Der Datenverkehr von der EU in die USA ist stark ausgeprägt und nimmt stetig zu. Verantwortlich hierfür ist vor allem der generelle Trend hin zur Cloud, wobei die großen Anbieter in den USA sitzen. Die rechtliche Grundlage für diese Datentransfers musste wiederholt neu geschaffen werden, denn entsprechende Abkommen konnten bislang weder eine dauerhafte Lösung bieten noch die für EU-Unternehmen so dringend benötigte Rechtssicherheit bringen. Ein europäischer Ansatz wie das Projekt GAIA-X als Alternative zu den US-Hyperscalern brächte potenziell die Möglichkeit, dies zu ändern. Der Projektstart war mit großen und ehrgeizigen Zielen verbunden, gerade auch von der deutschen Bundesregierung als einer der Haupttreiber. Welche Rolle sollte GAIA-X aus ihrer Sicht zukommen?

GAIA-X: Wo geschürte Hoffnungen auf immense Aufgaben treffen

Das „vielleicht ambitionierteste Digitalprojekt dieses Jahrzehnts“ – so umschrieb Peter Altmaier, Bundesminister für Wirtschaft und Energie, einst GAIA-X. Dies befeuerte dann auch entsprechend große Erwartungen. Das Projekt GAIA-X soll eine zukunftsfeste Dateninfrastruktur in Europa und ein „digitales Ökosystem“ nach europäischen (Datenschutz-)Standards schaffen. Angesichts der gegenwärtigen Lage ist klar, dass GAIA-X nicht bloß Papiertiger sein darf und über bloßen politischen Aktionismus hinausgehen muss: Drängende rechtliche, aber auch wirtschaftliche Herausforderungen für europäische Unternehmen müssen wirksam und nachhaltig gelöst werden, gerade im Hinblick auf den Datenschutz gemäß DSGVO.


Mehr zu den Unterschieden zwischen der EU und den USA im Datenumgang und der rechtlichen Grundproblematik im Datentransfer für Unternehmen lesen Sie hier.

 

Wie hält‘s die Bundesregierung mit GAIA-X?

Wie also steht die deutsche Regierung zu dem Projekt? Im Schreiben des Bundesministeriums für Wirtschaft und Energie am 20. Oktober 2020 bezog sie Position zum Umsetzungsstand und zu offenen Fragen, welche die Oppositionspartei BÜNDNIS 90/DIE GRÜNEN im Rahmen einer kleinen Anfrage gestellt hatte. Als einer der Haupttreiber von GAIA-X kommt der deutschen Regierung und deren Wirken hier besondere Bedeutung zu.

Zusammengefasst bestätigte die Bundesregierung in ihrem Antwortschreiben:

  • GAIA-X soll als Teil einer europäischen Antwort für mehr Datensouveränität sorgen
  • Sie sieht GAIA-X als zukünftigen globalen Standard
  • GAIA-X wird von ihr zudem als Abhilfe zum EU-US Privacy Shield Urteil des Europäischen Gerichtshofs betrachtet, denn die EU-Anbieter würden als Alternative zu den US-Hyperscalern in Stellung gebracht


Die Bundesregierung führte dann jedoch an:

  • US-Firmen würden sich bei einer Teilnahme an GAIA-X auch an deren Regeln und Standards halten; unter diesem Gesichtspunkt befürwortet sie die Teilhabe von US-Unternehmen an dem Projekt
  • Die Einbindung von nicht-EU-Unternehmen sei zudem wichtig, damit GAIA-X skalieren könne



Der Optimismus für GAIA-X schwindet, denn der rechtliche Widerspruch bleibt

Die ersten drei Punkte spiegeln den Anspruch wider, der an das Projekt von Anfang an gestellt wurde, und bieten soweit keine Überraschungen. Ganz anders verhält es sich jedoch mit den letzten beiden Aussagen. Die Sichtweise der Bundesregierung widerspricht hier ganz entscheidend den europäischen Erfahrungen mit US-Unternehmen und deren Datenumgang und ist somit kaum mehr als Wunschdenken: Zusagen von US-Anbietern, sich an datenschutzrechtliche Vorgaben Europas zu halten? Gab es schon. Solche Abkommen (wie das Safe Harbour Agreement und der EU-US Privacy Shield) wurden aber vom EuGH gekippt, weil sie eben nicht hielten, was sie versprachen. Woraus bezieht die Bundesregierung also ihre Gewissheit, dass Zusagen von US-Anbietern zu europäischen (Datenschutz-)Vorschriften im Gegenzug zur Teilnahme an GAIA-X nun verlässlich und belastbar sind? Die Vergangenheit hat gezeigt, dass unberechtigte Zuversicht nicht belohnt wird. US-Unternehmen unterliegen in erster Linie der amerikanischen Gesetzgebung und werden dieser auch weiterhin Folge leisten – auch wenn dies im Zweifelsfall im Widerspruch zum europäischen Datenschutz steht.

Genau diese rechtliche Problematik zwischen der EU und den USA ist der Kern der Sache; und solange sie ungelöst bleibt, wird sich auch weiterhin alles um sie drehen. Bemerkenswert ist daher, dass die deutsche Bundesregierung sich dazu entschieden hat, diese Grundproblematik in ihrer Stellungnahme nicht anzusprechen – obwohl sie diesbezüglich in der kleinen Anfrage konkret um Antwort ersucht wurde. Auf der entscheidenden politischen Ebene scheint somit keine überzeugende und nachhaltige Interessenvertretung für den europäischen Datenschutz bei GAIA-X vorhanden zu sein.

Zudem: Es ist nicht gerade ein Vertrauensbeweis gegenüber der deutschen und europäischen IT-Branche, wenn die deutsche Regierung als einer der Haupttreiber von GAIA-X glaubt, für die Skalierbarkeit des Projekts auf nicht-EU-Unternehmen zurückgreifen zu müssen.

  • Welche Schlüsse lassen sich aus der Stellungnahme der Bundesregierung auf die weiterhin ungelöste Grundproblematik in Bezug auf den nicht DGSVO-konformen Datenumgang in den USA ziehen?
  • Lässt sich die ausgerufene Zielsetzung für GAIA-X, wie sie die Bundesregierung für das Projekt in ihrer Antwort erneut bekräftigte, bei einer Einbindung von US-Hyperscalern erfolgreich verwirklichen?

Mehr zu einer richtungsweisenden Entscheidung von Interessenvertretern aus der europäischen Wirtschaft, die im Verwaltungsrat von GAIA-X sitzen, erfahren Sie hier.

Über diesen Blog

Mit unserer Software Cryptshare ermöglichen wir es unseren Kunden vertrauliche E-Mails und Dateien beliebiger Größe, jederzeit, sicher und nachvollziehbar auszutauschen.

Auf unserem Blog schreiben wir über E-Mailverschlüsselung, Cyberkriminalität, Sicherheitslücken, Schadsoftware, Datenschutz uvm. Kurzum: Alles rund um Datensicherheit.

Folgen Sie uns