OSS: sicher, effizient, nachhaltig : Gerade Behörden sollten verstärkt auf offene Lösungen setzen
Einige der vielen Vorteile von Open Source sind besonders (wenn auch nicht nur) für Behörden bedeutsam. Unser Autor plädiert daher für ein Umdenken hin zum verstärkten Einsatz von Open-Source-Produkten in der öffentlichen Hand.
Dass Open-Source-Software (OSS) aufgrund der umfassenden Prüfbarkeit des Codes Vorteile für Datenschutz und Sicherheit bietet, dürfte die meisten – Leser nicht überraschen – in der letzten Sicherheitsstudie der hatten immerhin 58 % der Teilnehmer OSS einen Sicherheitsgewinn gegenüber nicht offengelegten Quelltexten attestiert. Bei der Beschaffung scheinen jedoch weiterhin überwiegend Kostenvorteile zu punkten. Dabei lohnt Open Source längst nicht nur aus wirtschaftlichen Gründen, sondern oft auch, um bestehende Abhängigkeiten zu zwischenzeitlich teils sehr großen Softwareanbietern zu mindern. Gerade bei Behörden ist der Einsatz von Open-Source-Lösungen mit einer Vielzahl von Vorteilen verbunden, die längst nicht jeder vor Augen hat.
Kosteneffizienz
Wo man keine privaten Ressourcen, sondern Steuergelder einsetzt, ist ein effizienter Einsatz der – teils immensen – Softwarebudgets besonders geboten. Dies lässt sich mit quelloffener Software besser sicherstellen, weil diese umfassender geprüft werden kann – besonders auch daraufhin, dass ein Anbieter mit den über sein Produkt erlangten Daten nicht unerkannt weitere (ökonomische) Interessen verfolgt, allem voran etwa durch gewinnorientierte Weitergabe bestimmter Informationen an Dritte. Sollten solche zusätzlichen Einnahmemöglichkeiten tatsächlich bestehen, wären diese der Behörde und nicht dem Softwareanbieter einzuräumen. Dort wäre dann auch wesentlich eher von der Wahrung beispielsweise des Datenschutzrechts auszugehen, weil Behörden qua Konstitution zwingend wie umfassend nachprüfbar an Recht und Gesetz gebunden sind.
Standardisierung
Bei verstärktem Einsatz von Open-Source-Produkten im Behördenumfeld lässt sich eine zunehmende Standardisierung von Datenmodellen und in der Folge auch von Schnittstellen erwarten. Dadurch ließen sich die lokal teils deutlich divergierenden regulativen Lösungsansätze sinnvoll (technisch) austarieren, die der auch heute sinnvolle Föderalismus mit sich bringt. Jedenfalls geht das mit OSS deutlich besser als bei der Nutzung proprietärer Software, wo der jeweilige Programmanbieter möglicherweise gar kein vordringliches Interesse an einer (z. B. bundeslandübergreifenden) Standardisierung zeigt.
Transparenz
Gerade im staatlichen Einsatz gelten besonders hohe Transparenzgebote: Behörden werden softwaregenerierte Lösungen (z. B. durch zunehmenden Einsatz automatisierter Algorithmen) auf der Basis von Open Source sowohl gegenüber Bürgerinnen und Bürgern als auch gegenüber Gremien besser vermitteln können, als dies beim Einsatz proprietärer Software von einem gewinnmaximierenden Anbieter möglich sein kann.
Als Beispiel mag ein „Lieferantenfindungsalgorithmus“ dienen, der zu kurzfristig benötigten Instandhaltungsarbeiten bei vergaberechtlich vorgeprüften und optimalerweise mit Rahmenverträgen gebundenen Serviceunternehmen Firmen auswählt. Um eine Auftragshäufung gegenüber einzelnen Lieferanten kategorisch auszuschließen, lässt sich dies mit quelloffener Programmierung deutlich besser erklären, als wenn dieser Algorithmus in einer komplexen proprietären Software integriert wäre, deren Anbieter man dann hinsichtlich einer tatsächlich neutralen Ausgestaltung nur glauben oder eben nicht glauben könnte – überdies könnte eine solche „Glaubensentscheidung“ auf den Ebenen der Behördenvertreter, der Bürger und etwaiger Gremienmitglieder völlig unterschiedlich ausfallen und somit weiteren Diskussions- und Abstimmungsaufwand nach sich ziehen.
Ein „Geschmäckle“ (ob inhaltlich zutreffend oder nicht) könnte dabei eventuell besonderes dort um sich greifen, wo der proprietäre Softwareanbieter sogar selbst dem zugehörigen Lieferantenumfeld oder dem relevanten Wirtschaftssektor zuzurechnen sein sollte – was beispielsweise mit besonderer Erfahrung im betroffenen Aufgabengebiet begründet werden könnte
Neutralität
Beim Erlass von Normen wird größtmöglicher Wert auf die staatliche Neutralität gelegt. Erkennbar durch Lobbyarbeit zustande gekommene Regelungen begleitet häufig von Anfang an Skepsis – sie lösen in der Folge gegebenenfalls überproportional viele Rechtsbehelfe gegen ihre Anwendung aus. Nichts anderes darf für „Smart Contracts“ und damit verbundene automatisierte Prozesse gelten: Sie sollten einer durch neutrale Stellen nachprüfbaren Software entspringen, was ebenfalls für den Einsatz von Open Source spricht.
Know-how-Effizienz
Der – zugegeben stark ausbaufähige – behördliche Umgang mit Algorithmen, modernen Datenanalysemethoden et cetera erfordert eine tief gehende Expertise. Werden solche Kenntnisse herstellerunabhängig gewonnen, lässt sich das IT-spezifisch ohnehin rare Fachpersonal besser finden und wesentlich nutzbringender einsetzen. Das liefert den letztlich finanzierenden Bürgerinnen und Bürgern nicht nur Effizienzvorteile aufgrund ressourcenadäquaterem Personaleinsatz, sondern bietet auch die Möglichkeit, Mehrwerte zu generieren: Wer die teils langen Warteschlangen bei behördlichen Servicecentern kennt, ist für jedwede digitale Abwicklungsmöglichkeit einzelner Vorgänge dankbar. Zum Beispiel sind neuerdings nach der „iKfz-Novelle“ nun digitalisierte Verfahren bezüglich etlicher Zulassungsvorgänge nutzbar (inkl. elektronischer Bezahlmöglichkeiten).
Solche hoheitlichen digitalen Lösungen – letztlich ohne Pflicht zur persönlichen Vorsprache bei der Behörde – waren bis vor Kurzem noch undenkbar. Ihre Entwicklung und Umsetzung setzen aber umfassend geschultes Personal voraus, das sich breiter ausbilden lässt, sofern man Abhängigkeiten von einzelnen Herstellern stärker als bisher überwindet.
Ausschreibungen
Die öffentliche Hand hat Leistungen grundsätzlich auszuschreiben, so auch zu benötigter Software. Die Pflicht zur (ggf. europaweiten) Ausschreibung resultiert dabei nicht nur aus der bedeutsamen Wirtschaftlichkeitsorientierung tradierten Haushaltsrechts, sondern ist gerade auch zur Realisierung des verfassungsrechtlich gebotenen Gleichbehandlungsgrundsatzes unverändert sinnvoll.
Bisher wird häufig vorgetragen, dass es für eine bestimmte Aufgabenstellung nur einen einzelnen Programmanbieter gebe, der in der Lage sei, eine behördenspezifische Software bereitzustellen. Die Schaffung von Softwarelösungen sei zudem ein dergestalt individuelles Produkt geistiger Schöpfung, das schon deshalb entweder Abweichungen vom üblichen Vergabeverfahren rechtfertige beziehungsweise zu einem solchen Zuschnitt der Ausschreibung führe, dass danach faktisch nur noch ein Anbieter verbleibe.
Durch ein derartiges Vorgehen werden jedoch bestehende Abhängigkeiten von einzelnen Anbietern weiter verfestigt! Sollen also verstärkt Open-SourceLösungen beschafft werden, gilt es dies frühzeitig im Vergabeprozess zu berücksichtigen – und zwar so, dass die zu erbringenden Leistungen (z. B. zu einer konkreten Buchungsaufgabe, zu Hintergrundberechnungen mit nachfolgendem Bescheiderlass etc.) derart offen und detailliert im Leistungsverzeichnis beschrieben werden, dass dazu auch Open-Source-Anbieter Lösungen schaffen können. Ein wichtiger Parameter kann dabei die wichtige Frage der Informationssicherheit sein, die mit dem (OpenSource-)Programmcode beginnt, der dementsprechend vollumfänglich nachprüfbar sein sollte.
„Lock-in“ durch eingebettete Daten
Um passgenaue (Open-Source-)Lösungen programmieren zu können, ist in aller Regel auf ein ausreichend großes Datenvolumen denkbarer Fallkonstellationen zurückzugreifen. Dies gestaltet sich in der Praxis schwierig, weil am Markt platzierte Anbieter die eigentlichen Behördendaten so in der Programmumgebung verweben, dass diese nur schwierig nachträglich zu extrahieren sind und sodann beispielsweise Urheber- oder Markenrechte etwaige Datenbereitstellungen ausschließen.
Ein Beispiel zur Veranschaulichung: In einem komplexen Programm zum Sozialbereich sind die eigentlichen Falldaten (Rechtssphäre der Behörde) in verschachtelte Hintergrundprogrammtabellen (rechtlich geschützter Bereich des Anbieters) eingebettet. Kommt es nun wegen einer gesetzlichen Änderung zu neuen Statistikpflichten, wäre es zwar wünschenswert, lediglich die neu benötigten Statistikfunktionen sicher und günstig (z. B. an einen Open-Source-Anbieter) zu vergeben. Anderen Anbietern als dem bisherigen Lieferanten wird jedoch – in der geschilderten Konstellation insofern sogar verständlicherweise – kein Zugriff auf die verwobenen Daten gewährt. Deshalb lässt sich faktisch nur ein Zusatzmodul vom bereits etablierten Softwareanbieter beschaffen.
Um für die Vorteile von Open-Source-Lösungen offen zu sein, sollte man daher standardmäßig im Rahmen der Vergabe IT-bezogener Leistungen dafür Sorge tragen, dass die eigentlichen Falldaten stets in einem abgetrennten Bereich jenseits der Programmumgebung gesichert werden. Dies würde Behörden nicht nur die Einhaltung der Datenschutzgrundverordnung (DSGVO) erleichtern, sondern in vielen Fällen überhaupt erst „echte“ Ausschreibungen ermöglichen. Denn der solchermaßen separierte Datenbereich, zu dem sämtliche Rechte bei der beauftragenden Behörde liegen, kann dann auch für andere potenzielle Anbieter anonymisiert bereitgestellt werden.
Fazit
Überlegungen zum verstärkten Einsatz von OpenSource-Lösungen müssen ganz entscheidend im Vergabebereich ansetzen. Dieser ist stärker als bisher auf Fragen der Informationssicherheit zu fokussieren. Darüber hinaus sind Programmstrukturen daraufhin zu überprüfen und anzupassen, dass auch für Folgeaufträge eine echte Ausschreibung möglich bleibt. Auf diese Weise vermeidet man Abhängigkeiten und kann neben erhöhter Sicherheit von vielen anderen OSS-Vorteilen in Sachen Effizienz, Transparenz und Nachhaltigkeit profitieren.
Ralf Klomfaß ist Dipl.-Verwaltungsbetriebswirt (FH), DiplomJurist (Uni Mainz), Master des Wirtschaftsrechts (Uni Köln, LL. M.) sowie Leiter der Abteilung für Verwaltungsprüfungen der Landeshauptstadt Mainz. Eine seiner Schwerpunkttätigkeiten bildet die Revision der Informationssicherheit, seinem Zuständigkeitsbereich unterfallen aber auch Vergabefragen.