Direkt zum Seiteninhalt springen

Indien als ambivalenter Partner in der Digitalpolitik

Potential und Grenzen der Kooperation bei Digitalwirtschaft und Internet‑Governance

SWP-Aktuell 2021/A 62, 06.10.2021, 5 Seiten

doi:10.18449/2021A62

Forschungsgebiete

Die Zusammenarbeit in der Digitalpolitik gilt als eines der aussichtsreichsten Felder der strategischen Partnerschaft zwischen Indien und der Europäischen Union (EU). In der Umsetzung zeigen sich jedoch tiefgreifende Differenzen, etwa im Hinblick auf Datenschutz, Kompetenzen der Sicherheitsbehörden und die künftige globale digitale Ordnung. Ähnliche Probleme werden in den Verhandlungen der EU mit den USA zu Fragen des digitalen Handels bearbeitet. Mögliche Kompromisse dort könn­ten auch Bestandteile einer Verständigung mit Indien bilden.

Das Bemühen um eine verstärkte Zusammenarbeit Europas mit Indien wird immer wieder mit dem Verweis auf gemeinsame demokratische Werte begründet. In ihrer Roadmap 2025 bekräftigen Indien und die EU ihr Interesse, einen »offe­nen, freien, sta­bilen und sicheren Cyber­raum« zu för­dern und die Cyberkriminalität zu bekämpfen. Doch der Weg dahin erweist sich als steinig, denn bei der Um­setzung tun sich in einigen Bereichen fundamentale Differenzen auf. Strittig zum Beispiel sind die Handhabung des Datenschutzes und die Gestalt der künf­tigen digitalen Ordnung.

Datenschutz, wirtschaftliche Zusammenarbeit, Strafverfolgung

Kommen sich Europa und Indien bei Fragen der digitalen Wirtschaft entgegen, birgt dies erhebliches Potential für beide. Zwar hatten 2018 in Indien nur 20 Prozent der Bevölkerung Zugang zum Internet, in der EU da­gegen 82 Prozent. Bei diesen 20 Pro­zent handelte es sich aber um gut 270 Millionen Menschen. Außerdem ist damit zu rechnen, dass Indiens Digitalisierung in den näch­sten Jahren weiter voranschreitet.

Für Europa ist es attraktiv, auf diesen Zukunftsmarkt zu gelangen. Der europäische Markt bietet wiederum indischen Unter­nehmen große Chancen. Für beide Seiten geht es da­rum, eigene Dienstleistungen und Produkte anbieten zu können sowie neue Möglichkeiten für Investitionen zu schaf­fen.

Fragen des Datenschutzes sind dabei essentiell, denn Kundendaten zu verarbeiten bildet die Basis für die meisten digitalen Pro­dukte und Dienstleistungen. Diese können überhaupt nur gehandelt werden, wenn geklärt ist, dass die dafür notwendigen grenzüberschreitenden Datentransfers datenschutzrechtlich zulässig sind.

Das gilt besonders auch für Anwendungen im Bereich Künstlicher Intelligenz (KI). Zum Teil kann es sich hierbei um Unternehmensdaten handeln, etwa um Daten aus Produktionsabläufen und Liefer­ketten. Oft aber kommen personenbezogene Daten hinzu, die in den Anwen­dungsbereich der Datenschutzgrundverordnung (DSGVO) fallen. Sie sieht unter anderem vor, dass Betroffene eigens und ausdrücklich zu­stim­men müssen, wenn aus der EU heraus ihre Daten an Entitäten übermittelt werden, die nicht an europäisches Recht gebunden sind. Das kann abschreckend auf Kunden wirken und bedeutet in jedem Fall einen nicht geringen zusätzlichen Aufwand für alle Betei­ligten. Um diese Komplikationen zu vermeiden, gibt es einen politischen Mecha­nismus, welcher es der EU-Kommission er­mög­licht, die Angemessenheit (adequacy) der Daten­schutzvorgaben anderer Staaten anzuerken­nen. Ist dies geschehen, wer­den Datentransfers in diese Länder recht­lich so behandelt wie jene innerhalb der EU. Damit ist eine gesonderte Zustimmung der Betrof­fe­nen zum Datentransfer über die Grenzen der EU hinaus nicht mehr notwendig. Für einige Staa­ten wurde diese juristische Kom­patibilität bereits festgestellt, unter ande­rem für die Schweiz, Japan und jüngst das Ver­einigte Königreich.

Noch offen hingegen ist, ob und wie es gelingt, hier eine Einigung mit den USA zu erlangen. In der Vergangenheit wurden Daten­transfers zwischen der EU und den USA nicht über eine Angemessenheitsfeststellung seitens der Kom­mission geregelt. Stattdessen gab es spezifi­sche vertragliche Normenkollisionsregime, nämlich das Safe-Harbor-Abkom­men aus dem Jahr 2000 und den darauf auf­bauen­den Privacy Shield von 2016.

Wie schon das Vorgängerabkommen wurde der Privacy Shield 2020 vom Euro­päischen Gerichtshof (EuGH) für unzulässig erklärt. Angesichts der Befugnisse und öffentlich bekannt geworde­nen Praktiken der US-Nachrichtendienste, so der EuGH, sei für Bürgerinnen und Bürger der EU in den USA nicht gewährleistet, dass ihre Daten in einer Weise geschützt seien, die in etwa dem Niveau innerhalb der EU entspreche. Seither und verstärkt seit der Präsidentenwahl in den USA 2020 bemühen sich die beiden Seiten um eine neue rechtliche Grundlage für den transatlantischen Daten­transfer, doch bisher ohne Ergebnis.

Datenschutz in Indien

Auch im Verhältnis der EU zu Indien stellt sich die Frage, ob das indische Datenschutzrecht hinreichend kompatibel mit den An­forderungen der DSGVO ist. In Indien haben die Expansion des Onlinehandels und die Einführung elek­tronischer Verwaltungs­verfahren wie der Aadhaar-Karte eine Dis­kus­sion über den Datenschutz entfacht.

Die Aadhaar-Karte enthält eine zwölfstellige persönliche Identifi­kationsnummer, die vor allem den ärmeren Bevölkerungsgruppen bes­seren und ein­facheren Zugang zu staatlichen Transferleistungen verschaffen soll. Durch diese direkte Kommunikation soll zugleich die grassierende Korruption bekämpft werden. Mit der Einführung ent­brannte eine politi­sche und rechtliche Auseinandersetzung darüber, für welche Zwecke die Karte ge­nutzt werden muss. Auch gibt es Berichte über gefälschte Karten und Identi­tätsdiebstahl. Bei einem Test gelang es Indiens oberstem Telekom-Regulierer, die Aadhaar-Karte zu fälschen.

In einer Entscheidung über die Nutzung der Aadhaar-Karte stellte das indische Ver­fassungs­gericht 2017 fest, die Verfassung gestehe allen Bürgerinnen und Bürgern ein Recht auf Privatsphäre zu. 2019 legte die Regierung einen Entwurf für ein Datenschutzgesetz (Perso­nal Data Protection Bill) vor, das allerdings bis heute nicht ver­ab­schiedet wurde. Damit fehlt eine wesent­liche Grundlage für inten­sivere Kooperation zwischen der EU und Indien in Fragen der Digitalwirtschaft. Ein weiteres, eng hiermit verbundenes Hindernis bilden die unterschiedlichen Befugnisse und Kontroll-mechanismen der Sicherheitsbehörden.

Die jüngsten Enthüllungen über die Pegasus-Spionage­software haben auch in Indien erneut For­derungen laut werden lassen, die Geheimdienste stärker zu kon­trollieren. Nicht nur bei regie­rungskriti­schen Journalisten, sondern auch bei Beam­ten und Militärs war die Software installiert. Im Zuge der Enthüllungen wurde ein weiteres Mal deutlich, dass die Geheimdienste des Landes teils ohne ausreichende gesetzliche Grundlage operieren und keiner parlamentarischen Kontrolle unterliegen. Angesichts der ohne­hin zunehmenden autoritären Tendenzen in der indischen Demokratie nährt dieser Skandal die Sorge vor einer ausufernden Überwachung der Bevölkerung mit Hilfe digitaler Technologien. Manche staat­lichen Einrichtungen setzen zudem bereits Software zur Gesichts­erkennung ein, ohne dass es hierfür eine rechtliche Basis gibt.

Aufgrund der beschriebenen Defizite dürften die Kommission oder der EuGH kaum zu der Einschätzung kommen, dass europäischen Bürgerinnen und Bürgern in Indien ein vergleichbares Datenschutz­niveau gewährleistet wird wie in der EU. Ähnlich gelagerte Probleme hat die EU mit den USA. Will sie ihren eigenen Rechtsrahmen ernst nehmen, kann sie keine Rechtsordnung in diesem Punkt als weit­gehend gleichwertig anerkennen, in der das europäische Daten­schutzniveau stark unterschritten wird. Jen­seits der rechtlichen Details ist eine poli­tische Lösung deshalb so schwierig, weil der Stein des Anstoßes die Befugnisse der Nach­richtendienste sind – und die Debatte sich damit unmittelbar um Fragen der nationalen Sicherheit dreht.

Indiens unklare Position in der globalen Internet-Governance

Wesentliche Entscheidungen über die Zu­kunft der Digitalisierung werden auf globa­ler Ebene getroffen. In den Strukturen der Vereinten Nationen, aber auch in einigen Multistakeholder-Formaten wird darüber verhandelt, nach welchen Normen die glo­bale digitale Ordnung geregelt werden soll.

Dabei steht einiges auf dem Spiel. Die Strukturen des Internets und viele der bis heute wichtigsten Dienstleistungen wurden in den USA entwickelt. Daher ist die globale digitale Ordnung hauptsächlich von libera­len Prinzipien US-amerikanischer Provenienz ge­prägt. Hierzu zählen die Veranke­rung eines weit gefassten Verständnisses von Mei­nungsfreiheit in den Strukturen des Inter­nets und die starke Rolle privater Ak­teure in Entwicklung und Betrieb digi­taler Infra­strukturen. Ausdruck hiervon ist die klare Präferenz vieler westlicher Staaten (auch Deutschlands) für Multistakeholder-Ansät­ze in der globalen Internet-Governance.

Das liberale Modell der globalen digitalen Ordnung gerät nun aber zunehmend unter Druck. Zum einen zeigen sich Risse in dem Modell selbst. Technisch etwa ist die globale Internet-Infrastruktur in Teilen ver­altet, mit Folgen für die Sicher­heit wie auch die Privatsphäre der Nutzer. Zum ande­ren bemühen sich immer mehr Staaten darum, die Kontrolle über »ihren« Teil des Internets auszubauen. Die promi­nentesten Beispiele hierfür sind China und Russland, doch folgt mittlerweile eine Reihe von Staaten diesem Ansatz einer autoritären Digitalisierung. Während die meisten dieser Staaten dabei zunächst nach innen blicken, verbindet China damit auch den An­spruch auf Um­gestaltung der globalen digitalen Ordnung.

Aus Sicht Deutschlands und Europas wäre es attraktiv, Indien als Demokratie auf der Seite der Verfechter einer libe­ralen glo­balen Ordnung zu wissen. Allerdings tritt Indien außenpolitisch seit jeher für natio­nale Souve­ränität und Nichtein­mischung in innere Angelegenheiten ein. Zu­dem betonen indische Regierungen ihre außen­politische Unabhängigkeit und Eigen­ständigkeit und lehnen es ab, sich politischen Lagern zuzuordnen.

In Indien haben autoritäre Tendenzen seit 2014 zugenommen. Das zeigt sich unter anderem in der Herabstufung des Landes im Freedom House Index 2021. Über­dies belegt Indien seit Jahren nur hintere Plätze im Index zur Pres­sefreiheit und ist zugleich das Land mit den meisten und auch den läng­sten von der Regierung veranlassten Inter­net-Shut­downs.

Indiens Haltung zu Fragen der digitalen Ordnung liegt damit meist näher an den Vorstellungen autoritärer Regime, wie auch die Auseinandersetzungen in den Foren der globalen Internet-Gover­nance zeigen. Im Rahmen der Vereinten Nationen wird seit vielen Jahren über Nor­men für Rechte und Pflichten der Staaten im digitalen Raum diskutiert, am intensivsten in der dazu ein­gerichteten Group of Gov­ern­mental Experts (GGE). Als bedenkliches Signal hat dabei zu gelten, dass Indien 2018 erklärte, sich in Fragen der Cybersicherheit und gerade mit Blick auf den GGE-Prozess eng mit Russland abstimmen zu wollen.

Als weiterer Indikator kann das Abstimmungsverhalten in der General­versamm­lung der Vereinten Nationen dienen. Auch hier ist das Ergebnis ernüchternd: Bei zwei Resolutionen zum Thema Cybercrime, die 2018 (A/RES/73/187) und 2019 (A/RES/74/247) ein­gebracht wurden, stimmte Indien mit Russland und damit gegen die von Deutsch­land und den anderen Mitgliedstaaten der EU vertretene Position. Überraschend ist das aber nicht, folgt indische Außen­politik doch auch in anderen Fragen vor­wiegend den Prinzipien nationale Souve­ränität und Nicht­einmischung in innere Angelegenheiten.

Dies erklärt auch die Zurückhaltung oder bestenfalls Ambivalenz der indischen Regie­rung gegenüber Multistakeholder-Formaten der globalen Internet-Gover­nance. Zwar engagiert sich Indien in einigen dieser For­mate, etwa bei der Internet Corporation for Assigned Names and Num­bers (ICANN) oder im Internet Governance Forum (IGF). An anderer Stelle wirbt das Land indes für die Auf­wertung der International Telecommunication Union (ITU) als klassisch multilateraler, zwischenstaatlicher Gegenpol zur Multistakeholder-Governance.

Schwierige Kompromisse

Eine digitalpolitische Zusammenarbeit mit Indien würde Europa große Chancen eröff­nen: Wirtschaftlich sind Erleichterungen beim Zugang zum indischen Markt attrak­tiv; politisch wäre es ein großer Fortschritt, Indien als Partner in den Debatten über die Zukunft der globalen Internet-Governance zu gewinnen.

In beiderlei Hinsicht jedoch zeigt sich die damit verknüpfte Ambivalenz: Einer­seits gibt es gemeinsame Interessen und Wert­vorstellungen sowie den erklärten Wunsch nach verstärkter Zusammenarbeit. Ande­rer­seits existieren erhebliche Dif­ferenzen. Die noch fehlenden gesetzlichen Grundlagen zum Datenschutz sowie die weitreichenden und dabei ungeklärten Befugnisse der indi­schen Nachrichtendienste sind mit den europäischen Prinzipien des Datenschutzes kaum vereinbar. Auch hat Indien sich in den Disputen über globale Inter­net-Govern­ance wiederholt gegen die Bemühungen Europas und seiner Ver­bündeten um eine liberale Ordnung des Digitalen gestellt.

Eine einfache Lösung ist nicht in Sicht. Notwendig wären tragfähige Kom­promisse. Eine Chance dafür läge im noch ausstehenden indischen Daten­schutz­gesetz. Denkbar wäre beispielsweise, in diesem Gesetz oder damit verbundenen Gesetzes­vorhaben die Befugnisse der Nach­richten­dienste beim Zugriff auf personenbezogene digitale Daten neu zu regeln. Vor allem wäre zu erwägen, die Möglichkeiten gerichtlicher Prüfung nachrichtendienstlicher Aktivitäten in diesem Bereich zu stärken. Rechtlich wie politisch könnte dies die Grundlage für weitere Gespräche auf dem Weg zu einer datenschutzrechtlichen Angemessenheitsfeststellung der EU-Kommission bilden.

Dieses Thema ist für Indien jedoch mit Fragen nationaler Sicherheit verknüpft. Daher dürften Differenzen fortbestehen. Ähnlich verhält es sich bei der Internet-Governance. Dort ist eine punktuell ver­stärkte Kooperation vorstellbar, doch wird Indien seine grundsätzliche außenpolitische Orientierung kaum ändern.

Die EU muss also für sich klären, auf welche Kompromisse sie sich einlassen wür­de und welche Form diese annehmen könn­ten. Was datenschutzrechtliche Fragen betrifft, könnten dabei die zurzeit intensiv geführ­ten Verhandlungen der EU mit den USA zu ähn­lichen Themen hilfreiche An­regungen bieten. Eine Einigung wird der EU auch hier Zugeständnisse abverlangen. Sie ist nach der Entscheidung des EuGH letzt­lich aber nur mög­lich, wenn die USA zu einem gewissen Entgegenkommen bei der Kontrol­le über ihre Nachrichtendienste bereit sind.

Sowohl Brüssel als auch Washington haben die Brisanz dieser Fragen erkannt und stehen unter dem Druck von Wirtschaft und Zivil­gesellschaft, rasch eine Lösung zu finden. Entsprechend umfangreich sind die Bemühungen der beiden Seiten. Ein erstes Resultat ist die Einrichtung des EU-US Trade and Technology Council (TTC). Ob und wann sich USA und EU in der Sache einigen werden, ist noch nicht abzusehen. In jedem Fall aber scheint es vielversprechend, die dort an­gestellten Überlegungen und vor­gebrachten Lösungsansätze daraufhin zu prüfen, ob sie in an­gepasster Form auch für die Gespräche mit der indischen Regierung genutzt werden können.

Dr. Daniel Voelsen ist Leiter der Forschungsgruppe Globale Fragen. Dr. habil. Christian Wagner ist Senior Fellow in der Forschungsgruppe Asien.

© Stiftung Wissenschaft und Politik, 2021

Alle Rechte vorbehalten

Das Aktuell gibt die Auf­fassung der Autoren wieder.

SWP-Aktuells werden intern einem Begutachtungsverfah­ren, einem Faktencheck und einem Lektorat unterzogen. Weitere Informationen zur Qualitätssicherung der SWP finden Sie auf der SWP-Website unter https://www. swp-berlin.org/ueber-uns/ qualitaetssicherung/

SWP

Stiftung Wissenschaft und Politik

Deutsches Institut für Internationale Politik und Sicherheit

Ludwigkirchplatz 3–4
10719 Berlin
Telefon +49 30 880 07-0
Fax +49 30 880 07-100
www.swp-berlin.org
swp@swp-berlin.org

ISSN (Print) 1611-6364

ISSN (Online) 2747-5018

doi: 10.18449/2021A62