Digitale versus Daten-Souveränität
Die Debatte zum Thema Souveränität in der IT ist aus offensichtlichen politischen Gründen derzeit wieder aktuell. Als Voraussetzung aber ist es wichtig zwischen der „digitalen“ und der „datenbezogenen“ Souveränität zu unterscheiden. Ein Kommentar.
Save to Folio
In der gerade geführten Diskussion zur Souveränität in der IT scheinen die daran Teilnehmenden oft aneinander vorbeizureden. Und das hat damit zu tun, dass Souveränität nicht gleich Souveränität ist, wenn es um „digitale“ und „datenbezogene“ geht. Es kommt auf den „kleinen“ Unterschied an. Dabei werden oft ein paar Begriffe vermischt.
Im nichteuropäischen Ausland bezeichnet der Begriff „Datensouveränität“ oft das, was hierzulande unter dem Stichwort Datenschutz-Grundverordnung (DSGVO) bereits fast ein Jahrzehnt gültiges Recht ist. Auch wenn die EU-Verordnung nicht auf viel Gegenliebe gestoßen ist, so haben andere Nationen doch längst nachgezogen. Warum sollten die Daten ihrer Einwohner auch weniger wert sein als die Daten von EU-Bürgern? Der Begriff wurde ursprünglich ausschließlich für personenbezogene Daten verwendet und bezeichnete das Recht eines Menschen „souverän“ über seine Daten zu entscheiden. Sprich die unangefochtene Autorität in Bezug auf seine Daten zu sein.
Im Zuge der politischen Souveränitätsdebatte verlor sich dabei nach und nach der personenbezogene Kontext und wird in einigen Publikationen auf alle Daten ausgedehnt. Eigentümer ist dabei nicht mehr notwendigerweise eine natürliche Person, sondern häufig eine juristische Person wie ein Unternehmen – mithin ein Kunde. Diesem wird versichert, dass er selbst bestimmen dürfe, wo z.B. seine Daten gelagert werden, wer darauf Zugriff hat und wie damit umgegangen wird. „Souveränität“ als Begriff wird hierbei erst verwendet, seit das Thema größere Aufmerksamkeit erreichte – nicht nur hier in Europa.
Internationale Unternehmen haben sich längst schon darauf eingestellt und versichern deshalb eifrig allen, dass sie selbstverständlich die lokalen Gesetze des Landes, in dem die Daten physikalisch liegen, respektieren. Dazu sind sie übrigens auch gesetzlich verpflichtet. Und deshalb lässt sich das Gesagte auch ohne Probleme auf alle Daten ausweiten – auch solche außerhalb der DSGVO.
Zudem kann man dem Kunden auch noch hilfreiche Zusatzleistungen anbieten oder empfehlen, wie das Verschlüsseln der Daten beispielsweise. Damit kann nun wirklich niemand mehr ungewünscht darauf zugreifen, eigentlich egal, wo sie liegen. Sprechen Hersteller und Diensteanbieter von Souveränität meinen sie oft die Datensouveränität – einfach daran zu erkennen, dass auf die Rechte des Landes verwiesen wird, in dem diese Daten liegen.
Das spielt für die „digitale Souveränität“ natürlich auch eine Rolle, aber sie geht ein Stück weiter – und zwar ein nicht zu unterschätzendes Stück. Sie stellt die Frage, wie unabhängig man tatsächlich ist – als Unternehmen oder sogar als Staat. Ein Beispiel: Das Land Russland unterliegt dem Embargo westlicher Staaten. Das bedeutet auch, dass der Vertrieb und Support von IT-Dienstleistungen ausgesetzt oder stark vermindert wurde. Unternehmen aus Russland können heute beispielsweise keine neuen Serviceverträge mit Microsoft oder anderen Tech-Unternehmen abschließen. Das Land hat sich allerdings auf diesen Fall auch schon längst vorbereitet. Das ist hierzulande anders. Der Wegfall derartiger Leistungen hätte dramatische Konsequenzen.
In der EU wird deshalb seit mehr als einem Jahrzehnt über digitale Souveränität diskutiert – immer abhängig von der aktuellen politischen Lage. So waren 2013 die Snowden-Veröffentlichungen und ein Spionageskandal, der das Abhören des Smartphones der damaligen Bundeskanzlerin Merkel beinhaltete, der erste größere Anlass zur Diskussion. Es entstand der so genannte „No-Spy“-Erlass für Vergabeverfahren der Bundesregierung. 2018 kam dann der nächste Aufreger. Mit dem „Cloud Act“ stellte die damalige Trump-Administration die europäische DSGVO in Frage. Der Act stellte US Geheimdienstinteressen über die Eigentumsrechte europäischer Bürger, Unternehmen und Regierungen. Der physische Speicherort der Daten interessierte nicht, wenn dieser von US-Unternehmen kontrolliert wurde. Zum Eklat kam es nicht, weil man sich ein paar Jahre später unter einem neuen US-Präsidenten wieder auf eine vertrauensvolle Partnerschaft einigte.
Aktuelle Souveränitätsdebatte
Wer verstehen will, was es mit der aktuellen Debatte auf sich hat, muss sie in ihrem politischen aber auch wirtschaftlichen Kontext verstehen. Die wirtschaftliche Dominanz amerikanischer Tech-Unternehmen ist unbestreitbar. Sie geht so weit, dass ein Verzicht auf ihre Technologien die Existenz vieler Unternehmen bedrohen würde. Ein „Ohne“ geht also nicht. Zwar gibt es andere Länder, die nicht in diesem Maße US-abhängig sind, wie eben Russland oder China. Aber deren Technik hierzulande einzuführen, ist eben genauso wenig sinnvoll.
Aber ein „Mit“ bedeutet eben auch eine gewisse Abhängigkeit, die unter Umständen erpressbar macht. Nicht nur gegenüber den jeweiligen Unternehmen, die mit entsprechender „Lobby-Arbeit“ politische Entscheidungen beeinflussen können, sondern auch von der Politik eines anderen Landes, auf die man möglicherweise keinen Einfluss hat.
Wie sieht ein Weg aus dieser Zwickmühle aus? Aktuell kommen zahlreiche Anstöße aus der Politik, eine rein europäische Lösung zu bauen. Das ist sicherlich denkbar, erfordert jedoch massive Investitionen und Zeit. Denn, wie auch immer ein solches Unternehmen aussieht, es wird nicht einfach den Technologievorsprung seit Jahren forschender Giganten übernehmen können. Und auch wenn in der aktuellen Debatte regelmäßig der Eindruck entsteht es wäre machbar: ist eine vollständig autarke Lösung, also ohne jegliche externen Abhängigkeiten wirklich sinnvoll und erstrebenswert? Die Vernetzung in der IT sowie der freie technologische Handel haben sich in der Vergangenheit bewährt. Vielmehr wird es aus europäischer Sicht darauf ankommen, seine Partner klug zu wählen.
Als weiteren möglichen Weg versprechen die großen amerikanischen Anbieter ebenfalls eine europäische „souveräne Cloud“. Und hier werden auch gerne die Begriffe „digitale“ und „Daten“-Souveränität vermischt. Denn natürlich sollen die Daten sicher gelagert werden. Aber digital souverän bedeutet eben, dass kein anderer den Zugang zu diesen Daten sperren oder sie entwenden kann. Im Fall des Banns der russischen Software Kaspersky war beispielsweise die Möglichkeit des politisch angeordneten Zwangsdiebstahls von Daten die Begründung der US-Regierung. Könnten US-Unternehmen auch zur Spionage gezwungen werden, weil sie genau die gleichen, wenn nicht sogar noch stärkere Zugriffsrechte haben? 2013 gab es dazu entsprechende Fragen der niederländischen Menschenrechtsorganisation Bits of Freedom. Bis heute wurden diese Fragen von keinem US-Unternehmen beantwortet. Wie umfassend und nachhaltig die aktuellen Souveränitäts-Modelle sind, wird sich zeigen.
Open Source als Alternative?
Und Open Source? Ist eine gern genannte Alternative. Open Source scheint der vernünftige Mittelweg aus der Abhängigkeit bei gleichzeitig funktionierender Technik zu sein. Aber ist es das wirklich? Ja und nein. Anwender machen sich nicht abhängig von anderen Unternehmen aber von den Menschen, die entsprechende Systeme aufsetzten und von deren Fähigkeit zur Dokumentation. Denn solche Architekten wollen bauen. Ist die Lösung einmal aufgesetzt, ziehen sie weiter. Zurück bleibt ein Konstrukt, das von außen toll aussieht, aber beim kleinsten Problem in sich zusammenzufallen droht. Denn gibt es Schwierigkeiten, sollte sich besser jemand damit beschäftigen, der sich mit dem System auskennt. Aber wie viele Menschen gibt es dafür und wo findet man sie? Trotz – oder wegen – dieses Community-Ansatzes kann auch Open Source anfällig für (staatlich getriebene) Einflussnahme sein, wie der Fall der xz-Backdoor im vergangenen Jahr zeigt.
Open Source Projekte scheitern nicht an deren Umsetzung, sondern an deren Pflege. München hatte mit „LiMux“ 2009 ein solches Projekt gestartet, das 2014 in Frage gestellt und 2017 vom Stadtrat beendet wurde. Dass dies zufällig gleichzeitig mit dem Umzug der Firma Microsoft und deren Gewerbesteuer zurück in die Landeshauptstadt erfolgte, sorgte damals für Spekulationen. Als tatsächliche Gründe wurden allerdings mangelnde Kompatibilität mit anderen Systemen und geringer Funktionsumfang angegeben. Beides sind valide Gründe, die Unternehmen nicht einfach abtun sollten.
Fazit
Echte, im Sinne einer digitalen Souveränität gestaltete Lösungen sind auf dem Papier möglich, aber praktisch schwierig umzusetzen. Solange keine praktischen und vor allem finanzierbaren Alternativen verfügbar sind, bleibt die Souveränitätsdiskussion denjenigen vorbehalten, die entsprechende Mittel haben.
Auch wenn sich Behörden zu Recht mit der „digitalen Souveränität“ beschäftigen. Für Unternehmen bleibt vorerst die „Datensouveränität“ interessanter. Sie umfasst die Speicherung und Verarbeitung von Daten abhängig vom Willen und der Zustimmung ihres Eigentümers. Darin eingeschlossen eben auch das Recht von Unternehmen zu erfahren, wo seine Daten liegen, wer darauf Zugriff hat und wie damit umgegangen wird. Hier braucht es eine offene und ehrliche Diskussion. Ist laut eigenem Risikoverständnis ein Konflikt mit den USA ein Problem, dann empfiehlt es sich entsprechende Minderungsmaßnahmen zu planen. Dazu gehört beispielsweise der Umzug wertvoller Daten in politisch unbedenkliche Rechenzentren.
Und IT-Sicherheit?
Es ist nicht unsere Entscheidung, wie ein Kunde mit seinen Daten umgeht. Unsere Aufgabe ist es, ihn dabei bestmöglich abzusichern. Wir bieten deshalb Lösungen für alle Optionen inklusive komplett autarken Systemen. Aber auch für unsere Seite gilt: die Möglichkeiten der modernen Cloud können wir nicht oder nur unter enormen Investitionen in einem lokalen Rechenzentrum abbilden. Auch wenn wir mit einer eigenen „Sovereign and Private Cloud“ (SPC)-Version unseren Trend Vision One-Kunden die Technologie anbieten können, so wird das auf absehbare Zeit erst einmal nur für die machbar sein, die auch eine eigene „private Cloud“ betreiben können.
Und nur um Missverständnisse auszuschließen: Trend Micro ist ein japanisches Unternehmen mit Hauptsitz in Tokio. Die Bedeutung für das Thema digitale Souveränität und mögliche Vorteile für unsere Kunden haben wir hier auf dem Blog bereits dargelegt.