Warum digitale Souveränität Aufgabe des Staates ist
Christian Laux ist Rechtsanwalt bei der Kanzlei Laux Lawyers und Vizepräsident der Swiss Data Alliance. Im Interview erklärt er, warum digitale Souveränität die Aufgabe des Staates ist und weshalb die "Swiss Cloud" noch immer eine Chance hat.
Was verstehen Sie unter digitaler Souveränität?
Christian Laux: Souveränität ist ein Begriff, der sich herausgebildet hat, um Kompetenzen und die Handlungsfähigkeit von Staaten zu beschreiben. Das Begriffsverständnis der Swiss Data Alliance verortet den Begriff der digitalen Souveränität somit auf der staatlichen Ebene. Das zeigt namentlich auch das Begriffspapier zur digitalen Souveränität, das die Swiss Data Alliance im Sommer 2022 publiziert hat. Es geht somit darum, die Handlungsfähigkeit von Staaten zu beschreiben: Kann der Staat sich und seine Bevölkerung vor unliebsamen äusseren Einflüssen mit Wirkung auf den digitalisierten und vernetzten Alltag (Wirtschaft, Privatleben) schützen? Wenn ihm dies gelingt, so wie er sich das vorgenommen hat, beziehungsweise wie er es seiner Bevölkerung versprochen hat, ist der Staat digital souverän.
Und was bedeutet Souveränität von privaten Personen und Unternehmen?
Die Swiss Data Alliance verwendet für die private Perspektive den Begriff der "digitalen Selbstbestimmung". Wir finden diesen Begriff für die Sicht der individuellen Person treffender. Wir orientieren uns da auch an den Arbeiten auf Bundesebene, im "Netzwerk Digitale Selbstbestimmung". Kurz gesagt: Wer handeln will, soll das auch können, jeweils im Rahmen der Rechtsordnung. In einem liberalen Staat ist diese Selbstinitiative das Zielbild. Souveränität ist hier kein guter Begriff; man braucht ihn für "souveränes Auftreten" oder Ähnliches, aber das ist Umgangssprache. Souveränität für Private ist zu abstrakt und nicht verständlich. Selbstbestimmung meint im privaten Kontext, dass jeder Mensch mit freiem Willen selbst darüber entscheiden darf, wie er leben möchte. Digitale Selbstbestimmung meint, dass diese Selbstbestimmtheit auch im digitalen Raum besteht.
Wann ist man digital selbstbestimmt?
Digitale Selbstbestimmung besteht, wenn Individuen über "ihre" Daten und Informationen Kontrolle ausüben können. Dazu gehört auch Kontrolle darüber, wer auf solche Daten zugreifen darf. Es geht aber nicht nur um Daten, sondern auch um Abläufe. Immer öfter gibt es im Alltag Abläufe, die datengetrieben oder von Informationen abhängig sind. Auch die Fähigkeit, diese Abläufe mitzugestalten, gehört zur digitalen Selbstbestimmtheit.
Was meinen Sie mit "ihre" Daten?
Ich benutze die Anführungszeichen, weil es im Bereich von Daten und Informationen kein Eigentum geben kann. Es geht um Daten und Informationen, die meine Person oder meine Interessensphäre betreffen. Beschreibende Bezüge zu meiner Person können zum Beispiel auch dann diskriminierend wirken, wenn ein anderes Unternehmen sie erhoben hat. Beispiel: Wenn ein Detektiv im Geheimen Daten über mich sammelt, merkt jeder sofort: Da ist es mit meiner Selbstbestimmtheit nicht weit her, aber die "Daten» sind nicht in meinem Bereich entstanden. Es geht also nicht darum, wo die Daten gespeichert sind oder wer sie erstellt hat. Generell: Örtliche Bezüge werden in der Diskussion viel zu stark betont. Man muss den Blick offener halten. Es geht um die Handlungsfreiheit und ob sie beeinträchtigt ist.
Der Ortsbezug wird zu stark betont: Gilt das auch für die Staatsgrenzen?
Ja. Die Staatsgrenzen sind durchaus wichtig, um Zuständigkeitsbereiche eines Staats gegenüber anderen Nationalstaaten abzugrenzen. Aber auch auf staatlicher Ebene geht es viel eher um die Auswirkungen und nicht um den Ort der Datenhaltung. Es geht darum, ob die Schweiz ihren digitalen Alltag gestalten kann (positives Gestaltungsziel). Und natürlich geht es auch um Verteidigungsfähigkeit und Resilienz gegen aussen (negatives Gestaltungsziel).
Können Sie Beispiele nennen, worum es bei digitaler Souveränität geht?
Es geht bei digitaler Souveränität nicht nur um Daten im Sinne von Speicherobjekten. Es geht auch um Fragen wie jene, ob etwa eine Volksabstimmung in der digitalen Welt durchgeführt werden kann, ohne dass Störungen von aussen wirken, oder – ebenfalls nicht nur auf der Datenebene – inwiefern sich aus künstlicher Intelligenz zum Beispiel Bias ergibt oder ob das Vertrauen in andere schwindet (Beispiel: Kriegsberichterstattung mit Bildern in Zeitungen – auf welche Bilder kann man noch vertrauen?) und so der Kitt in der Gesellschaft bröckelt.
Warum sollten sich Unternehmen in der Schweiz damit auseinandersetzen?
Umgangssprachlich kann man sagen: "Unternehmerinnen und Unternehmer müssen ihren Laden im Griff haben." Es geht somit um Kontrolle. Aber das ist jetzt die Perspektive der digitalen Selbstbestimmung, wie ich es oben definiert habe: Wie kontrolliere ich Daten? Wie kontrolliere ich, wer auf sie zugreift und wer sie auf welche Weise nutzt?
Inwiefern lässt sich digitale Souveränität mit Cloud-Lösungen vereinbaren?
Gut. Genauer hinschauen muss man aber, wo "wir" ein zentrales Thema nicht mehr im Griff haben. Dann würde Kontrolle fehlen. In der öffentlichen Diskussion gibt es aber heute keine griffigen Aussagen dazu, wo es denn tatsächlich ein konkretes Problem gibt. Um dem nachzugehen, führt die Swiss Data Alliance im Jahr 2024 eine schweizweite Umfrage durch, um konkret nach solchen Druckpunkten zu fragen. Eine der Fragen: Wo ist die digitale Souveränität konkret in Gefahr?
Wie souverän können die Clouds von US-Providern vor dem Hintergrund des US-Cloud-Acts sein?
Eine Cloud-Lösung muss nicht souverän sein. Der Staat soll souverän sein. Der US-Cloud-Act sieht im Resultat vor, dass in einer Strafuntersuchung gegen eine Einzelperson etablierte Rechtshilfeverfahren nicht beschritten werden müssen. Rechtliches Gehör wird erst vor US-amerikanischen Gerichten etabliert. Weil sich somit nicht mehr alles vor schweizerischen Gerichten abspielt, sehen viele unlösbare Probleme. Diese Perspektive ist allerdings nicht zutreffend, wenn man reflektiert, worauf es ankommt: Wir müssen Daten schützen. Und das gelingt auch in der Cloud. US-Cloud-Act und die digitale Souveränität der Schweiz sind kein Widerspruch. Dennoch gibt es Themen, bei denen die Eidgenossenschaft gewisse Klärungen vornehmen sollte; denn die Frage wird weiterhin prominent diskutiert, und das verunsichert die Bevölkerung. Somit könnte man hier Aufklärungsarbeit leisten.
Microsoft und AWS wollen in Europa respektive in einigen europäischen Ländern "souveräne Cloud-Lösungen" anbieten. Was ist von solchen Angeboten zu halten? Können die Hyperscaler mit solchen Diensten datenschutzrechtliche Probleme lösen oder ist das bloss Augenwischerei?
Kontrollieren kann nur, wer auch versteht. Wenn die Anbieterinnen transparent über das Angebot informieren und die Kundinnen, die richtigen Fragen stellen, dann gibt es keine Augenwischerei – nur allenfalls überzogene Erwartungen. Dabei sollte man aber nicht auf die Anbieterinnen zeigen (sofern sie transparent informieren), sondern die Verantwortung zur Klärung der Grundlagen bei sich selber verorten.
Was zeichnet eine souveräne Cloud-Lösung aus?
Zunächst: Staaten wollen im Rahmen ihrer eigenen Ansprüche souverän sein. Und Individuen und Organisationen wollen digital selbstbestimmt sein. Aber eine Cloud-Lösung muss nicht souverän sein. Dass die Technik – auf Ebene der digitalen Selbstbestimmung der Kundinnen und Kunden – eine wichtige Rolle spielt, liegt natürlich auf der Hand. Und es ist auch Folgendes richtig: Wer eine Cloud-Lösung (oder sonst eine Lösung) einsetzen will, muss verstehen, in welche Risikosituation er beziehungsweise sie sich damit begibt. Das ist aber kein spezifisches Souveränitätsproblem, sondern war schon immer ein "To-do" im Aufgabenheft der auslagerungswilligen Organisation oder Behörde. Man muss also sagen: Der Souveränitätsbegriff sollte reserviert bleiben dafür, wofür er sich über Jahrhunderte hinweg bewährt hat: um die Beziehung zwischen Staaten zu beschreiben.
Die Politik muss sich erneut mit dem Thema "Swiss Cloud" befassen. Eine Motion verlangt vom Bundesrat, die Rechtsgrundlagen zu schaffen, um für die wichtigsten Daten des Bundes, der Kantone und Gemeinden sowie der Betreiber kritischer Infrastrukturen für mehr Sicherheit zu sorgen. Wie stehen die Chancen für dieses politische Projekt?
Wenn ein Land den Willen hat, grosse Ideen konsequent umzusetzen, haben solche Projekte gute Erfolgschancen.
Zum Schluss noch etwas Grundsätzliches: Ist digitale Souveränität reines Wunschdenken? Und falls nicht: Was braucht es für eine digital souveräne Schweiz?
Digitale Souveränität ist kein Wunschdenken. Man muss sich auf das Konzept von aktiver Souveränität besinnen und anerkennen, dass Souveränität kein Status ist. Souveränität entsteht erst, wenn man seine Handlungsspielräume nutzt. Daraus entstehen dann erst Opportunitäten. Souveränität ist somit das Resultat der eigenen Initiative, des eigenen Denkens und Handelns. Erst wer sich selbst definiert, ist souverän. Das meine ich mit aktiver Souveränität. Es ist aber sehr wichtig, dass die Souveränitätsdiskussion nicht über die Unabhängigkeit diskutiert wird. Vollkommene Unabhängigkeit von der Aussenwelt wäre illusorisch (und wäre übrigens von kaum jemandem in der Schweiz wirklich gewünscht). Auch Autarkie wäre unerwünscht. Es braucht eine aktive Definition der eigenen Werte und einen Fokus auf das, was uns wirklich wichtig ist und was uns ausmacht. Insofern ist die Diskussion eine grosse Chance. Es liegt das Potenzial vor uns, unseren Weg in die Zukunft selbstständig gestalten zu können. Diese Chance sollten wir jetzt ergreifen.
Schwachstelle ermöglicht Datenklau via Android-TV
Künstliche Intelligenz – ist Ihre Infrastruktur bereit dafür?
Das E-Rezept als Treiber der Digitalisierung
KI in der Softwareentwicklung: Co-Pilot statt Konkurrent
U-Blox bringt IoT ins Geschäft mit Rasenmährobotern
Digitalisierung – Game Changer für das Gesundheitswesen?
Dank Nutanix mit klarem Blick in die Zukunft
Valtech übernimmt Kin + Carta
Sicherheit im digitalen Zeitalter: Die Rolle von NIS2 für die Schweizer Wirtschaft
