Der Grundsatz digitaler Souveränität
Christian Ernst, Der Grundsatz digitaler Souveränität – Eine Untersuchung zur Zulässigkeit des Einbindens privater IT-Dienstleister in die Aufgabenwahrnehmung der öffentlichen Verwaltung, Schriften zum öffentlichen Recht, Band 1426, Verlag Duncker & Humblot, Berlin 2020, 39,90 €.
Im Geleitwort des Auftraggebers wird das Problem anschaulich angesprochen: Man stelle sich vor, Meldedaten oder Daten der Finanzverwaltung würden über US-amerikanische Server von Unternehmen laufen, die daraus Erkenntnisse zur Maximierung ihres Geschäftserfolges gewinnen würden… Abwegig? Möglich! So jedenfalls sieht es Johannes Bizer, Vorstandsvorsitzender der Dataport, einer Anstalt des öffentlichen Rechts, die sich um die Digitalisierung der Verwaltung in norddeutschen Bundesländern kümmert. Sie hat den Hamburger Wissenschaftler Christian Ernst mit einer Untersuchung beauftragt, die Zulässigkeit der Beauftragung privater IT-Dienstleister, um die Wahrnehmung der öffentlichen Verwaltung zu untersuchen. Im Kern wird der Grundsatz der digitalen Souveränität untersucht.
Der Gutachten sieht weder einen „ausdrücklichen Kanon“ an obligatorischen Staatsaufgaben, noch eine Pflicht zur Privatisierung. Zu unterscheiden sei zwischen Aufgabe (etwa der Bearbeitung staatlich erhobener Daten) und Aufgabenfeld (Staatsaufgabe, für deren Zweck unter anderem Daten erhoben werden). Der Gutachter stellt also die Frage nach obligatorischen Staatsaufgaben und danach, ob die Datenverarbeitung dazu gehört. Eine allgemeine Regel zur Beantwortung der Frage gibt es nicht. Am Beispiel des Meldewesens argumentiert der Autor, dass ein Verständnis als privatisierungsfeste obligatorische Staatsaufgabe dazu führt, dass die Auslagerung der Meldedaten an Private grundsätzlich unzulässig sei – dahinter sieht er den Grundsatz der digitalen Souveränität. Anders sei es zum Beispiel beim Bundesarchiv, das von vornherein auf die Nutzung durch (auch private) Dritte angelegt sei. Hier spreche – vorbehaltlich anderer Facetten des Grundsatzes digitaler Souveränität – nichts gegen private Dienstleister.
Der Autor wendet sich dem Bereich zu, bei dem die Datenverarbeitung integraler Bestandteil obligatorischer Staatsaufgaben ist. Die elektronische Prozessakte oder der Einsatz elektronischer Wahlgeräte nennt er beispielhaft. Wo das nicht der Fall sei, schreibe die Verfassung grundsätzlich keine bestimmte Aufgabenverteilung zwischen Staat und Privatwirtschaft vor, sie stehe einer Beteiligung Privater an der Erfüllung öffentlicher Aufgaben offen gegenüber. Der Unterschied hänge davon ab, ob dem Auftraggeber ein eigenverantwortlicher Umgang mit den Daten gestattet werde.
Nach diesen Vorüberlegungen wendet sich der Autor die Herleitung des Grundsatzes der digitalen Souveränität zu, die er auf das Modell der Gewährleistungsverantwortung zurückführt. Es geht um die Abgrenzung zwischen privaten und staatlichen Aufgaben. Dabei sei auch dem „Gewährleistungsstaat“ die Einbeziehung Privater bei der Aufgabenerfüllung nicht verwehrt. Es stelle sich dann aber die Frage, inwieweit der Staat praktisch in der Lage ist, seiner Verantwortung am Ende nachzukommen. Dieser grundlegenden Frage geht der Autor angesichts der besonderen Herausforderung bei IT-Outsourcing und Datenübermittlung in einen privaten Hoheitsbereich nach. Er listet die spezifischen Gefahren beim Verarbeiten von Daten auf und untersucht allgemeine Geschäftsrisiken wie etwa für den Fall der Insolvenz. Auch wenn die für die öffentliche Hand geltenden Sicherheitsanforderungen über die Regeln zur Auftragsverarbeitung den privaten IT-Dienstleistern aufgebürdet werden könnten, so sieht der Autor als Folge der unmittelbaren Grundrechts- und Gesetzesbindung der Verwaltung, dass höchst persönliche Daten im alleinigen Hoheitsbereich des Staates verbleiben müssen, weil andernfalls kein angemessener und wirksamer Grundrechtsschutz möglich wäre. Es gebe eben Daten, die nicht in angemessener Art und Weise Privaten irgendwie geartet zugänglich gemacht werden dürften. Hier nennt er Daten aus dem Bereich des Steuergeheimnisses, Strafverfolgungsakten, Sozialdaten und Akten der Beihilfe.
Als zweite Säule der Argumentation wendet sich der Autor dann dem Begriff des Vertrauens zu. Es geht um das Vertrauen des Bürgers in den Staat und sein Handeln. Es geht um das Vertrauen in die Integrität und die Funktionsfähigkeit staatlicher Strukturen und Institutionen, konkret beim Einsatz digitaler Informationstechnologien. Das Vertrauen in digitale Informationstechnologie sei erheblich bedeutender als das Vertrauen in den korrekten Umgang mit Papierakten, ist ein Ausgangspunkt der weiteren Gedanken. Es gehe um die drei Elemente Vernunft, Routine und Erfahrungen, wobei bei den letzten Punkten der Umgang mit Daten im Vergleich zur traditionellen Schriftform und dem Führen körperlicher Akten noch nicht weit ausgebildet sei. Das sei aber Voraussetzung, Akzeptanz für den Umbruch von analog zu digital zu erzeugen. Da Fehlverhalten, soweit es Daten betrifft, nur schwer zu identifizieren und rückgängig zu machen sei, müsse der Mechanismus zur Missbrauchskontrolle durch Handlungsgrenzen – in der Grenze des Outsourcings – ersetzt werden.
Am Ende stellt der Autor fest, der Grundsatz digitaler Souveränität habe Verfassungsrang und beruhe auf dem Institut obligatorischer Staatsaufgaben, einer staatlichen Gewährleistungsverantwortung und dem Vertrauen in die Integrität und Funktionsfähigkeit des Staates. Der Grundsatz unterstütze auch die Herausbildung der notwendigen Fähigkeiten in der Verwaltung, die für einen Einsatz digitaler Informationstechnologien notwendig sind. Die gefundenen Ergebnisse werden zum Schluss auf die Vereinbarkeit mit europäischen Grundfreiheiten und dem Vergaberecht, mit der DS-GVO und der Berufsfreiheit des Art. 12 Abs. 1 GG (der ausgeschlossenen Privaten) abgeglichen.
Der Grundgedanke der Argumentation ist überzeugend. Ob allerdings die Professionalität Privater tatsächlich so ungenügend ist, ob tatsächlich in der öffentlichen Verwaltung die Fachkenntnis viel besser vorhanden ist, ist sicherlich eine Frage der Perspektive und so allgemein, wie im Gutachten angesprochen, eher fraglich. Man sollte sich davor hüten, untere Verwaltungseinheiten als inkompetent und analog-rückständig zu bezeichnen, ebenso aber auch privatrechtlich organisierte Unternehmen als vom Grund auf unzuverlässig darzustellen. Es ist in der Praxis wohl doch erheblich vielschichtiger, was auch zulässigerweise komplexe Ausgestaltungen der Zusammenarbeit der öffentlichen Verwaltung (bei unterschiedlichen Aufgaben) mit Privaten nicht ausschließt. Die Verwaltung als großer Nachfrager an IT-Dienstleistungen – auch der Staat kann nicht vom Grund auf alles selbst erledigen, wie etwa die Diskussion um 5G und Huawei zeigt – müsste dafür sorgen, dass hierzulande (gemeint: in Europa) sich Anbieter von Software und Dienstleistungen in einer leistungsfähigen Größe etablieren, die sich dem kontinentaleuropäischen Rechtsrahmen verpflichtet fühlen und entsprechend kontrolliert werden. Das würde Daten-Souveränität im Sinn zurückerobern.