Herr über die eigenen Daten

Mit Edward Snowden rückten Begriffe wie Datensouveränität und digitale Souveränität in den Fokus der Öffentlichkeit. Im Jahr 2013 enthüllte der Ex-Mitarbeiter des US-Geheimdienstes NSA die enge Zusammenarbeit von Technologieriesen wie Amazon, Apple, Facebook, Google oder Microsoft mit den Überwachungsbehörden. Der Whistleblower konnte beweisen, dass die NSA mit ihrem Internet-Spionagesystem Prism Hunderte Millionen Menschen in den USA und rund um den Globus überwachte – ohne Genehmigung und ohne Anlass. Die NSA erhielt damit umfassenden Zugriff auf die Daten von Privatpersonen: E-Mails, Chats, Fotos, Videos, gespeicherte und übertragene Daten, Video­konferenzen. Es handelte sich um einen massiven Eingriff der US-Regierung in die Privatsphäre und die Grundrechte aller Menschen und in die Freiheit des Internets.

Als Reaktion darauf entstand der Ruf nach Datensouveränität und dem Recht, selbstbestimmt entscheiden zu können, was mit den eigenen Daten geschieht. Ergebnisse sind etwa die Datenschutz-Grundverordnung (DSGVO) von 2016 und die Reform des IT-Sicherheitsgesetzes in Deutschland von 2021. Letztere hat zum Ziel, die Kontrolle über kritische Infrastrukturen nicht an fremde Staaten abzugeben.

Das grundsätzliche Problem dabei ist, dass die Digitalisierung zu einem rasanten Wachstum der verarbeiteten und ausgewerteten Daten geführt hat. Für den Einzelnen ist es kaum oder gar nicht mehr nachvollziehbar, wo und von wem die eigenen Daten genutzt werden. Das schränkt die selbstbestimmte Kontrolle darüber stark ein. Hinzu kommt die Konzentration auf die Plattformen der großen US-Tech-Konzerne, die Märkte und Services dominieren und so die Wahlfreiheit bei der Nutzung digitaler Dienste einschränken. „Mit nur wenig Übertreibung lässt sich von einem digital gestützten Kolonialismus sprechen“, heißt es dazu in einem Positionspapier des Bayerischen Forschungsinstituts für Digitale Transformation (bidt). Aufgabe der Politik sei es, durch politischen Einfluss und Schaffung geeigneter rechtlicher Rahmenbedingungen für die digitalisierte Welt der Monopolbildung entgegenzutreten und Konkurrenz zuzulassen.

Eine allseits akzeptierte Definition von digitaler Souveränität oder Datensouveränität gibt es nicht. „Datensouveränität ist eine Untermenge von digitaler Souveränität. Wenn ich nicht digital souverän bin, kann ich auch nicht datensouverän sein. Souveränität bedeutet Entscheidungsmacht und ist das Gegenteil von Fremdbestimmung“, erklärt beispielsweise David Schönwerth, Referent für Data Economy beim Digitalverband Bitkom.

Digitale Souveränität ist ihm zufolge die Möglichkeit, im digitalen Raum unabhängig und selbstbestimmt handeln und entscheiden zu können sowie frei zwischen unterschiedlichen Anbietern, Services und Plattformen wählen zu können. Für ihn verfügt ein Staat über digitale Souveränität, wenn er über den Einsatz digitaler Technologien auf seinem Staatsgebiet frei entscheiden kann und nicht ungewollt von anderen Staaten oder ausländischen Konzernen abhängig ist. Es geht Schönwerth um Wahlfreiheit für Infrastrukturen und Plattformen von europäischen Anbietern und vertrauenswürdigen Partnern.

„Digitale Souveränität ist aber nicht mit digitaler Autarkie zu verwechseln. Es geht also nicht darum, alle digitalen Technologien in Deutschland oder Europa komplett selbst zu entwickeln oder außereuropäische Hersteller oder Komponenten auszuschließen. Wettbewerb ist hier unverzichtbar. Ziel ist es, hierzulande und in Europa innovative und konkurrenzfähige Produkte und Technologien zu entwickeln, um, wo nötig, die Abhängigkeit zu minimieren. Es sollte immer möglich sein, mit vertrauenswürdigen Partnern zusammenzuarbeiten und auch deren Produkte zu nutzen“, so David Schönwerth.

Auch Matthias Zacher, Senior Consulting Manager bei IDC, sieht digitale Souveränität als eher politisch gelagerten Begriff auf Staatsebene und Datensouveränität als Teilmenge davon: „Datensouveränität bezieht sich mehr auf Unternehmen und einzelne Personen und meint die selbstbestimmte Kontrolle über die eigenen Daten sowie deren Erhebung, Speicherung, Nutzung und Verarbeitung. Datenschutz hingegen konzentriert sich ausschließlich auf den Schutz personenbezogener Daten.“

Petra Gehring ist Professorin für Philosophie an der TU Darmstadt. Im Interview mit com! professional erklärt sie, warum digitale Souveränität und Datensouveränität heute so wichtig sind und warum Staat und Bürger hier eine aktive Rolle einnehmen sollten.

• 

   

  Petra Gehring Professorin für Philosophie an der TU Darmstadt

  Quelle:

  Alexander Veijnovic

Petra Gehring: Souveränität ist ja grundsätzlich ein Begriff aus der politischen Philosophie. Zudem habe ich mich in meiner Zeit als Vizepräsidentin der TU Darmstadt viel mit Digitalisierung und Medienwandel befasst, fungierte als eine Art CIO und war auch für unser Rechenzentrum verantwortlich. Aktuell bin ich Vorsitzende des Rats für Informationsstrukturen der Gemeinsamen Wissenschaftskonferenz (GWK). Der Rat berät als Sachverständigengremium Politik und Wissenschaft in strategischen Zukunftsfragen der digitalen Wissenschaft.

Gehring: Der Begriff ist eher ein Leitmotiv als ein präzise definierter Terminus. Er zielt darauf, den Umgang mit eigenen Daten als Sache von Gestaltungsmacht zu begreifen, im Sinne einer „Freiheit zu …“ statt einer bloßen Gefahrenabwehr. Auch Bürgerinnen und Bürgern muss es wichtig sein, Daten (einschließlich der „eige­nen“ Daten und der Daten, die man über uns gewinnt) als Ressource zu begreifen, aus denen stets jemand etwas macht, zumeist sogar eine ganze Masse von Profiteuren. Will man selbst in einem solchen Umfeld souverän sein, muss man aktiv etwas tun – sei es als Individuum, sei es als Unternehmen.

Die Alternative zwischen Geschütztwerden oder Datenweggabe (nach Klickzustimmung zu fertigen Vor­gaben) zwingt dem Dateninhaber eine passive Rolle auf. Auf diese Doppelzumutung von (verbotsartigem) Datenschutz oder aber ohnmächtigem Einwilligenmüssen in Datenweggabe reagiert die Forderung nach einer souveräneren Position.

Gehring: Es geht zunächst darum, dass der Nutzer wissen muss, welche Daten erhoben werden und welche Daten von Dienstleistern genutzt oder weitergegeben werden, Stichwort Transparenz. Die Anwender oder Unternehmen müssen zudem die Schnittstellen kontrollieren können, an denen Daten abfließen. Sie entscheiden aktiv, welche Daten sie weitergeben wollen, und konfigurieren die genutzten Systeme. Eine Option sind hier Personal-Information-Management-Systeme (PIMS), Programme, die in einer Art Einwilligungsmanagement regeln, unter welchen Bedingungen ich persönliche Daten weitergebe. Hier ist es auch möglich, Geld für die Weitergabe von Daten zu verlangen.

Gehring: Datensouveränität und digitale Souveränität gleichen zwei Scheinwerfern, deren Lichtkegel sich überschneiden, sprich es gibt Übergänge zwischen den beiden Begriffen und Bereichen. Während Datensouveränität eher die individuelle oder Unternehmensebene betrifft, ist digitale Souveränität eher zwischenstaatlich oder von Märkten her gedacht. Digitale Souveränität meint den Rückbau der Abhängigkeit der europäischen Wirtschaft von dominierenden US-amerikanischen und chinesischen Marktakteuren, die uns Preise diktieren können, vor allem aber über die Ausgestaltung von Software und digitalen Bauteilen entscheiden. Wenn europäische Firmen zu stark von diesen Anbietern abhängig sind, kommt es zu einem Vendor-Lock-in und damit weniger Wahlfreiheit. Da fehlt dann Souveränität.

Gehring: Weil man Freiheit zurückgewinnen will. Europäische Firmen sollten nicht abhängig etwa von Cloud-Anbietern sein, die sie wegen der Datenschutz-Grundverordnung eigentlich verlassen müssten. Datensouveränität erinnert daran, dass Datenschutz ursprünglich einmal als informationelle Selbstbestimmung konzipiert war und nicht bloß als Sache einer Genehmigungsbürokratie. Zudem sind digitale Geschäftsmodelle ein Problem, die unauffällig (oder auch illegal) abgegriffene Datenspuren der Kunden in großem Stil fast unkontrollierbar verwerten.

Gehring: Es ist wichtig, auf europäische Anbieter zu setzen und gegebenenfalls auch umzusteigen. Ebenso sollte man längerfristig denken: Wie nachhaltig ist welches Modul meiner Unternehmens-IT? Wie stabil sind im Moment günstige Preismodelle? Und: Habe ich als Kunde Einfluss? Kann ich einzeln überhaupt verhandeln mit dem Gegenüber? Habe ich die Möglichkeit, jemanden persönlich zu kontaktieren? Bei großen Anbietern ist das nur schwer möglich. Zudem gilt: Je integrierter Lösungen sind, desto abhängiger ist man von Angeboten.

Als Ausweg gilt auch Open Source. Man sollte Open Source nicht zum Zauberwort überhöhen, aber die Vorteile prüfen. Es handelt sich hier um offene Programme, die von einer Community gepflegt und im permanenten Austausch weiterentwickelt werden. Schicke Nutzerschnittstellen sind nicht alles. Hinter Open Source steht auch die Grundvorstellung, dass Software unabhängig davon verfügbar bleibt, ob eine Firma noch existiert oder aufgekauft wird.

Gehring: Eine große, weil sie im Moment oft fehlt. Die EU bereitet daher wichtige Legislationen zur Möglichkeit des Umzugs von Daten und damit des Wechsels von Cloud-Anbietern vor. Stichworte sind etwa Gesetze wie Data Governance Act, Digital Services Act oder Digital Markets Act. Probleme entstehen bei sehr großen Datenmengen. Hier gibt es meist keine innereuropäischen Lösungen. Natürlich speichern die meisten Cloud-Anbieter die Daten ihrer EU-Kunden in europäischen Rechenzentren, um Vertrauen zu schaffen. Der physische Speicher in der EU allein ist aber nicht entscheidend. Die Frage ist: Reicht das US-Recht in Unternehmen hinein? Microsoft Teams und andere Produkte von US-amerikanischen Cloud-Anbietern sind im Prinzip nicht datenschutzkonform, da die Anbieter bei Bedarf wohl Daten an die US-Behörden weiterleiten müssen.

Gehring: Die Datenschutz-Grundverordnung und das IT-Sicherheits­gesetz schaffen wichtige Stücke eines „europäischen Wegs“ für den digitalen Wandel. Vielleicht kann man sagen, dass Datensouveränität nun der Gesichtspunkt sein sollte, unter welchem man diese Regelungen im Detail interpretiert und vielleicht auch hier und da behutsam weiterentwickelt.

Gehring: Als Erstes müssen möglichst viele der Beteiligten, und das sind letztlich wir alle, den Kopf aus dem Sand holen. Damit meine ich, sie sollten sich tatsächlich mit diesem anstrengenden Thema beschäftigen. Wir müssen uns verabschieden vom harmonischen Bild, dass sich die Dinge wie gewünscht fügen. In digitalen Räumen geht es nicht entspannt zu, vielmehr herrschen krasse Verteilungskämpfe. Netz­anarchie stärkt die Starken, die Rücksichtslosen, die Lauten.

Der Staat muss sich hier als Wächter verhalten – im Interesse der Bürgerinnen und Bürger wie auch des Marktes. Fairness und eine Gleichheit der Randbedingungen aller müssen aktiv gesichert werden. Die Bürgerinnen und Bürger müssten allerdings auch selbst mehr tun können: durchsetzbare Schadensersatzansprüche bei Trickgeschäften, Datenmissbrauch, Urheberrechtsverstößen und Tracking wären toll. Für elementare Prozesse muss es außerdem stets analoge Alterna­tiven geben.

Gehring: Digitalität ist inter-, ja transnational. Das macht es schwer, rechtsstaatlich Wünschbares durchzusetzen. Es wird wohl kein global gleiches Recht geben. Globale Durchlässigkeit und Interoperabilität wären aber auch zwischen heterogenen Systemen möglich, wenn das gewollt wäre. Hier braucht es klare Spielregeln für Protokolle zum Datenaustausch zwischen Systemen. Zudem lernen wir gerade, dass digitale Infrastrukturen in einer Kriegssituation höchst verletzlich und damit kritisch sind.

Gehring: Im Projekt GAIA-X steckt Mut drin und es ist spannend aufgesetzt. Es geht nicht allein um eine europäische Cloud, sondern um basale infrastrukturelle Regelwerke, auf denen digitale Unternehmensprozesse laufen, die bestimmten Sicherheitsanforderungen der EU entsprechen. Über Prinzipien wie Dezentralität, digitale Souveränität oder Open Source entsteht ein Cluster von Qualitätsmerkmalen für Datenräume. Diese Datenräume haben domänenspezifische Ausprägungen wie etwa Hubs für Medizindaten, Finanzdaten oder Mobilitätsdaten, die auch spezifischen rechtlichen Anforderungen unterliegen. Cloud-Services gehören dazu.

Ich persönlich hoffe, dass der Schwung der an GAIA-X Beteiligten trotz Nörgelei in der Presse und nachlassendem Interesse der Politik dennoch nicht erlahmt. Es laufen Projekte, nutzbare Angebote kommen eventuell noch dieses oder nächstes Jahr.

Für Sven L. Roth, Head of Business & Technology Solutions bei Capgemini in Deutschland, geht es bei Datensouveränität um Selbstbestimmung sowie die Hoheit über die eigenen Daten, bei digitaler Souveränität darum, die Abhängigkeit von marktbestimmenden Informationstechniken und Software-Anbietern zu minimieren und größtmögliche Vielfalt und Innovation zu fördern. Als Beispiel nennt er die öffentliche Verwaltung, die jährlich zahlreiche Fördergelder, Aufträge und Beschaffungen verteilt.

„Dafür werden Daten erhoben und ausgewertet, die oftmals bei Erfüllung oder Abschluss in die Hände des Auftragnehmers übergehen. Um die Datensouveränität der Verwaltung zu stärken, gibt es verschiedene Ansätze, in den zugrundeliegenden Verfahren einen Teil zur Datensouveränität einzuarbeiten und so die Bereitstellung der erhobenen Daten an den Auftraggeber sicherzustellen. Als Ergebnis können Organisationen über die erhobenen Daten selbstbestimmt verfügen und diese für die Entscheidungsfindung nutzen“, erklärt Sven L. Roth.

Die Themen digitale Souveränität und Datensouveränität werden hierzulande als sehr wichtig wahrgenommen. Das zeigen Umfragen von Cisco und IDC. Im Juli 2022 hat Civey im Auftrag von Cis­co 2500 Bundesbürger und Bundesbürgerinnen zu ihrer Einschätzung rund um die Digitalstrategie der Bundesregierung befragt. Ein zentrales Ergebnis: Für 65 Prozent der Befragten ist es essenziell, dass Deutschland in Bezug auf die Digitalisierung maximale Handlungsfreiheit hat, sprich digitale Souveränität besitzt. Nur 10 Prozent finden das unwichtig. Von den Personen, denen digitale Souveränität wichtig ist, sagen fast ein Drittel, dass diese am besten durch die Ausbildung von IT-Fachkräften (29 Prozent) gewährleistet werden kann. Deutschland solle daher mehr Anstrengungen im Bereich Software (22 Prozent) und Hardware (10 Prozent) unternehmen. Gleichzeitig ist es 9 Prozent sehr wichtig, dass bei der Nutzung von IT-Lösungen auf verlässliche Partner/Staaten geachtet wird. Die oft diskutierten Open-Source-Lösungen sehen nur 6 Prozent der Befragten als wichtigen Hebel.

Beim Thema Videokonferenzen spielt für die Deutschen vor allem die Praktikabilität eine größere Rolle. Der wichtigste Aspekt ist eine stabile Ton- und Videoübertragung (37 Prozent). Erstaunlich: Wo die Daten gespeichert werden, hat für die Deutschen nicht die höchste Priorität, solange Verschlüsselung und Datenschutz gesichert sind. Nur für 2 Prozent ist es ein wichtiges Kriterium, dass ihre Videokonferenzdaten in der EU gespeichert werden.

Die Marktforscher von IDC haben für ihre Studie „Data Center in Deutschland 2022“ 150 Unternehmen mit mehr als 500 Mitarbeitern zum Thema Data-Center im Umbruch befragt. Neben Fragen zu aktuellen Herausforderungen im Rechenzentrum, Nachhaltigkeit oder dem Einsatz von internen und externen IT-Ressourcen ging es auch um das Thema Datenhoheit oder Datensouveränität. Ergebnis: Für 34 Prozent der Firmen ist es strategisch sehr wichtig oder wichtig, Datensouveränität zu erreichen. Und 56 Prozent sind gerade dabei, ihre Datensouveränität mit operativen Maßnahmen zu verbessern. Nur 10 Prozent beschäftigen sich überhaupt nicht mit dem Thema.

Doch was können Unternehmen konkret tun, um Datensouveränität zu erreichen? Wie müssen sie ihre Daten- oder IT-Strategie zu diesem Zweck gestalten? Für David Schönwerth vom Bitkom gibt es darauf keine pauschale Antwort: „Es kommt immer darauf an, welches Level an Souveränität ich als Unternehmen erreichen will, etwa welche Art von Daten ich verarbeite, welchen Vertragswerken ich unterliege oder welche Daten ich bereit bin, nach außen zu geben.“ Zudem stelle sich etwa die Frage: In welchen Märkten bin ich aktiv? Ein global tätiges Unternehmen wolle wohl eher eine weltweite Dateninfrastruktur aufbauen, so Schönwerth.

Sei der eigene Bedarf ermittelt, müssten Firmen entscheiden, was sie selbst entwickeln und was sie einkaufen. Was kostet das? Welche Kontrolle möchte ich? „Bei einer Buy-Entscheidung geht es dann darum, vertrauenswürdige Partner zu finden, in Europa oder darüber hinaus. Dafür benötigen Firmen zunächst ein Framework für die Beurteilung ihrer Partner und deren Leistungen. Welcher Anbieter trifft meine Anforderungen am besten? Firmen könnten bei der Auswahl etwa darauf achten, dass heute oder in Zukunft benötigte Schnittstellen zwischen potenziell relevanten Anbietern vorhanden sind“, erklärt David Schönwerth.

Matthias Zacher von IDC nennt drei wichtige Elemente für Unternehmen, um Datensouveränität zu erreichen: Prozesse, Technologien und Mitarbeiter. Firmen sollten demnach ihre Prozesse und die darin verarbeiteten Daten analysieren, um möglichst umfassende Transparenz über ihre Daten zu erhalten. „Nur wenn bekannt ist, welche Daten, wo, wann und von wem verarbeitet werden, gelingen ein selbstbestimmter Umgang und eine aktive Einflussnahme. Zudem ist es wichtig, die Daten zu klassifizieren. Welche Daten haben welchen Wert für unser Unternehmen? Wie gehen wir mit den Daten um? Wer ist als Daten-Owner für die jeweiligen Daten verantwortlich?“, so Matthias Zacher.

Firmen sollten zudem Technologien einsetzen, um Transparenz über die Standorte der Datenspeicher zu erhalten, Daten zum besseren Schutz verschlüsseln oder Lösungen installieren, die verhindern, dass Daten (unbemerkt) aus dem Unternehmen abfließen. Doch die besten Technologien seien sinnlos, wenn die Daten-Owner und Mitarbeiter als Datennutzer nicht für die Thematik sensibilisiert würden und keine persönliche Datenkompetenz besäßen. Dafür sind laut Zacher regelmäßige Schulungen rund um Datensouveränität und Compliance notwendig.

Schließlich müssen Firmen auch gesetzliche Rahmenbedingungen wie die DSGVO, das IT-Sicherheitsgesetz oder auch branchenspezifische Anforderungen oder Regularien einhalten. Beispiele sind etwa Banken, das Gesundheitswesen oder Energieversorger und andere Unternehmen aus kritischen Infrastrukturen (KRITIS), für die strengere Vorgaben für das Speichern und Verarbeiten von Daten gelten. „Man muss das alles zusammen ganzheitlich betrachten. Wenn sich Vorgaben oder Modalitäten ändern, müssen Firmen reagieren“, resümiert Matthias Zacher.

Auch Christoph Herrnkind, Sprecher des Cloud-Anbieters WIIT in Deutschland, sieht die DSGVO als Mittel, um die Einhaltung des Datenschutzes als wichtigen Bestandteil der Datensouveränität zu erreichen. Unternehmen sollten sich seiner Meinung nach mit Tools ausstatten, die die Komplexität bei der Einhaltung von Datenschutz und Sicherheit automatisch bewältigen können.

Unternehmen rät er, bereits bei der Gestaltung ihrer Produkte und Dienstleistungen die Grundsätze des „Privacy by Design“ und des „Privacy by Default“ einzubeziehen. „Privacy by Design stellt sicher, dass sie alle für den Datenschutz und die Datensicherheit relevanten Punkte bereits in der Designphase eines Systems, Services, Produkts oder Prozesses und dann während des gesamten Lebenszyklus berücksichtigen“, so Christoph Herrnkind. „Privacy by Default verlangt von den Unternehmen, dass sie nur die Daten verarbeiten, die zur Erreichung eines spezifischen Zwecks erforderlich sind. Das Prinzip steht in Verbindung mit den grundlegenden Datenschutzprinzipien der Datensparsamkeit und der Zweckbindung.“

Eine zentrale Rolle spielen digitale Souveränität und Datensouveränität beim Thema Cloud-Computing. Viele Unternehmen haben einen hohen Anspruch an den Umgang mit Daten. Der derzeitige Markt wird allerdings hauptsächlich von nicht europäischen Cloud-Anbietern dominiert. Dadurch steigt das Risiko der Abhängigkeit. Doch es gibt eine Gegenbewegung.

Die IT-Trends-Studie 2022 von Capgemini zeigt, dass Unternehmen zunehmend auf Clouds von europäischen Anbietern setzen. Mehr als drei Viertel der Befragten wollen die Cloud-Kapazitäten bei europäischen Anbietern ausbauen – bei außereuropäischen sind es nur 35,6 Prozent. „Datensouveränität spielt dabei eine ganz zentrale Rolle, sie ist für Unternehmen der zweitwichtigste Beweggrund, ihre Cloud-Kapazitäten aufzustocken, nach der Erhöhung der IT-Kapazitäten insgesamt“, kommentiert Sven L. Roth das Ergebnis.

Abhilfe schaffen soll hier GAIA-X (siehe Kasten links) durch eine sichere, vertrauenswürdige und vernetzte europäische Dateninfrastruktur mit dem Ziel, die digitale Souveränität der Nutzer zu stärken und die Abhängigkeit der europäischen Wirtschaft von Amazon, Google & Co. zu reduzieren. Offene Schnittstellen und gemeinsame Kataloge oder Labels sollen dabei den Datenaustausch zwischen verschiedenen Datenräumen fördern.

„Allerdings gibt es bisher erst wenige konkrete Anwendungsmöglichkeiten, abgesehen von der Spezifizierung der gemeinsamen Dateninfrastruktur und einigen Leuchtturmprojekten. Das Interesse der Wirtschaft ist deshalb derzeit noch verhalten“, bewertet Sven L. Roth die bisherige Entwicklung von GAIA-X. Der IT-Trends-Studie von Capgemini zufolge ist die Erwartung der Teilnehmer, dass durch GAIA-X offene Standards für Datenhoheit, Transparenz und eine vertrauenswürdige Infrastruktur für den Datenaustausch etabliert werden.

Matthias Zacher von IDC lobt vor allem die dezentrale Architektur und Organisation von GAIA-X und die Abkehr von der ursprünglichen Vision einer zentralen europäischen Cloud hin zu interoperablen Datenräumen für bestimmte Sektoren oder Szenarien: „Damit kommen auch kleinere Rechenzentren zum Zuge, wenn sie Standards einhalten. Es gibt keine Konzentration auf wenige führende Anbieter. Allerdings sind auch die großen Hyperscaler an GAIA-X beteiligt. Das ist mit Blick auf den europäischen Rechtsraum und die Marktmacht einiger Player nicht unproblematisch. Es besteht das Risiko, dass sie GAIA-X zum Ausbau der eigenen Position nutzen.“

Auch er findet den Status quo der Umsetzung von GAIA-X bedenklich. „Das dauert alles zu lange. Die Abstimmung zwischen den vielen Akteuren aus Firmen und Organisationen und viele Projektberichte und Anträge für staatliche Fördergelder behindern eine zügige Umsetzung. Ketzerisch gesagt: Mit jedem Tag, der verstreicht, sinkt meine Zuversicht. Andererseits zeigen Anwender­unternehmen großes Interesse“, so Matthias Zacher.

Letzteres bestätigt eine Studie des Bitkom zu GAIA-X. Fast die Hälfte (46 Prozent) der 604 befragten Unternehmen ab 20 Beschäftigten sind demnach an der Nutzung von GAIA-X-konformen Diensten interessiert. Dabei haben 14 Prozent den Einsatz bereits fest geplant, 32 Prozent können sich das vorstellen. Andererseits ist in 43 Prozent der Unternehmen GAIA-X derzeit kein Thema, der Rest hat sich noch keine Meinung gebildet.

Die drei mit Abstand wichtigsten Kriterien für eine Nutzung von GAIA-X-konformen Diensten sind in den Unternehmen Compliance und Rechtssicherheit im Datenschutz, hohe Standards für IT-Sicherheit und ein souveräner und vertrauensvoller Datenaustausch. Es besteht also noch Hoffnung auf Datensouveränität nach europäischer Art.