|
Die Stärken und zuweilen auch die Grenzen des deutschen Einflusses auf die Regulierung digitaler Technologien lassen sich anhand von vier Elementen aufzeigen:
|
| Als EU-Mitgliedstaat engagiert sich Deutschland in drei wichtigen Bereichen der Datenverwaltung und Cybersicherheit: digitale Identitäten und offene Daten, rechtmäßiger Zugang zu elektronischen Messaging-Diensten und Regeln für die Nutzung souveräner Cloud-Dienste. |
| Die weitgehend erfolgreiche Rolle Deutschlands als wichtiger Impulsgeber für den regulatorischen Ansatz der EU im Bereich der digitalen Technologien, und damit als Triebfeder des „Brüssel-Effekts“ bei der Gestaltung der globalen Märkte, wird hierzulande wenig anerkannt oder verstanden. Die Diskrepanz zwischen Regulierung, Technologie und internationalem Kontext zeigt sich in Bereichen wie Datenschutz, Inhaltsmoderation und Marktmacht von Online-Plattformen. Selbst substanzielle Debatten zur Regulierung von Quantencomputing, Metaverse (AR/VR) und 6G lassen in Deutschland noch auf sich warten. |
| Deutschland muss seinen Ansatz im Bereich der Digital-Regulierung ändern, um dem dynamischen und universellen Charakter aufkommender digitaler Technologien besser zu entsprechen – insbesondere in einem zunehmend angespannten internationalen Umfeld, in dem technische Regeln eine Komponente geopolitischer Macht darstellen. Dazu gehört: erstens, dass die politischen Zielkonflikte, die mit den Entscheidungen zur Regulierung digitaler Technologien verbunden sind, direkt adressiert werden; zweitens, dass die Überprüfungen und Auslaufklauseln in diesem Bereich ausgeweitet werden, um Flexibilität zu fördern; und drittens, dass Möglichkeiten zur Durchsetzung von Regeln unter Einbeziehung der Zivilgesellschaft, von Unternehmen und anderen nichtstaatlichen Akteuren stärker genutzt werden. Deutschland muss auch das Engagement seiner außen- und sicherheitspolitischen Gemeinschaft in der EU-Technologiediplomatie und bei der globalen Durchsetzung von Regeln verstärken. |
Die Web-Version dieses Berichts enthält keine Fußnoten. Für die Quellenangaben laden Sie bitte die PDF-Version der Studie hier herunter.
Einleitung
Deutschland ist eine wichtige – vielleicht sogar die wichtigste – Kraft bei der Gestaltung des EU-Regulierungsansatzes für digitale Technologien, welcher eine wichtige Grundlage für Europas Macht im geopolitischen Technologie-Wettbewerb bildet. Deutschland steht im Mittelpunkt der ehrgeizigen Bemühungen der EU, Digital-Regulierung mit Menschenrechten, Rechtsstaatlichkeit und Demokratie zu verbinden. Diese Regulierung von Plattformen, Algorithmen und Daten ist im EU-Gesetz über digitale Dienste (Digital Services Act, DSA), im Gesetz über digitale Märkte (Digital Market Act, DMA), im Daten-Governance-Gesetz (Digital Governance Act, DGA), im Gesetz über künstliche Intelligenz (Artificial Intelligence Act, AI Act), im Datengesetz (Data Act) und im EU Cloud Rulebook festgelegt. Deutschlands zentrale Rolle bei der Gestaltung dieser Regeln bedeutet, dass es der EU nur dann gelingen wird, ihr Regelwerk zu aktualisieren, wenn auch Deutschland seine Denkansätze an die neuen Gegebenheiten anpasst. Das bedeutet unter anderem, dass die Bundesregierung anerkennen muss, dass Regulierung zu einer geopolitisch bedeutsamen Komponente geworden ist, andere Staaten ein teils abweichendes Gleichgewicht zwischen Regulierung und Innovation wählen und somit manchmal Vorteile aus den Kosten ziehen, die der EU als regulatorische Vorreiterin entstehen. Während Europa die nächste Welle der Daten-Governance in der Cloud, im Edge Computing und im Internet der Dinge (IoT) in Angriff nimmt, haben Deutschland und damit auch die EU die Chance, einen Rechtsrahmen zu schaffen, der europäische Werte und die globale Wettbewerbsfähigkeit fördert.
Status quo
Deutschland ist auf nationaler und vor allem auf EU-Ebene ein selbstbewusster, beharrlicher und kompetenter Akteur bei der Ausgestaltung digitaler Ordnungspolitik. Deutschland kennt die Hebel der Regulierungsmacht im Bereich der digitalen Technologien in Brüssel und hat über verschiedene Kanäle – Bund und Länder, Privatsektor und die deutsche Zivilgesellschaft – die Möglichkeit, das europäische Regelwerk so zu gestalten, dass es mit einem ordoliberalen, regelzentrierten Ansatz für digitale Souveränität vereinbar ist. Hinsichtlich der Strahlkraft dieses Ansatzes für die Regulierung digitaler Technologien weltweit, bleibt das deutsche Bewusstsein jedoch nach wie vor wenig ausgeprägt. Die Stärken und zuweilen auch die Grenzen der deutschen Einflussnahme auf die Regulierung digitaler Technologien lassen sich anhand von vier Elementen aufzeigen.
Erstens versucht Deutschland immer wieder, die Entwicklung der EU-Regulierung in Hinblick auf die digitale Sphäre zu antizipieren und diesbezügliche Debatten in Brüssel auf seine eigenen Bedürfnisse hin auszurichten, und das vermutlich mehr als jeder andere Mitgliedstaat. Die EU ihrerseits neigt wiederum dazu, die deutsche Debatte zu verfolgen, um den Weg für eine reibungslose rechtliche Verankerung ihrer eigenen Prioritäten zu ebnen. Folglich sind deutsche Rechtstraditionen (z. B. beim Festlegen des Datenschutzes als Grundlage für die Datenschutz-Grundverordnung (DSGVO) und ordoliberales Denken (z. B. die Skepsis gegenüber Kartellen und digitaler Marktkonzentration) auf EU-Ebene sehr einflussreich. Gleichzeitig befindet sich Deutschland in einer Art Echokammer und ist der Ansicht, dass seine eigenen Prioritäten auch auf europäischer Ebene Vorrang haben – und nicht etwa die grenzüberschreitende Liberalisierung digitaler Dienste mit gleichgesinnten Nicht-EU-Staaten oder ein stärkerer regulatorischer Fokus auf die Cyberrisiken der von staatlich kontrollierten, chinesischen Unternehmen entwickelten IKT-Infrastruktur.
Natürlich spiegelt das EU-Regelwerk nicht immer die deutschen Prioritäten wider, und andere Akteure – etwa die Europäische Kommission, das Europäische Parlament, der Privatsektor, einschließlich US-Technologieunternehmen, und andere Mitgliedstaaten wie Frankreich und die technikbegeisterten nordischen und baltischen Staaten sowie Irland – beeinflussen in der Regel den Übergang von der EU-Debatte zur Gesetzgebung. Ein Beispiel dafür sind die Widersprüche zwischen dem DMA und der zehnten Novelle des deutschen Gesetzes gegen Wettbewerbsbeschränkungen. Gleiches trifft auch auf die Widersprüche zwischen der DSA-Regelung bezüglich illegaler Inhalte und dem deutsche Netzwerkdurchsetzungsgesetz (NetzDG) zu. Dennoch ist die deutsche Vorwegnahme der rechtlichen Debatten in der EU in fast jeder Hinsicht von Berlins digitaler Technologiepolitik geprägt – von der Prüfung ausländischer Direktinvestitionen (FDI/ADI) bis hin zur Sorgfaltspflicht im Bereich der Technologielieferketten. So hat die deutsche Datenethikkommission (DEK) 2017 einen Rahmen für KI-Risikokategorien und -bewertung entworfen, der sich im KI-Whitepaper der EU 2020 und im Entwurf des EU AI Act wiederfindet. Das deutsche IT-Sicherheitsgesetz 2.0 und Gaia-X haben jeweils die EU-Diskussion über die Richtlinie zur Netz- und Informationssicherheit 2 (NIS 2) und das europäische Cybersicherheit-Zertifizierungssystem für Cloud-Dienste (EUCS) angestoßen.
Zweitens ist Deutschland auch als größter Mitgliedstaat der EU in der digitalen Ordnungspolitik überrepräsentiert. Deutsche besetzen Schlüsselpositionen als Beamtinnen und Beamten in der Europäischen Kommission, als gut positionierte Administratorinnen und Administratoren des Europäischen Rates und als Mitglieder des Europäischen Parlaments (MdEP), die als Berichterstatterinnen und Berichterstatter für wichtige Gesetzespakete und als einflussreiche Ausschussvorsitzende dienen sowie als wichtige Mitarbeiterinnen und Mitarbeiter des Parlamentssekretariats. Obwohl viele dieser Offiziellen ein breites ideologisches Spektrum repräsentieren, bewahren sie sich eine deutsche politische Sensibilität. Nur Frankreich kann mit Deutschland mithalten, was den Einsatz von Personal zur Gestaltung der digitalen Ordnungspolitik der EU angeht, insbesondere in der Kommission (z. B. DG CONNECT) und in wichtigen Aufsichtsbehörden wie dem Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK).
- Deutschlands starker Fokus auf die USA
-
Die transatlantischen Technologiebeziehungen sind nach wie vor die Hauptschlagader der digitalen Welt. Die Unterseekabel, die den Nordatlantik durchqueren, übertragen 55 Prozent mehr Daten als die transpazifischen Unterseekabel. Allerdings verschieben sich die globalen digitalen Aktivitäten, wie auch wirtschaftlichen Aktivitäten, von den USA in den indopazifischen Raum und in den globalen Süden, auch wenn Deutschland bei der Durchsetzung von Vorschriften weiterhin stark auf den Atlantik ausgerichtet ist.
Die Datenstrategie Deutschlands vom Januar 2021 konzentrierte sich stark auf Gaia-X als Mittel zur Emanzipation Europas von US-Cloud-Diensten (und den Bestimmungen des Gesetzes Clarifying Lawful Overseas Use of Data (CLOUD), das US-Behörden den Zugriff auf bestimmte Daten in anderen Ländern ermöglicht), zum Teil durch den Einsatz von Open-Source-Software wie OpenStack. Der aktuelle deutsche Diskurs über Datenlokalisierung, Plattformabhängigkeit und Verschlüsselung wird nach wie vor von den Enthüllungen rund um die NSA, die Wahl des ehemaligen US-Präsidenten Donald Trump im Jahr 2016 und dem Cambridge-Analytica-Skandal im Jahr 2017 überschattet.
Die Bemühungen der EU um die Durchsetzung von Rechtsvorschriften konzentrieren sich ebenfalls hauptsächlich auf den euro-atlantischen Raum. Die Durchsetzung der DSGVO durch die 17 deutschen Datenschutzbehörden (DSB) richtet sich nach wie vor primär gegen US-Dienstleister und -Plattformen. Dies war angesichts der dominierenden Rolle der US-amerikanischen digitalen Dienste auf dem europäischen Markt in den letzten zehn Jahren gerechtfertigt. Der Fokus auf die Überprüfung von US-Technologieunternehmen steht jedoch im Gegensatz zu der mangelnden Prüfung von systematischen Verstößen durch Unternehmen aus Staaten mit Angemessenheitsbeschluss wie dem Vereinigten Königreich, Kanada und Japan und sogar durch europäische Unternehmen selbst. Am interessantesten ist vielleicht die verhältnismäßig unzureichende Prüfung systematischer Verstöße, insbesondere in Bezug auf Anforderungen für rechtmäßigen Zugriff, durch autoritäre Staaten wie China und Russland.
Es gibt jedoch einige Anzeichen dafür, dass der Fokus langsam von den USA abrückt. Der Entwurf der EU für eine KI-Verordnung, der von der deutschen EU-Ratspräsidentschaft 2020 und der Datenethikkommission der Bundesregierung mit erarbeitet wurde, schenkt den chinesischen Praktiken größere Aufmerksamkeit als frühere ähnliche EU-Verordnungen. Die strengsten Bestimmungen des Kommissions-Entwurfs betreffen das Sozialkreditsystem, welches die Verordnung verbietet, und die biometrische Fernidentifizierung in Echtzeit, die nur Strafverfolgungsbehörden in streng definierten Situationen nutzen dürfen. Diese Maßnahmen beziehen sich implizit auf das Vorgehen Chinas. Die Förderung konformen Verhaltens ist seit langem kennzeichnendes Element der chinesischen Gesellschaft, aber die KI-gestützte biometrische Identifizierung in Kombination mit umfassender Videoüberwachung und einem Sozialkreditsystem bildet ein mächtiges und gefährliches Instrument zur sozialen Kontrolle.
Zuweilen spiegeln diese Beamtinnen und Beamten sowie Vertreterinnen und Vertreter die Interessen deutscher Institutionen wider, einschließlich wichtiger deutscher Unternehmen. Dies ist an sich kein Problem, sondern eher ein natürlicher Nebeneffekt, der auf das komplexe Zusammenwirken der deutschen Europapolitik in Brüssel und des politischen Diskurses der deutschen Wirtschaft zurückzuführen ist. Unternehmen können Deutschlands Stellung im Digitalbereich stärken. Ohne ausreichendes Gegengewicht besteht jedoch das Risiko, dass sie den deutschen Einfluss auf eng gesteckte Unternehmensziele umlenken. Und, was noch problematischer ist: Dies könnte zu gemeinsamen unternehmensstrategischen Schwachstellen führen. Dazu gehört auch eine erhöhte Anfälligkeit gegenüber möglichen Vergeltungsmaßnahmen Chinas für behördliche Prüfungen der Datenverarbeitungs- und Cybersicherheitspraktiken chinesischer Unternehmen, die in der EU tätig sind. Unternehmen in Australien, Kanada und dem Vereinigten Königreich, Deutschlands Verbündete außerhalb der EU, sind darüber weniger besorgt, da sie nicht so stark vom chinesischen Markt abhängig sind. Aufgrund der Marktabhängigkeit von China ist Deutschland gezwungen, ein Gleichgewicht zwischen seinem Bedarf an chinesischen Verbraucherinnen und Verbrauchern und seinem Engagement für seine eigenen Werte im Bereich der digitalen Technologien zu finden.
Internationale und geopolitische Belange prägen zwar die deutsche und europäische digitale Ordnungspolitik, doch sind diese auch noch immer von früheren Erfahrungen mit den USA und Misstrauen in Bezug auf Datenschutz und Spionage geprägt. Seit den Enthüllungen rund um die National Security Agency (NSA) durch den Whistleblower Edward Snowden 2013 richten sich die deutschen Bedenken hinsichtlich des Datenschutzes vor allem auf die USA. Jüngste EU-Initiativen – insbesondere der DSA, DMA und Vorschläge bezüglich Cloud – betreffen aufgrund ihrer Marktdominanz hauptsächlich amerikanische Technologieunternehmen. Aber der Grad, zu dem dies als Mittel zur Einschränkung des technologischen Einflusses der USA wahrgenommen wird, kann Fragen aufwerfen. Die unverhältnismäßige Konzentration auf die USA entspricht nicht den heutigen geopolitischen Bedrohungen (Box 1). Der koregulatorische Ansatz und die weitreichenden Durchsetzungsbefugnisse der Kommission gemäß DSA und DMA schaffen in beiden Fällen die nötige Flexibilität, um den neuen Risiken in den sich ständig verändernden Online-Informationsökosystemen und der Dynamik der Marktmacht der Plattformen Rechnung zu tragen. Sobald DSA und DMA in Kraft treten, wird sich konkret zeigen, inwieweit diese für die Plattformlandschaft des Jahres 2023, und nicht des Jahres 2015, geeignet sind.
Drittens ist die EU für Deutschland und andere Mitgliedstaaten ein Sprungbrett, um weltweit auf Regulierung Einfluss zu nehmen. Bei globalen Technologieunternehmen wurde die Datenschutz-Grundverordnung der EU bekanntlich zur Referenz für Datenschutz, und das auch in Ländern außerhalb der EU. Vier Jahre nach Inkrafttreten der DSGVO nutzen Länder wie Argentinien, Südkorea, Japan und Kenia sowie subnationale Regierungen wie die von Kalifornien mit ihrem California Privacy Rights Act (CPRA) die DSGVO als Grundlage für ihre eigenen Datenschutzbestimmungen. Selbst der wachsende Druck auf Washington, ein föderales US-Datenschutzgesetz zu erlassen, geht zum Teil von Europa aus. Und das Schrems-II-Urteil aus dem Jahr 2020, mit dem der Europäische Gerichtshof das Privacy Shield-Abkommen aus dem Jahr 2016 für die transatlantische Übermittlung personenbezogener Daten für unwirksam erklärte, zwang die USA dazu, erhebliche Änderungen vorzunehmen, um Beschwerden aus Europa nachzukommen und Kontrollen der Datenerfassung durch Geheimdienste zu verschärfen. Die EU hat als Vorreiterin in Sachen Regulierung die globale Regulierungslandschaft in Richtung ihres Modells geprägt. Das ist für Deutschlands Anliegen zwar vorteilhaft, birgt aber auch Nachteile. Viele Nicht-EU-Staaten und die meisten EU-Mitgliedstaaten tun sich schwer damit, die Bestimmungen der Datenschutz-Grundverordnung einzuhalten, was freie Datenflüsse erschwert. Darüber hinaus stehen der EU andere, potenziell vielversprechendere Wege offen, um ein international anwendbares Regelwerk zu erarbeiten.
Die EU und gleichgesinnte Staaten wie Australien, Kanada und das Vereinigte Königreich haben einen (zwischenstaatlichen) Regulierungsdiskurs in Bereichen begonnen, die über den Datenschutz hinausgehen. Zu diesen Bereichen gehören Inhaltsmoderation, Plattform-Governance, die Marktmacht einzelner Unternehmen, Datenschutz und risikobasierte KI-Ansätze. Dies ist jedoch ein mühsames Unterfangen, da Unterschiede in den internen Gesetzgebungsverfahren, den Regulierungskompetenzen, den föderalen Strukturen und den verfassungsrechtlichen Grenzen zu unterschiedlichen Ergebnissen führen.
Gleichzeitig hat China gelernt, die Regulierungsprinzipien der EU zu kopieren, um weit weniger hochgesinnte Ziele zu verfolgen. Chinas Diskurs über die Marktmacht der Technologieriesen und Datenschutz spiegelt die Debatte in Deutschland und Europa, doch mit dem Ziel, internationale Kritik zu beschwichtigen und gleichzeitig die absolutistische Macht der Kommunistischen Partei zu festigen. Das chinesische Anti-Sanktionsgesetz von 2021, das exterritoriale Sanktionen innerhalb des Landes außer Kraft setzt, wurde dem EU-Recht nachempfunden. Chinesische Vorschriften zum Schutz personenbezogener Daten (einschließlich der Globalen Initiative für Datensicherheit 2020), zum Wettbewerb, zu Algorithmen und zuletzt zur Content-Governance mit „positiver Energie“ lehnen sich an europäische Überlegungen an und übernehmen mitunter sogar den Wortlaut des Unionsrechts. Dennoch zielen diese Bemühungen darauf ab, den chinesischen Technologiesektor und andere Akteure in den Dienst parteistaatlicher Interessen zu stellen.
Viertens wäre Europas Gestaltungsmacht ohne Deutschlands Einfluss und den seines Privatsektors in globalen technischen Normungsgremien viel geringer. Das Deutsche Institut für Normung e.V. (DIN), die Deutsche Kommission Elektrotechnik Elektronik Informationstechnik e.V. (DKE) und der Verband der Elektrotechnik Elektronik Informationstechnik e.V. (VDE) bilden einen Kern nationaler Gremien, deren Arbeit in ihre europäischen und internationalen Pendants einfließt. Deutschland ist eines von sechs ständigen Mitgliedern des Rates der Internationalen Organisation für Normung (ISO) und stellt 18 Prozent der ISO-Sekretariate, 19 Prozent der Sekretariate der Internationalen Elektrotechnischen Kommission (IEC) und 29 Prozent der IEC-Arbeitsgruppenvorsitzenden. Es stellt auch Kandidaten für Schlüsselpositionen auf, wie zum Beispiel für den Posten des Direktors des Sektors für Telekommunikationsnormung der Internationalen Fernmeldeunion (ITU) im Jahr 2022.
Aber so wie sich Deutschland manchmal des großen Einflusses seines Privatsektors auf die europäische Regulierung nicht bewusst ist, so hat es den relativen Rückgang seines Einflusses – und folglich desjenigen der EU – bei der internationalen Standardsetzung nur langsam erkannt. Die Rolle des deutschen Privatsektors ist geschrumpft, seitdem insbesondere chinesische Staatsunternehmen und dem Staat nahestehende Unternehmen die Kontrolle über wichtige technische Arbeitsgruppen erlangt und Musternormen eingebracht haben. Chinas Drängen auf regionale Standardsetzungsvereinbarungen im Rahmen seiner Seidenstraßeninitiative könnte auch zu Lock-in-Effekten für Drittländer führen, die zu einem merkantilistischen digitalen internationalen System neigen, das China und den digital gestützten Autoritarismus begünstigt. Dies ist Teil eines umfassenderen Plans, den Henry Kissinger als Chinas „geduldige Anhäufung relativer Vorteile“ bezeichnet hat. Deutschland hat, wie der Rest Europas, erst spät erkannt, dass die technische Normung mit geopolitischen Risiken behaftet ist, und dies zu einer Zeit, in der die Beteiligung des deutschen Privatsektors in internationalen Normungsgremien bereits zurückgegangen ist
Aktueller politischer Ansatz
Die derzeitige Debatte der Bundesregierung über die Regulierung digitaler Technologien konzentriert sich auf eine Reihe von Fragen der Daten-Governance und der Cybersicherheit im Zusammenhang mit der nahtlosen digitalen Interaktion mit der öffentlichen Verwaltung, dem rechtmäßigen Zugang zu elektronischen Messaging-Diensten und Regeln für die Nutzung souveräner Cloud-Dienste. Damit ändert sich der Schwerpunkt im Vergleich zu den jüngsten EU-Regulierungswellen insofern, als dass Datenschutz erheblich stärker als Aspekt von Cybersicherheit und weniger in Bezug auf staatliche und staatsnahe private Akteure eingeordnet wird. Dies könnte Gelegenheit für eine Neukalibrierung der Rolle Deutschlands auf europäischer Ebene bieten, um die demokratischen Grundsätze der Daten-Governance – und zwar auf flexible Weise und im Einklang mit dem deutschen Verständnis von digitaler Souveränität – zu definieren. Was genau unternimmt Deutschland also?
Ein digital befähigter Staat
Erstens konzentrieren sich die deutschen Bemühungen auf der Nachfrageseite auf die Einführung sektorübergreifender und sicherer elektronischer digitaler Identitäten (eIDs), die auf den Erfahrungen der nordischen und baltischen EU-Mitgliedstaaten sowie der Ukraine basieren, die eIDs bereits eingeführt haben. Das deutsche eID-Karte-Gesetz ist im September 2021 in Kraft getreten und hat die rechtliche Grundlage für digitale Identifikation über Smartphones mit sicherer und durch die Bundesdruckerei unterstützter Authentifizierungstechnologie geschaffen. Die Regierung hatte für Ende 2021 erste digitale ID-Dienste versprochen, die jedoch bisher nicht verfügbar sind. Auch bezüglich digitaler Führerscheine, ID-Wallets und Smart eIDs bestehen noch immer Probleme. Auf der Angebotsseite verpflichtet das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (OZG) aus dem Jahr 2017 Bund, Länder und Kommunen dazu, ihre Verwaltungsdienste bis Ende 2022 digital anzubieten – eine Frist, die die Regierungen auf allen politischen Ebenen wahrscheinlich nicht werden einhalten können. Ziel des OZG ist es, Behördenportale miteinander zu verbinden, damit Unternehmen sowie Bürgerinnen und Bürger mit einem einzigen Benutzerkonto auf Online-Dienste zugreifen können. Dabei besteht die Gefahr, dass bürokratische Verzögerungen bei der Umsetzung, mangelnde Koordination zwischen den Behörden und letztlich eine uneinheitliche und ungleichmäßige Datenverfügbarkeit auch zu einer suboptimalen Nutzung durch Forscherinnen und Forscher sowie den privaten Sektor führen.
Rechtmäßiger Zugriff auf Online-Kommunikation
Eine weitere erwähnenswerte Maßnahme ist der Versuch der deutschen Bundesregierung, Bedingungen festzulegen, unter denen Strafverfolgungsbehörden Messaging-Dienste dazu verpflichten können, Zugriff auf verschlüsselte Kommunikation zu gewähren – ein anhaltender Konfliktpunkt zwischen der Strafverfolgung und Ende-zu-Ende-Verschlüsselung. Dies steht seit der Veröffentlichung des FBI-Dokuments „Lawful Access“ vom Januar 2021 auch in der EU auf der Agenda: Aus diesem geht hervor, welche Daten Strafverfolgungsbehörden von verschiedenen Messenger-Diensten erhalten können. Anbieter wie Apple, Signal und Telegram wehren sich weiterhin dagegen.
Letztes Jahr kündigte die Europäische Kommission selbst einen Gesetzesentwurf zur „Chat-Kontrolle“ an, der schnell wieder von der Tagesordnung verschwand; möglicherweise aufgrund der massiven Proteste von mehr als 30 Organisationen aus der Zivilgesellschaft. Doch im Mai 2022 legte die Kommission einen Vorschlag „zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“ vor. Damit sollen insbesondere Anbieter interpersoneller Kommunikation in die Pflicht genommen werden, „Material über sexuellen Kindesmissbrauch aufzudecken, zu melden, zu sperren und aus ihren Diensten zu entfernen“. Dies könnte Nachrichten- und Hosting-Dienste wie WhatsApp und Signal dazu verpflichten, ihre Verschlüsselungsverfahren zu schwächen oder andere umstrittene Lösungen einzuführen, wie zum Beispiel Hash-Abgleiche oder das Scannen der Geräte von Endnutzerinnen und Endnutzern („Client-Side-Scanning“ oder CSS). Kritikerinnen und Kritiker behaupten, dass der Vorschlag die demokratischen Grundsätze untergrabe, indem er alle europäischen Bürgerinnen und Bürger unter Verdacht stelle und die Vertraulichkeit und Sicherheit des Internets unterminiere.
Souveräne Cloud-Dienste und Industriedaten
Die politischen Bemühungen in Deutschland und der EU kreisen um die Schaffung einer Cloud-Infrastruktur, die auf europäischen Regeln basiert und durch eine föderierte europäische Dateninfrastruktur ergänzt wird, die die Marktdominanz der Hyperscaler mit ihren enormen Datenverarbeitungskapazitäten durch Interoperabilitäts- und Portabilitätsanforderungen einschränken kann. Das Ziel ist letztlich, eine wettbewerbsfähige Cloud-Umgebung nach europäischen Regeln zu schaffen, die eine Grundlage für die Infrastruktur für das industrielle Internet und das Internet der Dinge bildet.
Ob dieser von Deutschland geleitete Cloud-Ansatz am Ende der eigenen ordoliberalen, regelzentrierten Vorstellung von digitaler Souveränität Nachdruck verleihen wird, bleibt unklar. Gaia-X, ein industriegetriebenes Spin-off einer deutsch-französischen Regierungsinitiative, ist eine Option für eine interoperable Cloud-Standardarchitektur für Europa und vielleicht auch darüber hinaus. Doch die Ausrichtung von Gaia-X auf eine regelbasierte digitale Souveränität sowie die Einbeziehung US-
amerikanischer und chinesischer Akteure in die Governance, hat die Erwartungen einiger europäischer Akteure – auch in Frankreich – nicht erfüllt. Dies hat einige europäische Akteure dazu veranlasst, konkurrierende Initiativen wie die European Cloud Industrial Alliance (EUCLIDIA) und das EUCS zu gründen. Diese stützen sich auf das französische Cloud-Zertifizierungssystem SecNumCloud, das die öffentliche Verwaltung von außereuropäischen Cloud-Anbietern abschirmen soll. Trotz der Ankündigung verwandter Dienste wie einer föderierten Cloud-Infrastruktur-Architektur (Structura-X) und sektorspezifischer Kooperationen in den Bereichen Mobilität (Catena-X), Landwirtschaft (AgriGaia) und Finanzwesen (EuroDat) scheint Gaia-X mit den Mängeln früherer ähnlicher Bemühungen zu kämpfen: geringe Akzeptanz, unsichere private Nachfrage und schwindende politische Unterstützung in Deutschland.
Unterdessen nehmen die Diskussionen über die Datenlokalisierung in Deutschland zu. Internationale Datenströme sind nach wie vor umstritten und spiegeln Deutschlands Ambivalenz in Bezug auf den Wert und Nutzen von Datenzugang wider. Neben einigen Vertreterinnen und Vertretern der deutschen Regierung, Politikerinnen und Politikern, Rechtsexpertinnen und Rechtsexperten sowie NGOs in Deutschland gibt es auch in Frankreich Stimmen, die infrage stellen, ob US-Cloud-Anbieter sensible Daten überhaupt speichern sollten. Ihre Bedenken betreffen die Ungewissheit über den Datenschutz bei der transatlantischen Datenübermittlung nach dem Schrems-II-Urteil und die Ermächtigung der US-Strafverfolgungsbehörden im Rahmen des US CLOUD Act auf Daten zuzugreifen, die auf Servern von US-Cloud-Anbietern in Europa gespeichert sind.
Deutschland erwägt daher Regeln für die Cloud-Nutzung in der Verwaltung und in sensiblen Bereichen, da die EU ein Cloud-Zertifizierungsverfahren einführen möchte, das Fragen bezüglich Datenlokalisierung berücksichtigt. Deutschland schloss sich Frankreich, Italien und Spanien an – gegen die Niederlande, Schweden und Irland – und unterstützte die „Souveränitätsanforderungen“ im EUCS und dem Gaia-X-Labelling-Framework, die im Wesentlichen Datenlokalisierung als Anforderung unterstützen. Die höchsten Sicherheitsstufen von EUCS und Gaia-X, nämlich „Hoch“ und „Stufe 3“, würden die Auswahl an Providern einschränken und die EU möglicherweise von Hyperscalern wie Amazon, Microsoft und Google, die ihren Sitz in den Vereinigten Staaten haben, sowie von europäischen Unternehmen mit amerikanischer Präsenz, darunter die Deutsche Telekom, SAP und Bertelsmann, abschneiden. Obwohl diese Zertifizierungssysteme derzeit noch freiwillig sind, wird davon ausgegangen, dass sie in Zukunft in irgendeiner Form für die Erbringung öffentlicher Dienstleistungen in der EU erforderlich sein werden – mit schwerwiegenden Auswirkungen auf die Datennutzung in digitalen Lieferketten. Digitale Smart-City-, Gesundheits- und Bildungsdienste gehören zu den Bereichen, die davon betroffen sein werden.
Deutschlands geopolitische Schwachpunkte in der Regulierung
Während sich die deutsche Politik in den Bereichen digitale Identität, Cybersicherheit, Strafverfolgung und Cloud-Governance weiterentwickelt, sind drei Schwachpunkte offensichtlich. Diese können Deutschlands Fähigkeit und die der EU, Governance und Innovation in Einklang zu bringen sowie ihre Gestaltungskraft zu maximieren, beeinträchtigen.
Erstens wird die weitgehend erfolgreiche Rolle Deutschlands als wichtiger Impulsgeber für den regulatorischen Ansatz der EU im Bereich der digitalen Technologien – und damit als Triebfeder des „Brüssel-Effekts“ bei der Prägung globaler Märkte – in Deutschland selbst kaum anerkannt oder verstanden. Vielmehr ist die deutsche Technologiediskussion nach innen gerichtet und beachtet kaum, welchen Einfluss Deutschland auf die EU und die Welt haben. Die Politik überlässt es oft den Technokraten, reaktiv nationale Präferenzen auf europäische Ebene zu heben. Die Debatte neigt auch dazu, die potenziell globalen Auswirkungen deutscher Regularien auszublenden, und es gelingt ihr nicht, die deutschen Vorbehalte in Bezug auf Digitalisierung und Datenflüsse, die weiterhin im EU-Recht zum Ausdruck kommen, konsequent zu adressieren.
Zweitens gibt es nach wie vor geopolitische Herausforderungen im Zusammenhang mit der Umsetzung und Durchsetzung bestehender Regularien, insbesondere der DSGVO, des DSA und des DMA, was eine Diskrepanz zwischen Vorschriften und dem Kontext, in dem sie festgelegt wurden, widerspiegelt. Der überwiegend euro-atlantische Fokus deutscher und europäischer Rechtsdurchsetzung entspricht dem internationalen digitalen Status quo zwischen 2012 und 2015. Seitdem sind chinesische und russische staatsnahe Akteure zu bedeutenden Anbietern von Cloud-Diensten, Plattformdiensten, geschlossenen Messaging-Systemen und intelligenter Infrastrukturtechnologie geworden. Auch das Internet der Dinge hat an globaler Bedeutung gewonnen. Die Durchsetzung der Rechtsvorschriften konnte nicht Schritt halten, was in Deutschland und Europa zu Schwachstellen in der Digital-Governance geführt hat.
Drittens kommt die Gestaltung von Regeln für neue Technologien in Deutschland regelmäßig nur langsam zustande, obwohl das Land in der Lage ist, die EU-Debatte zu antizipieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals ein Grundschutz-Profil für die Cybersicherheit von LEO-Satelliten-Netzwerken herausgegeben, die als Grundlage für Modellstandards der Europäischen Weltraumorganisation dienen sollen. Und die öffentlich finanzierte Forschung und Entwicklung im Bereich der Quantenverschlüsselung wird dazu beitragen, Standards für die Post-Quanten-Kryptografie zu entwickeln, auch in Zusammenarbeit mit Partnern wie dem US National Institute of Standards and Technology (NIST). Nichtsdestotrotz gibt es zwischen technologischer Entwicklung und Governance in Deutschland, Europa und gleichgesinnten Staaten nach wie vor eine ausgeprägte Diskrepanz. Dies ist für das von Deutschland und Europa gewünschte strategische Regulierungsumfeld kaum förderlich. Da die Marktgröße Deutschlands und der EU im Vergleich zum Rest der Welt schrumpft, nimmt auch ihre Regulierungsmacht ab. Mittelfristig wird der wachsende Einfluss der Nachfrage in Indien und im globalen Süden ihre Rolle bei der Festlegung globaler Regeln, Normen und ihre Marktmacht neu definieren.
Handlungsempfehlungen
Drei Faktoren sind ausschlaggebend dafür, ob die Bundesregierung in der Lage sein wird, die globale Regelsetzung zu beeinflussen: die Kohärenz ihrer Vision, die Beständigkeit bei der Regeldurchsetzung in Deutschland und in der EU sowie die Fähigkeit, Vorschriften zu erlassen, die die europäische Innovationsfähigkeit (auch für neue kritische Technologien) bewahren und stärken, ohne protektionistischen Tendenzen Vorschub zu leisten. Um deutsche Regeln und Normen in einen konsequenteren geostrategischen Ansatz einzubetten, sollte die Bundesregierung:
Politische Abwägungen im Zusammenhang mit digitalpolitischen Entscheidungen adressieren. Bei den schwierigsten Aspekten der Digital-Regulierung stehen wichtige deutsche Prioritäten wie Datenschutz und Sicherheit oft im Widerspruch zueinander. Dies zwingt politische Entscheidungsträgerinnen und -träger dazu, Ziele gegeneinander abzuwägen. Debatten über Themen wie Datenschutz, Strafverfolgung und nationale Sicherheit sollten den Gesamtkontext berücksichtigen, eine transparente Aufsicht ermöglichen und auf dem Grundsatz aufbauen, dass Aktivitäten, die offline illegal sind, dies auch online sind.
Musterklauseln und -module erarbeiten, die in Regularien von Partnerländern integriert werden können. Es könnte ein Verzeichnis von Open-Source-Regeln geschaffen werden, das den Prozess für außereuropäische Partner beschleunigt, wenn es darum geht, Angemessenheit mit der EU in Bezug auf den Austausch personenbezogener und industrieller Daten, die IoT-Sicherheit und die Moderation von Inhalten zu erreichen und die oben erwähnten Herausforderungen mit der DSGVO zu bewältigen. Musterklauseln und -module sollten so gestaltet werden, dass ihrem Missbrauch durch autoritäre Regierungen zur Rechtfertigung von Massenüberwachung, Zensur und Datendiebstahl entgegengewirkt wird. Die Bundesregierung sollte auch die Fähigkeit anderer europäischer Staaten unterstützen, ihre eigenen Vorschriften zu erlassen; die EU wiederum könnte Partnerländern helfen, deren Auswirkungen zu evaluieren.
Geopolitische Folgenabschätzungen für Entwürfe deutscher und europäischer Digital-Regulierung durchführen. Wie wir dargelegt haben, könnten Maßnahmen von Deutschland und der EU unbeabsichtigt digitalem Autoritarismus Vorschub leisten oder unerwünschte globale Trends wie Datenlokalisierung, Zensur, Schwächung von Cybersicherheit oder Internetfragmentierung begünstigen. Autoritäre Staaten wie China und Russland haben bereits gezeigt, dass sie bereit sind, solche unbeabsichtigten Folgen auszunutzen, indem sie Regeln spiegeln und kombinieren, um Massenüberwachung, Zensur und digitale Kontrolle über ihre Bürgerinnen und Bürger zu rechtfertigen. Eine aufmerksame Bewertung der Auswirkungen der deutschen und der EU-Technologiepolitik außerhalb Europas könnte solchem Missbrauch entgegenwirken.
Dem zunehmenden Staatszentrismus bei der europäischen technischen Standardsetzung entgegentreten. Der internationale Einfluss europäischer Organisationen wie des Europäischen Komitees für Normung (CEN), des Europäischen Komitees für elektrotechnische Normung (CENELEC) und des Europäischen Instituts für Telekommunikationsnormen (ETSI) beruht weitgehend auf ihrer Offenheit für private Akteure, einschließlich außereuropäischer Unternehmen. Es geht nicht darum, technische Standardsetzung einfach dem Privatsektor zu überlassen. Die Bundesregierung sollte jedoch ein großes Interesse daran haben, die Führungsrolle des Privatsektors mit den staatlichen und europäischen Interessen in Einklang zu bringen. Sie muss die Bemühungen anführen, den pluralistischen Charakter der europäischen Normung zu erhalten. Wenn sich das Gleichgewicht zu sehr zugunsten des Staates verschiebt, besteht die Gefahr, dass die Leistungsfähigkeit Deutschlands und Europas in diesem Bereich beeinträchtigt wird. Außerdem könnte dies einen ungewollten Präzedenzfall für autoritäre Regime schaffen.
Die Kapazitäten des privaten Sektors in der technischen Standardsetzung stärken. Die Bundesregierung sollte steuerliche Anreize und einen Mechanismus für staatliche Förderung deutscher Unternehmen, Start-ups und Verbände schaffen, damit sie in Normungsgremien mitwirken, Vorsitze übernehmen, neue einschlägige Normen entwickeln und mit gleichgesinnten Staaten zusammenarbeiten. Finanzielle Unterstützung könnte durch Zuschüsse des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) und des Bundesministeriums für Digitales und Verkehr (BMDV) erfolgen.
Die europäische Cloud-Zertifizierung und die Gaia-X-Architektur in die globalen Cloud-Governance-Bemühungen einbetten. Da Industriedaten zu einer neuen Front in der globalen Technologieregulierung werden könnten, sollte die Bundesregierung nach Wegen suchen, das Datenraummodell Gaia-X zu internationalisieren, um außereuropäische Partner, insbesondere die Vereinigten Staaten, einzubeziehen. Der EU-USA Trade and Technology Council (TTC) könnte demokratische Datenräume für Industriedaten auf der Grundlage der Gaia-X-Architektur in nationalen Hubs in gleichgesinnten außereuropäischen Ländern entwickeln. Die deutsche G7-Präsidentschaft, die sich in ihrer Endphase befindet, wäre eine Möglichkeit, die gemeinsame Arbeit für freie Datenflüsse auf Grundlage einer vertrauenswürdigen europäischen Regulierung und Architektur für die Speicherung, Verarbeitung und Übertragung von Daten in Gang zu setzen. Japan könnte diese Arbeit während seiner G7-Präsidentschaft 2023 fortsetzen. Schließlich könnte Deutschland den Aufbau von Kapazitäten in den Global Gateway-Partnerländern zur Nutzung europäischer Cloud Computing-Architekturen unterstützen, um die Interoperabilität zu erhöhen und die Menschenrechte zu wahren. Dieses Vorhaben stünde im Einklang mit dem Versprechen der Regierung, die digitale Souveränität im globalen Süden zu stärken.
Digital-Regulierung und technische Standardsetzung in die Zeitenwende und die Nationale Sicherheitsstrategie integrieren. Die Bundesregierung muss sich intensiver mit den Auswirkungen der Regulierung digitaler Technologien auf Deutschlands nationale Sicherheit und Verteidigungsindustrie befassen. Sie muss sicherstellen, dass Deutschland in der Lage ist, Technologien mit doppeltem Verwendungszweck in vergleichbarer Weise zu übernehmen und einzusetzen wie andere Länder, etwa Frankreich, Kanada, Japan und das Vereinigte Königreich. Dies erfordert mehr Flexibilität bei der Berücksichtigung der nationalen Sicherheitsinteressen. Die Bestimmungen des Gesetzes über künstliche Intelligenz könnten beispielsweise Anwendungen von Deep Learning verbieten, die von den Streitkräften anderer Staaten genutzt werden. Die vom deutschen Wettbewerbsrecht und der DMA vorgeschriebene Entflechtung digitaler Dienste wird auch unbeabsichtigte Folgen für die Fähigkeit von Unternehmen haben, ihre Cybersicherheit zu stärken. Die politischen Verantwortlichen in Deutschland müssen ihre Regulierungsmaßnahmen im Bereich der Technologie besser mit nationalen, EU- und NATO-Sicherheitsinteressen in Einklang bringen. Sie haben dies erfolgreich getan, als sie im IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 Kriterien für vertrauenswürdige Telekommunikationsausrüstung aufstellten.
Das Engagement der deutschen außen- und sicherheitspolitischen Gemeinschaft bei der Gestaltung und Durchsetzung von Regulierungsvereinbarungen erhöhen. Die deutschen Nachrichtendienste, die Außenpolitik, die Strafverfolgungs- und die Verteidigungsbehörden haben alle Anteil an der Durchsetzung nationaler Technologievorschriften. Während die USA eine stärkere Einbeziehung von Datenschützern in die Rahmengespräche fördern sollten, sollte die deutsche Regierung erkennen, dass es für diese Behörden an der Zeit ist, mehr Gewicht zu bekommen. Die post-Privacy Shield Transatlantic Data Privacy Framework-Ära (TDPF) wird eine erste Chance dafür bieten. Das deutsche Außenministerium und die nationalen Sicherheitsbehörden haben ein unmittelbares Interesse an der Aufrechterhaltung einer offenen Datenbrücke zwischen der EU und den USA, die gleichzeitig privaten Akteuren den Zugang zu US-Gerichten sowie einklagbare Rechte und Beschränkungen für die wahllose Erhebung personenbezogener Daten zusichert. Sie müssen eine Führungsrolle übernehmen, um sicherzustellen, dass das TDPF eine dauerhafte Lösung ist, angesichts der Gelegenheit, die es bietet, klare Regelungen für einen freien euro-atlantischen Datenverkehr zu schaffen.
Multistakeholder-Ansatz unter Einbeziehung von Zivilgesellschaft, Unternehmen und anderen nichtstaatlichen Akteuren ermöglichen. Deutschland und Europa haben begonnen, neue Modelle für die Regulierung von Technologien zu entwickeln. Die bisherige Regulierung war hochgradig reglementiert und entsprach damit den Entwicklungspfaden industrieller Technologien, die in Fabrikhallen zum Einsatz kamen. Die Regulierung der digitalen Sphäre muss jedoch agil, auf dem Ökosystem basierend und auf die Schaffung von Anreizen ausgerichtet sein. In Anlehnung an das DSA/DMA-Modell muss sie ein Geflecht von Beziehungen, Zuständigkeiten und Aufsichtsfunktionen umfassen, das schneller Alarm schlagen kann, wenn regulatorische Schwachstellen erkennbar werden. Diese flexiblen Strukturen ermöglichen eine ständige und gleichzeitig kompromissfähige Aufsicht.
Evaluierungen und Auslaufklauseln in der digitalen Regulierung ausweiten, um Flexibilität zu fördern. Angesichts der Geschwindigkeit des Wandels digitaler Technologien ist regulatorische und rechtliche Flexibilität zentral. Evaluierungen und Auslaufklauseln würden die Regulierungsbehörden dazu zwingen, die Wirksamkeit und Relevanz von Vorschriften zu prüfen. Solche Klauseln würden auch die Kohärenz mit der Regulierung in anderen Demokratien fördern. Das bereits erwähnte Beispiel der Datenschutz-Grundverordnung zeigt die Notwendigkeit solcher Bemühungen, die mit dem Gebot der Gewährleistung von Rechtssicherheit und der Bedeutung von Reformen für eine zukunftssichere Regulierung in Einklang stehen.
Über dieses Projekt
Der vorliegende Bericht stellt einen integrierten Politikansatz für Deutschlands digitale Kapazitäten und Zielsetzungen vor. Eine solche Strategie sollte die industriellen Stärken und Digital Governance-Prioritäten des Landes mit seinen geopolitischen Interessen verknüpfen.
Dies ist der vierte Teil einer Reihe von Berichten, welche auf der Grundlage von sieben miteinander verbundenen Teilen eines „Technologiepolitik-Stacks“ einen solchen integrierten Ansatz entwirft. Für dieses Projekt hat die DGAP 30 Fachleute dazu eingeladen, einer Arbeitsgruppe beizutreten und zwischen Juli und Oktober 2021 an sieben vertraulichen Workshops über die entscheidenden strategischen Dimensionen von Deutschlands internationaler Digitalpolitik teilzunehmen. Zu den Mitgliedern der Arbeitsgruppe gehörten: politische Mandatsträgerinnen und -träger sowie Kandidatinnen und Kandidaten, hochrangige deutsche Regierungsvertreterinnen und -vertreter, Parteimitarbeiterinnen und -mitarbeiter, die für digitale Plattformen und die Ausarbeitung von Koalitionsverträgen zuständig sind, Expertinnen und Experten für Technologie und Außenpolitik, Vordenkerinnen und Vordenker im Digitalbereich, Managerinnen und Manager von Technologieunternehmen, Akademikerinnen und Akademiker aus den Technik-, Wirtschafts- und Politikwissenschaften sowie Vertreterinnen und Vertreter der Zivilgesellschaft und von Organisationen, die sich für digitale Rechte einsetzen. Außerdem luden wir weitere Expertinnen und Experten dazu ein, an einzelnen Workshops teilzunehmen. Jeder Workshop befasste sich mit jeweils einem Teil von Deutschlands „Technologiepolitik-Stack“. Darüber hinaus wurden während der Entstehung dieser Reihe von Berichten Mitglieder der Arbeitsgruppe periodisch konsultiert.
Wir bedanken uns bei der Open Society Initiative for Europe für ihre großzügige Unterstützung, die dieses Projekt ermöglicht hat.
