Krieg in der Ukraine. Digitale Souveränität in neuem Licht. – Februar 2022 im E-Government-Rückblick.

Mon, 28 Feb 2022 20:00:00 +0100

Am 24. Februar beginnt der russische Angriff auf die Ukraine. Was das für die europäische Sicherheitsarchitektur bedeutet, wird in diesen Tagen intensiv diskutiert. Was es für die digitale Infrastruktur der deutschen öffentlichen Verwaltung bedeutet, wird zunächst weniger laut besprochen. Zu Unrecht.

Die Frage, wer welche Daten öffentlicher Verwaltungen auf welchen Servern unter welchem Rechtsrahmen speichert, war vorher eine Compliance-Frage. Ab jetzt ist sie eine geopolitische.

Was der Ukraine-Krieg für die öffentliche IT-Infrastruktur bedeutet

Die meisten deutschen Bundesbehörden, Länder und Kommunen nutzen Cloud-Dienste oder Software von US-amerikanischen Anbietern: Microsoft 365, AWS, Google Workspace in unterschiedlichen Varianten. Das ist kein Vorwurf. Es sind oft die leistungsfähigsten und am besten unterstützten Lösungen auf dem Markt.

Das Problem ist struktureller Natur. Der CLOUD Act von 2018 erlaubt US-Behörden unter bestimmten Umständen den Zugriff auf Daten von US-Unternehmen, auch wenn diese in Europa gespeichert sind. Das war vorher ein Datenschutzproblem. Im Kontext eines geopolitischen Konflikts wird es zu einer Infrastrukturrisikofrage.

Was öffentliche IT-Verantwortliche jetzt tun können: Das ist nicht der Moment für einen sofortigen Microsoft-Ausstieg. Das wäre operativ nicht umsetzbar und würde mehr Schaden als Nutzen bringen. Der richtige Schritt ist eine ehrliche Inventur: Welche Systeme haben welche Abhängigkeiten? Welche Daten liegen wo? Welche Verträge enthalten Exit-Klauseln? Diese Inventur schafft die Grundlage für einen mittelfristigen Migrationsplan, der machbar ist, statt einen Sofortausstieg, der es nicht ist.

Was GAIA-X dazu beitragen kann und was nicht

GAIA-X ist die europäische Antwort auf US-Cloud-Dominanz. Oder zumindest soll es das sein. Das Konsortium aus europäischen Unternehmen, Forschungseinrichtungen und Behörden arbeitet an einem Framework für einen europäischen Datenraum, der europäisches Recht respektiert.

Das Problem: GAIA-X ist ein Framework, keine Cloud. Es definiert Standards und Zertifizierungsprozesse, betreibt aber keine Infrastruktur. Wer eine sichere Alternative zu AWS braucht, findet in GAIA-X keinen Anbieter, sondern eine Spezifikation, die europäische Anbieter erfüllen können, wenn sie wollen.

Das ist nicht wertlos. Ein gemeinsamer Standard, der europäische Datenschutzregeln operationalisiert und Herstellerabhängigkeiten dokumentiert, ist eine Grundlage für informiertere Beschaffungsentscheidungen. Aber er ist kein Schnellschuss-Ersatz für AWS und Azure.

Was hilft: Der Fokus auf konkrete Bundescloud-Alternativen, also Rechenzentrumkapazitäten, die unter deutschem oder europäischem Recht operieren und für Verwaltungsdaten geeignet sind. Die BWI und die Infrastrukturen von Dataport oder ITDZ Berlin zeigen, dass solche Alternativen existieren. Was fehlt, ist der politische Wille, sie systematisch zu skalieren.

Was das für die nächste Beschaffungsentscheidung bedeutet

Wer gerade eine IT-Beschaffung vorbereitet, sollte zwei Fragen ergänzen, die bisher optional waren.

Erstens: Unter welchem Rechtsrahmen operieren Daten, die in diesem System verarbeitet werden? DSGVO-Konformität allein reicht nicht mehr als Antwort. Der CLOUD Act und ähnliche Drittstaaten-Zugriffsgesetze sind ein eigenes Risikofeld.

Zweitens: Wie sieht der Exit-Plan aus? Nicht als theoretische Option, sondern als konkrete Beschreibung, wie Daten und Prozesse in ein anderes System überführt werden könnten, wenn nötig. Wer das heute nicht beschreiben kann, hat sich in eine Abhängigkeit manövriert, die nicht zwangsläufig teuer war, aber im Ernstfall teuer wird.

Diese Fragen jetzt zu stellen, ist kein Panikmodus. Es ist Infrastruktur-Hygiene, die aus guten Gründen jetzt auf der Agenda steht.

Hat Sie das Thema interessiert?

Wenn die Souveränitätsfrage für Ihre IT-Infrastruktur gerade konkret wird und Sie einen Austausch suchen, der nicht mit einem Produkt endet: Das Kontaktformular unten ist der schnellste Weg zu mir.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.

Drittstaaten-Zugriff on Dr. Christian Knebel

Krieg in der Ukraine. Digitale Souveränität in neuem Licht. – Februar 2022 im E-Government-Rückblick.

Was der Ukraine-Krieg für die öffentliche IT-Infrastruktur bedeutet

Was GAIA-X dazu beitragen kann und was nicht

Was das für die nächste Beschaffungsentscheidung bedeutet

Hat Sie das Thema interessiert?

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Was das Urteil konkret bedeutet

Was öffentliche IT-Verantwortliche jetzt tun sollten

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Hat Sie das Thema interessiert?