OSBA kritisiert Schlupflöcher im Deutschland-Stack

Die Bundesregierung will unter der Leitung des Bundesministeriums für Digitales und Staatsmodernisierung mit dem Deutschland-Stack, die digitale Verwaltung, insbesondere bei Dienstleistungen für Bürger, neu aufzustellen. Die Open Source Business Alliance warnt davor, die Chance auf sichere und moderne Infrastrukturen zu verspielen. Der Deutschland-Stack soll dafür als nationale souveräne Technologie-Plattform für die Digitalvorhaben in Deutschland sowohl Technologien, Rahmenbedingungen als auch Produkte zusammenfassen und für Bund, Länder und Kommunen bereitstellen. Jetzt wurde die zweite Konsultationsrunde dazu abgeschlossen. Die Open Source Business Alliance – Verband für digitale Souveränität fordert in einer Stellungnahme eine klare Festlegung auf Open-Source-Lösungen. Der OSBA-Vorstandsvorsitzender Peter Ganten kommentiert: „Die aktuelle Situation, in der die gesamte Verwaltung von einzelnen Anbietern abhängig bleibt, ist untragbar. Innovative, europäische Lösungen bekommen unter diesen Umständen kaum Chancen, Preise werden diktiert und es bleibt unklar, ob sensible Daten der Verwaltung ausreichend vor ungewolltem Zugriff geschützt sind. Wenn der Deutschland-Stack keine durchgängige und ausnahmslos auf Open Source ausgerichtete Strategie erhält, bleibt echte digitale Souveränität unerreichbar.“ Die OSBA kritisert unter anderem, dass der Deutschland-Stack auch in seiner neuen Version noch zu viele Schlupflöcher für Closed-Source-Angebote und insbesondere auch für außereuropäische Hyperscaler offenlässt. Echte digitale Souveränität sei damit für den Deutschland-Stack unerreichbar. Dass die Vorrangsregelung für Open Source in der zweiten Version des Deutschland-Stacks nicht wirklich konsequent ist und riesige Einfallstore für nicht souveräne Lösungen offenlässt, wird besonders an den Formulierungen „vorrangig werden Open Source Lösungen oder Lösungen europäisch souveräner Anbieter eingesetzt“ sowie “Made in EU first – Stack- Elemente werden prioritär durch Produkte aus EU-Ländern umgesetzt” deutlich. Die erstgenannte Formulierung lässt nach Ansicht der OSBA komplett offen, wie in der Praxis entschieden werden soll, ob eine Open-Source-Lösung eingesetzt wird oder die eines „europäisch souveränen Anbieters“. Denn beide Optionen seien in dem Satz gleichgestellt. Zudem sei völlig unklar, wie ein „europäisch souveräner Anbieter“ überhaupt definiert sei, bemängelt die OSBA. „Vorrangiger Einsatz“ klinge zwar zunächst gut, könne aber auch bedeuten, dass in der Praxis zu knapp 50 Prozent Lösungen eingesetzt werden, die weder Open Source noch „europäisch souverän“ seien. Die OSBA schreibt: „In den zitierten Formulierungen sehen wir die Gefahr des Souveränitäts-Washings, also dass Closed-Source-Angebote europäischer Anbieter genutzt werden, welche keine echte (insbesondere auch technologische) digitale Souveränität bieten: Der Quellcode kann nicht unabhängig überprüft werden und es besteht keine Möglichkeit der selbstständigen Anpassung der Software. Bei einer möglichen Insolvenz des Software-Herstellers oder einer Firmenübernahme, Aufkauf oder Mehrheitserwerb beispielsweise durch chinesische oder US-amerikanische Unternehmen kann die Software nicht unabhängig weiter entwickelt und betrieben werden. Vor diesem Hintergrund wird der Einsatz von Closed Source Software zu einem unkalkulierbaren Risiko.“