Datensouveränität und digitale Souveränität

Selbstbestimmt im digitalen Raum handeln und entscheiden zu können, wird für Unternehmen und Privatleute immer wichtiger. [...]

„Netzanarchie stärkt die Starken, die Rücksichtslosen, die Lauten“

Petra Gehring ist Professorin für Philosophie an der TU Darmstadt. Im Interview mit com! professional erklärt sie, warum digitale Souveränität und Datensouveränität heute so wichtig sind und warum Staat und Bürger hier eine aktive Rolle einnehmen sollten.

com! professional: Frau Gehring, Sie sind Mitherausgeberin des Buchs „Datensouveränität: Positionen zur Debatte“ und auch des Jahrbuchs Technikphilosophie. Wie kommt es, dass Sie sich als Professorin für Philosophie so intensiv mit Themen wie digitale Souveränität oder Datensouveränität beschäftigen?

Petra Gehring: Souveränität ist ja grundsätzlich ein Begriff aus der politischen Philosophie. Zudem habe ich mich in meiner Zeit als Vizepräsidentin der TU Darmstadt viel mit Digitalisierung und Medienwandel befasst, fungierte als eine Art CIO und war auch für unser Rechenzentrum verantwortlich.

Aktuell bin ich Vorsitzende des Rats für Informationsstrukturen der Gemeinsamen Wissenschaftskonferenz (GWK). Der Rat berät als Sachverständigengremium Politik und Wissenschaft in strategischen Zukunftsfragen der digitalen Wissenschaft.

com! professional: Eine allgemein akzeptierte Definiton von Datensouveränität gibt es noch nicht. Was verstehen Sie darunter?

Gehring: Der Begriff ist eher ein Leitmotiv als ein präzise definierter Terminus. Er zielt darauf, den Umgang mit eigenen Daten als Sache von Gestaltungsmacht zu begreifen, im Sinne einer „Freiheit zu …“ statt einer bloßen Gefahrenabwehr.

Auch Bürgerinnen und Bürgern muss es wichtig sein, Daten (einschließlich der „eige­nen“ Daten und der Daten, die man über uns gewinnt) als Ressource zu begreifen, aus denen stets jemand etwas macht, zumeist sogar eine ganze Masse von Profiteuren. Will man selbst in einem solchen Umfeld souverän sein, muss man aktiv etwas tun – sei es als Individuum, sei es als Unternehmen.

Die Alternative zwischen Geschütztwerden oder Datenweggabe (nach Klickzustimmung zu fertigen Vor­gaben) zwingt dem Dateninhaber eine passive Rolle auf. Auf diese Doppelzumutung von (verbotsartigem) Datenschutz oder aber ohnmächtigem Einwilligenmüssen in Datenweggabe reagiert die Forderung nach einer souveräneren Position.

com! professional: Wie sieht diese aktivere und souveränere Position konkret aus?

Gehring: Es geht zunächst darum, dass der Nutzer wissen muss, welche Daten erhoben werden und welche Daten von Dienstleistern genutzt oder weitergegeben werden, Stichwort Transparenz. Die Anwender oder Unternehmen müssen zudem die Schnittstellen kontrollieren können, an denen Daten abfließen.

Sie entscheiden aktiv, welche Daten sie weitergeben wollen, und konfigurieren die genutzten Systeme. Eine Option sind hier Personal-Information-Management-Systeme (PIMS), Programme, die in einer Art Einwilligungsmanagement regeln, unter welchen Bedingungen ich persönliche Daten weitergebe. Hier ist es auch möglich, Geld für die Weitergabe von Daten zu verlangen.

com! professional: Wie unterscheidet sich Datensouveränität von digitaler Souveränität?

Gehring: Datensouveränität und digitale Souveränität gleichen zwei Scheinwerfern, deren Lichtkegel sich überschneiden, sprich es gibt Übergänge zwischen den beiden Begriffen und Bereichen. Während Datensouveränität eher die individuelle oder Unternehmensebene betrifft, ist digitale Souveränität eher zwischenstaatlich oder von Märkten her gedacht.

Digitale Souveränität meint den Rückbau der Abhängigkeit der europäischen Wirtschaft von dominierenden US-amerikanischen und chinesischen Marktakteuren, die uns Preise diktieren können, vor allem aber über die Ausgestaltung von Software und digitalen Bauteilen entscheiden. Wenn europäische Firmen zu stark von diesen Anbietern abhängig sind, kommt es zu einem Vendor-Lock-in und damit weniger Wahlfreiheit. Da fehlt dann Souveränität.

com! professional: Warum ist Datensouveränität beziehungsweise digitale Souveränität heute so wichtig?

Gehring: Weil man Freiheit zurückgewinnen will. Europäische Firmen sollten nicht abhängig etwa von Cloud-Anbietern sein, die sie wegen der Datenschutz-Grundverordnung eigentlich verlassen müssten. Datensouveränität erinnert daran, dass Datenschutz ursprünglich einmal als informationelle Selbstbestimmung konzipiert war und nicht bloß als Sache einer Genehmigungsbürokratie.

Zudem sind digitale Geschäftsmodelle ein Problem, die unauffällig (oder auch illegal) abgegriffene Datenspuren der Kunden in großem Stil fast unkontrollierbar verwerten.

com! professional: Was können Unternehmen konkret tun, um Datensouveränität zu erreichen oder zu gewährleisten? Anders gefragt: Wie müssen sie ihre Datenstrategie oder IT-Strategie gestalten?

Gehring: Es ist wichtig, auf europäische Anbieter zu setzen und gegebenenfalls auch umzusteigen. Ebenso sollte man längerfristig denken: Wie nachhaltig ist welches Modul meiner Unternehmens-IT? Wie stabil sind im Moment günstige Preismodelle?

Und: Habe ich als Kunde Einfluss? Kann ich einzeln überhaupt verhandeln mit dem Gegenüber? Habe ich die Möglichkeit, jemanden persönlich zu kontaktieren? Bei großen Anbietern ist das nur schwer möglich. Zudem gilt: Je integrierter Lösungen sind, desto abhängiger ist man von Angeboten.

Als Ausweg gilt auch Open Source. Man sollte Open Source nicht zum Zauberwort überhöhen, aber die Vorteile prüfen. Es handelt sich hier um offene Programme, die von einer Community gepflegt und im permanenten Austausch weiterentwickelt werden.

Schicke Nutzerschnittstellen sind nicht alles. Hinter Open Source steht auch die Grundvorstellung, dass Software unabhängig davon verfügbar bleibt, ob eine Firma noch existiert oder aufgekauft wird.

com! professional: Welche Rolle spielt Datensouveränität bei der Auswahl eines Cloud-Anbieters?

Gehring: Eine große, weil sie im Moment oft fehlt. Die EU bereitet daher wichtige Legislationen zur Möglichkeit des Umzugs von Daten und damit des Wechsels von Cloud-Anbietern vor. Stichworte sind etwa Gesetze wie Data Governance Act, Digital Services Act oder Digital Markets Act.

Probleme entstehen bei sehr großen Datenmengen. Hier gibt es meist keine innereuropäischen Lösungen. Natürlich speichern die meisten Cloud-Anbieter die Daten ihrer EU-Kunden in europäischen Rechenzentren, um Vertrauen zu schaffen.

Der physische Speicher in der EU allein ist aber nicht entscheidend. Die Frage ist: Reicht das US-Recht in Unternehmen hinein? Microsoft Teams und andere Produkte von US-amerikanischen Cloud-Anbietern sind im Prinzip nicht datenschutzkonform, da die Anbieter bei Bedarf wohl Daten an die US-Behörden weiterleiten müssen.

com! professional: Welche Rolle spielen Gesetze wie die DSGVO oder das IT-Sicherheitsgesetz für die Datensouveränität?

Gehring: Die Datenschutz-Grundverordnung und das IT-Sicherheits­gesetz schaffen wichtige Stücke eines „europäischen Wegs“ für den digitalen Wandel. Vielleicht kann man sagen, dass Datensouveränität nun der Gesichtspunkt sein sollte, unter welchem man diese Regelungen im Detail interpretiert und vielleicht auch hier und da behutsam weiterentwickelt.

com! professional: Welche Ansätze und Lösungen gibt es für eine Steigerung der Datensouveränität?

Gehring: Als Erstes müssen möglichst viele der Beteiligten, und das sind letztlich wir alle, den Kopf aus dem Sand holen. Damit meine ich, sie sollten sich tatsächlich mit diesem anstrengenden Thema beschäftigen.

Wir müssen uns verabschieden vom harmonischen Bild, dass sich die Dinge wie gewünscht fügen. In digitalen Räumen geht es nicht entspannt zu, vielmehr herrschen krasse Verteilungskämpfe. Netz­anarchie stärkt die Starken, die Rücksichtslosen, die Lauten.

„Ich persönlich hoffe, dass der Schwung der GAIA-X-Beteiligten trotz der Nörgeleien in der Presse und dem nachlassenden Interesse in der Politik nicht erlahmt.“

Petra Gehring Professorin für Philosophie an der TU Darmstadt

Der Staat muss sich hier als Wächter verhalten – im Interesse der Bürgerinnen und Bürger wie auch des Marktes. Fairness und eine Gleichheit der Randbedingungen aller müssen aktiv gesichert werden.

Die Bürgerinnen und Bürger müssten allerdings auch selbst mehr tun können: durchsetzbare Schadensersatzansprüche bei Trickgeschäften, Datenmissbrauch, Urheberrechtsverstößen und Tracking wären toll. Für elementare Prozesse muss es außerdem stets analoge Alterna­tiven geben.

com! professional: Welche Grenzen und Herausforderungen sehen Sie beim Thema Datensouveränität?

Gehring: Digitalität ist inter-, ja transnational. Das macht es schwer, rechtsstaatlich Wünschbares durchzusetzen. Es wird wohl kein global gleiches Recht geben.

Globale Durchlässigkeit und Interoperabilität wären aber auch zwischen heterogenen Systemen möglich, wenn das gewollt wäre. Hier braucht es klare Spielregeln für Protokolle zum Datenaustausch zwischen Systemen. Zudem lernen wir gerade, dass digitale Infrastrukturen in einer Kriegssituation höchst verletzlich und damit kritisch sind.

com! professional: Wie beurteilen Sie das Projekt GAIA-X?

Gehring: Im Projekt GAIA-X steckt Mut drin und es ist spannend aufgesetzt. Es geht nicht allein um eine europäische Cloud, sondern um basale infrastrukturelle Regelwerke, auf denen digitale Unternehmensprozesse laufen, die bestimmten Sicherheitsanforderungen der EU entsprechen.

Über Prinzipien wie Dezentralität, digitale Souveränität oder Open Source entsteht ein Cluster von Qualitätsmerkmalen für Datenräume. Diese Datenräume haben domänenspezifische Ausprägungen wie etwa Hubs für Medizindaten, Finanzdaten oder Mobilitätsdaten, die auch spezifischen rechtlichen Anforderungen unterliegen. Cloud-Services gehören dazu.

Ich persönlich hoffe, dass der Schwung der an GAIA-X Beteiligten trotz Nörgelei in der Presse und nachlassendem Interesse der Politik dennoch nicht erlahmt. Es laufen Projekte, nutzbare Angebote kommen eventuell noch dieses oder nächstes Jahr.

Beispiel Öffentliche Verwaltung

Für Sven L. Roth, Head of Business & Technology Solutions bei Capgemini in Deutschland, geht es bei Datensouveränität um Selbstbestimmung sowie die Hoheit über die eigenen Daten, bei digitaler Souveränität darum, die Abhängigkeit von marktbestimmenden Informationstechniken und Software-Anbietern zu minimieren und größtmögliche Vielfalt und Innovation zu fördern. Als Beispiel nennt er die öffentliche Verwaltung, die jährlich zahlreiche Fördergelder, Aufträge und Beschaffungen verteilt.

„Dafür werden Daten erhoben und ausgewertet, die oftmals bei Erfüllung oder Abschluss in die Hände des Auftragnehmers übergehen. Um die Datensouveränität der Verwaltung zu stärken, gibt es verschiedene Ansätze, in den zugrundeliegenden Verfahren einen Teil zur Datensouveränität einzuarbeiten und so die Bereitstellung der erhobenen Daten an den Auftraggeber sicherzustellen.

Als Ergebnis können Organisationen über die erhobenen Daten selbstbestimmt verfügen und diese für die Entscheidungsfindung nutzen“, erklärt Sven L. Roth.

Mehr Souveränität gewünscht

(Quelle: Cisco)

Die Themen digitale Souveränität und Datensouveränität werden hierzulande als sehr wichtig wahrgenommen. Das zeigen Umfragen von Cisco und IDC. Im Juli 2022 hat Civey im Auftrag von Cis­co 2500 Bundesbürger und Bundesbürgerinnen zu ihrer Einschätzung rund um die Digitalstrategie der Bundesregierung befragt.

Ein zentrales Ergebnis: Für 65 Prozent der Befragten ist es essenziell, dass Deutschland in Bezug auf die Digitalisierung maximale Handlungsfreiheit hat, sprich digitale Souveränität besitzt. Nur 10 Prozent finden das unwichtig. Von den Personen, denen digitale Souveränität wichtig ist, sagen fast ein Drittel, dass diese am besten durch die Ausbildung von IT-Fachkräften (29 Prozent) gewährleistet werden kann.

Deutschland solle daher mehr Anstrengungen im Bereich Software (22 Prozent) und Hardware (10 Prozent) unternehmen. Gleichzeitig ist es 9 Prozent sehr wichtig, dass bei der Nutzung von IT-Lösungen auf verlässliche Partner/Staaten geachtet wird. Die oft diskutierten Open-Source-Lösungen sehen nur 6 Prozent der Befragten als wichtigen Hebel.

Beim Thema Videokonferenzen spielt für die Deutschen vor allem die Praktikabilität eine größere Rolle. Der wichtigste Aspekt ist eine stabile Ton- und Videoübertragung (37 Prozent).

Erstaunlich: Wo die Daten gespeichert werden, hat für die Deutschen nicht die höchste Priorität, solange Verschlüsselung und Datenschutz gesichert sind. Nur für 2 Prozent ist es ein wichtiges Kriterium, dass ihre Videokonferenzdaten in der EU gespeichert werden.

(Quelle: Cisco)

Die Marktforscher von IDC haben für ihre Studie „Data Center in Deutschland 2022“ 150 Unternehmen mit mehr als 500 Mitarbeitern zum Thema Data-Center im Umbruch befragt. Neben Fragen zu aktuellen Herausforderungen im Rechenzentrum, Nachhaltigkeit oder dem Einsatz von internen und externen IT-Ressourcen ging es auch um das Thema Datenhoheit oder Datensouveränität.

Ergebnis: Für 34 Prozent der Firmen ist es strategisch sehr wichtig oder wichtig, Datensouveränität zu erreichen. Und 56 Prozent sind gerade dabei, ihre Datensouveränität mit operativen Maßnahmen zu verbessern. Nur 10 Prozent beschäftigen sich überhaupt nicht mit dem Thema.

Keine pauschale Antwort

Doch was können Unternehmen konkret tun, um Datensouveränität zu erreichen? Wie müssen sie ihre Daten- oder IT-Strategie zu diesem Zweck gestalten? Für David Schönwerth vom Bitkom gibt es darauf keine pauschale Antwort: „Es kommt immer darauf an, welches Level an Souveränität ich als Unternehmen erreichen will, etwa welche Art von Daten ich verarbeite, welchen Vertragswerken ich unterliege oder welche Daten ich bereit bin, nach außen zu geben.“

Zudem stelle sich etwa die Frage: In welchen Märkten bin ich aktiv? Ein global tätiges Unternehmen wolle wohl eher eine weltweite Dateninfrastruktur aufbauen, so Schönwerth.

Sei der eigene Bedarf ermittelt, müssten Firmen entscheiden, was sie selbst entwickeln und was sie einkaufen. Was kostet das? Welche Kontrolle möchte ich?

„Bei einer Buy-Entscheidung geht es dann darum, vertrauenswürdige Partner zu finden, in Europa oder darüber hinaus. Dafür benötigen Firmen zunächst ein Framework für die Beurteilung ihrer Partner und deren Leistungen. Welcher Anbieter trifft meine Anforderungen am besten? Firmen könnten bei der Auswahl etwa darauf achten, dass heute oder in Zukunft benötigte Schnittstellen zwischen potenziell relevanten Anbietern vorhanden sind“, erklärt David Schönwerth.

Transparenz als Basis

Matthias Zacher von IDC nennt drei wichtige Elemente für Unternehmen, um Datensouveränität zu erreichen: Prozesse, Technologien und Mitarbeiter. Firmen sollten demnach ihre Prozesse und die darin verarbeiteten Daten analysieren, um möglichst umfassende Transparenz über ihre Daten zu erhalten.

„Nur wenn bekannt ist, welche Daten, wo, wann und von wem verarbeitet werden, gelingen ein selbstbestimmter Umgang und eine aktive Einflussnahme. Zudem ist es wichtig, die Daten zu klassifizieren. Welche Daten haben welchen Wert für unser Unternehmen? Wie gehen wir mit den Daten um? Wer ist als Daten-Owner für die jeweiligen Daten verantwortlich?“, so Matthias Zacher.

Firmen sollten zudem Technologien einsetzen, um Transparenz über die Standorte der Datenspeicher zu erhalten, Daten zum besseren Schutz verschlüsseln oder Lösungen installieren, die verhindern, dass Daten (unbemerkt) aus dem Unternehmen abfließen.

Doch die besten Technologien seien sinnlos, wenn die Daten-Owner und Mitarbeiter als Datennutzer nicht für die Thematik sensibilisiert würden und keine persönliche Datenkompetenz besäßen. Dafür sind laut Zacher regelmäßige Schulungen rund um Datensouveränität und Compliance notwendig.

Schließlich müssen Firmen auch gesetzliche Rahmenbedingungen wie die DSGVO, das IT-Sicherheitsgesetz oder auch branchenspezifische Anforderungen oder Regularien einhalten.

Beispiele sind etwa Banken, das Gesundheitswesen oder Energieversorger und andere Unternehmen aus kritischen Infrastrukturen (KRITIS), für die strengere Vorgaben für das Speichern und Verarbeiten von Daten gelten. „Man muss das alles zusammen ganzheitlich betrachten. Wenn sich Vorgaben oder Modalitäten ändern, müssen Firmen reagieren“, resümiert Matthias Zacher.

Privacy by Design und by Default

Auch Christoph Herrnkind, Sprecher des Cloud-Anbieters WIIT in Deutschland, sieht die DSGVO als Mittel, um die Einhaltung des Datenschutzes als wichtigen Bestandteil der Datensouveränität zu erreichen.

Unternehmen sollten sich seiner Meinung nach mit Tools ausstatten, die die Komplexität bei der Einhaltung von Datenschutz und Sicherheit automatisch bewältigen können.

„Datensouveränität ist für Unternehmen der zweitwichtigste Beweggrund, ihre Cloud-Kapazitäten bei europäischen Anbietern aufzustocken, nach der Erhöhung der IT-Kapazitäten insgesamt.“

Sven L. Roth – Head of Business & Technology Solutions bei Capgemini in Deutschland

Unternehmen rät er, bereits bei der Gestaltung ihrer Produkte und Dienstleistungen die Grundsätze des „Privacy by Design“ und des „Privacy by Default“ einzubeziehen. „Privacy by Design stellt sicher, dass sie alle für den Datenschutz und die Datensicherheit relevanten Punkte bereits in der Designphase eines Systems, Services, Produkts oder Prozesses und dann während des gesamten Lebenszyklus berücksichtigen“, so Christoph Herrnkind.

„Privacy by Default verlangt von den Unternehmen, dass sie nur die Daten verarbeiten, die zur Erreichung eines spezifischen Zwecks erforderlich sind. Das Prinzip steht in Verbindung mit den grundlegenden Datenschutzprinzipien der Datensparsamkeit und der Zweckbindung.“

Spezialfall Cloud

Eine zentrale Rolle spielen digitale Souveränität und Datensouveränität beim Thema Cloud-Computing. Viele Unternehmen haben einen hohen Anspruch an den Umgang mit Daten. Der derzeitige Markt wird allerdings hauptsächlich von nicht europäischen Cloud-Anbietern dominiert. Dadurch steigt das Risiko der Abhängigkeit. Doch es gibt eine Gegenbewegung.

Die IT-Trends-Studie 2022 von Capgemini zeigt, dass Unternehmen zunehmend auf Clouds von europäischen Anbietern setzen. Mehr als drei Viertel der Befragten wollen die Cloud-Kapazitäten bei europäischen Anbietern ausbauen – bei außereuropäischen sind es nur 35,6 Prozent.

„Datensouveränität spielt dabei eine ganz zentrale Rolle, sie ist für Unternehmen der zweitwichtigste Beweggrund, ihre Cloud-Kapazitäten aufzustocken, nach der Erhöhung der IT-Kapazitäten insgesamt“, kommentiert Sven L. Roth das Ergebnis.

Checkliste Cloud-Anbieter

Der Kunde eines Cloud-Anbieters muss sich darauf verlassen können, dass der Anbieter sich vollumfänglich an die Service Level Agreements (SLAs) hält und die Server auch an den angegebenen Orten gehostet werden. Die DSGVO kann laut WIIT dabei als Rahmen für eine Checkliste dienen, welche Pflichten der Cloud-Provider erfüllen muss:

  • Ist die Verwendung der Daten auf Bereiche beschränkt, für die der Kunde seine Zustimmung gegeben hat?
  • Informiert der Provider seinen Kunden unverzüglich, wenn ein Auftrag des Kunden nach Ansicht des Cloud-Anbieters gegen das Gesetz verstößt?
  • Zeichnet der Provider die im Auftrag des Kunden durchgeführten Verarbeitungen auf?
  • Kooperiert der Provider auf Anfrage mit der Aufsichtsbehörde?
  • Implementiert der Provider technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten?
  • Benachrichtigt der Provider den Kunden ohne ungerechtfertigte Verzögerung, sobald er eine Verletzung der Datensicherheit entdeckt?
  • Gibt es einen Datenschutzbeauftragten?
  • Hält der Provider die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer ein?

Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*