Sonntag, 15. Juni 2025

RechtPrivate einbinden?

[24.02.2020] Der Grundsatz digitaler Souveränität kann dazu führen, dass staatliche Daten nicht an private IT-Dienstleister übertragen werden dürfen. Der Beitrag informiert über die Risiken beim Einbinden Privater in die Aufgabenwahrnehmung der öffentlichen Hand.
Datenübertragung an Private ist problematisch.

Datenübertragung an Private ist problematisch.

(Bildquelle: PEAK Agentur für Kommunikation)

Informationstechnologien bestimmen mittlerweile nicht nur den Alltag der Bürger, auch die öffentliche Verwaltung kann ohne ihren Einsatz nicht mehr gedacht werden. Doch aufgrund von Personalnot oder dem Druck, die alltäglichen Aufgaben zu erfüllen, muss die Aneignung technischer Kenntnisse und Fähigkeiten gerade in kleineren Ämtern immer wieder zurückgestellt werden. Eine Vielzahl von privaten und öffentlich-rechtlichen IT-Dienstleistern bietet der Verwaltung an, solche Lücken zu schließen, etwa durch Cloud-Dienste oder die Nutzung von Rechenzentren. Dadurch können Verwaltungen zwar Kosten sparen, zugleich müssen aber staatliche Daten möglicherweise an private IT-Dienstleister übertragen werden.
Dies wirft eine grundsätzliche Frage auf: Wann ist es Trägern staatlicher Gewalt erlaubt, Daten aus ihrem alleinigen, öffentlich-rechtlich geprägten Einflussbereich zu entlassen und stattdessen einem Privaten einen zumindest mittelbaren Zugriff auf diese zu ermöglichen? Eine Annäherung an diese Frage ermöglicht der Grundsatz der digitalen Souveränität. Dieser kann in bestimmten Konstellationen dazu führen, dass staatliche Daten nicht an private IT-Dienstleister übertragen werden dürfen. Zur Begründung dieses Grundsatzes ergänzen sich drei Überlegungen: der Charakter zwingender Staatsaufgaben, eine staatliche Gewährleistungsverantwortung und das Vertrauen in die Integrität und Funktionsfähigkeit staatlicher Strukturen und Institutionen.

Datenverarbeitung selten zwingende Staatsaufgabe

Einen abschließenden Katalog von Aufgaben, die zwingend vom Staat wahrzunehmen sind, enthält die Verfassung nicht. Gleichwohl herrscht darüber Einigkeit, dass manche Aufgaben, wie etwa Gesetzgebung, Justiz oder Strafverfolgung, grundlegende staatliche Funktionen repräsentieren und als solche vom Staat ausgeführt werden müssen. Die Verarbeitung von Daten ist jedoch kaum einmal als zwingende Staatsaufgabe einzuordnen, weil ihre Erhebung und Verwaltung in aller Regel kein Selbstzweck ist, sondern faktisch nur die Erledigung einer anderen spezifischen Aufgabe unterstützt. Doch es gibt Ausnahmen wie zum Beispiel im Meldewesen. Dort ist die Datenverarbeitung selbst unmittelbarer Gegenstand der eigenständigen und primär zu erfüllenden staatlichen Aufgabe.

Staat bleibt in der Verantwortung

Solche Fälle dürften jedoch selten sein. Die Auslagerung der Datenverarbeitung an private IT-Dienstleister ist aber auch dann unzulässig, wenn die betroffenen Daten zwar nicht selbst Gegenstand, wohl aber integraler Bestandteil der zwingenden Staatsaufgabe sind. Die Aufgabenwahrnehmung steht und fällt mit den betreffenden Daten. Je zentraler ein Datenbestand für die Wahrnehmung einer obligatorischen Staatsaufgabe ist, desto weniger kommt eine Privatisierung in Betracht. Dabei ist es weniger entscheidend, dass die Daten erst durch die derzeitige Verfügbarkeit von Informationstechnologien Bedeutung gewonnen haben, sondern seit jeher und traditionell ein elementarer Bestandteil der Aufgabenwahrnehmung gewesen sind; ein Beispiel könnte das Führen von Prozessakten durch die Zivilgerichte sein.
Daneben kann der Einbindung privater IT-Dienstleister die staat­liche Gewährleistungsverantwortung entgegenstehen. Wenn der Staat Private in die Aufgabenwahrnehmung einbezieht, trifft ihn weiterhin die Verantwortung, die ordnungsgemäße und gemeinwohlverträgliche Aufgabenerfüllung durch den Privaten zu gewährleisten. Dabei stellt sich in der Praxis insbesondere die Frage, wie eine effektive Lenkung und Kontrolle der privaten Akteure sichergestellt werden können. Im Zweifel muss der Staat für den Fall des Scheiterns des Privatsektors in der Lage sein, die Aufgabe zurückzuholen und wieder selbst wahrzunehmen.

Vielfältige Risiken

Insofern sind beim Einbinden privater IT-Dienstleister in die Aufgabenwahrnehmung der öffentlichen Verwaltung vielfältige Risiken zu berücksichtigen. Staatliche Daten müssen jederzeit verfügbar sein, dürfen inhaltlich nicht verfälscht, nicht sachfremd durch Dritte genutzt und nicht unbefugt veröffentlicht werden. Es kann nicht pauschal unterstellt werden, dass sich Private eher rechtswidrig verhalten. Doch für IT-Dienstleister in staatlicher Hand ergibt sich eine unmittelbare Grundrechts- und Gesetzesbindung, während private IT-Dienstleister privatautonom gesetzte Ziele verfolgen. Mitarbeiter privater IT-Dienstleister sind grundsätzlich nicht denselben Strafandrohungen ausgesetzt wie Amtsträger (vgl. §§ 203, 11 StGB). Außerdem ist zu berücksichtigen, dass einzelnen privaten IT-Unternehmen eine erhebliche Marktmacht zukommt und in der öffentlichen Verwaltung notwendige IT-Fähigkeiten und -Kenntnisse teilweise noch unterentwickelt sind. Bei Vertragsverhandlungen können deshalb erhebliche Informationsasymmetrien zulasten der öffentlichen Gewalt bestehen. Und es gibt weitere Unterschiede: Private IT-Dienstleister können einem spürbaren Kostendruck ausgesetzt sein. IT-Dienstleister in öffentlicher Hand hingegen sind vom Staat getragen und finanziert und dienen typischerweise nicht der Gewinnerzielung. Während gegenüber IT-Dienstleistern in öffentlicher Hand vielfältige Aufsichts- und Einflussmöglichkeiten bestehen, fehlen diese bei Unternehmen in privater Hand, und es gibt grundsätzlich keine Möglichkeiten, deren operatives Tagesgeschäft zu beeinflussen.

Verbreitung unumkehrbar

Bestehende Risiken werden durch spezifische Charakteristika von Daten verschärft. Durch die Möglichkeit der digitalen Kopie kann eine einmal vorgenommene Verbreitung oder gar Veröffentlichung faktisch kaum mehr rückgängig gemacht werden. Während grundsätzlich bei öffentlichen Aufgaben, zum Beispiel dem Betrieb einer Autobahn, die Kontrolle zumindest ex-nunc wiedererlangt, Fehler korrigiert und ein ordnungsgemäßer Zustand wiederhergestellt werden können, sind beim Umgang mit Daten strukturbedingt negative Folgen denkbar, die sich unumkehrbar in die Zukunft erstrecken. Je nach Umständen des Einzelfalls ist deshalb zu berücksichtigen, ob die Modalitäten der Einbindung Privater und deren Organisationsstruktur ausreichen, um einer staatlichen Gewährleistungsverantwortung gerecht zu werden, entweder zum Schutz der Funktionsfähigkeit der Verwaltung oder im Hinblick auf die Rechtspositionen Dritter.

Eine Frage des Vertrauens

Der Grundsatz digitaler Souveränität wird schließlich durch das Vertrauen in die Integrität und Funktionsfähigkeit staatlicher Strukturen unterstützt. Diesem Gedanken liegen zwei gegensätzliche Entwicklungen zugrunde: Einerseits bedarf es eines erhöhten Vertrauens aufgrund des Einsatzes relativ neu entstandener Informationstechnologien, andererseits entwickelt sich ein Verlust herkömmlicher Kontrollmechanismen. Bislang wurzelte das Vertrauen, das Trägern öffentlicher Gewalt entgegengebracht wurde, in erster Linie in der Person der einzelnen Amtsträger. Dieser persönliche Aspekt wird durch den Einsatz von Informationstechnologien mehr und mehr in den Hintergrund gedrängt, was wiederum das Bedürfnis nach Vertrauen erhöht. Zugleich wird staatlicher Umgang mit Daten weniger kontrollierbar, weil sich dieser – anders als traditionelles staatliches Handeln – grundsätzlich nicht unmittelbar in der tatsächlichen oder rechtlichen Ordnung auswirkt und als solches auch nicht unmittelbar wahrnehmbar ist. Da eine nachgelagerte rechtliche Kontrolle beim Umgang mit Daten nur bedingt effektiv möglich ist, muss schon auf einer vorgelagerten Stufe durch rechtliche Regelungen klargestellt werden, dass bestimmte Daten einen öffentlich geprägten Herrschaftsbereich gar nicht erst verlassen dürfen.

Dr. Christian Ernst ist Inhaber der Professur für Öffentliches Recht und Wirtschaftsrecht an der Helmut-Schmidt-Universität/Universität der Bundeswehr Hamburg. Der Beitrag beruht auf einem Gutachten für Dataport, das Anfang 2020 veröffentlicht wird.




Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur
Amt Föhr-Amrum Gebäude
bericht

Föhr-Amrum: Mit vereinten Kräften

[28.05.2025] Das Amt Föhr-Amrum hat vor rund einem Jahr eine Verwaltungskooperation mit dem Land Schleswig-Holstein getroffen. Die ersten Ergebnisse sind vielversprechend. mehr...

Hardware, die mit darüber schwebenden Wolken verbunden ist.
bericht

IT.NRW: Basis der Modernisierung

[26.05.2025] Mit einer föderal anschlussfähigen Multi-Cloud-Architektur unterstützt IT.NRW den Aufbau interoperabler IT-Strukturen, entwickelt standardisierte Verwaltungsdienste und trägt zur sicheren Digitalisierung in Nordrhein-Westfalen und darüber hinaus bei. mehr...

Mehrere Personen stehen nebeneinander, im Hintergrund ist unter anderem ein Monitor zu sehen.

Freudenberg: Bürgerbüro arbeitet effizienter

[26.05.2025] Ein neues Terminvereinbarungs- und Besucherleitsystem optimiert in der Stadt Freudenberg die Arbeitsabläufe im Bürgerbüro. Das kommt nicht nur den Verwaltungsmitarbeitenden, sondern auch den Bürgerinnen und Bürgern zugute. mehr...

Neben dem Eingang zum Amt Hüttener Berge ist das Bürgerinfoterminal installiert.
bericht

Hüttener Berge: Digitale Überzeugungstäter

[15.05.2025] Als eine der ersten Kommunen in Schleswig-Holstein hatte das Amt Hüttener Berge eine Digitalisierungsstrategie und hat inzwischen zahlreiche Maßnahmen seiner Digitalen Agenda umgesetzt. Die gewonnenen Erkenntnisse kommen auch anderen Kommunen zugute. mehr...

Gruppenfoto der Prozessmanagement@ERK-Teilnehmerinnen und -Teilnehmer.

Ennepe-Ruhr-Kreis: Interkommunales Prozessmanagement

[14.05.2025] In einem interkommunalen Projekt widmen sich der Ennepe-Ruhr-Kreis und die Städte Witten, Hattingen, Gevelsberg, Wetter und Sprockhövel dem Prozessmanagement. Unter anderem wollen sie ein gemeinsames Prozessregister aufbauen. Der Austausch zwischen den Teilnehmenden ist ein zentraler Aspekt des Vorhabens. mehr...

Nextcloud-Geschäftsführer Frank Karlitschek und Thomas Bönig, CIO und CDO der Landeshauptstadt Stuttgart und Leiter des Amts für Digitalisierung, Organisation und IT (DO.IT) reichen einander die Hand.

Stuttgart: Plattform erleichtert Zusammenarbeit

[12.05.2025] Einfach, effizient und dennoch sicher soll die digitale Zusammenarbeit in der Stadtverwaltung Stuttgart vonstatten gehen. Gleiches gilt für den Datenaustausch mit externen Partnern. Dafür setzt die baden-württembergische Landeshauptstadt nun eine Kollaborationsplattform ein. mehr...

Gruppenfoto von Henning Kohlmeyer, Lara Kremeyer, Massih Khoshbeen und Martial Koyou-Schiffer, die in Hannover mit der E-Government-Plattform cit intelliForm arbeiten.
bericht

Hannover: Schritt für Schritt zum Ziel

[30.04.2025] Die Verwaltungsdigitalisierung ist eine zentrale Herausforderung für Kommunen. Die Stadt Hannover zeigt, wie es mit einem Low-Code-Ansatz gelingen kann, Verwaltungsleistungen effizient zu digitalisieren und gleichzeitig interne Prozesse zu optimieren. mehr...

Simulation des neuen Verwaltungsgebäudes, das in Ebern errichtet werden soll.
bericht

Bauamt Schweinfurt: Erstes BIM-Projekt in Ebern

[30.04.2025] In Ebern soll ein neues Verwaltungsgebäude für die Landesbaudirektion Bayern errichtet werden. Es ist das erste Building-Information-Modeling-Projekt des Staatlichen Bauamts Schweinfurt. Ein virtueller Projektraum sorgt teamübergreifend für Übersicht. mehr...

Schreibtisch mit Kopfhörer und weiblicher Person im Hintergrund an einem PC.

Artland: Kommunikationslösung mit Zukunft

[29.04.2025] Effizient, flexibel, sicher und zukunftsweisend ist die neue Telefonielösung der Samtgemeinde Artland. Die cloudbasierte und in Deutschland gehostete Unified Communications and Collaboration (UCC)-Anwendung ist einfach zu bedienen und erlaubt eine ortsunabhängige Kommunikation bei nahtloser Erreichbarkeit. mehr...

München: Über eine cloudbasierte Datenaustauschplattform können Bürger nun sicher mit der Verwaltung kommunizieren.

München: Fortschritte bei der Digitalisierung

[28.04.2025] Den aktuellen Bericht, der die Fortschritte im Bereich Digitalisierung aufzeigt, hat das IT-Referat der Stadt München jetzt vorgestellt. Ein Highlight der diesjährigen Auflistung ist das Vorankommen im Handlungsfeld Digital Government. mehr...

Eine Hand hält ein Smartphone, auf dessen Bildschirm das Terminmanagement-System der Stadt Essen zu sehen ist, im Hintergrund ist verschwommen das Serviceterminal zu sehen.

Essen: Neue Terminlösung hat Erfolg

[17.04.2025] Seit acht Monaten kommt in Essen ein neues Terminmanagementsystem zum Einsatz. Die Lösung wird gut angenommen und verbessert die Abläufe vor Ort. Sukzessive wird sie auf alle termingebundenen Dienstleistungen der Stadt ausgeweitet. mehr...

Außenansicht des Landratsamts Schmalkalden-Meiningen.

Kreis Schmalkalden-Meiningen: IT-Infrastruktur zentralisiert

[16.04.2025] Im Kreis Schmalkalden-Meiningen ist der Kommunale IT-Service (KitS) für die IT-Infrastruktur der Kommune, ihrer Schulen und der öffentlichen Unternehmen zuständig. Um dieser Aufgabe besser nachkommen zu können, setzt der KitS nun eine zentralisierende, hyperkonvergente Lösung ein. mehr...

Ein Schulkind schaut seinem Nebensitzer über die Schulter, um abzuschreiben.
bericht

Lüneburg: Abgucken erwünscht

[04.04.2025] Die Hansestadt Lüneburg hat die Anmeldung für Grundschulen digitalisiert. Mit dem Formular-Editor von NOLIS hat sie eigenständig ein Onlineformular entwickelt, das eine digitale Anmeldung an allen Grundschulen in öffentlicher Trägerschaft ermöglicht. mehr...

Zahnräder greifen ineinander, wie Prozesse und Formulare via Picture und formcycle ineinander greifen.

Picture / XIMA Media: Schnittstelle vereint Prozesse und Formulare

[31.03.2025] Die Unternehmen Picture und XIMA Media haben eine Schnittstelle zwischen der PICTURE-Prozessplattform und dem Formularsystem formcycle realisiert. Somit können bei der Prozessmodellierung gezielt passende Formulare und Assistenten ausgewählt und mit dem Prozessschritt verknüpft werden. mehr...

Eine Frau wirft einen Stimmzettel in einer Wahlurne, im Hintergrund die Deutschlandfahne.

SIT/KDVZ/regio iT: Bundestagswahl gemeinsam gemeistert

[04.03.2025] Gemeinsam haben die KDVZ Rhein-Erft-Rur in Frechen, die regio iT in Aachen und die Südwestfalen-IT mit Standorten in Hemer und Siegen für den sicheren technischen Ablauf der Bundestagswahl in ihrem Zuständigkeitsbereich gesorgt. mehr...