Amazon baut in Brandenburg eine von der globalen AWS-Cloud entkoppelte Infrastruktur, Google betreibt eine speziell abgeschottete Cloud für die Bundeswehr, Microsoft wirbt mit einer EU Data Boundary und hat ein „Digital Resilience Commitment“ abgegeben. Ziel all dieser Initiativen: Vertrauen schaffen. Sie sollen garantieren, dass sensible Daten unter nationaler Kontrolle bleiben. Doch wie tragfähig sind diese Zusicherungen – und sind europäische Anbieter grundsätzlich souveräner?

Europäischer Anbieter = mehr Kontrolle?

Oft wird angenommen, der Einsatz von Anbietern aus der EU führe automatisch zu mehr digitaler Souveränität. Viele EU-Firmen nutzen diese Erzählung auch strategisch, um sich gegen die etablierte US-Konkurrenz zu positionieren. Doch was genau bedeutet „europäisch“? Zählt der Unternehmenssitz? Die Serverstandorte? Die Eigentümerstruktur oder die Staatsangehörigkeit des Managements?

Zudem mangelt es auch innerhalb Europas nicht an Negativbeispielen. Prominente Fälle wie Wirecard oder PayOne zeigen, dass die bloße Herkunft eines Anbieters kein Garant für digitale Souveränität ist. Schlimmer noch: Es können sogar geopolitische Risiken bestehen, wie die Verwicklung russischer Nachrichtendienste bei Wirecard zeigt.

Souveränität heißt nicht Autarkie

Digitale Souveränität darf nicht mit technologischer Autarkie verwechselt werden. Vollständige Unabhängigkeit von externen Technologien ist weder realistisch noch wirtschaftlich sinnvoll. Vielmehr geht es um die Fähigkeit, digitale Technologien selbstbestimmt, sicher und regelkonform einsetzen zu können. Vertrauen entsteht durch nachvollziehbare Prozesse, technische Absicherung und vertragliche Garantien – nicht durch Nationalfarben im Logo.

Der notwendige Grad an digitaler Souveränität ist zudem kontextabhängig. Für staatliche Infrastruktur können deutlich höhere Anforderungen sinnvoll sein als für ein mittelständisches Unternehmen. Gerade Unternehmen können sich im Regelfall auf vertragliche Zusagen ihrer Anbieter verlassen, sofern es keine konkreten Anhaltspunkte für deren Unzuverlässigkeit gibt.

Datenschutz: Mehr Regeln als Risiken

Ein zentraler Aspekt digitaler Souveränität ist der Datenschutz. Kritiker befürchten immer wieder, dass personenbezogene Daten bei US-Anbietern unkontrolliert in die USA abfließen. Tatsächlich setzt die DSGVO hier enge Grenzen. Datenschutzrechtlich handelt es sich bei dem Einsatz von Cloud-Diensten meist um eine Auftragsverarbeitung, die in der Regel durch europäische Tochtergesellschaften der großen US-Anbieter erfolgt. Wenn diese sich vertraglich verpflichten, Daten nur innerhalb des Europäischen Wirtschaftsraums zu verarbeiten, liegt keine Drittlandübermittlung vor.

CLOUD Act: Viel Aufregung, wenig Relevanz

Dennoch gibt es immer wieder Kritik – insbesondere im Hinblick auf den US-CLOUD-Act. Dieses Gesetz verpflichtet US-Unternehmen, bei rechtmäßigen Anfragen ihrer Strafverfolgungsbehörden auch auf im Ausland gespeicherte Daten zuzugreifen, sofern sie Kontrolle darüber haben. Theoretisch kann das auch Kundendaten einer europäischen Tochtergesellschaft betreffen. Europäische Tochtergesellschaften unterliegen allerdings dem EU-Recht, das klare Grenzen für Datenzugriffe setzt. Dass selbst Datenschutzaufsichtsbehörden hierzulande mitunter an der Durchsetzbarkeit europäischen Rechts auf europäischem Boden zu zweifeln scheinen, wirft zwar Fragen über das Rollenverständnis der Behörden auf, ändert aber nichts an der Rechtslage.

Zudem spielt der CLOUD Act praktisch bislang kaum eine Rolle. Microsoft hat für das erste Halbjahr 2024 Zahlen veröffentlicht: Es gab 166 Anfragen, aber nur eine betraf einen Kunden außerhalb der USA und dieser stammte nicht aus Europa.

Vertrauenswürdigkeit schlägt Herkunftsland

Digitale Souveränität lässt sich nicht an der Herkunft eines Anbieters festmachen. Weder ein europäischer Firmensitz noch Serverstandorte innerhalb der EU garantieren per se mehr Sicherheit oder Kontrolle. Entscheidend ist vielmehr das Vertrauen, das durch transparente Prozesse, technische Schutzmaßnahmen, rechtlich belastbare Vereinbarungen und Kontrollmöglichkeiten entsteht.

Europäische Regelwerke wie die DSGVO bieten – unabhängig davon, ob der Anbieter aus den USA oder der EU stammt – wirksame Instrumente zur Wahrung von digitaler Souveränität. Letztlich bedeutet digitale Souveränität nämlich, in Kenntnis von Sach- und Rechtslage, eine souveräne Entscheidung zu treffen. Gerade im Cloud-Bereich mag das keine einfache Aufgabe sein, aber eine lösbare.

(odi)

Die chinesische KI-App DeepSeek soll in den App Stores von Apple und Google gesperrt werden. Dies fordert zumindest die Berliner Beauftragte für Datenschutz und Informationsfreiheit und hat die App als rechtswidrigen Inhalt gemeldet. Grund ist, dass DeepSeek personenbezogene Daten der Nutzer nach China transferiere und dort nicht dafür sorge, dass die Vorgaben der Datenschutzgrundverordnung (DSGVO) eingehalten werden.

DeepSeek hat Anfang des Jahres Aufsehen erregt, als der KI-Chatbot sich als günstigere und trotzdem leistungsfähige Alternative zu Modellen der US-Größen OpenAI und Google präsentierte.

Verstoß gegen die DSGVO

Betreiber von DeepSeek ist die Firma Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit Sitz in Peking. In der Europäischen Union (EU) habe DeepSeek keine Niederlassung. Trotzdem unterliegt der Dienst der DSGVO, da er in Deutschland angeboten wird, wie die Berliner Behörde mitteilte.

Der Dienst verarbeite umfangreiche personenbezogene Daten der Nutzer, darunter Texteingaben, Chatverläufe und hochgeladene Dateien sowie Informationen zum Standort, benutzten Geräten und Netzwerken. Die gesammelten Daten übermittele der Dienst an chinesische Auftragsverarbeiter und speichere diese auf Servern in China.

„DeepSeek hat gegenüber meiner Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer:innen in China auf einem der Europäischen Union gleichwertigen Niveau geschützt sind. Chinesische Behörden haben weitreichende Zugriffsrechte auf personenbezogene Daten im Einflussbereich chinesischer Unternehmen. Zudem stehen den Nutzer:innen von DeepSeek in China keine durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung, wie sie in der Europäischen Union garantiert sind“, erklärte Berlins Datenschutzbeauftragte Meike Kamp.

Sperre statt Geldstrafe

Normalerweise werden Verstöße gegen die DSGVO mit Geldstrafen geahndet. Eine Sperrung wäre ein Novum. Die Behörde beruft sich bei ihrem Vorgehen auf den Europäischen Digital Services Act (DSA). Apple und Google müssen die Meldung nun zeitnah prüfen und über die Umsetzung entscheiden. Die Maßnahme sei in enger Abstimmung mit den Landesdatenschutzbeauftragten von Baden-Württemberg, Rheinland-Pfalz und der Freien Hansestadt Bremen erfolgt sowie nach Information der Koordinierungsstelle für digitale Dienste in der Bundesnetzagentur, die in Deutschland für die Durchsetzung des DSA zuständig ist.

(mki)

Liebe Leserinnen und Leser,

früher musste man tatsächlich bis zum Frühstück warten, um beim Morgenkaffee die neuesten Börsennachrichten in der Zeitung zu lesen. Heute wirft man einen Blick ins Netz und voilà – frische Börsen-Nachrichten, schneller serviert, als der Barista den Cappuccino zubereiten kann.

Für alle, die sich nicht durch die Flut an Informationen wühlen wollen, gibt es eine elegante Lösung: ein Python-Crawler! Mein Kollege Denny Gille hat einen Crawler programmiert, der kurz darüber informiert, über welche Aktien die Nutzer im Reddit-Subreddit r/wallstreetbets heiß diskutieren. Ein solcher Einblick kann Gold wert sein und Ihnen vielleicht einen spannenden Tipp für Ihren nächsten Aktienkauf bieten.

Das war die Leseprobe unseres heise-Plus-Artikels „heise+ Update vom 27. März 2024: Lesetipps fürs Wochenende „.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.