Digitale Souveränität in einer Welt wachsender Abgrenzung

Ein Trendbegriff der letzten Jahre war die „digitale Souveränität“ – ein Begriff mit unterschiedlichen Konnotationen in unterschiedlichen Kontexten. In unserem Artikel werden wir diese Beschreiben und herausarbeiten, welchen Einfluss digitale Souveränität auf großflächige Software-Nutzung hat.

Aus völkerrechtlicher Sicht Beschreibt der Terminus „Souveränität“ die Fähigkeit, dass Staaten frei über die Art der Regierung, das Rechtssystem und die herrschende Gesellschaftsordnung innerhalb ihres Gebiets bestimmen können – dies wird innere Souveränität genannt. Die äußere Souveränität hingegen ist die Grundlage für die Unabhängigkeit und Gleichheit aller Staaten untereinander. Im traditionellen Verständnis von Souveränität liegt der Fokus klar auf der Macht der Staaten innerhalb ihrer eigenen territorialen Grenzen – ein Konzept, was den flexiblen Strukturen des Internets zu widersprechen scheint. Digitale Kommunikation und Applikationen scheinen sich in einem Raum ohne legale Governance und staatliche Kontrolle zu bewegen. Staaten haben sich und ihre Gesetzgebung so angepasst, dass diese auf den digitalen Raum anwendbar wird.

Während der letzten zwei Jahre wurden durch die Pandemie sowie den Angriffskrieg Russlands auf die Ukraine die Abhängigkeiten der Gesellschaft von wenigen Produzenten mit monopolähnlichen Positionen deutlich aufgezeigt. Am deutlichsten wird dies im Alltag durch die mangelnde Verfügbarkeit von haptischen Produkten bewusst (z.B. durch Produktionsstops in China), aber auch im digitalen Raum hat die Abhängigkeit von einigen wenigen Technologieanbietern großen Einfluss auf die Handlungsfähigkeit von Einzelpersonen, Unternehmen und auch Staaten. Prominente Beispiele für die Einflussnahme auf digitaler Ebene sind Snowdens Enthüllungen, der Cambridge Analytica Skandal sowie die Desinformationskampagnen vor dem Brexit. Dieser Abhängigkeit steht das Konzept der Digitalen Souveränität gegenüber, der Befähigung des Staates und des Einzelnen zur (digitalen) Selbstbestimmung ohne Einschränkung durch andere Staaten oder Unternehmen. Hierzu zählt auch die Möglichkeit, autonome Entscheidungen bezüglich der genutzten digitalen Infrastruktur und technologischer Entwicklungen treffen zu können.

Zum Thema digitale Souveränität gibt es unterschiedliche Verständnisse und Interpretationen. Teilweise spricht man von Unabhängigkeit gegenüber monopolistischen Herstellern, teilweise wird die freie Nutzung des Internets und ungehinderter Datenverkehr gemeint. Deshalb hier nun ein kleiner Abriss zur Einführung: China propagierte als erstes Land das Konzept der Digitalen Souveränität, dies aber mit dem Fokus, dass das Internet die staatliche Souveränität untergrub, indem es demokratischen Bewegungen Raum zum Austausch gab. Dieser nationalstaatlich-isolationistische Ansatz wurde von anderen autoritären Staaten wie z.B. Russland übernommen.

Hierbei geht es zum einen um den Schutz des „eigenen“ Internets vor äußeren Einflüssen, zum anderen um den Zugriff auf im eigenen Land generierte und verarbeitete Daten. In China wurden dafür mehrere Gesetze verabschiedet: das Cyber Security Law (CSL), das Data Security Law (DSL) und das Personal Information Protection Law (PIPL). Die Regulatoriken setzen durch, dass in China erhobene oder verarbeitete Daten auch innerhalb das Landes gespeichert werden. Für den Export von Daten müssen von Behördenseite Einverständnisse eingeholt werden. Dies gibt der Regierung die Kontrolle über den Verbleib von Daten in Verbindung mit China, dem chinesischen Markt und den Aktivitäten ausländischer Organisationen in China.

Durch die „Great Firewall of China” können gleichzeitig auch Informationen aus dem Land herausgehalten werden. Dies funktioniert sowohl über legislative Aktivitäten als auch über technische Möglichkeiten zur Blockierung des Zugriffs auf ausländische Websites sowie die Verlangsamung von Traffic über die Landesgrenzen hinaus. Dies ermöglicht das Zurückdrängen von westlichem Einfluss auf das chinesische Internet.

Teile dieser Gesetze (und zum Teil auch technischer Umsetzungen) wurden zum Exportschlager unter autoritären Regierungen. So hat Russland ähnliche Maßnahmen zum Schutz des eigenen Internets und zum Erhalt der russischen Daten ergriffen und auch Brasilien hat an dieses System anlehnende Gesetze verabschiedet.

Zum Betrieb von Unternehmensnetzen müssen in diesen ökonomischen Umgebungen teilweise Dienstleister eingesetzt werden, um den Betrieb, zum Beispiel von Azure-Umgebungen zu gewährleisten. Das bekannteste Beispiel wäre hier 21Vianet für den chinesischen Markt.

Am anderen Ende des demokratischen Spektrums zeigen sich jedoch auch unterschiedliche Strömungen. Während westliche Staaten den Begriff der digitalen Souveränität allgemein demokratisch als Fähigkeit „im Einklang mit den eigenen Werten und Regeln eigene Entscheidungen treffen zu können“ (Ursula von der Leyen bei ihrem Antritt als EU-Kommissionspräsidentin) konnotieren, zeigen sich Unterschiede zwischen den USA und der EU.

Die USA tendieren eher zu einer Art von Überwachungskapitalismus, einem ökonomischen System, das auf die Vermarktung personenbezogener Daten zum Zwecke der Gewinnerzielung ausgerichtet ist. Die EU hingegen sieht die im Internet befindlichen Daten, besonders die Daten ihrer Bürger, als ein vor Willkür und Konzernen zu schützendes Gut an. Daher muss mit Hilfe der Regulierungsbefugnis Kontrolle über die Infrastruktur erlangt werden, was sich deutlich in Konzepten zur Datenlokalisation widergespiegelt (u.a. Einschränkung von Speicherung, Verschiebung und Verarbeitung von Daten), um Daten vor fremden Einflüssen zu schützen.

Der Europäische Weg mit einem Fokus auf Bürgerrechte und Selbstbestimmung zeigt sich in den vor Kurzen in Kraft getretenen Gesetz über digitale Dienste, Gesetz über digitale Märkte, der Europäische Aktionsplan für Demokratie sowie das Daten-Governance-Gesetz eröffnen vielfältige Möglichkeiten, Regulierungen im digitalen Raum zu schaffen. Den Bestrebungen der EU sowie ihrer Mitgliedsstatten Kontrolle über den digitalen Raum auszuüben, werden durch die große materielle und immaterielle Macht der Digitalunternehmen beschränkt, die diesen digitalen Raum steuern. Zusätzlich zur Abhängigkeit von privatwirtschaftlichen Unternehmen kommt die Herausforderung, dass diese Unternehmen auch durch die Gesetzgebung und Politik ihres jeweiligen Herkunftslandes in unterschiedlichen Grad beeinflusst werden.

Die Staaten haben daher unterschiedliche Maßnahmen ergriffen. Beispielsweise hat Deutschland begonnen, seine Cyberabwehr auszubauen und versucht die Abhängigkeit der öffentlichen Verwaltung von Anbietern proprietärer Software zu reduzieren. Darüber hinaus gibt es Bestrebungen, die Wettbewerbsfähigkeit und Unabhängigkeit des Standortes Europa mit dem Aufbau von Schlüsselkompetenzen und – technologien (Entwicklung von Software & Hardware, Big Data) zu stärken. Denn die Produktion von Technologie im eigenen Land, bzw. im europäischen Staatenverbund, stellt den Zugriff auch in Krisenzeiten sicher. Aktuell dominieren z.B. chinesische Unternehmen in der Telekommunikationsinfrastruktur und setzen somit die kritische Infrastruktur von Staaten politischen und technologischen Risiken aus. Als Ergänzung zur staatlichen digitalen Souveränität werden auch die Bürger:innen vermehrt in den Mittelpunkt gestellt, indem z.B. Digitalkompetenzen gestärkt und Nutzerrechte sowie Transparenz und ein verbraucherorientierter Datenschutz (informelle Selbstbestimmung) umgesetzt werden.

Eine Studie im Auftrag des BMWi hat gezeigt, dass Digitale Souveränität sowie Datenhoheit zentral für die Innovations- und Wettbewerbsfähigkeit der deutschen Wirtschaft sind. Deutlich wird dies in der Aussage, dass mehr als 75% der Unternehmen sich technologisch vom Ausland abhängig fühlen, hierbei in mindestens einem Technologiefeld von einem nicht-EU Anbieter (80%). Als Gegenmaßnahme müsste die gesamte Kompetenzkette, angefangen bei Hardware, über Anwendungen, Daten, KI bis hin zu Plattformen, in Europa abgebildet werden. Aktuell ist die EU nur führend im Bereich der Netzwerktechnologie (Nokia / Ericsson), in diesem Markt holt aber der Wettbewerb aus Fernost stetig auf.

In den Bereichen Operationssysteme sowie ‚Emerging Technolgies‘ wie z.B. Quantencomputer und KI ist die EU aktuell weiter hinter den USA und China abgeschlagen. Die nächste Dekade wird entscheidend für die Gestaltung des digitalen Raums sein und die EU muss sich aktiv bei der Ausarbeitung von digitalen Standards beteiligen. Das Problem der EU ist nicht, wie bei den USA, die fehlende Regulatorik bzgl. des Umgangs mit Daten, sondern vielmehr die fehlende Fähigkeit, diese durchzusetzen. Unternehmen wie Google und Facebook haben das Glück, dass ihre Services nicht ersetzbar sind (oder zumindest erscheinen) und sie deshalb trotzdem weiterhin zum Einsatz kommen. Bei einer Neuausrichtung der EU-Kapazitäten ist es daher wichtig, auf die Interoperabilität von IT-Systemen, der Datenhoheit sowie dem Standort des Technologieanbieters zu achten. Ein Beispiel für ein europäisches Projekt ist die nächste Generation der europäischen Dateninfrastruktur der Gaia-X Cloudumgebung.

Spätestens seit dem 24.02.2022, mit dem russischen Angriffskrieg gegen die Ukraine, hat sich das Geschäft von Unternehmen mit Zweigstellen oder Tochtergesellschaften in der Russischen Föderation geändert. Nicht nur Import und Export von physischen Gütern wurde durch Sanktionen erschwert oder sogar komplett unterbunden. Auch der Betrieb von IT-Systemen in Russland ist derzeit mit Herausforderungen behaftet. Viele namhafte Vendoren, wie Microsoft oder SAP, aber auch Hardware-Hersteller wie Intel haben ihren Betrieb teilweise bis vollständig eingestellt. So betreibt SAP, beispielsweise, seine Cloud-Services nicht mehr in Russland und liefert keinen Support mehr für Kunden. Zudem bestehen Sanktionen auf bestimmte Hard- und Software-Produkte, wie Microchips und andere IT-Produkte, welche für militärische Zwecke genutzt werden können (sog. „Dual-Use Goods“). Zu diesen Softwares könnte Steuerungslösungen für Raketenantriebe zählen, jedoch nicht handelsübliche Office-Programme. Auch Russland selbst schlägt westlichen Vendoren die Tür vor der Nase zu. So sollen ab dem Jahr 2025 keine nichtrussischen Antivirus-Programme mehr in Russland eingesetzt werden. Entsprechend entsteht von beiden Seiten, den sanktionierenden und dem sanktionierten Staat, ein Druck zur Segmentierung des eigenen IT-Portfolios.

Die Schlinge um Russland zieht sich mit jedem weiteren Sanktionspaket weiter zu und je länger der Krieg andauert, desto länger laufen nicht-russische Software-Produkte ohne Support. Viele Produkte und Dienstleistungen werden auf kurz oder lang von Sanktionen betroffen sein und Geschäfte, besonders im Digitalbereich, werden auf Dauer erheblich erschwert. Sollte man nicht in der Lage sein, die eigene IT in Russland auf russische und chinesische Software umzustellen (zumindest in vielen Bereichen), so wird man ab einem gewissen Punkt ohne Support auf Hindernisse stoßen.

Digitale Souveränität ist ein sperriges Thema. Allein bei der Definition des Begriffs rangiert die Antwort schnell von „es kommt darauf an“ bis „es ist kompliziert“. Das liegt daran, dass man sowohl von Herstellerunabhängigkeit sprechen kann als auch von unabhängiger Nutzung des Internets und von freiem Datenverkehr. Was bei beiden Themenbereichen jedoch gleich ist: nur durch ein freiheitlich demokratisches Grundgerüst kann wahre digitale Souveränität für Unternehmen gewährleistet werden. Freier Datenverkehr, Zugang zu Informationen und eine echte Wahl bei der Nutzung von Hard- und Software sind durch einen Staat mit freiheitlich demokratischer Grundordnung gesichert. In Ländern, in denen dies nicht gegeben ist, muss ein Unternehmen sich entsprechend anpassen (z.B. über Dienstleister und Drittanbieter) oder aus dem Markt zurückziehen, bis Reformen eine Wiederaufnahme der Geschäftstätigkeiten zulassen.

Verfasser:innen: Lea Mühlenschulte und Tobias Philipsen