Gipfel in Berlin – Europa strebt digitale Souveränität an

Bundeskanzler Friedrich Merz (CDU) und der Präsident Frankreichs, Emmanuel Macron, haben ihre Teilnahme am Treffen der Digitalminister und IT-Experten in Berlin angekündigt. Am Dienstag werden rund 900 Teilnehmer zum Europäischen Gipfel zur Digitalen Souveränität erwartet. Was lange Zeit ein Randthema für IT-Experten war, steht nun weit oben auf der politischen Agenda.

Denn viele Unternehmer und Führungskräfte in der öffentlichen Verwaltung fragen sich besorgt: „Wie sicher sind meine Daten in den Clouds großer US-Tech-Unternehmen wie Amazon Web Services (AWS), Microsoft Azure oder Google Cloud? Und könnte es passieren, dass der Zugang zu meinem E-Mail-Konto eines Tages blockiert wird?“ Es geht hierbei nicht um Bedenken bezüglich möglicher Hackerangriffe, sondern um potenzielle Maßnahmen im Auftrag der US-Regierung.

Kein Anti-US-Tech-Gipfel

Es wird zwar von der Bundesregierung gehört, dass der Gipfel in Berlin sich nicht explizit gegen die USA richtet. Vielleicht möchte man jedoch mit Blick auf bestehende Abhängigkeiten und heikle Zollfragen auch einfach kein Öl ins Feuer gießen.

Zugriff der US-Justiz?

Das 2022 vom Bundesinnenministerium gegründete Zentrum für Digitale Souveränität in der Öffentlichen Verwaltung hat diesen Sommer jedenfalls unter der Überschrift «US-Recht kennt keine Grenzen» folgenden Hinweis auf juristische Risiken veröffentlicht: «Durch Gesetze wie den CLOUD Act und FISA 702 unterliegen alle US-Cloud-Anbieter der Pflicht, Daten auch dann offenzulegen, wenn sie außerhalb der USA gespeichert sind.» Dasselbe gelte für entsprechende verbindliche Anordnungen des US-Präsidenten. Die Amazon Web Services Cloud wird beispielsweise für die Speicherung von Aufzeichnungen von Bodycams der Bundespolizei genutzt.

FISA 702 ermöglicht US-Geheimdiensten wie der NSA das Abfangen von Kommunikation, die von US-amerikanischen Unternehmen bereitgestellt wird. Der Cloud Act erlaubt US-Ermittlungs- und Strafverfolgungsbehörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, unabhängig davon, wo sich die Daten physisch befinden – also auch in europäischen Rechenzentren.

Geopolitische Herausforderungen

«Die Stärkung der europäischen digitalen Souveränität ist für die Bundesregierung wie auch für die Regierungen der anderen EU-Mitgliedstaaten ein wichtiges Thema – gerade auch mit Blick auf die aktuellen geopolitischen Herausforderungen», sagt ein Sprecher des Digitalministeriums. Von dem Gipfel solle «das starke Signal ausgehen, dass sich Europa der Herausforderungen bewusst ist und die digitale Souveränität engagiert vorantreibt».

Für das Zentrum für Digitale Souveränität ist es das erklärte Ziel, die «kritischen Abhängigkeiten» der öffentlichen Verwaltung von großen, zumeist nicht-europäischen Software- und Cloud-Anbietern aufzulösen, deren Lösungen inzwischen fester Teil vieler staatlicher IT-Infrastrukturen geworden ist.

Ohne Cloud geht fast nichts mehr

Auch Unternehmen sind teilweise besorgt. Gemäß einer im Frühsommer veröffentlichten Studie des Branchenverbands Bitkom nutzen neun von zehn deutschen Unternehmen mit mindestens 20 Mitarbeitern Cloud-Dienste. Gleichzeitig betrachten 78 Prozent der befragten Führungskräfte und IT-Fachleute die starke Abhängigkeit von amerikanischen Cloud-Anbietern als problematisch. Der Bedarf an leistungsstarken europäischen Alternativen ist daher groß – vorausgesetzt, sie bieten die gleichen Funktionen.

Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte im August erklärt, der US-Cloud-Act sei eines von diversen Gesetzen in den USA, die dem Staat viele Zugriffsmöglichkeiten zubilligten. So etwas finde man auch in China. Die Antwort auf die Frage der Kontrolle sollte aber nicht politisch sein, sondern technologisch. «Es geht darum, sicherzustellen, dass ein Zugriff technisch nicht möglich ist», betont sie. Dabei gehe es insbesondere um Verschlüsselung und die Frage, ob der Nutzer die Hoheit über diese Schlüssel habe.

Sven Kummer, Gründer eines Software-Unternehmens für sicheren Newsletter-Versand aus Freiburg, sagt, es sei gut, dass versucht werde, die Nutzung großer US-Cloud-Dienstleister mit Sicherheitsmaßnahmen zu verknüpfen. Cloud-Dienstleister dieser Größenordnung auch in Europa zu haben, wäre «natürlich auch toll», sagt der Geschäftsführer von rapidmail. Und fügt bedauernd hinzu: «Das ist leider noch nicht der Fall.» 

Der Serverstandort wird immer wichtiger

Früher habe kaum ein Kunde wissen wollen, wo die Server von rapidmail stehen, aber seit einigen Monaten sei dies die am häufigsten gestellte Frage, die seine Kundendienst-Mitarbeiter beantworten müssten, berichtet Kummer. Die Antwort: In einem Rechenzentrum in Frankfurt am Main.

Für sein eigenes Unternehmen gelte: «Solange es irgendwie um Daten geht, die unseren Kunden gehören, dann hätte ich sie gerne so in Reichweite, dass ich auch wirklich mit Sicherheit unseren Kunden sagen kann: „Hey, hier haben wir unsere Hand drauf, sonst ist es niemand, und das bleibt auch so.“» Seine Kunden sind vor allem kleine und mittelständische Unternehmen, Vereine, Verbände oder auch Solo-Unternehmer. Sie erwarten von Kummer und seinem Team, dass ihre Newsletter gut aussehen, bei den Empfängern nicht im Spam-Ordner landen, dass alle Datenschutz-Regeln eingehalten werden und niemand Unbefugtes Zugriff auf sensible Daten hat – etwa auf die Empfängerlisten. 

Einfach mal machen – in Deutschland schwierig

Seit 2021 gehört rapidmail zur deutsch-französischen Positive Group. Das Konzept, einfach einmal etwas auszuprobieren, zu gucken, ob es funktioniert und, wenn es nicht funktioniert, das Nächste auszuprobieren, sei in Deutschland wegen der vielen Regularien nicht umsetzbar, sagt Kummer. «Das ist in den USA oder in anderen Ländern einfach deutlich einfacher, einfach mal was zu probieren.» Bürokratieabbau und der Zugang zu Wagniskapital wären aus seiner Sicht wichtig, damit Deutschland im internationalen Wettbewerb der Tech-Start-Ups aufholt – wichtiger als Förderung und riesige KI-Rechenzentren.