Digitale Souveränität, Externe Beratung, Interne Schwäche
Deutschlands Kampf um technologische Selbstbestimmung. Lehren aus der Berateraffäre und Ursula von der Leyens Dealpolitik.
Die Berateraffäre im Verteidigungsministerium offenbart strukturelle Defizite deutscher Digitalpolitik. Externe Abhängigkeiten bedrohen staatliche Handlungsfähigkeit. Deutschland muss digitale Souveränität zur Staatsräson erklären.
Hinweis: Dieser Text wurde 2020 verfasst.
Die Bundesrepublik steht vor einer historischen Entscheidung. Der parlamentarische Untersuchungsausschuss zur Berateraffäre hat seine Arbeit beendet und strukturelle Probleme deutscher Digitalpolitik offengelegt. Was als Skandal um Millionenhonorare begann, entpuppt sich als Symptom einer fundamentalen Krise staatlicher Handlungsfähigkeit. Deutsche Behörden sind abhängig von amerikanischen Cloud-Diensten, kritische Infrastrukturen werden von ausländischen Unternehmen kontrolliert, strategische Entscheidungen fallen in Konzernzentralen. Die Zeit für halbherzige Reformen ist abgelaufen.
Staat entmündigt sich
Das Verteidigungsministerium unter Ursula von der Leyen hat staatliche Selbstentmündigung dokumentiert. Zwischen 2014 und 2018 flossen über 200 Millionen Euro an externe Berater, vornehmlich an McKinsey und Accenture. Diese entwickelten nicht nur Strategiepapiere, sondern gestalteten die Digitalisierung der Bundeswehr mit. Staatssekretärin Katrin Suder, eine ehemalige McKinsey-Partnerin, etablierte ein System, in dem strategische Entscheidungen von ausländischen Unternehmensberatungen getroffen wurden.
Die Berateraffäre ist das Menetekel einer Entwicklung, die die staatliche Handlungsfähigkeit im digitalen Zeitalter fundamental bedroht. Wenn amerikanische Berater die Cybersicherheitsstrategie der Bundeswehr mitentwickeln, wenn kritisches Wissen nur bei externen Dienstleistern liegt, wenn demokratische Kontrolle durch gelöschte Handydaten vereitelt wird – dann steht mehr auf dem Spiel als Steuergelder.
Souveränität im Digitalzeitalter neu denken
Digitale Souveränität ist keine Modeerscheinung der Technologiepolitik, sondern eine verfassungsrechtliche Notwendigkeit. Der Staat kann seine Grundfunktionen nur erfüllen, wenn er über die digitalen Mittel verfügt, die er dafür benötigt. Diese Erkenntnis setzt sich in der politischen Klasse nur langsam durch, obwohl die Abhängigkeiten täglich wachsen.
Microsoft Office 365 prägt die Kommunikation in deutschen Behörden. Amazon Web Services hostet kritische Verwaltungsdaten. Google und Facebook dominieren die öffentliche Meinungsbildung.
Diese Abhängigkeiten sind nicht das Ergebnis bewusster politischer Entscheidungen, sondern entstanden durch tausende einzelne Beschaffungsentscheidungen, die niemand in ihrer Gesamtwirkung betrachtet hat. Eine vom Innenministerium beauftragte Studie kommt zu dem ernüchternden Ergebnis, dass Microsoft Office 365 in der Standardkonfiguration nicht konform zur Datenschutzgrundverordnung betrieben werden kann. Dennoch nutzen geschätzt über 80 Prozent der deutschen Behörden diese Software.
Der Grund ist einfach: Es gibt keine praktikablen Alternativen, die den gewohnten Komfort bieten.
Die amerikanische Herausforderung
Die Vereinigten Staaten betrachten ihre technologische Dominanz bewusst als geostrategischen Vorteil. Der CLOUD Act ermöglicht amerikanischen Behörden den Zugriff auf Daten amerikanischer Unternehmen, auch auf europäischen Servern. Exportkontrollen für Halbleiter und Software zeigen, dass Technologie als Machtinstrument verstanden wird.
Deutsche Behörden, die amerikanische Clouddienste nutzen, unterliegen amerikanischer Jurisdiktion. Wenn politische Spannungen entstehen, können technologische Abhängigkeiten zu Druckmitteln werden. Die Androhung, Huawei von Android-Updates auszuschließen, zeigt die Macht solcher Hebel.
Amazon Web Services kontrolliert einen erheblichen Teil der Internet-Infrastruktur. Viele europäische Cloudanbieter nutzen AWS als technische Basis, ohne dies transparent zu machen. Kunden glauben, europäische Lösungen zu nutzen. Sind aber von amerikanischer Infrastruktur abhängig.
Europas Antwort sind sechs Säulen der digitalen Selbstbehauptung
Deutschland und Europa haben die Herausforderung erkannt und erste Gegenmaßnahmen eingeleitet. GAIA-X, die europäische Cloudinitiative, soll eine föderierte Dateninfrastruktur schaffen, die europäischen Werten verpflichtet ist. Das Projekt wurde im Oktober 2019 vorgestellt und soll bis Ende 2021 erste praktische Anwendungen zeigen.
Die Föderale IT-Kooperation FITKO soll die digitale Transformation der deutschen Verwaltung koordinieren. Das Onlinezugangsgesetz verpflichtet alle Verwaltungsebenen, bis Ende 2022 ihre Leistungen digital anzubieten. Die deutsche eID-Funktion des Personalausweises bietet theoretisch eine souveräne Alternative zu amerikanischen Login-Diensten.
Doch diese Projekte stehen vor Herausforderungen.
GAIA-X operiert mit einem Jahresbudget von nur 1,5 Millionen Euro. FITKO kämpft mit deutschen Kleinstaaterei-Problemen. Das Onlinezugangsgesetz droht an föderaler Komplexität zu scheitern. Die eID-Funktion nutzen nur sechs Prozent der Bürger.
Big Data als Einfallstor für Abhängigkeiten
Das Projekt PLM – Produktlebenszyklus-Management – macht exemplarisch die intrikaten Verflechtungen zwischen externen Beratern und Bundeswehrführung sichtbar. Zwischen September 2017 und Januar 2018 entwickelte Accenture mit Timo Nötzel ein System zur Datenanalyse für den Transportflieger Airbus A400M. Big Data-Analysen sollten Wartungszyklen optimieren und Ausfälle vorhersagen.
Generalleutnant Erhard Bühler, damals Abteilungsleiter Planung, befürwortete das Projekt. Dass Bühler Pate von Nötzels fünf Kindern war, bezeichnete er vor dem Untersuchungsausschuss als irrelevant für die Auftragsvergabe. Accenture erhielt den Zuschlag über einen Rahmenvertrag für IBM-Software, obwohl das Projekt weit darüber hinausging.
Das PLM-System sollte am A400M erprobt werden – jenem Transportflugzeug, das die deutsche Luftwaffe seit Jahren vor Probleme stellt. Die Datenauswertung hätte detaillierte Einblicke in Leistungsfähigkeit und Schwachstellen eines der wichtigsten Waffensysteme ermöglicht. Dass diese sensiblen Informationen von einer amerikanischen Beratungsfirma verarbeitet wurden, zeigt die Dimension des Souveränitätsproblems.
Der Bundesrechnungshof stellte fest: Die Vergabe war rechtswidrig. Das PLM-Projekt wurde gestoppt, die finale Rechnung über drei Millionen Euro blieb unbezahlt.
Identitätsmanagement als Kern staatlicher Autorität
Die Kontrolle über digitale Identitäten ist ein Kernmerkmal staatlicher Souveränität. Wer entscheidet, wer sich wie ausweist, übt hoheitliche Gewalt aus. Wenn diese Funktion an private Unternehmen delegiert wird, entstehen neue Formen der Abhängigkeit.
Das deutsche eID-System implementiert ein ausgeklügeltes System abgestufter Zugriffe. Polizisten können bei Verkehrskontrollen nur die Daten abrufen, die sie benötigen. Bei komplexeren Ermittlungen stehen erweiterte Zugriffsmöglichkeiten zur Verfügung. Dieses System gewährleistet sowohl Funktionalität als auch Datenschutz.
Souveränität ohne Akzeptanz ist wertlos.
Die Bürger wählen die bequemen Login-Optionen von Google und Facebook, weil diese einfacher zu nutzen sind. Der Staat kann seine Bürger nicht zu souveränen Lösungen zwingen, aber er kann sie attraktiver gestalten. Dazu gehört vor allem, dass souveräne Systeme mindestens so benutzerfreundlich sind wie die Alternativen.
Procurement als Politikinstrument
Öffentliche Beschaffung wird zunehmend als Instrument der Digitalpolitik erkannt. Der Staat als größter Auftraggeber kann durch seine Nachfrage Märkte prägen und Standards setzen. Doch das Vergaberecht ist darauf nicht vorbereitet.
Das Gebot der Wirtschaftlichkeit verlangt die Auswahl des günstigsten Angebots. Souveränitätsüberlegungen lassen sich schwer in Euro und Cent bewerten. Wie bewertet man das Risiko politischer Einflussnahme? Diese Fragen sind rechtlich ungeklärt.
Fachveranstaltungen dokumentieren wachsendes Bewusstsein für diese Probleme. Zwischen Erkenntnis und Umsetzung klafft eine Lücke. Beschaffer sind oft überfordert mit der Komplexität technologischer Entscheidungen.
Koordinationsproblem zwischen den Bestellern
Deutsche Digitalpolitik leidet unter strukturellem Koordinationsmangel. Zuständigkeiten sind zwischen Bund, Ländern und Kommunen aufgeteilt, zwischen verschiedenen Ressorts fragmentiert. Jede Ebene optimiert für sich.
Der IT-Planungsrat soll diese Koordination leisten, doch seine Kompetenzen sind begrenzt. Er kann Standards empfehlen, aber nicht durchsetzen. Verbindliche Entscheidungen erfordern Einstimmigkeit zwischen 16 Ländern.
Die Föderale IT-Kooperation ist ein Versuch, diese Schwächen zu überwinden.
Von 40 genehmigten Stellen sind erst 30 besetzt. Deutsche Kleinstaaterei zeigt sich nirgendwo deutlicher als in der Informationstechnik.
Bürgersouveränität in der Digitalgesellschaft
Digitale Souveränität muss auch die Rechte der Bürger umfassen. Diese stehen vor einem Dilemma: Die souveränsten Lösungen sind oft nicht die benutzerfreundlichsten.
WhatsApp dominiert die private Kommunikation, obwohl datenschutzfreundliche Alternativen verfügbar sind. Google und Facebook prägen die Meinungsbildung, obwohl ihre Geschäftsmodelle auf umfassender Datensammlung beruhen.
Der Staat kann seine Bürger nicht zu digitaler Mündigkeit zwingen, aber er kann die Voraussetzungen dafür schaffen.
Digitale Bildung muss kritisches Verständnis vermitteln. Souveräne Alternativen müssen gefördert werden. Transparenz über Datensammlung muss durchgesetzt werden.
Methodik souveräner Digitalpolitik
Digitalpolitische Entscheidungen werden häufig ohne angemessene Technikfolgenabschätzung getroffen. Die Berateraffäre zeigt, wohin das führt. Langfristige Auswirkungen auf Souveränität, Sicherheit und demokratische Kontrolle werden nicht systematisch analysiert.
Jede bedeutende technologische Entscheidung sollte einer Souveränitätsprüfung unterzogen werden. Welche Abhängigkeiten entstehen? Welche Risiken sind damit verbunden? Welche Alternativen gibt es?
Diese Bewertung darf nicht nur von Technikern vorgenommen werden, sondern muss interdisziplinär erfolgen. Absolute digitale Souveränität ist weder möglich noch wünschenswert. Ein pragmatischer Ansatz erkennt an, dass verschiedene Anwendungsbereiche unterschiedliche Souveränitätsanforderungen haben. Für kritische Infrastrukturen und hoheitliche Aufgaben sollten souveräne Lösungen obligatorisch sein. Bei Verbraucheranwendungen kann den Bürgern die Wahl gelassen werden.
Kosten durch Abhängigkeit
Die Kosten digitaler Souveränität sind hoch und sichtbar. Die Kosten fehlender Souveränität sind höher, aber versteckt.
Der Kompetenzdrain aus dem öffentlichen Sektor schwächt die staatliche Handlungsfähigkeit kontinuierlich. Die besten Informatiker gehen zu Google, nicht zum Bundesamt für Sicherheit in der Informationstechnik.
Lock-in-Effekte entstehen schleichend. Proprietäre Datenformate erschweren den Wechsel zu alternativen Anbietern. Teams spezialisieren sich auf bestimmte Technologien. Grundlegende Systemarchitekturen prägen alle nachfolgenden Entscheidungen.
Europas digitale Zukunft
Europa kann weder mit amerikanischer Innovationskraft noch mit chinesischer Staatsmacht konkurrieren. Sein Wettbewerbsvorteil liegt in der Glaubwürdigkeit seiner Werte.
Die Datenschutzgrundverordnung zeigt, wie europäische Standards global wirken können. GAIA-X repräsentiert den ehrgeizigsten Versuch, europäische Digitalautonomie zu schaffen. Das Projekt muss eine Balance finden zwischen Inklusivität und Exklusivität. Amerikanische und chinesische Anbieter sollen einbezogen werden, wenn sie europäische Standards einhalten.
Die ersten praktischen Anwendungen sind für Ende 2021 angekündigt. Ein ehrgeiziger Zeitplan.
Digitalräson
Die Zeit für halbherzige Maßnahmen ist abgelaufen. Deutschland und Europa stehen vor der Wahl zwischen digitaler Souveränität und digitaler Kolonisierung. Die Berateraffäre hat gezeigt, wohin es führt, wenn der Staat seine digitalen Kompetenzen preisgibt.
Digitale Souveränität ist keine Frage des technologischen Nationalismus, sondern eine Überlebensfrage der Demokratie. Ein Staat, der seine digitalen Systeme nicht kontrolliert, ist nicht souverän. Eine Gesellschaft, die nicht über ihre digitalen Infrastrukturen verfügt, ist nicht frei.
Die nötigen Projekte sind angelaufen, aber sie brauchen politische Unterstützung, finanzielle Ressourcen und gesellschaftlichen Rückhalt. GAIA-X, die Föderale IT-Kooperation und die anderen Initiativen dürfen nicht an deutscher Kleinstaaterei, europäischer Unentschlossenheit oder mangelnder Finanzierung scheitern.
Deutschland muss digitale Souveränität zur Staatsräson erklären. Das bedeutet, kurzfristige Nachteile für langfristige Vorteile in Kauf zu nehmen. Es bedeutet, in eigene Kompetenzen zu investieren statt nur externe einzukaufen. Es bedeutet, europäische Kooperation zu vertiefen und demokratische Kontrolle zu stärken.
Die Alternative ist eine Zukunft digitaler Abhängigkeit, in der demokratische Selbstbestimmung zur Farce wird. Diese Zukunft hat bereits begonnen. Es ist höchste Zeit, sie zu verhindern.