Die moderne Gesellschaft ist heute mehr denn je abhängig von Informationstechnik, die per se unsicher ist. Diese Unsicherheit drückt sich in der kontinuierlichen Absicht aus, unsichere Technik durch neue Technik abzusichern, die ihrerseits wiederrum unsicher ist. Beispiele sind Firewalls, Backup-Server oder Festplattenspiegelungen, die eigene angreifbare Techniken zu ihrer Absicherung einsetzen.
Die Anstrengungen zu mehr Effizienzsteigerung in der öffentlichen Verwaltung machen den Einsatz unsicherer Technik jedoch unerlässlich. Eine Stadt-, Landes,- oder Bundesverwaltung, welche sich den Möglichkeiten und Potentialen von Informationstechnik verschließt, wird auf kurz oder lang nicht in der Lage sein, den Wettbewerb um Standortvorteile zu gewinnen. Auf der anderen Seite birgt jede Entscheidung für den Einsatz von Informationstechnik Risiken. Zum einen muss technisches Versagen rechtlich abgesichert werden, zum anderen müssen rechtliche Vorschriften hinsichtlich Datenschutz- und Informationsrecht im IT-System widerspruchsfrei abgebildet werden können. Vor dem Hintergrund komplexer Rechtsanforderungen wird es zunehmend schwieriger, IT-Systeme rechtskonform einzusetzen, was letztlich zu der Frage führt, ob sich der Einsatz riskanter Informationstechnik überhaupt noch lohnt. Als prominentes Beispiel lässt sich die Online-Steuererklärung ELSTER anführen. Die Frage nach der Schuld für eine vermeintlich übertragene Steuererklärung, welche beim Zielsystem, auf Grund technischer Probleme nie angekommen ist, drängt sich geradezu auf.
„Bund und Länder können bei der Planung, der Errichtung und dem Betrieb der für ihre Aufgabenerfüllung benötigten informationstechnischen Systeme zusammenwirken“ (Artikel 91c GG). Die rechtlichen Konsequenzen eines solchen Zusammenschlusses, insbesondere im Fall von technischem Versagen, lassen sich nur erahnen. Wer haftet etwa für einen Schaden, der durch ein fehlerhaftes IT-System entstanden ist, welches gemeinschaftlich entworfen und implementiert wurde? Datenmissbrauch, wie er zahlreich in naher Vergangenheit aufgetreten ist, hat immer auch rechtliche Konsequenzen zur Folge. Ist eine Kommune bereit, dieses rechtliche Risiko im Gegenzug für einen Effizienzgewinn zu tragen?
Ein weiteres Feld ist der elektronische Angriff und seine rechtlichen Folgen. Hacker missbrauchen die IT-Netze für Phishing und Identitätsdiebstahl, was zuletzt beim Diebstahl von CO²-Zertifikaten demonstriert wurde. Software ist ein komplexes Produkt, das technisch nie mängelfrei sein kann; die Stabilität digitaler Informationssysteme ist daher stets bedroht. Die unstrukturierte, netzwerkartige Verknüpfung digitaler Kommunikation widerspricht der Notwendigkeit staatlicher Kontrolle etwa zum Schutz gegen Cyberterrorismus. Die Komplexität großer IT-Projekte überfordert die bisherigen Ansätze in Recht und Wirtschaft für ein effizientes Projektmanagement; Dies führt dazu, dass viele IT-Projekte scheitern, wie prominent am Beispiel Toll Collect öffentlich zu beobachten war. Nachdem dort im Jahr 2003 die Lieferfristen nicht eingehalten wurden, kam die Frage der Haftung auf, welche im Rahmen eines 17.000 Seiten umfassenden Vertrages geregelt war. Wer haftet für einen Schaden in Millionenhöhe, wenn die Bedingungen nicht klar definiert sind, die zu erbringende Leistung permanenten Änderungsanforderungen ausgesetzt ist, ja nicht einmal klar ist, ob ein IT-Vertrag als Kauf-, Dienstleistungs- oder Werkvertrag behandelt wird?
Die beschriebenen Risiken führen zu einer großen Nachfrage nach rechtskonformen Vorgehensweisen sowohl für die Nutzungsbeziehung zwischen Informationstechnik-nutzenden Bürgern und Behörden sowie für die Auftragsbeziehung zwischen der beauftragenden Behörde und dem IT-Lieferanten. Auf der einen Seite müssen rechtssichere Modelle für die Entwicklung von Informationssystemen erstellt werden, auf der anderen Seite müssen Verträge die rechtlichen Unsicherheiten, welche durch IT entstehen, absichern.
Das der Westfälischen Wilhelms-Universität Münster angegliederte European Research Center for Information Systems (ERCIS) beschäftigt sich schon seit geraumer Zeit mit der Abbildung von Recht und dem Umgang rechtlicher Risiken im IT-Umfeld und stellt einen Teil der Forschungsergebnisse auf der Fachtagung MEMO 2010 (www.memo-tagung.de) vor.
Die Anstrengungen zu mehr Effizienzsteigerung in der öffentlichen Verwaltung machen den Einsatz unsicherer Technik jedoch unerlässlich. Eine Stadt-, Landes,- oder Bundesverwaltung, welche sich den Möglichkeiten und Potentialen von Informationstechnik verschließt, wird auf kurz oder lang nicht in der Lage sein, den Wettbewerb um Standortvorteile zu gewinnen. Auf der anderen Seite birgt jede Entscheidung für den Einsatz von Informationstechnik Risiken. Zum einen muss technisches Versagen rechtlich abgesichert werden, zum anderen müssen rechtliche Vorschriften hinsichtlich Datenschutz- und Informationsrecht im IT-System widerspruchsfrei abgebildet werden können. Vor dem Hintergrund komplexer Rechtsanforderungen wird es zunehmend schwieriger, IT-Systeme rechtskonform einzusetzen, was letztlich zu der Frage führt, ob sich der Einsatz riskanter Informationstechnik überhaupt noch lohnt. Als prominentes Beispiel lässt sich die Online-Steuererklärung ELSTER anführen. Die Frage nach der Schuld für eine vermeintlich übertragene Steuererklärung, welche beim Zielsystem, auf Grund technischer Probleme nie angekommen ist, drängt sich geradezu auf.
„Bund und Länder können bei der Planung, der Errichtung und dem Betrieb der für ihre Aufgabenerfüllung benötigten informationstechnischen Systeme zusammenwirken“ (Artikel 91c GG). Die rechtlichen Konsequenzen eines solchen Zusammenschlusses, insbesondere im Fall von technischem Versagen, lassen sich nur erahnen. Wer haftet etwa für einen Schaden, der durch ein fehlerhaftes IT-System entstanden ist, welches gemeinschaftlich entworfen und implementiert wurde? Datenmissbrauch, wie er zahlreich in naher Vergangenheit aufgetreten ist, hat immer auch rechtliche Konsequenzen zur Folge. Ist eine Kommune bereit, dieses rechtliche Risiko im Gegenzug für einen Effizienzgewinn zu tragen?
Ein weiteres Feld ist der elektronische Angriff und seine rechtlichen Folgen. Hacker missbrauchen die IT-Netze für Phishing und Identitätsdiebstahl, was zuletzt beim Diebstahl von CO²-Zertifikaten demonstriert wurde. Software ist ein komplexes Produkt, das technisch nie mängelfrei sein kann; die Stabilität digitaler Informationssysteme ist daher stets bedroht. Die unstrukturierte, netzwerkartige Verknüpfung digitaler Kommunikation widerspricht der Notwendigkeit staatlicher Kontrolle etwa zum Schutz gegen Cyberterrorismus. Die Komplexität großer IT-Projekte überfordert die bisherigen Ansätze in Recht und Wirtschaft für ein effizientes Projektmanagement; Dies führt dazu, dass viele IT-Projekte scheitern, wie prominent am Beispiel Toll Collect öffentlich zu beobachten war. Nachdem dort im Jahr 2003 die Lieferfristen nicht eingehalten wurden, kam die Frage der Haftung auf, welche im Rahmen eines 17.000 Seiten umfassenden Vertrages geregelt war. Wer haftet für einen Schaden in Millionenhöhe, wenn die Bedingungen nicht klar definiert sind, die zu erbringende Leistung permanenten Änderungsanforderungen ausgesetzt ist, ja nicht einmal klar ist, ob ein IT-Vertrag als Kauf-, Dienstleistungs- oder Werkvertrag behandelt wird?
Die beschriebenen Risiken führen zu einer großen Nachfrage nach rechtskonformen Vorgehensweisen sowohl für die Nutzungsbeziehung zwischen Informationstechnik-nutzenden Bürgern und Behörden sowie für die Auftragsbeziehung zwischen der beauftragenden Behörde und dem IT-Lieferanten. Auf der einen Seite müssen rechtssichere Modelle für die Entwicklung von Informationssystemen erstellt werden, auf der anderen Seite müssen Verträge die rechtlichen Unsicherheiten, welche durch IT entstehen, absichern.
Das der Westfälischen Wilhelms-Universität Münster angegliederte European Research Center for Information Systems (ERCIS) beschäftigt sich schon seit geraumer Zeit mit der Abbildung von Recht und dem Umgang rechtlicher Risiken im IT-Umfeld und stellt einen Teil der Forschungsergebnisse auf der Fachtagung MEMO 2010 (www.memo-tagung.de) vor.
