Das beA wird neu ausgeschrieben: Viel Sicher­heit, wenig Vision

Betrieb und Weiterentwicklung des besonderen elektronischen Anwaltspostfachs (beA) werden neu ausgeschrieben. Das kommt nicht überraschend, da die aktuellen Verträge auslaufen. Eine Trennung der BRAK von der bisherigen Dienstleisterin Atos ist damit nicht vorgegeben, aber auch nicht unmöglich. Selbst bei einer etwaigen Trennung wird, das zeigt die Ausschreibung, das bisherige System weiterbetrieben und weiterentwickelt werden.

Es handelt sich um eine Verhandlungsvergabe mit öffentlichem Teilnahmewettbewerb, was bei komplexen Vergaben wie IT-Dienstleistungen nicht unüblich ist. Zunächst sollen die Bieter ein erstes indikatives Angebot abgeben. Daraufhin will die BRAK mit jedem Unternehmen, dessen Angebot die geforderten Mindestbedingungen erfüllt, Verhandlungsgespräche führen. Diejenigen Bieter, die nach den Gesprächen noch im Rennen sind, werden in einer zweiten Phase zur Abgabe eines finalen Angebotes aufgefordert. Wie den Vergabeunterlagen zu entnehmen ist, will die BRAK die Angebote anhand preislicher und sachlicher Kennzahlen bewerten. Der Zuschlag soll auf das Gebot erfolgen, dessen Preis-Leistungs-Verhältnis am günstigsten ist. Mit dem förmlichen Vergabeverfahren vollzieht die BRAK eine Kehrtwende, der Auftrag an Atos war noch freihändig vergeben worden. Das hatte jedoch massive Kritik hervorgerufen.

Inhaltlich zeigt die Ausschreibung, dass die BRAK aus den Sicherheitsproblemen vor und seit dem Start des Systems ihre Lehren gezogen zu haben scheint. Sichere Verfahren nehmen viel Platz ein in den Anforderungen für Betrieb und Weiterentwicklung des beA. Angedeutet sind Entwicklungen wie ein Kanzleipostfach oder der Betrieb mit mobilen Endgeräten. Von einem beA 2.0 oder gar einer Zukunftsvision sind die Anforderungen der BRAK aber weit entfernt.

Klingt gut, aber wenig konkret

Die Ausschreibungsunterlagen sind öffentlich. Sie bieten einen Einblick, welche Vorstellungen die BRAK zur Weiterentwicklung des beA hat – oder besser: wie wenig konkret diese Vorstellungen sind. Die Ausschreibung erfolgt allerdings in einem zweistufigen Verhandlungsverfahren, d.h. es muss durchaus nicht jedes Detail bereits in der Leistungsbeschreibung bereits festgelegt sein.

Die Ausschreibung erfolgt wieder für fünf Jahre, was ein durchaus angemessener Zeitraum ist. Die Anforderungen werden eher mit blumigen Worten als mit konkreten Vorgaben beschrieben. "Höchste Verfügbarkeit", "kurze Entstördauer", "umfängliche Nutzerunterstützung" und "verlustarme Zusammenarbeit" klingen gut, sollten aber im zu  verhandelnden Vertrag unbedingt in einem Service Level Agreement (SLA) konkretisiert werden.

Lediglich zur Verfügbarkeit des beA-Systems wird ein konkreter Wert von 99,9 Prozent genannt. Dieser klingt zwar hoch; für das beA wäre er jedoch deutlich zu tief. Er würde es erlauben, das System fast 9 Stunden pro Jahr – also einen ganzen Arbeitstag - ausfallen zu lassen.

"Zunehmend benutzerfreundlicher" und "technikoffen"

Bei der Funktionalität verweist die BRAK auf bestehende Beschreibungen des Systems sowie die gesetzlichen Grundlagen. Zwar wird zunächst nur die gesetzliche Sollvorgabe der Barrierefreiheit wiederholt. Änderungen müssen künftig jedoch barrierefrei sein. Das ist gut etwa für blinde Nutzer.

Über die gesetzlichen Vorgaben hinaus werden konkrete Entwicklungsziele kaum genannt. Die Ausschreibung beschreibt lediglich allgemein, dass der Kreis der Nutzer erweiterbar sein soll. Zudem werden "Überlegungen" geschildert, dass das System künftig mobile Endgeräte, Kanzleipostfächer sowie die Kommunikation mit Mandanten unterstützen könnte. Erfreulich ist die Vorgabe, die künftige Verwendung von Open Source Software zu prüfen.

Dass es eine Überlegung gibt, das beA-System «zunehmend benutzerfreundlicher» zu gestalten, lässt darauf schließen, dass sich die BRAK durchaus klar ist, dass es hier Optimierungsbedarf gibt. Allerdings hätten ich mir dazu konkretisierte Pflichtvorgaben gewünscht. Unmöglich erscheint dagegen die als "Notwendigkeit" formulierte Anforderung, das System "technikoffen" zu implementieren. Wenn man ein System baut, muss man sich entscheiden, welche konkrete Technik man dabei einsetzt.

Wie viele Nutzer wird das beA haben?

Viel Wert wird auf die IT-Sicherheit gelegt. Gefordert wird ein Informationssicherheitsmangementsystem (ISMS) ebenso wie ein IT-Sicherheitskonzept. Im Fokus steht die Sicherheit auch bei den Entwicklungsprozessen, dem Change-Management sowie bei den Kommunikationsprozessen zwischen BRAK und der Auftragnehmerin. Zwar bleibt vieles vage, doch wird die Auftragnehmerin gebeten, im Angebot entsprechende Vorschläge vorzulegen. Das ist durchaus sachgerecht, da die BRAK hier prinzipiell ungebunden ist und sich auf bestehende Systeme der künftigen Auftragnehmerin einlassen kann.

Interessant sind ein paar Nutzungszahlen, die sich in der Leistungsbeschreibung wiederfinden: 200.000 Anwälte mit weiteren 300.000 Mitarbeitern versenden pro Monat 270.000 Nachrichten und empfangen 450.000 Nachrichten. Pro Nutzer sind das daher nur etwas mehr als eine Nachricht pro Monat.

Auf übliche Bürozeiten umgelegt, ist dies im Schnitt etwa eine Nachricht pro Sekunde. In Stoßzeiten ist dies natürlich deutlich mehr, so dass die Zahl der BRAK von bis zu 7 Nachrichten pro Sekunde dazu passend erscheint. Die BRAK rechnet künftig mit einem "raschen Anstieg", bleibt aber auch hier konkrete Vorgaben schuldig. Im endgültigen Vertrag sollte sie dazu unbedingt konkret werden.

Die Sicherheit scheint eine große Rolle zu spielen in der Ausschreibung für das beA. Weitergehende Visionen, eine Abkehr von der aktuellen Architektur, eine Umstellung auf echte Ende-zu-Ende-Verschlüsselung oder gar ein beA 2.0 sind hingegen (noch) nicht erkennbar. Dabei wäre es gut, wenn sich die BRAK bzgl. des beA als gute Dienstleisterin der Anwälte verstünde, die mehr will als nur das gesetzliche Minimum erfüllen.

Der Autor Jörn Erbguth ist Diplom-Jurist und Diplom-Informatiker. Er ist Legal-Tech-Berater zu Blockchain und Smart Contracts. Aktuell promoviert er an der Universität Genf zum Thema Blockchain Governance sowie lehrt an der Universität Genf, der Geneva School of Diplomacy und der Richterakademie. Als Vorstandsmitglied des EDV-Gerichtstags beschäftigt er sich seit längerem eingehend mit dem beA und hat u.a. auch am dazu von der BRAK veranstalteten beAthon teilgenommen.