So ist das jetzt also: Nachdem der Europäische Gerichtshof das Datenschutzabkommen “Privacy Shield“ – übrigens schon zum zweiten Mal – gekippt hat, müssen die europäischen Aufsichtsbehörden einschreiten, wenn Unternehmen personenbezogene Daten in die USA verlagern. Der Grund: die dortigen Überwachungsgesetze sind mit dem europäischen Verständnis von informationeller Selbstbestimmung als Grundrecht nicht zu vereinbaren. Doch grau ist alle Theorie. Ob die Behörden tatsächlich einschreiten werden oder ob sie auch nur die Mittel zum Einschreiten haben werden, ist fraglich. Von Irland, wo Facebook und andere ihre Daten zwischenlagern, erwarten die Experten kein allzu großes Engagement. Der Grund: Laschheit im Umgang mit Daten kann auch ein Standortvorteil sein.
Das europäische Datenschutzrecht bleibt eine im internationalen Rahmen schwer durchsetzbare Idealvorstellung. Das gilt mit Sicherheit auch für den nun zu erwartenden dritten Versuch, ein belastbares “Privacy Shield“ Datentransfer-Abkommen mit den USA auszuhandeln. Solange US-Behörden im Verdachtsfall gegenüber US-Unternehmen die Herausgabe von Daten verlangen können, egal wo diese Daten gerade gespeichert sind, solange kann kein belastbares Abkommen nach strengen europäischen Rechtsvorstellungen entstehen. Und Ähnliches lässt sich auch für die geplante europäische Daten-Cloud vorhersagen: Gerade weil es aus US-amerikanischer Sicht egal ist, wo und wie die Daten gespeichert sind, müssen die Unternehmen, die amerikanischem Recht unterliegen, folgen.
Für europäische Unternehmen gibt es eigentlich nur eine Alternative, wenn sie sicher sein wollen, dass Daten nicht in US-Behördenhände geraten sollen: sie dürften ihre Cloud-Aktivitäten nur europäischen Unternehmen anvertrauen. Auch das gilt im Prinzip für GAIA-X: Wenn Europa US-Unternehmen an der eigenen Daten-Cloud beteiligt, ist auch dort prinzipiell eine Hintertür für die angeordnete Herausgabe von Daten geöffnet.
Das ist durchaus ein transatlantisches Grunddilemma, das schon alleine deshalb unlösbar erscheint, weil die Cloud-Angebote aus den USA so marktdominant sind, dass kaum ein Unternehmen, das im internationalen Wettbewerb bestehen will, auf sie verzichten kann. An diesem Dilemma kommt auch die Initiative von Wissenschaftlern, IT-Experten und Medienmanagern nicht vorbei, die jetzt – zu Recht – eine eigenständige europäische Dateninfrastruktur fordert und damit auch der europäischen Daten-Cloud GAIA-X zu mehr Durchschlagskraft verhelfen will.
„Wir wollen digitale Souveränität stärken – also die Selbstbestimmung Europas als Rechts- und Wertegemeinschaft und jedes einzelnen Nutzers“, fasst der ehemalige SAP-Chef Henning Kagermann die Ziele der Initiative zusammen.
Es klingt alles ganz schön, was da der Initiative mit auf den Weg gegeben wird: „Wenn Europa jetzt kraftvoll handelt und eine ambitionierte Initiative startet, kann ein öffentlicher digitaler Raum entstehen, der faire Zugangs- und Nutzungsbedingungen bietet, den öffentlichen Diskurs stärkt und die identitätsstiftende Pluralität Europas sicherstellt“, formuliert es Mitinitiator und Intendant des Bayerischen Rundfunks, Ulrich Wilhelm.
Aber wie soll das geschehen? Zwar schätzen die Initiatoren, dass zur Umsetzung einer eigenständigen internationalen Dateninfrastruktur nicht mehr als ein einstelliger Milliardenbetrag notwendig ist, doch wie und wofür diese Milliarden eingesetzt werden, darüber schweigen die Initiatoren bislang ebenso, wie die EU-Kommission in Brüssel darüber, wie sie ein EuGH-gerechtes “Privacy Shield“ Datentransfer-Ankommen mit den USA schmieden will.
An Konzepten und Standards für GAIA-X mangelt es nicht. Rund 300 Unternehmen arbeiten zusammen mit Forschungseinrichtungen an der Definition von Nutzungsszenarien, wie eine vertrauenswürdige Daten- und Softwarewelt für unterschiedliche Branchen aussehen könnte. Neben Industrie 4.0 sind dies vor allem die Bereiche Gesundheitswesen, Energieversorgung oder die öffentliche Hand. Aber auch die Frage, wie vernetzte und autonome Fahrzeuge künftig in sicheren Datenräumen navigieren sollen, soll mit Hilfe von GAIA-X definiert werden.
Doch am Ende sind alle Konzepte und Initiativen nur so viel wert, wie die Hardware, auf der sie in einer cloudifizierten Welt schlussendlich Wirklichkeit werden sollen. Laut IDC kommen die Top-Five der Hardware-Ausrüster für die Cloud entweder aus den Vereinigten Staaten oder der Volksrepublik China. Marktführer sind Dell und Hewlett-Packard Enterprise, gefolgt von den chinesischen Anbietern Inspur und Lenovo. Inspur hat 2005 eine Geldspritze von 20 Millionen Dollar von Microsoft erhalten, Lenovo entstand durch den Verkauf der PC-Sparte von IBM. IBM selbst ist dann übrigens die Nummer Fünf im internationalen Cloud-Geschäft. Und die Deutsche Telekom, die wiederum Prämium-Ausrüster von GAIA-X sein dürfte, arbeitet eng mit Huawei zusammen…
Solange GAIA-X ein Software-Tiger bleibt, entscheidet die Hardware über den Grad der Vertrauenswürdigkeit des Projekts. Am Ende müsste ein europäisches „Airbus-Industries der Informationstechnik“ entstehen, das die europäische Datensouveränität auch auf dem Niveau von Kabeln und Chips gewährleisten könnte. Aber selbst wenn sich dazu der politische Wille entwickeln würde, wäre das noch kein Garant für die Durchsetzung von europäischem Datenschutzrecht. Man kann keinem Unternehmen vorschreiben, bei welchem Hersteller eingekauft werden soll. Das wäre ein wirtschaftspolitischer Sündenfall, der die unternehmerische Souveränität zugunsten einer hehren Daten-Souveränität opfert. Aber ein schöner Gedanke wäre es schon, endlich einen europäischen Big Player im globalen Cloud-Business entstehen zu sehen, der Daten-Souveränität als Qualitäts-Produkt verkauft. Man wird ja noch träumen dürfen.