Über Daten mit Diplomatenstatus und ihre Bedeutung für das Großherzogtum

Digitale Botschaften in Luxemburg

d'Lëtzebuerger Land vom 03.09.2021

Im Dezember 2018 haben Luxemburg und Monaco mit einer „Partnerschaft für digitale Innovation“ den Weg bereitet, um nach Estland eine weitere digitale Botschaft in Luxemburg zu errichten. Am 15. Juli dieses Jahres war es so weit. Wie beide Staatsministerien per Presseschreiben mitteilen, haben sich Monacos Staatsminister Pierre Dartout und sein Homologe Xavier Bettel im Hotel Saint-Maximin an der Place de Clairefontaine getroffen. Mit ihren Unterschriften besiegeln sie eine bi-laterale Vereinbarung für das Projekt einer „souveränen Cloud“.

Monacos „souveräne Cloud“ ist die zweite digitale Botschaft, die in Luxemburg errichtet wird. Wie Estland möchte der Fürstenstaat eine digitale Festung im Großherzogtum betreiben, um sensible Daten zu bunkern. Gemeint sind die hochsicheren Datenzentren in Luxemburg. Diesen Datenzentren kommt mit dem Sicherheitsstandard Tier IV das Prädikat zero failure zu, wie es auf der Webseite des European Business Reliance Center heißt. Die gespeicherten Daten des Kunden müssen rund um die Uhr verfügbar sein. Daher stehen im Fall der Fälle zwei Notstromaggregaten bereit, die beide 50 000 Liter Diesel fassen (d’Land, 23.12.2016). Die meisten von uns werden das Innenleben der digitalen Botschaft Monacos nie zu Gesicht bekommen. Eintritt in die Datenzentren wird nur denjenigen gewährt, die vom Fürstenstaat dazu bevollmächtigt sind. Bereits 2017 besagt das Abkommen für die estnische data embassy, dass ohne Zustimmung Estlands kein Luxemburger Staatsbeamter die Räumlichkeiten der digitalen Botschaft betreten dürfe. Ohne Genehmigung der Baltenrepublik sei selbst der Justiz, der Polizei oder dem Militär Luxemburgs die Hände gebunden.

Gleichwohl besitze Monacos Datenzentrum in Luxemburg diesselbe Immunität wie eine traditionellen Botschaft. Dies berichtet ein Online-Artikel der Tageszeitung Monaco-Matin am 27. Juli. Der Artikel veranlasst den CSV-Abgeordneten Gilles Roth mit seinem Parteikollegen Laurent Mosar eine parlamentarische Frage einzureichen. Gegenstand der Frage vom 4. August sind die Privilegien und Immunitäten, die einer digitalen Botschaft zukommen sollen. Wer profitiert von diesen Sonderrechten und gibt es Pläne, das Modell der digitalen Botschaften auf weitere Länder auszuweiten? Als Bürger/in möchte man natürlich wissen, was digitale von traditionellen Botschaften unterscheidet.

Ein NBC News-Artikel von 2019 liefert einige Antworten: Luxemburger Regierungsbeamte zufolge haben neben Estland und Monaco weitere Staaten Interesse an einer digitalen Botschaft geäußert. Auch der Direktor des Centre des technologies et de l’information de l’État (CTIE), Patrick Houtsch, hat mit der Nachrichtenabteilung des amerikanischen Senders NBC über digitale Botschaften gesprochen. Für Houtsch sei das Originelle an den Datenzentren, dass die Luxemburger Regierung ihren Partnerländern Dienste anbiete, die mit Immunität einhergehe. Dabei an Immunität gegenüber Computerviren zu denken, scheint abwegig. Eher ist hier von diplomatischer Immunität die Rede. Diplomatische Immunität ist eng mit dem Diplomatenstatus verbunden, den eine Botschafterin mit gewissen Sonderrechten und Befreiungen adelt.

Laut der luxemburgisch-estnischen Vereinbarung kommt Immunität in einer data embassy jedoch nicht Menschen zu. Es geht um die Lizenzen und Ausrüstungen innerhalb der Räumlichkeiten der digitalen Botschaft, die für das Betreiben des Datenzentrums nötig sind. Warum wird aber Ausrüstung und Lizenzen besonderer Schutz zuteil und nicht den gespeicherten Daten, um die es doch eigentlich geht? Schließlich heißt es auf der Internetseite der Luxemburger Regierung, dass mit dem Konzept e-embassy „das Hosting sensibler Daten in einem befreundeten Land mit Immunitätsgarantien“ einhergehe.

Die parlamentarische Frage Roths und Mosars ist an zwei Minister gerichtet: an Xavier Bettel sowie Jean Asselborn. Ruft man beim Wirtschaftsministerium an, erhält man die Antwort, dass digitale Botschaften zwar bei trade missions Thema seien. Aber abgesehen davon, handele es sich hierbei um Fragen des diplomatischen Schutzes und des Bereitstellens digitaler Infrastrukturen. Man sei daher beim Ministerium für auswärtige und europäische Angelegenheiten und beim Ministerium für Digitalisierung richtig. Im Außenministerium erklärt man, dass digitale Botschaften „Nischendomäne“ seien. Auch beim CTIE bleibt ein tieferes Gespräch vorerst aus. Man würde mit einer „koordinierten Antwort“ auf uns zurückkommen. Bei LuxConnect herrscht bezüglich des Themas eine Vertraulichkeitsvereinbarung, ein agreement of non-disclosure.

Ein wichtiges Detail ist, dass Monacos „souveräne Cloud“, das heißt ihre Digitale Botschaft in Luxemburg, von Amazon Web Services (AWS) betrieben werden soll. Dies würde bedeuten, dass neben den beiden Staaten und LuxConnect auch Amazon im Boot wäre. Der Tech-Riese biete angeblich mehr Sicherheit und Transparenz. Man sei durch die neue, digitale Infrastruktur und AWS nun in der Lage, die eigenen Daten zu verschlüsseln. Das seien die Gründe für die Wahl von AWS, die von Regierungsbeamten auf der Internetseite Extended Monaco angegeben werden.

Spricht man mit Gilles Roth über die Beteiligung Amazons an der digitalen Botschaft Monacos, verweist er darauf, dass Luxemburg „direkt oder indirekt“ nichts damit zu tun habe. Dies sei eine Wahl, die das Fürstentum getroffen habe. Als Luxemburger Abgeordneter stehe es ihm nicht zu, dies zu kommentieren. Umgekehrt hält der Parlamentarier es für gut, dass in Luxemburg sensible Daten „so weit wie möglich“ von Staatsbeamten betreut werden. Nichtsdestotrotz stehe im Falle von Backup-Systemen bei vielen EDV-Ketten „im Endeffekt“ ein Privatunternehmen. Dennoch sei es Roth zufolge richtig, dass der erste Verantwortliche in Luxemburg ein Staatsbeamte sei, der mit sensiblen Daten in Kontakt komme. Denke man etwa an das Bevölkerungsregister in Luxemburg, könne Roth sich nicht vorstellen, dass ein Vertreter Amazons Details zum Ehestand in das Register eintrage.

Vor diesem Hintergrund wird ein Papier der Harvard Kennedy School aus dem Monat Juli relevant. Die Autorin Madalina Murariu beleuchtet darin die Möglichkeiten für einen reibungslose Datenaustausch zwischen den USA und Europa. Die Schwierigkeit besteht darin, den internationalen Datenfluss zwischen den beiden Kontinenten zu regeln, ohne ihn ins Stocken geraten zu lassen. Der Europäische Gerichtshof hat die vorläufigen Vereinbarungen zwischen den Vereinigten Staaten und der EU aus Datenschutzgründen immer wieder gekippt, zuletzt im Juli 2020. Die jetzige Lage bringe eine lange Liste an gesetzlichen Vorschriften mit sich und belaste betroffene Unternehmen finanziell. Der Knackpunkt: es geht um eine Menge Geld. Verteilt auf 5 300 Unternehmen, darunter auch Amazon, Facebook und Google, schätze man den Gesamtwert transatlantischer Daten- und Informationstransfers auf mehr als 7,1 Billionen Dollar. Eine astronomische Zahl: nach 7,1 folgen elf Nullen vor dem Komma.

Der Clou: Das Modell der digitalen Botschaft Estlands in Luxemburg wird als ein plausibler Vorschlag in Murarius‘ Papier angeführt, um einen einwandfreien Datenaustausch zwischen den Atlantikküsten zu ermöglichen. Der Präzedenzfall, den Estland und Luxemburg 2017 mit dem Modell „digitale Botschaft“ geschaffen habe, könnte auf transkontinentaler Ebene Schule machen. Denn wie der Artikel hergibt, könnte das Modell der Datenbotschaft den Boden bereiten für ein „bilateral Data or a Cloud Embassy system“ zwischen der EU und den Vereinigten Staaten. Somit ist zumindest in der Theorie die Grundlage gelegt für eine neue transatlantische Datenautobahn in beide Richtungen.

Dabei könne auch die diplomatische Immunität wieder ins Spiel kommen. Gemäß der Wiener Übereinkommen über diplomatischen Beziehungen von 1961 ist diplomatische Immunität eigentlich für Staatsvertreter/innen vorbehalten. Aber wendet man Immunität auf Daten an, könnten sich ganz neue Spielräume im transatlantischen Datentransfer öffnen. Es erlaube nämlich im Ausland virtuelle Datenräume zu kreieren, ohne je einen Fuß in dieses Land setzen zu müssen. Indem man digitalen Botschaften im Ausland errichte, könne man rein theoretisch im Gastland Datenräume unter eigener Rechtsprechung und mit Immunitätsgarantien gewinnen. Die eigene Datensouveränität würde somit auch in der Ferne unantastbar.

Aber lässt sich das Bollwerk der europäischen Datenschutzverordnung so leicht aushebeln? Wahrscheinlich nicht. Denn Datenimmunität dürfe nicht zum Schlupfloch von Terrorismus und Schwerstverbrechen werden. So müssten zukünftig Bestimmungen getroffen werden, damit Datenimmunität nur in bestimmten Bereichen gelten könne. Diese Erkenntnisse gehen aus Gesprächen zwischen dem amerikanischen Justizministerium und der Europäischen Kommission hervor, so das Papier.

Gilles Roth wirft ferner die Frage auf, ob einer digitalen Botschaft auch finanzielle Privilegien zukomme. Er denke da etwa an den Le Freeport Luxembourg am Findel (alias Luxembourg High Security Hub), wo man wertvolle Kunstobjekte zwischenlagern könne. Der Freeport sei ein sogenannter port franc. So lange dort Kunstobjekte zur Reparatur oder als Gegenstand einer Finanztransaktion gelagert würden, würden diese Kunstwerke nicht weiter besteuert. Besteuern bzw. verzollen würde man diese Objekte erst, wenn sie den Freeport wieder verlassen. Für den Freeport sei damals ein Gesetz gestimmt worden und nun sei fraglich, ob man die bi-laterale Vereinbarung für die digitale Botschaft nicht als einen Vertrag haben ansehen müssen, der erst durch ein Gesetz zu billigen sei. Denn falls es sich um einen Vertrag handele, müsse geprüft werden, ob dieser auch verfassungsrechtlich genehmigt werden könne.

Wie es im Monaco-Matin-Artikel heißt, stelle LuxConnect die digitale Infrastruktur zur Verfügung wie im Fall der digitalen Botschaft Estlands. Die hochsicheren Safes für Daten seien nicht „hackbar“, so Perry Wies, Manager des Datenzentrums von LuxConnect in Bissen, gegenüber der monegassischen Tageszeitung. Im Notfall kappe man das eigene Netzwerk, so dass es zu keinem Datenleck kommen könne. Danach sei es Sache des Kunden, also Monacos, die eigenen Daten angemessen zu schützen.

Die Staatsdaten vor Naturkatastrophen und Cyberangriffen zu schützen, sei der offizielle Grund, warum Monaco eine digitale Botschaft in Luxemburg brauche. Keiner konnte ahnen, dass die Vereinbarung von Dartout und Bettel just an dem Tag unterzeichnet wird, als an der Cloche d’Or Server von den Regenfluten erwischt werden. Dennoch ist der monegassische Direktor für Plattformen und Digitale Ressourcen sich sicher, dass man mit der digitalen Botschaft in Luxembourg „un veritable coffre-fort“ geschaffen habe. Wie sehr der Umstand spielt, dass sich derartige Wetterphänomene in Zukunft durch die Klimakrise häufen werden, ist unklar.

Liest man das Abkommen zwischen Luxemburg und Estland durch, erfährt man diesbezüglich interessante Details. Die Vereinbarung verpflichtet Luxemburg, die digitalen Botschaft Estlands und ihrer Räumlichkeiten vor jeglichem „damage and intrusion“ zu schützen. Durch die zunehmenden Gefahren, die eine verschärfte Klimakrise mit sich bringt, stellt sich die Frage, wie lange Luxemburg derartigen Schutz zuverlässig garantieren kann. Tornados, Fluten und Hitzewellen sind in Luxemburg keine Fremdwörter mehr. Ganz zu schweigen von einem Sonnensturm, der für elektrische Infrastruktur fatal sein könnte.

Die Frage funktioniert auch umgekehrt: Was, wenn Luxemburg als Datenstandort ins Fadenkreuz anderer Nationen gerät? Oder das Arte-NDR-Gedankenexperiment An zéro : Comment le Luxembourg a disparu (2021) Wirklichkeit wird? Wobei, kann man Bürger/in eines Landes sein, wenn es unbewohnbar oder besetzt worden ist? Bräuchte Luxemburg nicht selbst eine digitale Botschaft im Ausland? Vielleicht. Jedenfalls steht technisch gesehen dem ‚Staat aus dem Server‘ nichts im Wege.

Die Geschichte der weltweit ersten, digitalen Botschaft in Luxemburg beginnt 2007 in Estland. Damals erfährt der Baltenstaat am eigenen Leib, was Cyberkonflikte bedeuten. Laut e-estonia-Webseite gelingt es einem russischen Hackerangriff vor fast fünfzehn Jahren „to take fifty-eight Estonian websites offline at once, including those of the government, most newspapers and many banks.“ Spätestens als Russland 2014 die Krim völkerrechtswidrig annektiert, wird der estnischen Regierung vollends klar, dass ihnen ein ähnliches Schicksal blühen könnte. Die data-embassy könnte sich als Stabilitätsfaktor im digitalen Zeitalter entpuppen. 2019 hat ein Jura-Doktorand der Warschauer Universität in einem Artikel folgende Schlussfolgerung gezogen: Falls jemand die digitale Botschaft in Luxemburg angreift, gefährde der Angreifer nicht nur die diplomatischen Beziehungen zu Estland, sondern auch zum Großherzogtum. Geht man diesen Gedanken nach, könnte dies der Beginn eines Warschauer Pakts 2.0 sein.

Jeff Simon
© 2021 d’Lëtzebuerger Land