Mit seinem Urteil vom 16. Juli 2020 (Schrems II) zur Unionsrechtswidrigkeit der Datenschutzvereinbarung der Europäischen Union mit den USA („Privacy Shield“) zielt der EuGH letztlich auf die Herstellung digitaler Souveränität. Digitale Souveränität bedeutet in diesem Zusammenhang, dass Verantwortliche ihre IT-Systeme so auswählen, gestalten und beherrschen können, dass sie selbst in der Lage sind, ihre datenschutzrechtlichen Pflichten zu erfüllen.
Verantwortliche in Deutschland und Europa sind jedoch in hohem Maß von IT-Systemen US-amerikanischer Anbieter abhängig. Diese IT-Systeme sind in der Regel so gestaltet, dass sie personenbezogene Daten in die USA übertragen. Dort stehen sie einem rechtlich nicht kontrollierten Zugriff durch staatliche Stellen offen. Zusätzliche können die berechtigten staatlichen Stellen US-amerikanische Anbieter zwingen, ihnen personenbezogene Daten aus Europa, auf die sie – direkt oder etwa über Tochterunternehmen – Zugriff nehmen können, zu übergeben. Da betroffene US-Ausländer, diese Praxis nicht gerichtlich überprüfen lassen können, verlieren sie durch die Übertragung der Daten ihren Grundrechtsschutz. Die Verantwortlichen, die solche IT-Systeme nutzen, haben keine digitale Souveränität.
Angesichts der hohen Abhängigkeit von IT-Systemen aus den USA sind digitale Souveränität der Verantwortlichen und der geforderte Grundrechtsschutz nur zu erreichen, wenn geeignete datenschutzgerechte IT-Systeme als Alternative angeboten werden, auf die Verantwortliche wechseln können. Dies in möglichst vielen Bereichen der Verarbeitung personenbezogener Daten zu erreichen, ist keine Aufgabe der Aufsichtsbehörden, sondern der Politik. Sie zu erfüllen, erfordert Maßnahmen unter anderem der Industrie-, Forschungs-, Bildungs- und Rechtspolitik im Land Hessen, im Bund und in der Europäischen Union.
Bemühungen um mehr digitale Souveränität finden in Deutschland und in der Europäischen Union seit mehreren Jahren statt. Für sie hat sich gerade Deutschland in seiner Präsidentschaft im Rat der Europäischen Union im zweiten Halbjahr 2020 besonders stark eingesetzt. Digitale Souveränität ist nicht nur eine Frage der Wettbewerbsfähigkeit, der politischen Selbstbestimmung und der Innovationskraft, sondern auch der Sicherung der Rechtsstaatlichkeit. Sie erfordert eine Vielfalt datenschutzkonformer Alternativen zu IT-Systemen, die eine Datenverarbeitung in einem Drittstaat erzwingen oder einen Datenzugriff aus einem Drittstaat ermöglichen, der kein vergleichbares Datenschutzniveau wie in der Europäischen Union hat. Oder umgekehrt formuliert: Digitale Souveränität ist dann zu erreichen, wenn es ausreichende Wahlmöglichkeiten für IT-Systeme gibt, die die Datenschutzanforderungen einhalten. Um die Auswahl datenschutzkonformer Alternativen zu fördern, sind geeignete gesetzliche Rahmenbedingungen, aber auch vielfältige praktische Maßnahmen der Auswahl, Beschaffung und Nutzung geeigneter IT-Systeme notwendig.
Maßnahmen zur Verringerung der technologischen Abhängigkeit und zur Stärkung digitaler Souveränität müssen auch in Hessen ergriffen werden. Hierzu bedarf es einer umfassenden und langfristigen Strategie sowie des Willens diese konsequent und nachhaltig umzusetzen. Öffentliche Stellen sollten hier mit guten Beispielen vorangehen. Ein solches Beispiel könnte etwa der gezielte Einsatz datenschutzgerechter Videokonferenzsysteme sein, die ausreichend am Markt verfügbar sind. Mit solchen Beispielen ließe sich zeigen, wie sich digitale Souveränität „made in Hessen“ erreichen lässt. Sie könnte die notwendigen Funktionen des gewünschten IT-Systems bieten und zugleich die Vorgaben des Grundrechts- und Datenschutzes erfüllen.
Stand: 16.07.2021