Digitale Souveränität: Europäische Initiativen

Um die digitale Souveränität Europas zu gewährleisten, ist es notwendig, die Nutzung, Speicherung und Erhebung von Daten zu regulieren.  Die dafür notwendigen Datenschutzmaßnahmen sorgen weiterhin für heftige Diskussionen unter den Mitgliedsländern. Dies hat die EU jedoch nicht davon abgehalten, mehrere Initiativen zu ergreifen. Wir möchten uns mit einigen dieser Initiativen näher befassen.

Die allgemeine Datenschutzverordnung (DSGVO): der Ausgangspunkt

initiatives européenne souverainetéDer erste Schritt in Richtung digitaler Souveränität ist die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO). Sie regelt den Zugang, die Speicherung und die Verwendung von personenbezogenen Daten der europäischen Bürger.  Unternehmen, die über solche Daten verfügen, müssen mehrere Anforderungen erfüllen (Löschung von Daten, Konsultation auf Anfrage, Bestellung eines Datenschutzbeauftragten …).  In derselben Verordnung ist festgelegt, dass personenbezogene Daten aus der EU nur in Länder übermittelt werden dürfen, die einen ähnlichen Schutz bieten und die die EU für “angemessen” hält*

Die US-Gesetzgebung ist jedoch weit weniger streng als die DSGVO. Der Cloud-Act ermöglicht es der US-Regierung, auf Daten zuzugreifen, die sich im Besitz von US-Unternehmen befinden. Zudem betrachtet man in den Vereinigten Staaten Daten als einen Vermögenswert, der gehandelt werden kann. Trotz dieser Unterschiede vertrauen viele europäische Unternehmen ihre Daten großen amerikanischen Digitaldienstleistern an, insbesondere für das Hosting. Dies hat die EU veranlasst, weitere Maßnahmen zur Regulierung des Datenmarktes zu ergreifen.

Daten-Governance-Rechtsakt und der Data Act: ein Schritt weiter Richtung Zukunft

data act

Diese beiden Verordnungen ergänzen die DSGVO. Sie zielen darauf ab, einen einheitlichen Markt für Daten zu schaffen, der den Zugang, die gemeinsame Nutzung und die Weiterverwendung von Daten im Einklang mit den Werten der EU unterstützt. 

Das Daten-Governance-Gesetz tritt im September 2023 in Kraft. Diese Maßnahme soll die gemeinsame Nutzung von personenbezogenen und nicht personenbezogenen Daten durch die Einrichtung von Vermittlungsstrukturen fördern. Die letzteren werden die Bedingungen für die Weiterverwendung von Daten im Besitz des öffentlichen Dienstes klar definieren und so mit internationalen Marktteilnehmern unter gleichen Bedingungen konkurrieren können. 

Ziel des Data-Acts ist es, einheitliche Regeln für den Zugang zu Daten, die von vernetzten Objekten und den damit verbundenen Diensten erzeugt werden, festzulegen. Durch diese Maßnahme soll der Zugang, die Verwaltung und die gemeinsame Nutzung dieser Daten erleichtert werden.

Die Platform-to-Business-Verordnung: Der erste europäische Text, der einen Rahmen für den B2B-E-Commerce schafft

Diese EU-Verordnung, die im Juli 2020 in Kraft getreten ist, schafft ein faires und vorhersehbares Geschäftsumfeld für B2B-Händler, die Online-Plattformen nutzen (ca. 7000 Plattformen und Marktplätze).

Es verbietet unfaire Praktiken (z. B. missbräuchliche Schließung von Konten) und verpflichtet Online-Plattformen, ihre Allgemeinen Geschäftsbedingungen leichter zugänglich zu machen. Außerdem müssen sie angeben, welche Daten sie sammeln und wie diese verwendet werden, insbesondere wenn sie an Geschäftspartner weitergegeben werden. Mit anderen Worten: Das Gesetz bringt Transparenz und Ethik in den digitalen Handel zwischen Unternehmen.

Die NIS 2 Richtlinie: Souveränität und Cybersicherheit

Die EU-Richtlinie NIS 2 über die Sicherheit von Netzen im Internet (Netzwerk- und Informationssicherheit) zielt darauf ab, das Cyber-Risikomanagement von Unternehmen und Organisationen zu verbessern. Sie führt zu neuen Verpflichtungen wie Sicherheitsmaßnahmen, Überwachungsregeln und die Verpflichtung, jeden Angriff an nationale Cybersicherheitsbehörden zu melden (z. B. ANSSI in Frankreich) 

Jeder Mitgliedstaat kann auf Basis einer Risikoanalyse eine Liste der Organisationen erstellen, die unter diese Richtlinie fallen.  Es wird erwartet, dass mehrere tausend Einrichtungen, die mit digitalen Diensten, der Raumfahrtindustrie oder der Forschung zu tun haben, unter die Richtlinie fallen werden.

CNIL und ANSSI: Ein Beispiel, wie lokale Behörden die Einhaltung der Vorschriften in Frankreich sicherstellen

ANSSI

In Frankreich gibt es zwei Einrichtungen, die für die Überwachung der Datenschutzbestimmungen zuständig sind und Unternehmen und Bürgern bei der Abwehr von Cyberbedrohungen Hilfestellung leisten.

Die nationale Kommission für Informationstechnologie und bürgerliche Freiheiten (CNIL) ist eine Regierungsbehörde, die für die Regulierung personenbezogener Daten zuständig ist. Sie hat mehrere Aufgaben:

  • Information und Schutz der Rechte: Sie beantwortet Anfragen von Unternehmen und Privatpersonen zum Thema Datenschutz. Sie nimmt auch deren Beschwerden entgegen. 
  • Unterstützung bei der Einhaltung der Vorschriften: Sie bietet eine «Toolbox» an, um Unternehmen bei der Einhaltung der Vorschriften zu unterstützen.
  • Antizipation und Innovation:  Sie unterstützt die Entwicklung von Lösungen zum Schutz der Privatsphäre, berät Unternehmen und fördert eine ethische Diskussion über die Frage, wie mit persönlichen Daten umgegangen werden sollte. 
  • Kontrolle und Durchsetzung:  Sie gewährleistet, dass das Gesetz in der Praxis angewandt wird.

Die Nationale Agentur für Informationssicherheit (ANSSI), die französische Agentur für die Sicherheit von Informationssystemen, bietet Organisationen Fachwissen und technische Unterstützung im Bereich der Cybersicherheit. Sie stellt einen Dienst für die Überwachung, Erkennung, Warnung und Reaktion auf Computerangriffe bereit.

Maßnahmen der europäischen Regierungen: wichtige Meinungsbildner

Die Regierungen spielen eine wichtige Rolle auf dem Weg zur digitalen Souveränität. Ihr Handeln beeinflusst die Wahl der technologischen Lösungen. Ihre Entscheidungen tragen dazu bei, das Know-how der digitalen Akteure Europas zu stärken.  Lokale Behörden und Unternehmen werden seit einiger Zeit dazu ermutigt, auf Open-Source-Lösungen oder von europäischen Anbietern produzierte Software zurückzugreifen.

Die Entwicklung des europäischen digitalen Ökosystems ermöglicht es, eine echte Alternative zu den GAFAM anzubieten und die Kontrolle über die Daten zu behalten.

Die Europäer sind sich der Probleme im Kontext der digitalen Souveränität bewusst. Die Aufmerksamkeit der Bürger ist durch Regelungen wie die DSGVO geweckt worden und die Medien berichten über die Leaks von Gesundheitsdaten oder die Möglichkeiten, die sich durch Gesundheitsdaten ergeben. Die Initiativen der Europäischen Union sind zwar erfreulich, aber nicht ausreichend, um der Macht der amerikanischen Giganten etwas entgegenzusetzen.  Die Vorschriften zeigen jedoch den richtigen Weg zu einem respektvolleren Umgang mit den Daten der Bürger.

* Siehe https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde