Jump directly to page content

Die digitale Souveränität der EU ist umstritten

Warum die EU dennoch im EU-US-Handels- und ‑Technologie­rat auf den Brüssel-Effekt setzen sollte

SWP-Aktuell 2022/A 30, 12.04.2022, 8 Pages

doi:10.18449/2022A30

Research Areas

Die starken wirtschaftlichen Verflechtungen zwischen der Europäischen Union (EU) und den USA erfordern eine enge Zusammenarbeit, wollen beide Partner auch im globalen digitalen Wettbewerb bestehen. Auf eine Initiative der EU hin wurde 2021 der Handels- und Technologierat (Trade and Technology Council, TTC) gegründet. Er soll dabei helfen, unterschiedliche Vorstellungen darüber zu überwinden, wie der digitale Markt und die Plattformökonomie am besten zu regulieren sind. Auch wenn der russische Angriff auf die Ukraine es notwendig macht, die strategische Souveränität der EU neu zu denken, sind europäische Ent­scheidungsträger und ‑trägerinnen gut beraten, weiterhin eine digitale Außen­politik der EU voran­zutreiben, die sich im Kern aus dem Ziel digitale Souveränität ableitet und die an­strebt, mithilfe des TTC europäische Regulierungen qua Marktmacht zu externalisieren. Dieser sogenannte »Brüssel-Effekt« vertieft nicht nur den trans­atlantischen digitalen Markt, sondern befördert gleichermaßen die Integration der EU-Digitalpolitik im Innern.

Seit 2015 betreibt die EU eine digitale Außen­politik, die darauf abzielt, die Normen und Grundsätze ihrer Digitalpolitik zu externalisieren. Dieser Brüssel-Effekt basiert auf der Idee, dass Konflikte, die ihre Ursache in der divergierenden Auslegung grundlegender Normen und Prinzipien der internationalen Zusammenarbeit haben, durch Deliberation lösbar sind: Die Regulie­rung des digitalen Marktes erfolgt demnach nicht primär durch die Regie­rungen, son­dern bezieht die gro­ßen Social-Media-Platt­formen in die Politik­formulierung mit ein. Dies führt dazu, dass Unternehmen ihre Geschäfts­bedingun­gen an die EU-Bin­nen­markt­standards an­passen, und zwar unab­hängig von der natio­nalen Gesetz­gebung zur Digitalmarkt­regu­lie­rung. Sie lobbyieren sogar bei auslän­di­schen Re­gie­rungen dafür, Rechtsvorschriften zu er­las­sen, die mit dem EU-Recht kon­ver­gieren, um die Rechts­sicher­heit zu erhöhen. Die Regulierungsmacht der EU in der digita­len Außenpolitik leitet sich aus ihrer Markt­macht ab, mit dem Ergebnis, dass außer­europäische Unter­neh­men aus dem Bereich digi­tale Technologien – vor allem solche mit Haupt­sitz in den USA, aber auch in China – ihre Geschäfts­bedingungen dahin­gehend ändern, dass der Zugang zum euro­päischen Binnen­markt gesichert bleibt.

Ein gutes Beispiel für den Brüssel-Effekt ist der EU-Verhaltenskodex für Cloud-Dienste (Cloud Code of Conduct, CCoC) aus dem Jahr 2021: Ihm entsprechend müssen nun­mehr alle Cloud-Dienstleister zum Schutz personenbezogener Daten gemäß Artikel 28 der Datenschutz-Grund­verord­nung (DSGVO) hohe EU-Standards umsetzen. Dieser Kodex ist bisher weltweit einzigartig und hat sich als effizientes Regulierungsinstrument er­wiesen, das die Einhaltung seiner Vor­schrif­ten gewährleistet, ohne rechtlich bin­dend zu sein. Allerdings wird nur solchen Unter­nehmen eine Genehmigung für den Betrieb von Cloud-Diensten im Binnen­markt erteilt, die den Kodex erfüllen; bisher haben sich Unternehmen wie Alibaba, Alphabet, IBM und Microsoft an die Datenschutzbestimmungen gemäß dem CCoC gehalten. Dies zeugt von einer effi­zienten Multi-Stake­holder-Regulierung internationaler Service­anbieter – denn die Europäische Kommission hat den Kodex in Zusammenarbeit mit privaten Unternehmen entwickelt.

Darüber hinaus sind die Bemühungen um die Formulierung und Umsetzung des CCoC bezeichnend für den Prozess einer euro­päischen Re-Souveränisierung unter den Bedingungen von Globalisierung und Digi­talisierung (siehe Arbeitspapier FG EU / Eu­ropa, 2021/Nr. 01). Europas Regulierungs­macht setzt nicht nur die Standards einer digitalen Außenpolitik im transatlantischen Markt, sondern stärkt ebenso den Anspruch einer digitalen Souveränität der EU im In­nern. Voraussetzung für eine erfolg­reiche Externalisierung von EU-Regu­lierungen ist eine verbindliche Digi­tal­politik, die im In­nern von den Binnenmarkt­prinzipien getra­gen wird.

Die Souveränität der EU im digitalen Zeitalter

Erklärtes Ziel der gegenwärtigen EU-Kom­mission ist es, die »technologische Souveränität« und digitale Souveränität Europas zu sichern. Diese Begriffe hat erstmals die In­dus­t­rie in die öffentliche Dis­kussion einge­bracht, als Industrievertreter auf die tech­no­logische Verwundbarkeit der europäischen Gesellschaft und Wirtschaft hin­wiesen: Europa mangele es an Produktions­kapazi­täten und Investitionen in Forschung und Entwicklung (FuE) von Schlüsseltechnologien. Die Verwundbarkeit kritischer tech­nologischer Infrastrukturen wird hingegen als eine Frage der Cybersicherheit betrachtet und mit dem Begriff der »digitalen Sou­veränität« verknüpft. So ist es nicht ver­wunderlich, dass »digitale« und »technologische Souveränität« oftmals synonym ver­wendet werden.

Solche Diskussionen um verschiedene Aspekte von Souveränität zeigen, dass das Konzept von Souveränität im digitalen Zeit­alter komplexer geworden ist und als poli­tische Praxis europäischer Politikformulierung verstanden wer­den sollte. Souveränität bezieht sich nicht mehr nur auf einen recht­lich definierten Status, vielmehr muss sie im Kontext einer moderierenden Fähigkeit der EU gesehen werden, ihre Positionen durch transparente, interne Meinungs­bildungs­prozesse zu legitimieren. Der An­spruch der EU-Politikerinnen und -Politiker muss zudem das Ziel umfassen, diese Posi­tio­nen in Multi-Stake­holder-Gremien und ‑Ins­titu­tionen wie dem TTC effektiv zu exter­na­lisieren und somit auch die externe Souve­rä­nität der EU zu stärken.

Schlüsselinstrument der Re-Souveräni­sierung ist die auf europäischen Normen und Werten basierende Regulierungsmacht der EU: Intern kann die EU bei komplexen Fragen wie Haftungsverpflichtungen in der Platt­formökonomie oder dem Datenschutz auf Social-Media-Plattformen Orientierung bieten; extern kann sie den Zugang zum Binnenmarkt an die Bedingung knüpfen, dass ihre Standards und Normen erfüllt wer­den. Dies erscheint recht voraus­set­zungs­voll, denn hierfür muss sie alle Markt­akteure davon überzeugen, hohe ethische Stan­dards einzuhalten und Verbraucherrechte zu schüt­zen, sowie gleichzeitig einen fairen Marktwettbewerb, Unternehmenswachstum und Innovation ermöglichen. Im Idealfall schafft es die EU-Kom­mission, alle Markt­akteure an neue Marktregeln zu binden sowie zu gewährleisten, dass bestehende Marktregeln umgesetzt werden. Damit dies gelingen kann, müssen nicht nur die Kom­mission und der Ministerrat konstruktiv zusammen­arbeiten, sondern auch Unter­nehmen, Inter­essen­gruppen und öffent­liche Einrich­tungen in Fragen von Inter­operabilität und Haftungsverpflichtungen eng eingebunden werden.

Ein an­gemessenes Verständnis von euro­päischer Souveränität im digitalen Zeitalter umfasst dabei nicht nur die interne und die ex­terne Dimension europäischen Handelns, son­dern bezieht gleichermaßen die mitglied­staatliche, die europäische und die inter­nationale Ebene in die Formulierung der Digitalpolitik mit ein. Mit anderen Worten: Digitale Souveränität ist heute als politischer Mehrebenen-Prozess zu ver­stehen; ein enges territoriales und juristisches Verständnis von Souveränität greift eindeutig zu kurz.

Grafik

Die Digitalpolitik der EU

Ein kurzer Überblick über die zentralen Säulen der digitalen Strategie der EU ver­anschaulicht, wie die EU ihre digitale Sou­ve­ränität stärkt, indem sie ihre Grund­werte und Binnenmarktprinzipien (gegen­seitige Anerkennung, unmittelbare An­wendbar­keit, Nichtdiskriminierung usw.) externalisiert (siehe Grafik). Hiermit gehen zwangsläufig Konflikte ein­her, da jede neue Regel und Vorschrift in erster Linie international ope­rierende Unter­nehmen betrifft, von denen die meisten ihren Firmensitz in den USA oder in Asien (insbesondere Südkorea oder China) haben. Gleichzeitig hat die EU so auch die positive und negative europäische Integration voran­getrieben (vgl. SWP-Aktu­ell 71/2015).

Der Grundstein für eine digitale Außen­politik der EU wurde 2016 mit der EU-Richt­linie zur Netz- und Informationssicherheit (NIS-Richtlinie) gelegt (siehe SWP-Aktuell 72/2017). Die NIS-Richtlinie ver­pflichtet Be­treiber und An­bieter digitaler Dienste dazu, technische und orga­nisatorische Mindeststandards zur Siche­rung ihrer Netzwerke und Informations­systeme einzuhalten, um die Datensouverä­nität ihrer Nutzerinnen und Nutzer best­mög­lich gewährleisten und im Falle von Sicherheitsvorfäl­len die zu­stän­digen Behör­den unverzüglich benachrichtigen zu können. Damit setzte diese Richt­linie inter­natio­nale Standards in der Cybersicherheit. Seit 2021 wird eine Stär­kung der NIS-Richtlinie (»NIS-2.0-Richt­linie«) interinstitutionell verhandelt; ferner wird ausgelotet, ob diese Neufassung eine harmonisierte EU-weite Cyber­regulierung ermöglichen und ein breiteres Verständnis von kritischen Infra­strukturen inkludieren könnte. An diesem Prozess sind neben EU-Institutionen verschiedenste Markt­akteure beteiligt.

2019 hat das Europäische Par­lament den EU-Rechtsakt zur Cybersicher­heit verabschie­det, mit dem die EU-Cybersicherheits­agentur (ENISA) ein dauerhaftes Mandat zur Erhöhung der Cybersicherheitskapazitäten in der EU erhalten hat. Hiermit wurde erst­mals ein einheitlicher Rahmen für die Zer­tifizierung von Informations- und Tele­kom­munikationsprodukten und ‑dien­sten ge­schaffen, die Unternehmen auf dem euro­päischen Markt anbieten wollen (siehe SWP-Aktuell 60/2019).

Darüber hinaus veröffentlichte die Kom­mission im März 2019 eine Empfehlung zur 5G-Cybersicherheit, auf der die im Januar 2020 präsentierte Toolbox für sichere 5G-Netze im Wesentlichen basiert. Die Toolbox sieht vor, den Marktzugang für solche Tele­kommunikationsunternehmen zu kontrol­lieren, die sich um die Teilnahme an Auf­bau und Betrieb nationaler 5G-Netze bewer­ben. Vor allem aus den USA, wo die Federal Communications Commission fünf Unter­nehmen (alle aus China) identifiziert hat, deren Produkte und Dienstleistungen als inakzeptables nationales Sicherheits­risiko gelten, wurde Kritik laut, die Toolbox sei nicht strikt genug. Unterdessen haben einige europäische Regierungen und Firmen Bedenken im Hinblick auf das Prinzip der Anwenderneutralität geäußert; außerdem befürchten sie, die digitale Netz­infra­struk­tur im Binnenmarkt ohne Huawei nicht zügig weiterentwickeln zu können. Auch hier könnte sich eine vertiefte trans­atlan­ti­sche Kooperation positiv auswirken, weil amerikanische Unternehmen durchaus Alter­nativen anbieten und zum europäischen Konnektivitäts­ausbau beitragen können.

Das Gesetz über künstliche Intelligenz (Artificial Intelligence [AI] Act) aus dem Jahr 2021 stellt den welt­weit ersten Rechtsrahmen für die neue Schlüsseltechnologie künst­liche Intel­ligenz (KI) dar. Es führt einen Risikobewertungsrahmen ein, der den Zu­gang zum europäischen Markt davon ab­hän­gig macht, wie die Risiken eingestuft werden, die mit dem Einsatz von KI(-Pro­dukten) verbunden sein könnten. Europäische und internationale Unternehmen sehen zwar die Notwendigkeit eines einheit­lichen rechtlichen Regelwerks, haben sich aber zugleich besorgt gezeigt, dass es auch innovationshemmend wirken könnte – denn wenn die vorgesehenen Bewertungskriterien streng ausgelegt würden, könnte die für die Rentabilität wichtige Vermarktung in der EU entfallen.

Durch die E‑Commerce-Richtlinie von 2000 wurden bestimmte innerstaatliche Rege­lungen für die Dienste der Informations­gesellschaft EU-weit angeglichen. Auf diese Weise hat sie den freien Verkehr von Waren und Dienstleistungen im E-Commerce mög­lich gemacht, wobei sie Stan­dards für Trans­parenzanforderungen für Dienstleister sowie für Haftungsregeln entlang der Liefer­kette gesetzt hat. Noch in diesem Jahr soll die Richtlinie durch das Gesetz über digitale Dienste (Digital Services Act, DSA) und das Gesetz über digitale Märkte (Digital Mar­kets Act, DMA) abgelöst werden.

Mit dem DSA werden zahlreiche neue Regeln eingeführt, die die Nutzung von digi­talen Diensten transparenter machen sollen. Konkret geht es um Informationspflichten zur Speicherung und Kommerzialisierung von Nutzerdaten, um den Um­gang mit Des­information, das Aussprechen von Nutzungs­verboten sowie die Möglichkeit, Personen zu melden, die illegale Inhalte teilen. Er­gän­zend zum DSA soll das DMA gleiche Wett­bewerbsbedingungen für Unternehmen im digitalen Zeitalter schaffen, indem »große, systemische Online-Platt­formen«, also sogenannte »Gatekeeper«, reguliert werden. Beispiele für Gatekeeper (obwohl bisher keine Unternehmen namentlich als solche benannt wurden) wären Amazon, Meta und Alphabet. Kleine und mittlere Unternehmen (KMU), die von diesen Gate­keepern abhängig sind, sollen durch das DMA geschützt werden, zum Beispiel indem den Plattformanbietern nicht mehr gestat­tet sein soll, ihre eigenen Waren und Dienstleistungen pro­minenter zu bewerben als diejenigen anderer Anbieter. Überdies kön­nen kommerzielle Nutzer dann Zugang zu den Daten verlangen, die sie generieren, wenn sie die Dienste der Plattformen in An­spruch nehmen. Nicht zuletzt muss Dritten Inter­operabilität ermöglicht werden.

In Ergänzung zu diesen Gesetzesinitiativen ist im Februar 2022 das Datengesetz (Data Act) vorgestellt worden, das festlegt, unter wel­chen Bedin­gungen personenbezogene Daten vermarktet werden dürfen.

Ein weiterer Baustein der europäischen digitalen und technologischen Re-Souverä­nisierung ist das Europäische Chip-Gesetz (European Chips Act) von 2022. Hiermit sollen nationale Investitionen in Forschung und Entwicklung von Chips eingebunden werden in eine kohä­rente europäische Halb­leiterforschungs­strategie, ferner sollen kollek­tive Anstrengungen zum Aufbau von Halbleiterproduktions­kapazitäten unternommen werden. Halbleiter sind entscheidende Komponenten zur Herstellung digi­taler Technologien im zivilen ebenso wie im militärischen Bereich und der­zeit so sehr nachgefragt, dass ein welt­weiter Mangel herrscht. US-amerikanische Unter­nehmen wie der Marktführer Qualcomm entwerfen die Chips, hergestellt werden sie aber größ­tenteils im Ausland: So produziert ein ein­ziges taiwanesisches Unter­nehmen vom derzeit fortschrittlichsten Chiptyp 92 Pro­zent des weltweiten Angebots. Auf Europa entfallen heute nur noch 10 Pro­zent der Marktanteile der weltweiten Chip­industrie; daher will die EU ihren Markt­anteil bis 2030 auf 20 Pro­zent verdoppeln.

Durch die oben skizzierten Initiativen sollen die Wettbewerbsbedingungen im digitalen Binnenmarkt für alle Marktteilnehmer fairer gestaltet und der Schutz vor Cybersicherheitsbedrohungen erhöht wer­den. Damit schaffen sie notwendige, aber noch keine hinreichenden Bedingungen, um die digi­tale Souveränität Europas zu sichern. Diese lässt sich nur verbessern, wenn Pro­duk­tionskapazitäten, große Unter­nehmen aus dem Bereich digi­tale Technologien sowie die erforderliche digitale Infra­struktur für eine enge transatlantische Ko­operation vorhanden sind. Dafür braucht es sowohl eine den Aufbau euro­päischer Kapa­zitäten befördernde Indus­triestrategie als auch Kooperationsbereitschaft auf beiden Seiten des Atlantiks. Einen wich­tigen Schritt, um die transatlantische Zusammen­arbeit in der Chipproduktion zu vertiefen, mar­kiert das kürzlich bekannt gegebene Vor­haben der US-Firma Intel, rund 80 Mil­liar­den Euro in den Aufbau neuer Entwicklungs- und Pro­duktionsstätten in Deutsch­land und Frank­reich zu investieren. Aller­dings ist es genauso bezeichnend, dass Europa selbst kein an Innovationskraft ver­gleichbares Unternehmen aufbieten kann.

Institutionalisierung des TTC

Trotz einzelner Konflikte in Zoll- und Han­del­s­angelegenheiten bekennen sich die EU und die USA uneingeschränkt zu demo­kratischen Werten und fairem Marktwettbewerb. Beide Seiten müssen mit chinesischen Technologieunternehmen und ‑pro­dukten konkurrieren und sind teils sogar von chi­nesischen Zulieferern abhängig. Angesichts dieser Herausforderungen schlug die EU-Kommission Mitte 2020 einen Han­dels- und Technologierat (TTC) vor. Wäh­rend die Trump-Administration diesen Vor­schlag nur wenig beachtete, nahm ihn die Biden-Administration unter der Maßgabe wieder auf, dass eine Alli­anz für demokratische Technologie geschaffen werde. Der TTC hat sich Ende September 2021 in Pittsburgh konstituiert und zehn Arbeits­gruppen ein­gerichtet; ein zweites Treffen ist für Mitte Mai 2022 noch während der französischen Ratspräsidentschaft in Frankreich geplant.

Der europäische Ansatz, mittels des TTC Standards zu institutionalisieren, trägt ein­deutig die Handschrift der auf dem Brüssel-Effekt basierenden außenpolitischen Digi­tal­strategie der EU. Insofern ist nicht erstaunlich, dass das europäische Gesetz zur KI-Regulierung, das einen ethisch verantwortbaren Einsatz dieser Technologie garantieren soll, eine Debatte über seine aus US-Sicht gegebene innovationshemmende Wir­kung ausgelöst hat. Eine TTC-Arbeitsgruppe soll nun die recht weit gefasste Formulierung des Rechtsakts in detailliertere Anwen­dungs­vorschriften übersetzen.

Ein Fall, in dem der Brüssel-Effekt sogar über die Regulierung privater Akteure hin­ausgeht und ausländische Gesetzgebungsdebatten prägt, ist die legislative Debatte über ein US-Bundesdatenschutzgesetz. Sie hat an Schwung gewonnen, nachdem ein­flussreiche Akteure wie Apple, Alphabet, Meta und Microsoft gemeinsam ein solches Gesetz ähnlich der DSGVO gefordert hatten. Die Tatsache, dass marktbeherrschende Tech­nologieunternehmen an diesem Pro­zess beteiligt sind, ist ein Beleg für die Macht des Brüssel-Effekts:

Im Jahr 2020 drohten wichtige Führungs­kräfte von Meta damit, als Reaktion auf das Schrems-II-Urteil des Europäischen Gerichts­hofs (EuGH) Plattformen wie Facebook und Instagram vom europäischen Markt zu nehmen. Als diese Taktik die europäische Position nicht wie gewünscht beeinflusste, nahmen sie die Androhung jedoch schnell wieder zurück. Meta erwirt­schaftet 25 Pro­zent seines Umsatzes in Europa – ein zu großer Anteil, um ihn zu verlieren. Folglich musste der Konzern seine Geschäftsbedingungen und sein Geschäftsmodell für die Datenvermarktung an die europäischen Standards anpassen und plädiert nun für ein US-Bun­des­datenschutzgesetz, das mit der DSGVO harmoniert. Eine derartige Lobby­arbeit durch private US-Unternehmen unter­streicht deren Interesse, mit der EU im TTC zusammenzuarbeiten, um gemeinsam digi­tale und technologische Standards zu set­zen. Ziel der US-Firmen ist, ihren Markt­zugang zu sichern und die Marktbedingungen zu ihren Gunsten mitzugestalten. Auch kleinere europäische Unternehmen können sich über eine eigens eingerichtete Online-Konsul­ta­tionsplattform der Kom­mission einbringen in die transatlantische Kooperation im TTC.

So wie die EU von US-Technologie abhängig ist, sind gleichermaßen US-Unter­nehmen auf den Zugang zum weltweit größten Binnenmarkt – dem der EU – angewiesen. Dennoch bleiben für den TTC einige strittige Fragen zu klären.

Gatekeeper des digitalen Marktes

Zunächst ist umstritten, wie »Gate­keeper« definiert sind. Nach der Defini­tion der EU fallen darunter in erster Linie außereuro­päische Unternehmen wie Betreiber von Social-Media-Plattformen sowie digitale Marktplätze wie das amerika­nische Amazon oder eBay und das chine­sische Alibaba. Da­mit sind sie vom DSA und DMA be­trof­fen. Die Einhaltung der Bestim­mungen des DMA würde für diese Unterneh­men bedeuten, ihre etablier­ten Geschäfts­modelle grund­legend ändern zu müssen. Bisher beruhen diese dar­auf, dass die Fir­men Privatpersonen und kom­mer­ziellen Dritt­anbietern gestatten, ihre Platt­formen im Aus­tausch gegen ihre Daten kostenlos zu nut­zen – dieses Geschäfts­modell hat die markt­dominierende Stellung dieser Platt­formen erst ermöglicht.

Da der Zugang zu den Marktplätzen kos­ten­frei ist, können Verbraucherinnen und Verbraucher über sie leicht ein KMU finden, das dort seine Pro­dukte anbietet, und dann direkt bei diesem KMU einkaufen, oft zu einem günstigeren Preis. Für die Gatekeeper wiederum heißt das, dass sie ihre eigenen Produkte pro­mi­nenter bewerben müssen, wollen sie eben­falls profitieren. Diese Aus­gangslage stellt das DMA vor das Dilemma, einerseits dis­kriminierende Praktiken von Marktführern ver­hindern zu wollen, ande­rer­seits nicht­diskriminie­rende Vorschriften erlassen zu müssen, um Datensouveränität und fairen Wett­bewerb auf dem digitalen Markt zu gewähr­leisten.

Darüber hinaus haben US-Politikerinnen und ‑Politiker Sicher­heitsbedenken geäußert, wenn Pro­gramme wie Apps außerhalb »ge­schlos­sener Sys­teme« verbreitet werden dür­fen, wie es das DMA vorsieht; denn die Cyber­sicherheit digitaler Geräte könnte ge­fährdet werden, wenn Schadsoftware aus einer drit­ten Quelle heruntergeladen wird, die nicht den etablierten Prüf- und Verifi­zierungs­verfahren unterliegt.

Die EU hat mit dem Erlass kartellrecht­licher Vorschriften für den digitalen Markt, wie dem DSA und dem DMA, einen Präze­denz­fall geschaffen und damit die Agenda für die transatlantische Debatte gesetzt. Bei den anstehenden Verhandlungen im TTC sollte die EU an dem durch das DSA und das DMA formulierten Regelungsrahmen fest­halten und sowohl private Akteure als auch trans­atlantische Partner in die Gestal­tung detaillierter sowie zusätz­licher Bestim­mun­gen einbeziehen. Dieser Ansatz kann sich durchaus als effizient erweisen, zumal in den USA derzeit eine Kartellgesetz­gebung diskutiert wird, die insbesondere große Tech­nologieunternehmen betrifft.

In Anbetracht der Tatsache, dass digitale Dienst­leistungen »unteilbar« sind, wie Anu Bradford es ausdrückt, haben US-Unterneh­men bereits ihre Geschäftsbedingungen im Einklang mit der DSGVO aktualisiert, weil diese die weltweit strengste und detaillierteste Verordnung zum Datenschutz dar­stellt und es einfach zu kostspielig wäre, für jedes Land ein eigenes Dienstleistungs­modell anzubieten.

Schrems II und Rechtssicherheit

Ein weiterer Streitpunkt sind die geltenden Datenschutzbestimmungen nach der DSGVO, insbesondere seit der EuGH im Juli 2020 in der Rechtssache »Data Protection Commissioner gegen Facebook Ireland Limited und Maximilian Schrems« den »Privacy Shield« für ungültig erklärt hat, das heißt das trans­atlantische Abkommen, das den Austausch personenbezogener Nutzerdaten zwischen euro­päischen Tochterunternehmen und ihren amerikanischen Holdinggesellschaften zu Vermarktungszwecken regelte.

Als Reaktion auf das Urteil begann die Generalversammlung des EU Cloud CoC, der auch internationale Unternehmen an­gehören, mit der Arbeit an der Drittlands­transfer-Initiative, die darauf abzielt, Beden­ken hinsichtlich der Verarbeitung personen­bezogener Daten europäischer Nutzer und Nutzerinnen in einem Drittland auszu­räumen. Dies soll geschehen, indem ein spezifisches Modul entwickelt wird, das die DSGVO ergänzen soll (»Drittlandstransfermodul«). Bislang wurde noch kein solches Modul für Dritt­länder eingeführt, da weiter­hin unklar ist, wie es gestaltet sein könnte, um den Erwartungen des EuGH gerecht zu werden. Für fast zwei Jahre hat es die EU nun ver­säumt, einen neuen Rahmen zu schaffen, die Rechtsunsicherheiten für die betroffenen Unternehmen bestehen fort – und auch die am 25. März 2022 angekündigte prinzipielle Verständigung mit den USA über einen Ersatz für den Privacy Shield bleibt vorerst wenig konkret.

Dabei ist eine praktikable Lösung zur Schaffung von Rechtssicherheit für den trans­atlantischen Datentransfer dringend erfor­der­lich. Um die Ersatzregelung für den Privacy Shield auszuarbeiten, könnte ein Aufsichtsgremium ernannt werden, das die Institu­tionalisierung des Drittlandstransfer­moduls begleiten würde. Solche Aufsichtsbehörden können bei Nicht­einhaltung von Vorgaben Geldstrafen verhängen und haben in der Vergangen­heit erfolgreich ver­mittelt, wenn Unternehmenspraktiken (etwa von TikTok und Facebook) gegen DSGVO-Vor­schriften verstießen.

Agendasetting in der trans­atlantischen Zusammenarbeit

Transatlantische Zusammenarbeit und euro­päische technologische Souveränität bedingen einander: So fordert das EU-Chip­gesetz höhere öffentliche Investitionen in Halb­leiter-FuE in Europa, während der im Juni 2020 verabschiedete amerikanische CHIPS for America Act Investitionen in Chip­design-FuE in den USA vorsieht. Selbst wenn auf beiden Seiten des Atlantiks Be­den­ken über einen sich abzeichnenden, kontra­produktiven »Subventionswettlauf« vor­gebracht wurden, könnte der Brüssel-Effekt ebenfalls in dieser Frage Abhilfe schaffen: Hier wie dort müssen sich Poli­ti­kerinnen und Politiker darüber im Klaren sein, dass sich technologische Souveränität nicht zurückerlangen lässt, indem man sich nur auf sich selbst konzentriert – zu kom­plex sind internationale Interdepen­denzen in den Bereichen technologisches Know-how, Unternehmenskultur, Produktionsstätten und Ressourcenbeschaffung. Dem­zufolge wäre es naheliegend, auch Kanada künftig in den TTC miteinzubeziehen, denn eine transatlantische demokratische Tech­nolo­gie­politik wird spätestens dann nicht an Kanada vorbeikommen, wenn es um Res­sourcen­sicherheit geht.

Da beide Chipgesetze erst vor kurzem erlassen worden sind, wäre es förderlich, die transatlantische Forschungszusammenarbeit zu erleichtern und – ähnlich wie bei der KI-Regulierung – sowohl Vorschriften für den Wettbewerb festzulegen (hier: auf dem Halbleitermarkt) als auch Zertifizierungs­kriterien (für Chipprodukte). Die Vor­teile liegen gerade in Sicherheitsfragen auf der Hand, denn gemeinsam zertifizierte Chips im transatlantischen Markt sorgen für Vertrauen und könnten Spionage oder Sabo­tage durch Dritte weitestgehend vorbeugen.

Obwohl derzeit nur die USA über aus­reichende Kapa­zitäten und Fachkenntnisse verfügen, um mit Unternehmen zu kon­kur­rieren, deren Produkte aktuellen Zerti­fi­zierungsstandards nicht entsprechen (wie Huawei), kann die EU hier doch die Agenda der künftigen Zusammenarbeit im Hinblick auf demokratische Tech­nologie und deren Steuerung bestimmen. Dies hat sie bei der KI-Technologie bereits mit Erfolg getan. Das Beispiel der Huawei-Geräte zeigt überdies, dass Unternehmen, die nicht bereit sind, die EU-Standards ein­zuhalten, damit rech­nen müssen, vom Markt ausgeschlossen zu wer­den. Die EU sollte das betonen, wenn sie die Daten ihrer Bürgerinnen und Bürger auch vor US-Geheim­diensten schützen will.

Schlussfolgerungen und Ausblick

Amerikanische Firmen sind auf den Zugang zum europäischen Markt angewiesen, gleich­zeitig sind Marktteilnehmer und ‑teilneh­me­rinnen im EU-Binnen­markt hochgradig abhängig von den Pro­dukten amerikanischer Digitaltechnik­unternehmen. Gemein­sam bilden USA und EU den größten Markt, dessen einzelne Länder auch libe­rale Demo­kratien sind, und teilen zen­trale Werte wie Schutz der Menschen­rechte, Rechtsstaatlichkeit und freien, fairen wirtschaftlichen Wettbewerb. All dies spricht für eine enge transatlantische Zusammenarbeit in Fragen der Digita­lisierung, der Technologie-Gover­nance und bei der Entwicklung von demo­kratischer Tech­nologie.

Europäische Entscheidungsträgerinnen und ‑träger sind gut beraten, in Vorbereitung der Mai-Tagung des TTC das Ziel zu formulieren, die an­spruchs­vollen europäischen Standards für fairen Wettbewerb und hohen Datenschutz zu gewährleisten und sich dafür den Brüssel-Effekt zunutze zu machen. Gleichzeitig ist es wichtig, offen zu bleiben für Verhandlungen in Detail­fragen, denn einzelne Bestimmungen wie die namentliche Nen­nung von Gatekeepern mittels des DMA können und müssen noch weiter dis­kutiert und konkretisiert werden. Die EU hat hier einen Rahmen für den digi­talen Markt vorgegeben und sollte diesen ihren Ansatz unter Einbeziehung von Inter­essengruppen weiterverfolgen. Es gilt, die neuen Vorschriften so an­zupassen, dass sie in der Unternehmenspraxis umsetzbar sind.

Um mit einer kohärenten Stra­tegie und einem glaubwürdigen Mandat in die Ver­hand­lungen gehen zu können – und damit in der Lage zu sein, Europas digitale Souve­ränität auch gegenüber den USA zu behaup­ten –, ist es von ent­scheidender Bedeutung, den Prozess der internen euro­päischen Re­Souveränisierung weiter voran­zutreiben, indem man sich in der EU schnellstmöglich auf ein Rechtssubstitut für den Privacy Shield einigt. EU-Verordnungen, die im Rahmen der euro­päischen Komitologie­verfahren ent­wickelt wurden, sind in der Vergangenheit trotz anfänglich heftiger Widerstände erfolg­reich über den Brüssel-Effekt exter­na­lisiert wor­den. An diesem Vorgehen sollte sich die EU orientieren und auf diesem Wege ebenso die eigene Inte­gration vertiefen.

Dr. Annegret Bendiek ist Stellvertretende Leiterin der Forschungsgruppe EU / Europa.
Isabella Stürzer ist studentische Mitarbeiterin in der Forschungsgruppe EU / Europa.

© Stiftung Wissenschaft und Politik, 2022

SWP

Stiftung Wissenschaft und Politik

ISSN (Print) 1611-6364

ISSN (Online) 2747-5018