Cloud-Projekt Gaia-X: Deutsche Behörden warnen vor Beteiligung von US-Techfirmen

Datenschutzbehörden warnen aus Sicherheitsgründen davor, US-Digitalkonzerne beim Aufbau der europäischen Cloud-Infrastruktur zu beteiligen. Wirtschaftsminister Altmaier hält dagegen.

Der Bundeswirtschaftsminister treibt das Projekt voran. Die Frage ist, ob es schnell genug in die Praxis kommt. Foto: dpa

Mehrere deutsche Datenschutz-Aufsichtsbehörden machen Front gegen die Beteiligung US-amerikanischer Technologiekonzerne am Aufbau der europäischen Cloud- und Dateninfrastruktur Gaia-X. „Mit Gaia-X ist eine europäische Initiative auf dem Weg, die einen Meilenstein für die digitale Souveränität der EU darstellen kann“, sagte der Hamburger Datenschützer Johannes Caspar dem Handelsblatt. „Dass sich nun auch die großen US-Techfirmen hier einklinken, von denen wir doch gerade unabhängig werden wollten, stellt die Cloud-Initiative massiv infrage und dokumentiert die Schwäche der EU-Digitalpolitik.“

Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen warnt davor, Datensicherheit als „wichtigstes Alleinstellungsmerkmal von Gaia-X“ zu gefährden. Es sei zwar durchaus möglich, dass auch außereuropäische Firmen damit kompatible Dienste anbieten könnten, sagte sie dem Handelsblatt. „Jetzt scheinen Internetriesen mit Sitz in den USA aber direkt in das Projekt einzusteigen und bei der Ausgestaltung mitzumischen.“ Damit hole man sich die nachrichtendienstliche Überwachung ins Projekt, der sich diese Unternehmen nicht entziehen könnten.

Bundeswirtschaftsminister Peter Altmaier (CDU) hat immer wieder betont, das im Oktober 2019 vorgestellte Projekt für den branchen- und länderübergreifenden Datenaustausch stehe grundsätzlich auch nicht-europäischen Anbietern offen, wenn diese die Standards erfüllten: „Die strengen Regeln für Datenschutz, Interoperabilität und Datensouveränität, die bei Gaia-X angewandt werden, gelten auch und gerade für Unternehmen, die nicht aus Europa stammen“, heißt es nun aus seinem Ministerium. Es liege im Interesse aller Seiten, dass auch die großen Unternehmen aus den USA und China diese Standards akzeptierten und übernähmen.

Darüber stehe man im Austausch mit den Datenschutzbehörden, heißt es im Wirtschaftsministerium weiter. Auf Einladung des Bundesdatenschutzbeauftragten Ulrich Kelber habe man diese Fragen kürzlich in einem Workshop mit Vertretern der Landesdatenschutzbehörden besprochen. Daran hatten nach eigenen Angaben auch Vertreter aus Hamburg und Schleswig-Holstein teilgenommen. Zunächst hatte es geheißen, die beiden Behörden seien nicht dabei gewesen.

Hinter den Vorbehalten gegen US-Dienste wie Microsoft Azure, Google Cloud und Amazon AWS steht ein Urteil des Europäischen Gerichtshofs (EuGH) zum EU-US-Datenabkommen „Privacy Shield“. Der EuGH hatte im Juli vergangenen Jahres diese Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA wegen der zu weitreichenden Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden kassiert.

Initiatoren von Gaia-X sehen keine Risiken

Nach dem „Cloud Act“ und dem „Foreign Intelligence Surveillance Act“ (FISA) dürfen NSA, FBI und andere auch die Daten ausländischer Nutzer durchforsten. Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass Daten von Microsoft, Facebook, Google, Apple, Yahoo und anderen abgeschöpft werden.

Aus Sicht der Initiatoren von Gaia-X wird die im Aufbau befindliche EU-Cloud dadurch aber nicht kompromittiert. Die US-Firmen dürften die Infrastruktur nur nutzen, wenn sie die Richtlinien für die Verarbeitung und Speicherung von Daten akzeptieren. Ein Zertifizierungs- und Testverfahren soll gewährleisten, dass sich alle Unternehmen auch an die Regeln halten. Der Einfluss außereuropäischer Unternehmen auf die Formulierung der Standards werde wiederum dadurch begrenzt, dass im Direktorium der Dachgesellschaft von Gaia-X nur europäische Vertreter sitzen dürften.

Hinzu kommt aus Sicht der Initiatoren, dass die künftigen Nutzer der Plattform selbst entscheiden könnten, welchem Anbieter sie welche Daten anvertrauen. Gaia-X werde im Grunde wie ein App-Store funktionieren, aus dem man sich eine Anwendung aussuchen könne.

Digitalpolitikern wie dem Grünen-Bundestagsabgeordnete Dieter Janecek reichen die Zusicherungen nicht aus. Die Mitwirkung von nicht-europäischen Unternehmen bei Gaia-X biete zwar große Chancen, europäische Standards zum internationalen Goldstandard zu machen. „Mit Blick auf den US-Cloud-Act sehe ich aber bei der Beteiligung von US-amerikanischen Unternehmen durchaus noch einige völlig ungeklärte Fragen, auf die die Bundesregierung bisher auch noch keine Antworten liefern konnte“, sagte Janecek dem Handelsblatt. „Noch problematischer ist sicher die Beteiligung von Unternehmen, die der Jurisdiktion der Volksrepublik China unterliegen.“ Der Netzwerkausrüster Huawei sei ja schließlich auch mit im Boot.

SPD: Kompletter Ausschluss „möglicherweise zu radikal“

Der SPD-Digitalexperte Jens Zimmermann sieht nach dem EuGH-Urteil und den Snowden-Enthüllungen in Gaia-X die Möglichkeit, die europäische digitale Souveränität zu stärken und die bestehenden Abhängigkeiten von bestimmten Anbietern, oft mit einer Monopolstellung, abzubauen. „Von daher sehe ich ein einfaches Weiter-so gerade beim Aufbau von sicheren und vertrauenswürdigen Cloud-Infrastrukturen ebenfalls kritisch“, sagte Zimmermann dem Handelsblatt. Ein kompletter Ausschluss nicht-europäischer Anbieter wäre aus seiner Sicht aber „möglicherweise zu radikal“. „Allerdings muss sichergestellt bleiben, dass die europäischen Trägerunternehmen und Institutionen die Federführung behalten.“

Die drei führenden US-Anbieter Amazon, Microsoft und Google haben ebenso wie Alibaba aus China ihr Interesse an Gaia-X erklärt. Ob sie sich am Ende tatsächlich an dem Vorhaben beteiligen, ist aber noch nicht ausgemacht. Denn die Unternehmen müssten nicht nur gewährleisten, dass bei ihnen gespeicherte Daten vor dem Zugriff der Sicherheitsbehörden geschützt sind. Sie müssten auch ihre bislang geschlossene Architektur öffnen, um Interoperabilität mit anderen Gaia-X-Anbietern zu gewährleisten.

Somit könne Gaia-X sogar mittelfristig eine Lösung für das Problem bieten, das mit dem Wegfall des „Privacy Shield“ für viele Unternehmen entstanden ist. Nach dem Luxemburger Richterspruch brauchen die Firmen einen neuen, rechtssicheren Weg für den Datentransfer nach Übersee. Die Datenschutz-Grundverordnung (DSGVO) sieht für Verstöße gegen die Regeln für die internationale Datenübermittlung grundsätzlich Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes vor.

Datenschützerin Hansen ist dennoch skeptisch. „Das Argument, es gäbe ja nicht nur die Verarbeitung personenbezogener Daten und dann könne man ja diese Dienstleister mit ins Boot holen, ist meines Erachtens nicht durchschlagend“, sagte sie. „Auch Nutzerdaten und Geschäftsgeheimnisse müssen doch mit einer europäisch souveränen Infrastruktur umfassend geschützt werden können.“

Baden-Württembergs Datenschutzbeauftragter Stefan Brink hält dagegen eine Beteiligung von US-Konzernen an Gaia-X trotz „ganz erheblicher“ datenschutzrechtlicher Vorgaben für möglich. „Das Datenschutzrecht verfolgt keine wirtschaftspolitischen, sondern bürgerrechtliche Zielsetzungen“, sagte Brink dem Handelsblatt. „Wenn es also US-Dienstleistern gelingt, die hohen rechtlichen Hürden zu meistern, gibt es keinen rechtlichen Grund, sie auszuschließen, schon gar nicht unter Berufung auf den schwammigen Begriff einer digitalen Souveränität.“ Die digitale Zukunft sei eine „Integrationsaufgabe, kein Ausgrenzungsprozess“.