Datenrecht.at

Wenn europäische Behörden, Krankenhäuser oder Banken auf digitale Infrastrukturen aus Drittstaaten angewiesen sind, stößt das geltende Recht oft an seine Grenzen. Moderne Regulierung läuft in der Praxis ins Leere, wenn Aufsichtsbehörden intransparente IT-Systeme, die ausländischem Recht unterliegen, weder effektiv prüfen noch bei Bedarf eingreifen können. Um diese strukturellen Abhängigkeiten zu beenden und die rechtliche Kontrolle zurückzugewinnen, hat die EU-Kommission heute das „European Technological Sovereignty Package“ vorgestellt.
Das Paket zielt darauf ab, dass Europa seine kritischen Technologien künftig selbst entwickelt und kontrolliert. Das Vorhaben umfasst vier zentrale Säulen:

• Chips Act 2.0: Um Lieferketten rechtlich und faktisch abzusichern, werden die europäischen Produktionskapazitäten für fortschrittliche Halbleiter und KI-Komponenten massiv ausgebaut.
• Cloud and AI Development Act: Dieses Gesetz schafft einen einheitlichen EU-Rahmen zur Bewertung der Cloud-Souveränität. Es definiert klare Kriterien, um sogenanntes „Sovereignty Washing“ – also irreführende Werbeversprechen von Anbietern über deren Datensouveränität – rechtssicher zu unterbinden.
• Open Source Strategy: Durch die gezielte Förderung offener, transparenter Software-Alternativen sollen Unternehmen und Verwaltungen aus der Abhängigkeit einzelner Anbieter („Vendor Lock-in“) befreit werden, was die technologische Überprüfbarkeit erhöht.
• Energie Fahrplan: Da europäische Rechenzentren bereits 2,5 % des EU-Stromverbrauchs ausmachen, wird deren nachhaltige Integration in die Energienetze strategisch geregelt, um Engpässe zu vermeiden.

Für Unternehmen, insbesondere in stark regulierten Sektoren, soll dieser Vorstoß vor allem eines erzielen: mehr Rechtssicherheit. Wenn digitale Kerninfrastrukturen den europäischen Regeln entsprechen, sinken (laut Kommission) der Compliance-Aufwand und damit verbundene rechtliche Risiken erheblich. Wie die EU-Kommission in ihrer Pressemitteilung betont, schafft Europa hier einen Rahmen, der technologischen Fortschritt mit rechtlicher Überprüfbarkeit und eigenen Werten verbinden soll. Die Gesetzwerdung (und die Reaktion der USA) bleibt - wie immer - abzuwarten.
Quellen: Pressemitteilung (ip_26_1187)
Fragen und Antworten (qanda_26_1188)

In der aktuellen Debatte um den Schutz von Minderjährigen im Internet wird immer wieder gefordert, den Zugang zu Social-Media-Plattformen einzuschränken, ein generelles Mindestalter (wie kürzlich in Australien, geplant auch in Österreich, siehe Ministerratsvortrag) einzuführen oder Plattformen bei Verstößen ganz zu verbieten.

Zwei aktuelle Berichte der Wissenschaftlichen Dienste (WD) des Bundestages – Zur Beschränkung und zum Verbot von Social-Media-Plattformen (WD 7 - 3000 - 004/26) sowie zur Altersbegrenzung für soziale Netzwerke (WD 7 - 3000 - 036/25) – zeigen deutlich, dass strenge nationale Regulierungen wohl nur schwierig rechtssicher umsetzbar sind.

Die Kernargumente beider Berichte im Überblick:

• Absoluter Vorrang des EU-Rechts: Der europäische Digital Services Act (DSA) regelt digitale Vermittlungsdienste EU-weit vollharmonisiert, um einen einheitlichen Binnenmarkt zu schaffen. Nationale Alleingänge für generelle Plattform-Verbote oder starre Altersgrenzen widersprechen diesem Ansatz, da Mitgliedstaaten keine abweichenden oder ergänzenden Vorschriften im vollharmonisierten Bereich erlassen dürfen.

• Die Hürde des Herkunftslandprinzips:
  Selbst wenn Deutschland strenge Gesetze verabschieden würde, liefen diese weitgehend ins Leere. Für Diensteanbieter gilt das Herkunftsland- bzw. Sitzlandprinzip. Da die meisten großen Netzwerke (wie Meta, TikTok oder X) ihren europäischen Hauptsitz in Irland haben, unterliegen sie primär den EU-Vorgaben und irischem Recht – und nicht den deutschen Behörden.

• Sperrungen nur als “Ultima Ratio”: Der DSA sieht kein generelles, unbefristetes Verbot von Plattformen vor. Vorübergehende Zugangssperren sind nur als allerletztes Mittel zulässig, beispielsweise wenn eine andauernde Zuwiderhandlung eine Straftat darstellt, die das Leben oder die Sicherheit von Personen bedroht.

• Jugendschutz ist bereits integriert: Große Plattformen sind durch den DSA bereits EU-weit zu strukturellen Jugendschutzmaßnahmen verpflichtet, wozu auch Werkzeuge zur Altersüberprüfung gehören. Zusätzliche, abweichende Vorgaben durch deutsches Recht (wie etwa über das Jugendschutzgesetz) werden durch das EU-Recht überlagert.

• Kollision mit Grund- und Kinderrechten: Ein pauschales staatliches Verbot für jüngere Nutzer greift in das grundgesetzlich geschützte elterliche Erziehungsrecht (Art. 6 Abs. 2 GG) ein, da primär die Eltern entscheiden, welche Medieninhalte sie ihren Kindern zugänglich machen. Zudem würde ein Komplettverbot die in der UN-Kinderrechtskonvention garantierten Rechte auf Information und Teilhabe einschränken.

• Fokus auf risikobasierte Alternativen: Anstatt auf starre Verbote oder pauschale Altersgrenzen zu setzen, wird im europäischen Rechtsrahmen eher ein risikobasierter Ansatz verfolgt. Im Vordergrund stehen dabei die altersgerechte Gestaltung der Plattformen, die Reduzierung Funktionen, Medienkompetenzförderung sowie strukturelle Vorsorgemaßnahmen.

Die Berichte der Wissenschaftlichen Dienste machen klar: Wer national Social-Media-Plattformen verbieten oder strikte nationale Altersgrenzen einführen will, scheitert wahrscheinlich am EU-Recht. Der Schutz von Kindern und Jugendlichen im Netz wird wohl primär über europäische Regulierungen wie den DSA (siehe als Argumente für DSA-Verfahren 2 US-Urteile zu Big Tech und Kinderschutz) und präventive Schutzmaßnahmen auf den Plattformen selbst erfolgen (siehe zB ​vzbv-Positionspapier).

In Europa wächst die Besorgnis über einen potenziellen „Kill Switch“ aus den USA. Dieser Begriff beschreibt die Möglichkeit der US-Regierung, Europas Zugang zu US-amerikanischen Cloud-Diensten und anderen Technologien einseitig zu kappen. Obwohl ein solches Szenario als unwahrscheinlich gilt, wäre es grundsätzlich möglich - Instrumente hierfür existieren z.B. im International Emergency Economic Powers Act (IEEPA), wie der ehemalige Chief of the Cyber and National Security Unit at the White House ausführlich ausführt.

Diese Bedrohung befeuert Europas Streben nach digitaler Souveränität, dessen praktische Umsetzung u.a. in der Entwicklung „souveräner Clouds“ liegt, die vor US-Gesetzen wie dem CLOUD Act geschützt sind. Doch der Weg ist steinig: US-Hyperscaler wie Google, Microsoft und Amazon dominieren den europäischen Markt, ihre „europäischen” Angebote werden von manchen sogar als „Souveränitäts-Washing“ kritisiert. Selbst vermeintliche „Datengrenzen“ von US-Anbietern weisen nämlich z.T. wenig beachtete Ausnahmen auf, die Datenübertragungen in die USA zur Folge haben (oder auch Zugriffe aus den USA mittels CLOUD Act oder anderer Instrumentarien, siehe dazu z.B. Prof. Vladeck für die dt. DSK) und somit die Datensouveränität in Frage stellen. Zudem sind proprietäre Cloud-Systeme strukturell von Updates aus den USA abhängig, was bei einem Entzug der Unterstützung schnell zu Sicherheitslücken führen könnte. BSI-Präsidentin Plattner hält die vollständige digitale Souveränität für Deutschland derzeit für unerreichbar, betont aber die Wichtigkeit von Kontrollmechanismen. Langfristig setzt Europa auf den Aufbau eigener Alternativen, um strategische Abhängigkeiten zu mindern und einer „digitalen Scheidung“ entgegenzuwirken - siehe u.a. den Bericht „EuroStack – Eine europäische Alternative für digitale Souveränität“, der aufzeigt, wie die EuroStack-Initiative dazu beitragen kann, die Abhängigkeit Europas zu verringern.

Für besonders Interessierte empfehle ich diese Anfragebeantwortung der dt. Bundesregierung zum Thema “Digitale Souveränität und Nutzung von Open Source bei Clouds der Bundesverwaltung und der Status der Deutschen Verwaltungscloud-Strategie”.

On 9 October 2024, the European Commission has issued its Report on the first periodic review of the functioning of the adequacy decision on the EU-US Data Privacy Framework. In its press release, the EC writes that “[b]ased on the information gathered during the review, the Commission concludes that the US authorities have put in place all the constitutive elements of the framework. [...]”. According the EC, the review is based on a review meeting, an input from a wide range of actors including civil society organisations, trade associations, EU data protection authorities, US authorities involved in implementing the framework, as well as feedback from the general public via the ‘Have your Say' portal (some quite interesting feedback not fully in appraisal of the decision can be found there).

• Update 6.11.2024: During its latest plenary, the European Data Protection Board (EDPB) adopted a report on the first review of EU-U.S. Data Privacy Framework (DPF), as well as a statement on the recommendations of the high-level group (HLG) on access to data for effective law enforcement.