Zu den Abhängigkeiten mit geopolitischem Risiko zählen auch die bei IT-Dienstleistungen aus den USA – vor allem Cloud-Dienste. Ein Gipfel diese Woche in Berlin soll Auswege aufzeigen.

Berlin - Bundeskanzler Friedrich Merz (CDU) und Frankreichs Präsident, Emmanuel Macron, haben sich angekündigt zum Treffen der Digitalminister und IT-Fachleute in Berlin. Rund 900 Teilnehmer werden beim Europäischen Gipfel zur Digitalen Souveränität am Dienstag erwartet. Was lange Zeit ein Nischenthema für IT-Fachleute war, steht inzwischen weit oben auf der politischen Agenda.

Denn viele Unternehmer und auch Führungskräfte in der öffentlichen Verwaltung stellen sich die bange Frage: Wie sicher sind meine Daten in den Clouds großer US-Tech-Unternehmen wie Amazon Web Services (AWS), Microsoft Azure oder Google Cloud? Und könnte vielleicht eines Tages der Zugang zu meinem E-Mail-Konto blockiert sein? Hier geht es ausdrücklich nicht um Sorgen wegen möglicher Hackerangriffe, sondern um etwaige Maßnahmen auf Geheiß der US-Regierung.

Kein Anti-US-Tech-Gipfel

Aus der Bundesregierung ist zwar zu hören, der Gipfel in Berlin richte sich nicht explizit gegen die USA. Doch vielleicht will man mit Blick auf bestehende Abhängigkeiten und heikle Zollfragen auch einfach kein Öl ins Feuer gießen.

Zugriff der US-Justiz?

Das 2022 vom Bundesinnenministerium gegründete Zentrum für Digitale Souveränität in der Öffentlichen Verwaltung hat diesen Sommer jedenfalls unter der Überschrift "US-Recht kennt keine Grenzen" folgenden Hinweis auf juristische Risiken veröffentlicht: "Durch Gesetze wie den CLOUD Act und FISA 702 unterliegen alle US-Cloud-Anbieter der Pflicht, Daten auch dann offenzulegen, wenn sie außerhalb der USA gespeichert sind." Dasselbe gelte für entsprechende verbindliche Anordnungen des US-Präsidenten. Die Amazon Web Services Cloud wird beispielsweise für die Speicherung von Aufzeichnungen von Bodycams der Bundespolizei genutzt.

FISA 702 ermöglicht US-Geheimdiensten wie der NSA das Abfangen von Kommunikation, die von US-amerikanischen Unternehmen bereitgestellt wird. Der Cloud Act erlaubt US-Ermittlungs- und Strafverfolgungsbehörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, unabhängig davon, wo sich die Daten physisch befinden – also auch in europäischen Rechenzentren.

Geopolitische Herausforderungen

"Die Stärkung der europäischen digitalen Souveränität ist für die Bundesregierung wie auch für die Regierungen der anderen EU-Mitgliedstaaten ein wichtiges Thema – gerade auch mit Blick auf die aktuellen geopolitischen Herausforderungen", sagt ein Sprecher des Digitalministeriums. Von dem Gipfel solle "das starke Signal ausgehen, dass sich Europa der Herausforderungen bewusst ist und die digitale Souveränität engagiert vorantreibt".

Für das Zentrum für Digitale Souveränität ist es das erklärte Ziel, die "kritischen Abhängigkeiten" der öffentlichen Verwaltung von großen, zumeist nicht-europäischen Software- und Cloud-Anbietern aufzulösen, deren Lösungen inzwischen fester Teil vieler staatlicher IT-Infrastrukturen geworden ist.

Ohne Cloud geht fast nichts mehr

Auch Unternehmen sind teils alarmiert. Laut einer im Frühsommer veröffentlichten Studie des Branchenverbands Bitkom, nutzen neun von zehn deutschen Unternehmen mit mindestens 20 Mitarbeitern Cloud-Dienste. Gleichzeitig sehen 78 Prozent der befragten Führungskräfte und IT-Fachleute die enge Bindung an amerikanische Cloud-Anbieter kritisch. Der Wunsch nach leistungsstarken europäischen Alternativen ist daher groß – vorausgesetzt die gleichen Funktionen werden angeboten.

Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, hatte im August erklärt, der US-Cloud-Act sei eines von diversen Gesetzen in den USA, die dem Staat viele Zugriffsmöglichkeiten zubilligten. So etwas finde man auch in China. Die Antwort auf die Frage der Kontrolle sollte aber nicht politisch sein, sondern technologisch. "Es geht darum, sicherzustellen, dass ein Zugriff technisch nicht möglich ist", betont sie. Dabei gehe es insbesondere um Verschlüsselung und die Frage, ob der Nutzer die Hoheit über diese Schlüssel habe.

Sven Kummer, Gründer eines Software-Unternehmens für sicheren Newsletter-Versand aus Freiburg, sagt, es sei gut, dass versucht werde, die Nutzung großer US-Cloud-Dienstleister mit Sicherheitsmaßnahmen zu verknüpfen. Cloud-Dienstleister dieser Größenordnung auch in Europa zu haben, wäre "natürlich auch toll", sagt der Geschäftsführer von rapidmail. Und fügt bedauernd hinzu: "Das ist leider noch nicht der Fall."

Der Serverstandort wird immer wichtiger

Während früher kaum ein Kunde habe wissen wollen, wo die Server von rapidmail stehen, sei das seit einigen Monaten die Frage, die seine Kundendienst-Mitarbeiter am häufigsten beantworten müssten, berichtet Kummer. Die Antwort: In einem Rechenzentrum in Frankfurt am Main.

Für sein eigenes Unternehmen gelte: "Solange es irgendwie um Daten geht, die unseren Kunden gehören, dann hätte ich sie gerne so in Reichweite, dass ich auch wirklich mit Sicherheit unseren Kunden sagen kann: „Hey, hier haben wir unsere Hand drauf, sonst ist es niemand, und das bleibt auch so.“" Seine Kunden sind vor allem kleine und mittelständische Unternehmen, Vereine, Verbände oder auch Solo-Unternehmer. Sie erwarten von Kummer und seinem Team, dass ihre Newsletter gut aussehen, bei den Empfängern nicht im Spam-Ordner landen, dass alle Datenschutz-Regeln eingehalten werden und niemand Unbefugtes Zugriff auf sensible Daten hat – etwa auf die Empfängerlisten.

Einfach mal machen – in Deutschland schwierig

Seit 2021 gehört rapidmail zur deutsch-französischen Positive Group. Das Konzept, einfach einmal etwas auszuprobieren, zu gucken, ob es funktioniert und, wenn es nicht funktioniert, das Nächste auszuprobieren, sei in Deutschland wegen der vielen Regularien nicht umsetzbar, sagt Kummer. "Das ist in den USA oder in anderen Ländern einfach deutlich einfacher, einfach mal was zu probieren." Bürokratieabbau und der Zugang zu Wagniskapital wären aus seiner Sicht wichtig, damit Deutschland im internationalen Wettbewerb der Tech-Start-Ups aufholt – wichtiger als Förderung und riesige KI-Rechenzentren.