Der Bund kann unsere Daten nicht schützen
Die IT überfordert die Verwaltung. Angesichts steigender Datenmengen und der Möglichkeiten künstlicher Intelligenz muss sie endlich ihre Verantwortung wahrnehmen und handeln.
Read the English version here.
Der Fall der IT-Firma Xplain schreckte die Schweizer Öffentlichkeit auf. Das Berner Unternehmen wurde Ende Mai Opfer eines Hackerangriffes, Daten im Umfang von rund 900 Gigabyte landeten im Darknet, darunter sensible Informationen, unter anderem vom Bundesamt für Polizei (Fedpol), von Zoll und Grenzschutz und von kantonalen Migrationsämtern. Wer sich nun wundert, dass eine private IT-Firma Dienstleistungen für die öffentliche Hand erbringt, und «Skandal!» ruft, kennt die Realität nicht. Xplain ist nicht die Ausnahme, Xplain ist die Regel.
«Wer sich wundert, dass eine private IT-Firma Dienstleistungen für die öffentliche Hand erbringt, und ‹Skandal!› ruft, kennt die Realität nicht. Xplain ist nicht die Ausnahme, Xplain ist die Regel.»
Der grösste IT-Auftraggeber der Schweiz ist der Bund. Mit seinem Auftragsvolumen kann keines der grossen, auch international ausgerichteten Unternehmen mithalten. Die Eidgenossenschaft verfügt über ein eigenes Bundesamt für Informatik und Technologie (BIT) mit rund 1100 Mitarbeitern. Gemäss eigenen Angaben unterstützt das BIT die Verwaltung mittels Informatik, «wirtschaftliche, sichere, benutzer- und bürgerfreundliche Lösungen zu entwickeln und einzusetzen». Das ist allerdings nur die halbe Wahrheit. Der grösste Teil der IT-Projekte wird über externe Drittzulieferer realisiert und umgesetzt. Oft laufen auch der Betrieb der Systeme und die Dienstleistungen vollumfänglich über Drittanbieter. Ist das schlimm? Die Frage erübrigt sich: Der Bund hat weder das Know-how noch die Ressourcen. Wie gesagt: Xplain ist die Regel, nicht die Ausnahme.
Diese enge, längst Realität gewordene Verzahnung zwischen Staat und privaten Dienstleistern führt dazu, dass letztere auch die Cyberrisiken mittragen. Es nützt nichts, wenn der Bund hohe Sicherheitsauflagen hat, diese jedoch nicht auch bei Drittanbietern umgesetzt werden. Das Nationale Zentrum für Cybersicherheit NCSC leistet zwar gute Arbeit und hat die Schweiz im Bereich Cybersicherheit stark vorangebracht. Aber noch sind viele Hausaufgaben nicht erledigt. Dazu gehören namentlich klare Richtlinien und Sicherheitsauflagen für IT-Drittanbieter. Ein anderes Beispiel dazu: Das vom Eidgenössischen Departement für auswärtige Angelegenheiten für die Auslandschweizer produzierte Magazin «Schweizer Revue» wird in einer externen Druckerei gedruckt. Der Bund lieferte die Adressen an das Unternehmen, worauf bei einem Cyberangriff auf die Druckerei Daten geklaut wurden; das Unternehmen zahlte kein Lösegeld, und so landeten im Juni 425 000 Adressen im Darknet. Geneigte und weniger geneigte Kreise können nun einsehen, wo Herr und Frau Auslandschweizer leben.
Misstrauen als Zeichen einer mündigen Demokratie
Damit sind wir bei den Kernfragen angelangt: Wie verändern die gigantischen Datenmengen das Verhältnis zwischen Bürger und Staat? Was bedeuten Datenschutz, Transparenz und Informationsgerechtigkeit im digitalen Zeitalter?
In der Bevölkerung herrscht hohes Misstrauen, aber auch ein Bewusstsein, dass Daten missbraucht werden können. Schweizerinnen und Schweizer sind vergleichsweise skeptisch, wenn es um Staat und Einsichtsrechte oder Zugriffsmöglichkeiten geht, was ein Zeichen einer mündigen Demokratie ist. Sie wollen wissen, was dieser doch eher ungreifbare Moloch Staat alles speichert. Dass der einzelne informiert wird, welche Daten der Staat über ihn sammelt, sollte ein selbstverständliches Grundrecht sein, insbesondere wenn es um solch riesige Datenmengen geht.
Das Jahresbudget des Bundes im Bereich IT beläuft sich auf total rund 1,2 Milliarden Franken, Tendenz steigend. Das zeigt, dass die Digitalisierung in der Verwaltung enorm an Bedeutung gewonnen hat. Es gibt kaum einen Bereich, in dem nicht schon riesige IT-Projekte realisiert wurden und entsprechende Projekte im Gang sind – oder desaströs gescheitert sind. Die Eidgenössische Steuerverwaltung hat kürzlich die elektronische Erfassung der Mehrwertsteuer abgeschlossen (um zur Abwechslung auch mal ein erfolgreiches Projekt zu nennen).
Wie in der Privatwirtschaft hiesse auch beim Bund das Ziel, durch Digitalisierung die Effizienz zu steigern und Prozesse zu optimieren. Was sicher auch geschieht. Nur sieht man beim Bund leider nie, dass die Effizienzsteigerung zu einer Reduktion des Personalaufwands führen würde, weil gleich wieder neue Stellen in anderen Bereichen geschaffen werden. Hinzu kommt, dass die Digitalisierung einen Zentralisierungsdruck auslöst. Die Kantone befinden sich im Sog der Standardisierung und lehnen sich oft an den Bund an. Das ist ein verständlicher Vorgang, untergräbt allerdings auch wichtige föderalistische Strukturen. Klar ist: Der Staat wird durch Digitalisierung und Zentralisierung verwundbarer und verstärkt zum Objekt von Cyberangriffen. Ich halte deshalb beispielsweise Bestrebungen in Richtung E-Voting für naiv, ja gefährlich. Solchen Manipulationsrisiken dürfen wir unsere direkte Demokratie nicht aussetzen, schon gar nicht aufgrund einer um sich greifenden Bequemlichkeit.
«Wie in der Privatwirtschaft hiesse auch beim Bund das Ziel, durch Digitalisierung die Effizienz zu steigern und Prozesse zu optimieren. Nur sieht man beim Bund leider nie, dass dies zu einer Reduktion des Personalaufwands führen würde.»
Was nicht vertraulich ist, sollte öffentlich sein
Alle diese staatlichen IT-Projekte haben zur Folge, dass sehr viel mehr Daten erfasst werden und digital vorhanden sind. Natürlich stellen diese Daten auch einen Wert dar; die Auswertung solch grosser Datenmengen war früher manuell gar nicht oder nur mit sehr grossem Aufwand möglich. Die öffentliche Hand hat diese Projekte finanziert. Abgeleitet davon ergeben sich weitere Fragen: Wer hat ein legitimes Recht, auf diese Daten zuzugreifen? Wer nicht? Wie sind die Daten geschützt?
Es gibt Daten, die der Öffentlichkeit zur Verfügung stehen müssen. Klassische Beispiele sind topografische Daten (Swisstopo) oder Wetterdaten (MeteoSwiss-App). Wo es allerdings um schützenswerte Personen- und Firmendaten geht, hat der Staat eine besondere Verantwortung, damit diese Daten nicht einfach frei zugänglich sind.
Der Staat wird nicht darum herumkommen, sein riesiges Datenvolumen zu klassifizieren. Das Datenschutzgesetz muss dabei nicht neu erfunden werden. Es reicht, wenn grundsätzlich das Prinzip «Open Government Data» gilt: Alles, was nicht unter den persönlichen Datenschutz fällt, sollte öffentlich zugänglich sein. Das Bundesgesetz über das Öffentlichkeitsprinzip in der Verwaltung (Öffentlichkeitsgesetz) geht in diese Richtung: Was nicht vertraulich ist, ist öffentlich. Wichtig ist die Reihenfolge: Der Bund muss Daten, Informationen und Dokumente zuerst als vertraulich deklarieren. Für alles andere gibt es das Recht auf Einsicht, gegebenenfalls auf Anfrage. Gerade Medien nutzen diese Möglichkeit, was wichtig ist für die Checks and Balances der Staatsgewalten.
Europa ist mit Inbrunst am Regulieren
Die Digitalisierung hat die Möglichkeiten, auf Daten zuzugreifen und Daten zu sammeln, enorm ausgeweitet. Nur müssen diese gigantischen Datenmengen auch irgendwo gespeichert werden können. Hier findet der nächste Clash mit der Realität statt: Sämtliche Cloud-Anbieter stammen aus dem Ausland, weil sich eine autarke, leistungsmässig vergleichbare Schweizer Cloud-Lösung betriebswirtschaftlich niemals rechnen würde. Solange es sich um die Speicherung unverfänglicher Informationen handelt, ist das kein Problem. Doch heikle Bereiche wie Steuern, Finanzen oder Personen müssen eine hoheitliche Aufgabe bleiben und die entsprechenden Daten in der Schweiz gespeichert werden. Was absehbar ist: Die jetzt schon immensen Datenvolumen werden durch die künstliche Intelligenz (KI) nochmals viel grösser werden. Daten werden von überall zusammengeführt, analysiert und aufbereitet und bekommen dabei eine noch höhere Bedeutung.
In der EU und auch in der Schweiz fokussiert sich die Diskussion auf einen Punkt: Welche neue Regulierung braucht es im Zusammenhang mit der KI-Entwicklung? Um es etwas pointierter zu formulieren: Europa beschäftigt sich inbrünstiger mit Regulierungsfragen und Risiken als mit Innovation. In ein paar Jahren wird man sich wieder die Augen reiben und feststellen, dass die KI-Musik ganz anderswo spielt.
«Europa beschäftigt sich inbrünstiger mit Regulierungsfragen
und Risiken als mit Innovation.»
Die besten und grössten Tech-Firmen befinden sich heute fast ausschliesslich in den USA oder China. Und auch der nächste Schnellzug droht schon wieder abzufahren, wenn wir nicht mehr über Chancen im digitalen Bereich zu reden beginnen. Natürlich sind Themen wie Informationsgerechtigkeit, Privatsphäre, Transparenz, Datenschutz wichtig. Wenn wir – und damit meine ich die Schweiz und nachgelagert auch Europa – aber de facto weitgehend abhängig sind von digitalen Supermächten oder Tech-Giganten, erübrigen sich diese Debatten.