Kreistag: FDP Antrag zur Prüfung der digitalen Souveränität im Landkreis Diepholz

Antrag der FDP-Kreistagsfraktion

Einordnung:

Wir haben einen Antrag zur Prüfung der digitalen Souveränität des Landkreises Diepholz in den Kreistag eingebracht. Ziel ist eine systematische Bestandsaufnahme der bestehenden IT-Abhängigkeiten (insbesondere gegenüber US-amerikanischen Anbietern) sowie eine Bewertung der damit verbundenen Risiken.

Angesichts einer veränderten geopolitischen Lage halten wir es für notwendig, die digitale Infrastruktur der Kreisverwaltung kritisch zu überprüfen. Abhängigkeiten von einzelnen IT-Anbietern können die Handlungsfähigkeit, Datensicherheit und rechtliche Konformität der Verwaltung beeinträchtigen.

Mit unserem Antrag fordern wir:

  • eine klare Übersicht über direkte und indirekte IT-Abhängigkeiten,
  • eine Risikobewertung der eingesetzten Systeme,
  • die Prüfung deutscher und europäischer Alternativen,
  • sowie einen Zeitplan zur schrittweisen Reduzierung kritischer Abhängigkeiten.

Der Antrag wurde zur Beratung in den Kreistag eingebracht.

 

Antrag im Wortlaut:

Prüfung der digitalen Souveränität des Landkreises Diepholz – Bestandsaufnahme der Abhängigkeiten von IT-Anbietern aus den USA

Beschlussvorschlag

  1. Die Kreisverwaltung wird beauftragt, eine umfassende Bestandsaufnahme aller bestehenden IT-Abhängigkeiten von Anbietern aus den USA vorzunehmen und dem Kreistag in geeigneter Form zu berichten.

  2. Die Bestandsaufnahme soll dabei insbesondere zwischen direkten und indirekten Abhängigkeiten unterscheiden (siehe Begründung).

  3. Die Kreisverwaltung wird gebeten, auf Grundlage der Ergebnisse eine Risikobewertung hinsichtlich der Verfügbarkeit, Datensicherheit und rechtlichen Konformität der eingesetzten IT-Systeme zu erstellen.

  4. Die Kreisverwaltung wird gebeten, deutsche Alternativen zu IT-Sicherheitslösungen aus den USA, wie z. B. der Firma Schwarz Digits aus Neckarsulm, G Data CyberDefense aus Bochum, oder den europäischen Firmen F-Secure Corporation oder ESET zu prüfen und darüber zu berichten.

  5. Die Kreisverwaltung wird gebeten, einen Zeitplan für die Überprüfung und ggf. eine schrittweise Reduzierung kritischer Abhängigkeiten vorzulegen.

 

Begründung

Die geopolitische Lage hat sich in den vergangenen Jahren grundlegend verändert. Die Zuverlässigkeit transatlantischer Partnerschaften, die bislang als selbstverständlich galten, wird zunehmend in Frage gestellt. Für die öffentliche Verwaltung ergeben sich daraus unmittelbare Konsequenzen: Die Abhängigkeit von IT-Infrastruktur und -Diensten US-amerikanischer Anbieter stellt ein erhebliches Risiko für die Handlungsfähigkeit und Datensicherheit des Landkreises dar.

Direkte Abhängigkeiten

Unter direkten Abhängigkeiten verstehen wir den Einsatz von Cloud-basierten Diensten US-amerikanischer Anbieter, bei denen Daten des Landkreises auf Servern verarbeitet oder gespeichert werden, die dem Zugriff US-amerikanischer Behörden unterliegen können. Dies betrifft beispielsweise Microsoft 365, Google Workspace oder vergleichbare Cloud-Dienste. Der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ermöglicht es US-Behörden, auch auf Daten zuzugreifen, die außerhalb der USA gespeichert werden, sofern der Anbieter seinen Sitz in den USA hat. Dies steht in einem erheblichen Spannungsverhältnis zur europäischen Datenschutz-Grundverordnung (DSGVO) und gefährdet die Vertraulichkeit der Bürgerdaten des Landkreises.

Indirekte Abhängigkeiten

Neben den direkten Abhängigkeiten bestehen indirekte Abhängigkeiten, die mindestens ebenso kritisch sind. Hierzu zählen insbesondere lizenzbasierte Softwareprodukte wie Betriebssysteme (z. B. Microsoft Windows 11), Serversysteme (z. B. Windows Server, SQL Server) sowie Anwendungssoftware, die auf fortlaufenden Lizenzvereinbarungen basieren. Diese Systeme können durch den Anbieter deaktiviert, eingeschränkt oder mit veränderten Konditionen versehen werden, etwa im Rahmen von Sanktionen, politischen Entscheidungen oder unternehmerischen Strategiewechseln. Ein Entzug oder eine Einschränkung dieser Lizenzen könnte den Betrieb der Kreisverwaltung empfindlich beeinträchtigen oder im schlimmsten Fall zum Erliegen bringen.

Einsatz von IT-Sicherheitslösungen

IT-Sicherheitslösungen greifen tief in die IT-Infrastruktur ein und benötigen umfassenden Zugriff auf Systeme und Daten. Gerade bei einer Sicherheitslösung, die auf höchster Berechtigungsstufe operiert, ist es kontraproduktiv, eine zusätzliche Abhängigkeit von einem US-Anbieter zu schaffen. Es ist daher dringend geboten, die oben genannten europäischen Alternativen oder Open-Source-basierte Lösungen in die Prüfung einzubeziehen.

Handlungsbedarf

Die digitale Souveränität der öffentlichen Verwaltung ist kein abstraktes Ziel, sondern eine konkrete Voraussetzung für die Handlungsfähigkeit des Landkreises. Nur wer die eigene IT-Infrastruktur kennt und bewertet, kann informierte Entscheidungen über Investitionen, Migrationen und Sicherheitskonzepte treffen. Die FDP-Fraktion ist überzeugt, dass der Landkreis Diepholz sich frühzeitig mit diesen Fragen auseinandersetzen muss, um langfristig handlungsfähig und rechtskonform zu bleiben.

zur Übersicht