7 Lehren aus dem beA-Debakel

 “We learn from failure, not from success” (Bram Stocker).

Was viele von uns schmerzhaft gelernt haben, aber nur ungern zugeben. Wertvolle Erfahrungen folgen häufig aus Fehlern und Fehleinschätzungen. Aus Misserfolgen folgt der Lernerfolg, wie es Eric Ries ausdrückt: “If you cannot fail, you cannot learn.” Aus Fehlern folgt nach Ries aber auch das Gebot zu lernen: “The only way to win, is to learn faster than anyone else.

Nur wer aus Fehlern lernt, hat im Misserfolg etwas Positives. Hierum sollt es im Folgenden gehen. Fehler passieren. Fortschritt ist ohne kleine Rückschritte nicht möglich. Deswegen sind die Lehren aus dem beA-Debakel – trotz allem – ein positiver Blick nach vorne. Es geht nicht um “finger pointing” oder Schuldzuweisungen. Jeder der schon einmal Software mitentwickelt hat, weiß, wie schwierig das sein kann und dass Fehler dazugehören.

Es soll hier darum gehen, aus den Fehlern zu lernen, um es bei kommenden Projekten besser zu machen. Denn eines ist klar: Die Digitalisierung der Rechtsbranche steht ganz am Anfang und damit auch der Lernprozess. Im Zweifel brauchen wir MEHR derartige Misserfolge, um daraus die richtigen Schlüsse für die Zukunft zu ziehen.

Was also kann der Lernerfolg aus dem beA-Debakel sein?

7 Lehren:

1. Krisenkommunikation ist Kommunikation

Klar, die Probleme mit dem beA kamen zur Unzeit: Kurz vor Weihnachten wurden Sicherheitslücken entdeckt und das Zertifikat zurückgezogen. Man kann sich vorstellen, unter welch enormen Zeitdruck die Beteiligten gestanden haben. Wahrscheinlich waren auch beim Dienstleister ATOS bereits viele Mitarbeiter im Urlaub. Dann kommt das eine zum anderen.

Trotzdem scheint eine Lehre aus den Vorkommnissen der letzten Tage klar: Die Informationspolitik seitens der BRAK muss verbessert werden, um den “Vertrauensverlust der Anwaltschaft”, wie es der DAV formuliert, erfolgreich entgegenzutreten. So fordert es bspw. auch der EDV-Gerichtstag:

Eine voll­stän­dige Auf­klärung der beA-Anwender und ein trans­parenterer Umgang mit derar­tigen Vor­gängen durch die BRAK kön­nen das not­wendige Ver­trauen gerade in der schwie­ri­gen Um­stellungs­phase wie­der fes­ti­gen. […] Der EDV-Gerichtstag regt an, das beA durch eine externe Experten­gruppe zu begut­ach­ten. Er bie­tet seine Mit­wirkung hieran an.”

Eine gelungene Krisenkommunikation setzt, auch wenn es schwer fällt, auf Transparenz. Nur so kann verlorenes Vertrauen wieder hergestellt werden. Dies gilt insbesondere bei einem Projekt, das bei der Anwaltschaft – aus ganz unterschiedlichen Gründen – nicht sonderlich wohl gelitten ist. Man würde sich eine klarere und transparentere Kommunikation wünschen. Es darf nicht der Eindruck erweckt werden, dass etwas “unter den Teppich gekehrt” wird.

Außerdem ist eine bessere Einbindung der Branche notwendig, um derartige Fehler besser abzufedern und unterschiedliche Kommunikationsstränge zu haben, um Lösungswege aufzuzeigen. Deswegen ist es zu begrüßen, dass der EDV-Gerichtstag und der DAV ihre Mitwirkung zur Verbesserung und Begutachtung des beA anbieten. Auch der Kölner Anwaltverein denkt und hilft mit, indem er aufklärt, was in der “beA-freien” Zeit nun eigentlich Sache ist.

2. Von Vorbildern lernen

Auch wenn es gewisser Demut bedarf, manchmal sollte man von Vorbildern lernen. Das gilt insbesondere dann, wenn das Vorbild genau das Gleiche seit längerer Zeit erfolgreich vorlebt. In Österreich gibt es seit 1999 (!) den elektronischen Rechtsverkehr. Die Seite der österreichischen Justiz führt hierzu nüchtern aus:

Im Jahr 2016 wurden 7,6 Millionen elektronische Sendungen über den Rückverkehr durchgeführt, wodurch über 12 Millionen Euro allein an Postgebühren eingespart wurden. Im letzten Jahr wurden inklusive der automatischen Aktenzeichenrückmeldungen insgesamt 14,7 Millionen elektronische Transaktionen, davon 4,8 Millionen Eingaben, gezählt. 94 Prozent aller Zivilklagen und 76 Prozent aller Exekutionsanträge werden elektronisch eingebracht.

Mittlerweile wurde der elektronische Rechtsverkehr unter Verwendung von Internettechnologie auf eine neue technische Basis gestellt. Unter anderem wurde die Möglichkeit eröffnet, dem elektronisch übermittelten Schriftsatz auch Beilagen in Form von Attachments und Urkunden mit Originalwirkung anzuschließen. Um künftig eine noch größere Zielgruppe ansprechen zu können, wird der ERV derzeit mit den elektronischen Zustelldiensten der Verwaltung (§§ 28 ff ZustG) gekoppelt.

Der ERV steht jedermann offen, die ursprüngliche Einschränkung auf Rechtsanwälte, Notare, Kirchen, Banken und Versicherungen wurde im Jahre 2000 aufgehoben.

Warum ist das, was für Österreich gut ist und gut funktioniert, für Deutschland nicht gut genug? Hat hier eine ausreichende Ermittlung von “best practices” stattgefunden? Wäre eine Kooperation mit dem dortigen Anbieter möglich gewesen?

3. Nicht alles selber machen: “Maker-Bias”

Juristen erliegen häufig der Versuchung, alles besser zu wissen und zu können. Das ist auch bei der Digitalisierung zu beobachten. Anstatt einer bewährten Standardlösung, einer Lösung “von der Stange”, zu vertrauen, bedarf es einer eigenen Lösung, da nur diese den ganz spezifischen Anforderungen von Anwälten gerecht werden kann. Im Zweifel gilt in der Anwaltschaft: “Make it” und nicht “Buy it”. Das mag ein lukratives Geschäfts für Software-Entwickler sein. Ob dadurch sinnvolle und bessere Lösungen entstehen, darf im Lichte der Probleme mit dem beA bezweifelt werden.

Es drängt sich im Zusammenhang mit dem beA durchaus die Frage auf, warum eine Lösung “von der Stange” nicht ausgereicht hätte. Eine sichere E-Mail-Kommunikation ist ja nun wahrlich nichts Neues. Im privaten Bereich ist PGP (Pretty Good Privacy) und im geschäftlichen Bereich S/MIME stark verbreitet. S/MIME wird bspw. von der DATEV beim Austausch sensibler Buchhaltungsdaten seit Jahren erfolgreich verwendet. Wenig aufwändig und trotzdem sehr sicher wäre die Ernennung einer oder mehrerer Zertifizierungsstellen für den Rechtsverkehr, um die Zertifikate mit hinreichend sicherer Identifizierung des Inhabers herausgeben. Hiermit könnte eine Pflicht der Anwälte korrespondieren, eine E-Mailadresse mit Verschlüsselung und qualifizierter elektronischer Signatur mittels eines solchen Zertifikates vorzuhalten.

Es ist davon auszugehen, dass derartige Lösungen erwogen wurden. Warum eine schlanke Lösung allerdings nicht ausreichend sein soll, müsste einmal erklärt werden, insbesondere, wenn man bedenkt, dass das beA über 10 Millionen Euro im Jahr (!) kostet.

4. Frühe Einbindung von Nutzern und Stakeholdern

Die Verunsicherung, Ablehnung und teilweise Resignation mit dem beA zeigt, dass die Rechtsbranche insgesamt nicht richtig “mitgenommen” wurde. Auch wenn von der eher kritischen Anwaltschaft keine nur begeisterte Mitarbeit und -hilfe erwartet werden kann, hilft eine möglichst umfassende Einbindung aller Stakeholder, die Akzeptanz zu stärken und auch deren Wünsche und Bedürfnisse zu berücksichtigen. Spricht man mit vielen Kollegen, scheint dies nicht in ausreichender Weise geschehen zu sein. So wird bspw. beklagt, dass das beA die Bedürfnisse von größeren Einheiten, z.B. in Großkanzleien, nicht ausreichend berücksichtigt.

Eine stärke Einbindung wird von vielen Betroffenen bereits seit vielen Jahren gefordert – bisher stets ergebnislos. Am 27.12.2017 wiederholte der DAV seine Forderung  eines unabhängigen Fachbeirates für das beA, um das Risiko von schweren Fehlern in der Zukunft zu minimieren.

Eine stärke Einbindung der Nutzer garantiert bessere Software, die im Markt auch akzeptiert wird. Hierzu:

When we talk about failed software projects, lack of user involvement is one of the top reasons for software project failures (Viskovic, 2008). It is not enough to finish the project on time and in budget, our end goal is to have the developed software accepted by the users who the software is being developed for. In order to make sure our product will be accepted by end users, we must include them in the development and testing phase.

It is not hard to come across a project that failed because it was not accepted by users. The project team finished the job on time and within the established range, but end users were not interested in using the new system. One of the main reasons why these situations occur is poor communication with end users, and lack of user involvement in the project.”

Softwareentwicklung ohne Nutzereinbindung ist häufig zum Scheitern verurteilt. Das beA wirkt wie ein neuer Beweis dafür.

5. Digitalisierung erfordert IT-Wissen

Die Vorgänge rund um das beA zeigen, dass die Entwicklung von Software alles andere als trivial ist. Die Entwicklung des beA zeigt, dass es an Wissen an der Schnittstelle von IT und Recht (Legal Engineer) fehlt. Zur Entwicklung einer Software genügt es nicht, einen externen Anbieter zu beauftragen. Projekt- und Produktentwicklung erfordert dezidiertes Wissen. Nicht ohne Grund sind Produktentwickler derzeit am Markt nur äußerst schwer zu bekommen.

Wohl nur mangelndes IT-Wissen der verantwortlichen Stellen kann erklären, dass Markus Drenger vom Chaos Computer Club Darmstadt, der die Sicherheitslücke aufgedeckt hatte, das gesamte IT-Projekt beA für “unprofessionell – sowohl entwickelt als auch getestet” hält. Die Sicherheitslücken hätte – gemäß Drenger – jeder mit IT-Know-how “auf Erstsemester-Niveau” finden können (jeweils zitiert aus LTO). Die derzeitige Konzeption ist laut Drenger ein Verstoß gegen alle gängigen IT-Sicherheitsstandards.

Die Digitalisierung zeigt dem klassischen Juristen seine Grenzen auf. Ein Jurastudium befähigt zu Vielem, aber nicht zur professionellen Softwareentwicklung. Die Einbindung von externen Fachleuten oder Juristen mit entsprechendem Sachverstand ist daher dringend anzuraten.

6. Keine “Hau-Ruck-Aktionen”

Die hektischen Tage vor und nach Weihnachten zeigen auch, dass “Hau-Ruck-Aktionen” tendenziell eher schädlich als nützlich sind. Es ist daher richtig, dass bspw. der DAV “auf die Bremse tritt” und eine sorgfältige Analyse fordert. Außerdem solle es eine “Vorlaufzeit von mindestens zwei Wochen für nötig gewordene Neueinrichtungen auf den Computern von mehr als 160.000 Anwältinnen und Anwälten in Deutschland” geben.

Bevor das beA wieder an den Start geht, muss sichergestellt werden, dass keine weiteren Aktionen notwendig werden, die zur vollständigen Abschaltung führen. Ist das beA erst einmal im täglichen Einsatz, kann es ansonsten zu schwereren Beeinträchtigungen der Justizpflege kommen.

7. Spott ist fehl am Platz

Zu guter Letzt: Hohn, Spott und Besserwisserei helfen in der derzeitigen Situation nicht weiter. Ein konstruktives Umgehen mit der sicherlich nicht einfachen Situation (das beA fällt nach Einschätzung von Drenger wohl noch mehrere Monate aus) wird helfen, aus den Fehlern zu lernen und die Rechtsbranche insgesamt auf dem Weg der Digitalisierung voranzubringen. Werden die richtigen Lehren gezogen, haben die Entwicklungen der letzten Tage schlussendlich doch ihr Gutes.