Deutschland ist momentan digital abhängig. Einen beachtlichen Anteil der Mittel für den Auf- und Ausbau seiner digitalen Verwaltung gibt der öffentliche Sektor für Produkte, Anwendungen und Services außereuropäischer IT-Dienstleister aus. Damit gehen datenschutzrechtliche Risiken einher. Ein brandaktuelles Beispiel zeigt das klar. US-Präsident Donald Trump hat kurz nach seinem Amtsantritt angekündigt, alle Dekrete seines Amtsvorgängers Joe Biden überprüfen und gegebenenfalls aufheben zu wollen. Darunter fällt auch das EU-US-Data Privacy Framework. Es soll eigentlich einen rechtssicheren und stabilen Austausch von personenbezogenen Daten aus der EU mit den USA ohne weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen gewährleisten. Ende Januar 2025 hat US-Präsident Trump fast alle Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB), das das Datenabkommen überwachen soll, entlassen. Das Gremium kann damit seiner Aufgabe faktisch nicht mehr vollumfänglich nachkommen. Folglich gerät unsere Souveränität insbesondere über unsere personenbezogenen Daten zunehmend in Bedrängnis. Die eigenen Möglichkeiten zur rechtlichen Rahmensetzung der digitalen Welt könnten weiter erodieren. Es bedarf deshalb eines Strategiewechsels hinsichtlich der Art und Weise, wie wir in Deutschland und Europa versuchen, diese datenschutzrechtlichen Risiken zu adressieren. Der allgemeine Trend, alles in die Cloud zu verlagern, verschärft dabei den Handlungsdruck noch mehr.
Die Einhegung von Datenschutz-Risiken durch bilaterale Abkommen ist gescheitert
Für alle deutschen und europäischen Unternehmen sowie Behörden sind IT-Dienstleister mit Hauptsitz in den USA ein wesentlicher Partner für die Verarbeitung von Informationen. Zumeist wurden sie als die einzige Alternative betrachtet. Um ein angemessenes Datenschutzniveau im Verkehr personenbezogener Daten aus Europa mit den USA zu erreichen, hat die EU bereits dreimal versucht, die datenschutzrechtlichen Risiken und Unsicherheiten über Abkommen mit den USA einzuhegen. Die ersten beiden Versuche waren das Safe-Harbor-Abkommen und das EU-US-Privacy Shield-Abkommen. Beide wurden im Jahr 2015 beziehungsweise im Jahr 2020 vom Europäischen Gerichtshof aufgrund der Zugriffsmöglichkeiten von US-amerikanischen Sicherheitsbehörden auf die Daten aus der EU gekippt. In den USA war damit kein dem EU-Recht vergleichbarer Datenschutz-Standard gewährleistet. Der dritte Versuch etablierte im Jahr 2023 in der Amtszeit von Präsident Biden das EU-US-Data Privacy Framework. Ob US-Präsident Trump dieses nun formell widerrufen wird, ist bisher unklar. Mit der Entlassung des datenschutzrechtlichen Aufsichtsgremiums PCLOB ist dieses Abkommen aber bereits faktisch unwirksam. Mit ihm scheitert auch die Strategie der EU, datenschutzrechtliche Risiken durch Abkommen einzuhegen. Denn es wird deutlich, dass die Möglichkeit zum Schutz personenbezogener Daten im Rahmen von zwischenstaatlichen Absprachen und Abkommen in einer digitalpolitischen Abhängigkeit vor allem vom politischen Wohlwollen und Gestaltungswillen der anderen Vertragspartei abhängt.
„Buy European“ sollte zumindest in sensiblen Bereichen der Standard werden
Um nicht von unberechenbaren Akteuren erpressbar zu sein, müssen wir umsteuern. Der Schutz sensibler personenbezogener Daten aus Europa darf nicht dauerhaft der Spielball wechselnder politischer Stimmungen, Meinungen und Beschlüsse sowie der behördlichen Zugriffsrechte in außereuropäischen Drittstaaten werden. Darüber hinaus ist unseren Unternehmen und Behörden die daraus entstehende rechtliche Unsicherheit und die steigende Bürokratie, etwa durch Neuverhandlung von Verträgen und die Anpassung von Datenschutzhinweisen, nicht zuzumuten. Um unser Staatswesen unabhängig von Drittstaaten aufrechterhalten zu können, brauchen wir in Deutschland und Europa deshalb einen Strategiewechsel. Zumindest in sensiblen und kritischen Bereichen, wie etwa der öffentlichen Verwaltung, sollten wir stringent auf Anwendungen, Produkte und Services europäischer IT-Dienstleister umsteigen. Open Source-Produkte können dabei ein wichtiger Baustein, aber nicht die Lösung für alles sein.
Wir haben den notwendigen starken IT-Mittelstand und die notwendige innovationsstarke Digitalwirtschaft, die fähig und bereit ist, die digitale Souveränität unseres Gemeinwesens zu sichern. Dazu benötigt es aber eine faktische Priorisierung von Souveränität auf der digitalpolitischen Agenda und ein klares, gelebtes Bekenntnis zur nationalen und europäischen Digitalwirtschaft. Ihr muss es ermöglicht werden, ihre Produkte einzubringen. Als größter IT-Beschaffer hat der Staat in Deutschland zudem eine enorme Einkaufsmacht. Mit einer strategisch angelegten Beschaffungspolitik böte sich die Chance, unsere Gesellschaft digital souveräner aufzustellen und die nationale und europäische Digitalwirtschaft effektiv zu fördern.
Ausblick
Digitale Souveränität ist eine Frage von Freiheit, Sicherheit und Wohlstand. Ziel muss dabei sein, die digitale Souveränität zu sichern, indem wir uns schrittweise aus der Abhängigkeit von außereuropäischen Technologieanbietern lösen. Das heißt nicht, gar keine Produkte außereuropäischer Technologieanbieter mehr zu verwenden – aber es darf keine einseitigen Abhängigkeiten mehr geben. Durch offene Schnittstellen müssen wir jederzeit Wechselmöglichkeiten auch bei proprietärer Software eröffnen. Wenn Deutschland und die EU hier zögern, werden wir weiter an Einfluss verlieren und bei der Gestaltung der digitalen Ordnung des 21. Jahrhunderts zum Zuschauer degradiert.
- - -
Autor: Dr. Reinhard Brandl ist Mitglied des Bundestags und war Digitalpolitischer Sprecher der CDU/CSU-Fraktion im 20. Deutschen Bundestag.
Digitale Souveränität entscheidet über Deutschlands und Europas Handlungsfähigkeit im globalen Wettbewerb. Experten aus Wissenschaft, Politik und Wirtschaft erläutern in diesem Table.Forum, warum und wie strategisch investiert, föderale Strukturen modernisiert und digitale Kompetenzen gestärkt werden müssen – technisch, politisch und gesellschaftlich.
Unser Partner: Schwarz Digits ist die IT- und Digitalsparte der Schwarz Gruppe, einer international führenden Handelsgruppe (Lidl, Kaufland). Schwarz Digits bietet digitale Produkte und Services an, die den hohen deutschen Datenschutzstandards entsprechen. Zu den souveränen Kernleistungen von Schwarz Digits gehören Cloud, Cybersicherheit, Künstliche Intelligenz, Kommunikation und Workplace.
