von KI nach Förderprogrammen und Haushaltstiteln) in der Antwort der Bundesregierung auf die Kleine Anfrage der Gruppe der Linken auf Bundestagsdrucksache 20/12191 voneinander ab, und ggf. welche Überschneidungen von Angaben treten dabei konkret auf?“


Antwort der Bundesregierung vom 03.09.2024:

„Die Anlagen 1e, 2, 3 und 3a wurden separat erstellt. Die einzelnen Parameter wurden gezielt entsprechend den Fragen 4, 6, 8 und 9 der Kleinen Anfrage der Gruppe der Linken (Bundestagsdrucksache 20/11648) abgefragt, sodass die Anlagen getrennt voneinander zu betrachten sind.

Anlage 1e (zu Frage 4) beschreibt die Kosten für KI-Anwendungen, die innerhalb der Bundesregierung eingesetzt werden. Anlage 2 (zu Frage 6) stellt Forschungsvorhaben, Pilotprojekte sowie Reallabore mit Beteiligung des Bundes dar. Hierbei handelt es sich im Gegensatz zu Anlage 1e um Förderung für externe Projekte. Anlage 3 (zu Frage 8) beschreibt bisher bewilligte und gebundene Mittel im Rahmen der KI-Strategie und ihre Verteilung auf externe Förderprogramme und Haushaltsmittel. Diese adressieren das breite Spektrum der Ziele der KI-Strategie; der Fokus liegt damit nicht notwendigerweise auf der Entwicklung konkreter KI-Anwendungen. Davon abzugrenzen sind die Finanzmittel für Fördermaßnahmen in Anlage 3a (zu Frage 9), bei denen es sich um andere Mittel handelt, die nicht auf die KI-Strategie einzahlen.

Von maßgeblichen Überschneidungen in den Finanzmitteln wird nicht ausgegangen.“

Antwortschreiben im Original:

— Update: Hinweis: Nach dem Erhalt der ersten Antwort auf meine Schriftliche Frage, machte ich die Bundesregierung auf einen Fehler in den Tabellen aufmerksam. Denn tatsächlich hat sich bei der Überprüfung ergeben, dass es sich bei der doppelten Nennung des BMVg um einen technischen Übertragungsfehler handelte. Die Zahlen des BMBF gingen erst nach Fristablauf ein und konnten daher nicht bei der fristgemäßen Beantwortung berücksichtig werden. Unter weiterführenden Links unten in diesem Beitrag können die korrigierten und nach eigenen Berechnungen erstellten Tabellen, welche nunmehr auch die Werte des BMBF berücksichtigen, entnommen werden. Außerdem findet sich dort ein Schriftverkehr, der Definitionsfragen auf nochmalige Rückfrage bei BMI darlegt. —

Im Jahr 2021 versprach die selbsternannte Fortschrittskoalition in ihrem Koalitionsvertrag: “Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht”. Schon die Antwort der Ampel auf meine Kleine Anfrage im Dezember 2023 ergab, dass diese Ankündigung der Ampel und ihre Umsetzung eklatant auseinander klafften. So gab die Bundesregierung zu, dass seit Beginn der Legislaturperiode nur ca. 0,5 Prozent seiner Ausgaben zu Entwicklungsaufträgen von Software auf OSS entfielen. Für Dienstleistungen im Zusammenhang mit Software gab der Bund insgesamt sogar etwa 3,5 Milliarden Euro aus, auch davon flossen aber nur 18,6 Mio. (0,54 Prozent) im Zusammenhang mit Open Source Software. Die vielen Tabellen mit der Auflistung aller Software Entwicklungsaufträge aus dieser Anfrage wurde leider aus Gründen der Sicherheit eingestuft, ich konnte sie also nicht veröffentlichen.

Meine neue Anfrage belegt Schere zwischen Koalitionsvertrag und Praxis im Bund

Deshalb habe ich nun erneut nachgefragt mit einer Schriftlichen Frage und deren Beantwortung durch die Bundesregierung (August 2024) zeigt das konkrete Ausmaß der krassen Schere zwischen Absichtserklärung und gelebter Praxis mit Blick auf die Beauftragung von Open Source Software.

Hier die nackten Fakten (besonders peinlich das Digitalministerium!):

  • 1.727 Software Entwicklungsaufträge erteilte die Ampel-Regierung seit Veröffentlichung des Koalitionsvertrages
  • 475 davon sollen als Open Source beauftragt worden sein (=27,5 %)
  • 352 dieser Open Source Aufträge (74%) soll das BMEL beauftragt haben, das noch im Nov. 2023 nur 62 Software Entwicklungsaufträge in meiner Kleiner Anfrage angab, davon 12 als Open Source (Details zur Kl. A. sind eingestuft)
  • 123 von insg. 1.293 Entwicklungsaufträgen der anderen Ministerien wurden als Open Source beauftragt (9,5%)
  • 61 der 1.727 Fälle von Software Entwicklung (3,5%) haben den Source Code der Software veröffentlicht
  • 6 Ministerien veröffentlichten in keinem einzigen Fall den Source Code beauftragter Software
  • 0,37 % (2 von 542 Softwareentwicklungsaufträgen) beim BMDV haben den Source Code veröffentlicht
  • 5 Ministerien haben keinen einzigen SW-Entwicklungsauftrag als Open Source beauftragt (BMAS, BMWSB, BMVg, BMBF) oder weniger als 1 % (BMDV: 0,55%)

Weiterlesen

Meine Frage:

„Wie hoch ist der Anteil der Entwicklungsaufträge für Software, die seit Veröffentlichung des Koalitionsvertrages zwischen SPD, BÜNDNIS 90/DIE GRÜNEN und FDP entsprechend der darin enthaltenen Ankündigung “Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die Software wird grundsätzlich öffentlich gemacht” tatsächlich als Open Source beauftragt wurden (bitte dafür je Ressort unter Beachtung aller nachgeordneten Behörden die Anzahl erteilter Entwicklungsaufträge insgesamt und die Anzahl derjenigen Aufträge davon angeben, die die genannte Bedingung erfüllen, also als Open Source beauftragt wurden), und wie bewertet die Bundesregierung diese Zahlen hinsichtlich der Erfüllung ihres Koalitionsvertrages?“

Vorbemerkungen der Bundesregierung:

„Vorbemerkung:
Die Beantwortung der Frage erfolgte unter den nachfolgenden Annahmen:

• Die Formulierung „beauftragt“ bezieht sich auf die Auftragsvergabe an Organi-
sationseinheiten innerhalb der Bundesverwaltung sowie externe Stellen au-
ßerhalb der Bundesverwaltung (privatwirtschaftliche Unternehmen, Dienstleis-
ter auf kommunal-, landes- oder EU-Ebene).
• Bezüglich des Begriffs „Open Source“ wurde die Annahme getroffen, dass es
sich bei dabei um eine quelloffene Software handelt, bei der grundsätzlich
eine freie Weitergabe der Software ermöglicht wird und es eine Möglichkeit
gibt, den Quellcode der Software zu erhalten.
• Zum Begriff „öffentlich gemacht“ wurde die Annahme getroffen, dass es für die
Öffentlichkeit eine grundsätzliche Möglichkeit geben soll, die Software zur Nut-
zung als Datenträger oder über das Internet als Software-Download zu bezie-
hen.
• Da die Frage auf den gesamten Zeitraum nach Veröffentlichung des Koaliti-
onsvertrages abzielt, wurden die Daten für den Zeitraum Dezember 2021 bis
Juli 2024 erhoben.“

Antwort der Bundesregierung:

„1. Der Anteil der Entwicklungsaufträge in Prozent je Ressort für als Open Source
beauftragte Softwareentwicklungsaufträge beträgt für:

2. Der Anteil der Entwicklungsaufträge in Prozent je Ressort für als Open Source
beauftragte Softwareentwicklungsaufträge die öffentlich gemacht wurden be-
trägt für:

3. Wie bewertet die Bundesregierung diese Zahlen hinsichtlich der Erfüllung ih-
res Koalitionsvertrages?

Open Source ist lediglich ein Teil der Strategie zur Erreichung der Digitalen
Souveränität. Eine ganzheitlichere und aussagekräftigere Betrachtung um-
fasst weitere Initiativen, darunter die Multi-Cloud-Strategie der Bundesregie-
rung, die Gründung des Zentrums für Digitale Souveränität (ZenDiS) im Jahr
2022, die Stärkung von IT-Kompetenzen (durch die Gründung der Digitalaka-
demie im Jahr 2021) sowie die Vernetzung über die europäische Plattform
“Gaia-X” zur Schaffung einer souveränen europäischen Dateninfrastruktur.

Die Bundesregierung fördert den Einsatz offener Standards und Open-Source-
Software, die bei neu anzuschaffender Software vorrangig vor solcher Soft-
ware beschafft werden soll, deren Quellcode nicht öffentlich zugänglich ist
oder deren Lizenz die Verwendung, Weitergabe und Veränderung ein-
schränkt.

Ein weiterer Schritt in diese Richtung wurde mit dem Inkrafttreten des OZG-
Änderungsgesetz (OZGÄndG) am 24. Juli 2024 vollzogen. Als eine Anpas-
sung des E-Government-Gesetzes – EGovG regelt dies die vorrangige Nut-
zung von Open Source Software in der Bundesverwaltung. Die Bundesregie-
rung erfüllt somit eine weitere Forderung aus dem Koalitionsvertrag 2021-
2025 (Zitat: „Entwicklungsaufträge werden in der Regel als Open Source be-
auftragt…“) und stärkt damit die Digitale Souveränität in der IT der Bundesver-
waltung.

Antwort der Bundesregierung im PDF:

Hinweis zu nachgetragene Information der Bundesregierung zu korrigierten Daten:

In 2023 machte die Unternehmensübernahme von VMWare durch Broadcom Schlagzeilen, da VMWare Produkte u.a. bei sogenannten Virtualisierungen und Clouddiensten den Markt dominieren und Broadcom bei früheren Übernahmen durch radikale Veränderungen von Lizenzmodellen und Preisstrukturen zu Lasten der Kunden auffiel und dabei vorhandene Abhängigkeiten gnadenlos ausnutzte. Auch die Bundes-IT hängt stark von VMWare Produkten ab und ist potenziell erheblichen Preiserhöhungen unterworfen. Trotzdem vergab der Bund noch im Herbst 2023 Rahmenverträge im Volumen von 600 Mio Euro für VMWare-Produkte. Eine Kleine Anfrage der Gruppe DIE LINKE im Bundestag deckte auf, dass die Bundesregierung nicht einmal eine Risikobewertung vorgenommen hat, dass die Abhängigkeiten wie vermutet enorm sind, dabei Detailinformationen wegen potenzieller Staatswohlgefährdung eingestuft wurden, einschließlich der Folgekosten für den Bund.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Bundesregierung verspricht immer wieder mehr Digitale Souveränität, aber tut weiterhin viel zu wenig, um dieses Versprechen in die Realität umzusetzen. Das rächt sich auch im Fall der einseitigen Abhängigkeit von VMWare-Produkten, für die allein von Nov. 2019 bis Mai 2024 Lizenzen im Wert von 460 Mio € vom Bund bezogen wurden. Der Bund ruht sich darauf aus, dass er Lizenzen über Rahmenverträge mit Dritten bezieht und diese noch bis zu drei Jahre Laufzeit haben, so dass die enormen Preissteigerungen erst mit Zeitverzug bei der IT des Bundes ankommen. Aber eine entscheidende Software in einem Gesamtsystem, wie z.B. in vielen der über 180 Rechenzentren des Bundes, kann man nicht von heute auf morgen austauschen. Dazu braucht es zuerst eine Gesamtrisikobewertung und darauf aufbauend eine Exitstrategie. In ihrer Antwort gibt die Bundesregierung zu, dass es beides bisher nicht gibt.

Kurzfristig sieht sie keinerlei Handlungsbedarf, nicht einmal ein Vergabestopp wird erwähnt. Für die Gesamtwirtschaft rechnet die Bundesregierung allerdings direkt mit Einschränkungen der Zuverlässigkeit des IT-Betriebs durch auslaufende Updates, sowie mit Kostensteigerungen. Der Fall “VMware” zeigt tatsächlich sehr anschaulich, wie ein Lock-in-Effekt funktioniert, denn viele VMware-Kunden können gar nicht zu Alternativen wechseln, weil ein Umstieg zu komplex oder technisch auf absehbare Zeit nicht machbar ist. Diese Kunden müssen in den sauren Apfel willkürlicher Preiserhöhungen beißen, was besonders kleine- und mittlere Unternehmen in finanzielle Schieflage bringen kann. Aber auf drei Jahren sicherer Konditionen kann sich der Bund nicht ausruhen.

Aktuell fehlt jedoch ohnehin jeglicher Überblick, denn von den öffentlich breit diskutierten Problemen wie dem Zwang zum Umstieg von on-premise Lösungen auf Cloud-Lösungen und von Einzel- auf (in vielen Fällen erheblich teurere und oft unnötige) Bündellizenzen oder den negativen Auswirkungen beim Zwangsumstieg auf Abo-Modelle und von gestoppten Wartungsverträgen, die zu erheblichen IT-Sicherheitsrisiken führen, hat die Bundesregierung nach ihrer Aussage bisher nichts mitbekommen.

Die Folgen des schlechten Risikomanagements sollen offenbar nicht öffentlich werden, denn wichtige Teile ihrer Antwort stellte sie nur in nichtöffentlichen Dokumenten bereit, wozu auch meine Frage zu erwarteten Kostensteigerungen gehört, die mit Verweis auf eine mögliche Staatswohlgefährdung zur Verschlusssache erklärt wurden.

Vor allem aber muss die Bundesregierung endlich ihr Bekenntnis zur digitalen Souveränität auch leben und dazu gehört eine angemessene Ausstattung des Zentrums für Digitale Souveränität, damit es seine Aufgabe, Open Source Alternativen für den Bund bereitzustellen, auch erfüllen kann. Statt immer wieder Milliardenschwere Rahmenverträge mit den immer gleichen großen US-Konzernen abzuschließen, sollte der Bund konsequent das Ökosystem für Open Source Produkte weiterentwickeln und wo immer es diese Möglichkeit gibt, leistungsfähige Open Source Lösungen einsetzen. Dies gilt insbesondere für den anstehenden Wechsel hin zu einer Cloud-basierten Bundes-IT. Denn wenn nicht endlich ein konsequentes Umdenken im Sinne einer tatsächlichen digitalen Souveränität und damit auch im Sinne des Gemeinwohls stattfindet, bleibt die unabhängige, hoheitliche und sichere Digitalisierung der Verwaltung unerreichbar.“

Weiterführende Links:

Meine Frage:

„Aus welchem Grund verzögert der Bund die Beteiligung interessierter Bundesländer
an der Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS)
GmbH (https://netzpolitik.org/2024/opendesk-wie-das-bmi-den-souveraenen-arbeits-
platzauf-die-lange-bank-schiebt/), und wann ist tatsächlich mit der Umsetzung der
geplanten Beteiligung der Bundesländer an ZenDiS zu rechnen (bitte ausführlich be-
gründen, warum trotz Bereitwilligkeit einiger Länder und seit Monaten vorliegenden
unterschriftsreifen Unterlagen bisher keine Beteiligung zustande kam und welches
Ressort die Verzögerung ursächlich zu verantworten hat)?“

Antwort der Bundesregierung:

„Zum Beitritt der Länder als Gesellschafter zur ZenDiS GmbH ist ein Antrag nach § 65
Bundeshaushaltsordnung (BHO) beim Bundesministerium der Finanzen erforderlich.
Der Bundesrechnungshof ist zu beteiligen. Dieser Antrag wird aktuell unter Berück-
sichtigung der Anforderungen der BHO und des Vergaberechts vorbereitet und soll
zeitnah dem Bundesministerium der Finanzen (BMF) und dem Bundesrechnungshof
(BRH) übermittelt werden. Erst nach Zustimmung des BMF können unterschriftsreife
Unterlagen erstellt werden.
Die eingetretene Verzögerung ist nicht durch ein Ressort zu verantworten, sondern
der Komplexität der Anforderungen geschuldet, die sich aus der BHO und dem
Vergaberecht ergeben.“

Antwort im Original:

Meine Frage:

„Mit welchen Meilensteinen und jeweils welchen Ressourcen soll die Umsetzung des laut Koalitionsvertrag zwischen SPD, BÜNDNIS 90/DIE GRÜNEN und FDP zu errichtende “Zentrum für Legistik” erfolgen (bitte Beginn der Umsetzung, Meilensteine und Zeitraum des geplanten Arbeitsbeginns des Zentrums angeben), und wie ist beziehungsweise soll die Governance dieses Zentrums organisiert werden (unter anderem Organisation der Federführung, Art der Rechtsform, neue Behörde oder nicht)?“

Antwort des Parlamentarischen Staatssekretärs Johann Saathof:

„Das Bundesministerium der Justiz (BMJ) beschäftigt sich derzeit damit, das im Koalitionsvertrag vorgesehene Zentrum für Legistik zu errichten. Es soll diepraxisnahe Qualifizierung in zeitgemäßer Rechtssetzung fördern.Hierzu gehören neben Fach- und Rechtskenntnissen insbesondere auch spezifische Kompetenzen im Bereich der Rechtssprache sowie moderne Arbeitsmethoden. Bisherwurden hierzu zwei Online-Kurse entwickelt, von denen ein Angebot auch öffentlich verfügbar ist (https://www.ondea.de/DE/ZfL/ZfL_node.html). Seit Ende 2023 arbeitet das Zentrum zusammen mit der PD – Berater der Öffentlichen Hand

Gesellschaft mit beschränkter Haftung in einem Projekt zu Daten und Digitalen Werkzeugen im Gesetzgebungsverfahren, um das Angebot des BMJ insbesondere im Hinblick auf die effektivere Nutzung von Daten, deren Analyse und Visualisierung in der Rechtsetzung
weiterzuentwickeln, indem entsprechende Kompetenzen von Legistinnen und Legisten gefördert und geeignete Werkzeuge bereitgestellt werden. Derzeit testet das Zentrum ein Vorgehensmodell für die konzeptionelle Frühphase der Rechtsetzung mit Legistinnen und
Legisten im BMJ; eine Einbeziehung von Mitarbeitenden aus weiteren Ressorts ist beabsichtigt.“

Antwortschreiben im Original (geschwärzt):

Meine Frage:

„Welche Verhandlungen führt oder plant die Bundesregierung einschließlich nachgeordneter Behörden mit dem Unternehmen Microsoft zu Lizenzverträgen (bitte jeweils Art und ungefähre Anzahl der Lizenzen – auch mit einer Bandbreite – angeben, sowie das maximal angenommene Vertragsvolumen (z. B. Summe der Lizenzkosten ohne Rabatte nach aktuell üblichen Preisen für Verwaltungskunden)), und was ist jeweils der Zeitrahmen für diese Verhandlungen (tatsächlicher oder geplanter Beginn und voraussichtliches, geplantes Ende)?“

Antwort des Parlamentarischen Staatssekretärs Johann Saathof:

„Microsoft stellt der öffentlichen Verwaltung in Deutschland Microsoft-Lizenzen und Microsoft-Leistungen in aller Regel nicht im Direktgeschäft, sondern über sog. Microsoft-Handelspartner zur Verfügung. Der Bezug von Microsoft-Lizenzen und -Leistungen erfolgt in diesen Fällen regelmäßig über Rahmenvereinbarungen, die zuvor mit Handelspartnern geschlossen wurden. Daher erfolgt keine Verhandlung mit dem Unternehmen Microsoft zu Lizenzverträgen. Grundlage der mit den Handelspartnern geschlossenen Rahmenvereinbarungen sind in den meisten Fällen die sog. Microsoft-Konditionenverträge. Zu den Microsoft- Konditionenverträgen gehören der Konzernvertrag (Enterprise Agreement), ein Mantelvertrag (Business- und Service-Agreement) und der Select Plus-Vertrag. Die Verträge sind inhaltlich auf die Bedürfnisse der öffentlichen Hand in der Bundesrepublik Deutschland zugeschnitten und werden in regelmäßigen Abständen zwischen dem Bundesministerium des Innern und für Heimat sowie Microsoft neu verhandelt. Die Microsoft-Konditionenverträge können durch Bund, Länder und Kommunen genutzt und wie oben beschrieben, den Rahmenvereinbarungen mit Handelspartnern zugrunde gelegt werden. Die Microsoft-Konditionenverträge begründen indessen keine eigenständigen Verträge zum Bezug von Lizenzen, für die ein bestimmtes Volumen angegeben werden kann. Nähere Informationen zu den Microsoft-Konditionenverträgen können über die Website von www.cio.bund.de abgerufen werden.“

Antwortschreiben im Original (geschwärzt):

Anfang April 2024 bekam ich die Antwort der Bundesregierung auf eine schriftliche Frage. Ich hatte wissen wollen, wie lange der IT-Planungsrat (das zuständige Gremium aus Bund und Ländern) brauchte, um die 14 aktuellsten Standards für die Verwaltungsdigitalisierung zu verabschieden.

Funfact: Warum habe ich nach den 14 jüngsten Standards gefragt? Weil ich nach den Regeln des parlamentarischen Fragerechts keine Frage stellen darf, auf die es mehr als 28 Antworten gibt. Ich habe für jeden Standard wissen wollen, wann er verabschiedet wurde und wie lange die Bearbeitungszeit war – also 2 Fakten. Das Limit von 28 dividiert durch 2 Fakten = 14 Standards, das war das “fragbare Maximum”.

Im Durchschnitt brauchte der IT-Planungsrat fast 3 Jahre für einen neuen Standard

Die Zusammenfassung der Antwort in einem Satz: es dauerte zwischen 8 und unfassbare 72 Monate, um einen neuen Standard durch den IT-Planungsrat zu beschließen. Im Durchschnitt dauerte es knapp 3 Jahre.

Hier weitere ausgewählte Fakten aus der Antwort der Bundesregierung :

  • 14 Standards zur Verwaltungsdigitalisierung wurden vom IT-Planungsrat seit 2019 verabschiedet
  • Durchschnittliche Dauer von Erstbefassung bis Beschluss: 2,7 Jahre = 33 Monate
  • Kürzeste Dauer: 8 Monate (2 mal)
  • Längste Dauer: 72 Monate (2 mal)
  • Mehr als jeder Dritte Standard (5 von 14), der seit 2019 beschlossen wurde dauerte mindestens 3 Jahre
  • In den Jahren 2024, 2023 u 2022 wurden nur je 3 Standards beschlossen
  • In 2021 wurden sogar nur 2 u in 2020 sogar nur 1 Standard beschlossen

Die vollständige Antwort der Bundesregierung findet sich HIER.

Warum Standards und die  Dauer ihrer Entwicklung relevant sind, was das alles mit unserem Alltag zu tun hat und wie GroKo versus Ampel so performen, und was sich künftig möglicherweise stark verändern wird, gibts in den folgenden Abschnitten zu lesen.

Ohne Standards keine Verwaltungsdigitalisierung (die funktioniert)

Standards sind eine Grundbedingung dafür, dass Verwaltungsdigitalisierung funktioniert, deshalb sind immer noch fehlende oder unverbindliche Standards einer der Haupgründe dafür, dass in Deutschlands Ämtern immer noch so viel gefaxt und gestempelt wird und Studierende selbst nach Hochladen eines Online Antrages ein halbes Jahr auf ihr erstes Bafög warten müssen, weil der Online Antrag nicht mit dem Fachverfahren kompatibel ist und alles doch wieder intern ausgedruckt werden muss. Wenn Behörden unterschiedliche Formate beispielsweise für Adressfelder haben, verhindert das den behördenübergreifenden elektronischen Datenaustausch. Man muss sich das vorstellen wie Puzzleteile, deren Nöppel nicht zusammen passen oder sich überlegen, wo die Elektroindustrie heute stünde, wenn es keine einheitlichen Stecker und Steckdosen gäbe. Da leuchtet jedem ein, wie wichtig die Standardisierung ist, bei der Verwaltungsdigitalisierung ist das aber oft nicht der Fall. Dabei kann man auch von Vorreiterländern wie Estland oder Finnland lernen, wie wichtig es ist, dass man zuerst die infrastrukturellen Voraussetzungen schafft – einschließlich einheitlicher Standards für Daten, Formularfelder oder Schnittstellen.

Der Status Quo: Standardsentwicklung für die deutsche Verwaltung, OZG und die GroKo

Fehlen Standards, werden immer mehr Lösungen entwickelt, die am Ende nicht zueinander passen, also nicht interoperabel sind, und je länger sie fehlen, umso mehr Wildwuchs entsteht und immer mehr Widerstand dagegen, verbindliche Standards zu akzeptieren. Das haben wir gerade im Bundesrat erlebt, wo das OZG 2.0 wegen der darin enthaltenden Vorgaben zu Standards gescheitert ist.

Wie, wann und wie schnell also Standards entwickelt werden, hat daher einen enormen Einfluss auf die Qualität und Geschwindigkeit der Verwaltungsdigitalisierung. Die GroKo hatte das Thema komplett in den Sand gesetzt, verbindliche Vorgaben für Standards im ersten Onlinezugangsgesetz 2017 versäumt (siehe dazu meine Rede im Bundestag zum OZG vom 20.09.23) und einen völlig ineffizienten Prozess zur Entwicklung der Standards über den IT-Planungsrat etabliert, der mit drei Sitzungen im Jahr zum absoluten Flaschenhals wurde.

In den Jahren 2020 und 2021 wurden insgesamt nur drei Standards verabschiedet, seit 2019 und bis heute dauerte die Entwicklung verabschiedeter Standards jahrelang. Einige Standards brauchten fünf oder sogar sechs Jahre, selbst im Durchschnitt waren es 33 Monate: 2,7 Jahre. Mir ist völlig unklar, wie man sich für einen Standard zum Einkauf von Cloud Leistungen 63 Monate Zeit lassen konnte, selbst die 24 Monate für den Standard zum Bauantrag waren einfach zu lang, denn gerade bei Bauanträgen gibt es viele Beteiligte, die Informationen und Dokumente untereinander austauschen müssen, die in unterschiedlichen Fachanwendungen verarbeitet werden und wo einheitliche Datenformate unglaublich viel Bearbeitungszeit sparen können, weil alles digital erledigt werden kann. Das kann man heute doch niemandem mehr vermitteln, warum so wichtige Voraussetzungen für eine gute Verwaltungsdigitalisierung so schleppend geschaffen werden.

Was ist anders bei der Ampel?

In den ersten 2,5 Jahren ihrer Amtszeit ist es der Ampel nicht gelungen, die Laufzeiten nennenswert zu beschleunigen und seit Unterzeichnung des Koalitionsvertrages wurden von der Ampel nur drei Standards neu auf den Weg gebracht und auch beschlossen, da ist aber schon die “Digitale Dachmarke” als Kennzeichen für staatliche Webseiten mitgezählt, die als Plan beschlossen wurde, aber graphisch noch nicht einmal existiert, selbst diese oberflächliche Beschluss, den ich kaum “Standard” nennen würde, dauerte acht Monate.

Aber neu in der Amtszeit der Ampel angestoßen und beschlossen wurde auch der überfällige XBezahldienste Standard, der Nutzer:innen bestimmter digitaler Verwaltungsdienste endlich ermöglichen soll, Zahlungen an den Staat, z.B. Gebühren für einen online Antrag, für einen Pass oder Ausweis oder eine Hundeanmeldung auch online mit gängigen Zahldiensten zu leisten. Das frustriert Bürger:innen schon lange, dass man zwar überall woanders einfach digital bezahlen kann, nur beim Staat nicht, wo das Bezahlen nutzerfeindlich ist und auch in den Behörden selbst hohe vermeidbare Aufwände verursacht, wenn Gebührenbescheide erstellt und verschickt und Zahlungseingänge extra verbucht werden müssen, beides ist ja unnötig, wenn digital bezahlt wird und die Zahlung automatisch an der richtigen Stelle verbucht wird. Das reduziert schließlich auch Fehler und deren Folgeaufwände. Seit November 2023 gibt es dafür also endlich einen Standard, jetzt muss er nur noch verbindlich und von allen Behörden genutzt werden. Das ist ein Brett, das noch viel dicker ist, als die Verabschiedung des Standards.

Ausblick: Wann wird es endlich besser?

Da ich seit Jahren immer wieder eine Reform der Zuständigkeiten und Prozesse gefordert habe, um Standards schneller zu entwickeln und die Abhängigkeiten vom trägen IT-Planungsrat zu reduzieren (z.B. mit meiner Kleinen Anfrage zum OZG von 2022 und in meinen Reden im Bundestag HIER und HIER), freut mich sehr, dass nun endlich die Einrichtung eines Standardisierungsboards beschlossen wurde, das anders zusammengesetzt und mit anderen Abstimmungsregeln und eigenen Kompetenzen tatsächlich das Potenzial hat, die nötige Dynamik zu schaffen. Darin werden nicht nur Bund, Länder und Kommunen mit Stimmrechten vertreten sein, sondern auch die FITKO, die eine zunehmend wichtige Rolle erhält (und das ist gut so!), der DIN als deutsches Normungsgremium, und öffentliche sowie private IT-Dienstleister der Verwaltung mit je 1 Stimme, die über die Vitako  bzw. den Databund benannt werden. Auch Gäste sind möglich, z.B. aus den Fachkonferenzen der Länder. Das Gremium trifft sich hoffentlich häufiger als der IT-Planungsrat (der trifft sich ja nur 3 mal im Jahr) und es kann außerdem im Umlaufverfahren Standards bearbeiten und viele auch final beschließen. Nur bei verbindlich vorgeschriebenen Standards soll auch künftig noch ein formeller Entscheid des IT-Planungsrates nötig sein.

Beschreibung und Organisationsstruktur des Standardisierungsboards gemäß Beschluss 2024/05 des IT-Planungsrats vom 05.02.24

Ich hoffe, dieser jüngste Beschluss des IT-Planungsrates vom 05.02.24 wird nun zügig umgesetzt und das Standardisierungsboard kommt ins Arbeiten, denn wir haben schon viel zu viel Zeit verloren! Es könnte im Prinzip in wenigen Monaten etabliert werden und wenn das klappt, dann hätte die Ampel eine wirkliche Reform geschafft, es könnte eine der wenigen tatsächlichen Verbesserungen in ihrer Amtszeit werden – wenn sie es durchzieht und das zeitnah. Der Bedarf an Standards steigt ja auch mit dem Fortschritt der Digitalisierung und wer weiß, wie viele Standards beim IT-Planungsrat noch und vielleicht auch schon seit Jahren in der Schublade liegen, denn meine Anfrage bezog sich ja nur auf Standards, die auch beschlossen worden sind. Da könnten noch etliche Standards seit Jahren vor sich hinschmoren…Vielleicht frage ich ja auch danach noch!