Die Organisation schlägt vor, dass die EU-Mitgliedstaaten entweder selbst in den Aufbau souveräner Suchinfrastrukturen investieren oder bestehende europäische Suchmaschinen als Standard in der öffentlichen Verwaltung einführen. Aktuell werde bereits an souveränen Suchindizes für Frankreich und Deutschland gearbeitet. Die Initiative betont, dass Suchmaschinen als strategische öffentliche Infrastruktur zu behandeln seien – vergleichbar mit Energie- oder Telekommunikationsnetzen.

Ich halte das für eine nutzlose Forderung. Es ist fraglich, ob neue Suchmaschinen in absehbarer Zeit mit der Qualität bestehender Angebote mithalten können, ohne enorme Summen zu investieren. Zugleich verändert Künstliche Intelligenz den Markt grundlegend.

Wer langfristig denkt, sollte an Lösungen für ein Web3 arbeiten, in dem es keinen zentralen Zugangspunkt für Suchanfragen gibt. Das wäre ein souveräner Ansatz. Alles andere wirkt wie Symbolpolitik.

Sovereignty is not about where a company is headquartered or where software was originally written. It is about whether you retain “freedom of action” over the technology you depend on, even if the vendor changes strategy, gets acquired, or disappears.

Der Artikel enthält viele zutreffende Überlegungen zum Thema Souveränität. Auch der vorgeschlagene Ansatz, Souveränität messbar zu machen, ist interessant.

Die Reichweite der US-Gesetze endet hier jedoch nicht. Die Jurisdiktion der Vereinigten Staaten kann laut dem Gutachten nicht nur europäische Tochtergesellschaften US-amerikanischer Unternehmen erfassen. Sie hat auch das Potenzial, rein europäische Unternehmen zu treffen, sofern diese relevante geschäftliche Verbindungen in die USA unterhalten. Damit wird die Gefahr eines indirekten oder direkten Datenzugriffs auf einen weiten Kreis von Unternehmen ausgedehnt, die im europäischen Binnenmarkt operieren.

Golem berichtet in »Bundesinnenministerium: Für US-Zugriff auf deutsche Firmen genügt US-Niederlassung« ebenfalls und etwas ausführlicher.

Zudem sollte dem Minister eigentlich auch aus wirtschaftlicher Sicht klar sein, dass die Milliardeninvestitionen Googles künftig kaum Steuern in die leeren Staatskassen spielen werden. Schließlich führt volkswirtschaftlich gesehen, die Nutzung digitaler Dienste von extraterritorialen Anbietern zu einem Außenhandelsbilanzdefizit, da die Wertschöpfung leicht aus Europa verschoben werden kann. Dass sie darin Meister sind, das haben Big Tech in der Vergangenheit bereits zur Genüge bewiesen.

Eine simple Antwort schlägt hohe Wellen: Microsoft kann nicht unter Eid garantieren, dass Daten von EU-Kunden bei einer Anfrage nicht an US-Behörden übertragen werden. Obwohl sich die Anhörung auf die französische UGAP bezog, sind die potenziellen Auswirkungen weitaus größer – US-Cloud-Anbieter versuchen aktuell, mit Souveränitätsversprechen um Vertrauen in der EU zu werben. Eine solche Aussage konterkariert diese jedoch augenscheinlich. Um diese einzuordnen, haben wir zwei Meinungen von Experten eingeholt.

Zwar seien die formulierten Sicherheitsanforderungen relativ gut und ausgewogen, räumt die Abgeordnete ein. „Das Problem ist ein Wirrwarr von Ausnahmeregeln und Intransparenz, insbesondere was den Staat selbst betrifft“. So dürften die meisten Bundesbehörden auf das Risikomanagement verzichten und seien anders als andere Akteure von Bußgeldern befreit. IT-Dienstleister der öffentlichen Hand seien zudem weitgehend ausgenommen, wodurch die IT-Sicherheit insgesamt unterwandert werde. Dass die Verwaltung von Bußgeldern befreit ist, ist üblich. Auch für Datenschutzverstöße müssen Behörden nicht zahlen.

Ach, das war mir wirklich nicht so bewusst. Klar, ich habe auch noch nie davon gehört, dass eine Verwaltung wegen Verstößen tatsächlich bestraft wurde, aber ich bin immer davon ausgegangen, dass es eher so ist, dass man sich untereinander nicht wirklich etwas tut, so nach dem Motto „eine Krähe hackt der anderen kein Auge aus“.

Während US-amerikanische Cloud-Anbieter den europäischen Markt weiterhin dominieren, können US-amerikanische Technologieunternehmen die Versprechen, die sie in Bezug auf die digitale Souveränität machen, nicht garantieren. Die US-Angebote mögen nun eine europäische Flagge auf dem Ärmel tragen, aber das Etikett der Souveränität ist nichts weiter als ein Etikett: Die Unternehmen, die diese so genannten “souveränen Clouds” anbieten, unterliegen weiterhin den Gesetzen und Überwachungsbefugnissen der USA - und das lässt sich nicht wegwaschen. Der CLOUD Act und FISA 702 gelten also weiterhin, auch wenn der Server in Frankfurt, Brüssel oder Paris steht.

Kantone wie Luzern, aber auch Bundes­behörden lassen sich von Microsoft noch immer vorgaukeln, dank vertraglichen Verpflichtungen die volle Kontrolle über den geografischen Speicherort ihrer Daten zu haben. Damit gemeint ist, dass alle Daten in Schweizer oder europäischen Microsoft-Zentren gespeichert sind und damit den Kontinent angeblich nicht verlassen.

Doch auch dieses Versprechen kann der Konzern nicht erfüllen, wie ein Blick nach Schottland zeigt: Dort haben vertiefte Abklärungen der schottischen Polizei ergeben, dass der IT-Konzern bei Microsoft 365 keine Daten­souveränität garantieren kann. Das heisst: Sind die Daten einmal in der Cloud von Microsoft, werden sie auf alle Rechen­zentren des Konzerns und auf alle Kontinente verteilt. Somit landen diese sicher auch auf US-Boden und können je nachdem der US-Jurisdiktion unterstellt werden.

Die neuen Vorgaben gelten aber nicht für alle Produkte. So sind den Angaben zufolge manche Waren wie Kopfhörer und Möbel ausgenommen. Ein genauer Rechtstext wird in der Regel einige Wochen nach Einigung der Unterhändler veröffentlicht. Das Parlament und die EU-Staaten müssen dem Kompromiss noch zustimmen. In den meisten Fällen ist das reine Formsache.