Die Idee zum Beitrag kam mir vor einigen Wochen bei der Lektüre der Frankfurter Allgemeinen Sonntagszeitung – daher möchte ich gleich vorab informieren, dass die Überschrift nicht auf meinem Mist gewachsen ist, sondern ursprünglich dort zu lesen war. Wenngleich es für dieses Schlagwort vermutlich keinen Urheberschutz gibt. Denn … es ist spätestens seit dem EuGH-Urteil „Schrems-II“ Ende Juli in aller Munde. Zumindest derjenigen, die sich Gedanken machen, was denn nun werden soll, nach diesem – erwartbaren – KO-Schlag für die 100%-rechtskonforme Nutzung von US-Dienstleistern für die verschiedensten Datenverarbeitungen – sei es nun eine einfache Cloud-Speicher-Lösung, die Nutzung von Software-as-a-Service Diensten von US-Anbietern oder sonstigen, beliebig vorstellbaren Verarbeitungstätigkeiten.

Mit der o.g. Überschrift ist nicht weniger als die Forderung (oder besser: Idee?) verbunden, sich mittel- und langfristig endlich unabhängig zu machen von der – zurzeit als solche empfundenen – Notwendigkeit, für alle und jede Datenverarbeitung US-Anbieter zu nutzen. Oder, anders gesagt, es für fast unmöglich hält, europäische Service-Dienste nutzen zu können. OK, sicherlich nicht neu. Und auch nicht originell. Aber – vor dem Hintergrund einer weitestgehend datenschutzkonformen Verarbeitungspraxis – auch weitgehend alternativlos.

Was haben wir denn in diesem vergangenen Sommer und Herbst alles für Versuche gesehen, Datenverarbeitungen im Drittland irgendwie, und sei es mit noch so teilweise skurrilen Mitteln, eine solche belastbare Grundlage zu verschaffen, wie sie das Urteil fordert. Ist das wirklich gelungen? Änderungen der Standard-Vertragsklauseln, Zusicherungen der Anbieter, US-Behörden im Zweifel keinen Zugriff zu gewähren, Entgegenkommen von Microsoft bei bestimmten Vertragsbedingungen (im Hinblick auf Mitteilung von Behördenzugriffen), Verschlüsselungen im data-at-rest-Status etc., etc. Ja, einige der Großen haben sich bewegt: Microsoft s.o., AWS und Google haben Verbesserungen im Hinblick auf die Standard-Vertragsklauseln eingeführt, zoom – bisher allerdings kein „Großer“ – hat die Ende-zu-Ende-Verschlüsselung eingeführt. Aber, seien wir ehrlich: Rechte europäischer Betroffener, die sie tatsächlich gegen Zugriffe von US-Behörden geltend machen könnten, gibt es nach wie vor nicht. Und diese, auch das gehört zur Status-Bewertung, wird es auch zukünftig nicht geben. Die Gründe dafür sind so mannigfaltig wie die Realitäten von Donald Trump, und sollen hier nicht wiederholt werden. Denselben Rechtsschutz wie im Geltungsbereich der DSGVO gibt es nicht und wird es auch mit Joe Biden nicht geben. Und auch wenn das jetzt als Unternehmensberater im Datenschutz weh tut: Die hohen Bußgelder von Aufsichtsbehörden haben u.a. auch die Wirkung, dass Unternehmen beginnen, über Alternativen im DSGVO-Bereich nachzudenken. Und das ist gut so.

Versuche in diesem Bereich gab es ja auch bereits: Die Telekom-Cloud bzw. das Treuhänder-Modell, 2017 angekündigt, 2018 umgesetzt – 2019 gescheitert. Warum? Zu teuer? Nicht performant genug? Die tatsächlichen Gründe vermögen wohl nur einige wenige Eingeweihte bei der Telekom zu sagen. Immerhin, ein Versuch. Aber, geht das nicht besser?!!

So optimistisch ich persönlich in allem bin: Ich weiß nicht. Wir werden auch innerhalb des nächsten Jahrzehnts kein konkurrenzfähiges europäisches Betriebssystem als Alternative zu Windows (Clients) und zu iOS bzw. Android (mobil) haben. Punkt. Und die geplante Europäische Cloud, Gaia-X, wird nach Meinung von Experten auch nach Realisierung kein wirklicher „Hyperscaler“, also so umfassende und beliebig skalierbare digitale Dienste anbieten können wie die o.g. „Großen“, denn diese investieren zurzeit jährlich ca. 50 Milliarden (!) Dollar in ihre Cloud-Infrastruktur – eine Größenordnung, die auch für Gaia-X einige Nummern zu groß ist.

Wie sieht es mit dem als Ergebnis der sog. europäischen Datenstrategie jüngst vorgestellten Data Governance Act der EU aus? Kann dieser Gesetzesrahmen uns (Europäer) zu mehr digitaler Souveränität verhelfen? Die Idee hinter dem Governance Act ist im Prinzip die Stärkung europäischer digitaler Souveränität, in dem u.a.

  • Daten des öffentlichen Sektors unter bestimmten Rahmenbedingungen für die Weiterverwendung für andere Zwecke bereitgestellt werden können,
  • Datenströme nicht mehr direkt zu den großen US-Dienstleistern verlaufen, sondern über unabhängige Datentreuhänder („Datenmittler“) mit Sitz in der EU,
  • bestimmte Daten von Unternehmen oder auch Einzelnen für die altruistische Nutzung bereitgestellt werden dürfen.

Die von der Kommission erläuterten Ansätze sind durchaus vielversprechend (hierzu wird noch ein separater Blog-Beitrag folgen). Wenn sich das, was nun jüngst in einen Gesetzesentwurf gegossen wurde, tatsächlich umsetzen ließe, wäre dies (endlich) ein richtiger Schritt in eine zumindest erheblich größere Souveränität und der am Anfang dieses Absatzes vielleicht durchschimmernde Pessimismus wäre z.T. unbegründet.

Wofür ich aber insgesamt plädieren möchte ist, auch dies wenig überraschend, den Weg dorthin jeweils bei den täglichen Entscheidungen des Einzelnen bzw. der jeweiligen Unternehmen zu beginnen. Bei vielen unternehmerischen Entscheidungen über Veränderungen in der Datenverarbeitung spielt der übergreifende Gedanke, damit ggfs. wieder ein Stück europäischer Daten-Souveränität aufzugeben, keine Rolle. Es geht vielmehr um finanzielle Überlegungen, besseres Zusammenwirken von Teams, Reduzierung der eigenen Administration etc. Ich denke, bei vielen vermeintlich alternativlosen US-Anbietern gibt es Alternativen – sei es die eigene Unternehmens-Cloud, das Rechenzentrum vor Ort, der europäische Dienstleister. Startups, die genau hier ihre Chance sehen, stehen hier in den Startlöchern: Innovative Lösungen zu entwickeln, datenschutzkonform, innereuropäisch, bezahlbar, performant. Und mit dem Stempel: Made in Europe! Lassen Sie sie uns nutzen!! Damit irgendwann aus dem Wunschtraum Realität wird.