Künstliche Intelligenz

Missing Link: Europa im Souveränitätsdreieck


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Digitale Autonomie, Souveränität, Unabhängigkeit: an großen Worten ist seit Jahren kein Mangel. Die tatsächlichen Abhängigkeiten unterscheiden sich massiv. Und auch der notwendige Grad von Autonomie oder Unabhängigkeit von Dritten variiert je nach Betrachtungsgebiet. Das zeigt sich auch in unterschiedlichen Herangehensweisen, wie Lösungen für die jeweilige Problematik gefunden werden sollten. Doch die Lösungsskizze für einen EU-Weg formt sich langsam – durch vieles, was bislang eher schlecht als recht funktioniert hat.

Weiterlesen nach der Anzeige

Abhängigkeit durch Marktdominanz

Die klassischste Dimension ist primär eine ökonomische: der sogenannte Vendor-Lock-In – die Abhängigkeit von einem übermächtigen oder gar tatsächlichen Monopolisten. Dieses Problem gibt es in vielfältiger Art und Weise und nicht nur in der IT. Doch in der IT skaliert das Problem besonders – denn die Kosten eines Anbieters nehmen nicht nur proportional zur Zahl der Nutzer ab. Sondern dort, wo der Netzwerkeffekt greift, wird auch der Nutzen gesteigert. Und zwar zugunsten der Kunden, des Anbieters und dessen Marktposition.

Ein berühmtes Beispiel für diese Logik ist der Suchmaschinenmarkt: Google hatte erst den besten verzeichnisdienstbasierten Findedienst zu Suchanfragen. Und konnte dann vor allem immer besser werden, weil die Nutzer die Korrekturen vornahmen – ihr Klickverhalten verriet, was die zu einer Suchanfrage relevanten Links waren. Und auch andere Dienste wie etwa Teams, Facebook, Instagram oder YouTube basieren nicht zuletzt darauf, dass Inhalte dort auffindbar und Nutzer aktiv sind, ein digitales Perpetuum Mobile. Noch viel mehr gilt das für Sprachmodelle, die anhand von Nutzerinteressen und Nutzereingaben sowohl ihre Nutzer trainieren als auch von diesen trainiert werden. Die Folgen für Modelle, die mittels KI-Agenten nunmehr automatisiert trainiert werden, sind nur zu erahnen.

Seit Jahrzehnten wird versucht, dieser Entwicklung entgegenzuwirken – erst mit nationalem Wettbewerbsrecht, dann mit europäischem. Das Problem: Digitale Monopole verhalten sich anders als klassische, und wenn sie einmal entstanden sind, ist es oft zu spät. Allenfalls eine Einhegung der Auswirkungen steht dann zur Debatte. Weshalb eine neuere Generation von Wettbewerbsgesetzen wie das überarbeitete deutsche Gesetz gegen Wettbewerbsbeschränkungen (GWB) und der europäische Digital Markets Act. Doch dessen Wirkung ist bislang überschaubar.

Technologische Abhängigkeit

Die zweite Dimension ist die technologische: Ob Anwendungssoftware, Betriebssystem oder Cloudbetrieb – in den meisten Fällen ist es eigentlich eine Unzahl an Softwarebausteinen, die zusammenwirken. Und immer wieder stellt sich heraus, dass auch Riesen auf den Schultern von Zwergen stehen. Wer sich die „Software Bill of Materials“, die Abhängigkeiten einiger bekannter Anbieter anschaut, wird erstaunt sein, wie oft Bestandteile integriert sind, die eher der Kategorie Hobbyentwickler zuzuordnen sind.

Oder von Entwicklern, die weit jenseits des eigenen Rechtskreises agieren. Denn bislang zumindest sind gerade die größten Anbieter aus den USA regelmäßig Teil der Open-Source-Softwarelieferkette. Die Nutzung basiert dabei auf Vertrauen in die Qualität und die Community. Also dem Prinzip, dass eine Bibliothek oder ein Framework schon sicher und vertrauenswürdig sein müsse, weil es so viele andere kompetente Akteure nutzen.

Weiterlesen nach der Anzeige

Die Souveränität Anderer

Die dritte ist die Dimension der Jurisdiktion: Mit der Digitalisierung geht die Globalisierung von Recht einher – und damit wächst das Konfliktpotenzial. Wenn US-Unternehmen in der EU agieren, unterliegen sie europäischem Recht. Wenn sie in den USA agieren, unterliegen sie US-Recht. Gleiches gilt – mit deutlichen Einschränkungen was das Recht, dessen Qualität und Einklagbarkeit als solches betrifft – auch für die Volksrepublik China: dortige Unternehmen unterliegen zwei Rechtsregimen, wenn sie im Ausland agieren.

Sobald eines davon in Anspruch nimmt, über die eigenen Grenzen hinaus Geltung zu erlangen, weil es Unternehmen mit Hauptsitz im eigenen Land auch Regularien für dessen Handeln im Ausland unterwirft oder der eigenen Regierung das Recht auf Eingriffe ins Geschäft in anderen Rechtskreisen zugesteht, ist das Problem manifest: Keine chinesische Firma kann garantieren, dass sie nicht zur Kooperation gezwungen werden kann. Und kein US-Unternehmen, dass es keine US-Sanktionen zu befolgen hat, und dass es keine Daten herausgeben muss.

Dieser Ausdruck der Souveränität von Rechtsregimen ist es, der derzeit zu den beiden vorher genannten Problemlagen hinzukommt und die größten, akuten Bauchschmerzen bereitet: das Recht als Waffe zu nutzen, als Mittel zur Durchsetzung von politischen Interessen, ist keine neue Erfindung. Und doch war das selten so bedrohlich für Staaten wie unter der Realität der marktlichen und technologischen Dependenz – denn einfach nur rausschmeißen und abschalten, das geht real nicht.

Schwierige Gemengelage

Die politische Dimension ist also komplex. Und genau hier zeigt sich dann, wie schwierig die Gemengelage ist. Als die EU-Kommission in dieser Woche ihren Vorschlag für ein souveräneres Europa präsentierte, war das der nächste Schritt auf dem sich längst abzeichnenden Weg. Die EU will zwar eigentlich nicht, muss aber ihre Abhängigkeiten reduzieren. Und das sowohl auf der Software- als auch auf der Hardwareseite.

Das „Cyber Dominance“-Problem, wie es in Teilen der Diskussion genannt wird, hat derzeit Konjunktur – denn es betrifft keineswegs nur den engen Bereich von „IT“. „Abhängigkeiten, die Deutschland und Europa verwundbar machen, betreffen Themen wie den Mobilfunk, den Energiesektor und eine Vielzahl digitaler Produkte und Dienste, die wir alle tagtäglich nutzen“, erklärt der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Thomas Caspers. „Etwa Betriebssysteme unserer Smartphones, Social-Media-Angebote oder Cloud-Dienste.“

Caspers hält den Cloud and AI Development Act (CADA) für einen Meilenstein – weil Nutzungsszenarien als Bewertungsgrundlage herangezogen würden. Es sind interessanterweise die IT-Sicherheitsbehörden und teils auch IT-Verantwortliche in Behörden, welche die Probleme seit Jahren klar benennen und Konzepte zum Umgang mit der Problematik entwickelt haben. Und die überzeugen offenbar zunehmend, selbst da, wo es nicht um IT-Sicherheit im strengen Sinne geht.

Blaupausen für viel mehr

Bei der KI-Regulierung allerdings ist noch kein vergleichbar klares Konzept für mehr Souveränität erkennbar, trotz „CADA“. Doch der Regulierungsrahmen beim Cloudcomputing wird für viele Bereiche als Blaupause dienen. Unterschiedliche Anforderungen für unterschiedliche Zwecke, bei Bedarf vergleichsweise schnell zu überarbeiten. Zuerst wird der Staat verpflichtet, gegebenenfalls auch auf ein paar Prozente Effizienz und finanzielles Sparpotenzial zu verzichten – zugunsten einer besseren Business Continuity und mehr Kontrolle. Als Ankerkunde soll der Staat den Grundstock für skalierende Geschäftsmodelle aus der EU leisten. Und genau diese Kriterien werden auch dort zur Pflicht erhoben werden, wo in staatlichem Auftrag gehandelt wird. Denn eine funktionierende Feuerwehr ist ohne funktionierende Wasserversorgung absehbar nutzlos.

Tatsächlich ist aber insbesondere der Teil der technologischen Abhängigkeit schwerlich per Gesetz wegregulierbar. Die Europäische Union tut sich schwer damit, einen klaren Weg etwa dafür zu finden, dass OpenSource-Entwicklung stärker in diesem Teil des Planeten angesiedelt wird. Zwar finden sich einige Ideen im „Technologiesouveränitätspaket“ der Kommission, doch für viele der offenen Fragen wären auch die Nationalstaaten zuständig. Dabei wäre es für viele EU-Unternehmen wichtig, dass sie mit einer vertrauenswürdigen OpenSource-Codebasis arbeiten können – insbesondere wenn es um Operational Technology geht, aber auch wenn es um klassische IT geht. Hier entsprechende Modelle zu ermöglichen, damit Open Source-Entwicklung verlässliche europäische Adressen erhält, Qualitätssicherung in der EU anzusiedeln, das ist auch mit diesem Souveränitätspaket der EU nicht konkret vorgesehen.

Die Self-Fulfilling-Legacy

Die Mitgliedstaaten wiederum müssten zudem eigentlich im Sinne staatlicher Business Continuity seit Jahren dafür sorgen, dass ihre Betriebssysteme und Software unabhängig von Entscheidungen anderer Akteure sind. Doch bis heute ist das, was etwa in die unabhängigen Arbeitsplätze fließt im Vergleich zu den Lizenzzahlungen an andere Anbieter schwerlich verhältnismäßig. Das Henne-Ei-Problem kann so nicht durchbrochen werden: dass es keine unabhängige, gut nutzbare Software mit allen notwendigen Anwendungen gibt, weshalb die Abhängigkeit aufrechterhalten werden müsse. Eine Self-Fulfilling-Legacy, die zu durchbrechen nicht wirklich vorankommt, allen Lippenbekenntnissen zum Trotz. Einzig Schleswig-Holstein geht einen konsequenten Weg – während alle anderen wohlwollend und interessiert aber eben auch skeptisch abwartend zuschauen.

Doch auch alle Nutzer (der Autor schließt sich da ein) müssen sich an die eigene Nase fassen. Denn natürlich ist die Abhängigkeit von MacOS, Windows, iOS und Android, von Microsofts Office und Googles Diensten primär der gelernten Bequemlichkeit geschuldet. Für die meisten Privatnutzer wäre es eigentlich egal, aus welchem Betriebssystem sie ihren Browser starten, solange ihr Drucker, ihre private Foto- und Videoverwaltung und ihre Schreibmaschinensoftware nutzbar sind. Und auch, was unter der App des Mobiltelefons liegt, das sie nutzen, ist eigentlich nachrangig – solange das Gerät noch die Routenplanung im Auto übernehmen und die Nachrichten der Kita-Chatgruppe empfangen kann. Genau dieser Bereich aber wird regulatorisch weiterhin noch nicht stärker adressiert, abgesehen von einigen Interoperabilitätsverpflichtungen auf Basis des Digital Markets Act, die aber bereits ein Ansatz sind.

In der Summe liegt eine Lösung

Damit der Staat als Ankerkunde erfolgreich sein kann, würde überall hier ein Umdenken und Änderungen am Handeln benötigt. In der Summe der regulatorischen Maßnahmen des vergangenen Jahrzehnts würden einige Ansätze schlummern, die erst in der Kombination reale Kraft entfalten können.

Erst dann, wenn existente, nutzbare Alternativsoftware auf Interoperabilität aus dem DMA und Datenexportrechte aus der Datenschutzgrundverordnung und dem Data Act trifft, haben Alternativen real eine Chance. Wer Umzugsgut mitnehmen möchte, braucht ein Ziel. Welches dann besser nicht auf einem der bekannten großen Hyperscaler betrieben wird. So wie bei Clouddiensten könnte das trotzdem Performance- oder Komforteinbußen mit sich bringen. Nur: in vielen Fällen sind die irrelevant, marginal und mindestens temporär verkraftbar. Und manchmal sind Lösungen sogar schlanker und schneller, wenn sie noch keine 20 Jahre wie etwa AWS auf dem Buckel haben.

Ob aber der politische und wirtschaftliche Mut dafür ausreicht, ist auch unter der aktuellen Lage weiter kaum realistisch zu beantworten – nur eines scheint klar: Wirkliche Alternativen zu Alternativen scheint es politisch derzeit keine zu geben.

Lesen Sie auch


(nie)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen