RechtPrivate einbinden?

[24.02.2020] Der Grundsatz digitaler Souveränität kann dazu führen, dass staatliche Daten nicht an private IT-Dienstleister übertragen werden dürfen. Der Beitrag informiert über die Risiken beim Einbinden Privater in die Aufgabenwahrnehmung der öffentlichen Hand.
Datenübertragung an Private ist problematisch.

Datenübertragung an Private ist problematisch.

(Bildquelle: PEAK Agentur für Kommunikation)

Informationstechnologien bestimmen mittlerweile nicht nur den Alltag der Bürger, auch die öffentliche Verwaltung kann ohne ihren Einsatz nicht mehr gedacht werden. Doch aufgrund von Personalnot oder dem Druck, die alltäglichen Aufgaben zu erfüllen, muss die Aneignung technischer Kenntnisse und Fähigkeiten gerade in kleineren Ämtern immer wieder zurückgestellt werden. Eine Vielzahl von privaten und öffentlich-rechtlichen IT-Dienstleistern bietet der Verwaltung an, solche Lücken zu schließen, etwa durch Cloud-Dienste oder die Nutzung von Rechenzentren. Dadurch können Verwaltungen zwar Kosten sparen, zugleich müssen aber staatliche Daten möglicherweise an private IT-Dienstleister übertragen werden.
Dies wirft eine grundsätzliche Frage auf: Wann ist es Trägern staatlicher Gewalt erlaubt, Daten aus ihrem alleinigen, öffentlich-rechtlich geprägten Einflussbereich zu entlassen und stattdessen einem Privaten einen zumindest mittelbaren Zugriff auf diese zu ermöglichen? Eine Annäherung an diese Frage ermöglicht der Grundsatz der digitalen Souveränität. Dieser kann in bestimmten Konstellationen dazu führen, dass staatliche Daten nicht an private IT-Dienstleister übertragen werden dürfen. Zur Begründung dieses Grundsatzes ergänzen sich drei Überlegungen: der Charakter zwingender Staatsaufgaben, eine staatliche Gewährleistungsverantwortung und das Vertrauen in die Integrität und Funktionsfähigkeit staatlicher Strukturen und Institutionen.

Datenverarbeitung selten zwingende Staatsaufgabe

Einen abschließenden Katalog von Aufgaben, die zwingend vom Staat wahrzunehmen sind, enthält die Verfassung nicht. Gleichwohl herrscht darüber Einigkeit, dass manche Aufgaben, wie etwa Gesetzgebung, Justiz oder Strafverfolgung, grundlegende staatliche Funktionen repräsentieren und als solche vom Staat ausgeführt werden müssen. Die Verarbeitung von Daten ist jedoch kaum einmal als zwingende Staatsaufgabe einzuordnen, weil ihre Erhebung und Verwaltung in aller Regel kein Selbstzweck ist, sondern faktisch nur die Erledigung einer anderen spezifischen Aufgabe unterstützt. Doch es gibt Ausnahmen wie zum Beispiel im Meldewesen. Dort ist die Datenverarbeitung selbst unmittelbarer Gegenstand der eigenständigen und primär zu erfüllenden staatlichen Aufgabe.

Staat bleibt in der Verantwortung

Solche Fälle dürften jedoch selten sein. Die Auslagerung der Datenverarbeitung an private IT-Dienstleister ist aber auch dann unzulässig, wenn die betroffenen Daten zwar nicht selbst Gegenstand, wohl aber integraler Bestandteil der zwingenden Staatsaufgabe sind. Die Aufgabenwahrnehmung steht und fällt mit den betreffenden Daten. Je zentraler ein Datenbestand für die Wahrnehmung einer obligatorischen Staatsaufgabe ist, desto weniger kommt eine Privatisierung in Betracht. Dabei ist es weniger entscheidend, dass die Daten erst durch die derzeitige Verfügbarkeit von Informationstechnologien Bedeutung gewonnen haben, sondern seit jeher und traditionell ein elementarer Bestandteil der Aufgabenwahrnehmung gewesen sind; ein Beispiel könnte das Führen von Prozessakten durch die Zivilgerichte sein.
Daneben kann der Einbindung privater IT-Dienstleister die staat­liche Gewährleistungsverantwortung entgegenstehen. Wenn der Staat Private in die Aufgabenwahrnehmung einbezieht, trifft ihn weiterhin die Verantwortung, die ordnungsgemäße und gemeinwohlverträgliche Aufgabenerfüllung durch den Privaten zu gewährleisten. Dabei stellt sich in der Praxis insbesondere die Frage, wie eine effektive Lenkung und Kontrolle der privaten Akteure sichergestellt werden können. Im Zweifel muss der Staat für den Fall des Scheiterns des Privatsektors in der Lage sein, die Aufgabe zurückzuholen und wieder selbst wahrzunehmen.

Vielfältige Risiken

Insofern sind beim Einbinden privater IT-Dienstleister in die Aufgabenwahrnehmung der öffentlichen Verwaltung vielfältige Risiken zu berücksichtigen. Staatliche Daten müssen jederzeit verfügbar sein, dürfen inhaltlich nicht verfälscht, nicht sachfremd durch Dritte genutzt und nicht unbefugt veröffentlicht werden. Es kann nicht pauschal unterstellt werden, dass sich Private eher rechtswidrig verhalten. Doch für IT-Dienstleister in staatlicher Hand ergibt sich eine unmittelbare Grundrechts- und Gesetzesbindung, während private IT-Dienstleister privatautonom gesetzte Ziele verfolgen. Mitarbeiter privater IT-Dienstleister sind grundsätzlich nicht denselben Strafandrohungen ausgesetzt wie Amtsträger (vgl. §§ 203, 11 StGB). Außerdem ist zu berücksichtigen, dass einzelnen privaten IT-Unternehmen eine erhebliche Marktmacht zukommt und in der öffentlichen Verwaltung notwendige IT-Fähigkeiten und -Kenntnisse teilweise noch unterentwickelt sind. Bei Vertragsverhandlungen können deshalb erhebliche Informationsasymmetrien zulasten der öffentlichen Gewalt bestehen. Und es gibt weitere Unterschiede: Private IT-Dienstleister können einem spürbaren Kostendruck ausgesetzt sein. IT-Dienstleister in öffentlicher Hand hingegen sind vom Staat getragen und finanziert und dienen typischerweise nicht der Gewinnerzielung. Während gegenüber IT-Dienstleistern in öffentlicher Hand vielfältige Aufsichts- und Einflussmöglichkeiten bestehen, fehlen diese bei Unternehmen in privater Hand, und es gibt grundsätzlich keine Möglichkeiten, deren operatives Tagesgeschäft zu beeinflussen.

Verbreitung unumkehrbar

Bestehende Risiken werden durch spezifische Charakteristika von Daten verschärft. Durch die Möglichkeit der digitalen Kopie kann eine einmal vorgenommene Verbreitung oder gar Veröffentlichung faktisch kaum mehr rückgängig gemacht werden. Während grundsätzlich bei öffentlichen Aufgaben, zum Beispiel dem Betrieb einer Autobahn, die Kontrolle zumindest ex-nunc wiedererlangt, Fehler korrigiert und ein ordnungsgemäßer Zustand wiederhergestellt werden können, sind beim Umgang mit Daten strukturbedingt negative Folgen denkbar, die sich unumkehrbar in die Zukunft erstrecken. Je nach Umständen des Einzelfalls ist deshalb zu berücksichtigen, ob die Modalitäten der Einbindung Privater und deren Organisationsstruktur ausreichen, um einer staatlichen Gewährleistungsverantwortung gerecht zu werden, entweder zum Schutz der Funktionsfähigkeit der Verwaltung oder im Hinblick auf die Rechtspositionen Dritter.

Eine Frage des Vertrauens

Der Grundsatz digitaler Souveränität wird schließlich durch das Vertrauen in die Integrität und Funktionsfähigkeit staatlicher Strukturen unterstützt. Diesem Gedanken liegen zwei gegensätzliche Entwicklungen zugrunde: Einerseits bedarf es eines erhöhten Vertrauens aufgrund des Einsatzes relativ neu entstandener Informationstechnologien, andererseits entwickelt sich ein Verlust herkömmlicher Kontrollmechanismen. Bislang wurzelte das Vertrauen, das Trägern öffentlicher Gewalt entgegengebracht wurde, in erster Linie in der Person der einzelnen Amtsträger. Dieser persönliche Aspekt wird durch den Einsatz von Informationstechnologien mehr und mehr in den Hintergrund gedrängt, was wiederum das Bedürfnis nach Vertrauen erhöht. Zugleich wird staatlicher Umgang mit Daten weniger kontrollierbar, weil sich dieser – anders als traditionelles staatliches Handeln – grundsätzlich nicht unmittelbar in der tatsächlichen oder rechtlichen Ordnung auswirkt und als solches auch nicht unmittelbar wahrnehmbar ist. Da eine nachgelagerte rechtliche Kontrolle beim Umgang mit Daten nur bedingt effektiv möglich ist, muss schon auf einer vorgelagerten Stufe durch rechtliche Regelungen klargestellt werden, dass bestimmte Daten einen öffentlich geprägten Herrschaftsbereich gar nicht erst verlassen dürfen.

Dr. Christian Ernst ist Inhaber der Professur für Öffentliches Recht und Wirtschaftsrecht an der Helmut-Schmidt-Universität/Universität der Bundeswehr Hamburg. Der Beitrag beruht auf einem Gutachten für Dataport, das Anfang 2020 veröffentlicht wird.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur
Die deutsche Delegation auf dem 4. Projectathon in Brüssel.

Registermodernisierung: Once-Only für Geburtsnachweis erprobt

[18.07.2024] In Brüssel fand zum vierten Mal der Projectathon statt. Das Event bringt die EU-Mitgliedstaaten zusammen, um deren Beiträge zur Once-Only- und zur Single-Digital-Gateway-Umsetzung interoperabel zu testen. Der deutschen Delegation gelang der grenzüberschreitende Nachweisaustausch im Bereich Personenstand zur Umsetzung des Once-Only-Prinzips. mehr...

Symbol Cloud Computing, Hand tippt auf digitale Wolke

Thüringen: Souveräne Cloud

[09.07.2024] Der Freistaat Thüringen setzt auf eine eigene souveräne Verwaltungscloud. Diese wird im landeseigenen Rechenzentrum aufgebaut und betrieben. mehr...

Ministerien und Ämter des Freistaats Bayern können künftig Anwendungen aus der  Kubernetes-Cloud nutzen.
bericht

Cloud-Strategie: Bundeskanzleramt verwirft Deutsche Verwaltungscloud

[27.06.2024] Mit einem ungewöhnlichen Schritt brüskiert das Kanzleramt alle Initiativen rund um die Deutsche Verwaltungscloud und drängt die Bundesländer zu einem Vertragsabschluss mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud. mehr...

Eine Kaffeetasche steht im Vordergrund des Bildes auf einem Tisch, im Hintergrund sin schemenhaft Menschen zu erkennen, die zusammensitzen in einem großen Raum mit leeren Tischen.

Thüringen: KI-basierte Projektergebnisse

[06.06.2024] Das Thüringer Finanzministerium arbeitet mit der Friedrich-Schiller-Universität Jena in verschiedenen Forschungs- und Entwicklungsprojekten zusammen. Alle sollen sie den Zugang zu digitalen Verwaltungsdienstleistungen beschleunigen. Beim jüngsten Treffen wurden neue Ergebnisse der KI-basierten Projekte vorgestellt. mehr...

Ein roter Bauhelm liegt auf dem Asphaltboden, im Hintergrund unscharf eine Baustelle.

Bauwesen: Verteidigungsministerium tritt BIM Deutschland bei

[21.05.2024] Das Bundesministerium der Verteidigung tritt der Initiative BIM Deutschland – Zentrum für die Digitalisierung des Bauwesens bei. Das Ministerium erwartet dadurch eine beschleunigte Umsetzung wichtiger Bauvorhaben, zudem soll die Vorbildrolle des Bunds bei der Etablierung der Methode BIM gestärkt werden. mehr...

Das Bild zeigt einen stilisierten Datenstrom aus Nullen und Einsen. Im Hintergrund die europäischen Sterne.

AWS: Milliardeninvestition in Brandenburg

[16.05.2024] Amazon Web Services will bis 2040 rund 7,8 Milliarden Euro in die AWS European Sovereign Cloud in Deutschland investieren. Ziel der Initiative ist es, Europas Bedarf an digitaler Souveränität zu unterstützen und die digitale Transformation voranzutreiben. mehr...

Das Bild zeigt das innere eines Cockpits, zu sehen ist auch das Electronic Knee Board.

Bundeswehr: Electronic Knee Boards für Piloten

[15.05.2024] Die Luftwaffe ersetzt herkömmliche Pilotenhandbücher durch Electronic Knee Boards, die vertrauliche Daten mit der sicheren Container-Lösung SecurePIM von Materna Virtual Solution schützen. mehr...

Das Bild zeigt eine virtuelle Darstellung im Raum mit dem Begriff Low Code, auf die eine Hand weist.

Low-Code-Plattform: ServiceNow gewinnt Rahmenvertrag

[13.05.2024] Das US-amerikanische IT-Unternehmen ServiceNow hat den Zuschlag für einen Rahmenvertrag zur Einführung von Low-Code/No-Code-Technologien im öffentlichen Sektor erhalten. Das vom ITZBund beauftragte Projekt soll die Digitalisierung und Automatisierung öffentlicher Arbeitsprozesse vereinfachen. mehr...

Das Bild zeigt Niedersachsens Innenstaatssekretär Stephan Manke.

Niedersachsen: Teams für die Landesverwaltung

[26.04.2024] Künftig wird Microsoft Teams in der niedersächsischen Landesverwaltung eingesetzt. Möglich macht dies eine Vereinbarung mit Microsoft über wesentliche Datenschutzfragen. mehr...

Zwei Männer in formaler Office-Kleidung stehen vor einer grauen Betonwand.

GovTech Campus Deutschland: BSI erarbeitet sichere Cloud

[09.04.2024] Cloud Computing gilt als Rückgrat und Treiber der Digitalisierung in vielen Bereichen, auch bei der Verwaltungsdigitalisierung. Nun ist das BSI dem GovTech Campus Deutschland beigetreten, wo es im Rahmen eines Reallabors die Sicherheit von Public Clouds untersuchen und verbessern will. mehr...

bericht

Infrastruktur: Container-Plattformen erobern die IT-Landschaft

[04.04.2024] Container-Technologie hat sich weltweit als De-facto Standard in der IT-Infrastruktur etabliert, was ihren umfassenden Einsatz auf Cloud-Plattformen und auch in den Rechenzentren der öffentlichen Verwaltung unterstreicht. Für einen effizienten Betrieb dieser Technologie sind jedoch spezielle Plattformen notwendig, die eine optimale Verwaltung und Orchestrierung der Container ermöglichen. mehr...

Composite-Bild einer Computer-Tastatur, die Enter-Taste mit einem Cloud-Symbol

Nordrhein-Westfalen: Eine Cloud für die Landesverwaltung

[04.04.2024] Das nordrhein-westfälische Ministerium für Heimat, Kommunales, Bau und Digitalisierung und der Landesbetrieb IT.NRW setzen künftig auf Cloud-basierte Lösungen. Die Unternehmen Ionos und Computacenter erhielten den Auftrag für Aufbau und Betrieb einer umfassenden Cloud-Lösung für die Landesverwaltung. mehr...

Zwei junge Menschen (männlich und weiblich) sitzen gemeinsam in einem Büro vor einem Computer-Bildschirm.

Schleswig-Holstein: Einstieg in den Umstieg

[03.04.2024] Schleswig-Holstein setzt künftig auf einen digital souveränen IT-Arbeitsplatz in der Landesverwaltung. Die Beschäftigten werden in einem ersten Schritt auf das lizenzfreie Programm LibreOffice umsteigen. Auch beim Betriebssystem, der Kollaborationsplattform, dem Verzeichnisdienst, Fachverfahren und Telefonie soll ein Wechsel zu freier Software erfolgen. mehr...

Das Bild zeigt eine stilisierte Platine mit einem Cloud-Symbol in der Mitte.

ITZBund: Private Cloud von Ionos

[02.04.2024] Das Informationstechnikzentrum Bund (ITZBund) setzt beim Aufbau einer Private Enterprise Cloud auf die Expertise von Ionos. Diese soll die digitale Transformation der Bundesverwaltung vorantreiben und höchsten Sicherheitsstandards genügen. mehr...

Das Bild zeigt die Verkabelung von Servern am Internet-Knoten DE-CIX in Frankfurt.

Hessen: Digitale Infrastruktur schneller ausbauen

[20.03.2024] Hessens Digitalministerin Kristina Sinemus fordert höhere Investitionen in die Infrastruktur. Mehr Tempo beim Ausbau von Internet-Knoten, Rechenzentren und Glasfaser sei entscheidend für Datenaustausch in Echtzeit, Sicherheit und Energieeffizienz. mehr...