Da läuft doch was falsch 🤦‍♀️

https://www.tagesschau.de/inland/innenpolitik/wildberger-digitalminister-digitale-unabhaengigkeit-100.html

"Zu erkennen daran, dass die Ausgaben der Bundesverwaltung für Microsoft-Lizenzen 2025 deutlich gestiegen sind: auf 481,4 Millionen Euro. 2024 lagen sie noch bei 347,7 Millionen Euro. Das ergab eine schriftliche Anfrage der grünen Bundestagsabgeordneten Rebecca Lenhard. Sie erfuhr auch, dass der Microsoft Rahmenvertrag bis 30. Juni 2026 läuft - und dass dann eine Verlängerung im Raum steht."

#Microsoft #Digitalminister #DigitaleSouveränität #KarstenWildberger #ccc #bigtech #USA #Idiocracy

Digitale Brieftasche

„Auf einem ähnlich unguten Weg wie die elektronische Patientenakte“

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrererSicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“. Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

Daniel Leisegang ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den »Blättern für deutsche und internationale Politik«. 2014 erschien von ihm das Buch »Amazon – Das Buch als Beute«; 2016 erhielt er den Alternativen Medienpreis in der Rubrik »Medienkritik«. Er gehört dem Board of Trustees von Eurozine an. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-‭30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Undurchsichtig

Transparenzregister mit Lücken: KI-Nutzung der öffentlichen Verwaltung bleibt undurchsichtig

Seit gut einem Jahr gibt es das nationale KI-Transparenzregister. Der IT-Planungsrat will es nun auf alle Verwaltungsebenen ausweiten. Dennoch bleibt weiterhin unklar, in welchem Umfang die öffentliche Verwaltung sogenannte Künstliche Intelligenz einsetzt – und mit welchem Risiko.

Ob zur Grundwasseranalyse oder um den Zustand von Straßen zu erfassen – in der öffentlichen Verwaltung kommen immer mehr Werkzeuge zum Einsatz, die auf sogenannter Künstlicher Intelligenz basieren. Kaum eine Verwaltungswebsite verzichtet noch auf einen Chatbot. Seit einer Woche steht für die Mitarbeiter:innen der Berliner Verwaltung der KI-Assistent BärGPT bereit. Und das Verbraucherportal der Bundesnetzagentur setzt KAI ein.

Geht es nach Digitalminister Karsten Wildberger (CDU), wird der Erfolg der Digitalisierung in der öffentlichen Verwaltung maßgeblich von KI-Systemen abhängen. Daher dürfte es auch immer wichtiger werden, KI-Anwendungen zu erfassen. Seit gut einem Jahr gibt es dafür unter anderem das nationale KI-Transparenzregister. Es ist Teil des Marktplatzes der KI-Möglichkeiten, kurz MaKI. Daneben gibt es ein Dashboard mit Daten über KI-Nutzung in der Verwaltung und Steckbriefen über einzelne KI-Tools.

Für das Transparenzregister ist das Bundesministerium für Digitales und Staatsmodernisierung zuständig. Den Grundstein für MaKI legte eine Pilotinitiative des Beratungszentrums für Künstliche Intelligenz (BeKI) des Bundesinnenministeriums. Das Zentrum ist im Aufbau und soll „eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung“ sein.

Das KI-Transparenzregister soll die Vorgaben der KI-Verordnung umsetzen. Derzeit umfasst die Datenbank gut 240 Einträge zu KI-Anwendungen auf Bundesebene. Die Datensätze dazu liefern die nutzenden Bundesbehörden selbst. Zum 1. Dezember hat das Bund-Länder-Gremium IT-Planungsrat den Roll-out auf alle Verwaltungsebenen begonnen. Anfang 2027 will der IT-Planungsrat den MaKI samt Transparenzregister als eigenständiges Produkt unter seine Fittiche nehmen.

Register setzt auf Freiwilligkeit

Dass der Rat die anderen Verwaltungsebenen einbeziehen will, sei zu begrüßen, sagt der Jurist Jonas Botta gegenüber netzpolitik.org. Das sei eine wichtige Voraussetzung dafür, um ein umfassendes Bild über den behördlichen KI-Einsatz zu erhalten. Botta leitete ein Drittmittelprojekt zum KI-Transparenzregister, an dem auch die Nichtregierungsorganisation AlgorithmWatch, die gemeinnützige Verwaltungsplattform NExT e. V. und das Deutsche Forschungsinstitut für öffentliche Verwaltung (FÖV) beteiligt waren.

Im KI-Transparenzregister geben Behörden verschiedene Informationen zu ihren KI-Anwendungen an. Etwa dazu, ob diese gerade entwickelt werden oder schon im Einsatz sind. Das Register umfasst außerdem Daten zu nicht länger genutzten KI-Tools und Projektstarts. Daneben können Behörden eine Kontakt-E-Mail-Adresse und das nutzende Ressort angeben oder auch, ob der Auftrag extern oder inhouse vergeben wurde.

Ausschlaggebend ist hier jedoch das Wort „können“. Denn bislang geben Behörden die Angaben zu ihren KI-Tools freiwillig weiter. Damit sei das Register nach wie vor kein „umfassender, grundrechtssichernder Transparenz-Mechanismus“, sagt Jonas Botta.

Das KI-Transparenzregister müsste aber für die öffentliche Verwaltung verpflichtend sein, um den staatlichen KI-Einsatz grundrechtlich abzusichern. Als Vorbild könne ein entsprechendes Register namens Algoritmeregister aus den Niederlanden dienen.

Intransparentes Verwaltungshandeln

Wäre es verpflichtend, würde das Register Verwaltungshandeln verlässlich transparent machen. Das sei „im demokratischen Rechtsstaat nicht nur allgemein von hoher Bedeutung“, sagt Jonas Botta, sondern werde „angesichts des ‚Blackbox‘-Phänomens von KI-Systemen“ immer wichtiger.

Eine große Schwäche des Registers in seiner jetzigen Form sind die Hürden für Bürger:innen. Die zur Verfügung gestellten Daten sind unübersichtlich aufbereitet und in einer schier endlos langen Tabelle aufgeführt. Sie können zwar etwa nach Entwicklungsstatus oder Verwaltungsebene gefiltert werden. Exportieren lassen sie sich dann aber nur in Form einer Excel-Tabelle. Darüber hinaus sind die angegebenen Daten lückenhaft. So gibt es etwa nicht immer eine Angabe zum Lizenztyp oder zum Kooperationspartner.

Auch sind Angaben zu rechtlichen Grundlagen für den Einsatz von KI-Systemen unvollständig oder es fehlen Angaben dazu, welche Daten die Behörden während des Einsatzes erheben und nutzen, kritisiert Pia Sombetzki von AlgorithmWatch. „Wenn hinter der Angabe zur ‚Beschreibung der Verfahren des Betriebs‘ beispielsweise steht ‚vorhanden’“, sei das keine hilfreiche Auskunft, weil diese zu unspezifisch sei.

Risikostatus: unklar

Bürger:innen können kaum nachvollziehen, „wann sie mit welchem KI-System konfrontiert sind, warum die Behörde dieses System verwendet und welche potenzielle Risiken“ sie bergen, sagt Botta. Auch Abwägungsprozesse der jeweiligen Behörde blieben undurchsichtig: Welche KI setzt die Behörde aus welchen Gründen und für welchen Anwendungsfall ein? Welche Risiken spielen dabei eine Rolle? Und wie kann sie Risiken minimieren oder umgehen?

„Von echter Nachvollziehbarkeit über die KI-Einsätze beim Staat sind wir noch meilenweit entfernt“, sagt Sombetzki. Das Register versäume es, eine lückenlose Nachvollziehbarkeit beim Thema Risikobewertung zu schaffen. Hier fehlten klare Vorgaben. Das verdeutliche auch die Antwort der Bundesregierung auf eine Kleine Anfrage der Partei Die Linke. Die dort gemachten Angaben seien nicht mit denen im Transparenzregister deckungsgleich. Gleichzeitig verweise die Bundesregierung auf die Angaben im Register.

Zudem hätten Behörden bei mehr als einem Drittel der KI-Anwendungen keinerlei Risikobewertungen vorgenommen. Obwohl die KI-Verordnung voraussetze, dass die Bundesverwaltung das Risiko ihrer KI-Einsätze abschätzt, wie Pia Sombetzki anmerkt.

An der Verwaltung ausgerichtet

Botta kritisiert zudem die Anbindung des Transparenzregisters an den MaKI. Damit stünden bislang die Behördeninteressen im Fokus, wie die Qualitätssicherung und Nachnutzung von KI-Tools durch die Behörden selbst. Diese Interessen betonte auch Heiko Geue beim Pressegespräch anlässlich der 48. Sitzung des IT-Planungsrats Ende November. Geue ist Finanz- und Digitalisierungsminister Mecklenburg-Vorpommerns sowie Vorsitzender des Rats.

Doch Behördeninteressen bildeten nur eine der Anforderungen an das Transparenzregister ab. Dieses solle, so Botta, aber auch für Bürger:innen, die organisierte Zivilgesellschaft und die Wissenschaft KI-Tools und deren Einsatz in der Verwaltung transparent machen. Für sie halte sich der Nutzen aber bislang stark in Grenzen, so der Jurist. Pia Sombetzki sieht derweil die Gefahr, dass das MaKI „zu einem unwirksamen Marktplatz unter vielen“ verkommt und mit ihm das Register.

Esther Menhard ist freie Autorin bei netzpolitik.org. Sie recherchiert zur Digitalisierung der öffentlichen Verwaltung und nimmt dazu gerne Hinweise entgegen. Von Haus aus Philosophin, interessiert sie sich für Datenethik, die Schnittstelle zwischen Wissenschaft und Digitalität, AdTech, Open Access und Open Source. Kontakt: E-Mail (OpenPGP), Mastodon Bluesky. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Ausgeblendet von der EU

Digitale Souveränität: Wie die EU Freie Software ausblendet

Wenn es nach den EU-Staatschef:innen geht, heißt „digitale Souveränität“, auf Technologie aus Europa zu setzen, so der Tenor auf dem Digitalgipfel Mitte November. Um sich von Big Tech unabhängig zu machen, ist aber weniger relevant, wo Lösungen herkommen, sondern vielmehr dass sie Open Source sind, entgegnen zivilgesellschaftliche Akteure.

Der dänischen Regierung reicht es. Sie will sich von Microsoft unabhängig machen. So titelte die dänische Zeitung Politiken. Hinter dem Entschluss steht die Politik des US-Präsidenten Donald Trump zu Grönland. Die Insel nördlich von Amerika, ist ein selbstverwalteter Teil des Königreichs Dänemark mit einem eigenen Regierungschef, Jens-Frederik Nielsen. Trump hat seit Anfang des Jahres immer wieder Besitzansprüche an Grönland angemeldet.

Dass Trump seine Macht über technologische Hebel ausspielen kann, zeigt sein Einfluss auf das Leben von Richtern am Internationalen Strafgerichtshof. Dazu gehört etwa der französische Richter Nicolas Guillou. Seit August sind die Dienste von US-amerikanischen Tech-Unternehmen wie Microsoft und Google für ihn gesperrt – als Folge der Sanktionierung durch Trump.

Gillou habe keinen Zugriff mehr auf seine Konten bei Amazon und Paypal, schreibt LeMonde; allen Dienstleistern sei untersagt, ihm Zugang zu Big-Tech-Diensten zu gewähren. Zusammen mit seinem Kollegen Karim Khan und anderen hatte er als Richter in Den Haag einen Haftbefehl gegen den israelischen Premierminister Benjamin Netanjahu und den ehemaligen israelischen Verteidigungsminister Joaw Galant ausgesprochen.

Gipfel zur europäischen digitalen Souveränität

Die autoritäre Politik Trumps hat das Thema digitale Souveränität aus seinem Nischendasein gehoben. Das zeigte der Gipfel zur europäischen digitalen Souveränität Mitte November in Berlin. Neben Unternehmen und Wirtschaftsverbänden fanden sich hier Politiker:innen aus mehreren europäischen Ländern zusammen. Eingeladen hatten Bundeskanzler Friedrich Merz und Frankreichs Präsident Emmanuel Macron.

Große Einigkeit bestand unter den Beteiligten vor allem darin: Man muss sich von US-amerikanischer wie auch chinesischer Technologie unabhängiger machen. Wie das geschehen soll? Darauf gab es zwei große Antworten. Einmal: „buy european“, also die Aufforderung, möglichst europäische Technologie einzukaufen.

Die zweite Antwort auf das Souveränitätsproblem lautete: Wettbewerbsfähigkeit fördern, um „Innovationsführerschaft“ zu erlangen. In den Worten Macrons: „Europa hat das Zeug dazu, im digitalen Zeitalter eine Führungsrolle zu übernehmen.“ Das soll durch eine umfassende Deregulierung erreicht werden. So wollen EU-Staaten und die Europäische Kommission EU-Digitalgesetze massiv schleifen, etwa beim Thema Datenschutz.

„Open Source ausgeblendet“

Eine naheliegende Antwort war auf dem Gipfel kein Thema: bei der Entwicklung, beim Einkauf und beim Betrieb öffentlicher IT auf Open-Source-Lösungen, also Freie Software setzen. Zwar sprach Merz in seiner Gipfel-Rede von der wichtigen Rolle des Zentrum für digitale Souveränität (ZenDiS) in Deutschland. Und er erwähnte openDesk, eine Open-Source-Lösung des ZenDiS für die öffentliche Verwaltung, mit der diese sich von Microsofts Bürosoftware unabhängig machen soll. Doch nach Vertreter:innen aus der Open-Source-Branche, geschweige denn nach Open-Source-Expert:innen aus der Zivilgesellschaft musste man beim Gipfel mit der Lupe suchen.

Dass der Gipfel Open Source weitgehend ausgeblendet habe, kritisierte etwa die Gesellschaft für Informatik e. V. (GI) als „das gravierendste Versäumnis“.

Dabei gäbe es inzwischen viele Positivbeispiele für einen erfolgreichen Wechsel zu Open-Source-Lösungen: Schleswig-Holstein stellt 30.000 Arbeitsplätze auf LibreOffice um und beendet Microsoft-Verträge. Die Thüringer Landesverwaltung pilotiert openDesk. Immer mehr Hochschulen nutzen für ihre Wissenschaftskommunikation Mastodon als soziales Medium. Und das österreichische Bundesheer stellt auf LibreOffice um.

„Buy european“

Auf den Gipfel-Panels stellten sich stattdessen mehrere europäische Technologiefirmen vor, so beispielsweise die Cloud-Hersteller OHVcloud oder Schwarz Digits. Auch der wirtschaftliche Zusammenschluss europäischer Unternehmen unter der Initiative EuroStack war vertreten.

Für viel Furore sorgte bereits im Vorfeld des Gipfels die geplante Kooperation des deutschen Unternehmens SAP und des französischen KI-Herstellers Mistral AI. Sie wollen eine souveräne KI-Lösung für die öffentliche Verwaltung entwickeln. Beide Unternehmen stellen proprietäre Software-Lösungen her. Für beide Unternehmen spielt zudem der Tech-Riese Microsoft eine wesentliche Rolle. Erst letztes Jahr investierte Microsoft in Mistral; der Tech-Gigant ist langjähriges Partnerunternehmen von SAP.

„Es ist gut, dass die Bundesregierung und andere europäische Länder endlich darüber nachdenken, wie sie die Abhängigkeit ihrer Verwaltung und ihrer digitalen Infrastrukturen lösen können“, so Johannes Näder von der Free Software Foundation Europe (FSFE). „Doch der Appell ‚buy european‘ allein reicht nicht aus.“ Wenn die öffentliche Hand wirklich digital souverän werden wolle, brauche es ein klares Bekenntnis zu Freier Software, die vier grundlegenden Prinzipien entspricht: Die Software muss für alle nutzbar sein, alle müssen den Code einsehen und weitergeben dürfen. Und alle müssen die Freiheit haben, den Code weiterzuentwickeln.

Für Freie Software

Dafür brauche es vor allem eine klare Entscheidung für Freie Software und eine nachhaltige Finanzierung, nicht nur für die Entwicklung, sondern auch für Wartung und Betrieb. „Wenn ab sofort ein steigender Anteil der öffentlichen Gelder, die jetzt noch für Softwarelizenzen ausgegeben werden, in Freie Software fließt, stärkt das nicht nur Europas Souveränität, sondern auch den europäischen Standort.“

In Europa gebe es viele kleine und mittlere Unternehmen, die hervorragende Freie Software anbieten. „Diese Lösungen sind auf dem Markt. Der Staat sollte seine Souveränität steigern, indem er sie beschafft, finanziert und nutzt. Das ist einfacher und aussichtsreicher, als europäische Einhörner aufzubauen.“

Umso erfreulicher ist eine Nachricht von der vierten Digitalministerkonferenz (DMK). Sie stimmte einem Antrag Schleswig-Holsteins zu, wonach beim Deutschland-Stack Open Source bevorzugt eingesetzt werden soll. Am Montag trafen sich die Digitalminister:innen der Länder mit Bundesdigitalminister Karsten Wildberger (CDU), Klaus Müller von der Bundesnetzagentur und Claudia Plattner vom Bundesamt für die Sicherheit in der Informationstechnik. Auf der Themenliste dominierte die Digitalisierung der öffentlichen Verwaltung. Kernprojekt der Bundesregierung ist hier der Deutschland-Stack (D-Stack).

Die Idee dazu hat sie in ihrer Modernisierungsagenda (PDF) als „eine sichere, interoperable, europäisch anschlussfähige und souveräne Technologie-Plattform zur Digitalisierung der gesamten Verwaltung“ umschrieben. Bereits im Sommer hatte Schleswig-Holstein ein Impulspapier zum Stack veröffentlicht. Eines der Anliegen: Die Politik soll die Digitalwirtschaft aktiv „in die Entwicklung von Open-Source-Lösungen“ einbinden.

„Bürger:innen in Stack-Überlegungen einbeziehen“

Auch die FSFE fordert für den Stack, dieser müsse vollständig als Freie Software veröffentlicht werden. Alle enthaltenen Komponenten sollten demnach unter einer Freie-Software-Lizenz stehen.

Zudem empfiehlt die FSFE, dass Deutschland hierzu mit anderen europäischen Partnerländern zusammen an Lösungen arbeitet. Nur so könnten diese europaweit anschlussfähig sein. Um zu gewährleisten, dass sie nachhaltig sind, müsse die Finanzierung für Entwicklung, Wartung und Betrieb langfristig abgesichert sein.

Besonders wichtig sei jedoch auch, dass die Politik die Bürger:innen in die Stack-Überlegungen einbezieht. Neben Staat und Verwaltung brauchen auch europäische Unternehmen, Zivilgesellschaft und „Organisationen von Schulen bis hin zu freiwilligen Feuerwehren“ digital souveräne Lösungen. Für sie sollte der Stack nachnutzbar sein, und dies könne nur gelingen, wenn die Zivilgesellschaft bei der Planung des Stacks einbezogen wird.

Wie genau der Beschluss umgesetzt wird, Open Source bevorzugt zu beschaffen und zu nutzen, muss sich noch zeigen. Der Konsultationsprozess zum D-Stack läuft noch bis Ende November

Esther Menhard ist freie Autorin bei netzpolitik.org. Sie recherchiert zur Digitalisierung der öffentlichen Verwaltung und nimmt dazu gerne Hinweise entgegen. Von Haus aus Philosophin, interessiert sie sich für Datenethik, die Schnittstelle zwischen Wissenschaft und Digitalität, AdTech, Open Access und Open Source. Kontakt: E-Mail (OpenPGP), Mastodon Bluesky. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Ganz, ganz wichtig

Karsten Wildberger: Digitale Souveränität ganz, ganz wichtig – nur nicht bei Palantir

Digitalminister Wildberger singt auf dem Digitalisierungsgipfel ein Loblied auf die „digitale Souveränität“. Bis er konkret auf den US-Konzern Palantir und seine Software angesprochen wird. Dann wird klar: Seine schönen Worte sind nur Makulatur. Ein Kommentar.

Wer erwartet hatte, dass nach dem gestrigen Gipfeltreffen zur Europäischen Digitalen Souveränität ein digitaler Ruck durchs Land gehen oder dort auch nur irgendwas Überraschendes angekündigt werden würde, konnte nur enttäuscht werden. Dafür sind solche Treffen wohl nicht gemacht. Die Reden der Spitzenpolitiker waren durch erwartbare Plattitüden gekennzeichnet, aber eben auch durch Widersprüchlichkeiten beim großen Thema der Konferenz. Denn was unter „digitaler Souveränität“ verstanden wird, scheint keineswegs klar.

Eigentlich beschreibt das Konzept der „digitalen Souveränität“ die Fähigkeit, dass genutzte Hardware und Software oder auch IT-Dienstleistungen vom Nutzer oder Auftraggeber – hier der Staat oder seine Behörden – selbstbestimmt gestaltet werden können. Das soll zu mehr Unabhängigkeit, Resilienz und auch Nachhaltigkeit führen und dem Vermögen, selbständig entscheiden zu können, ob man Abhängigkeiten von Anbietern eingeht oder vermeidet.

Das klingt gut und modern, hinter dieser Idee können sich die Spitzenpolitiker aus Deutschland und Frankreich versammeln. Haben sie auch, denn ohne Ausnahme betonten gestern alle, künftig auf mehr „digitale Souveränität“ setzen zu wollen. Seitdem im Weißen Haus die Devise „America first“ aktiv umgesetzt wird, ist das Konzept diesseits des Atlantiks in aller Munde.

So auch bei Digitalminister Karsten Wildberger (CDU).

In seiner Rede hatte Wildberger sich und das Publikum gefragt: „Was heißt digitale Souveränität ganz konkret?“ Dahinter verberge sich „etwas ganz, ganz Wichtiges“, es bedeute nämlich, dass „wir in Europa, in Deutschland Technologie wieder selber nicht nur nutzen wollen als Kunden, sondern selber entwickeln wollen und selber Produkte bauen“.

Er beklagte, dass wir „zu sehr über die Zeit Kunde geworden“ seien „von Lösungen anderer“. Das aber „wäre fatal, wenn das so bliebe im Zeitalter von KI“, so Wildberger weiter.

Als der Digitalminister nach Palantir gefragt wurde

Dem dürften viele zustimmen. Als es aber wirklich mal konkret wird, werden seine schönen Worte Makulatur. Als Wildberger nach seiner Rede von Johannes Kuhn vom Tagesspiegel auf den Streit um die Software von Palantir angesprochen wird, zeigt sich, dass es mit der digitalen Souveränität nicht so weit her ist.

Im August hatte Wildberger gesagt, dass er der Nutzung von Palantir-Software für die Polizeibehörden des Bundes offen gegenüber stehe. Nun wollte der Journalist wissen, ob sich diese Position geändert habe.

Die Debatte war damals ausgelöst worden, nachdem die Pläne für ein Sicherheitspaket mit einem Referentenentwurf Gestalt angenommen hatten. Darin steckte auch die automatisierte polizeiliche Datenanalyse, für die der US-Konzern Palantir den deutschen Polizeien eine Softwarelösung anbietet.

Anders als Bundesjustizministerin Stefanie Hubig (SPD), die Palantir gegenüber skeptisch war und auf die Vereinbarkeit mit „rechtsstaatlichen Grundsätzen“ pochte, sagte der Digitalminister: „Wir sollten […] Technologien nutzen, um unseren Staat und unsere Demokratie zu schützen. Wenn ein Anbieter eine solche Technologie bereitstellt, sollten wir in sie investieren. Wir sollten aber auch europäische Unternehmen haben, die solche Lösungen bieten können.“

Wildbergers abgespeckte digitale Souveränität

Souveränitätsgipfel hin oder her, der Digitalminister bleibt auch heute bei dieser Haltung. Er antwortet auf die Frage von Kuhn, dass die Software von Palantir eine „weltweit extrem mächtige Lösung“ sei, das gelte sowohl im zivilen als auch im militärischen Bereich. Damit wiederholt er die vom US-Konzern gern betonte Saga einer quasi konkurrenzlosen Stellung im Markt. Naturgemäß wird das von alternativen Anbietern ganz anders dargestellt, technisch sei Palantir den Konkurrenten ebenbürtig. Wildberger sagt dann:

Wenn man mit so einer Lösung arbeitet, auch in einem nationalen Kontext, dann hängt es sehr davon ab, wie man diese Lösung implementiert, auch von der Architektur lokal. Wie werden die Daten gehalten, wie ist sichergestellt, dass die Daten nicht rausfließen etc. Und das ist durchaus möglich.

Möglich ist das ohne Zweifel, aber das wäre eine bis zur Unkenntlichkeit abgespeckte Version von „digitaler Souveränität“. Denn man bleibt ja bloßer Kunde und entwickelt gar nichts selber, sondern begibt sich sehendes Auges in eine langfristige Abhängigkeit, die nur ein absolutes Minimum an Datensicherheit in Aussicht stellt.

Fatal, um Wildberger selbst zu zitieren.

Es passt nicht zusammen

Ob das im Fall von Software von Palantir aber auch tatsächlich so gehandhabt wird, weiß der Minister gar nicht. Denn er habe „keine Kenntnis darüber, wie es im Einzelfall ausgestaltet“ werde. Worüber er aber immerhin Kenntnis habe, sei, dass „diejenigen, die das gegebenenfalls nutzen“, also die Polizeibehörden, „diese Fragen ganz, ganz vorne auf der Agenda haben“.

Dem Minister scheint zu schwanen, dass seine anfängliche Definition der „digitalen Souveränität“ mit der proprietären Palantir-Lösung des US-Konzerns, die sensible polizeiinterne Datenbanken miteinander verknüpft und deren Inhalte analysiert, nicht recht zusammengeht. So fügt er an:

Der nächste Satz ist mir sehr wichtig. Wir sind auch dabei, als Ministerium, uns Technologie aus Europa anzuschauen, die vieles kann, vielleicht nicht immer so weit ist, vielleicht sogar einiges besser kann. Und natürlich muss dann auch unser Anspruch sein, auch solche Technologie in Europa zu haben.

Die Palantir-Konkurrenz wird es freuen. Dass das Digitalministerium offenbar dabei ist, nun nach Alternativen zum abgründigen US-Tech-Konzern zu suchen, wäre allerdings ein nur kleiner Schritt in Richtung „digitale Souveränität“.

Eine Sprecherin des Bundesministeriums für Digitales und Staatsmodernisierung erklärt auf Nachfrage von netzpolitik.org, dass sich der Minister grundsätzlich dafür ausgesprochen hätte, im Sicherheitsbereich die neuesten Technologien zu nutzen. Sie fügt aber hinzu: „Er spricht sich hier nicht für oder gegen eine bestimmte Software aus.“ Die ebenfalls gestellte Frage, wie deutsche Behörden beim Einsatz von Palantir digital souverän bleiben könnten, beantwortet sie nicht.

Grundrechte nur im Disclaimer

Auf der Strecke bleibt mal wieder die Frage nach den Grundrechten. Zwar baut Wildberger in seine Rede einen „Disclaimer“ ein, den er auch so nennt. Er betont, „Datenschutz, Sicherheit, Grundrechte von Bürgerinnen und Bürgern“ stünden „nicht zur Debatte“, sie seien „essentiell wichtig und notwendig“. Dennoch zieht sich nach diesem „Disclaimer“ durch seine gesamte Rede die Forderung, alle vermeintlichen Innovationsbremsen wie Regulierung und Datenschutz endlich zu lockern.

Palantir bietet eine Softwarelösung für ein Vorhaben an, dass die rechtlich vorgeschriebene Zweckbindung polizeilich aufgenommener Daten weitgehend hinfällig macht und damit verfassungsrechtlich auf dünnem Eis steht. Der US-Konzern, der solche in Software gegossene Praktiken in seinem Mutterland jahrelang durchführen und verfeinern dürfte, hat auch deswegen einen Wettbewerbsvorteil, weil er solche „Innovationsbremsen“ wie das Recht auf informationelle Selbstbestimmung ignorieren konnte.

Dass Wildberger bei Fragen nach automatisierter polizeilicher Datenanalyse kein Wort über die massiven Eingriffe in Grundrechte von Millionen Menschen verliert, ist überaus bedauerlich, aber auf schwarz-roter Koalitionslinie. Aber dass die Software von Palantir auch nach seiner eigenen Definition nicht „digital souverän“ ist, hätte dem Digitalminister wenigstens auffallen können.

Constanze Kurz ist promovierte Informatikerin, Autorin und Herausgeberin von Büchern, zuletzt Cyberwar. Ihre Kolumne „Aus dem Maschinenraum“ erschien von 2010 bis 2019 im Feuilleton der FAZ. Sie lebt in Berlin und ist ehrenamtlich Sprecherin des Chaos Computer Clubs. Sie war Sachverständige der Enquête-Kommission „Internet und digitale Gesellschaft“ des Bundestags. Sie erhielt den Toleranz-Preis für Zivilcourage und die Theodor-Heuss-Medaille. Kontakt: E-Mail (OpenPGP). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.