„Wie lautet der aktuelle Umsetzungsstand der in der Cybersicherheitsagenda formulierten Maßnahmen und Ziele für die 20. Legislaturperiode (bitte je Maßnahme und Ziel den aktuellen Stand anführen) und wann plant die Bundesregierung die von ihr weiterentwickelte, sowie im Einklang mit der Nationalen Sicherheitsstrategie stehende, Cybersicherheitsstrategie zu veröffentlichen?“
Antwort des Parlamentarischen Staatssekretärs Johann Saathof:
„Hinsichtlich des aktuellen Umsetzungsstands der Cybersicherheitsagenda wird auf die Anlage verwiesen. Im Koalitionsvertrag wurde vereinbart, dass die Cybersicherheitsstrategie für Deutschland 2021 weiterentwickelt wird. Der Prozess dauert an.“
https://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.png00Birgithttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngBirgit2023-07-21 10:20:002024-05-16 10:27:35Meine Schriftliche Frage zum Umsetzungsstand der Maßnahmen und Ziele in der Cybersicherheitsagenda für die 20. Legislaturperiode
Dieser Blogpost dreht sich um die Nachhaltigkeit der IT des Bundes. Schon zweimal habe ich dazu eine Kleine Anfrage an die Bundesregierung gestellt. Hier werden die Daten der letzten Anfrage ausgewertet und außerdem zusammengefasst, was die Ampel sonst so zu dem Thema versprach oder seitdem beschloss. Zur besseren Orientierung und damit Ihr auch Abschnitte einzeln finden und lesen könnt, hier eine Übersicht:
1. Ausgangslage und Vorgeschichte – meine erste Anfrage 2021
Die Welt ist mit zwei globalen Transformationen konfrontiert: Digitalisierung und Klimakrise, beide hängen auch eng zusammen. Ohne Digitalisierung gibt’s keine Energie- und Verkehrswende, gleichzeitig steigt der Ressourcenverbrauch und der CO2 Fußabdruck der Digitalisierung rasant an. Digitalisierung muss daher nachhaltig sein. In der Pflicht steht dabei auch der Bund, der mit über 180 Rechenzentren und einem Einkaufsvolumen von einer Milliarde Euro im Jahr für ITK-Produkte und Dienstleistungen einen erheblichen Klimafußabdruck verursacht.
Im Juni 2021, also noch zu GroKo Zeiten, erfragte ich erstmalig den Status der Nachhaltigkeit der Bundes-IT. Die Antworten waren deprimierend, denn einerseits fehlte es massiv an Überblick – viele Daten waren einfach nicht bekannt, und andererseits zeugten die Daten, die vorhanden waren, von durchgehend mangelhafter Nachhaltigkeit. Seit 2012 gibt es einen Blauen Engel für effizienten Rechenzentrumsbetrieb, seine acht Kriterien erfüllten die Rechenzentren des Bundes (da wo es überhaupt Daten gab) kaum: 80% nutzten z.B. klimaschädliche Kältemittel, 93% nutzten keine Abwärme. Wer sich für diese erste Anfrage interessiert, kann die Antwort der Bundesregierung hier nachlesen: Drucksache 19/31210.
Im August 2022 wollte ich wissen, was sich seitdem getan hat und war gespannt, welche Unterschiede es zwischen GroKo und Ampel-Koalition gibt. Die ganze Antwort auf diese zweite Kleine Anfrage kann man hier finden: Drucksache 20/3619
2. Die Versprechen der Ampel – Koalition
Hoffnung machte mir dabei der Koalitionsvertrag der Ampelvom November 2021. Darin stand z.B., dass „neue Rechenzentren ab 2027 klimaneutral zu betreiben“ seien, und dass bei„IT-Beschaffungen des Bundes Zertifizierungen wie z. B. der Blaue Engel Standard sein sollen“. Weitere Vorhaben und Ziele folgten, so wurde im August 2022 die Digitalstrategie veröffentlicht, in der die Ampel-Koalition verspricht:
„Wir wollen uns 2025 daran messen lassen, ob:
„…die 3. Abwärme von Rechenzentren besser genutzt wird und sich der Einsatz umwelt- und klimafreundlicher Kühlmethoden verbessert hat. Um dieses Ziel zu erreichen werden wir Beschaffungsrichtlinien anpassen (…).
…der Aufbau eines Energieeffizienzregisters für Rechenzentren einen Wettbewerb unter den Rechenzentrums-Betreibern um die größte Energieeffizienzleistung ausgelöst hat.
Methoden zur energieeffizienten Softwareentwicklung (ADB: gemeint ist vermutlich Entwicklung energieeffizienter Software)und effizienter KI-Entwicklung und -Übertragung (ADB: KI-Übertragung? gemeint ist vermutlich „Datenübertragung“)etabliert sind.“
Schon im Juli 2022 wurde ein Sofortprogramm für den Gebäudesektor angekündigt, in dem konkret davon die Rede ist, dass ein Energieeffizienzgesetz kommt und Rechenzentren zu mindestens 30% Abwärmenutzung verpflichten soll. Soweit die Ankündigungen. Aber wie sah es nun mit Transparenz und Nachhaltigkeit der Bundes-IT im Sommer 2022 aus?
3. Kleine Anfrage 2022 offenbart eklatanten Mangel an Transparenz
Um ein Problem beheben zu können, muss man sein Ausmaß kennen, dafür braucht es geeignete Daten. Die Datenlage zur Nachhaltigkeit der Bundes-IT war auch ein Jahr nach meiner ersten Anfrage unverändert schlecht. Selbst einfache Fragen, wie nach der Nutzung erneuerbarer Energie in Rechenzentren konnten mir für zwei Drittel der Rechenzentren nicht beantwortet werden. Ein RZ des BMI gab als Erklärung dafür an, dass es gar keinen eigenen Stromzähler hat. In meinem Haus gibt es drei verschiedene Stromzähler, einer ist für das kleine Rechenzentrum in meinem Keller. Was bei mir im Keller geht, sollte auch das Bundesinnenministerium bei seinen Rechenzentren schaffen.
Für jedes vierte seiner RZ weiß der Bund offenbar nicht, welche Kältemittel dort verwendet werden. Es ist nicht einmal klar, wie viele RZ die Bundesregierung tatsächlich hat oder in den nächsten Jahren haben wird. Die Zahlen sind inkonsistent. Es sind offenbar irgendwie um die 180 Rechenzentren, für 118 dieser RZ gab es zu keinem einzigen der acht Kriterien des Blauen Engels auch nur eine einzige Angabe. Sie sind offenbar im Blindflug was ihre Klimawirkung und Energieeffizienz angeht. Sehr dünn ist die Informationslage auch beim BMI, wo es besonders weh tut, denn das BMI ist für 82 Rechenzentren zuständig.
Die Tabellen aus der Antwort der Bundesregierung waren allgemein bemerkenswert konfus, uneinheitlich ausgefüllt und enthielten sogar offensichtliche Fehler, etwa die Einstufung eines eindeutig klimaschädlichen Kältemittels in einem RZ des BMI als unbedenklich.
Das Bundesministerium für Ernährung und Landwirtschaft verrät an irgendeiner Stelle, dass es die Daten für fünf verschiedene Rechenzentren einfach zusammengefasst hat. Wie soll man solche Daten sinnvoll auswerten?
Es fehlt an gutem Willen, Datenkompetenz oder auch an Datenquellen, wie einem getrennten Zähler für den Stromverbrauch. Ich habe da wohl Staub aufgewirbelt, denn drei Wochen nach Eingang meiner Anfrage wurde die Green-IT Initiative des Bundes mit erweiterten Ziele neu aufgelegt: nun soll das Berichtswesen verbessert und künftig jährlich die Kriterien des Blauen Engels für RZ erfasst werden! Auch aus der Opposition heraus kann man offenbar etwas bewirken.
4. Zu wenig: Abwärmenutzung, Strom aus Erneuerbaren, klimafreundliche Kältemittel
Bei der Transparenz hat sich offenbar nichts verbessert seit meiner ersten Anfrage in 2021. Leider auch kaum bei der tatsächlichen Nachhaltigkeit, die man ja nur dort beurteilen kann, wo es Daten gab. Für die Rechenzentren des Bundes habe ich acht Kriterien des Blauen Engels für effizienten RZ-Betrieb – von Ökostrom bis Kältemittel – abgefragt. Die häufigste Antwort war auch hier: „keine Ahnung“, die zweithäufigste war „keiner der acht Parameter wird erfüllt“.
Nicht einmal für jedes Dritte RZ wurde angegeben, dass Strom aus erneuerbarer Energie verwendet wird.
Null Veränderung gab es beim Thema Abwärme: 93% von 190 RZ nutzen sie immer noch nicht – genau wie im Vorjahr (für die Daten siehe Anlage 7 der Antwort der Bundesregierung)
Verbesserung auf niedrigem Niveau gab es bei klimaschädlichen Kältemitteln, deren Anteil von 80% in 2021 auf 67% in 2022 sank (Basis 190 RZ des Bundes), allerdings hat ja jedes vierte RZ die Frage nicht beantwortet, ob es wirklich eine Verbesserung gab, kann man daher nicht sicher sagen.
Entsprechend der umweltpolitischen Digitalagenda vom März 2020 sollten alle künftig in Betrieb gehenden Rechenzentren alle Kriterien des Blauen Engels einhalten. In der Antwort auf meine Kleine Anfrage gab die Bundesregierung jedoch zu, dass mindestens 38% aller 34 RZ, die seit März 2020 neu in Betrieb gingen oder noch in Planung sind, die Kriterien des Blauen Engels NICHT erfüllen werden.
Hinweis: Im Januar 2023 wurde der Blaue Engel für Rechenzentren novelliert, anstatt zwei getrennter Siegel für RZ und Co-Location-RZ gibt es nun einen einheitlichen Blauen Engel RZ-Betrieb allgemein.
5. Kein Fortschritt bei nachhaltiger Software und Webservices
Nachhaltige IT hat aber nicht nur mit Rechenzentren zu tun. Laut Umweltbundesamt verbraucht eine ineffizient programmierte Software bis zu vier Mal so viel Energie wie nachhaltig programmierte Software, weshalb es inzwischen auch einen Blauen Engel für nachhaltige Software gibt. Meine Anfrage ergab, dass der Bund keine einzige Software nennen kann, die mit diesem Blauen Engel zertifiziert ist und vom Bund oder in seinem Auftrag entwickelt wurde. In manchen Behörden sollen Leitfäden für nachhaltige Softwareentwicklung zwar existieren (konkrete Beispiele werden keine genannt), aber ein Monitoring gibt es nicht und kontrolliert wird da vermutlich nichts.
Die Bundesregierung schreibt in ihrer Antwort, dass für die nachhaltigere Beschaffung von Software nun auch ein Leitfaden überarbeitet werden soll, aber ohne Verbindlichkeit und Umsetzungskompetenz wird ein Leitfaden mehr nichts ändern. Wir erinnern uns: die Ampel Koalition will sich laut Digitalstrategie daran messen lassen, dass „bis 2025 Methoden zur energieeffizienten Softwareentwicklung etabliert sind“. In ihren eigenen Häusern könnte sie damit anfangen.
Vom BMUV wurde mir im November 2022 im Nachgang zum Digitalausschuss mitgeteilt, dass eine Selbstverpflichtung der Bundesverwaltung zur Nutzung von Software mit Blauem Engel in Planung sei – gehört habe ich seither jedoch nichts mehr davon.
Für die unzähligen Websites des Bundes gibt es übrigens gleich gar keine Art von Vorgaben, Richtlinien oder Standards für Nachhaltigkeit, dabei hat auch ihre Programmierung einen großen Einfluss darauf, wie viel Energie bei ihrem Aufruf verbraucht wird.
6. IKT des Bundes soll nachhaltiger werden, doch ein Monitoring fehlt
Der Bund kauft jährlich im Wert von einer Milliarde Euro IT-Produkte und Dienstleistungen ein, da kommt es auch darauf an, dass nachhaltig eingekauft wird. Dabei ist der gesamte Lebenszyklus von Hardware zu betrachten, denn häufig hat die Nutzungsdauer einen erheblichen Einfluss auf den Klimafußabdruck. So entstehen nach Informationen des Öko-Institut e.V. z. B. 84% des Treibhausgasausstoßes von Laptops bereits durch die Herstellung des Geräts, bei Tablets sind es sogar 98%.
In ihrer schriftlichen Antwort an mich kündigt die Bundesregierung hier etliche Verbesserungen an, z.B. wird die Abgabe von Gebrauchtgeräten an gemeinnützige Organisationen geprüft, neue Ausschreibungsprozesse mit Lebenszyklusbetrachtung pilotiert und ein Rahmenvertrag für die Wiederverwendung von IKT-Produkten inklusive ihrer Aufbereitung sogar durch ein Inklusionsunternehmen geplant. Ich hoffe, dass das alles auch umgesetzt wird und bin gespannt auf die gelebte Praxis!
Verunsichernd war allerdings eine Antwort des BMUV vom November 2022 auf meine Frage im Digitalausschuss, wie denn beim IKT-Einkauf des Bundes die Nachhaltigkeit berücksichtigt werden solle. Die lakonische Antwort war, dass diese Kriterien bereits jetzt umgesetzt würden. Um es mal vorsichtig zu formulieren: diese Antwort ist mit der Realität schlicht nicht vereinbar. Außerdem spricht sie nicht für ein vorhandenes Problembewusstsein und echte Veränderungsbereitschaft.
Leider existiertkein Monitoring der Einhaltung von Nachhaltigkeitskriterien im IKT-Lebenszyklus und es ist auch nicht geplant. So ist unklar, ob man überhaupt Einblick in die gelebte Praxis erhalten kann.
7. IT-Konsolidierung des Bundes tritt auf der Stelle
Keinen erkennbaren Fortschritt gibt es bei der IT-Konsolidierung des Bundes, denn sie soll die Anzahl der Rechenzentren verringern, was auch ihren nachhaltigen Betrieb erleichtert. Die Bundesregierung scheint zwar immer noch nicht genau sagen zu können, wie viele Rechenzentren sie nun wirklich hat, aber dennoch wird aus ihrer Antwort eins klar: eine Reduktion der Anzahl Rechenzentren ist auch Jahre nach Beginn des Mammutprojektes nicht in Sicht, im Gegenteil, die Anzahl RZ steigt. Die IT-Konsolidierung wird damit nicht nur zum Milliardengrab für Steuergelder, sondern auch zu einer erheblichen Hürde auf dem Weg zu einer nachhaltigeren IT-des Bundes.
8. Tacheles: Was die Ampel Koalition für nachhaltige IT tut
Seit September 2022 gilt eine neue Green-IT-Initiative, die neben einem verbesserten Berichtswesen und Monitoring mit vereinheitlichten und zentral erfassten Kennzahlen auch die Einhaltung der Blauen Engel Kriterien forcieren soll – alles bis spätestens 2027. Dafür wurde ein Maßnahmeplan für die Umsetzung angekündigt. Dieser Plan scheint bisher noch nicht zu existieren.
Konkret steht in der Green-IT Initiative als Zielvorgabe für 2027: „Grundsätzliche Erfüllung der Kriterien des Blauen Engels in allen bundeseigenen Haupt-Rechenzentren“. Von der Einschränkung auf Haupt-RZ (>100KW max. Anschlussleistung) ganz zu schweigen, gibt es Einschränkungen wie „Nachweis der Einhaltung der Wirtschaftlichkeit“ – womit sich die Vorgabe wieder aushebeln lässt. Weiterentwickelt werden soll das „Maßnahmenprogramm Nachhaltigkeit“ aus der Nachhaltigkeitsstrategie der Vorgänger GroKo-Regierung. Funfact: schon in dieser älteren Strategie stand, dass bei allen RZ des Bundes die Kriterien des Blauen Engels berücksichtigt werden sollen. Außerdem wurde in der Green-IT-Initiative konkret die vollständige Umstellung aller RZ auf Ökostrom bis Ende 2024 (die Rede ist von 2TWh pro Jahr) und das Erreichen einer klimaneutralen Bundesverwaltung bis 2030 festgelegt.
Einige der Ziele der Ampel-Regierung soll das neue Energieeffizienzgesetz (EnEfG) umsetzen. Nach dem aktuellen Stand des Gesetzesentwurfs sollen nur noch Rechenzentren überhaupt reguliert sein, die mindestens 200 KW Anschlussleistung haben, in früheren Entwürfen war von 100 KW die Rede. Mit dieser Einschränkung sind ca 98% aller RZ raus aus jeder Pflicht. Abwärmenutzung für neue Rechenzentren soll bis 2028 stufenweise von 10% auf nur noch 20% ausgebaut werden (frühere Entwürfe: 40%), und die Ausnahmeregelungen und Übergangsfristen dafür wurden deutlich erweitert. Berechtigt ist die Kritik von Bitkom, Eco und Umweltinstitut München, dass Wärmenetzbetreiberselbst bisher keine Verpflichtung zur Kooperation bei der Abwärmenutzung haben, es gibt auch keine Anforderung, Rechenzentren bei der Stadtplanung neuer Wohngebiete etc. aktiv einzuplanen. Stattdessen finden sich lediglich gewisse Informationspflichten der Wärmenetzbetreiber, welche Nutzungsmöglichkeiten theoretisch bestehen. Das ist eindeutig zu wenig! Sinnvoll ist die Anforderung eines PUE ≤ 1,3 (auch wenn es geeignetere Kriterien gibt) für neue Rechenzentren ab 2026 und für alle anderen ab 2030, 100% erneuerbare Energie ab 2027 und Umweltmanagements- und Informationspflichten. Schließlich reguliert der Gesetzentwurf die Luftkühlung stärker, die schrittweise auch für ältere Rechenzentren nur noch bei einer Eintrittstemperatur ab 27°C zulässig sein soll. Ein öffentlich zugängliches Energieeffizienzregister, vom Bund eingerichtet, steht leider nur ohne Umsetzungsfrist im Gesetz, mehr Transparenz ist dennoch überfällig. Wer mehr sachliche Kritik zum EnEffG lesen möchte, dem empfehle ich die Stellungsnahme des Umweltinstitutes vom April 2023.
Bei der ersten Lesung zum Energieeffizienzgesetz bin ich in meiner Rede vor allem auf das Thema Rechenzentren eingegangen, man kann sie auf meiner Homepage nachlesen oderdas Video davon sehen und hören.
9. Fazit
Für 2022 hatte ich eine bessere Datenlage zur Nachhaltigkeit der Rechenzentren erhofft, tatsächlich aber sind die Informationslücken unverändert groß. Eine sinnvolle Steuerung im Sinne der Nachhaltigkeit ist auf dieser Basis nicht möglich, der Fortschritt steht und fällt also damit, dass der Bund die erklärte Verbesserung im Berichtswesen und im Monitoring schnell umsetzt.
Mein Eindruck ist schon, dass die Ampel insgesamt das Thema nachhaltige IT stärker verfolgt, als die Vorgängerregierung, aber die Klimakrise schreitet ja auch voran und da müssen auf Absichtserklärungen in Strategien endlich auch konkrete Taten mit messbaren Effekten folgen. Das Energieeffizienzgesetz könnte dazu einen wichtigen Beitrag leisten, wenn es nicht, so wie bisher, zum zahnlosen Tiger geschliffen wird und viele Aspekte weiter unberücksichtigt bleiben.
Ich erwarte, dass die Umstellung der Bundes-RZ auf 100% Erneuerbare Energien kurzfristig erfolgt und dass man auch für die Umstellung auf klimafreundliche Kältemittel einen ehrgeizigen Plan vorlegt, der den Stand der Technik berücksichtigt. So können manche stark klimaschädlichen Kältemittel auch ohne Umbau der Kälteanlage durch erheblich weniger schädliche Kältemittel zeitnah ersetzt werden. Neue RZ des Bundes müssen höchsten Nachhaltigkeitsstandards genügen und dürfen nur noch so beschafft werden. Der Bund muss eine Rolle als Vorreiter bei der Gestaltung nachhaltiger IT einnehmen und sein Gewicht als Großauftragnehmer voll einsetzen, aber nicht nur bei der Beschaffung von Hardware, sondern auch bei Software und Dienstleistungen. Damit lässt sich erheblicher Druck auf den Markt als Ganzes ausüben und der notwendige Veränderungsprozess beschleunigen. Es braucht jeden Beitrag zur sozial gerechten Rettung des Klimas und das so schnell wie möglich! Die nachhaltige Digitalisierung der Bundes-IT könnte einer davon sein.
10. Anhang
Die Antwort der Bundesregierung Drucksache 20/3619:
https://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.png00Max Blumhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngMax Blum2023-06-19 12:30:512023-06-19 12:30:53Wie grün ist die IT des Bundes?
Bei krassem Wind ging es am 20.02.2023 auf den höchsten hölzernen Aussichtsturm seiner Art in DE, beim #Wahlkreistag in der Ostprignitz. Den knapp 45m hohen Turm in #Blumenthal hat ein kleiner Verein gebaut, Vorsitzender Detlef Glöde erzählte seine Geschichte, Bürgermeister Holger Kippenhahn (Die Linke) war mit von der Partie.
Vor drei Jahren, im Februar 2020, besuchte ich die THW Ortsgruppe in Gransee, die ihren Standort in einem ehemaligen Militärkomplex in Osterne, einem Ortsteil der Stadt Zehdenick, hat. Da kann man wenig beschönigen, die geleistete Arbeit ist großartig, der Standort ist hässlich, veraltet, abgelegen und schlecht erreichbar. Gerade für die Nachwuchsgewinnung ist das ein Problem. Damals war die Standortsuche schon in vollem Gange und endlich gibt es gute Nachrichten und werden Nägel mit Köpfen gemacht!
https://mdb.anke.domscheit-berg.de/wp-content/uploads/20230216_153102-1.jpg16931811Ralf Wunderlichhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngRalf Wunderlich2023-02-16 07:36:242023-03-09 10:50:36Mein erster „Erster Spatenstich“ – für den Neubau des THW Gransee
https://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.png00Max Blumhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngMax Blum2023-01-20 17:53:412023-01-20 19:05:09Meine Rede zur Chatkontrolle im Bundestag
Als letzten Tagesordnungspunkt debattierte der Bundestag am Abend des 19. Januar 2023 einen Antrag der Linksfraktion mit der Aufforderung, die Bundesregierung zur Ablehnung der sogenannten Chatkontrolle Verordnung der EU zu verpflichten. Der Antrag wurde von allen übrigen Fraktionen abgelehnt. Der Entwurf einer EU-Verordnung für Regeln zur Prävention und Bekämpfung der Darstellung sexueller Gewalt an Kindern ist hochumstritten, da er vor allem auf weitreichende und grundrechtsverletzende Überwachungsmaßnahmen und nur sehr wenig auf Prävention setzt. Kritik kam nicht nur per offenem Brief von über 100 zivilgesellschaftlichen Organisationen in Europa, sondern auch von Kinderschutzorganisationen und besonders umfassend und grundsätzlich über ein Gutachten des Wissenschaftlichen Dienstes des Bundestages, das den Entwurf als unvereinbar mit europäischen und deutschen Grundrecht bewertet, sowie als ungeeignet für die Erreichung des beabsichtigten Ziels, Kinder besser zu schützen.
Seit Monaten streiten sich die Ampel-Parteien in der Frage, wie sie sich zur Chatkontrolle-Verordnung verhalten. Vor allem Innenministerin Faeser machte Schlagzeilen, als sie mehrfach öffentlich die Verordnung lobte und das sogenannte Client Side Scanning – das automatische Durchsuchen von Inhalten auf privaten Geräten vor der Verschlüsselung – befürwortete. Auch in der Debatte war erkennbar, dass ein Riß durch die Ampelkoalition geht, trotz Kritik von MdB aller drei Ampelfraktionen an grundrechtswidrigen Elementen der geplanten Verordnung und der erklärten Absage einer SPD Rednerin zum Client Side Scanning. Denn weiterhin ist nur sicher, dass Deutschland die Verordnung nicht ablehnen wird, offen ist aber weiterhin, ob es zu einer Zustimmung oder ein Enthaltung kommen wird und damit Deutschland direkt oder indirekt dazu beiträgt, die größte Überwachungsinfrastruktur seit Jahrzehnten aufzubauen. Schon im Herbst 2022 hatte bereits das österreichische Parlament daher seine Regierung auf Basis der Landesverfassung zur Ablehnung der Chatkontrolle Verordnung verpflichtet.
Die digitalpolitische Sprecherin der Fraktion DIE LINKE, Anke Domscheit-Berg, erklärt:
„Es ist mir unbegreiflich, dass eine Bundesregierung ohne Beteiligung der CDU/CSU es nicht schafft, sich unmissverständlich gegen ein EU-Verordnungsvorhaben zu positionieren, das nichts weiter als ein Gruselkabinett von Überwachungsmaßnahmen ist und keineswegs geeignet, Kinder besser vor sexualisierter Gewalt zu schützen. Die Ampel-Koalitionäre argumentieren, dass sie sich einerseits nur bei einer grundsätzlichen Unterstützung in Brüssel für positive Veränderungen des Verordnungsentwurfs einsetzen könnten und es andererseits ja auch unterstützenswerte Inhalte wie ein geplantes EU-Zentrum gäbe. Dieses Zentrum hat jedoch keineswegs den Zweck, vor allem der Prävention zu dienen, sondern soll insbesondere die Umsetzung technischer Überwachungsmaßnahmen unterstützen und begleiten.
Außerdem ist es völlig abwegig, eine Verordnung zu unterstützen, die nicht nur einen klaren Bruch mit dem Koalitionsvertrag darstellt, sondern in Gänze unvereinbar ist mit der Grundrechtecharta der EU und mit Verfassungsgrundrechten. Ein von mir beauftragtes Gutachten des Wissenschaftlichen Dienstes des Bundestages kam schon Ende 2022 zu einem vernichtenden Gesamturteil, wonach die Verordnung weder geeignet noch angemessen und verhältnismäßig sei und das Ende der Vertraulichkeit elektronischer Kommunikation bedeute. Sie gefährdet außerdem die IT-Sicherheit aller Nutzer und Nutzerinnen digitaler Dienste, denn um Inhalte auf privaten Geräten vor der Verschlüsselung z.B. über einen Messengerdienst automatisiert durchsuchen zu können, müssen überall Hintertüren in Apps und/oder Geräte eingebaut werden, und diese Hintertüren können und werden Kriminelle für verbrecherische Zwecke nutzen.
Die Koalition redet sich schön, dass sie sowohl mit einer Zustimmung als auch mit einer Enthaltung in Brüssel dazu beitragen wird, dass in Europa eine beispiellose Zensur- und Überwachungsinfrastruktur entsteht, die unkontrollierbar ist, von undemokratischen Drittstaaten begeistert für die Unterdrückung Oppositioneller kopiert werden wird und einen Geist aus der Flasche lässt, der kaum wieder eingefangen werden kann. Mit der Anwendung dieser Verordnung werden künftig Ermittlungsbehörden durch tausende Fälle falscher Verdächtigungen von der Verbrechensermittlung abgehalten, Jugendliche werden massenhaft kriminalisiert, weil Algorithmen Sexting von Grooming nicht unterscheiden können, und unzählige Unschuldige werden schrecklicher Verbrechen verdächtigt, weil künstliche Intelligenz legitime Familienfotos z.B. von badenden Kindern in Chats oder Foto-Cloud-Backups mit strafbaren Bildern verwechselt.
Soziale Probleme lassen sich mit technischen Mitteln nicht lösen, stattdessen braucht es endlich einen umfassenden Katalog wirksamer, aber eben nicht grundrechtsverletzender Maßnahmen, um Kinder tatsächlich besser vor sexualisierter Gewalt zu schützen. Ich bedaure sehr, dass die Ampelmehrheit im Bundestag sich dem Antrag der Linken nicht anschließen wollte und fordere die Regierungskoalition erneut dazu auf, sich weder aktiv noch passiv am Aufbau dieser beispiellosen Überwachungsinfrastruktur zu beteiligen.”
Hintergrund: Als letzten Tagesordnungspunkt debattierte der Bundestag am Abend des 19. Januar 2023 einen Antrag der Linksfraktion mit der Aufforderung, die Bundesregierung zur Ablehnung der sogenannten Chatkontrolle-Verordnung der EU zu verpflichten. Der Antrag wurde von allen übrigen Fraktionen abgelehnt. Der Entwurf einer EU-Verordnung für Regeln zur Prävention und Bekämpfung der Darstellung sexueller Gewalt an Kindern ist hochumstritten, da er vor allem auf weitreichende und grundrechtsverletzende Überwachungsmaßnahmen und nur sehr wenig auf Prävention setzt. Kritik kam nicht nur per offenem Brief von über 100 zivilgesellschaftlichen Organisationen in Europa, sondern auch von Kinderschutzorganisationen und besonders umfassend und grundsätzlich über ein Gutachten des Wissenschaftlichen Dienstes des Bundestages, das den Entwurf als unvereinbar mit europäischen und deutschen Grundrecht bewertet, sowie als ungeeignet für die Erreichung des beabsichtigten Ziels, Kinder besser zu schützen.
Seit Monaten streiten sich die Ampel-Parteien in der Frage, wie sie sich zur Chatkontrolle-Verordnung verhalten. Vor allem Innenministerin Faeser machte Schlagzeilen, als sie mehrfach öffentlich die Verordnung lobte und das sogenannte Client Side Scanning – das automatische Durchsuchen von Inhalten auf privaten Geräten vor der Verschlüsselung – befürwortete. Auch in der Debatte war erkennbar, dass ein Riss durch die Ampelkoalition geht, trotz Kritik von MdB aller drei Ampelfraktionen an grundrechtswidrigen Elementen der geplanten Verordnung und der erklärten Absage einer SPD-Rednerin zum Client Side Scanning. Denn weiterhin ist nur sicher, dass Deutschland die Verordnung nicht ablehnen wird, offen ist aber weiterhin, ob es zu einer Zustimmung oder einer Enthaltung kommen wird und damit Deutschland direkt oder indirekt dazu beiträgt, die größte Überwachungsinfrastruktur seit Jahrzehnten aufzubauen. Schon im Herbst 2022 hatte bereits das österreichische Parlament daher seine Regierung auf Basis der Landesverfassung zur Ablehnung der Chatkontrolle-Verordnung verpflichtet.“
Mein im Tagesspiegel Backround erschienener Artikel, vom 21.11.2022
Die Vorratsdatenspeicherung ist zwar weitgehend vom Tisch, aber nun droht ihre jüngste Schwester, bekannt als „Chatkontrolle“, per Europäischer Regulierung eine gefährliche Zensur-Infrastruktur zu schaffen, die von undemokratischen Regierungen, aber auch in der EU selbst missbraucht werden kann, ohne wirksame Kontrollmöglichkeiten durch Wissenschaft, Zivilgesellschaft, Journalismus oder Politik.
Die EU-Verordnung soll Kinder vor sexualisierter Gewalt schützen, in dem Bilder davon oder Cybergrooming eher entdeckt werden. Weitreichende Eingriffe in Grundrechte werden immer mit Zielen durchgesetzt, bei denen der gesellschaftliche Widerstand klein ist, wer will schon als jemand da stehen, der Kindervergewaltiger vor Strafverfolgung schützt? Nach 9/11 war es der Kampf gegen denTerrorismus, davor war die Angst groß und deshalb der Widerstand klein gegen Überwachung im Netz.
Aber die Hürde für Grundrechtseinschränkungen liegt hoch, drei Anforderungen müssen erfüllt sein, unabhängig davon, wie edel die erklärten Ziele sind. Genau diese Prüfung nahm der unabhängige Wissenschaftliche Dienst des Bundestages in meinem Auftrag vor, denn jede Grundrechtseinschränkung muss sowohl geeignet, als auch angemessen und verhältnismäßig sein. Nach aktuellem Stand würde die Verordnung Diensteanbieter dazu verpflichten, eine Risikobewertung ihres Dienstes hinsichtlich der Verbreitung dieser speziellen Inhalte vorzunehmen. Dazu muss ein Diensteanbieter aber wissen, ob sein Dienst dafür genutzt wird, wozu er alle Inhalte kontrollieren muss. Das erfordert wiederum algorithmische Filter, da Milliarden von Inhalten zu prüfen wären.
Das ginge in zwei Varianten: entweder man baut Löcher in verschlüsselte Kommunikation ein, was ein klarer Verstoß gegen den Koalitionsvertrag wäre, der ein Bekenntnis zur Unantastbarkeit sicherer Verschlüsselungen enthält. Oder man nutzt Client Side Scanning (CSS), bei dem noch vor dem Verschlüsseln die Inhalte überprüft werden. Laut Wissenschaftlichem Dienst des Bundestages erfordert das CSS den Einbau „kodifizierter, werkseitiger Hintertüren“ in den genutzten Geräten, also absichtliche Schwachstellen, die auch Dritte für Cyberangriffe nutzen können. Das reduziert die IT-Sicherheit in Zeiten hoher Angriffswahrscheinlichkeiten.
Auf meine Fragen nach ihrer Haltung zum CSS antwortete die Bundesregierung stets ausweichend. Hält Innenministerin Nancy Faeser eine Überwachung privater Kommunikationenper CSS etwa für vereinbar mit dem Koalitionsvertrag? Auch CSS macht verschlüsselte Kommunikation kaputt, denn ihr Zweck, vertrauliche und private Kommunikationen vor Kenntnisnahme Dritter zu schützen, ist nicht mehr erreichbar. Der Wissenschaftliche Dienst des Bundestages kommt daher zu der klaren Einschätzung, dass die verpflichtende Risikobewertung sichere Kommunikationswege faktisch abschafft.
Wäre die Chatkontrolle eine geeignete Maßnahme?
Schon bei der Prüfung der Eignung der Maßnahme dafür, ob sie Kinder vor sexualisierter Gewalt schützt, hat der Wissenschaftliche Dienst des Bundestages Bedenken und verweist u.a. auf den Kinderschutzbund, der die Verordnung für überzogen und in der Sache für nicht hilfreich hält. Das Hauptproblem sei nicht, dass es an Anzeigen fehlte, sondern dass es an Ressourcen fehlt, bei Anzeigen schnell und effektiv zu ermitteln. Es braucht schlicht mehr Personal. Die steigenden Fallzahlen der vergangenen Jahre liegen vor allem an der bereits stattfindenden Erhellung des Dunkelfeldes.
So arbeiteten in der zuständigen Stelle in NRW noch vor vier Jahren nur zwölf Fachkräfte, inzwischen sind es 90. Mit der Chatkontrolle bekämen diese bereits überlasteten Fachkräfte eine Welle Tausender falscher Meldungen zusätzlich, weil die Algorithmen auch bisher unbekannte Bilder flaggen und legales Sexting unterscheiden sollen von Cybergrooming, was hohe Fehlerraten unvermeidbar macht. Das bindet Ressourcen, die bei echten Fällen fehlen werden – das wirkt sogar gegen das erklärte Ziel.
Wäre die Chatkontrolle angemessen?
Der Wissenschaftliche Dienst prüfte auch, ob die Chatkontrolle angemessen ist, der EuGH meint damit, dass es keine andere Maßnahme gibt, die mit weniger Grundrechtseinschränkung das gleiche Ziel erreicht. Auch diese Prüfung besteht die Chatkontrolle nicht. Mehr Ressourcen für Strafverfolgung und vor allem für Prävention im Bereich Kinder-und Jugendschutz bereitzustellen, wären zum Beispiel grundrechtsfreundlichere Maßnahmen. Ich kenne selbst Fälle aus meinem Umfeld, wo weder von Cybergrooming betroffene Jugendliche noch deren Eltern und Lehrkräfte wussten, was zu tun war, wie groß potenzielle Gefahren sind und wie oft Täter mit falschen Identitäten unterwegs sind. Als Teil der Prävention zum Thema Cybergrooming könnte zum Beispiel der hervorragende Film „Gefangen im Netz“ in allen Schulen gezeigt und sein Material bearbeitet werden.
Wäre die Chatkontrolle verhältnismäßig?
Bei einer Grundrechtseinschränkung muss weiterhin der mit ihr erzielbare Nutzen in einem sinnvollen Verhältnis zu den unerwünschten Nebenwirkungen stehen, um vereinbar zu sein mit der EUGrundrechtecharta (Art. 7, 8, 11 GRCh) und mit der EU Richtlinie 2002/58/EG, die die Vertraulichkeit der Kommunikation schützt. Der Wissenschaftliche Dienst des Bundestages kommt auch bei dieser Prüfung zu einer eindeutigen Einschätzung: die Verhältnismäßigkeit sei nicht gegeben, da bereits der Nutzen fraglich sei, die zu erwartenden negativen Effekte sowohl für die gesamte Gesellschaft (Stichworte Chilling Effect, geminderte IT-Sicherheit u.a.) aber auch für die eigentlich zu schützenden Jugendlichen gravierend sind.
So stammen nach einem Bericht der „Frankfurter Allgemeinen Zeitung“ von 5. Oktober 2022 inzwischen schon etwa 50 Prozent der illegalen Verbreitung pornografischer Inhalte von Jugendlichen selbst. Da das Strafrecht in Deutschland nicht unterscheidet, ob ein 50-Jähriger mit einer 15-Jährigen explizite Bilder austauscht oder zwei 15-Jährige untereinander, werden Heranwachsende schon heute kriminalisiert. Da Algorithmen der Chatkontrolle Cybergrooming von Sexting zwischen Minderjährigen nicht unterscheiden können, geraten Jugendliche künftig noch häufiger unter Verfolgungsdruck. Der Wissenschaftliche Dienst des Bundestages verweist daher explizit auf die zu erwartenden negativen Folgen für die Entwicklung Heranwachsender.
Last but not least möchte ich auf die mangelnden Kontrollmöglichkeiten der Chatkontrolle hinweisen, denn schon in seinem Urteil zur Vorratsdatenspeicherung lehnten sowohl der EuGH als auch das Bundesverfassungsgericht deren Verhältnismäßigkeit auch mit dem Argument ab, dass es an hinreichendem Schutz vor Missbrauchsrisiken der Überwachung fehle.
Bei der Chatkontrolle wird ein als illegal identifiziertes Bild mit einem Algorithmus in einen Hash-Wert umgerechnet, der nicht wieder rückwärtsgerechnet werden kann. Dieser Hash-Wert wandert in eine Datenbank aller dorthin gemeldeten Hash-Werte. Ab da kann niemand mehr feststellen, was für ein Bild hinter einem solchen Hash steckt, es sei denn, man hat das Bild bereits und rechnet damit selbst einen Hash-Wert aus und kann dann beide Hash-Werte miteinander vergleichen. Will jemand die Verbreitung eines legalen, aber missliebigen Bildes behindern, bräuchte man nur den Hash-Wert dieses Bildes in die Datenbank laden und der Filter-Algorithmus der Chatkontrolle verhindert die Verbreitung dieses Bildes selbst in privaten Chats. Diese Eigenschaften machen die Chatkontrolle zu einer potenziell mächtigen Zensurmaschine, die sich externer Kontrolle entzieht. Bereits 2019 beschrieb die Electronic Frontier Foundation diese Missbrauchsmöglichkeiten von Client Side Scanning.
Ausblick
Viel Zeit bleibt nicht, um diese gefährliche Verordnung zu verhindern, sie soll den Digital Services Act ergänzen und voraussichtlich Anfang 2024 in Kraft treten. Mit an Sicherheit grenzender Wahrscheinlichkeit wäre eine Klage dagegen vor dem EuGH erfolgreich, aber bis zu einem Urteil vergingen Jahre, in denen Grundrechte verletzt werden, Diktaturen einen Blueprint für Zensurinfrastrukturen erhalten und den Einsatz mit Verweis auf die EU rechtfertigen können und in denen sinnlos Ressourcen gebunden werden, die für den wirksamen Schutz von Kindern vor sexualisierter Gewalt fehlen.
/von
https://mdb.anke.domscheit-berg.de/wp-content/uploads/Bildschirmfoto-2023-01-19-um-11.34.09-e1674124165258.png9321342Melissa Meyerhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngMelissa Meyer2022-11-21 10:52:002023-03-01 19:03:12Warum die Chatkontrolle nutzlos, aber gefährlich ist
Vor fünf Jahren beschloss die damalige GroKo Regierung das Onlinezugangsgesetz, mit dem Ziel, die Verwaltungsdigitalisierung endlich zu beschleunigen. Man gab sich dafür ein halbes Jahrzehnt Zeit – zum Ende des Jahres 2022 sollten dann 575 öffentliche Dienstleistungen (eigentlich Leistungsbündel) online verfügbar sein.
Dieses Ziel wird nicht erreicht werden, das steht schon länger fest. Im Mai senkte die Ampel-Regierung die Latte und beschloss den sogenannten „OZG-Booster“, 35 priorisierte Dienste sollten statt der ursprünglichen 575 noch bis zum Jahresende kommen. Die Transparenz rund um den Fortschritt der Verwaltungsdigitalisierung war und ist trotz (oder gerade wegen) des vor ca. 2 Jahren eingeführten digitalen Dashboards leider schlecht. Deshalb habe ich im Sommer 2022 eine Kleine Anfrage an die Bundesregierung gestellt, um mehr Licht ins Dunkel zu bringen und Antworten auf die Fragen zu finden, wo wir eigentlich wirklich stehen, was nun tatsächlich bis zum Jahresende erreichbar ist, wie die nächsten Schritte der Bundesregierung aussehen und warum es mit dem Fortschritt seit Jahren nichts wird. Im Jahr 2022 steht Deutschland im DESI-Ranking zu public services auf Platz 18 von 27 in der EU. Mit der neuen Regierung sollte das alles besser werden. Ich habe meine Zweifel.
Denn die umfangreiche Antwort der Bundesregierung auf meine Kleine Anfrage zum Status quo der OZG-Umsetzung offenbarte eine Vielzahl großer Dauerbaustellen sowie ein erschreckendes Ausmaß von Planlosigkeit und Intransparenz. Und es wurde bereits offensichtlich, dass auch die Top 35 Prio Dienstleistungen nicht bis Ende 2022 flächendeckend digital bereitstehen werden. Nachstehend eine strukturierte Analyse der Antworten der Bundesregierung zur Umsetzung und Fortführung des Onlinezugangsgesetzes. Die einzelnen Abschnitte der nachfolgenden Übersicht sind verlinkt, können also auch separat schnell gefunden und gelesen werden. Wer es noch kürzer bevorzugt, kann meine Pressemitteilung dazu lesen.
Fehlende Standards, Schnittstellen und Basisdienste
Komplexe IT Projekte, die viele verschiedenen Institutionen, Fachverfahren und föderale Ebenen einbeziehen, brauchen vor allem eines ganz am Anfang: verbindliche einheitliche Standards und Schnittstellen. Ihr Fehlen ist meines Erachtens eine der Hauptursachen für das bisherige Versagen bei der Umsetzung der Verwaltungsdigitalisierung in Bund und Ländern. In ihrer Antwort auf Frage 22 meiner Kleinen Anfrage räumt die Bundesregierung die Notwendigkeit solcher Standards zwar ein, aber wenn sie fünf Jahre nach Verabschiedung des OZG-Gesetzes und wenige Monate vor Ablauf des ursprünglichen Zieldatums schreibt, dass „die Art der Standards und die Art der Festlegung noch bestimmt werden“ müssen, dann bin ich einigermaßen sprach- und hoffnungslos.
Für die Software-Entwicklung im komplexen Umfeld der Verwaltungsdigitalisierung ist Interoperabilität durch geeignete Schnittstellen und standardisierte Datenformate eine unverzichtbare Grundlage, und mit Grundlage meine ich eine Art Fundament, das wie beim Häuserbau immer zuerst entstehen muss, bevor man dann darauf bauen kann. Noch ist eine Schnittstelle vom Online-Antrag zur weiteren Bearbeitung im Fachverfahren, FIT-Connect, bisher für nur eine einzige Verwaltungsleistung verfügbar.
Genauso wichtig sind Basisdienste, wie Identifikation, Bezahlfunktionen etc. Nutzer:innen wollen da nicht lauter verschiedene Lösungen, und es wäre ja auch Ressourcenverschwendung, wenn z.B. jedes Bundesland sich da eine eigene Lösung entwickelt. Aber die einheitliche Schnittstelle zu einer gemeinsamen Bezahlplattform ePayBL, an der sich bisher 11 Länder und der Bund beteiligen, ist immer noch erst in Planung, wie aus der Antwort auf Frage 23 meiner Kleinen Anfrage hervorging:
Das Problem liegt nicht am Föderalismus, andere föderal organisierte Länder schaffen es auch, gemeinsame Strukturen zu vereinbaren. Das Problem liegt an der mangelhaften Governance, aber auch daran, dass die überragende Bedeutung einheitlicher Standards, Schnittstellen und Basisdienste schlicht nicht hinreichend erkannt wurde. Die Zuständigkeit für derartige Standards liegt beim IT-Planungsrat, der sich nur wenige Male im Jahr für wenige Stunden trifft und dabei stets eine volle Agenda hat. Dort werden Standards beauftragt, die Umsetzung übernimmt die Koordinierungsstelle für IT-Standards (KoSIT), die Freigabe liegt dann wieder beim IT-Planungsrat. Ein zeitraubender Prozess, bei dem der IT-Planungsrat zum Flaschenhals wird. Dennoch lehnt es die Bundesregierung ab, die KoSIT zentraler aufzustellen und durch ein Selbstbefassungsrecht handlungsfähiger und unabhängiger von einer Beauftragung durch den IT-Planungsrat zu machen (siehe Antwort auf Frage 5 der K.A.). Auch sonst zeigt die Bundesregierung keine Vorschläge auf, wie der IT-Planungsrat reformiert werden könnte, ein Problembewusstsein scheint nicht vorhanden zu sein. Wie es mit der verbindlichen Festlegung von Standards nun plötzlich zügig vorangehen soll, bleibt auch künftig ein Rätsel.
Einseitige Förderung und Schaufensterdigitalisierung
Das Onlinezugangsgesetz zielte leider schon in der Sache nur auf „online Zugang“ ab, also darauf, öffentliche Dienstleistungen z.B. über ein Internet Formular beantragen zu können.
Das ist jedoch eine einseitige Sicht, die nur das Schaufenster eines Verwaltungsprozesses nach außen betrifft. Der Nutzen für Bürger:innen entsteht jedoch nicht dadurch, dass sie keinen Antrag per Brief mehr schicken müssen, sondern vor allem dadurch, dass der gesamte Prozess auch im Hintergrund in der Verwaltung selbst digital abgewickelt wird. Denn nur so ist erreichbar, dass Prozesse schneller und einfacher ablaufen und man nicht jedes Mal bereits bekannte Daten neu eingeben muss.
Da das OZG dies aber gar nicht zum erklärten Ziel hatte, fand der Anschluss an die Fachverfahren zur weiteren Bearbeitung in den Verwaltungen fast nirgendwo statt, was in der Praxis zu absurden Prozessen führt. Online eingegebene Daten werden in Behörden ausgedruckt, in andere Fachverfahren erneut eingebeben oder sogar per Briefpost an andere Behörden geschickt zur weiteren Bearbeitung. Ein OZG 2.0 Folgegesetz könnte und sollte sich der Digitalisierung ganzer Verwaltungsprozesse widmen, aber auf meine Fragen danach, wann das OZG 2.0 kommt und ob es endlich ganze Prozesse betrachten wird, kam leider nur ein Hinweis auf „vorbereitende Gespräche“ und einen „iniierten Dialogprozess“ mit den Ländern und darauf, dass der Bund zu einer Prozessoptimierung stets ermutigt hat. Kein Zeitplan, keine konkrete Strategie. Das ist frustrierend.
Angesichts dieser Zustände ist es nicht verwunderlich, dass auch die Verknüpfung von verschiedenen Input-Kanälen (Web-Interface, Bürgertelefon 115, Gespräch vor Ort, Chatbots usw.) zu einem gemeinsamen Prozess im digitalen Fachverfahren bisher nicht möglich ist und offensichtlich auch noch nicht einmal geplant wurde (siehe Antwort der Bundesregierung auf Frage 20).
Chaos und fehlende Kostenkontrolle beim Roll-Out in die Fläche
Ein sinnvolles Prinzip des OZG ist es (zumindest auf dem Papier), dass Software und Wissen zur Nachnutzung bereitgestellt werden sollen, damit im Idealfall ein Produkt nur einmal entwickelt, und dann von Verwaltungen in ganz Deutschland genutzt werden kann (Einer für Alle = EfA- Prinzip). Das spart Aufwand und Kosten sowie beschleunigt (theoretisch) die Umsetzung auch durch das Teilen von Wissen. Wenn also eine OZG-Leistung in einem Bundesland entwickelt wurde, sollten alle anderen Länder mitsamt ihrer Kommunen diese Leistung zügig und reibungsarm übernehmen können. Soweit die Theorie.
Die ernüchternde Praxis offenbart die Antwort auf meine Frage 8: Stand 18. Juli 2022 standen nur 47 von 153 Einer-für-Alle -OZG-Leistungen tatsächlich zur Nachnutzung bereit, also nicht einmal ein Drittel. Dazu kommen rund 50 weitere EfA-Leistungen, zu denen die Bundesregierung in ihrer Antwort keine Angaben machte, die aber im Informationsportal OZG zu finden sind. Dort finden sich auch 81 weitere Leistungen mit anderen Nachnutzungs-Modellen („FIM-basierte Eigenentwicklung“ und „Nachnutzbare Software“), zu denen der Bundesregierung ebenso nichts zum Status bekannt zu sein scheint, jedenfalls wurde meine Frage dahingehend nicht beantwortet (Antwort auf Frage 8). Viel zu spät also (oder sogar gar nicht) steht die Software bereit, die Länder und Kommunen nachnutzen sollen. Bis zum November hat sich daran auch wenig geändert, am 10.11.2022 wurden im Zusammenhang mit der Sitzung des IT-Planungsrats neue Zahlen öffentlich: immer noch sind erst 73 von 153 EfA Leistungen verfügbar, aber nur 14 EfA-Leistungen werden bisher überhaupt von irgendwem irgendwo anders nachgenutzt.
Das liegt wohl auch daran, dass die Nachnutzung selbst voller konzeptioneller Probleme steckt und alles andere als einfach ist, selbst wenn die Software zur Verfügung steht:
Die Nachnutzung ist rechtlich hochkomplex und hängt beispielsweise individuell von der Existenz einer “inhousefähigen juristischen Person” ab,
Verantwortlichkeiten der Datenverarbeitung und Regelungen der Auftragsverarbeitung sind selbst bei den Einer-für-Alle-(EfA)Leistungen jeweils im Einzelfall individuell zu erörtern,
die verfügbaren Leistungen müssen von den Ländern zu erheblichen Preisen eingekauft werden, über deren Zustandekommen keinerlei Transparenz besteht, und Kommunen haben überhaupt keinen Zugriff auf den Marktplatz,
die oft finanzschwachen Kommunen können die Umsetzung der Leistungen kaum selbst stemmen, es fehlen klare Vorgaben, wie sie dabei unterstützt werden. Für eine kostengünstige oder kostenfreie Nachnutzung spricht der Bund lediglich eine unverbindliche Empfehlung aus (Antwort auf Frage 9).
Rechtlich liegt die Verantwortung über die Kommunen den einzelnen Ländern. Es kann aber nicht sein, dass der Bund die OZG-Umsetzung mit Milliarden fördert (Antwort auf Frage 10), ohne daran klare Bedingungen und Transparenzanforderungen zum Roll-Out der Leistungen in die Fläche zu knüpfen. Stattdessen wird es den Ländern offengehalten, ob und wie stark sie die Kommunen bei der OZG-Umsetzung finanziell unterstützen. So können sich vor allem ärmere Kommunen in unsolidarischeren Bundesländern die Umsetzung selbst vorhandener OZG-Module gar nicht leisten.
Das einzige Land, von ich weiß, dass es OZG-Leistungen kostenlos an seine Kommunen weitergibt, ist das linksregierte Thüringen. Und siehe da – laut OZG Dashboard Stand September 2022 ist die flächendeckende (!) Verfügbarkeit von OZG-Leistungen in Thüringen am weitesten fortgeschritten – sogar bei geringem OZG-Fördermittelverbrauch (Antwort auf Frage 10). Die 35 Booster-Leistungen sind im übrigen überwiegend kommunale Dienste, die also in über 11.000 Kommunen umgesetzt werden sollen – bis Ende 2022. Die Bundesregierung lässt offensichtlich die Kommunen im Stich und macht sich einen schlanken Fuß, um im Januar 2023 möglicherweise den Bundesländern dafür die Verantwortung zuzuschieben, dass auch die 35 Booster-Leistungen nicht überall in Deutschland verfügbar sind. Sie interessiert sich nicht einmal für Informationen, denn die Ampel-Regierung hat nach eigenen Angaben bisher keine Kenntnis darüber, in welchen Ländern für Kommunen welche Kosten bei der Nachnutzung anfallen und wo Bundesländer Kosten der Kommunen übernehmen (Antwort auf Frage 6).
Auch auf meine Frage, warum die Nachnutzung einer EfA-Leistung teurer ist als eine Eigenentwicklung und was man dagegen tun kann, kam von der Bundesregierung nichts (Antwort auf Frage 11):
Kurz, es herrscht einigermaßen Chaos bei der Aufgabe, die entwickelten OZG-Leistungen effektiv in die Fläche zu bringen. Und der große potentielle Vorteil der öffentlichen Hand, nicht parallel und gegeneinander, sondern offen und kooperativ miteinander zu arbeiten, wird nicht realisiert – zum Nachteil der Bürger:innen, aber auch der öffentlichen Haushalte und Verwaltungen.
Zu wenig erreicht und falsch priorisiert
Den Fortschritt zu den neu priorisierten 35 OZG-Booster-Leistungen habe ich in Frage 15 meiner Kleinen Anfrage erfragt. Die Antwort: jede zweite war Ende Sommer immer noch in keinem einzigen Bundesland umgesetzt, darunter besonders gerade besonders häufige Dienstleistungen, wie Ummeldung, Eheschließung, Personalausweis, Kfz An- und Ummeldung, Meldebescheinigung. Dass bis Ende Dezember 2022 in 11 000 Kommunen verfügbar sein werden, ist damit unmöglich, und auch die Priorisierung selbst wirft mit Blick auf die OZG-Booster Dienstleistung “Waffenerlaubnisse” Fragen auf, die uns die Bundesregierung zum Teil einfach gar nicht beantwortet:
Warum priorisierte man ausgerechnet Waffenerlaubnisse? Sollen sich Reichsbürger künftig digital und bequem schneller bewaffnen können, noch bevor es allen anderen endlich digital möglich ist, einen Ausweis zu beantragen oder eine Eheschließung anzumelden? Für eine solche Priorisierung fehlt mir jedes Verständnis.
Den elektronischen Personalausweis beinahe vergessen
Ohne den elektronischen Personalausweis (nPA) bewirkt die OZG-Umsetzung wenig, es gibt ihn immerhin schon über 10 Jahre, aber kaum jemand weiß davon, weil es keine Marketingkampagnen dafür gab und weil es nach wie vor kaum Anwendungsfälle dafür gibt Außerdem gab es Kritik an der Nutzerfreundlichkeit der dazugehörigen Anwendung AusweisApp2, also habe ich auch danach gefragt. Zur Nutzerfreundlichkeit hat die Bundesregierung jedoch laut ihrer Antwort auf meine Frage 33 überhaupt keine Daten. Dabei wird seit vielen Jahren von jeder Regierung immer wieder betont, wie wichtig Nutzerfreundlichkeit sei. Es gilt jedoch der Satz: You get what you measure, man bekommt, was man misst. Wer keine Nutzerfreundlichkeit misst, bekommt auch keine.
Daten dazu existieren nicht, weil ein Nutzertracking nicht zulässig sei, schrieb mir die Bundesregierung in ihre Antwort, als ob es nicht möglich wäre, anonymisierte Umfragen durchzuführen oder Nutzerfreundlichkeit gezielt zu testen.
Immerhin wurde meine Frage nach den Abbruchraten bei der Nutzung der AusweisApp2 beantwortet: sie betragen fast 50 Prozent! Es ist naheliegend, dass bei derartigen Abbruchraten die Nutzer:innen vermutlich nicht sehr zufrieden sind. Ein eCommerce Unternehmen mit derartigen „Erfolgs“-Raten wäre sicher schnell vom Markt verschwunden.
Eine Förderung von Kartenlesern zur zuverlässigeren und Smartphone/Telefonnummer-unabhängigen nPA-Nutzung erscheint der Bundesregierung nicht erforderlich (Antwort auf Frage 34), und eine Überarbeitung der AusweisApp2 wird lediglich perspektivisch in Aussicht gestellt (Antwort auf Frage 31). Der nachlässige Umgang bei der Etablierung des nPA ist umso bedauerlicher, als dass mit diesem schon ab 2008 (!) der Weg zu einer prinzipiell sehr sinnvollen Lösung für eine digitale Identität bereitet wurde. Doch dann redeten plötzlich alle von selbst gemanagten Identitäten (SSI) und Blockchain… aber das ist ein anderes Thema.
OZG-Dashboard fehlerhaft und geschönte Transparenz
Um Transparenz, Nachvollziehbarkeit, Open Source und Open Data ist es ebenfalls nicht gut bestellt: Zwar wurde die Transparenz der OZG-Umsetzung durch das schrittweise verbesserte OZG-Dashboard zunehmend verbessert, doch selbst gegenwärtig können Daten aus dem Saarland und Berlin zum Umsetzungsstand nicht dargestellt werden, weil es keine Schnittstelle für die Datenlieferung gibt, die Zahlen zu diesen Bundesländern sind im Dashboard folglich falsch, ein Hinweis auf die fehlenden Zahlen gibt es nicht (Antwort auf Frage 13). Die vom Bundesrechnungshof festgestellte “geschönte” Darstellung besteht weiterhin, so gilt beispielsweise eine OZG-Leistung im Dashboard als umgesetzt, also digital verfügbar, wenn eine einzige von mehreren Einzelleistungen des betreffenden Leistungsbündels digital nutzbar ist, selbst wenn das für die Gesamtleistung gar nicht gilt. Auch die schönfärbende Darstellung “Leistung in mindestens einer Kommune verfügbar” ist nach wie vor präsent. Eine Leistung gilt also als verfügbar und abgehakt, wenn sie zwar in Hinterposemuckel genutzt werden kann, aber in 11.000 weiteren Kommunen nicht. Will eine Bürgerin wissen, ob eine bestimmte Dienstleistung in ihrer eigenen Kommune digital angeboten wird, sucht sie auf dem Dashboard vergeblich, derartige Informationen gibt es dort nicht.
Auch wie häufig bestimmte Verwaltungsleistungen tatsächlich digital genutzt werden, können Bund und Länder bisher nur zum Teil feststellen. Hier soll es entsprechend der Antwort der Bundesregierung auf meine Frage 1 durch eine zentrale Zusammenführung von Nutzungsdaten bald eine Verbesserung geben, wir werden sehen, ob „Ende 2022“ die versprochene technische Lösung dafür sowohl verfügbar ist als auch in der Praxis genutzt wird:
Recht viele Informationen zum Umsetzungsstand finden sich auf einer OZG-Informationsplattform, die jedoch im Dashboard oder anderen zentralen Informationsseiten gar nicht verlinkt ist, und deren Inhalt ohne Registrierung eines Nutzerkontos auch nicht zugänglich ist. Warum, bleibt das Geheimnis der Ampel. Praktizierte Kostentransparenz im Rahmen der Nachnutzung von OZG-Leistungen besteht bisher nicht einmal ansatzweise, auch hier wurden erst jetzt in aktuellen Beschlüssen des IT-Planungsrats Verbesserungen angekündigt (Antwort auf Frage 11).
Open Source nicht gelebt, Open Data ignoriert
Obwohl Open Source als 13. Prinzip im Servicestandard für digitale Verwaltungsleistungen verankert ist, wird die Umsetzung in die Praxis nur halbherzig gelebt. In den sechs Grundprinzipien der Förderung mit OZG-Konjunkturmitteln ist lediglich eine Empfehlung für Open Source enthalten (Antwort auf Frage 2). Man könnte vermuten, dass die Bundesregierung gern wissen würde, welche Bundesländer viele Millionen Fördergeld für die Umsetzung des OZG in Anspruch nehmen UND sich an die Empfehlung Open Source halten, aber das ist nicht der Fall. Die Bundesregierung hat keinerlei Informationen darüber, welche OZG-Leistungen tatsächlich Open Source sind, auch hier verweist sie auf die Bundesländer, die man einzeln abfragen soll. Der Informations- und Datenaustausch zwischen Bund, Ländern und Kommunen funktioniert offenbar genau null und auch das ist ein Grund dafür, warum die Verwaltungsdigitalisierung nicht voran kommt:
Immerhin soll der Quellcode der OZG-Leistungen künftig auf opencode.de veröffentlicht und eine Weiterentwicklung der Software durch alle daran Interessierten ermöglicht werden. Bisher handelt es sich dabei jedoch nur um eine Ankündigung und ob sich darin wirklich der partizipative Gedanke Freier Software wiederfindet, bleibt abzuwarten. Bisher sah es jedenfalls nicht danach aus.
Ein bekannter Fallstrick in Verträgen der öffentlichen Hand mit IT-Dienstleistern ist nicht nur fehlende Klarheit bezüglich Open Source und Interoperabilität, sondern auch bezogen darauf, wer welche Rechte an Daten innehat, die im Laufe eines Prozesses anfallen. Open Data propagiert die Ampel-Regierung ja schon im Koalitionsvertrag aber auch in der Digitalstrategie, ein Recht auf Open Data wurde angekündigt. Da ich mich seit mehr als 15 Jahren mit dem Thema Zugang zu offenen Verwaltungsdaten befasse, weiß ich, dass eine Hürde dafür oft die Überforderung der jeweiligen Behörde ist, die sich mit dem Thema nicht auskennt. Daher fragte ich in Frage 25 meiner K.A., wie die Bundesregierung derartige Hürden zum Beispiel durch geeignete Mustervertragsbausteine für Open Data senkt. Die Antwort geht leider an der Frage vorbei und ignoriert den Bezug auf Open Data und ist sogar irreführend:
Ich habe selbst bei der FITKO angerufen und auch im FIT-Store nach Musterverträgen gesucht. Mit dem Suchwort „Open Data“ findet man nur ein Ergebnis, nämlich einen Mustervertrag zum Export von Kulturgütern, in dem erwähnt wurde, dass er zum Thema Open Data keine Vorgaben enthält. Von der FITKO selbst erfuhr ich, dass es weder Vorgaben noch Hilfestellungen dort zum Thema Open Data gibt. Ob sich daran künftig etwas ändert, bleibt der Antwort der Bundesregierung nach unklar.
IT-Sicherheit vernachlässigt, Registermodernisierung mit Datenschutzproblemen
Last but not least gibt es bedenkliche Versäumnisse sowohl beim Datenschutz als auch bei der IT-Sicherheit. So hält die Bundesregierung externe Audits und Zertifikate bei selbst-entwickelter Software nicht für nötig, wie aus der Antwort auf meine Frage 4 hervorgeht. Eine unabhängige Qualitätskontrolle im laufenden Betrieb scheint aus Sicht der Bundesregierung demnach nicht relevant zu sein, was schon recht erstaunlich ist:
Sie erkennt auch kein Problem darin, dass die IT-Sicherheitsverordnung Portalverbund (ITSiV-PV) erst mehrere Jahre (!) nach Inkrafttreten des OZG erlassen wurde, obwohl das OZG-Gesetz selbst eine solche IT-Sicherheitsverordnung vorgab, und dass die Zivilgesellschaft bei deren Erarbeitung nicht einbezogen wurde (Antwort auf Frage 4). Eine Antwort darauf, wie mit Sicherheitsproblemen umgegangen wird, die durch die mehrjährige Verspätung der IT-Sicherheitsvorgaben für die OZG-Umsetzung entstanden sein könnten, verweist nur pauschal auf den IT-Grundschutz, so als bräuchte es die IT-Sicherheitsverordnung eigentlich gar nicht. Eine eigenwillige Interpretation.
Weiterhin scheint die Bundesregierung von der verfassungsrechtlich fragwürdigen Registermodernisierung mit Ausweitung der Steuer-ID zu einer einheitlichen Personenkennziffer nicht abrücken zu wollen (Antwort auf Frage 36). Das Mindeste wäre, das im § 11 des OZG geforderte Datenschutzcockpit für Bürger:innen so zu erweitern, dass es nicht nur Transparenz über die Übermittlung persönlicher Daten bietet, sondern auch Handlungsmöglichkeiten für Bürger*innen, um bestimmte Daten für bestimmte Behörden zu bestimmten Zwecken dort freizugeben, damit auf diese Weise eine technische Barriere gegen unerwünschte Datenzusammenführung existiert, die die Nutzer*innen selbst kontrollieren. Pläne der Bundesregierung dahingehend gibt es aber nicht:
Was soll nur werden?
Für das seit Anfang dieses Jahres angekündigte “OZG 2.0” kann die Bundesregierung nach wie vor keinen Zeitpunkt oder Zeitplan zur Veröffentlichung benennen (Antwort auf Frage 18), und das, obwohl davon auch die Folgefinanzierung nach 2022 abhängt. Somit ergeben sich Planungsunsicherheiten für Zuwendungsempfänger, was die Umsetzung weiter hemmen dürfte. Seit meiner Kleinen Anfrage im Spätsommer hat sich dazu die Lage nur verschärft, denn die bisherigen Mittel – 600 Mio Euro sollen noch übrig sein aus dem Haushalt 2022 – sollen nach Stand 11.11.2022 nicht auf den Haushalt 2023 übertragbar sein, was zu erheblichen Finanzierungsengpässen führen kann. Im aktuellen Haushaltsenwurf für 2023 sind bisher nur 380 Mio Euro für Verwwaltungsdigitalisierung vorgesehen, was nach Ansicht von Vertreter*innen mehrerer Bundesländer nicht reicht, um angestoßene Vorhaben umzusetzen.
Immerhin werden in der Antwort der Bundesregierung auch einige sinnvolle Ankündigungen gemacht. Beispielsweise ist eine Plattform für alle OZG-Nutzungsdaten geplant; die Festlegung und Umsetzung von Standards (okay, die sind viele Jahre überfällig), ein weiterer, integrativer Marktplatz in der Hand einer Genossenschaft „govdigital e.G.“ zur Nachnutzung von OZG-Leistungen, ein gemeinsames Digitalisierungsbudget von Bund und Ländern für den dauerhaften Betrieb von EfA-Leistungen, ein low-code-Ansatz “MODUL-F” zur Förderung modularer Programmierung in Eigeninitiative und anderes mehr. Wie viel davon wann und wie kommt, bleibt abzuwarten.
/von
https://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.png00Max Blumhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngMax Blum2022-11-12 14:12:552022-11-16 15:26:24Quo Vadis, Verwaltungsdigitalisierung? Das Onlinezugangsgesetz als Megafail
Am 28. Juni habe ich beim Wissenschaftlichen Dienst des Bundestags um eine Bewertung des EU-Verordnungsentwurfs „Vorschriften zur Verhütung und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch als „Chatkontrolle“ bekannt, gebeten. Der Fokus sollte dabei auf der Frage liegen, ob der eintretende Eingriff in die Grundrechte durch diesen Verordnungsentwurf verhältnismäßig ist. Die Ausarbeitung dazu ist inzwischen eingegangen und kann HIER aufgerufen werden.
Das Gutachten des Wissenschaftlichen Dienstes zum aktuellen Entwurf der EU Chatkontrolle zieht ein vernichtendes Fazit, und stützt alle meine Warnungen und die der Zivilgesellschaft vor dieser Verordnung, die offensichtlich weder dazu geeignet ist, Kinder besser vor sexualisierter Gewalt zu schützen, noch auch nur ansatzweise angemessen ist, denn das Gutachten bestätigt, dass die Chatkontrolle einen unverhältnismäßigen Eingriff in die Grundrechte bedeutet und negative Auswirkungen nicht nur allgemein für die Bevölkerung, sondern insbesondere auch für Minderjährige zu erwarten sind.
Ich hoffe sehr, dass man dieses Gutachten im Innenministerium genau zur Kenntnis nimmt, insbesondere die Ausführungen zur faktischen Abschaffung der vertraulichen Kommunikation, aber auch die deutliche Aussage, dass die Umsetzung der Chatkontrolle zwingend entweder die Schwächung verschlüsselter Übertragung oder aber das Auslesen von Messenger-Inhalten vor der Verschlüsselung auf dem Gerät der Nutzer:innen (“Client Side Scanning”) bedeutet. Vor diesem Hintergrund beunruhigt mich sehr, dass die Bundesregierung zwar immer wieder betont, dass sie die verschlüsselte Kommunikation schützen will, sich gleichzeitig aber vor einer klaren Aussage zum Client Side Scanning drückt. Ich habe bereits mehrfach vergeblich danach gefragt und habe den stärker werdenden Eindruck, dass man sich diesen Weg für eine Umsetzung der Chatkontrolle offenhält. Das Gutachten des wissenschaftlichen Dienstes des Bundestags macht allerdings sehr deutlich, dass mittels Client Side Scanning nicht nur die Vertraulichkeit der Kommunikation faktisch abgeschafft, sondern außerdem die IT-Sicherheit genutzter Geräte geschwächt wird, da dafür die Gerätehersteller Sicherheitlücken einbauen müssten, die natürlich auch von Dritten gefunden und ausgenutzt werden können.
Nach Kenntnis dieses Gutachtens muss endlich die gesamte Bundesregierung einschließlich der Innenministerin Nancy Faeser die Chatkontrolle als gefährlichen Holzweg erkennen und ihr ganzes Verhandlungsgewicht in Brüssel dafür einsetzen, dass diese Verordnung verhindert wird und sie Kinder stattdessen mit sowohl geeigneten als auch mit grundrechtsfreundlichen Maßnahmen künftig besser vor Gewalt schützt.
/von
https://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.png00Max Blumhttps://mdb.anke.domscheit-berg.de/wp-content/uploads/2018/06/Logo_Anke.pngMax Blum2022-10-14 15:30:002023-03-01 19:04:29„Chatkontrolle“: Bewertung durch den wissenschaftlichen Dienst des Bundestags
Am 6. Oktober 2022 führte mich mein Wahlkreistag im Landkreis Ostprignitz Ruppin zum ehemaligen Kernkraftwerk Rheinsberg. Da seit Wochen immer wieder von der Verlängerung der Laufzeit von Atomkraftwerken die Rede ist, interessierte mich, wie eigentlich das Ende eines AKWs aussieht. Wie teuer, wie komplex ist das eigentlich? Das KKW Rheinsberg war seinerzeit das erste Atomkraftwerk in der DDR, es zählt mit einer (ex-) Leistung von 70MW zu den kleinen AKW.
Rheinsberger Genossinnen begleiteten mich auf die Rückbaustelle und immer wieder erzählten sie, wie das AKW in den letzten Jahrzehnten den Ort geprägt hatte. Heute gehört das Werk dem EWN, dem Entsorgungswerk für Nuklearanlagen, dessen einziger Gesellschafter das Bundesfinanzministerium ist.