Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Dieter Janecek, Dr. Konstantin von Notz, Dr. Danyal Bayaz, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN – Drucksache 19/15466 – Umsetzung und Zeitplanung von „GAIA-X“ V o r b e m e r k u n g d e r F r a g e s t e l l e r Anlässlich des Digitalgipfels stellte die Bundesregierung am 29. Oktober 2019 unter dem Namen „GAIA-X“ ein Projekt für eine europäische sichere Dateninfrastruktur vor, das nach Auskunft der Bundesregierung gemeinsam mit Frankreich konzipiert und entwickelt werden soll. Ziel der Bundesregierung ist es, eine sichere und vertrauenswürdige Dateninfrastruktur für Europa aufzubauen und dadurch die Grundlage für eine europäische digitale Souveränität zu schaffen (siehe Pressemitteilung zur deutsch-französischen Zusammenarbeit für eine sichere und vertrauenswürdige Dateninfrastruktur des Bundesministeriums für Wirtschaft und Energie (BMWi) vom 29. Oktober 2019, www. bmwi.de/Redaktion/DE/Pressemitteilungen/2019/20191029-pressemitteilungzur -deutsch-franzoesischen-zusammenarbeit-fuer-eine%20sichere-vertrauens wuerdige-dateninfrastruktur.html). Seit Jahren stellen sich nach Ansicht der Fragesteller eine Reihe von Fragen zur Rechtmäßigkeit von Datenspeicherungen, auch und gerade öffentlicher Stellen, auf US-amerikanischen Servern. Exemplarisch wurde diese Debatte beispielsweise bezüglich der Frage der Rechtmäßigkeit der Speicherung von Daten aus Aufzeichnungen von „Bodycams“ der Bundespolizei auf Servern des US-Anbieters AWS geführt. Während die Bundesregierung bis heute von der Rechtmäßigkeit ausgeht, hält der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an seiner Auffassung fest, dass eine solche Datenspeicherung rechtswidrig sei. Im weiteren Verlauf dieser Debatte wurde deutlich, dass bei entsprechenden Datenspeicherungen, auch und gerade von Bundesministerien und nachgeordneten Behörden, längst nicht nur auf diesen, sondern auch auf eine Vielzahl von US-Anbietern zurückgegriffen wird, und demnach die Tragweite der Problematik noch sehr viel größer ist (siehe HR- Info vom 18. Juni 2019 „Mehrere Bundesbehörden speichern offenbar Daten bei externen Cloud-Anbietern“, abrufbar unter www.hr-inforadio.de/pro gramm/themen/mehrere-bundesbehoerden-speichern-offenbar-daten-bei-exter nen-cloud-anbietern,bundesbehoerden-clouds-100.html, sowie Protokoll der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019 und Antwort der Bundesregierung auf die Schriftliche Frage 31des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/11515). Deutscher Bundestag Drucksache 19/16434 19. Wahlperiode 09.01.2020 Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Wirtschaft und Energie vom 17. Dezember 2019 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Insgesamt wird die Debatte um die Rechtmäßigkeit entsprechender Datenspeicherungen in Drittstaaten, vor allem in den USA, seit vielen Jahren sehr intensiv geführt, vor allem im Zuge der Verabschiedung des „Safe Harbour- Abkommens“ und des „Privacy Shield“ auf EU-Ebene. In diesem Zusammenhang wird immer wieder auch auf bestehende Rechtsgrundlagen in den USA wie den „CloudAct“ verwiesen, die US-Sicherheitsbehörden sehr weit gehende Zugriffsrechte auf entsprechende Datenspeicherungen ermöglichen. Die jetzige Ankündigung und die bisherige Nicht-Existenz sowohl der sogenannten Bundes-Cloud als auch einer europäischen Lösung stehen nach Ansicht der Fragesteller somit exemplarisch für die massiven Versäumnisse, sich angemessen mit der Thematik zu beschäftigen und sichere, datenschutzkonforme Alternativen zu schaffen. Die Bundesregierung hat nach Ansicht der Fragesteller mit ihrer Ankündigung einer französischen Kooperative sowie eines gemeinsamen europäischen Vorgehens beim Aufbau einer europäischen Cloud-Infrastruktur hohe Erwartungen geweckt. Unklar bleibt nach Ansicht der Fragesteller allerdings, wie diese Erwartungen wirklich erfüllt werden können. Es ist nach Ansicht der Fragesteller offen, inwiefern die Pläne der Bundesregierung bereits mit den europäischen Partnerstaaten und der EU-Kommission abgesprochen sind, wie der genaue Zeitplan und die Finanzierung aussehen sollen. 1. Hat die Bundesregierung die Planungen zum Projekt „GAIA-X“ bereits mit Vertreterinnen und Vertretern der EU-Kommission vorbesprochen, und wenn ja, in welcher Detailtiefe, und welches weitere Vorgehen wurde vereinbart (bitte Zeitpunkt und Beteiligte der Besprechungen oder Treffen auflisten)? a) Wurde dabei auch die skizzierte Zeitplanung für die Projektumsetzung besprochen, und wenn ja, mit welchem Ergebnis? b) Hat die Bundesregierung bereits Signale der vermutlich zukünftigen Kommissionspräsidentin erhalten, dass dieses Projekt in einer EU- Kommission unter ihrer Leitung auf Zustimmung stoßen könnte? c) Harmonisieren die eigenen Pläne nach Ansicht der Bundesregierung mit den angekündigten Vorhaben der EU-Kommission, beispielsweise zur schrittweisen Realisierung der digitalen Souveränität Europas? d) Gibt es nach Kenntnis der Bundesregierung parallel Pläne der EU- Kommission für den Aufbau einer EU-weiten Cloud-Lösung? Falls ja, wie sehen diese konkret aus, und wie gedenkt die Bundesregierung sicherzustellen, dass die Pläne harmonieren? Die Fragen 1 bis 1d werden gemeinsam beantwortet. Die Bundesregierung steht bereits seit Sommer 2019 mit der EU-Kommission zu GAIA-X im Austausch. Dabei wurden die Ideen für das Projekt GAIA-X Vertreterinnen und Vertretern der EU-Kommission am Rande von Gesprächen auf Arbeitsebene vorgestellt. Im September 2019 fand ein erstes Treffen auf Arbeitsebene zwischen Vertreterinnen und Vertretern des Bundesministeriums für Wirtschaft und Energie (BMWi) und Vertreterinnen und Vertretern der Generaldirektion CONNECT der EU-Kommission statt, das ausschließlich den Themen europäische Dateninfrastruktur und GAIA-X gewidmet war. Ein Folgetreffen auf Arbeitsebene, zu dem auch Vertreterinnen und Vertreter des französischen Wirtschafts- und Finanzministeriums eingeladen wurden, fand im Oktober im Vorfeld der Vorstellung von GAIA-X auf dem Digitalgipfel statt. Nach Auffassung der Bundesregierung können sich das Projekt GAIA-X und die Initiativen der EU-Kommission im Bereich Digitalisierung gut ergänzen. Ziel der bisherigen Gespräche und der weiteren, laufenden Zusammenarbeit mit der EU-Kommission ist es, das Projekt GAIA-X bestmöglich mit existierenden Drucksache 19/16434 – 2 – Deutscher Bundestag – 19. Wahlperiode und zukünftigen Initiativen der EU-Kommission zu verzahnen und Parallelarbeiten zu vermeiden. Die Bundesregierung hat keine Kenntnis darüber, ob sich die neue Kommissionspräsidentin Ursula von der Leyen bereits mit dem Projekt GAIA-X befasst und eine Meinung zu diesem gebildet hat. 2. Hat die Bunderegierung ihre Projektvorschläge bereits mit anderen EU- Mitgliedstaaten besprochen, und wenn ja, mit welchen Mitgliedstaaten und in welcher Detailtiefe, und welches weitere Vorgehen wurde vereinbart (bitte Zeitpunkt und Beteiligte der Besprechungen oder Treffen auflisten )? Wurden dabei auch die skizzierte Zeitplanung und die Finanzierung für die Projektumsetzung besprochen, und wenn ja, mit welchem Ergebnis? Die Bundesregierung steht bereits mit verschiedenen anderen EU- Mitgliedstaaten wegen GAIA-X in Kontakt. Ein intensiver Austausch besteht insbesondere mit der französischen Regierung. In der deutsch-französischen Roadmap für ein Forschungs- und Innovationsnetzwerk zur Künstlichen Intelligenz , die anlässlich des deutsch-französischen Ministerrates am 16. Oktober 2019 in Toulouse verabschiedet wurde, haben Deutschland und Frankreich vereinbart , ihre gemeinsamen Anstrengungen für eine sichere und vertrauenswürdige Dateninfrastruktur als Grundlage eines digitalen Ökosystems zu intensivieren , so dass Daten in einer sicheren Umgebung bereitgestellt, gesammelt und gemeinsam genutzt werden können. Infolgedessen haben sich das BMWi und das französische Ministerium für Wirtschaft und Finanzen auf konkrete gemeinsame Schritte für diese Intensivierung der Zusammenarbeit geeinigt, die in einer gemeinsamen Pressemitteilung vom 29. Oktober 2019 festgehalten wurden (www.bmwi.de/Redaktion/DE/Pressemitteilungen/2019/20191029-pressem itteilung-zur-deutsch-franzoesischen-zusammenarbeit-fuer-eine%20sichere-vert rauenswuerdige-dateninfrastruktur.html). Der in dieser Pressemitteilung vorgesehene deutsch-französische Unternehmens-Workshop fand Ende November statt; hinsichtlich der weiteren Planung stehen die Bundesregierung und die französische Regierung in Kontakt. Die Bundesregierung führt auch erste Gespräche mit anderen EU- Mitgliedstaaten, die ihr Interesse an einer Zusammenarbeit im Projekt GAIA-X geäußert haben. Diese Kontakte finden bei unterschiedlichen Gelegenheiten, oft am Rande von Veranstaltungen im In- und Ausland, und auf unterschiedlichen Ebenen, auch im Rahmen von bilateralen Gesprächen auf Leitungsebene, statt. Eine detaillierte Auflistung der Kontakte ist vor diesem Hintergrund nicht möglich. 3. Konnte bereits ein Termin für die für Anfang 2020 angekündigte gemeinsame deutsch-französische Veranstaltung in Brüssel zur Vorstellung des Projekts gegenüber weiteren EU-Mitgliedstaaten festgelegt werden? In welchen Punkten soll das Projekt bis dahin weiter konkretisiert werden, und welche Fragen sollen bis dahin beantwortet werden? Ein Termin für diese gemeinsame deutsch-französische Veranstaltung wird aktuell mit der französischen Regierung abgestimmt. Ziel der Veranstaltung wird es sein, interessierte weitere EU-Mitgliedstaaten über den aktuellen Projektstand zum Zeitpunkt der Veranstaltung zu informieren, ohne dass konkrete Ziele speziell für diesen Termin festgelegt worden wären. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/16434 4. Erwägt die Bundesregierung, weitere europäische Länder, insbesondere die Schweiz und Norwegen, in die Planung und Umsetzung von „GAIA- X“ einzubinden? Auch für europäische Länder außerhalb der EU gilt die Offenheit des Projektes, wie sie im anlässlich des Digitalgipfels veröffentlichten Konzeptpapier des Projektes GAIA-X formuliert worden ist: Interessierte europäische Partner sind daher zur Teilnahme an und zur Fortentwicklung des Projektes bzw. zu dessen Flankierung eingeladen; Gleiches gilt für diejenigen internationalen Partner, die die das Projekt leitenden Ziele Datensouveränität und Datenverfügbarkeit teilen (siehe Broschüre GAIA-X unter www.dateninfrastruktur.de, S. 46). 5. Mit welchen weiteren europäischen Partnern, auch aus Wissenschaft und Zivilgesellschaft, soll das Projekt umgesetzt werden? Die Bundesregierung ist derzeit mit einer Vielzahl potentieller europäischer Partner aus unterschiedlichen Bereichen im Gespräch. Dabei geht es vor allem darum, über das Projekt GAIA-X zu informieren und die Möglichkeiten der Zusammenarbeit zu sondieren. Mit welchen dieser Gesprächspartner dieses Projekt dann tatsächlich umgesetzt werden wird, lässt sich zum jetzigen Zeitpunkt noch nicht verlässlich beantworten. 6. Wie will die Bundesregierung die angekündigte Offenheit für die Mitwirkung von Marktteilnehmern von außerhalb Europas mit den Leitprinzipien „Europäischer Datenschutz“ und „Souveränität und Selbstbestimmung“ in Einklang bringen, insbesondere vor dem Hintergrund des USamerikanischen Cloud Acts (Clarifying Lawful Overseas Use of Data Act, H.R.4943) von 2018? Die Mitwirkung von außereuropäischen Marktteilnehmern an der Entwicklung von GAIA-X steht nicht im Widerspruch zu europäischen Grundwerten. Alle Entwicklungsergebnisse des Projektes werden veröffentlicht. Beim späteren Betrieb stellt sich die Frage insofern nicht, da GAIA-X auf eine größtmögliche Transparenz des Angebots ausgerichtet ist und somit auch den Nutzern angebotsspezifische Merkmale schon bei der Auswahl des Cloud-Anbieters gewahr werden. 7. Inwieweit sind die deutschen und europäischen Datenschutzaufsichtsbehörden in die bisherigen Planungen einbezogen? Eine Zusammenarbeit mit den Datenschutzaufsichtsbehörden in Deutschland und Europa ist für den Zeitpunkt nach der detaillierten technologischen Skizzierung des Projektes geplant. Bereits jetzt ist die Einhaltung der deutschen und europäischen datenschutzrechtlichen Bestimmungen durch die zukünftig GAIA-X-zertifizierten Angebote für das Projekt selbstverständlich leitend. Drucksache 19/16434 – 4 – Deutscher Bundestag – 19. Wahlperiode 8. Welche Rolle spielt aus Sicht der Bundesregierung Verschlüsselung als Sicherheitsvoraussetzung für eine europäische Dateninfrastruktur, und aus welchen Gründen wird das Thema Verschlüsselung in der Projektbeschreibung zu „GAIA-X“ (www.bmwi.de/Redaktion/DE/Publikationen/Digita le-Welt/das-projekt-gaia-x.pdf?__blob=publicationFile&v=20 ) nicht erwähnt? Verschlüsselung kann ein wirksamer Mechanismus zum Schutz von Daten sein. Zum jetzigen Entwicklungsstand des Projektes sind einzelne spezifische Mechanismen aber noch nicht Diskussionsgegenstand. 9. Welche Vorüberlegungen oder Vorfestlegungen seitens der Bundesregierung bzw. nach Kenntnis der Bundesregierung auch seitens der französischen Regierung bestehen hinsichtlich der Festlegung einer geeigneten Rechtsform für „GAIA-X“? Die Überlegungen zur Rechtsform der zu gründenden Entität für GAIA-X befinden sich noch in einem frühen Stadium der Prüfung und Diskussion mit den übrigen beteiligten Partnern. Im Konzeptpapier GAIA-X wurde eine Reihe von Kriterien identifiziert, die eine solche Organisation mit Rechtsform erfüllen muss. Ferner wurde die Rechtsform der Europäischen Genossenschaft (SCE) als eine mögliche Rechtsform identifiziert. Auf dieser Basis wird derzeit weiter ergebnisoffen geprüft und diskutiert. Festlegungen oder Vorfestlegungen gibt es nicht. 10. Welchen zeitlichen und personellen Aufwand erwartet die Bundesregierung angesichts der großen Anzahl involvierter Anwender und hinsichtlich verschiedener unterschiedlicher Anwendungsszenarien (von der Bereitstellung von Edge-Computing-Kapazitäten für mittelständische produzierende Unternehmen über eine Mobilitätsplattform bis hin zu rechtssicheren Cloud-Anwendungen für die Verwaltung) für die Definition von technischen Spezifikationen? Welche Akteure sieht die Bundesregierung in der Pflicht, diesen Aufwand zu stemmen? Die Bundesregierung kann den zeitlichen und personellen Aufwand gegenwärtig nicht spezifizieren. 11. Plant oder erwägt die Bundesregierung, sich für einen finanziellen Anreiz zur Kompensation der Migrationskosten für Unternehmen einzusetzen , die von ihrem bisherigen Cloud-Anbieter auf ein zukünftig innerhalb der gemeinsamen europäischen Cloud-Infrastruktur realisiertes Angebot wechseln wollen? Weder plant noch erwägt die Bundesregierung zum jetzigen Zeitpunkt finanzielle Anreize für eine Migration. 12. Welche Eigenschaften werden für „GAIA-X“ aus Sicht der Bundesregierung entscheidend sein, damit es mittelständische Unternehmen für eines der Anwendungsszenarien tatsächlich nutzen und gegenüber anderen Anbietern von Edge-Computing oder Cloud-Diensten bevorzugen werden? Die Broschüre „Das Projekt GAIA-X – Eine vernetzte Dateninfrastruktur als Wiege eines vitalen, europäischen Ökosystems“ enthält einige Bedarfsbeispiele . Die Bedarfsbeispiele aus dem Bereich Industrie 4.0 zeigen, dass – insbeson- Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/16434 dere mittelständische – Unternehmen vor sehr ähnlichen Herausforderungen hinsichtlich der Integration und Auswertung von Daten und deren Lösung in einer einheitlichen Sprache, Semantik sowie in offenen und modularen Strukturen stehen. In den klassischen Geschäftsbeziehungen von Komponentenherstellern , Maschinenbauern und Systembetreibern spielen vor allem Fragen der Steuerungsmöglichkeit der Datenübertragung und damit der Sicherung geistigen Eigentums eine große Rolle. Eine vernetzte Dateninfrastruktur, wie in o. g. Broschüre beschrieben, ermöglicht es, Daten dort zu speichern, wo es Anwender angesichts der jeweiligen Datenklassifikation für sinnvoll erachten. Der Anwender kann somit die Hoheit über besonders sensible Daten behalten und gleichzeitig andere Daten zur gemeinsamen Nutzung mit Partnern teilen. Dafür können KMU sowohl Edge-Computing als auch Public Clouds nutzen. GAIA-X würde es ermöglichen, die Daten dort zusammenzuführen, wo es angesichts der Datenklassifikation am sinnvollsten ist. 13. Welchen Beitrag wird „GAIA-X“ aus Sicht der Bundesregierung für das Teilen von Daten zwischen europäischen Unternehmen leisten, und wie soll dies rechtlich ermöglicht werden? GAIA-X soll als Wiege eines digitalen Ökosystems dienen, in dem Daten sicher und vertrauensvoll verfügbar gemacht, zusammengeführt und geteilt werden können. Aus technologischer Perspektive sollen beispielsweise über einen zentralen Verzeichnisdienst u. a. relevante Datenpools schnell und sicher identifizierbar gemacht werden. Offene Technologien und Schnittstellen zum einfachen und sicheren Datenaustausch sind wesentliche Merkmale des Projektes. Aus rechtlicher Perspektive sollen flexible Rahmenverträge eingeführt werden, die vertragliche Regelungen u. a. zum Datenaustausch grundlegend abbilden und beim jeweiligen Aufruf eines Dienstes als konkrete Vertragsabschlüsse von Anbieter und Anwender ausgeprägt werden. 14. Plant die Bundesregierung, die „offene Dateninfrastruktur“ auch durch verbindliche Vorgaben zur Nutzung von öffentlich überprüfbarer offener Software und Bereitstellung offener Schnittstellen sicherzustellen? Zum jetzigen Stand des Projektes kann dazu noch keine Aussage getroffen werden. 15. Wieso sind bei den bisherigen genannten mitwirkenden Personen keine Vertreterinnen und Vertreter der organisierten Zivilgesellschaft vertreten? Plant die Bundesregierung die Einbeziehung der Expertise der organisierten Zivilgesellschaft? Der Fokus des Projekts wurde vor dem Digital-Gipfel 2019 auf das wirtschaftliche Leitbild gelegt, während nun die technologische Ausarbeitung im Vordergrund steht. Um das Projekt zügig voranzutreiben, wurden zunächst solche Unternehmen und Organisationen beteiligt, die für diese Themen unmittelbar relevante technische Expertise einbringen konnten. In einem nächsten Schritt werden auch weitere Interessenvertreter, z. B. Vertreterinnen und Vertreter der organisierten Zivilgesellschaft, in den Prozess mit eingebunden. Drucksache 19/16434 – 6 – Deutscher Bundestag – 19. Wahlperiode 16. Inwieweit steht die Bundesregierung mit den Beteiligten der European Open Science Cloud und der nationalen Forschungsdateninfrastruktur (NFDI) im Austausch, und wie werden deren Erfahrungen in die Umsetzung von „GAIA-X“ einfließen? Die von Bund und Ländern gemeinsam geförderte NFDI wendet sich in erster Linie an Forschung und Wissenschaft. Gleiches gilt auf europäischer Ebene für die im Aufbau befindliche European Open Science Cloud (EOSC). Die Bundesregierung ist hier über die bestehenden vorläufigen Governance- Strukturen eingebunden. Mögliche Synergien mit GAIA-X werden geprüft, sobald die jeweiligen Schnittstellen und Angebote definiert und entsprechende Services verfügbar sind. Dabei wird auf Interoperabilität zwischen NFDI- und GAIA-X-Diensten abgezielt. Die Bundesregierung wird diese Prozesse weiterhin aktiv begleiten. 17. Ist von Seiten der Bundesregierung eine Öffnung von „GAIA-X“ auch für Forschungseinrichtungen und Hochschulen geplant? Wenn ja, wie? Wenn nein, warum nicht? GAIA-X ist offen für alle Branchen und Anwendungsfelder konzipiert. Es nehmen bereits verschiedene Forschungseinrichtungen am Projekt teil. 18. Welche konkreten Vorschläge wird die Bundesregierung in die weiteren Planungen einbringen, um die für den Erfolg dieses im internationalen Wettbewerb stehenden Projekts bedeutsamen Attraktivitätsfaktoren der Performance und der Kosten zu adressieren? Performance und Kosten sind ureigene Interessen der beteiligten Unternehmen. Bei Bedarf wird die Bundesregierung die Unternehmen partnerschaftlich unterstützen , diese Faktoren zu adressieren. 19. Auf welche Weise konkret plant die Bundesregierung, die von ihr mit dem Projekt in Verbindung gebrachte Förderung von Künstlicher Intelligenz (KI) und data availability sowie universellen Datenbanken, Datenpooling und Daten-Interoperabilität zu realisieren, wenn und soweit es sich zugleich um ein hochsicheres Cloud-Modell mit verschlüsselten, in privater Verfügung stehenden und auch personenbezogenen Daten handeln sollte? Mit GAIA-X sollen sowohl die Ziele der Datensicherheit und des Datenschutzes als auch der Datenverfügbarkeit adressiert werden. GAIA-X soll es ermöglichen , Daten dort zu speichern, wo es der Anwender angesichts der jeweiligen Datenklassifikation – sensibel oder nicht sensibel – für sinnvoll erachten. Wie bereits in der Antwort zu Frage 12 beschrieben, kann der Anwender somit die Hoheit über besonders sensible Daten behalten und gleichzeitig andere Daten zur gemeinsamen Nutzung mit Partnern teilen, nach vertraglich festgelegten Rahmenbedingungen. Deutscher Bundestag – 19. Wahlperiode – 7 – Drucksache 19/16434 20. Wann ist mit der Realisierung der sogenannten Bundes-Cloud zu rechnen , und ist aus Sicht der Bundesregierung aus heutiger Perspektive sichergestellt , dass die zu schaffende „Bundes-Cloud“ mit „GAIA-X“ kompatibel ist? Falls ja, wie konkret (vgl. u. a. auch Antwort der Bundesregierung auf die Schriftliche Frage 48 des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/9692)? Die Bundescloud wird bereits seit Aufbau des ersten Standorts im Juli 2017 von den Bundesbehörden genutzt. Der Aufbau aller drei Bundescloud- Standorte soll gemäß Projektplanung bis Juli 2020 abgeschlossen sein. Ein Zugang zur Bundescloud ist nur aus den sicheren Netzen des Bundes (NdB) möglich , da die Bundescloud für die Verarbeitung von Verschlusssachen bis zum Geheimhaltungsgrad VS – Nur für den Dienstgebrauch ausgelegt ist. Daher wird es keine direkte Anbindung an anderen Plattformen geben. Um Kompatibilität von Anwendungen zwischen verschiedenen Plattformen (wie z. B. GAIA-X) zu gewährleisten, gibt der Beauftragte der Bundesregierung für IT die IT-Architekturrichtlinien des Bundes heraus. Diese Richtlinien müssen bei Vorhaben der gemeinsamen IT des Bundes zwingend eingehalten werden. 21. Auf welchen Plattformen von US-Anbietern speichern Bundesministerien und Bundesbehörden heute ihre Daten (bitte konkret aufschlüsseln, vgl. hierzu u. a. Protokoll zum „Bericht der Bundesregierung zur Cloud- Speicherung von Bodycam-Daten der Bundespolizei“ während der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019 und Antwort der Bundesregierung auf die Schriftliche Frage 31 des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/11515 und Antwort der Bundesregierung auf die Schriftliche Frage 48 des Abgeordneten Dr. Konstantin von Notz auf Bundestagsdrucksache 19/9692 sowie Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/10826)? In der Antwort der Bundesregierung auf die genannte Kleine Anfrage wurde darauf hingewiesen, dass sich die Antwort nicht auf die Anbieter von Cloud- Diensten beschränkt, sondern auch die Cloud-ähnlichen Angebote beinhaltet. Aus Sicht der Bundesregierung wurden damit bereits alle Anbieter von Plattformen genannt, die von der Bundesverwaltung genutzt werden. Nach Kenntnis der Bundesregierung sind darunter die folgenden US-Anbieter: • Adobe, Inc. • Articulate Global, Inc. • AWS, Inc. • BlueJeans Network, Inc. • Cisco, Inc. • Citrix, Inc. • Dropbox, Inc. • Google, LLC • GitHub, Inc. • Illumina, Inc. • Kroll Discovery, Inc. • Lawrence Berkeley National Laboratory • LogMeIn, Inc. Drucksache 19/16434 – 8 – Deutscher Bundestag – 19. Wahlperiode • Microsoft Corp. • Motorola, Inc. • NCBI • NetApp, Inc. • Oracle Corp. • PlanView, Inc. • Zoom Video Communications, Inc. • Diligent Corp. (Brainloop) 22. Bleibt die Bundesregierung bei ihrer mit Bezug auf die Speicherung der Daten von Aufnahmen der Bodycams der Bundespolizei geäußerten Rechtsauffassung, dass die Datenspeicherungen rechtskonform erfolgen (vgl. hierzu u. a. Protokoll zum „Bericht der Bundesregierung zur Cloud- Speicherung von Bodycam-Daten der Bundespolizei“ während der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019) ? Die Datenspeicherung erfolgt rechtskonform. Bei der Nutzung der Cloudlösung von AWS zur Speicherung von Daten der Bodycams werden die deutschen Datenschutzstandards eingehalten. 23. Wie gedenkt die Bundesregierung weiter mit dem Umstand umzugehen, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit entsprechende Datenspeicherungen, u. a. mit Hinweis auf mangelnde Verschlüsselungsverfahren und bestehende Rechtsgrundlagen in den USA, als „rechtswidrig“ erachtet hat (vgl. hierzu u. a. Protokoll zum „Bericht der Bundesregierung zur Cloud-Speicherung von Bodycam- Daten der Bundespolizei“ während der 47. Sitzung des Innenausschusses des Deutschen Bundestages am 3. April 2019)? Die Bundesregierung vertritt in bezeichneter Angelegenheit eine andere Rechtsauffassung. 24. Ist die Prüfung von Bundespolizei und IT-Dienstleistern des Bundes sowie der Firma Motorola, ob und wann die „Bundes-Cloud“ zur Speicherung der aufgenommenen Videodaten der Bodycam-Aufnahmen genutzt werden kann, bereits abgeschlossen (vgl. Antwort der Bundesregierung auf die Mündliche Frage 34 des Abgeordneten Dr. Konstantin von Notz auf Plenarprotokoll 19/88)? Falls ja, mit welchem Ergebnis? Die Prüfungen dauern weiter an. Deutscher Bundestag – 19. Wahlperiode – 9 – Drucksache 19/16434 25. Inwiefern wird durch das Projekt „GAIA-X“ noch den Risiken des Zugriffs durch EU-Drittstaaten entgegengewirkt, wenn und soweit doch die geplante E-Evidence-Initiative der EU auch insbesondere auf die USA ausgedehnt werden soll (vgl. www.netzpolitik.org/2019/eu-startet-ge spraeche-mit-den-usa-ueber-zugriff-auf-cloud-daten/) und damit US- Zugriffe auch auf „GAIA-X“ ermöglicht würden? Die GAIA-X-Architektur soll einen sehr hohen Standard an Datensicherheit und Schutz vor dem unbefugten Zugriff Dritter aufweisen. Diese Sicherheitsstruktur soll auch gegenüber Drittstaaten eingreifen. Die Frage, unter welchen Voraussetzungen die zuständigen Stellen in den EU-Mitgliedstaaten oder zuständige Stellen der USA zu Strafverfolgungszwecken die in einer Cloud gespeicherten elektronischen Daten unmittelbar von einem Provider herausverlangen dürfen, ist Gegenstand der Beratungen auf europäischer Ebene über den neuen Rechtsrahmen zu „E-Evidence“ und über das geplante EU-US- Verwaltungsabkommen, an denen die Bundesregierung aktiv teilnimmt. 26. Welche Anstrengungen hat die Bundesregierung konkret mit welchen Vorschlägen gegenüber der Europäischen Kommission unternommen, um in den Verhandlungen der EU mit den USA für ein bilaterales Abkommen zur exterritorialen Datenherausgabe sicherzustellen, dass die mit dem US-Cloud Act verbundenen Risiken unverhältnismäßiger und überbordender Zugriffe von US-Behörden unterbunden wird? Die Bundesregierung hat sich in den Beratungen auf Ebene des Rates für Justiz und Inneres sowie in dessen Gremien zur Mandatserteilung an die EU- Kommission zur Aufnahme von Verhandlungen mit den USA für ein Abkommen zum grenzüberschreitenden Zugriff auf elektronische Beweismittel für die strafrechtliche Zusammenarbeit für die Aufnahme von aus Sicht der Bundesregierung wichtigen Anpassungen eingesetzt. Dies betrifft insbesondere die Aufnahme eines Notifizierungsmechnismus sowie die Beschränkung des Abkommens auf die retrograde Datenerhebung. Die Bundesregierung setzt sich weiterhin in den die Verhandlungsrunden der EU-Kommission vor- und nachbereitenden Sitzungen der zuständigen Ratsgremien für die Aufnahme entsprechender Klauseln in das geplante Abkommen ein. Die Verhandlungen befinden sich noch in einem sehr frühen Stadium und dienen zunächst dem Austausch über die jeweiligen Zielvorstellungen und Rechtsbegriffe. Auch die konkrete Art des Abkommens ist bislang noch nicht klar. 27. Teilt die Bundesregierung die Auffassung, wonach das bis Ende Dezember 2019 bzw. Anfang Januar 2020 zu erwartende Urteil des Europäischen Gerichtshofes, welches zu einer möglichen Unwirksamkeit des EU-US-Privacy Shield führen könnte, umfangreichere und vor allem raschere Anstrengungen sowohl auf nationaler Ebene als auch auf europäischer Ebene erforderlich macht, um rechtsstaatskonforme und zugleich die Souveränität Europas stärkende Antworten auf ungelöste Fragen des Umgangs mit Informationen und Daten durch Drittstaaten zu finden, und wenn ja, welche konkret schlägt sie vor? Die Bundesregierung versteht die Frage so, dass mit dem „bis Ende Dezember/ Anfang Januar 2020 zu erwartende Urteil des Europäischen Gerichtshofes, welches zu einer möglichen Unwirksamkeit des EU-US Privacy Shield führen könnte“ das Vorabentscheidungsverfahren in der Rechtssache C-311/18 (Facebook Ireland und Schrems) gemeint ist. Gegenstand dieses Verfahrens ist die Überprüfung der Standardvertragsklauseln. Sofern der Europäische Gerichtshof im Rahmen dieses Verfahrens Aussagen über das EU-US Privacy Shield trifft, Drucksache 19/16434 – 10 – Deutscher Bundestag – 19. Wahlperiode wird die Bundesregierung darauf zeitnah reagieren. Der Generalanwalt hat seine Stellungnahme in diesem Verfahren für den 12. Dezember 2019 angekündigt . Das Urteil des Europäischen Gerichtshofs wird erst in der ersten Jahreshälfte 2020 erwartet. 28. Welche Anstrengungen hat die Bundesregierung unternommen, um den strafprozessualen Datenzugriff auf Clouds international einheitlich nach rechtsstaatlichen Grundsätzen zu regeln, und wenn ja, in welchem Rahmen (bitte konkret darlegen)? Wie hoch veranschlagt die Bundesregierung die Kosten für die bislang bereits einbezogenen Beratungsunternehmen, bzw. welche weiteren Kosten kommen auf die Steuerzahler insoweit voraussichtlich zu? Auf die Antwort zu Frage 26 wird Bezug genommen. Darüber hinaus hat sich die Bunderegierung aktiv in den Verhandlungen des Rates für Justiz und Inneres und dessen Gremien zu dem von der EU-Kommission im April 2018 vorgelegten sog. „E-Evidence-Dossier“ eingebracht und die aus deutscher Sicht erforderlichen Nachbesserungen des Gesetzgebungsvorschlages nachdrücklich angeregt. Bereits ab Januar wird Deutschland als „incoming presidency“ den kroatischen Ratsvorsitz eng begleiten, auch bei Trilogen mit dem Europäischen Parlament. Auch in dieser Rolle wird die Bundesregierung noch ihr Möglichstes tun, um die aus ihrer Sicht noch notwendigen Verbesserungen durchzusetzen . Die Position als „incoming presidency“ verringert allerdings die Handlungsspielräume , denn sie verpflichtet zur Loyalität gegenüber dem Vorsitz. Die Bundesregierung bringt sich darüber hinaus aktiv in die Verhandlungen über das derzeit auf Ebene des Europarats verhandelte Zweite Zusatzprotokoll zur Budapest Konvention ein. Ziel dieses Zusatzprotokolls ist eine stärkere Zusammenarbeit zwischen den Parteien des Zusatzprotokolls bei der Sicherung elektronischer Beweismittel und der Verfolgung von Computerkriminalität. Erfasst werden hiervon grundsätzlich auch solche elektronischen Beweismittel, die sich auf Cloud-Servern befinden. Die Bundesregierung entsendet eine Expertin oder einen Experten zu diesen Verhandlungen. Allerdings hat der Rat der Europäischen Union der EU-Kommission mit Beschluss vom 28. Juni 2019 Verhandlungsmandat erteilt (Ratsdokumente 9664/19 und 9116/19). Dies bedeutet , dass die EU-Kommission nun die Verhandlungen für alle Mitgliedstaaten der EU führt. Bei der Erarbeitung der europäischen Verhandlungsposition kann sich DEU über die zuständige Ratsarbeitsgruppe „Zusammenarbeit in Strafsachen“ (COPEN) einbringen. Hinsichtlich zu erwartender Kosten verweist die Bundesregierung auf das von der EU-Kommission zeitgleich mit dem „E-Evidence-Dossier“ im April 2018 vorgelegte „Impact Assessment“. Darin hat sich die EU-Kommission mit den zu erwartenden Auswirkungen der Regelungsvorschläge befasst und Kalkulationen getätigt, welche Kosten, aber auch Einsparungen sie erwartet. Darüber hinaus hat die Bundesregierung keine Erkenntnisse zu in diesem Zusammenhang bislang angefallenen oder zu erwartenden Kosten. Deutscher Bundestag – 19. Wahlperiode – 11 – Drucksache 19/16434 29. Mit welchen weiteren Akteuren des komplexen Feldes des Gesundheitswesens außer dem Bundesministerium für Gesundheit (BMG) wurde darüber gesprochen, dass die Anschlussfähigkeit der Telematikinfrastruktur und die Nutzung von „GAIA-X“ für Gesundheitsdaten angestrebt werde (S. 27 Langfassung Broschüre zum Projekt GAIA-X), und wenn ja, mit welchem Ergebnis? Erste Gespräche zu Anwendungsbeispielen für GAIA-X im Gesundheitsbereich haben mit den Paten der in der Broschüre beschriebenen Bedarfsbeispiele (Raylytic, für das Konsortium „Künstliche Intelligenz für klinische Studien“ (KIKS); Charité – Universitätsmedizin Berlin, Berlin Institute of Health, Plattform Lernende Systeme) stattgefunden. Das Bundesministerium für Gesundheit begleitet den Prozess positiv, wobei die mögliche Anschlussfähigkeit an die Telematikinfrastruktur noch eruiert werden muss. 30. Welche Überlegungen zu den vielfältigen Fragen der IT-Sicherheit eines solchen Projekts kann die Bundesregierung bislang vorweisen, die insoweit bislang nicht Gegenstand der Projektskizzen sind, und geht mit der Nichterwähnung zugleich eine Nichtpriorisierung der Problematik einher ? IT-Sicherheit ist ein Querschnittsthema und wird in allen Bereichen von GAIA-X mitgedacht und genießt sehr hohe Priorität (Security by design). Dass sich das in den bisherigen Publikationen noch nicht niederschlägt, ist der Tatsache geschuldet, dass durch die (auch in GAIA-X sehr aktive) Initiative „Trusted Cloud“ schon umfangreiche und wertvolle Arbeiten zum Thema vorliegen. Drucksache 19/16434 – 12 – Deutscher Bundestag – 19. Wahlperiode Gesamtherstellung: H. Heenemann GmbH & Co. KG, Buch- und Offsetdruckerei, Bessemerstraße 83–91, 12103 Berlin, www.heenemann-druck.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333