Was ist Datensouveränität?
Das Fraunhofer Institut definiert diese wie folgt:
Unter dem Begriff „Datensouveränität“ wird verstanden, dass Datenanbieter bestimmen können, wer ihre Daten erhält, wie sie verarbeitet werden dürfen und an welchen Zweck und an welche Auflagen die Nutzung gebunden sein soll
Ok, und wer könnte datensouverän sein wollen? Nehmen wir einmal das Beispiel einer Buchungsplattform für Reisen:
Die Daten selbst stammen meist von den Nutzern, in unserem Falle also die Hotels und die Reisenden. Besitzer der Daten ist heutzutage meist der Plattform-Betreiber. Die echte Plattform Booking.com nutzt keine Public Cloud (Link), in diesem Beispiel nehme ich aber einmal an, dass die Buchungsseite einen externen Provider einbindet. Dieser hat also ebenfalls mit den Daten zu tun. Ausserdem: In jedem Rechenzentrum, ob Public Cloud oder nicht, werden IT-Komponenten eingesetzt. Also Router, Speicher, Virtualisierungs-Software, Datenbanken und vieles mehr. Über diese können dann Drittanbieter ebenfalls in Berührung mit den Daten kommen.
Datensouveränität - woran könnte die scheitern?
Ich fokussiere mich in einem ersten Schritt auf den Plattformbetreiber: Woran könnte dessen Datensouveränität scheitern?
Ich wage die These: Das größte Risiko ist, dass der Plattformbetreiber es technisch verdaddelt. Also: Windows-Server mit alten Ständen des Betriebssystems, keine Ende-zu-Ende-Verschlüsselung, Standardpasswörter, etc. (Von Booking.com ist mir hier übrigens keine Nachlässigkeit bekannt!). Dass Cloud-Dienstleister - ob Hyperscaler oder lokaler Anbieter - häufig vertragsbrüchig werden und in den Daten ihrer Kunden herumschnüffeln, ist mir ebenfalls nicht bekannt.
Es bleiben also die fremden Staaten als Risiko. Wie kommen die an unsere Datenschätze? Ich habe einmal ein paar Wege zusammengestellt.
Die USA kommen an die Daten ihrer Hyperscaler
Wir sehen: GaiaX setzt genau an dem Punkt “Cloud Act” an. Dieser berechtigt …
… US-Behörden weltweit auf von US-Unternehmen (Anbieter elektronischer Kommunikations- oder Cloud-Dienste) gespeicherte Nutzerdaten, einschließlich personenbezogene Daten, zuzugreifen. (Quelle)
Die Frage nun:
Können wir nicht die Daten in der Cloud einfach verschlüsseln?
Mark Neufurth, Strategy Manager bei IONOS, schreibt auf security-insider.de, dass die bestehenden Methoden der Verschlüsselung nicht ausreichten. Der Cloud-Provider käme immer irgendwie an die Daten und würde sich auch nicht strafbar machen, wenn er dem amerikanischen Staat helfe. Die einzige Lösung sei es, einen europäischen Cloud-Provider zu nutzen. And here we are: Die Kernidee von GaiaX.
Das Analystenhaus IDC schreibt dagegen - im Auftrag von AWS - die USA würden nur in sehr begrenzten Fällen Daten anfragen, und dies geschähe im übrigen auch aus Europa in Richtung amerikanischer Unternehmen. Zudem würden sie die Daten ihrer Kunden nicht entschlüsseln, dies ginge nur mit dessen Hilfe. Und im übrigen seien es die lokalen Wettbewerber, die verantwortlich seien für den ganzen FUD (Fear, Uncertainty & Doubt).
Ich möchte hier nicht Schiedsrichter spielen und schlage vor, die Entscheidung auf ein anderes Spielfeld zu verlagern.
Die Amerikaner kommen sowieso an unsere Daten
Warum? Schauen Sie sich einmal die folgende Grafik an:
Damit ein europäisches Unternehmen wie Zalando, Otto, VW, Booking oder Spotify eine erfolgreiche Plattform aufbauen kann, ist es zwingend angewiesen auf den sogenannten Stack. Netzwerk, Speicher, Rechenleistung, Virtualisierungssoftware, Datenbanken, Betriebssysteme und vieles mehr. Fast alle Akteure bei allen Komponenten stammen aus den USA. Jede dieser Komponenten ist entweder Software oder enthält Software. Und diese ist meist Closed Source, es kann kaum nachvollzogen werden, was sie tut und an wen sie Daten sendet. Und: Es gibt für fast alle dieser Komponenten Supportleistungen der Anbieter. Das Support-Team sitzt dann wo? In Indien, Malaysia und …. sicher auch einmal in China oder den USA. Und das gilt für dir lokalen IT-Provider noch deutlich häufiger als für die Hyperscaler, denn die ersetzen immer größere Teile ihrer Wertschöpfung entweder durch quelloffene Komponenten oder durch eigenentwickelte Leistungen - deren Supportorganisation sie ebenfalls selbst bestimmen.
Ich habe hier einmal meine Lieblingslinks zu diesem Thema gesammelt:
- ZDNet: Die CIA stattet in den USA hergestellt Hardware mit Hintertüren aus
- Arstechnica: Die NSA fängt Cisco-Router vor der Auslieferung ab und ergänzt sie um eine trojanisches Pferd.
- Financial Times: Die Telcos trauen keinem der 5G-Anbieter
Wenn Sie einmal einen Cybersecurity-Experten auf einer Party treffen, geben Sie ihm ein Bier aus und hören Sie ihm ein bisschen zu: Kein Rechenzentrum sei virusfrei, amerikanische Anti-Virenprogramme finden nie amerikanische Staatshacker, und und und..
Wir sind schon Datensouverän
Europäische Plattformbetreiber wie Spotify, Booking.com und Zalando sind heute schon datensouverän. Zumindest sind sie es so weit, dass ihnen GaiaX nicht weiter helfen wird. Cloud Act hin oder her. Ähnlich vielleicht wie der Opiumkrieg 1839 die Unterlegenheit Chinas gegenüber Großbritannien demonstrierte, so zeigt der Cloud Act die europäische Unterlegenheit in der IT-Wertschöpfung gegenüber den USA - und gegenüber China.
Die Datensouveränität des Einzelnen endet dort, wo die des Anderen beginnt
Ein erfolgreicher Plattformbetreiber ist also weitestgehend datensouverän. Aber wie ist es mit seinen Nutzern? Können die Hotelbetreiber und die Reisenden bestimmen, was mit ihren Daten passiert? Können sie mitverdienen an dem Nutzen, den ihre Daten kreieren? Nein. Zumindestens kenne ich keine relevante Plattform, die ihre Nutzer wirklich partizipieren lässt. Buchverlage fluchen über Amazon, Musikverlage über Spotify. Und ich persönlich habe von Facebook noch keinen Cent gesehen. Geht es aber besser? Hoffentlich: Das Fraunhofer Institut hat hierfür die Idee des International Data Spaces entwickelt. Die Schlüsselideen sind (Seite 22 im Whitepaper) :
- Der Datenbesitzer gibt Zugang zu seinen Daten, definiert dafür aber Datennutzungsrichtlinien
- Er hat die technischen Mittel und die Verantwortung, Datennutzungsverträge zu schaffen.
- Er definiert zusätzlich Abrechnungsmethoden und Nutzungsmethoden für Drittanbieter.
Mit 20 Jahren Erfahrung in IT-Unternehmen würde ich sagen: Das ist technisch möglich. Aber wird sich dieser Ansatz durchsetzen? Datenbasierte Geschäftsmodelle laufen immer nach dem gleichen Muster: Jemand (Mark Zuckerberg, Sergej Brin, Daniel Ek, Tobias Lütke) hat eine Idee, wie ein solcher Markt aussehen könnte und bietet eine preislich und inhaltlich attraktive Leistung (kostenlos, kostenlos, 10€/Monat, 29$/Monat). Damit macht dieser Jemand jahrelang Verluste um zu wachsen, Marktanteile zu gewinnen und Daten zu sammeln. Irgendwann sind derart viele Daten gesammelt, dass diese den eigentlichen Wettbewerbsvorteil darstellen. Das Unternehmen kann gegenüber den Kunden Individualisierungsvorteile ausspielen wie kein Wettbewerber - und gegenüber Lieferanten Preise und Bedingungen diktieren. Ganz zum Schluss kommt es erst in die Gewinnzone.
Wenn jetzt aber jeder Akteur - also der Musikhörer und der Musiker -die Datennutzungsrichtlinien selbst schriebe, würde Spotify jemals in einen solch attraktiven Dienst investieren? Nein, die Durststrecke würde sich nie bezahlt machen. Würde der Musiker einen solchen Dienst aufbauen? Kann er nicht, er ist ja Musiker. Der Musikhörer, erst recht nicht. Der attraktive, datenbasierte Dienst würde - ob der verteilten Rechtelage und der fehlenden wirtschaftlichen Frohlockungen - gar nicht erst entstehen.
Ich glaube also nicht an die Übertragung der Kantschen Freiheitsidee auf die Datensouveränität. Wir können froh und glücklich sein, wenn mehr europäische Unternehmen hinreichend datensouverän werden. Wenn nicht auch unsere Autobauer noch zu Hardwarelieferanten von Uber oder Apple werden. Und vor Datenmißbrauch schützt mich dann hoffentlich weiterhin die öffentliche Regulierung.
Fazit - Datensouveränität ist Marketing
Ich muss nun leider feststellen: Das Argument der Datensouveränität ist ein sentimentales. Europäische Unternehmen, die sich digital aufgerüstet haben, sind heute schon datensouverän. Ja, es gibt den Cloud Act, und ja, die US-Regierung käme sehr wahrscheinlich darüber an die Daten. Aber die kommt sehr wahrscheinlich sowieso an Ihre Daten, wenn sie es wirklich will. Auch und vielleicht gerade wenn Sie sich auf eine föderale Cloud verlassen. Eine Cloud mit vielen verschiedenen Anbietern jeglicher Art und Größe, die viele verschiedene amerikanische Standard-Komponenten nutzen.
Und wie ist es mit dem dritte Weg zur Datensouveränität, jenem von Fraunhofer der auch Nutzer und Lieferanten von Plattformen ehrlich einbezieht? An technischen Gründen wird er nicht scheitern, aber vielleicht am Kapitalismus und dessen urmenschlichem Incentivierungssystem? Dieser Frage werde ich im nächsten Blogartikel nachgehen …
Andreas Tamm und Roland Frank haben bei der Erstellung dieses Artikels unterstützt.
