In Kassel sitzt ein IT-Dienstleister, der Daten von nahezu allen sechs Millionen Einwohnern Hessens verwaltet. ekom21 heißt das Unternehmen, das als kommunaler Zweckverband organisiert ist und sich zur digitalen Schaltzentrale eines ganzen Bundeslandes entwickelt hat. Was auf den ersten Blick nach stiller Verwaltungsarbeit im Hintergrund aussieht, berührt fundamentale Fragen: Wer kontrolliert diesen Datengiganten, wie sicher sind die sensiblen Informationen – und was bedeutet diese Konzentration für die digitale Souveränität Hessens?
Vom kommunalen Rechenzentrumsbetreiber zum digitalen Rückgrat
ekom21 wurde ursprünglich gegründet, um kommunale IT-Infrastrukturen zu konsolidieren. Mittlerweile betreibt der Dienstleister nicht nur Rechenzentren, sondern auch Fachverfahren für Einwohnermeldeämter, Standesämter, Kfz-Zulassungsstellen und Sozialverwaltungen. Die Datenbasis umfasst Geburten, Eheschließungen, Todesfälle, Wohnsitze, Fahrzeugdaten und Sozialleistungen – Informationen, die einen detaillierten Überblick über die digitale Identität jedes Bürgers ermöglichen.
Dieser Prozess der IT-Konsolidierung ist kein Einzelfall. Auch andere Bundesländer setzen auf zentrale Dienstleister: Dataport AöR versorgt mehrere norddeutsche Länder, die AKDB ist in Bayern führend. In Hessen hat sich ekom21 jedoch zu einer besonders starken Marktposition entwickelt, weil das Land frühzeitig auf Zentralisierung setzte und kommunale Rechenzentren systematisch zusammenführte.
Datenschutz und Governance: Wer kontrolliert den Kontrolleur?
Die Konzentration von Bürgerdaten bei einem einzigen Akteur wirft Fragen nach Kontrolle und Transparenz auf. ekom21 ist als Zweckverband öffentlich-rechtlich organisiert, Gesellschafter sind die teilnehmenden Kommunen selbst. Das unterscheidet das Unternehmen von privaten IT-Dienstleistern, schafft aber auch eine Grauzone: Die Kommunen sind zugleich Kunden und Eigentümer, was klassische Kontrollmechanismen abschwächt.
Der hessische Datenschutzbeauftragte überwacht ekom21, hat aber begrenzte Ressourcen. Externe Audits finden nach Branchenstandard statt, bleiben aber meist nicht öffentlich. Für Bürger ist schwer nachvollziehbar, wer wann auf ihre Daten zugreift und zu welchem Zweck. Anders als bei bundesweiten Projekten zur digitalen Identität, wo Transparenzvorgaben durch eIDAS und EU-Wallet-Piloten greifen, fehlen auf Landesebene oft klare Standards für Citizen-Dashboards oder Zugriffslogs.
Cybersicherheit: Angriffsziel Verwaltung
Wenn ein Dienstleister Daten eines ganzen Bundeslandes bündelt, wird er zum attraktiven Angriffsziel. ekom21 betreibt nach eigenen Angaben ein mehrschichtiges Sicherheitskonzept mit ISO-27001-Zertifizierung, redundanten Rechenzentrumsstandorten und Intrusion-Detection-Systemen. Konkrete Sicherheitsvorfälle werden aus nachvollziehbaren Gründen nicht öffentlich kommuniziert, was die externe Bewertung erschwert.
Im Vergleich zu anderen europäischen Ländern fällt auf: Österreichs Public-Sector-IT unterliegt NIS2-Vorgaben, die auch für zentrale Dienstleister gelten. In Deutschland ist die Umsetzung von NIS2 für kommunale Zweckverbände noch nicht abschließend geregelt, was Unsicherheiten bei Compliance und Haftung schafft. Die NIS2-Compliance deutscher Behörden befindet sich im Prüfstadium.
Digitale Souveränität: Abhängigkeiten und Alternativen
ekom21 setzt in seiner Infrastruktur auf eine Mischung aus eigenen Rechenzentren und Hyperscaler-Anbietern für bestimmte Cloud-Workloads. Das Unternehmen nutzt teilweise Produkte von Microsoft Public Sector und anderen internationalen Anbietern, was Fragen nach Datenhoheit und Abhängigkeit aufwirft. Während die Schweiz mit eigenen Sovereign-Cloud-Initiativen auf Unabhängigkeit setzt, fehlt in Hessen eine öffentlich kommunizierte Souveränitätsstrategie.
Alternativen zur Zentralisierung bei einem Anbieter gibt es grundsätzlich: föderal verteilte Architekturen mit standardisierten Schnittstellen, wie sie das OZG 2.0 vorsieht, würden Risiken streuen. Solche Ansätze erfordern jedoch erhebliche Investitionen in Interoperabilität und standardisierte Datenformate – ein Bereich, in dem Deutschland im europäischen Vergleich hinterherhinkt.
Praxisrelevanz für andere Länder und Kommunen
Das Modell ekom21 zeigt exemplarisch Chancen und Risiken zentraler IT-Dienstleister im Public Sector. Die Effizienzgewinne durch Standardisierung und Skaleneffekte sind unbestritten: Ein zentraler Anbieter kann spezialisiertes Personal besser halten, Patch-Management effizienter durchführen und Fachverfahren schneller aktualisieren als hunderte einzelne kommunale IT-Abteilungen.
Gleichzeitig entstehen Single Points of Failure und Kontrolldefizite. Andere Bundesländer sollten aus dem hessischen Modell lernen: Transparenzpflichten für Zugriffslogs, verpflichtende externe Security-Audits mit öffentlichen Zusammenfassungen und klare Exit-Strategien für Kommunen sind essentiell. Dataport beispielsweise hat in Norddeutschland stärkere Governance-Strukturen mit regelmäßigen parlamentarischen Berichten etabliert.
Ausblick: Registermodernisierung als nächster Schritt
Mit der Registermodernisierung des Bundes steht die nächste Zentralisierungswelle bevor. ekom21 wird als Datendrehscheibe eine Schlüsselrolle spielen, wenn hessische Kommunen ihre Register an das bundesweite Identitätsmanagement anbinden. Die geplante Once-Only-Infrastruktur setzt voraus, dass Dienstleister wie ekom21 standardisierte Schnittstellen implementieren und Datensparsamkeit technisch durchsetzen.
Für Entscheider in anderen Kommunen bedeutet das: Wer heute zentrale IT-Dienstleister beauftragt, sollte Verträge auf Zukunftsfähigkeit prüfen – insbesondere bezüglich offener Standards, Portierbarkeit und transparenter Sicherheitsarchitekturen. Die Erfahrung aus Hessen zeigt: Was als pragmatische IT-Konsolidierung beginnt, entwickelt sich über Jahre zu einer strategischen Abhängigkeit, deren Auflösung schwierig wird.
ekom21 steht symbolisch für eine Entwicklung, die europaweit zu beobachten ist: Der Public Sector lagert digitale Kernkompetenzen aus, um kurzfristig Effizienz zu gewinnen. Langfristig entsteht die Frage, ob staatliche Stellen noch über ausreichend eigene Expertise verfügen, um Dienstleister qualifiziert zu steuern – und im Ernstfall eigenständig zu handeln.