Der Grundsatz digitaler Souveränität

Chris­t­ian Ernst, Der Grund­satz dig­i­taler Sou­veränität – Eine Unter­suchung zur Zuläs­sigkeit des Ein­bindens pri­vater IT-Dien­stleis­ter in die Auf­gaben­wahrnehmung der öffentlichen Ver­wal­tung, Schriften zum öffentlichen Recht, Band 1426, Ver­lag Dunck­er & Hum­blot, Berlin 2020, 39,90 €.

Im Geleit­wort des Auf­tragge­bers wird das Prob­lem anschaulich ange­sprochen: Man stelle sich vor, Melde­dat­en oder Dat­en der Finanzver­wal­tung wür­den über US-amerikanis­che Serv­er von Unternehmen laufen, die daraus Erken­nt­nisse zur Max­imierung ihres Geschäft­ser­folges gewin­nen wür­den… Abwegig?  Möglich! So jeden­falls sieht es Johannes Biz­er, Vor­standsvor­sitzen­der der Dat­a­port, ein­er Anstalt des öffentlichen Rechts, die sich um die Dig­i­tal­isierung der Ver­wal­tung in nord­deutschen Bun­deslän­dern küm­mert. Sie hat den Ham­burg­er Wis­senschaftler Chris­t­ian Ernst mit ein­er Unter­suchung beauf­tragt, die Zuläs­sigkeit der Beauf­tra­gung pri­vater IT-Dien­stleis­ter, um die Wahrnehmung der öffentlichen Ver­wal­tung zu unter­suchen. Im Kern wird der Grund­satz der dig­i­tal­en Sou­veränität unter­sucht.

Der Gutacht­en sieht wed­er einen „aus­drück­lichen Kanon“ an oblig­a­torischen Staat­sauf­gaben, noch eine Pflicht zur Pri­vatisierung. Zu unter­schei­den sei zwis­chen Auf­gabe (etwa der Bear­beitung staatlich erhoben­er Dat­en) und Auf­gaben­feld (Staat­sauf­gabe, für deren Zweck unter anderem Dat­en erhoben wer­den). Der Gutachter stellt also die Frage nach oblig­a­torischen Staat­sauf­gaben und danach, ob die Daten­ver­ar­beitung dazu gehört. Eine all­ge­meine Regel zur Beant­wor­tung der Frage gibt es nicht. Am Beispiel des Meldewe­sens argu­men­tiert der Autor, dass ein Ver­ständ­nis als pri­vatisierungs­feste oblig­a­torische Staat­sauf­gabe dazu führt, dass die Aus­lagerung der Melde­dat­en an Pri­vate grund­sät­zlich unzuläs­sig sei – dahin­ter sieht er den Grund­satz der dig­i­tal­en Sou­veränität. Anders sei es zum Beispiel beim Bun­de­sarchiv, das von vorn­here­in auf die Nutzung durch (auch pri­vate) Dritte angelegt sei. Hier spreche – vor­be­haltlich ander­er Facetten des Grund­satzes dig­i­taler Sou­veränität – nichts gegen pri­vate Dien­stleis­ter.

Der Autor wen­det sich dem Bere­ich zu, bei dem die Daten­ver­ar­beitung inte­graler Bestandteil oblig­a­torisch­er Staat­sauf­gaben ist. Die elek­tro­n­is­che Prozes­sak­te oder der Ein­satz elek­tro­n­is­ch­er Wahlgeräte nen­nt er beispiel­haft. Wo das nicht der Fall sei, schreibe die Ver­fas­sung grund­sät­zlich keine bes­timmte Auf­gaben­verteilung zwis­chen Staat und Pri­vatwirtschaft vor, sie ste­he ein­er Beteili­gung Pri­vater an der Erfül­lung öffentlich­er Auf­gaben offen gegenüber. Der Unter­schied hänge davon ab, ob dem Auf­tragge­ber ein eigen­ver­ant­wortlich­er Umgang mit den Dat­en ges­tat­tet werde.

Nach diesen Vorüber­legun­gen wen­det sich der Autor die Her­leitung des Grund­satzes der dig­i­tal­en Sou­veränität zu, die er auf das Mod­ell der Gewährleis­tungsver­ant­wor­tung zurück­führt. Es geht um die Abgren­zung zwis­chen pri­vat­en und staatlichen Auf­gaben. Dabei sei auch dem „Gewährleis­tungsstaat“ die Ein­beziehung Pri­vater bei der Auf­gaben­er­fül­lung nicht ver­wehrt. Es stelle sich dann aber die Frage, inwieweit der Staat prak­tisch in der Lage ist, sein­er Ver­ant­wor­tung am Ende nachzukom­men. Dieser grundle­gen­den Frage geht der Autor angesichts der beson­deren Her­aus­forderung bei IT-Out­sourc­ing und Datenüber­mit­tlung in einen pri­vat­en Hoheits­bere­ich nach. Er lis­tet die spez­i­fis­chen Gefahren beim Ver­ar­beit­en von Dat­en auf und unter­sucht all­ge­meine Geschäft­srisiken wie etwa für den Fall der Insol­venz. Auch wenn die für die öffentliche Hand gel­tenden Sicher­heit­san­forderun­gen über die Regeln zur Auf­tragsver­ar­beitung den pri­vat­en IT-Dien­stleis­tern aufge­bürdet wer­den kön­nten, so sieht der Autor als Folge der unmit­tel­baren Grun­drechts- und Geset­zes­bindung der Ver­wal­tung, dass höchst per­sön­liche Dat­en im alleini­gen Hoheits­bere­ich des Staates verbleiben müssen, weil andern­falls kein angemessen­er und wirk­samer Grun­drechtss­chutz möglich wäre. Es gebe eben Dat­en, die nicht in angemessen­er Art und Weise Pri­vat­en irgend­wie geart­et zugänglich gemacht wer­den dürften. Hier nen­nt er Dat­en aus dem Bere­ich des Steuerge­heimniss­es, Strafver­fol­gungsak­ten, Sozial­dat­en und Akten der Bei­hil­fe.

Als zweite Säule der Argu­men­ta­tion wen­det sich der Autor dann dem Begriff des Ver­trauens zu. Es geht um das Ver­trauen des Bürg­ers in den Staat und sein Han­deln. Es geht um das Ver­trauen in die Integrität und die Funk­tions­fähigkeit staatlich­er Struk­turen und Insti­tu­tio­nen, konkret beim Ein­satz dig­i­taler Infor­ma­tion­stech­nolo­gien. Das Ver­trauen in dig­i­tale Infor­ma­tion­stech­nolo­gie sei erhe­blich bedeu­ten­der als das Ver­trauen in den kor­rek­ten Umgang mit Papier­ak­ten, ist ein Aus­gangspunkt der weit­eren Gedanken. Es gehe um die drei Ele­mente Ver­nun­ft, Rou­tine und Erfahrun­gen, wobei bei den let­zten Punk­ten der Umgang mit Dat­en im Ver­gle­ich zur tra­di­tionellen Schrift­form und dem Führen kör­per­lich­er Akten noch nicht weit aus­ge­bildet sei. Das sei aber Voraus­set­zung, Akzep­tanz für den Umbruch von ana­log zu dig­i­tal zu erzeu­gen. Da Fehlver­hal­ten, soweit es Dat­en bet­rifft, nur schw­er zu iden­ti­fizieren und rück­gängig zu machen sei, müsse der Mech­a­nis­mus zur Miss­brauch­skon­trolle durch Hand­lungs­gren­zen – in der Gren­ze des Out­sourcings – erset­zt wer­den.

Am Ende stellt der Autor fest, der Grund­satz dig­i­taler Sou­veränität habe Ver­fas­sungsrang und beruhe auf dem Insti­tut oblig­a­torisch­er Staat­sauf­gaben, ein­er staatlichen Gewährleis­tungsver­ant­wor­tung und dem Ver­trauen in die Integrität und Funk­tions­fähigkeit des Staates. Der Grund­satz unter­stütze auch die Her­aus­bil­dung der notwendi­gen Fähigkeit­en in der Ver­wal­tung, die für einen Ein­satz dig­i­taler Infor­ma­tion­stech­nolo­gien notwendig sind. Die gefun­de­nen Ergeb­nisse wer­den zum Schluss auf die Vere­in­barkeit mit europäis­chen Grund­frei­heit­en und dem Ver­gaberecht, mit der DS-GVO und der Berufs­frei­heit des Art. 12 Abs. 1 GG (der aus­geschlosse­nen Pri­vat­en) abgeglichen.

Der Grundgedanke der Argu­men­ta­tion ist überzeu­gend. Ob allerd­ings die Pro­fes­sion­al­ität Pri­vater tat­säch­lich so ungenü­gend ist, ob tat­säch­lich in der öffentlichen Ver­wal­tung die Fachken­nt­nis viel bess­er vorhan­den ist, ist sicher­lich eine Frage der Per­spek­tive und so all­ge­mein, wie im Gutacht­en ange­sprochen, eher fraglich. Man sollte sich davor hüten, untere Ver­wal­tung­sein­heit­en als inkom­pe­tent und ana­log-rück­ständig zu beze­ich­nen, eben­so aber auch pri­va­trechtlich organ­isierte Unternehmen als vom Grund auf unzu­ver­läs­sig darzustellen. Es ist in der Prax­is wohl doch erhe­blich vielschichtiger, was auch zuläs­siger­weise kom­plexe Aus­gestal­tun­gen der Zusam­me­nar­beit der öffentlichen Ver­wal­tung (bei unter­schiedlichen Auf­gaben) mit Pri­vat­en nicht auss­chließt. Die Ver­wal­tung als großer Nach­frager an IT-Dien­stleis­tun­gen – auch der Staat kann nicht vom Grund auf alles selb­st erledi­gen, wie etwa die Diskus­sion um 5G und Huawei zeigt – müsste dafür sor­gen, dass hierzu­lande (gemeint: in Europa) sich Anbi­eter von Soft­ware und Dien­stleis­tun­gen in ein­er leis­tungs­fähi­gen Größe etablieren, die sich dem kon­ti­nen­taleu­ropäis­chen Recht­srah­men verpflichtet fühlen und entsprechend kon­trol­liert wer­den. Das würde Dat­en-Sou­veränität im Sinn zurücker­obern.