Menu Expand

Der Grundsatz digitaler Souveränität

Eine Untersuchung zur Zulässigkeit des Einbindens privater IT-Dienstleister in die Aufgabenwahrnehmung der öffentlichen Verwaltung

Ernst, Christian

Schriften zum Öffentlichen Recht, Vol. 1426

(2020)

Additional Information

Book Details

About The Author

Christian Ernst, Studium der Rechtswissenschaften an der Christian-Albrechts-Universität zu Kiel, 2003 Erstes Juristisches Staatsexamen, 2008 Promotion und Zweites Juristisches Staatsexamen, 2017 Habilitation an der Bucerius Law School Hamburg, seit 2019 Professor für Öffentliches Recht, Wirtschaftsrecht (einschließlich Vergaberecht) an der Helmut-Schmidt-Universität, Hamburg.

Abstract

Die staatliche Verwaltung bedient sich in vielen Bereichen der Unterstützung privater IT-Dienstleister. Die Untersuchung geht der Frage nach, unter welchen Voraussetzungen es Trägern staatlicher Gewalt erlaubt ist, private IT-Dienstleister in die Wahrnehmung öffentlicher Aufgaben einzubeziehen und deshalb die zugrunde liegenden Daten aus einem alleinigen, öffentlich-rechtlich geprägten Einflussbereich zu entlassen und Privaten einen zumindest mittelbaren Zugriff auf die Daten zu ermöglichen. Die Untersuchung entwickelt einen Grundsatz digitaler Souveränität, der einem solchen IT-Outsourcing entgegenstehen kann. Zu diesem Zweck werden drei Begründungssäulen in den Blick genommen: der Charakter zwingender Staatsaufgaben, eine staatliche Gewährleistungsverantwortung und das Vertrauen in die Integrität und Funktionsfähigkeit staatlicher Strukturen. Abgerundet wird die Untersuchung durch eine Betrachtung der verfassungs-, europa- und vergaberechtlichen Zulässigkeit dieses Grundsatzes digitaler Souveränität.»The Principle of Digital Sovereignty«

The study develops a principle of digital sovereignty, based on which data may not leave a public sphere of control and private access to the data may not be opened, regardless of its design. The prohibition of entrusting public administrations' data to private IT service providers can be based on three elements: the character of obligatory state tasks, the state’s enabling responsibility and finally the confidence in the integrity and functionality of state structures and institutions.

Table of Contents

Section Title Page Action Price
Geleitwort 5
Vorwort 9
Inhaltsverzeichnis 11
A. Einleitung 15
B. Untersuchungsgegenstand 17
C. Grundsatz digitaler Souveränität 20
I. Vorüberlegung 20
1. Kein ausdrücklicher Kanon an obligatorischen Staatsaufgaben 20
2. Keine Pflicht zur Privatisierung 22
3. Unterscheidung zwischen Aufgabe und Aufgabenfeld 23
II. Obligatorische Staatsaufgaben 24
1. Bereiche und Reichweite obligatorischer Staatsaufgaben 24
2. Datenverarbeitung selbst als obligatorische Staatsaufgabe 25
a) Voraussetzungen für die Annahme einer obligatorischen Staatsaufgabe 25
b) Beispiel: Meldewesen 25
3. Datenverarbeitung als integraler Bestandteil obligatorischer Staatsaufgaben 27
a) Voraussetzungen für die Annahme eines integralen Bestandteils 27
b) Beispiele: Elektronische Prozessakten bei den Zivilgerichten, § 298a ZPO, und Einsatz elektronischer Wahlgeräte 29
c) Abgrenzung zur Datenverarbeitung als bloßer Annex zu (obligatorischen) Staatsaufgaben 31
III. Gewährleistungsverantwortung 32
1. Konzept der Gewährleistungsverantwortung 32
2. Besondere Herausforderungen bei IT-Outsourcing und Datenübermittlung in einen privaten Hoheitsbereich 34
a) Tatsächliche Rahmenbedingungen für die Ausübung einer Gewährleistungsverantwortung bei IT-Outsourcing und Datenübermittlung in einen privaten Hoheitsbereich 35
aa) Spezifische Gefahren beim Verarbeiten von Daten 35
(1) Jederzeitige Verfügbarkeit von Daten 36
(2) Keine (inhaltliche) Verfälschung von Daten 36
(3) Keine sachfremde Nutzung von Daten 37
(4) Keine unbefugte Veröffentlichung von Daten 38
bb) Wesensmerkmale von Daten 39
b) Allgemeine Geschäftsrisiken im Lichte des IT-Outsourcings und der Datenübermittlung in einen privaten Hoheitsbereich 41
aa) Individuelle fachliche Qualifikation, Informations- und Machtasymmetrien 41
bb) Unabhängigkeit und Unzugänglichkeit von privaten IT-Dienstleistern 43
cc) Insolvenzrisiko 44
dd) Individuelles Fehlverhalten 45
ee) Handeln und Einflüsse Dritter 47
3. Konkretisierung der Gewährleistungsverantwortung 48
a) Gewährleistungsverantwortung nach innen 48
aa) Aufrechterhaltung und Absicherung von Verwaltungsfunktionen 48
(1) Finanzielle Versorgung und Stabilität der Leistungserbringung 48
(2) Rechtliche Aufsichts- und Einflussmöglichkeiten 50
bb) Ausschluss Privater als Konsequenz der Verwaltung als kritischer Infrastruktur 53
cc) Beispiel: E-Akte in der Verwaltung, § 6 EGovG 55
b) Gewährleistungsverantwortung nach außen 56
aa) Datensicherheit bei personenbezogenen Daten 56
(1) Konkrete Betrachtung der Einzelfallumstände 56
(2) Auftragsverarbeitung und angemessenes Schutzniveau 57
bb) Ausschluss Privater als Konsequenz des Grundrechtsschutzes 62
cc) Beispiele: Datenverarbeitung durch Strafverfolgungsorgane, § 497 StPO, Verarbeitung von Sozialdaten, § 80 Abs. 3 SGB X und Beihilfeakte, § 108 BBG 63
IV. Vertrauen 66
1. Allgemeine Strukturen des Begriffs „Vertrauen“ 66
2. Generell: Vertrauen in die Integrität und Funktionsfähigkeit staatlicher Strukturen und Institutionen 68
3. Speziell: Vertrauen in den staatlichen Einsatz digitaler Informationstechnologien 70
a) Zuspitzung durch gegensätzliche Entwicklungen 70
aa) Besonderes Bedürfnis nach Vertrauen bei neuartigen Herausforderungen – Einsatz digitaler Informationstechnologien 71
bb) Auflösung gängiger Kontrollstrukturen 72
b) Konsequenzen für die rechtlichen Grundlagen der Vertrauensbildung 73
aa) Erheblich gesteigerte Bedeutung des Vertrauens in den staatlichen Einsatz digitaler Informationstechnologien 74
bb) Schwelle zwischen öffentlich-rechtlichem und privatrechtlichem Bereich 75
cc) Ersetzen von Mechanismen zur Missbrauchskontrolle durch Handlungsgrenzen 76
4. Beispiele: Finanzverwaltung, §§ 2 Abs. 2, 17 Abs. 3, 20 FVG, und Registerwesen, § 126 Abs. 3 GBO, § 387 Abs. 5 FamFG 77
V. Zusammenfassung 81
D. Vereinbarkeit des Grundsatzes digitaler Souveränität mit unions- und verfassungsrechtlichen Bestimmungen 82
I. Vereinbarkeit mit Europäischen Grundfreiheiten und Vergaberecht 82
1. Frühere Rechtsprechung des EuGH 82
2. Ausschluss Privater als zulässige mitgliedstaatliche Entscheidung 83
II. Vereinbarkeit mit der DSGVO 85
1. Ausgangssituation 85
2. Öffnungsklauseln des Art. 6 Abs. 2, 3 DSGVO 86
a) Anwendungsbereich der Öffnungsklauseln 88
b) Voraussetzungen der Öffnungsklauseln 90
III. Vereinbarkeit mit Art. 12 Abs. 1 GG 91
Zusammenfassung in Thesen 94
Literaturverzeichnis 98
Sachwortverzeichnis 108