Bewertungskriterien für den Digitalen Souveränitätsscore
Der Souveränitätsscore wird aus unterschiedlichen Kriterien berechnet. Diese wurden im Rahmen einer Masterarbeit am Institut für Informatik an der Universität Würzburg erarbeitet und werden hier kurz aufgeschlüsselt. Kriterien gelten in der vorliegenden Fassung des Souveränitätsscores als Erfüllt, wenn eine bestimmte Bedingung vorhanden ist. Kriterien werden binär (Erfüllt/Nicht Erfüllt) bewertet.
Hier finden Sie Informationen zur Berechnung des Scores.
KRITERIEN: ERFÜLLUNGSBEDINGUNGEN
Monopolisierung am Softwaremarkt gefährdet Digitale Souveränität maßgeblich. Durch Monopolstellung einer Software hat ein Hersteller, beispielsweise mit Microsoft mit Windows, immense Marktmacht und kann jeden Preis verlangen.
Ein Lock-In Effekt entsteht, der Nutzer macht sich aufgrund mangelnder Alternativen vollständig vom Hersteller abhängig. Das Kriterium wird im Rahmen des Souveränitätsscores aufgrund des hohen Grads an Relevanz als KO-Kriterium bewertet. Ist dieses durch ein Softwareangebot erfüllt, kann die Software nicht digital souverän sein.
Die Lizenz einer Software spielt eine wichtige Rolle in der Digitalen Souveränität dieser. Auch die Europäische Union setzt zur Erreichung Digitaler Souveränität verstärkt auf Open Source Software in ihrer Digitalstrategie. Das Kriterium hat direkten Einfluss auf den Grad der Digitalen Souveränität einer Software und ist einfach bestimmbar.
Quelloffene Software fördert Innovation, Reduktion der Abhängigkeit von privaten Anbietern von proprietärer Software, Transparenz und Datensouveränität und steht damit im Gegensatz zu proprietärer Software, welche Entscheidungsfreiheit, Anpassbarkeit und Datensouveränität mindert.
Ein "Lock-In"-Effekt kann bei der Verwendung proprietärer Software entstehen, der hohe Kosten verursachen kann. Quelloffene Software hilft in der Vermeidung von Abhängigkeiten.
Digitale Abhängigkeit wird maßgeblich verstärkt, je schwieriger sich der Umstieg von genutzter proprietärer Software auf quelloffene gestaltet. Die Nutzung von freien und quelloffenen Standards fällt unter den Begriff der Interoperabilität.
Auch die EU hat erkannt, dass Interoperabilität ein zentraler Aspekt in der Erreichung Digitaler Souveränität ist. Ein Umstieg, weg von proprietärer hin zu quelloffener Software, ist nur dann einfach möglich, wenn die zuvor genutzte Software offene Standards unterstützt.
Viele Hersteller setzen daher auf eigene, proprietäre Standards und Dateiformate, um den Umstieg schwierig zu gestalten und Nutzer innerhalb des eigenen Ökosystems zu halten. Dieses antikompetitive Verhalten bezeichnet man als "Vendor Lock-In". Ein Beispiel für ein Standardisiertes Dateiformat ist der Open Document Format (ODF) Standard.
APIs (Application Programming Interfaces) sind Komponenten einer Software, die es ermöglichen, dass unterschiedliche Software miteinander kommunizieren kann. Sie stellen in der Welt der Software fest definierte Schnittstellen dar, die Kommunikation standardisieren und ermöglichen. Durch APIs definierte Zugriffe, Datentypen und angebotene Funktionalität stellt die Kommunikation und Interoperabilität zwischen unterschiedlichen Softwareprodukten sicher.
Dabei gibt es, ähnlich wie bei dem zuvor aufgezeigten Kriterium "Standardisierte Dateiformate", sowohl quelloffene als auch proprietäre Schnittstellen, die von Software angeboten werden. Offene Schnittstellen ermöglichen es allen Entwicklern, ohne Einschränkungen auf Daten zuzugreifen, eine API frei zu nutzen und Daten jederzeit abzurufen. Nutzungsgebühren fallen generell keine an. Es wird die Möglichkeit geschaffen, Daten frei in eine andere Softwarelösung übertragen zu können und diese für Weiterverarbeitung nutzbar zu machen.
Offene APIs haben ebenfalls den Vorteil, dass Zugang zu Informationen nicht von einer Institution oder Organisation beschränkt werden kann. Informationsfreiheit wird gestärkt.
Die Gerichtsbarkeit, die für den Hersteller oder Anbieter einer IT-Dienstleistung zuständig ist, hat maßgeblichen Einfluss darauf, wie digital souverän eine Software ist. Ein Hauptstandort in der EU ist Voraussetzung für DSGVO-Konformität und Datensouveränität.
Es gewährleistet außerdem, dass Nutzer einer Software die Möglichkeit haben, den Rechtsweg einzuschlagen, sollte dies notwendig werden. Die EU und speziell Deutschland gewährleisten einen der höchsten Standards für Datenschutz weltweit, was die Digitale Souveränität einer Software ebenfalls erhöht. Die durch juristischen Hauptsitz in der EU vorgegebene DSGVO-Konformität erlaubt es Nutzern außerdem, größere Kontrolle über ihre eigenen Daten zu behalten.
Kontrolle über die eigenen Daten betrachtet die EU als Voraussetzung in der Gewährleistung der eigenen Digitalen Souveränität und digitalen Handlungsfähigkeit. Die EU nennt Datenkontrolle ihrer Bürger, Unternehmen und Institution als zentralen Aspekt in ihrer Digitalstrategie. Es wird unterstrichen, dass es ohne Kontrolle über die eigenen Daten nicht möglich ist, die eigene Rolle in der digitalen Welt souverän auszuführen.
Ein wichtiges Kriterium für Digitale Souveränität ist die On-Premise-Verfügbarkeit der Software. Ist die Software nur auf Hersteller-Clouds verfügbar, sind Abhängigkeiten und Verlust von Digitaler Souveränität vorprogrammiert.
Grundsätzlich ist es möglich, eine Software oder IT-Dienstleistung sowohl via Cloud Computing als auch On-Premise zu betreiben. Cloud Computing wird definiert als "Modell, das bei Bedarf - meist über das Internet und geräteunabängig - zeitnah und mit wenig Aufwand geteilte Computerressourcen als Dienstleistung, etwa in Form von Servern, Datenspeicher oder Applikationen, bereitstellt und nach Nutzung abrechnet".
Neben dem Speichern auf externen Servern gibt es allerdings auch die Möglichkeit, Server mit eigener Hardware zu betreiben. Dieses Vorgehen wird als "On Premise" ("In eigener Umgebung") bezeichnet. Software zum Serverbetrieb wird entweder auf eigener Hardware oder angemieteter Fremdhardware installiert und wird vom Betreiber selbst verwaltet, betreut und aktualisiert. Für Anwender hat es meist keine oder nur zweitrangige Bedeutung, ob ein Dienst On-Premise oder durch die Cloud bereitgestellt wird.
Im Kontext der Digitalen Souveränität ist diese Unterscheidung allerdings von zentraler Bedeutung: Speichert ein Unternehmen die eigenen Daten nicht auf eigenen, als On-Premise betriebenen Servern, droht ein Verlust von Digitaler Souveränität und der Kontrolle über die eigenen Daten. Eine alternativlose Abhängigkeit von Cloud-Anbietern kann entstehen, der Umstieg weg von Cloud Lösungen wird erschwert, die Gefahr von Vendor Lock-In besteht. Die Vermeidung von Cloud-Anbietern und das Betreiben von Servern als On Premise Lösung widerum verstärkt die eigene Digitale Souveränität.
Sensible Daten verbleiben im eigenen System, nur man selbst hat Zugriff darauf. Weitergabe der eigenen Daten ohne eigenes Zutun wird verhindert, man hat die volle Kontrolle über die eigenen Daten und die eigene Sicherheit. Abhängigkeit von Cloud-Anbietern wird verhindert. Die Locations der Server werden ebenfalls selbst bestimmt, man vermeidet eine Übergabe der eigenen Daten an fremde Behörden durch Legislation wie den Cloud-Act in den USA. Beim Betreiben der Server in Deutschland muss zusätzlich zur europäischen DSGVO ebenfalls das deutsche Bundesdatenschutzgesetz, eines der strengsten weltweit, beachtet werden.