Mit diesen Digitalisierungs-Challenges kämpfen Schweizer Städte und Gemeinden

Als Präsident des Vereins Schweizerische Städte- und Gemeinde-Informatik kümmern Sie sich unter anderem um die Koordination der ICT-Belange der Städte und Gemeinden. Welche ICT-Themen stehen aktuell ganz oben auf den Agenden der öffentlichen Verwaltungen?

Lukas Fässler: Wir haben derzeit zwei Schwerpunkte. Einerseits stehen verschiedene Folgebeschaffungen von strategischen Anwendungen im Gemeinde-Aufgabenbereich an wie die Erneuerungsbeschaffung für die Schulverwaltungsadministration oder die Einwohnerkontrolle, das Finanz- und Rechnungswesen, die Gebühren- und Werksabrechnungen und weitere zentrale Aufgabenbereiche der kommunalen Ebenen. Der Verein SSGI koordiniert diese öffentlichen Beschaffungen für seine regionalen Mitgliederorganisationen (RMO). Der zweite Schwerpunkt liegt in der konzeptionellen Umsetzung aller mit der Auslagerung von Basis-Applikationen wie Office, Mail, Teams etc. sowie der strategischen Fachapplikationen in die Cloud. Hier sind die Lösungen zu suchen, die auch den neuen Datenschutz- und Datensicherheitsanforderungen des schweizerischen Datenschutzgesetzes entsprechen. Es sind zahlreiche koordinative Abklärungs- und Diskussionsarbeiten durchzuführen, da es nicht per se einfach gegeben ist, dass eine öffentliche Verwaltung unbesehen der notwendigen Risikobetrachtungen und der zu ergreifenden technischen und organisatorischen Massnahmen mit der Personen-, Objekt-, Sach- und Finanzdatenbearbeitung in die Cloud abziehen kann. Zusätzlich kommen hier noch Fragen der übergeordneten staatlichen Interessen, der Geheimhaltung und des Amtsgeheimnisses dazu, die ebenfalls im Rahmen einer Auslagerung solcher Informationen in die Cloud umfassend zu klären sind. 

Mit welchen Herausforderungen der digitalen Transformation haben die Gemeinden und Städte am meisten zu kämpfen?

Einerseits mit den zur Verfügung zu stellenden Applikationen. Es braucht ja Infrastrukturen, Programme, Schnittstellen und zahlreiche Sicherheitsmassnahmen, damit die digitale Transformation dann auch durchgängig angeboten und rechtsverbindlich abgewickelt werden kann. Es gilt, die arbeitsintensiven Prozesse möglichst medienbruchfrei in die digitale Welt zu transferieren. Hinzu kommt, dass immer auch die Frage mitschwingt, ob man digitale Services ohne Aufrechterhaltung der bisherigen, papier- oder schalterbezogenen Abwicklung rechtssicher und verbindlich durchführen kann. Dafür sind sehr viele und zum Teil sehr komplexe Fragen zu klären. Und hier stelle ich fest, dass oft der Mut fehlt, die digitale Transformation wirklich mit der letzten (auch politischen) Konsequenz durchzusetzen, denn auf der Zeitachse betrachtet ergibt es keinen Sinn, neben den digitalisiert unterstützten Prozessen noch Jahre oder Jahrzehnte hybride Prozesse aufrechtzuerhalten. Das wird immens teuer und ist letztlich auch ineffizient.

Inwiefern unterscheiden sich die digitalisierungsspezifischen Probleme der Schweizer Gemeinden? Nehmen Sie ein Stadt-Land-Gefälle wahr, vielleicht einen "Röstigraben" oder sonstige regionale Differenzen?   

Nein, einen solchen Unterschied nehme ich nicht wahr. Das hat wohl mit der Tatsache zu tun, dass die gesetzlichen Aufgaben von einer kleinen Gemeinde genauso zu erfüllen sind wie durch eine grosse Stadt. Damit stellen sich sachlich, fachlich und vom Aufgabenbereich her für alle Kommunen grundsätzlich die gleichen Herausforderungen. Finanziell gesehen ist natürlich die digitale Transformation und die damit verbundenen Kosten für kleine und mittlere Gemeinde eine wesentlich grössere Herausforderung. Deshalb schaut der Verein SSGI ja auch dafür, dass nicht hunderte von individuellen Lösungen umgesetzt werden, sondern dass wir für gleiche Aufgaben auch standardisierte gleiche technologische Lösungsansätze und Applikationen gemeinsam evaluieren, beschaffen und betreiben können. Das kommt insbesondere den kleineren und mittleren Gemeinden sehr entgehen, weil die Kosten dann auch mit grossen Gemeinden respektive Städten geteilt werden können.

Seit Beginn dieses Jahres sorgen KI-Dienste wie ChatGPT für Furore. Wie kommt der Hype in den Schweizer Städten und Gemeinden an?

Aus meinem bisherigen Blickwinkel überhaupt noch nicht. Abgesehen davon, dass sich vielleicht einzelne kommunale Mitarbeitende via KI-Werkzeugen zu einzelnen Fragestellungen erste Informationen oder Lösungsansätze einmal herunterladen. Für eine breite Anwendung im kommunalen Umfeld ist aber vorerst Vorsicht geboten, denn die Kommunen müssen ihre Aufgaben nach den gesetzlichen Grundlagen erfüllen und sie sind dafür verantwortlich, dass dabei die Gesetze eingehalten werden. Da hilft KI-Technologie – mindestens in der momentanen Ausprägung – noch relativ wenig.

Wie schätzen Sie das Potenzial von generativer künstlicher Intelligenz für die öffentlichen Verwaltungen ein?

Das Potenzial ist sicher gross, wenn es um die effiziente Unterstützung bei der Analyse und Entscheidungsfindung geht. Den Entscheid fällt aber immer noch eine physische Behörde, also ein Gemeinderat oder eine Amtsstelle, und nicht ein KI-System. Dafür fehlen auch die gesetzlichen Grundlagen.

Die Nutzung von Diensten wie ChatGPT wirft datenschutzrechtliche Fragen auf. Wie beurteilen Sie die entsprechenden Risiken?

Im Rahmen der auf den 1. September 2023 eingeführten neuen Datenschutzgesetzgebung des Bundes und in deren Folge die Anpassung der 26 kantonalen Datenschutzgesetze, welche für die Gemeinden massgeblich sind, werden und wurden die Instrumente der Risikobeurteilung durch Erstellung von Bearbeitungsverzeichnissen und Datenschutz-Folgeabschätzungen artikuliert. Es ist daher in allen kantonalen Datenschutzgesetzen vom Grundsatz her vorgesehen – und dies verlangen auch die Projektführungsmethoden zur Einführung neuer Applikationen (z.B. Hermes) –, dass vor der Einführung einer neuen Applikation oder vor deren Ausbau abgeklärt wird, welche Personendaten oder personenbezogene Daten bearbeitet werden und eine entsprechende Risikobeurteilung in Bezug auf die verarbeiteten Personendaten vorgenommen wird. In der Folge dieser Beurteilung müssen die Gemeinden technische und organisatorische Massnahmen festlegen oder gegenüber ihren Cloud-Serviceprovidern vertraglich (ADVV) durchsetzen, um die Rechte der betroffenen Personen ausreichend zu schützen. Es ist heute Standard, dass die kantonalen Datenschutzbeauftragten in solche neuen Projekte in der Regel so früh wie möglich einbezogen werden, damit den Aspekten des Datenschutzes und der Datensicherheit umfassend Genüge getan und die gesetzlichen Vorgaben eingehalten werden können.

Was halten Sie davon, dass mehr und mehr Gemeinden, Schulen sowie Altersheime und Spitäler ihre Daten in der Microsoft-Cloud speichern wollen, obwohl das Risiko besteht, dass aufgrund des "Cloud Act" US-Behörden und -Geheimdienste auf die Daten zugreifen könnten?

Das ist nun eines der Schwerpunktthemen. Fakt ist, dass nicht nur Microsoft, sondern auch sehr viele andere operativ strategische Anwendungen für die Kantone und Gemeinden mehr und mehr nur noch aus der Cloud angeboten werden. Die Verlagerung einer Bearbeitung von Daten (nicht nur von Personen­daten) in die Cloud stellt an die öffentliche Verwaltung von Bund, Kantonen und Gemeinden sehr hohe Anforderungen, insbesondere weil eben nicht nur Personendaten betroffen sein können, sondern auch weitere Datenkategorien, die zum Beispiel dem Amtsgeheimnis oder geheimzuhaltenden Staatsschutzinteressen unterliegen. Hier gilt es, im Dialog mit den Applikationsanbietern, den Betriebsserviceprovidern, den kantonalen Datenschützern, den Verwaltungsabteilungen, den Regierungs- und Gemeinderäten als politische Verantwortungsträger in spannenden und fordernden Diskussionen Lösungsansätze gemeinsam herauszuarbeiten, die allen zu beachtenden Aspekten in ausreichendem Masse Rechnung tragen. Das ist nicht immer eine leichte Aufgabe. Es ist aber auch nicht so, dass die Cloud-Service-Anbieter wie beispielsweise Microsoft nicht auch erkannt hätten, dass in der Zusammenarbeit mit der öffentlichen Verwaltung aller Ebenen, die gesetzliche Aufgaben wahrzunehmen haben, nicht die gleichen Massstäbe standardisiert angewendet werden können, wie sie vielleicht gegenüber der Privatwirtschaft noch als akzeptabel beurteilt werden können. Hier ist Flexibilität auch auf der Anbieter- und Servicedienstleisterseite notwendig. Über die Instrumente der öffentlichen Ausschreibungen hat die öffentliche Verwaltung eine nicht zu unterschätzende Steuerungs- und Einflussmöglichkeit, hier die Flexibilität der Anbieter auch herauszufordern.

Welchen Ruf haben alternative Lösungen zu jenen von Microsoft unter Ihren Mitgliedern? Wie sieht es insbesondere bezüglich Open-Source-Lösungen aus?

Im Bereich der Basis-Dienste wie Büroautomation existiert jetzt einfach das Monopol von Microsoft für alle damit abgedeckten Service oder Applikationen. Hier ist die Diskussion bezüglich alternativer, zum Beispiel open-source-basierter Lösungen, etwas in den Hintergrund getreten. Bei den Fachapplikationen sieht das etwas anders aus. Hier bestimmen die gesetzlichen Aufgaben der Gemeinden den Leistungsumfang der Applikationen, die über öffentliche Ausschreibungen gemeinsam beschafft werden. Was uns in dieser Hinsicht zunehmend Sorgen bereitet, ist jedoch die Abhängigkeit bei strategischen Anwendungen (z.B. Steuern, Polizeisysteme, departementale Fachapplikationen) von einem oder ganz wenigen Anbietern. Diese Abhängigkeit kann in kritischen Situationen dazu führen, dass die Aufgabenerfüllung durch die Gemeinden in ihrem gesetzlich zugeordneten Bereich plötzlich in Frage steht, wenn ein bisheriger Anbieter aus strategischen, finanziellen oder personellen Problemen die bisherige Tätigkeit und den Support an einer strategischen Applikation aufkündigt. Hier muss sich die öffentliche Verwaltung generell die Frage stellen, wie sie mit solchen softwarebezogenen Abhängigkeiten in Zukunft umgehen will und umgehen kann und welche Modelle allenfalls eine Betriebsaufrechterhaltung und Betriebssicherheit in Zukunft sicherstellen können, selbst wenn der bisherige Anbieter nicht mehr bereit ist, am Markt seine Leistungen oder Services zu erbringen.

In einem Interview forderte die Zürcher Datenschutzbeauftragte Dominika Blonski eine Diskussion darüber, wie Abhängigkeiten von Microsoft aufgebrochen werden können. Was sagen Sie dazu?

Diskussionen sind systemische Ansätze zur Lösungsfindung. In diesem Sinne ist jede Diskussion gut und gewünscht. Ob dabei der Fokus der Diskussion aber bereits von Anfang an, wie das Wort «aufbrechen» schon sagt, nur auf einen Lösungsansatz ausgerichtet sein muss, ist fraglich. Diskussionen sollen zu einer Auslegeordnung führen, Risikobeurteilungen hinsichtlich Abhängigkeiten und Datenbearbeitungen vornehmen und dann geeignete Lösungsansätze herausschälen. Dabei sind verschiedene, sogar allenfalls mehrere nebeneinander bestehende Lösungsvarianten durchaus denkbar. Wir müssen auch schauen, dass der Markt «öffentliche Verwaltung» für die IT-Infrastruktur- und Basisserviceanbieter wie auch für die Applikationsanbieter weiterhin interessant bleibt. In diesem Sinne plädiere ich auch dafür, dass das öffentliche Beschaffungs­wesen mit Vorsicht und Bedacht eingesetzt wird und nicht auf Teufel komm raus die Kosten im Vordergrund stehen. Wir töten mit solchen Ansätzen die Lust und das Interesse des privaten Anbietermarktes, in Zukunft weiterhin mit der öffentlichen Hand zusammenzuarbeiten, Applikationen zu entwickeln und diese sehr viele Jahre lang zu betreiben, zu pflegen, zu warten und weiter auszubauen. Gerade auch im Bereich der immer schwieriger zu rekrutierenden Fachkräfte in der IT, nicht nur bei der öffentlichen Verwaltung, sondern auch in der Privatwirtschaft, muss in Zukunft ein Kooperationspaket zwischen der öffentlichen Verwaltung und der IT-Branche ausgearbeitet werden, das sicherstellt, dass gute, faire und nachhaltige Zusammenarbeit in der Informatik und damit auch in der digitalen Transformation stattfinden. Stellen Sie sich vor: Die ganze öffentliche Verwaltung ist digital transformiert und kein Unternehmen ist noch daran interessiert, die implementierten Lösungen weiter zu betreuen und zu pflegen. Dann läuft gar nichts mehr und die Aufgabenerfüllung der öffentlichen Verwaltung wird praktisch unmöglich, weil schon sehr viele Prozesse, aber auch Subjekt-, Finanz- oder Objektdaten nur noch digital verfügbar sind. 

Wie stehen Sie zur Idee einer "Swiss Cloud", in der man die wichtigsten Daten des Bundes, der Kantone und Gemeinden sicher aufbewahren könnte?

Ich bin sehr dafür, dass sich die drei föderalen Ebenen dieser Frage schnell und umfassend annehmen. Nicht zuletzt aus der Überlegung, dass die Aufrechterhaltung der Aufgabenerfüllung auf der Basis von digitalen Applikationen (gerade bei der digitalen Transformation) extrem wichtig ist. Stellen Sie sich vor, bei den Strassenverkehrsämtern können eines Tages keine Fahrzeugprüfungen mehr durchgeführt oder keine Fahrzeuge mehr eingelöst oder keine Fahrprüfungen mehr durchgeführt werden, weil die IT-Infrastrukturen nicht zur Verfügung stehen. Das ist letztlich auch eine Frage der Betriebssicherheit, die gerade kürzlich im Rahmen der DDOS-Attacken gegenüber Bund und Kantonen beim Besuch des ukrainischen Staatspräsidenten eine grosse Herausforderung darstellten. Wir sind verletzlicher geworden, gerade in Zeiten von Spannungen und Kriegen. Da ist die Aufrechterhaltung der Aufgabenerfüllung der öffentlichen Hand in besonders geschützten IT-Infrastruktur-Umgebungen – die Kommunikationsnetze eingeschlossen – von elementarer Bedeutung. 

Wären Aufbau und Betrieb einer solchen Schweizer Cloud-Infrastruktur in einer nützlichen Frist praktikabel?

Das ist eine ganz andere Frage. Die Notwendigkeit ist wohl überall erkannt. Die Frage ist vielmehr, wer geht voran, wer übernimmt die Führerschaft in dieser Frage. Da erwarten viele vom Bund eine gewisse Leadership. Da aber alle drei staatlichen Ebenen in diesen Infrastrukturaufbau und die sich damit stellenden Fragen zu involvieren sind, ist nicht mit sofortigen Umsetzungsergebnissen zu rechnen. Mich beschäftigt heute vielmehr, dass eigentlich von niemandem ein diesbezüglicher Prozess konkret angestossen wurde. 

In diesem Jahr kam es zu mehreren Cyberangriffen. Unter den Opfern waren auch Schweizer Gemeinden. Wie gut sind öffentliche Verwaltungen gegen solche Angriffe gewappnet?

Da kann man keine allgemeine Aussage machen. Es spielt sicher eine Rolle, ob eine öffentliche Verwaltung, besonders die Gemeinden, ihre IT-Infrastrukturen noch selber betreiben oder schon in eine höherwertige Ebene (z.B. Kantonales Rechenzentrum) ausgelagert haben. Viele Gemeinden haben schon lange erkannt, dass sie in Bezug auf die technischen, organisatorischen, applikatorischen und rechtlichen Herausforderung in ihrem kleinen Bereich überfordert sind, schon gar nicht mehr die benötigten Ressourcen für die entsprechende eigene Service-Erbringung beschaffen können. Deshalb ist schon seit Jahren der Trend dahin, dass sich die unterste Hierarchieebene der staatliche Gewalten (Gemeinden) mindestens beim Kanton in ein gemeinsames Rechenzentrum einbringen. Ansätze wie sie im Kanton AR mit einer eigenen, in der Hand des Kantons und der Gemeinden liegenden, zentralen AR Informatik Aktiengesellschaft oder in den Kantonen OW und NW mit einem zentralen IT-Service-Dienstleister ILZ im Eigentum der beiden Kantone schon seit Jahren herausgebildet und bewährt haben, sind m.E. die einzigen richtigen Ansätze. Dies nicht nur in Bezug auf die Aufrechterhaltung der Geschäfts- und Aufgabenerfüllung, die Sicherstellung der erhöhten Sicherheitsanforderungen, sondern auch in Bezug auf die Kostenoptimierung.

Wer ist gefordert, damit Ihre Mitglieder in puncto Cybersicherheit aufrüsten können?

Die Frage der Cybersicherheit ist bei unseren Mitgliedern schon lange eines der zentralen Themen und auch auf der strategischen politische Führungsebene angekommen. Gesetze wie im Kanton AR oder die Konkordatsvereinbarung der Kanton OW und NW haben die Sicherstellung eines datenschutz- und datensicherheitskonformen Betriebes schon seit über 10, bei OW und NW sogar schon seit mehr als 20 Jahren verankert. Grundsätzlich kann man sagen, dass ohne die Erkenntnis und ohne den Willen der politischen Führungsebenen (Regierungsrat, Gemeinderat, Kantonsparlamente, Gemeindeparlamente) keine Cybersicherheit erreicht werden kann. Es muss anerkannt sein, dass die Sicherstellung dieser Anforderungen Personalressourcen (zum Teil von hochspezialisierten Fachleuten) und von finanziellen Ressourcen voraussetzen. Cybersicherheit zum Nulltarif gibt es nicht. Und wenn sich dann Parlamente darüber aufhalten, die Informatikkosten würden immer nur steigen, dann muss man sich im Gegenzug vor Augen halten, warum diese Kosten steigen und welche Sicherheitsleistungen dafür den Organen der öffentlichen Verwaltungen in den vergangenen Jahren und in Zukunft dafür geboten worden sind und weiter zu sicherzustellen sind.

Der Wahlkampf in der Schweiz ist in der heissen Phase. Was wünschen Sie sich von der Politik in der kommenden Legislatur?

Den Mut, alte Prozesse, überkommene Zöpfe abzuschneiden, rasch Gesetze zu entschlacken und alles dafür zu tun, dass man im Verkehr zwischen Verwaltung, Einwohnerschaft und Unternehmen sehr rasch in verbindliche und rechtskonforme neue digital gestützte Abläufe hineinkommt. Es braucht in der Folge dann auch den Mut, einmal auch die alten, papierbasierten Prozesse konsequent abzuschaffen oder nur noch gegen entsprechende Mehrkosten anzubieten. Die E-ID des Bundes, die zur digitalen eindeutigen Identifizierung der natürlichen Personen beitragen wird, ist dabei ein zentrales Element, um den Verkehr zwischen Behörden und Personen zu automatisieren und rechtsverbindlich abwickeln zu können. Es ist daher äus­serst bedauerlich, dass jetzt kürzlich bekannt wurde, dass die E-ID erst 2026 eingeführt werden soll. So kommen wir bei der Digitalisierung und damit der digitalen Transformation nicht vorwärts, weil alle wichtigen Prozesse noch immer zum Teil von einer Handunterschrift abhängig sind oder wieder und wieder von antragstellenden Personen oder Unternehmen Formulare mit Daten auszufüllen sind, welche die Verwaltung schon lange besitzt. Hier muss ein radikales Umdenken stattfinden. Wenn sich ein Unternehmen oder eine natürliche Person gegenüber der öffentlichen Verwaltung eineindeutig identifiziert hat, muss es Aufgabe der öffentlichen Verwaltung sein, alle bereits vorhandenen, für einen Antrag benötigten Grundinformationen (Name, Strasse, Ort, AHV-Nummer, Grundstücknummer etc.) automatisiert dem Antragsteller zur Verfügung zu stellen. In der digitalisierten Welt sind bereits vorhandene Daten nicht immer und immer wieder physisch auf Papier erneut zu erheben, wenn sie in der Verwaltung schon lange bekannt sind. Und schliesslich erwarte ich von der Politik auch, dass sie den Mut aufbringt, bisherige Prozesse kritisch zu hinterfragen und massiv zu beschleunigen.

Zur Person

Rechtsanwalt Lukas Fässler gilt als einer der bekanntesten und renommiertesten Informatik-Experten der Schweiz mit langjähriger Praxiserfahrung. Seit 1982 befasst er sich hauptberuflich mit Informatik und Telekommunikation, Governance und Compliance von Unternehmen, insbesondere auch in Bezug auf das Informationsmanagement. Von 1992 bis 1997 leitete er als Informatikchef des Kantons Luzern die Organisations- und Informatik-Dienste (OID) des Kantons. Lukas Fässler ist in zahlreichen Verwaltungsräten von IT-Service-Dienstleistern der öffentlichen Hand und der Privatwirtschaft als VRP oder Mitglied des VR aktiv. Zudem ist er amtlicher Verteidiger bei der Zuger Staatsanwaltschaft für Deliktfälle im Zusammenhang mit Computerkriminalität. Darüber hinaus doziert er an den Universitäten von Bern und Basel sowie der Fachhochschule Nordwestschweiz.