Warum sollten Daten lokalisiert werden?
Indiens Standpunkt in Sachen grenzüberschreitender Datenfluss
Im Namen der „Datensouveränität” hat Indien in letzter Zeit den grenzüberschreitenden Datenfluss zunehmend beschränkt und Datenlokalisierungsnormen durchgesetzt. Doch was bedeutet dies für Indiens komplexes Verhältnis gegenüber grenzüberschreitend ausgetauschten Daten sowie seine diplomatischen Erwartungen an Datentransfervereinbarungen?
Von Shashank Reddy
Datenlokalisierung ist in den vergangenen Jahren in Indien zunehmend zu einem strittigen Thema im Bereich Politik und Handel geworden, und die indische Regierung fordert lautstark nach der lokalen Speicherung von Daten ihrer Bürgerinnen und Bürger in allen Bereichen der Internetwirtschaft.
Die jüngsten Bemühungen der indischen Regierung, Daten, die in Indien generiert wurden auch vorrangig dort zu speichern, hängen mit einer Erkenntnis zusammen, die sich in letzter Zeit bei den Entscheidungsträgern Indiens zunehmend verbreitet hat: Der freie Datenfluss aus Entwicklungsländern wie etwa Indien nützt auf disproportionale Weise einigen wenigen globalen im Westen ansässigen Unternehmen, während er der Bevölkerung und der Wirtschaft vor Ort schadet. In diesem Zusammenhang werden oft zwei in einer Wechselbeziehung zueinanderstehende Begriffe genutzt, „Datenkolonialismus“ und „Datensouveränität“. Ersterer bezieht sich auf die Annahme, dass angesichts der großen Bedeutung von Daten in unserer heutigen globalen Wirtschaft der uneingeschränkte Zugang zu Daten aus dem Globalen Süden von Big Tech Plattformen aus dem Globalen Norden zu einer Monopolisierung von Daten führt und Ungleichheiten in Sachen digitaler Industrialisierung zwischen Industriestaaten und Entwicklungsländern fördert. Zweiterer spiegelt die Vorstellung wider, dass die Bürgerinnen und Bürger sowie die Regierung eines Landes rechtmäßige Besitzer und Verwalter jener Daten sind, die in ihrem Territorium generiert worden sind.
Strategische Beweggründe für die Datenlokalisierung
Die Verantwortlichen in Indien müssen zusätzlich die hier herrschenden Notwendigkeiten berücksichtigen. Dazu zählen etwa die Bemühungen, eine globale wettbewerbsfähige digitale Plattform für die indische Bevölkerung zu schaffen, sicherzustellen, dass die wirtschaftlichen Vorteile des großen indischen Marktes auch dem Land selbst zu Gute kommen, das Wirtschaftswachstum anzukurbeln, technologische Unabhängigkeit sowie einen konkurrenzfähigen Vorteil mit der Entwicklung neuer Technologien wie etwa KI zu erlangen.Diese philosophische Einstellung zur Datenlokalisierung hat in jüngster Vergangenheit zahlreiche hier herrschende Haltungen beeinflusst, vor allem im Bereich Zahlmethoden und personenbezogene Daten. So hat etwa 2018 die Reserve Bank Of India (RBI) die Anordnung erteilt, dass ausländische Kartennetzwerke indische zahlungsbezogene Daten innerhalb ihres innerstaatlichen Rechtsgebiets speichern müssen. Daraufhin hat die RBI Unternehmen wie Mastercard, Visa und American Express untersagt, neue Kreditkarten an Kundinnen und Kunden auszugeben, da sie gegen die Richtlinien zur Datenspeicherung verstoßen hatten. Diese Einschränkungen wurden jedoch wieder gelockert, nachdem die betreffenden Firmen dazu übergegangen waren, ihre Daten vor Ort in Indien zu speichern.
Wie zu erwarten war, haben solche Maßnahmen dazu geführt, dass die Handelsbeziehungen zwischen Indien und seinen Partnern sich verschlechtert haben. Sie sind einer der Hauptgründe, dass die bilateralen und multilateralen wirtschaftlichen Verhandlungen erschwert sind. Die Verhandlungen innerhalb des Freihandelsabkommens zwischen Indien und Großbritannien sind aufgrund des Beharrens auf der Datenlokalisierung von indischer Seite sogar zum Stillstand gekommen.
Ist Datenlokalisierung effektiv?
Hauptkritikpunkt bei den Anforderungen an die Datenspeicherung ist, dass die vorherrschende Marktrealität des Datenflusses außer Acht gelassen wird. Zunächst einmal sind die Daten ja nur derartig leicht für wirtschaftliche und soziale Innovationen nutzbar, weil das Sammeln, Speichern und Verarbeiten von Daten nur geringe Marginalkosten verursacht. Dies liegt an der „grenzenlosen“ Natur der Datenflüsse, da es effizienter ist, Daten in verschiedenen geografischen Gebieten zu speichern und zu verarbeiten. So finden US-Unternehmen es etwa einfacher, ihre Daten in den USA zu speichern, wo ihre Server ansässig sind. Die Daten dort zu speichern, wo sie entstehen (z.B. in Indien) würde die Kosten für Betriebsabläufe, Infrastruktur und Rechtskonformität erhöhen. Viele ausländische Firmen halten ein solches Vorgehen zudem für diskriminierend.Einschränkungen des Datenflusses können zudem dem wirtschaftlichen Erfolg Indiens beträchtlich schaden. Eine Analyse des Indian Council For Research On International Economic Relations (ICRIER, „Indische Gesellschaft für Forschung im Bereich internationale Wirtschaftsbeziehungen“) hat ergeben, dass bereits eine Abnahme von nur einem Prozent der grenzüberschreitenden Datenübertragung der indischen Wirtschaft ein Minus von 696,71 Millionen US-Dollar einbringen könnte.
Derzeit zeigt die Richtliniendiskussion in Indien nicht klar auf, in wie weit die Anforderungen an die Datenlokalisierung den Datenzugang so stark verbessern könnten, dass sich daraus nennenswerte Innovationen für das Land ergeben könnten. Lokales Speichern allein garantiert noch keine lokale Zugänglichkeit. Zudem bleiben die Notwendigkeit und die Proportionalität von lokaler Datenspeicherung als Maßnahmen zur Operationalisierung eines Datenverbunds unklar. Am Ende bleibt fraglich, ob Indien die erforderlichen Möglichkeiten für eine Datenspeicherungsinfrastruktur hat, die nötig ist, um das gewünschte Maß an Datenlokalisierung auch zu leisten.
Datenlokalisierung mit Hilfe des Digital Personal Data Act
Aufgrund dieser Tatsachen hat sich Indiens Haltung zum Umgang mit persönlichen Daten verändert. Derzeit regelt der Digital Personal Data Act (DPDP, „Gesetz zu digitalen persönlichen Daten“) 2023 die Verarbeitung personenbezogener Daten in Indien, der damit eine Grundlage zum Umgang mit Datenlokalisierung liefert. Absatz 16 des DPDP gibt der Regierung das Recht, nach einer entsprechenden Mitteilung den Transfer von persönlichen Dateneinzuschränken, die in einem Land oder Territorium außerhalb Indiens verarbeitet werden sollen. Die sektoriellen Gesetze, die eine höhere Restriktionsstufe beim Datentransfer anordnen, greifen immer dann, wo die Voraussetzungen erfüllt sind. So ist das DPDP im Grunde ein Mittel, um jemanden auf die schwarze Liste zu setzen, obwohl die Vorgabe eigentlich lautet, keine Beschränkungen vorzuschreiben. Dies scheint die Position der Regierung in Sachen Datenlokalisierung aufzuweichen, besonders im Vergleich zu früheren Versionen des Gesetzes.
Obwohl das derzeitige DPDP weniger Beschränkungen beinhaltet, schürt es aufgrund eben dieser Eigenschaft, schwarze Listen zu erstellen, die Unsicherheit. Gleichzeitig gibt es der zentralen Regierung eine Vielzahl beliebig einsetzbarer Werkzeuge, die eine Bedrohung für Privatsphäre und Innovation darstellen und willkürliche Überwachung ermöglichen können. Weiterhin stellt das DPDP zwar eine Basis für die Lokalisierung persönlicher Daten dar, weist jedoch kein solches Netzwerk für nicht-personenbezogene Daten auf. Bedenken werden auch angesichts der Tatsache laut, dass solche sektoriellen Gesetze andere Gesetze, etwa im Finanzsektor, außer Kraft setzen könnten, was wiederum das DPDP überflüssig machen könnte.
Im Grunde ist die indische Strategie in Bezug auf grenzüberschreitenden Datenfluss ein Balanceakt zwischen dem Bedürfnis, die Daten der Bürgerinnen und Bürger des Landes vor dem Missbrauch durch nicht-indische Unternehmen zu schützen und der wirtschaftlichen Notwendigkeit, mit anderen Ländern und globalen Technik-Unternehmen im Austausch zu bleiben, um das Wirtschaftswachstum aufrechtzuerhalten. Eine Balance, die zum derzeitigen Zeitpunkt allerdings noch nicht gegeben ist.