Risiken der Cybergesellschaft beherrschen. Ein Auftrag an Staat und Politik

Die Jahre der digitalen Euphorie sind vorbei. Die Beherrschbarkeit der Digitalisierung ist die große Herausforderung für das kommende Jahrzehnt. Die Risiken sind vielfältig, ohne dass Staat und Politik bislang nachhaltige Antworten haben. Das Recht versagt an der Komplexität der digitalen Welt, Cyberunsicherheit greift um sich, digitale Plattformen machen Staaten Konkurrenz, staatlichen Behörden misslingt die eigene Digitalisierung. Die Beherrschbarkeit der Digitalisierung braucht einen neuen, ganzheitlichen Ansatz.

Risiko Alltagskomplexität

Seit Mai 2018 ist der Datenschutz neu geregelt. Mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung ist ein neues Kapitel in der über 40-jährigen Geschichte des Datenschutzes in Deutschland aufgeschlagen worden. Der Datenschutz wurde an die neue Realität einer vollständig vernetzten digitalen Welt angepasst. Seit Mai 2018 hat jede Bürgerin und jeder Bürger auf ihrem oder seinem Smartphone geschätzte 50 bis 100 Einwilligungserklärungen abgegeben, mit kurzem Fingertippen bestätigt, dass WhatsApp, Apple, Google, die Hausbank oder der Sportverein die Daten auch zukünftig – konform zur neuen Verordnung – nutzen dürfen. Wer von ihnen weiß, in was eingewilligt wurde, wie die Daten verarbeitet, mit welchen anderen Daten sie zusammengeführt, an wen sie weitergegeben wurden?

Apple hat schon 2015 ermittelt, dass iPhone-Nutzer ihr Gerät 80-mal am Tag entsperren. Jedes Mal werden Apps aufgerufen. Schaut man sich die datenschutzrechtliche Würdigung beispielhaft für eine einzige App auf dem Smartphone im Detail an, kommt man zu einem ernüchternden Ergebnis: Jeder Start der App löst eine Fülle datenschutzrechtlicher Vorgänge aus, Datenspeicherungen, Datenübermittlungen, Datennutzungen. Betroffen sind jeweils mehrere Unternehmen, es gelten jeweils verschiedene Gesetze. Alle Unternehmen verfügen über längliche, schwer verständliche Datenschutzbestimmungen. Für einzelne Nutzerinnen und Nutzer ist nicht erkennbar, welche Regelungen im konkreten Fall wie zusammenwirken. Auch die Datenschutzaufsichtsbehörden können nur nach intensiver Analyse belastbar sagen, was erlaubt ist und was nicht.

2030 werden wir mit jeder einzelnen Handlung unseres vollkommen digitalisierten Lebens eine Fülle von Datenverarbeitungsvorgängen auslösen.

Das Datenschutzrecht ist im Laufe seines Bestehens, im Gleichklang mit der Zunahme der digitalen Technik, stark gewachsen, an Umfang und Bedeutung. Gleichzeitig hat es die Bodenhaftung verloren. Selbst bei weit gravierenderen Rechtsgeschäften herrscht keine solche Komplexität wie beim Datenschutz. Der Kauf eines Fahrzeugs oder auch einer Immobilie stützt sich auf einige wenige Vorschriften im Bürgerlichen Gesetzbuch. Die rechtliche Grundstruktur kennt jeder, und die meisten Betroffenen haben ein Gefühl entwickelt, was zulässig ist und was nicht. Beim Datenschutz ist es anders: Einer kaum aufzählbaren Vielzahl datenschutzrechtlicher Regelungen steht eine große Verunsicherung gegenüber, was erlaubt ist und was nicht. Das Datenschutzrecht durchdringt unser gesamtes Leben, ist aber weit von der Lebenswirklichkeit entfernt. Setzen wir die Entwicklung bis 2030 in dieser Form fort, liegt das Ergebnis auf der Hand: 2030 werden wir mit jeder einzelnen Handlung unseres vollkommen digitalisierten Lebens eine Fülle von Datenverarbeitungsvorgängen auslösen, alles ist rechtlich geregelt, im Ergebnis der Praxis jedoch für niemanden durchschaubar, schon gar nicht für uns selbst.

Dass die Zusammenführung von Daten aus unserem zunehmend digitalisierten Alltag ein Risiko für unsere Persönlichkeitsrechte ist, versteht sich von selbst. Doch Staat und Recht haben es bislang nicht vermocht, dieses Risiko handhabbar und beherrschbar zu machen. Datenschutzdebatten über autonom agierende Staubsauger, vernetzte Drohnen oder Geschäftsgebaren von Online-Plattformen reißen nicht ab. Klare Verantwortungszuweisung und Verantwortungsmaßstäbe für unseren digitalen Alltag sind unter einer Fülle von Rechtsvorschriften verschüttet.

Risiko Cybersicherheit

Im Mai 2018 entdeckten Sicherheitsforscher acht neue Schwachstellen in Prozessoren des Marktführers Intel. Sie alle erlauben es Angreifern, auf den betreffenden Systemen illegale Operationen auszuführen, die Sicherheitsmaßnahmen zu umgehen, die Systeme zu manipulieren und Daten zu entwenden. Die Presse nahm wenig Notiz von der Meldung. Schließlich waren – mit größerer medialer Begleitung – nur wenige Monate zuvor Schwachstellen in Prozessoren entdeckt worden: »Meltdown« und »Spectre« genannt, bedrohten sie ebenfalls Chips von Intel und anderen Herstellern.

Die Öffentlichkeit ist abgestumpft von den vielen Berichten über Schwachstellen in Hardware und Software. Wir haben uns daran gewöhnt, dass Hardware und Software Mängel haben, dass Hacker sie ausnutzen können und ausnutzen, dass Computersysteme weltweit ständig angegriffen werden. Ende 2017 wurde ein Dutzend Computer im Auswärtigen Amt gehackt. Ein paar mehr oder weniger vertrauliche Dokumente sind russischen Nachrichtendiensten in die Hände gefallen. Auch das hochsichere deutsche Regierungsnetz erwies sich als Schwachstellen-behaftet, so wie zuvor schon das Netz des Deutschen Bundestages. Selbst eine der versiertesten Organisationen in Sachen Cybersicherheit, die US-amerikanische National Security Agency (NSA), kann sich nicht ausreichend schützen: 2015 wurden die Daten von 21 Millionen US-Bediensteten von Regierungssystemen entwendet, 2016 fielen sogar die geheimsten digitalen Angriffswerkzeuge der NSA einer Hackergruppe namens »ShadowBrokers« in die Hände.

Maßnahmen zur Cybersicherheit reichen nicht aus

Cybersicherheit ist ein strukturelles Problem, für das bis heute keine Lösung in Sicht ist: Wir machen uns Tag für Tag immer mehr von digitalen Systemen abhängig, deren Qualität und Sicherheit seit vielen Jahren eher ab- als zunehmen. Die Rate der Schwachstellen in herkömmlicher Software stagniert auf hohem Niveau. Komplexität und Schwachstellen zusammen liefern genau das, was Hacker lieben: sogenannte Angriffsvektoren. Die steigende Abhängigkeit von digitalen Systemen sorgt schließlich dafür, dass diese Vektoren auch genutzt werden. Herzschrittmacher werden ebenso angegriffen wie Tankstellen, Stahlwerke oder Regierungsnetze. Wo wir uns digital abhängig gemacht haben, da gibt es für Angreifer etwas zu holen: Betreiber lassen sich erpressen, Informationen zu Geld machen oder zum eigenen Vorteil nutzen, gekaperte Systeme für eigene Zwecke einsetzen – vom Krypto-Mining über Denial-of-Service-Attacken bis zur Verbreitung von Spionagesoftware. Ein Teufelskreis.

Cybersicherheit ist ein strukturelles Problem, für das bis heute keine Lösung in Sicht ist.

In der gleichen Geschwindigkeit, in der wir digitalisieren, vernetzen, Komplexität steigern, können wir die labilen Systeme nicht ausreichend schützen. Der Angreifer braucht nur eine Schwachstelle, um anzugreifen. Der Verteidiger muss alle Schwachstellen schließen, um sicher zu sein. Diese Logik gilt schon seit mehr als 20 Jahren. Es gibt keine Anzeichen dafür, dass sich der Trend umdreht und wir bis 2030 eine substanzielle Lösung der Sicherheitsprobleme im Cyberspace haben werden. Alle Maßnahmen zur IT- und Cybersicherheit, angefangen mit der Zertifizierung von Geräten über die gesetzliche Regelung der Sicherheit kritischer Infrastrukturen bis zu dem Ausbau der Fähigkeiten und Befugnisse der Sicherheitsbehörden, zeigen durchaus positive Effekte – ändern jedoch wenig an dem Grundproblem. Denn sie werden stets überholt von der höheren Innovationsgeschwindigkeit und der unermesslichen Komplexitätssteigerung, die mit der Vernetzung von allem mit jedem verbunden ist. Wir müssen uns auf viele Jahre der Cyberunsicherheit und Cyberinstabilität einstellen.

Risiko Plattformen

Schon 2015 wurden pro Minute vier Millionen Posts auf Facebook abgesetzt, 350.000 Tweets auf Twitter versandt und 300 Stunden Videomaterial auf YouTube hochgeladen. Solche digitalen Plattformen begleiten mittlerweile unser ganzes Leben. Auf digitalen Plattformen werden Geburten live gestreamt und Todesfälle berichtet, noch bevor die engsten Angehörigen sie erfahren. Eine Mutter aus Berlin musste gegen Facebook bis zum Bundesgerichtshof ziehen, um einen Zugang zum digitalen Nachlass aus dem Profil ihrer Tochter nach deren möglichen Selbstmord zu erhalten.

Der Umgang mit digitalen Plattformen hat sich als eine Schicksalsfrage der Digitalisierung herausgestellt. Denn die Plattformbetreiber, ihre Geschäftsmodelle, Benutzungsbedingungen und Algorithmen bestimmen unser digitales Zusammenleben ganz maßgeblich. Damit fordern sie nicht nur den Staat heraus, sie treten gleichsam in Konkurrenz zu den Staaten der Welt, indem sie Recht setzen und durchsetzen – noch dazu global und ohne jegliche demokratische Kontrolle. Evgeny Morozov nennt die Plattformbetreiber daher »die neuen Feudalherren« und sieht uns auf dem Weg in ein neues Zeitalter des Feudalismus. Zu konstatieren ist ein grundlegendes Problem im Verhältnis von Staaten und Plattformen, für das noch keine konsistente Lösung gefunden wurde.

Mit der Übertragung von Verantwortung an Internetplattformen betreibt der Staat seine Entmachtung selbst.

Während die Politik die Macht der Plattformen einerseits beschneiden will, datenschutzrechtlich, wettbewerbsrechtlich oder auch steuerrechtlich, sollen Plattform andererseits gesellschaftliche Verantwortung übernehmen. Ein Beispiel ist der Kampf gegen »Hate-Speech« und andere rechtswidrige Inhalte im Internet. Mit dem sogenannten »Netzwerkdurchsetzungsgesetz« verlangt Deutschland von den Plattformen unter Androhung von Bußgeldern, rechtswidrige Inhalte schnell zu löschen. »Offensichtlich« rechtswidrige Inhalte sollen binnen 24 Stunden gelöscht sein, alle anderen binnen einer Woche. Gemeint sind alle Formen von Gewaltverherrlichung, NS-Propaganda, Aufruf zu und Billigung von Straftaten, Verbreitung von Kinderpornografie, Beleidigungen und Verleumdungen, aber auch die heimliche Verbreitung von höchstpersönlichen Bildaufnahmen.

Doch die Entscheidung über die Rechtswidrigkeit von Inhalten ist alles andere als einfach und tangiert unsere Grundrechte im Kern. In der Anhörung zu dem Gesetzentwurf nannte ein Vertreter von Google als Beispiel das Video mit dem Gedicht, das der deutsche Satiriker Böhmermann über den türkischen Präsidenten Erdoğan veröffentlicht hatte. YouTube hatte das Gedicht nicht gesperrt, obwohl Erdoğan den Satiriker wegen Beleidigung angezeigt hatte. Heute, nach Inkrafttreten des Netzwerkdurchsetzungsgesetzes, würde man anders entscheiden, um kein Bußgeld zu bekommen.

Der Staat läuft der Digitalisierung der Daseinsvorsorge hinterher

Wenn eine Internetplattform bei jeder Beschwerde über irgendeinen Inhalt »im Zweifel pro Löschung« vorgeht, dann wird die Plattform zum Zensor ihrer Nutzer. Statt staatlicher Stellen oder unabhängiger Gerichte entscheiden die Löschabteilungen der Internetkonzerne, was rechtswidrig ist. Der Staat setzt nicht sein eigenes, demokratisch legitimiertes Recht auf den Plattformen durch, sondern akzeptiert letztlich die normative Kraft der Plattformen.

Gleichzeitig wandert mehr und mehr faktische Macht in Richtung digitaler Plattformen, gerade im Bereich der Daseinsvorsorge: Die aktuellsten Karten über Wegführung, Verkehrsschilder und Fahrspuren deutscher Straßen hält nicht der Staat bereit, sondern Google und HERE. Auch die Nahverkehrsdaten, die Fahrpläne von Bussen und Bahnen, sind bundesweit nur bei digitalen Plattformen verfügbar. Google hält mehr digitale Bücher vor, als die größte deutsche Bibliothek in ihrem (Papier-) Bestand hat. Diese Entwicklung der Privatisierung digitaler Daseinsvorsorge wird bis 2030 weitere Bereiche erfassen. Ob es das Gesundheitswesen oder das Bildungswesen ist: Es ist sehr wahrscheinlich, dass auch in weiteren Bereichen der Digitalisierung unserer öffentlichen Infrastrukturen die privaten Plattformanbieter schneller und konsequenter sein werden, als der Staat es sein kann. In Großbritannien hat der National Health Service (NHS) bereits 1,6 Millionen Patientendaten an Google übertragen, um von den Algorithmen und Rechenkapazitäten Googles zu profitieren.

Mit der Übertragung von mehr und mehr Verantwortung an Internetplattformen und der gleichzeitigen Schwäche bei der staatlich verantworteten Digitalisierung gesellschaftlicher Lebensbereiche schiebt der Staat den Feudalherren der Technologiekonzerne, wie Morozov sie genannt hat, im Grunde noch mehr Verantwortung und Macht zu. Der Staat betreibt seine Entmachtung selbst.

Risiko digitaler Staat

20 Milliarden Euro investieren die Behörden des Bundes, der 16 Länder und der 11.000 Kommunen in Deutschland Jahr für Jahr in ihre Digitalisierung. Doch der digitale Staat in Deutschland ist so etwas wie das Gegenteil von Google: hochgradig fragmentierte Datenbestände bei vielfältigen Behörden auf Bundes-, Landes- und Kommunalebene. Die Adressen der Bürgerinnen und Bürger werden an vielen Orten gespeichert und jeweils mühsam abgeglichen. Die staatlichen Register sind hochgradig fehlerbehaftet. Ein Bundesmelderegister gibt es nicht. Selbst innerhalb der Behörden ist die Datenlandschaft zersplittert. 2013 betrieb allein das Bundeskriminalamt 80 verschiedene Dateien zu Zwecken der Gefahrenabwehr und Prävention, die nun sukzessive zusammengeführt werden sollen.

Die Gründe für die digitale Zersplitterung der deutschen Verwaltung liegen in unserer komplizierten Staats- und Verwaltungsorganisation sowie im Datenschutzrecht, das diese organisatorische Struktur digital verfestigt. Denn der Staat darf Daten immer nur für einen eng begrenzten Einzelzweck speichern und nutzen, eine Zusammenführung und Vorhaltung zur Vorbereitung auf künftige Fragestellungen (à la Google) ist nicht möglich. Ein Beispiel ist die Idee des Predictive Policing, ein auf Big Data basierendes Verfahren zum Vorhersagen möglicher künftiger Straftaten zwecks besserer Planung polizeilicher Präventionsmaßnahmen. Will man solche Technologien einsetzen, müssen Gesetze geändert sowie Organisation und Technik der zersplitterten Polizei-IT angepasst werden – ein Aufwand, der viele Jahre dauert.

Ein Grund für die Zersplitterung und Schwäche des digitalen Staates liegt in der Heterogenität der eingesetzten Technologien.

Ähnlich ist es in anderen Bereichen öffentlicher Verantwortung, etwa im Gesundheitswesen. Unter Fachleuten ist unstrittig, dass viele Krankheiten besser bekämpft werden könnten, wenn zu Zwecken der Gesundheitsforschung Daten aus den unterschiedlichsten Bereichen des Gesundheitswesens zusammengeführt und mit Big-Data-Analysen ausgewertet würden. Doch auch diese Zusammenführung gelingt bislang nur in aufwendig definierten und vereinbarten Einzelfällen, eine allgemeine, übergreifende Lösung gibt es dafür nicht.

Ein Grund für die Zersplitterung und Schwäche des digitalen Staates liegt in der Heterogenität der eingesetzten Technologien. Anders als große Konzerne, die schon seit Jahrzehnten ihre IT-Landschaft mit großem Aufwand »konsolidiert«, also auf wenige Arten von IT-Systemen und Software reduziert haben, ist die IT des Staates nach wie vor überaus vielfältig. 2013 betrieben allein die Behörden des Bundes 96 Rechenzentren und 1245 Serverräume für die knapp 500.000 Beschäftigten des Bundes. Derzeit versucht der Bund, diese vielfältige Landschaft bei wenigen IT-Dienstleistern zusammenzufassen. 2030 wird dies voraussichtlich gelungen sein. Die Auflösung der zersplitterten Landschaft öffentlicher Datenbestände wird bis dahin kaum gelingen können.

Ein schwacher Staat im digitalen Raum setzt das Gemeinwesen aufs Spiel.

Während digitale Plattformen immer neue Daten über unser gesamtes Leben erfassen, auswerten und in vielfältiger Form bereitstellen, dabei zunehmend auch in Bereiche vordringen, die bislang eher Domäne der öffentlichen Hand sind, läuft der Staat der Digitalisierung in seinem Verantwortungsbereich hinterher – und riskiert damit Einfluss und Gestaltungsmöglichkeit in wichtigen Lebensbereichen.

Beherrschbarkeit der digitalen Welt

Digitales Handeln durchwebt unser gesamtes Leben und wird bis 2030 untrennbar mit jeder alltäglichen Handlung verbunden sein. Die genannten vier Risiken der Cybergesellschaft berühren nicht mehr nur Randbereiche, sondern den Kern unseres Zusammenlebens. Dabei stellt sich die alles überragende Frage der Beherrschbarkeit der digitalen Welt: Für jede Einzelne und jeden Einzelnen ist die Komplexität unserer digitalen Welt nur noch in Ansätzen verstehbar und beherrschbar. Globale Digitalplattformen setzen eigene Regeln und gehorchen ihrer eigenen Geschäftslogik. Sie sind uns keine Hilfe, weder beim Datenschutz noch bei der Cybersicherheit. Unserem Gemeinwesen und dem demokratischen Staat ist es bislang nicht gelungen, sich wirkungsvoll für den digitalen Raum aufzustellen. Weder gelingt eine transparente gesetzliche Verantwortungszuweisung noch die nachhaltige Herstellung von Cybersicherheit oder auch nur die adäquate Digitalisierung staatlicher Leistungen.

Der Staat ist schwach in der Beherrschung digitaler Räume. Mit der Schwäche des Staates sind Risiken großen Ausmaßes verbunden. Auf dem Spiel steht die Fähigkeit des Staates, das Gemeinwesen durch Recht zu ordnen und das Recht auch durchzusetzen. Auf dem Spiel steht die Möglichkeit, durch demokratische Willensbildung zu bestimmen, wie wesentliche Gesellschaftsbereiche ausgestaltet werden, das Gesundheitswesen etwa oder der Verkehr, das Bildungswesen oder die Medienlandschaft. Die Frage von Morozov ist berechtigt: Überantworten wir unsere Gemeinschaftsgüter den neuen Feudalherren der digitalen Plattformen? Übertragen wir das Setzen und Kontrollieren von Regeln den Plattformen? Können wir das je wieder zurückholen?

Die Bewältigung der Digitalisierung durch Recht wird Generationen beschädigen.

Ohne wirksam funktionierende staatliche Strukturen sind Rechtsstaat, Sozialstaat und demokratische Willensbildung nur Makulatur. Der Staat und seine Organe sind Ausprägungen unseres Willens, unser Land gemeinschaftlich zu gestalten und zu entwickeln. Wenn sich digitales Leben mehr und mehr außerhalb der Reichweite, des Einflusses, der Wirksamkeit des Staates entwickelt, legen wir die Axt an die Grundlagen unseres Gemeinwesens.

Ein Programm zur Beherrschbarkeit der Digitalisierung ist ein Auftrag an Staat und Politik, wie er umfassender kaum sein könnte. Denn ein solches Programm erfordert ein konsequentes und langfristig orientiertes Handeln, das mehrere Ansätze der Rückgewinnung von Souveränität und Beherrschbarkeit kombiniert. Es vereint Technikgestaltung, Rechtsetzung, Organisationsreform mit einem Wandel politischer Steuerung und administrativer Umsetzung. Fünf Vorschläge könnten Eckpfeiler eines solchen Programmes sein.

Verlässliche Technik einfordern

Ein Jahrzehnt der Cyberunsicherheit liegt vor uns. Cyberangriffe sind zum bevorzugten Mittel der Austragung zwischenstaatlicher Konflikte und der Durchführung krimineller Aktionen geworden. Die meisten Maßnahmen zur Cybersicherheit setzen bislang erst beim Einsatz von IT an oder bei dem Umgang mit Cyberangriffen, nicht an der Wurzel des Problems, den Schwachstellen in den Systemen. Es fehlt eine Verpflichtung der Hersteller von Hardware und Software zu hoher Produktsicherheit. Weil jede vernetzte Glühbirne, jeder Herzschrittmacher und jedes digital gesteuerte Auto angegriffen werden kann und selbst Sprungbrett für Angreifer werden könnte, muss die Basissicherheit digitaler Technik nachhaltig erhöht werden, um das Cybersicherheitsniveau langfristig zu erhöhen.

Deutschland als Land der Erfinder und Ingenieure, als Vorreiter technischer Normen und hoher Produktsicherheit kann hier vorangehen: Hersteller müssen gesetzlich verpflichtet werden, Qualitätskriterien einzuhalten. Dazu gehören die Qualitätssicherung bei der Softwareentwicklung, die Vermeidung bekannter Schwachstellen, eine hohe Transparenz in Bezug auf Sicherheitseigenschaften, die Bekanntgabe identifizierter Schwachstellen und ergriffener Gegenmaßnahmen sowie eine langfristige Betreuung des eigenen Produkts. Updates und Patches müssen über den gesamten Zeitraum seines Einsatzes bereitgestellt werden. Besondere Sorgfalt ist in Bereichen erforderlich, in denen es um Leib und Leben geht: Sei es bei der Medizintechnik, den selbstfahrenden Autos oder im Bereich von Waffensystemen – digitale Sicherheit muss hier auf nachgewiesen sicheren Lösungen beruhen. Basistechnologien für beweisbare Sicherheit stehen bereit, ihr Einsatz in kritischen Systemen muss gefördert – und gefordert – werden.

Wer mit persönlichen Daten umgeht, muss dies fair und transparent tun.

Die Verpflichtung auf belastbare Sicherheit der Produkte wird naturgemäß Hardware und Software verteuern und Innovationen verlangsamen. Wenn wir aus der Cyberunsicherheit herauskommen wollen, müssen wir das in Kauf nehmen. Die Erfahrungen der letzten Jahre zeigen, dass Europa den Wettbewerb der digitalen Wirtschaftsräume nicht mit der schnellsten Verbreitung von Technologien und den niedrigsten Preisen gewinnt, sondern da punkten kann, wo es um komplexe Lösungen geht. Wir sollten das auch im Hinblick auf die Sicherheit ausbauen: Europa sollte für hohe Qualität und belastbare Sicherheit stehen. Denn die Komplexität und Abhängigkeit werden weiter steigen. Wer die Cybersicherheit gleichwohl beherrscht, hat einen entscheidenden Vorteil.

Digitalrecht an Prinzipien orientieren

Der Datenschutz ist nur ein Beispiel für die Komplexität unseres Digitalrechts. Gleiches gilt zunehmend für die IT-Sicherheit. Allein wer versucht, die integrierten Angebote einer Internetplattform wie Google in Telekommunikationsdienste, Telemediendienste, Rundfunkdienste, digitale Infrastrukturen und digitale Dienste aufzuteilen – alles Rechtsbegriffe des deutschen Rechts –, wird ziemlich schnell verzweifeln.

Für die Beherrschbarkeit der Digitalisierung muss der zentrale Auftrag eines Digitalrechts vor allem in der nachvollziehbaren Zuweisung von Verantwortung und der Definition weniger, möglichst allgemein gültiger Maßstäbe und Prinzipien bestehen, die für alle Bereiche des digitalen Lebens Geltung haben. Wer mit persönlichen Daten umgeht, muss dies fair und transparent tun. Wer für unser Leben bedeutsame digitale Dienste erbringt oder entsprechende Produkte herstellt, muss sie nach dem Stand der Technik gegen Ausfall und Angriffe schützen. Wer Inhalte im Internet verbreitet, muss abhängig von seiner Bedeutung und seinen Möglichkeiten illegale Inhalte bekämpfen. Wer marktbeherrschende Plattformen anbietet, muss dem Staat ermöglichen, in den Plattformen Kriminalität zu bekämpfen und Interessenausgleich zu organisieren.

Der Staat ist schwach in der Beherrschung digitaler Räume. Mit der Schwäche des Staates sind Risiken großen Ausmaßes verbunden.

Auf dieser Ebene sollte der Gesetzgeber ansetzen und ein neues Digitalrecht entwickeln, das die Menschen in Deutschland verstehen und das sich nicht im Klein-Klein verliert. Ein solcher Ansatz erfordert einige Veränderung, einen politischen Willen im Parlament und auch ein »Loslassen« beim Bundesverfassungsgericht, das in der Vergangenheit stets auf sehr konkrete Regelungen gedrängt hat. Guter Grundrechtsschutz entsteht nicht durch kaum verständliches Detailrecht, von der Technik in Windeseile überholt. Ein besserer Schutz der Grundrechte und Grundwerte wird durch ihre Übersetzung in allgemeine Grundsätze für den digitalen Raum erreicht – und einen entsprechend effektiven Vollzug durch die staatlichen Behörden und Gerichte. Zu solchen Grundsätzen könnte auch ein Rücksichtnahmegebot gehören, das der damalige Bundesinnenminister Thomas de Maizière schon 2010 ins Gespräch gebracht hat, analog zum Rücksichtnahmegebot im Straßenverkehrsrecht. Das Zurücknehmen des Gesetzgebers und die Stärkung von Behörden und Gerichten erlauben es, schneller auf technische Entwicklungen zu reagieren.

Staat und Wirtschaft müssen bei der Beherrschung der Digitalisierung enger zusammenarbeiten.

Die Entwicklung eines neuen Digitalrechts wird nicht in einer Wahlperiode zu schaffen sein. Wir können froh sein, wenn wir bis 2030 die wesentlichen Grundlagen beschlossen haben. Denn die Bewältigung der Digitalisierung durch Recht wird Generationen beschäftigen. Das Beispiel des BGB – erarbeitet zwischen 1874 und 1896 – zeigt, dass grundlegendere Ansätze der Regulierung lange dauern, es dann aber vermögen können, langfristige Wirkung zu entfalten. Das BGB wurde ein Exporterfolg – vielleicht kann Deutschland das bei einem modernen Digitalrecht wiederholen.

Aufgaben im Föderalismus neu verteilen

Ein Großteil der Schwierigkeiten mit der Beherrschung der Digitalisierung liegt in der Binnenorganisation des Staates begründet, in der Aufteilung von Zuständigkeiten, Ressourcen und Verantwortung. Wir müssen den Staat neu organisieren, wenn wir seine Handlungsfähigkeit im digitalen Raum verbessern wollen. Viel ist dazu in den letzten Jahren geschrieben, manches auch praktisch umgesetzt worden. Alle bisherigen Ansätze haben vor allem eins geschafft: die Komplexität weiter gesteigert. Es kommt aber darauf an, die Komplexität zu reduzieren.

Das Verhältnis von Bund, Ländern und Kommunen muss komplett neu geordnet werden. Die bisherigen Föderalismusreformen waren zu zaghaft und haben zudem die formelle oder informelle Verklammerung von Bund und Ländern weiter erhöht. Diesen Prozess sollten wir umdrehen: Wo der Bund für die Gesetzgebung zuständig ist, sollte er auch zentrale IT-Systeme bereitstellen – Wohngeld, Elterngeld, Kindergeld, Melderegister, mit offenen interoperablen Schnittstellen, auf die Länder und Gemeinden ihre Dienstleistung aufbauen können – und aufbauen müssen. Wo die Wirtschaft digital mit dem Staat zusammenarbeitet, soll der Bund die Schnittstellen einheitlich definieren, so wie in der Gesetzgebung das »Recht der Wirtschaft« bundesweit einheitlich ist. Wo staatliche Aufgaben bundesweit eng verknüpft sind wie die Polizei oder die Steuer, müssen verpflichtend einheitliche Systeme geschaffen werden. Die Überwachung global tätiger digitaler Plattformen muss durch den Bund erfolgen, sei es im Datenschutz oder bei der Besteuerung.

Gleichzeitig muss die dezentrale Entscheidungsbefugnis vergrößert werden: Wie wir vor Ort leben und arbeiten, wo eine Schwimmhalle gebaut, welche Straße erneuert, welches Wohngeld gezahlt oder wie die Schulen ausgestattet werden, sollte vor Ort entschieden werden. Einheitliche digitale Dienste aus den staatlich betriebenen deutschlandweiten Plattformen stellen den Kommunen Hilfe bereit – doch die Entscheidungen fallen vor Ort und stärken die digitale Souveränität unseres Gemeinwesens.

Verwaltung für Kooperation und Personal öffnen

Die Herausforderungen für Staat und Verwaltung bei der Beherrschung der Digitalisierung sind groß. Ob es die Veränderungen in Wirtschaft und Arbeitswelt sind, die neuen Sicherheitsprobleme, die Regulierung mächtiger globaler Plattformen oder auch die komplette digitale Transformation der eigenen Arbeit: Die Veränderungen in Aufgaben, Selbstverständnis und Wirkungsmacht treffen alle Bereiche staatlicher Verwaltung im Kern. Hierauf sind die Behörden nicht ausreichend vorbereitet. Die Digitalspezialisten des Staates sind zumeist schlechter ausgebildet als ihre Kollegen in der Wirtschaft. Die Gehälter der IT-Fachkräfte liegen in der Regel unterhalb des Gehaltsniveaus der Privatwirtschaft. Selbst in Bundesministerien sind die Gehälter im mittleren Management signifikant niedriger als in den Unternehmen.

Zudem ist ein Wechsel aus der Wirtschaft zum Staat in der Regel eine Einbahnstraße. Attraktive Leistungen wie die Beamtenversorgung kann man später nicht mitnehmen, wenn man wieder zu einem Unternehmen gehen möchte. Man muss sich also entscheiden, zu niedrigerem Gehalt, dann aber für immer zum Staat zu wechseln. Hiervon macht kaum jemand Gebrauch, der bereits mehr als einige Jahre Berufserfahrung vorweisen kann. Anders als in Frankreich oder den USA sind Wechsel zwischen Staat und Wirtschaft eine große Ausnahme. Ergebnis dieser Abschottung des öffentlichen Dienstes ist eine mangelnde Kooperation von Staat und Wirtschaft bei der Digitalisierung. Während die Trennung von öffentlich und privat bei den digitalen Plattformen im Netz zunehmend verschwimmt, der Staat den privaten Plattformen öffentliche Aufgaben überträgt, schotten die Behörden sich selbst weiterhin stark ab.

Klare Verantwortungszuweisung und Verantwortungsmaßstäbe für unseren digitalen Alltag sind unter einer Fülle von Rechtsvorschriften verschüttet.

Höhere Wirkungsmacht bei der Beherrschung des digitalen Raums wird dadurch nicht erreicht. Weit effektiver wäre es, wenn Staat und Wirtschaft eng kooperierten. Ein Cyberabwehrzentrum sollte nicht nur aus Beamten bestehen, auch Experten der Wirtschaft müssten dort sitzen. Digitalisierte Verkehrsinfrastrukturen sind ein Gemeinschaftswerk von öffentlicher und privater Seite und sollten gemeinsam verwaltet werden. Ein Beamtenrecht, das den Personaltausch zwischen Behörden und Unternehmen fördert, hilft beiden Seiten, sich besser zu verstehen und gemeinsam an der Beherrschung des digitalen Raums zu arbeiten. Deutschland hat viel Erfahrung mit dem kooperativen Ansatz der Regelung großer Gesellschaftsbereiche – von der Tarifpartnerschaft bis zum Gesundheitswesen. Bei  Cybersicherheit und Digitalisierung können wir  daraus lernen.

Neue Digitalpolitik organisieren

Anfang 2018 beschäftigten sich 244 Referate in 76 Abteilungen innerhalb der Bundesregierung mit Fragen der Digitalpolitik. Schon in der letzten Wahlperiode des Deutschen Bundestages verfolgte die Regierung – ausweislich der Digitalen Agenda – insgesamt 271 digitalpolitische Vorhaben. Mehr oder weniger betreffen sie alle die Frage der Beherrschbarkeit des digitalen Raums. Ob es um die Veränderungen in der Landwirtschaft geht, die Modifikation von Berufsbildern und Arbeitsformen, die gesundheits-, energie- oder verkehrspolitischen Herausforderungen: Stets spielen Fragen des Digitalrechts, der Plattformen, des Datenschutzes, der Sicherheit oder auch der Nutzung und Weiterentwicklung digitaler Infrastrukturen eine Rolle. Sie alle werden überwiegend entlang der jeweils konkreten politischen Probleme beantwortet, selten aber übergreifend.

Was uns heute fehlt, ist eine Behandlung der übergreifenden Fragen der Beherrschung der Digitalisierung: Die Rolle des Staates im digitalen Raum, sein Auftrag bei der digitalen Daseinsvorsorge, die Grundfragen eines neuen Digitalrechts – all das wird bislang nicht ausreichend politisch sichtbar und prominent bearbeitet. Gerade hier aber haben Staat und Politik einen Auftrag zu erfüllen, der einen langen Atem erfordert, kluge und gut ausgebildete Experten, intensiven gesellschaftlichen Dialog.

Digitalpolitik ist keine Fachpolitik wie Verkehrs- und Gesundheitspolitik, die nur bestimmte Lebensbereiche betrifft. Sie betrifft unser ganzes Leben. Sie ist viel eher vergleichbar mit zwei anderen Querschnittsmaterien: Geld und Recht. Für beide Querschnittsfragen haben wir entsprechende Ministerien, die sich um die politische Strategie kümmern, gleichzeitig aber auch politikfeldübergreifend für die fachliche Substanz sorgen. Das brauchen wir auch für die Digitalpolitik. Eine strategische Bündelung im Bundeskanzleramt, wie sie 2018 erfolgt ist, kann ein erster Schritt sein. Langfristig jedoch brauchen wir ein Digitalministerium, dessen Auftrag die Förderung, aber eben auch die Beherrschung der Digitalisierung sein muss.

Digitalpolitik

Wie wir handeln müssen

Mit der Digitalisierung aller Lebensbereiche werden die Risiken der Cybergesellschaft eine Gefahr für unser gesamtes Leben. Sie bedrohen die Souveränität der einzelnen Menschen und die Handlungsfähigkeit unseres demokratischen Staates insgesamt. Deutschland muss den Risiken politikfeldübergreifend entgegentreten:

  • Die Sicherheit und Zuverlässigkeit digitaler Technologien muss entscheidend verbessert werden. Die Verantwortung für sichere Systeme muss durch neue Haftungsregelungen auf die Hersteller verlagert werden. In kritischen Bereichen dürfen nur beweisbar sichere Systeme zum Einsatz kommen.
  • Wir brauchen ein übergreifendes Digitalrecht, das Anforderungen der Verantwortung, Sicherheit, Vertrauenswürdigkeit und Transparenz definiert. Ein neues Digitalrecht muss auf Grundsätzen beruhen, die von einzelnen Technologien und Systemen unabhängig sind.
  • Die digitale Transformation unseres Lebens erfordert eine digitale Transformation unseres Staates. Die Aufgaben zwischen Bund, Ländern und Kommunen müssen neu verteilt, die Verklammerung aller Ebenen aufgelöst und wichtige staatliche Aufgaben wie die öffentliche Sicherheit im digitalen Raum schlagkräftiger organisiert werden.
  • Die öffentliche Verwaltung muss sich stärker öffnen und vernetzen. Gemeinsame Einrichtungen von Staat und Wirtschaft, etwa bei der Cybersicherheit, sind ebenso nötig wie eine Veränderung des Beamtenrechts zur höheren Durchlässigkeit zwischen privatem und öffentlichem Bereich.
  • Wie Finanz- oder Rechtspolitik ist Digitalpolitik eine auf Dauer nötige Querschnittspolitik. Wir müssen den übergreifenden Gehalt der Digitalpolitik effektiver organisieren und ein Digitalministerium einrichten.

Martin Schallbruch (53) ist einer der erfahrensten Experten der deutschen Digitalpolitik. Als Diplom-Informatiker mit juristischer Zusatzausbildung prägte er über mehr als zehn Jahre als IT-Direktor und Abteilungsleiter im Bundesministerium des Innern die entstehende Netz- und Digitalpolitik Deutschlands. Er ist Autor der Bücher »Schwacher Staat im Netz« und »Cybersecurity in Germany« (beide Springer). Als Direktor am Digital Society Institute der ESMT Berlin forscht, lehrt und berät er zu Fragen der Digitalisierungsstrategie, Cybersicherheit und zur Zusammenarbeit von Staat und Wirtschaft in der Digitalisierung.