Seit Jahren wird in Deutschland die Frage diskutiert, ob der öffentliche Dienst US-amerikanische Cloud-Anbieter wie AWS, GCP und Azure nutzen darf. Privatunternehmen nutzen zur Absicherung ihrer Zusammenarbeit mit den Hyperscalern seit Jahren sogenannte Datenschutzfolgeabschätzungen.
Kern dieses Vorgehens ist die Abwägung eines möglichen Schadens (Abfluss von Daten in die USA) mit der Eintrittswahrscheinlichkeit dieses Risikos (bei Umsetzung bestimmter technisch-organisatorischer Maßnahmen). Der mögliche Schaden eines Datenabflusses in die USA wiederum hängt stark von der Kritikalität der gespeicherten Daten ab. Handelt es sich beispielsweise um Daten zur Vorbereitung von Handelsabkommen mit den USA, fällt der Schaden ungleich höher aus, als wenn die Daten ohnehin zur Veröffentlichung bestimmt waren.
In diesem Interview geht es insbesondere um die Frage, wie kritisch die Daten des öffentlichen Dienstes sind und welchen Anteil diese insgesamt ausmachen.
Zur Person
Michael Ruttorf leitete jahrelang im Bundesinstitut für Berufsbildung (BIBB) das Koordinierungsbüro eGovernment und Digitalisierung. Er koordinierte dort im Rahmen der Digitalisierung der Verwaltungsarbeit insbesondere die Umsetzungsverpflichtungen aus dem eGovG und des OZG und leitete viele Digitalprojekte. Seit seinem Eintritt 1975 übernahm er diverse Aufgaben und Funktionen. Stationen waren dabei unter anderem das BMVg, das BPA, das BMU und das Bundesinstitut für Berufsbildung. Seit 2024 ist er im Ruhestand, kümmert sich aber weiterhin um die Organisation des Bonner Behördenforums.
Gregor: Wie groß vermutest du ist der Datenschatz des öffentlichen Dienstes, und wo liegt er?
Michael: Ich zitiere an dieser Stelle immer gerne einen ehemaligen Siemens-Vorstandsvorsitzenden, der sagte: „Wenn Siemens wüsste, was Siemens weiß, dann wäre Siemens führend.“ Ähnlich ist es mit dem Datenschatz des öffentlichen Dienstes. Er ist in seiner wahren Größe kaum abschätzbar.
Dafür ist die Vielfalt derjenigen, die Daten erheben, benutzen, umwälzen und wieder zurückgeben, über alle föderalen Ebenen hinweg einfach zu groß. Das fängt bei der Kommune an, die deine Adress- und Meldedaten verwaltet, und geht bis zum Waffenschein oder dem Zustand von Deichen auf Bundesebene.
Daher würde ich mich nie trauen, hier eine Zahl anzugeben, und wenn, dann würde ich sagen: unendlich.
"Der Datenschatz des öffentlichen Dienstes ist in seiner Größe kaum abschätzbar."
Gregor: Klingt also eher nach einem Datengrab …
Michael: Das könnte man so interpretieren.
Aber sowohl Bund als auch die Länder haben den Reichtum erkannt, auf dem sie sitzen. Es gibt nicht nur das Open-Data-Gesetz, sondern auch andere gesetzliche Vorgaben und Verordnungen, die darauf abzielen, dass die verschiedenen föderalen Ebenen und Behörden ihre Datenbestände offenlegen. Sie prüfen, welche Daten sie besitzen und welche davon potenziell für externe Interessenten von Nutzen sein könnten. Diese Daten könnten dann nicht nur für wirtschaftliche, sondern auch für Forschungszwecke oder andere Aufgaben von allgemeinem Interesse zugänglich gemacht werden.
Ein Beispiel sind Georegister, welche Ingenieurbüros für Kanalbau oder für Flächenberechnungen bei Erschließungsprojekten nutzen könnten. Es gibt also einen erkennbaren Wandel hin zu einer besseren Transparenz und Verfügbarkeit von Daten.
Die Frage lautet also: Welche nützlichen Daten besitzen wir, und wie können wir sie zugänglich machen?
Gregor: Wie viele Daten dieses Datenschatzes sind denn wirklich kritisch?
Michael: Ich kenne hierzu keine offiziellen Zahlen. Persönlich wage ich die Einschätzung, dass zwischen 65-75% aller verarbeiteten Daten auf den unteren Ebenen unkritisch sind. Diese unterliegen also lediglich den Standardanforderungen an Datenschutz und IT-Sicherheit. Nach meiner eigenen Arbeitserfahrung in verschiedensten Behörden werden nur etwa 20-25% der Daten als „Nur für den Dienstgebrauch“ (NfD) eingestuft. Weitere 10% sind sehr kritisch, also so etwas wie „Streng Geheim“ oder „Nato Top Secret“.
"Ich schätze, dass etwa 70% der Daten unkritisch sind."
Dies bezieht sich natürlich nicht auf Sicherheitsbehörden, sondern auf Kommunen, Schulen und Universitäten oder untere Landes- und Bundesbehörden wie etwa das Landesamt für Geographie oder das Bundesinstitut für Berufsbildung.
Gregor: Wie erfolgt denn die Einordnung in diese Kategorien? Ist die ähnlich unklar, wie die Größe des Datenschatzes?
Michael: Ich antworte mal mit Radio Eriwan: Im Prinzip funktioniert die Kategorisierung gut, aber im Detail ist es manchmal schwierig.
Als ich einmal KollegInnen darauf hinwies, dass bestimmte Dokumente, die sie in die elektronische Akte eingefügt hatten, als vertraulich einzustufen sind, waren sie völlig überrascht. Ihnen war nicht bewusst, dass diese Papiere eine so hohe Stufe der Vertraulichkeit hatten. Fairerweise muss man sagen, dass sie in diesem Bereich auch nicht geschult waren.
Auch scheint mir in einer von Frieden und Digitalisierung geprägten Zeit mitunter das Bewusstsein dafür verloren gegangen zu sein, was als kritisch einzustufen ist. Als ich mitten im Kalten Krieg als ehemaliger Soldat bei der Verwaltung anfing, gab es noch ein gutes, intuitives Verständnis für die Sensibilität bestimmter Informationen.
Gregor: Unser Verhältnis zu China entwickelt sich ja schon in die Richtung eines Kalten Krieges. Mit Russland sind wir in einem heißen Krieg. Wie wird denn in der Verwaltung unsere Beziehung zu unserem Bündnispartner USA bewertet, bezogen auf den Umgang mit Daten?
Michael: Ich glaube, wir sollten die Zusammenarbeit mit US-Firmen nicht grundsätzlich verteufeln. Ich beobachte auf Seiten der Verwaltung auch hauptsächlich die Sorge, dass Behördendaten von Unternehmen wie Google & Co kommerziell weiterverwendet werden. Die Frage bezüglich möglicher Datentransfers gemäß FISA spielt in der Praxis eher eine untergeordnete Rolle.
"Der Datenschutz ist kein Hindernis. Der Behördliche Umgang damit ist eines."
Gregor: Aus BürgerInnen erscheint der Umgang des Staates mit seinen Daten nicht sehr professionell. Ich bekomme zum Beispiel regelmäßig Knöllchen in einer Zone, in der ich als Anwohner eigentlich gar keines bekommen dürfte. Dass das Straßenpersonal meine Plakette für das Anwohnerparken übersieht, kann ja passieren. Aber spätestens beim Versand des Bescheids müsste es ja auffallen.
Michael: Du sprichst ein weiteres Problem in der Verwaltung an: Wir teilen zu wenige Daten zwischen den Behörden. Wir müssten unsere Prozesse mit den Bürgerinnen und Bürgern im Zentrum denken, uns überlegen: Welche weiteren Informationen liegen uns als Staat zu diesem Vorgang eigentlich schon vor, und wo liegen diese? Die zuständigen Bezirksämter könnten sich dann beim Antrag des Anwohnerparkausweises die Erlaubnis einholen, diese Daten zum Zweck der Vermeidung fehlerhafter Knöllchen mit den Ordnungsämtern zu teilen.
Dazu kommt noch: Zur Zeit sind viele der Prozesse in der Verwaltung noch viel zu manuell. Die meisten Kolleginnen und Kollegen haben den Schreibtisch voll mit Vorgängen, die sie einzeln bearbeiten müssen. Stattdessen müssten sie die Bearbeitung automatisieren und sich mit der Steuerung des Prozesses selbst beschäftigen. Damit wäre für sie gewährleistet, die passenden Datenverarbeitungs-Freigaben der BürgerInnen zu erhalten, die Schnittstellen mit anderen Behörden zu optimieren und die Sicherheit des Gesamtprozesses zu gewährleisten.
Der Datenschutz ist da übrigens kein Hindernis. Es ist der aktuelle behördliche Umgang mit dem Gesamtprozess, der einen Bürgerinnen- und Bürgerzentrierten Service der Verwaltung verhindert.
Gregor: Du hast das Thema Sicherheit angesprochen. Wie sicher liegt denn der deutsche Datenschatz in den aktuellen IT-Infrastrukturen der Verwaltung?
Michael: Radio Eriwan würde sagen: Im Prinzip gut, insbesondere für die Sicherheitsherausforderungen der Vergangenheit.
Ich glaube hierzu passt sehr gut die Analogie zur Maginot-Linie aus der Zeit nach dem Ersten Weltkrieg. Damals ließ der französische Kriegs-Minister André Maginot ein Verteidigungs-System aus Bunkern an der Grenze nach Osten bauen. Als diese dann benötigt wurde, hatten die Deutschen ihre Angriffswaffen und -Techniken schon derart weiterentwickelt, dass die Linie schon binnen weniger Tage durchbrochen werden konnte.
Wir müssen also im öffentlichen Dienst lernen, unsere IT-Sicherheit schneller an den aktuellen Stand der Technik anzupassen. Die Verharrungskräfte in der Verwaltung darf man nicht unterschätzen. Aber das Gute ist: Wir müssen im Bereich der Cybersicherheit wirklich nichts neu erfinden. Alles, was wir an Technologie und Wissen benötigen, um unsere Daten zu sichern, ist da und muss von uns nur erlernt und genutzt werden.
"Datenschutz bedeutet nicht, Daten zwanghaft auf alle Ewigkeit zu vergraben."
Gregor: Eine abschließende Frage noch. Was würdest du dir wünschen bezogen auf den Umgang der deutschen Verwaltung mit ihren Daten?
Michael: Ich glaube, als Erstes sollte jede Behörde, vielleicht sogar jedes Referat, ein aktives Bewusstsein für die Daten in ihrem Verantwortungsbereich entwickeln. Dies ist die Grundlage für einen guten Umgang mit diesen Informationen im Sinne des Datenschutzes und der IT-Sicherheit.
Darüber hinaus aber sollte allen klar sein: Datenschutz bedeutet nicht, die Daten zwanghaft auf alle Ewigkeit zu vergraben. Denn unsere Aufgabe als Verwaltung ist es ja insbesondere, das Funktionieren des Staates zu gewährleisten und das Gemeinwohl zu fördern. Wir müssen also lernen, Datenschutz, Datensicherheit und Datennutzung besser miteinander zu vereinbaren.
Gregor: Vielen Dank für das Gespräch.