Umsetzung und Zeitplanung von „GAIA-X“
der Abgeordneten Dieter Janecek, Dr. Konstantin von Notz, Dr. Danyal Bayaz, Tabea Rößner, Dr. Anna Christmann, Anja Hajduk, Katharina Dröge, Sven-Christian Kindler, Stefan Schmidt, Kai Gehring, Kordula Schulz-Asche, Margit Stumpp und der Fraktion BÜNDNIS 90/DIE GRÜNEN
Vorbemerkung
Anlässlich des Digitalgipfels stellte die Bundesregierung am 29. Oktober 2019 unter dem Namen „GAIA-X“ ein Projekt für eine europäische sichere Dateninfrastruktur vor, das nach Auskunft der Bundesregierung gemeinsam mit Frankreich konzipiert und entwickelt werden soll. Ziel der Bundesregierung ist es, eine sichere und vertrauenswürdige Dateninfrastruktur für Europa aufzubauen und dadurch die Grundlage für eine europäische digitale Souveränität zu schaffen (siehe Pressemitteilung zur deutsch-französischen Zusammenarbeit für eine sichere und vertrauenswürdige Dateninfrastruktur des Bundesministeriums für Wirtschaft und Energie (BMWi) vom 29. Oktober 2019, www.bmwi.de/Redaktion/DE/Pressemitteilungen/2019/20191029-pressemitteilung-zur-deutschfranzoesischen-zusammenarbeit-fuer-eine sichere-vertrauenswuerdige-dateninfrastruktur.html).
Seit Jahren stellen sich nach Ansicht der Fragesteller eine Reihe von Fragen zur Rechtmäßigkeit von Datenspeicherungen, auch und gerade öffentlicher Stellen, auf US-amerikanischen Servern. Exemplarisch wurde diese Debatte beispielsweise bezüglich der Frage der Rechtmäßigkeit der Speicherung von Daten aus Aufzeichnungen von „Bodycams“ der Bundespolizei auf Servern des US-Anbieters AWS geführt. Während die Bundesregierung bis heute von der Rechtmäßigkeit ausgeht, hält der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an seiner Auffassung fest, dass eine solche Datenspeicherung rechtswidrig sei. Im weiteren Verlauf dieser Debatte wurde deutlich, dass bei entsprechenden Datenspeicherungen, auch und gerade von Bundesministerien und nachgeordneten Behörden, längst nicht nur auf diesen, sondern auch auf eine Vielzahl von US-Anbietern zurückgegriffen wird, und demnach die Tragweite der Problematik noch sehr viel größer ist (siehe HR-Info vom 18. Juni 2019 „Mehrere Bundesbehörden speichern offenbar Daten bei externen Cloud-Anbietern“, abrufbar unter www.hr-inforadio.de/programm/themen/mehrere-bundesbehoerden-speichern-offenbar-daten-bei-externen-cloudanbietern,bundesbehoerden-clouds-100.html, sowie Protokoll der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019 und Antwort der Bundesregierung auf die Schriftliche Frage 31des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/11515).
Insgesamt wird die Debatte um die Rechtmäßigkeit entsprechender Datenspeicherungen in Drittstaaten, vor allem in den USA, seit vielen Jahren sehr intensiv geführt, vor allem im Zuge der Verabschiedung des „Safe Harbour-Abkommens“ und des „Privacy Shield“ auf EU-Ebene. In diesem Zusammenhang wird immer wieder auch auf bestehende Rechtsgrundlagen in den USA wie den „CloudAct“ verwiesen, die US-Sicherheitsbehörden sehr weit gehende Zugriffsrechte auf entsprechende Datenspeicherungen ermöglichen.
Die jetzige Ankündigung und die bisherige Nicht-Existenz sowohl der sogenannten Bundes-Cloud als auch einer europäischen Lösung stehen nach Ansicht der Fragesteller somit exemplarisch für die massiven Versäumnisse, sich angemessen mit der Thematik zu beschäftigen und sichere, datenschutzkonforme Alternativen zu schaffen.
Die Bundesregierung hat nach Ansicht der Fragesteller mit ihrer Ankündigung einer französischen Kooperative sowie eines gemeinsamen europäischen Vorgehens beim Aufbau einer europäischen Cloud-Infrastruktur hohe Erwartungen geweckt. Unklar bleibt nach Ansicht der Fragesteller allerdings, wie diese Erwartungen wirklich erfüllt werden können. Es ist nach Ansicht der Fragesteller offen, inwiefern die Pläne der Bundesregierung bereits mit den europäischen Partnerstaaten und der EU-Kommission abgesprochen sind, wie der genaue Zeitplan und die Finanzierung aussehen sollen.
Wir fragen die Bundesregierung:
Fragen30
Hat die Bundesregierung die Planungen zum Projekt „GAIA-X“ bereits mit Vertreterinnen und Vertretern der EU-Kommission vorbesprochen, und wenn ja, in welcher Detailtiefe, und welches weitere Vorgehen wurde vereinbart (bitte Zeitpunkt und Beteiligte der Besprechungen oder Treffen auflisten)?
a) Wurde dabei auch die skizzierte Zeitplanung für die Projektumsetzung besprochen, und wenn ja, mit welchem Ergebnis?
b) Hat die Bundesregierung bereits Signale der vermutlich zukünftigen Kommissionspräsidentin erhalten, dass dieses Projekt in einer EU-Kommission unter ihrer Leitung auf Zustimmung stoßen könnte?
c) Harmonisieren die eigenen Pläne nach Ansicht der Bundesregierung mit den angekündigten Vorhaben der EU-Kommission, beispielsweise zur schrittweisen Realisierung der digitalen Souveränität Europas?
d) Gibt es nach Kenntnis der Bundesregierung parallel Pläne der EU-Kommission für den Aufbau einer EU-weiten Cloud-Lösung? Falls ja, wie sehen diese konkret aus, und wie gedenkt die Bundesregierung sicherzustellen, dass die Pläne harmonieren?
Hat die Bunderegierung ihre Projektvorschläge bereits mit anderen EU-Mitgliedstaaten besprochen, und wenn ja, mit welchen Mitgliedstaaten und in welcher Detailtiefe, und welches weitere Vorgehen wurde vereinbart (bitte Zeitpunkt und Beteiligte der Besprechungen oder Treffen auflisten)? Wurden dabei auch die skizzierte Zeitplanung und die Finanzierung für die Projektumsetzung besprochen, und wenn ja, mit welchem Ergebnis?
Konnte bereits ein Termin für die für Anfang 2020 angekündigte gemeinsame deutsch-französische Veranstaltung in Brüssel zur Vorstellung des Projekts gegenüber weiteren EU-Mitgliedstaaten festgelegt werden? In welchen Punkten soll das Projekt bis dahin weiter konkretisiert werden, und welche Fragen sollen bis dahin beantwortet werden?
Erwägt die Bundesregierung, weitere europäische Länder, insbesondere die Schweiz und Norwegen, in die Planung und Umsetzung von „GAIA-X“ einzubinden?
Mit welchen weiteren europäischen Partnern, auch aus Wissenschaft und Zivilgesellschaft, soll das Projekt umgesetzt werden?
Wie will die Bundesregierung die angekündigte Offenheit für die Mitwirkung von Marktteilnehmern von außerhalb Europas mit den Leitprinzipien „Europäischer Datenschutz“ und „Souveränität und Selbstbestimmung“ in Einklang bringen, insbesondere vor dem Hintergrund des US-amerikanischen Cloud Acts (Clarifying Lawful Overseas Use of Data Act, H.R.4943) von 2018?
Inwieweit sind die deutschen und europäischen Datenschutzaufsichtsbehörden in die bisherigen Planungen einbezogen?
Welche Rolle spielt aus Sicht der Bundesregierung Verschlüsselung als Sicherheitsvoraussetzung für eine europäische Dateninfrastruktur, und aus welchen Gründen wird das Thema Verschlüsselung in der Projektbeschreibung zu „GAIA-X“ (www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/das-projekt-gaia-x.pdf?__blob=publicationFile&v=20 ) nicht erwähnt?
Welche Vorüberlegungen oder Vorfestlegungen seitens der Bundesregierung bzw. nach Kenntnis der Bundesregierung auch seitens der französischen Regierung bestehen hinsichtlich der Festlegung einer geeigneten Rechtsform für „GAIA-X“?
Welchen zeitlichen und personellen Aufwand erwartet die Bundesregierung angesichts der großen Anzahl involvierter Anwender und hinsichtlich verschiedener unterschiedlicher Anwendungsszenarien (von der Bereitstellung von Edge-Computing-Kapazitäten für mittelständische produzierende Unternehmen über eine Mobilitätsplattform bis hin zu rechtssicheren Cloud-Anwendungen für die Verwaltung) für die Definition von technischen Spezifikationen? Welche Akteure sieht die Bundesregierung in der Pflicht, diesen Aufwand zu stemmen?
Plant oder erwägt die Bundesregierung, sich für einen finanziellen Anreiz zur Kompensation der Migrationskosten für Unternehmen einzusetzen, die von ihrem bisherigen Cloud-Anbieter auf ein zukünftig innerhalb der gemeinsamen europäischen Cloud-Infrastruktur realisiertes Angebot wechseln wollen?
Welche Eigenschaften werden für „GAIA-X“ aus Sicht der Bundesregierung entscheidend sein, damit es mittelständische Unternehmen für eines der Anwendungsszenarien tatsächlich nutzen und gegenüber anderen Anbietern von Edge-Computing oder Cloud-Diensten bevorzugen werden?
Welchen Beitrag wird „GAIA-X“ aus Sicht der Bundesregierung für das Teilen von Daten zwischen europäischen Unternehmen leisten, und wie soll dies rechtlich ermöglicht werden?
Plant die Bundesregierung, die „offene Dateninfrastruktur“ auch durch verbindliche Vorgaben zur Nutzung von öffentlich überprüfbarer offener Software und Bereitstellung offener Schnittstellen sicherzustellen?
Wieso sind bei den bisherigen genannten mitwirkenden Personen keine Vertreterinnen und Vertreter der organisierten Zivilgesellschaft vertreten? Plant die Bundesregierung die Einbeziehung der Expertise der organisierten Zivilgesellschaft?
Inwieweit steht die Bundesregierung mit den Beteiligten der European Open Science Cloud und der nationalen Forschungsdateninfrastruktur (NFDI) im Austausch, und wie werden deren Erfahrungen in die Umsetzung von „GAIA-X“ einfließen?
Ist von Seiten der Bundesregierung eine Öffnung von „GAIA-X“ auch für Forschungseinrichtungen und Hochschulen geplant? Wenn ja, wie? Wenn nein, warum nicht?
Welche konkreten Vorschläge wird die Bundesregierung in die weiteren Planungen einbringen, um die für den Erfolg dieses im internationalen Wettbewerb stehenden Projekts bedeutsamen Attraktivitätsfaktoren der Performance und der Kosten zu adressieren?
Auf welche Weise konkret plant die Bundesregierung, die von ihr mit dem Projekt in Verbindung gebrachte Förderung von Künstlicher Intelligenz (KI) und data availability sowie universellen Datenbanken, Datenpooling und Daten-Interoperabilität zu realisieren, wenn und soweit es sich zugleich um ein hochsicheres Cloud-Modell mit verschlüsselten, in privater Verfügung stehenden und auch personenbezogenen Daten handeln sollte?
Wann ist mit der Realisierung der sogenannten Bundes-Cloud zu rechnen, und ist aus Sicht der Bundesregierung aus heutiger Perspektive sichergestellt, dass die zu schaffende „Bundes-Cloud“ mit „GAIA-X“ kompatibel ist? Falls ja, wie konkret (vgl. u. a. auch Antwort der Bundesregierung auf die Schriftliche Frage 48 des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/9692)?
Auf welchen Plattformen von US-Anbietern speichern Bundesministerien und Bundesbehörden heute ihre Daten (bitte konkret aufschlüsseln, vgl. hierzu u. a. Protokoll zum „Bericht der Bundesregierung zur Cloud-Speicherung von Bodycam-Daten der Bundespolizei“ während der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019 und Antwort der Bundesregierung auf die Schriftliche Frage 31 des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/11515 und Antwort der Bundesregierung auf die Schriftliche Frage 48 des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/9692 sowie Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/10826)?
Bleibt die Bundesregierung bei ihrer mit Bezug auf die Speicherung der Daten von Aufnahmen der Bodycams der Bundespolizei geäußerten Rechtsauffassung, dass die Datenspeicherungen rechtskonform erfolgen (vgl. hierzu u. a. Protokoll zum „Bericht der Bundesregierung zur Cloud-Speicherung von Bodycam-Daten der Bundespolizei“ während der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019) ?
Wie gedenkt die Bundesregierung weiter mit dem Umstand umzugehen, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit entsprechende Datenspeicherungen, u. a. mit Hinweis auf mangelnde Verschlüsselungsverfahren und bestehende Rechtsgrundlagen in den USA, als „rechtswidrig“ erachtet hat (vgl. hierzu u. a. Protokoll zum „Bericht der Bundesregierung zur Cloud-Speicherung von Bodycam-Daten der Bundespolizei“ während der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019)?
Ist die Prüfung von Bundespolizei und IT-Dienstleistern des Bundes sowie der Firma Motorola, ob und wann die „Bundes-Cloud“ zur Speicherung der aufgenommenen Videodaten der Bodycam-Aufnahmen genutzt werden kann, bereits abgeschlossen (vgl. Antwort der Bundesregierung auf die Mündliche Frage 34 des Abgeordneten Dr. Konstantin von Notz auf Plenarprotokoll 19/88)? Falls ja, mit welchem Ergebnis?
Inwiefern wird durch das Projekt „GAIA-X“ noch den Risiken des Zugriffs durch EU-Drittstaaten entgegengewirkt, wenn und soweit doch die geplante E-Evidence-Initiative der EU auch insbesondere auf die USA ausgedehnt werden soll (vgl. https://netzpolitik.org/2019/eu-startet-gespraeche-mit-den-usa-ueber-zugriff-auf-cloud-daten/) und damit US-Zugriffe auch auf „GAIA-X“ ermöglicht würden?
Welche Anstrengungen hat die Bundesregierung konkret mit welchen Vorschlägen gegenüber der Europäischen Kommission unternommen, um in den Verhandlungen der EU mit den USA für ein bilaterales Abkommen zur extraterritorialen Datenherausgabe sicherzustellen, dass die mit dem US-Cloud Act verbundenen Risiken unverhältnismäßiger und überbordender Zugriffe von US-Behörden unterbunden wird?
Teilt die Bundesregierung die Auffassung, wonach das bis Ende Dezember 2019 bzw. Anfang Januar 2020 zu erwartende Urteil des Europäischen Gerichtshofes, welches zu einer möglichen Unwirksamkeit des EU-US-Privacy Shield führen könnte, umfangreichere und vor allem raschere Anstrengungen sowohl auf nationaler Ebene als auch auf europäischer Ebene erforderlich macht, um rechtsstaatskonforme und zugleich die Souveränität Europas stärkende Antworten auf ungelöste Fragen des Umgangs mit Informationen und Daten durch Drittstaaten zu finden, und wenn ja, welche konkret schlägt sie vor?
Welche Anstrengungen hat die Bundesregierung unternommen, um den strafprozessualen Datenzugriff auf Clouds international einheitlich nach rechtsstaatlichen Grundsätzen zu regeln, und wenn ja, in welchem Rahmen (bitte konkret darlegen)? Wie hoch veranschlagt die Bundesregierung die Kosten für die bislang bereits einbezogenen Beratungsunternehmen, bzw. welche weiteren Kosten kommen auf die Steuerzahler insoweit voraussichtlich zu?
Mit welchen weiteren Akteuren des komplexen Feldes des Gesundheitswesens außer dem Bundesministerium für Gesundheit (BMG) wurde darüber gesprochen, dass die Anschlussfähigkeit der Telematikinfrastruktur und die Nutzung von „GAIA-X“ für Gesundheitsdaten angestrebt werde (S. 27 Langfassung Broschüre zum Projekt GAIA-X), und wenn ja, mit welchem Ergebnis?
Welche Überlegungen zu den vielfältigen Fragen der IT-Sicherheit eines solchen Projekts kann die Bundesregierung bislang vorweisen, die insoweit bislang nicht Gegenstand der Projektskizzen sind, und geht mit der Nichterwähnung zugleich eine Nichtpriorisierung der Problematik einher?