Man spricht von Souveränität als einer Frage des Bodens. Meine Maschinen, mein Territorium, meine Flagge. Das ist eine unvollständige Sichtweise. Das Völkerrecht praktiziert seit langem eine andere Form der Souveränität, die weder mit dem Boden noch mit dem Eigentum an Gebäuden zusammenhängt, sondern mit einem klar definierten und abgeschlossenen Rechtsraum. In der diplomatischen Praxis hat sie einen Namen, es gibt Rechtstexte dazu, und sie funktioniert. Es ist hilfreich, dies zu verstehen, bevor man über die Cloud spricht, denn es zeigt, dass ein Raum einem Rechtssystem unterliegen kann, ohne sich auf dem Hoheitsgebiet dieses Rechtssystems zu befinden.
Was das Recht bereits außerhalb des nationalen Hoheitsgebiets bewirkt
Eine Botschaft ist kein Teil des Hoheitsgebiets des Staates, der sie beherbergt. Diese weit verbreitete Annahme ist falsch. Das Wiener Übereinkommen über diplomatische Beziehungen von 1961 besagt nicht, dass die Räumlichkeiten einer diplomatischen Vertretung zum Hoheitsgebiet des entsendenden Staates gehören. In Artikel 22 heißt es, dass sie unverletzlich sind: Beamte des Gaststaates dürfen sie nicht ohne Zustimmung des Missionsleiters betreten. Das Hoheitsgebiet bleibt das des Gaststaates. Was sich ändert, ist die Frage, wer dort Zwangsmaßnahmen ausüben darf. Der Gaststaat verzichtet freiwillig auf seine Polizeigewalt in einem Bereich, der weiterhin in seinem Besitz ist.
Die diplomatische Post folgt derselben Logik. Artikel 27 sieht vor, dass sie weder geöffnet noch zurückgehalten werden darf. Er kann mehrere Länder durchqueren und Flughäfen mit unterschiedlichen Rechtsordnungen passieren, ohne dass eine dieser Rechtsordnungen ihn kontrollieren darf. Der Behälter bewegt sich, die Rechtsordnung folgt ihm. Es handelt sich nicht um einen geschützten Ort, sondern um einen Status, der mit dem Gegenstand reist.
Fahrzeuge mit Diplomatenkennzeichen funktionieren auf dieselbe Weise. Das Kennzeichen versetzt das Fahrzeug nicht in ein anderes Hoheitsgebiet. Es weist lediglich darauf hin, dass es einer besonderen Immunitätsregelung unterliegt, die vom Gaststaat anerkannt wird. Die Abkommen über den Status der Streitkräfte, die SOFA, gehen noch weiter: Sie legen vertraglich fest, welches Recht für die Soldaten eines Staates gilt, die auf dem Hoheitsgebiet eines anderen Staates stationiert sind. Ein US-Stützpunkt in Deutschland bleibt auf deutschem Boden. Das SOFA legt von Fall zu Fall fest, welche Gerichtsbarkeit für das Personal, Straftaten und Vermögenswerte gilt.
Keine dieser Regelungen romantisiert irgendetwas. Es handelt sich um ausgehandelte, begrenzte, manchmal umstrittene und stets widerrufbare Vereinbarungen. Aber sie legen eine einfache Tatsache fest: Ein Staat kann sein Recht in einem Raum ausüben, der nicht sein Hoheitsgebiet ist, sofern ein rechtlicher Rahmen dies definiert und die andere Partei diesen respektiert. Rechtliche Souveränität setzt nicht das Eigentum am Boden voraus. Sie setzt einen festgelegten Geltungsbereich, ein anwendbares Recht und die Verpflichtung voraus, diesen nicht zu überschreiten.
Den Geltungsbereich übertragen, nicht die Metapher
Die Digitalisierung wirft genau dieselbe Frage auf, nur ohne den geografischen Bezug. Wenn eine Organisation eine souveräne Cloud sucht, sucht sie nicht in erster Linie nach einem Ort. Sie sucht nach einem Raum, dessen anwendbares Recht bekannt ist und der von keinem ausländischen Gesetz erreicht werden kann. Das ist die Definition der diplomatischen Unverletzlichkeit, angewendet auf Daten statt auf Räumlichkeiten.
Die Parallele ist in einem Punkt präzise. So wie die Botschaft nicht vom Boden, sondern vom Status abhängt, hängt ein souveräner Dienst nicht vom Standort der Server ab, sondern von der rechtlichen Zugehörigkeit des Betreibers und der Undurchdringlichkeit des Perimeters. In Frankreich gehostete Daten bleiben durch ein extraterritoriales Gesetz zugänglich, wenn der Betreiber einer ausländischen Gerichtsbarkeit unterliegt. Der 2018 verabschiedete US-amerikanische CLOUD Act ermöglicht es den US-Behörden, Daten von einem Unternehmen zu verlangen, das ihrer Gerichtsbarkeit unterliegt, unabhängig davon, wo diese gespeichert sind. Der Standort bietet keinen Schutz. Der rechtliche Rahmen hingegen schon – vorausgesetzt, er ist so konzipiert, dass er standhält.
Genau das versucht die SecNumCloud-Zertifizierung der ANSSI zu etablieren: einen Rahmen, der für extraterritoriale Gesetze undurchdringlich ist. Das funktionale Äquivalent zu Artikel 22. Ein Raum, in den ausländisches Recht nicht eindringen kann – nicht, weil er sich anderswo befindet, sondern weil sein Status dies verbietet.
Was das Modell erklärt und was es außer Acht lässt
Das diplomatische Modell verdeutlicht eine Kategorie von Angeboten sehr gut. S3NS, ein Joint Venture von Thales und Google, sowie Bleu, getragen von Capgemini, Orange und Microsoft, kapseln die Technologie eines amerikanischen Hyperscalers in einem isolierten und als SecNumCloud zertifizierten Bereich ein. Die Hülle ist französisch, das anwendbare Recht ist französisch, ausländisches Recht greift nicht in diesen Bereich ein. Das ist rechtliche Souveränität im engeren Sinne. So wie die Botschaft das Recht des entsendenden Staates innerhalb der vom Gastland errichteten Mauern anwendet, so wenden diese Angebote französisches Recht auf einen anderswo konzipierten Stack an. Rechtliche Souveränität erfordert keine industrielle Souveränität.
Die Analogie endet hier, und man muss sie beenden. Eine Botschaft bedient weder Millionen von Nutzern noch ist sie von einer globalen Technologie-Lieferkette abhängig. Das diplomatische Modell erklärt nicht die Betriebskontinuität. Wenn Microsoft oder Google die zugrunde liegende Technologie einstellt, die Partnerschaft beendet oder ihre Bedingungen ändert, bleibt der rechtliche Rahmen zwar intakt, doch der Dienst kann ausfallen. Es erklärt auch nicht die Reversibilität: die Fähigkeit, auszusteigen, seine Daten und Konfiguration an anderer Stelle wiederherzustellen, ohne alles neu schreiben zu müssen. Eine Botschaft kann von heute auf morgen schließen. Ein Informationssystem lässt sich nicht einfach so verlegen.
Zwei Souveränitäten, zwei unterschiedliche Risiken
Man muss diese beiden Begriffe daher getrennt betrachten, da sie auf zwei Risiken eingehen, die nichts miteinander zu tun haben. Die rechtliche Souveränität befasst sich mit der rechtlichen Anfälligkeit: Wer kann den Betreiber zwingen, nach welchem Recht und mit welcher Reichweite über die Grenzen hinaus? Die industrielle Souveränität befasst sich mit der technologischen Abhängigkeit: Wer kontrolliert den Stack, und was geschieht an dem Tag, an dem der Anbieter verschwindet, den Zugang sperrt oder die Regeln ändert?
Beide sind real. Beide haben unterschiedliche Grenzen. Man kann die erste ohne die zweite aufrechterhalten; dies ist bei gekapselten Angeboten der Fall. Man kann die zweite ohne die erste aufrechterhalten; dies ist der Fall bei einem technologisch autonomen Akteur, der jedoch einer exponierten Rechtsordnung angehört. Ein qualifizierter Vertrag verringert das rechtliche Risiko, sagt aber nichts über die Umkehrbarkeit aus. Ein kontrollierter Stack garantiert Kontinuität, sagt aber nichts über das anwendbare Recht aus.
Die Entscheidung besteht nicht darin, die richtige Flagge zu wählen. Es geht darum zu wissen, welche der beiden Souveränitäten man erwirbt, welche noch aufgebaut werden muss und welches der beiden Risiken man abdecken möchte. Das Völkerrecht erinnert seit 1961 daran: Ein Bereich kann souverän sein, ohne ein Territorium zu sein. Aber ein rechtlich souveräner Bereich ist noch lange kein System, das man beherrscht.
Quellen
- Wiener Übereinkommen über diplomatische Beziehungen, 1961, Artikel 22 und 27
- Abkommen über den Status der Streitkräfte (SOFA), Praxis der NATO
- CLOUD Act (USA, 2018); SREN-Gesetz, § 31
- ANSSI, SecNumCloud-Zertifizierung und Doktrin „Cloud im Mittelpunkt“, cyber.gouv.fr
- S3NS (Thales, Google) und Bleu (Capgemini, Orange, Microsoft), Dokumentation der zertifizierten Angebote