allvision - stock.adobe.com

Was digitale Souveränität definiert und wer auf sie setzt

Heinz-Joachim Schmitz und Benjamin Brake von IBM sprechen im Interview über die Bedeutung digitaler Souveränität und welche Initiativen erfolgsversprechend sind.

Spätestens seit Beginn des Projekts Gaia-X zeigen europäische Vertreter aus Wissenschaft, Politik und Wirtschaft ein großes Interesse an digitaler Souveränität. Dabei gehen sie davon aus, dass digitale Souveränität Europäern die Möglichkeit bietet, digitale Technologien selbstbestimmt nutzen zu können.

Allerdings ist das Projekt nicht unumstritten. Digitale Souveränität umfasst sowohl die individuelle Fähigkeit, mit digitalen Inhalten umgehen zu können als auch neue Rahmenbedingungen, um einen souveränen Umgang damit zu gewährleisten. In einer global vernetzten IT-Landschaft ist das nicht ohne weiteres umzusetzen. Zudem entsteht der Eindruck, dass sich europäische Unternehmen und Politiker von globalen Wettbewerbern abkapseln möchten.

Gleichzeitig engagieren sich US-Anbieter wie Microsoft, Amazon und IBM an der Ausgestaltung des Projekts. Für Benjamin Brake, Director Government and Regulatory Affairs bei IBM DACH, ist die Beteiligung von außereuropäischen Akteuren kein Widerspruch zu den Zielen von Gaia-X und ähnlichen Initiativen. Auch IBM hat laut seiner Aussage ein Interesse daran, Datenschutztransparenz zu schaffen und technologische Vorkehrungen zum Schutz von Kundendaten zu treffen.

Zusammen mit Heinz-Joachim Schmitz, IBM Chief Technology Officer für Deutschland, Österreich und die Schweiz, spricht er im Interview über die Bedeutung digitaler Souveränität, welche Initiativen aktuell erfolgsversprechend sind und warum IBM das Thema beschäftigt.

Was bedeutet digitale Souveränität?

Heinz-Joachim Schmitz: Nach meinem Wissen gibt es keine eineindeutige Definition des Begriffs. In einem Ideenpapier des European Parliamentary Research Service zum Thema Towards a more resilient EU wurde geschrieben, dass sich digitale Souveränität auf die Fähigkeit Europas, in der digitalen Welt unabhängig zu agieren bezieht, und sie sollte als Schutzmechanismus sowie offensives Instrument zur Förderung digitaler Innovation verstanden werden.

Um den Begriff zu erläutern oder sich einer Definition anzunähern, hilft vielleicht ein sprachlicher Vergleich. Die digitale Souveränität ist ähnlich einer Münze: auf der einen Seite findet sich die technische Souveränität, auf der anderen Seite der Münze die Datensouveränität. Bei der Datensouveränität ist vor allem wichtig, dass der Besitzer von Daten selbständig bestimmen kann, wer wann unter welchen Bedingungen was mit diesen Daten tun kann, dass diese Nutzung unter voller Transparenz nachvollzogen werden kann.

Welche Technologien betrifft digitale Souveränität?

Schmitz: Die wesentlichen betroffenen Technologien im Kontext der digitalen Souveränität sind aus meiner Sicht alle Technologien mit dem Schwerpunkt auf Datenschutz und Datensicherheit wie Confidential Computing, homomorphe Verschlüsselung oder Keep Your Own Key. Darüber hinaus sind es auch Technologien zum Bauen von hybriden Plattformen, die sich vom Backend des Kundenrechenzentrums über ein oder mehrere Public Clouds bis in die Edges erstrecken. Hierbei spielen Open-Source-Technologien eine entscheidende Rolle. Neben der technischen Souveränität sind auch prozedurale, wie organisatorische Aspekte zu berücksichtigen, die ineinandergreifen müssen, um die digitale Datensouveränität zu unterstützen.

Welchen Stellenwert hat digitale Souveränität für deutsche und europäische Unternehmen?

Benjamin Brake: Wir beobachten, dass die digitale Souveränität einen zunehmenden Stellenwert für europäische Unternehmen hat. Das ist eine gute Entwicklung. Je mehr Geschäftserfolg und Geschäftsmodelle von Daten abhängen, desto mehr achten Unternehmen darauf, mit vertrauenswürdigen Anbietern zusammenzuarbeiten, die ein Maximum an technischem Datenschutz bieten können und gleichzeitig glaubwürdig für die Anliegen ihrer Kunden einstehen. Dazu gehören neben technischem Datenschutz auch die Verpflichtung, die Daten von Kunden nicht für eigene Zwecke zu gebrauchen beziehungsweise zu kapitalisieren.

Mit Gaia-X soll eine für europäische Unternehmen vertrauenswürdige Dateninfrastruktur aufgebaut werden. Wie bewerten Sie die Initiative?

Schmitz: Gaia-X ist die übergeordnete europäische Initiative, an der Verbände wie die Bitkom, ECO, IDSA, wie auch BMWi, Fraunhofer neben vielen deutschen, europäischen, weltweiten Unternehmen beteiligt sind. GAIA-X ist als eine dezentrale Dateninfrastruktur angelegt, die die Zusammenarbeit zwischen europäischen Ländern und Cloud-Unternehmen in einem föderierten Cloud-System in den Mittelpunkt stellt. Damit soll Unternehmen ermöglicht werden, die Vorteile des Cloud Computing zu nutzen und mit vertrauenswürdigen Partnern zusammenzuarbeiten, ohne an feste Anbieter gebunden zu sein. Aus meiner Sicht ist die Zeit gekommen, dass Gaia-X mit konkreten Implementierungen von Use Cases die Machbarkeit unterstreichen muss.

Wie beteiligt sich IBM als US-Technologieanbieter an dem europäischen Projekt?

Brake: IBM hat sich seit den ersten Projektskizzen zu GAIA-X an den Diskussionen beteiligt. Wir sehen uns mit unserer über 100-jährigen europäischen Geschichte als einen natürlichen Partner europäischer digitaler Souveränität. Deshalb sind wir auch Gründungsmitglied der Gaia-X Association AISBL und teilen die Ziele in Bezug auf Verantwortung, Sicherheit und Datenschutz sowie Interoperabilität, Portabilität und die Förderung von offenen Standards und Umgebungen.

Benjamin Brake, IBM

„Wir beobachten, dass die digitale Souveränität einen zunehmenden Stellenwert für europäische Unternehmen hat – und das ist eine gute Entwicklung.“

Benjamin Brake, IBM

GAIA-X ist dabei aber auch nur ein Projekt unter vielen, wenn auch momentan dasjenige mit der meisten Aufmerksamkeit. IBM beteiligt sich aber schon seit Jahren an EU-Initiativen, unter anderem am EU Cloud Code of Conduct und oder der Charter of Trust, um zum Vertrauensaufbau in digitale Lösungen beizutragen.

Welche weiteren europäischen Initiativen gibt es neben Gaia-X, die eine digitale Souveränität schaffen sollen?

Brake: Neben den bereits erwähnten Initiativen sehen wir vermehrt klassische Gesetzgebung, die die Stärkung der digitalen Souveränität in den Mittelpunkt rückt. Hervorzuheben sind der Digital Services Act und Digital Markets Act sowie der Data Governance Act, die darauf abzielen, fairen Wettbewerb digitaler Geschäftsmodelle und Transparenz zu fördern und das Ungleichgewicht zwischen multinationalen Plattformunternehmen und innovativen europäischen Firmen zu beenden. Diese Anstrengungen werden von uns unterstützt.

Das Catena-X Automotive Network richtet sich an deutsche und europäische Automobilbauer und Technologieanbieter. Können Sie uns das Projekt erläutern?

Schmitz: Das Catena-X Automotive Network verfolgt die Vision eines durchgängigen Datenaustauschs für alle Teilnehmer der automobilen Wertschöpfungskette, um den effizienten und sicheren Austausch von Informationen zwischen Unternehmen der Automobilindustrie zu schaffen. Kernprozesse der Automobilindustrie sollen so nachhaltig verbessert und Innovationen vorangetrieben werden. Die Initiative Catena-X fokussiert im ersten Schritt erstmal den deutschen Markt und Zielgruppe sind in erster Linie Unternehmen aus der Automobil- und Zulieferindustrie. Wir denken, das Catena-X das Potenzial hat, eine Art Treiber und Hebel für Gaia-X zu sein.

Heinz-Joachim Schmitz, IBM

„Die wesentlichen betroffenen Technologien im Kontext der digitalen Souveränität sind aus meiner Sicht alle Technologien mit dem Schwerpunkt auf Datenschutz und Datensicherheit.“

Heinz-Joachim Schmitz, IBM

Beteiligt sich IBM an Catena-X oder plant dies?

Schmitz: Wir beobachten den Fortschritt von Catena-X genau und schließen eine mögliche Mitgliedschaft nicht aus.

Was verbirgt sich hinter dem EU Cloud Code of Conduct und wie ist IBM involviert?

Brake: IBM war eine treibende Kraft bei der Entwicklung des EU-Datenschutz-Verhaltenskodex für Cloud-Service-Anbieter und war 2017 der erste Cloud-Anbieter, der diesem Kodex beigetreten ist. Der Kodex umfasst strenge Zusicherungen, einschließlich der GDPR-Compliance-Maßnahmen, zum Schutz von Daten im Rahmen von Cloud-Diensten und wurde von der federführenden Datenschutzbehörde anerkannt. IBM bekennt sich zu europäischen Werten, hält sich an EU-Vorschriften und höchste Sicherheitsstandards.

Widerspricht die Beteiligung von US-Unternehmen wie IBM nicht der Idee dieser Initiativen?

Brake: Das ist nicht notwendigerweise ein Widerspruch, zumindest wenn es um IBM geht. Wenn man sich verschiedene Cloud-Anbieter ansieht, deren Policies und Strategien klare Datenschutztransparenz, technologische Vorkehrungen zum Schutz der Kundendaten, wie zum Beispiel Crypto Hyperprotect und Keep-Your-Own-Key, beinhalten und die in den Landesgesellschaften lokal die europäische Werte vorleben. Eine einfache schwarz-weiß Betrachtung der Datenlokalsierung als Leitprinzip ist zu hinterfragen – wir gehen eher mit der Forderung in die Debatte: Chose values over geography.

Erfahren Sie mehr über Datenverwaltung