Debatten um Gesundheitsdaten und Cybersicherheit rücken den staatlichen IT-Dienstleister in den Fokus.
Das Bundesrechenzentrum (BRZ) ist seit 25 Jahren der IT-Dienstleister der Republik Österreich, betreut E-Government-Agenden und betreibt eines der größten Rechenzentren des Landes. Von FinanzOnline bis zum Grünen Pass kümmern sich 1.500 Mitarbeiter um die Daten der Bürger und deren Verwendung. Roland Ledinger, seit Herbst 2021 einer der beiden neubestellten BRZ-Geschäftsführer, beschreibt im Gespräch mit der "Wiener Zeitung" den Balanceakt zwischen Staatsauftrag, IT-Innovationen und Politik sowie Datenschutz und Bürgersorgen.
Wiener Zeitung: Herr Ledinger, Sie kommen aus der Verwaltung und haben nun quasi die Seiten gewechselt zum IT-Dienstleister, welche Vorteile hat das?Roland Ledinger: Ich bringe Verständnis für beide Seiten mit. Das BRZ ist IT-Provider für einen sehr spezifischen Kernmarkt, die Bundesverwaltung. Da ist es wichtig, dass man eine ähnliche Sprache spricht und die Bedürfnisse der Verwaltung kennt.
Wie funktioniert das bei einem Bundesauftrag? Gibt es da einen Wunsch und das BRZ muss sich eine Umsetzung überlegen oder kommen gleich konkrete Vorgaben?
Das ist unterschiedlich, es gibt Auftraggeber, die nur mit einer Idee kommen, etwa: "Wir haben dieses Problem, wie können wir da digitalisieren?" Wir versuchen aber auch mit Ideen an die Mitarbeiter im Ministerium heranzutreten, zeigen ihnen, wo Digitalisierung hilfreich ist. Gibt es klare Vorstellungen, setzen wir gemeinsam ein Konzept auf und übernehmen Umsetzung und Betrieb.
Hat das BRZ die Möglichkeit zu sagen, dass man etwas nicht wie gewünscht machen kann oder dass etwas nicht rechtskonform ist?
Rechtliche Abklärung, inhaltliche und fachlich-prozessoralen Vorgaben müssen bei uns die Kunden machen. Wir können beraten, Erfahrungen weitergeben, greifen auch auf Best Practices aus einem europäischen Netzwerk mit anderen IT-Providern der öffentlichen Verwaltung zu. Aber wir müssen das Vergabegesetz einhalten. Wird eine spezielle Software gewünscht, müssen wir erst sehen, ob wir das im Vergaberegime auch abdecken können. Auf der technologischen Ebene bieten wir die bestmögliche Beratung und Umsetzung.
Was sind derzeit die heißesten Technologietrends für die öffentliche Verwaltung?
Man kommt nicht um das Thema Cloud herum, in der ganzen IT-Branche. Wir haben in Österreich aber keine generelle Linie vorgegeben, ob nun alles oder nichts in die Cloud darf. Einzelne Lösungen laufen bereits in einer Public Cloud. Da gibt es Checklisten, die vom Bund vorgegeben sind, wo Datensicherheit und Kategorisierung der Prozesse festgelegt sind. Die politische Frage bleibt aber jeweils, ob es den Bürgern zuzumuten ist, dass ihre Daten in der Cloud liegen.
Viele Menschen machen sich Sorgen, wenn es um Datenspeicherung in der Cloud geht . . .
Was sich große Cloud-Anbieter vorstellen, dass das ganze BRZ mit seinen Applikationen etwa in Microsoft-Azure-Cloud geht, ist nicht möglich. Wir haben immerhin die Daten der Bürger und Unternehmen bei uns, die - auch wenn es rechtlich möglich wäre - eine gewisse Sensibilität haben. Information ist das zentrale Gut eines Staates. Ob ein Rechenzentrum lokal steht, sagt ja nichts darüber aus, wohin Daten fließen und wie der Zugriff darauf aussieht. Die Rechtslage, basierend auf US-Rahmenbedingungen ist, dass die USA, egal, wo Daten liegen, da zugreifen kann.
Cybersecurity ist aktuell auch ein wichtiges Thema?
Ja, durch den Ukraine-Krieg haben wir gemerkt, dass Sicherheitsüberlegungen wieder mehr im Mittelpunkt stehen. Was wir auch immer öfter sehen, ist, dass es politisch motivierte DDoS-Attacken (Distributed-Denial-of-Service) gibt. Da blockieren massenhafte automatische Anfragen ein System. So etwas passiert etwa wenn ein Minister einen Lockdown ankündigt. Laut unserer Statistik gibt es drei DDoS-Angriffe pro Sekunde, rechnet man das vom Jahr herunter. Das ist also ein gewisses, immer vorhandenes Grundrauschen.
Rund um Gesundheitsdaten gibt es viele Diskussionen, was man tun darf und was nicht.
Das müssen die Ministerien, die fachlichen und politischen Ebenen entscheiden, wir sind da nicht involviert. Es ist allerdings nicht so schlecht, dass man darüber einen Diskurs führt und auch Leute wie den Herrn Lohninger von Epicenter Works frühzeitig einbindet. Oft könnte man rechtlich mehr, aber man muss berücksichtigen, was den Bürgern zumutbar ist. Etwa wenn Daten in der Public Cloud liegen. Da ist die Verwaltung in einem Zwiespalt zwischen dem, was möglich wäre, und dem, was zumutbar ist.
Der Grüne Pass ist da ein Beispiel?
Ja, da gab es viel Diskurs. Man hat aber eine sichere Lösung gefunden, wie im Hintergrund die Zertifikatserstellung läuft und wie man die vielen Schnittstellenpartner - Teststraßen, Apotheken, Ärzte - einbindet. Und zusätzlich gibt es die App, die auf einer Schweizer Open Source Lösung basiert. Man muss ja nicht jedes Rad neu erfinden. Wir haben mittlerweile 200 Millionen Zertifikate erstellt, die App ist sechs Millionen Mal installiert worden. Sie hat somit eine hohe Reichweite und Akzeptanz. Der Diskus tut dem technischen Produkt im Endeffekt also ganz gut.
Ein Produkt, bei dem jeder im Land mitredet, ist eine neue Erfahrung für das BRZ?
Wir haben schon zig Bürgerkonferenzen hinter uns. Ich erinnere mich, zu Beginn von österreich.gv.at war ich noch auf der Verwaltungsseite. Da stand ich mit einer Mutter, die ihr Baby am Arm hatte. Wir sind ihre Erfahrungen mit den Verwaltungsstellen rund um die Geburt durchgegangen. Bei FinanzOnline mit rund sechs Millionen Usern aus dem Privatbereich und den Unternehmen, haben wir seit Jahren Bürgerbeteiligungsverfahren.
Wenn wir wirklich digitale Transformation wollen, müssen wir von vorhandenen Prozessen wegkommen. Das geht nur, wenn wir die ganze Kette des Prozesses vom Anwender/Bürger/Unternehmer bis in die Verwaltung sehen. Man muss aufhören, einfach jetzige Prozesse digital abzubilden
Ein weiteres Beispiel ist die antragslose Familienbeihilfe, die nach einer Geburt nun automatisch zugeteilt wird, man muss kein Formular mehr ausfüllen. Der Staat hat ja alle Daten. Nur wenn Kontodaten oder etwas anderes fehlt, wird nachgefragt. Jetzt laufen die Daten, nicht mehr der Mensch. Seit 2015 sind 530.000 antragslose Familienbeihilfen zugeteilt worden. Nach einer Geburt werden zudem Geburtsurkunde, Staatsbürgerschaftsnachweis, E-Card und Meldezettel automatisch zugestellt.
KI ist für die Verwaltung auch interessant, aber ein Reizthema, oder?
Künstliche Intelligenz hat zwei Seiten: Eine ist die Automatisierung. Gerade in der Verwaltung, bei Anträgen, die stets nach einem Muster ablaufen, könnte man viel mit KI vorab klären. Viele Zulassungsverfahren könnten so automatisiert werden. Es gibt auch ein Riesenpotenzial, mit KI Wissen zu sichern. Wir stehen vor einer großen Pensionierungswelle in der Verwaltung, bei der viel Fachwissen verloren gehen könnte. Es gibt kaum reguläre Übergaben mehr, weil es immer weniger Verwaltungspersonal gibt. Mit KI könnte man Wissensbausteine aufbauen, die dann in Anwendungen zur Verfügung stehen.
Ein KI-Beispiel ist auch ein Chatbot, der Muster in Fragen erkennt und dazu passende Antworten gibt. Eine Vision wäre, dass Sie einen persönlichen Assistenten für die Steuererklärung bekommen, der Ihnen genau sagt, was als nächstes zu tun ist.
Ist das BRZ bei der Digitalen Schule eingebunden?
Wir sind nur Dienstleister und servicieren das Unterrichtsministerium, das alles koordiniert, was gar nicht so einfach ist. Denn die Schulbetreiber sind auf unterschiedlichen Ebenen: Bund, Länder und Gemeinden. Die Entscheidung über eine Software liegt wiederum bei den Schulverwaltungen. Da wird viel mit Partnern aus der Wirtschaft gemacht. Wir stellen also die Autobahn zur Verfügung, machen die Infrastrukturen cloudfähig oder speichern die Zeugnisdaten. Aber im Schulbereich gibt es viele verschiedene Fahrzeuge.