Die jüngsten Meldungen über den gestohlenen Microsoft-Key machen deutlich: Eine kartellrechtliche Untersuchung der Software-Bündelungspraktiken von Microsoft ist begrüßenswert und überfällig. Aber wir können auch weitergehende, wichtigere Fragen zur Cloud Security nicht mehr einfach ignorieren, die unser gesamtes europäisches Innovations-Ökosystem in Frage zu stellen drohen.
Es ist mittlerweile fünfzehn Jahre her, dass die Europäische Kommission das letzte Mal auf Microsoft aufgrund einer unzulässigen Bündelung von Softwarepaketen zugegangen ist. Auf den ersten Blick sieht es bei der aktuellen Debatte um Microsoft Teams und den Konkurrenten Slack so aus, als stünden wir Jahre später vor der zweiten Runde desselben Vorgehens des Softwarekonzerns. Das aber nur auf den ersten Blick, denn in Wirklichkeit hat sich seither viel verändert. Das Tempo dieser Veränderungen der vergangenen Jahre bedeutet jedoch auch, dass die Art und Weise, wie diese kartellrechtliche Diskussion aktuell geführt wird und bislang geführt wurde, dringend neu bewertet werden muss.
Microsofts Software-Bündelungspraktiken müssen juristisch auf den Prüfstand gestellt werden
Damals, im Jahr 2008, ging es um die Bündelung von Microsoft Windows mit dem Internet Explorer – einer Anwendung, die als Standard-Webbrowser so tief in Windows integriert war, dass sie zu Recht als Konkurrenz für Unternehmen wie Mozilla und Opera angesehen wurde. Die heutige Debatte hingegen konzentriert sich auf eine andere Reihe von Office-Anwendungen, aber es sind die Veränderungen im gesamten Tech-Ökosystem, die zwangsläufig zur Folge haben, dass die rechtliche Bündelung von Software schon sehr bald zu einem strittigen Punkt wird, der nicht nur Microsoft betrifft.
Jetzt nämlich gibt es einen neuen Aspekt, der 2008 noch weitestgehend unberücksichtigt blieb, und das ist die Cloud. Hier wächst der Markt exponentiell, und das Potenzial für sein weiteres Wachstum im Zuge seiner Entwicklung ist nach momentanen Schätzungen nahezu unbegrenzt. Seit 2017 hat sich der Cloud-Markt verfünffacht, liegt jetzt bei einem Volumen von 10,4 Milliarden Euro und wird bis 2026 voraussichtlich 60 Milliarden Euro wert sein. Diese regelrechte Explosion des Wachstumspotenzials bedeutet, dass die Frage, wer zukünftig die Kontrolle über diesen Markt hat, ein systemisches Risiko für alle – sowohl Unternehmen wie den Staat, aber auch für Privatpersonen – darstellt.
Anstelle offener Innovationsräume zunehmend vertragliche Fesseln
Wünschenswert wäre deshalb eigentlich im Sinne von Innovation und Cybersicherheit, dass künftig die bestehenden Schranken zwischen Softwareanwendungen und Infrastructure as a service (IAAS), die es Anwendungen und sogar Unternehmen und Organisationen ermöglicht, miteinander zu kommunizieren, fallen oder zumindest abnehmen.
Stattdessen häufen sich die Beschwerden, dass Big Tech-Konzerne neue Mauern – „Walled Gardens“ – errichten, mit denen sie versuchen, Unternehmen, Institutionen und Privatpersonen vertraglich so eng wie möglich an ihr eigenes Software-Ökosystem zu binden. Diese nach wie vor bestehenden erheblichen Barrieren für die Interoperabilität haben nicht nur nachteilige Folgen für die Cybersicherheit, sondern auch für die Innovation. Dabei häufen sich die Argumente, die eine solche Annahme stützen, zusehends. Wichtigster Punkt in dem Zusammenhang: Die Cloud-Anbieter bündeln verschiedene Dienste so, dass die Kosteneinsparungen aus diesen Bundles andere Anbieter von Cloud-Infrastrukturen vom Wettbewerb effektiv ausschließen.
Wettbewerb als Grundvoraussetzung für Innovation und Cybersicherheit
In den drei Jahren, die mittlerweile seit der ersten Beschwerde von Slack über diese Software-Bundles vergangen sind, hat sich das Problem, wie die Cloud das Potenzial für wettbewerbswidrige Verzerrungen auf dem Markt schafft und vergrößert, potenziert. Zwar hat Microsoft zwischenzeitlich versucht, den Konflikt mit Slack beizulegen – genau so, wie der Konzern auf andere Cloud-Anbieter reagiert hat, die versuchen, aus den „Walled Gardens“ auszubrechen. Letztlich aber wirken all diese Maßnahmen eher beflissen und erwecken den Eindruck, regulierungsbehördliches Tätigwerden zu vermeiden – oder in anderen Worten: Dafür zu sorgen, dass die aktuell eigentlich auf dem Cloud-Markt relevanten Fragen nicht gestellt werden.
Im Vereinigten Königreich hat die dort zuständige Telekommunikations-Regulierungsbehörde Ofcom bereits damit begonnen, sich des Themas der Interoperabilität von Cloud-Infrastruktur intensiv anzunehmen und die richtigen Fragen zur infrastrukturübergreifenden Nutzbarmachung von Daten und den Gefahren von Software-Monokulturen zu stellen. Und genau diese Fragen sind bereits so umfangreich und wichtig, dass sie nun eine umfassendere Erforschung des kartellrechtlichen Sachverhalts durch die Europäische Kommission rechtfertigen, damit Europa auch zukünftig über alle rechtlichen Voraussetzungen eines gesunden digitalen Innovationsraumes verfügt.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.
In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Heureka! Wir haben ein Grundrecht auf Verschlüsselung!
