Geheimdienste und Zugriff auf Microsoft Cloud – Aussage des Microsoft Legal Vertreters in Frankreich

Der Zugriff von Geheimdiensten und im Speziellen der US Geheimdienste ist keine neues Thema der letzten Monate durch die neue US Regierung, sondern schon seit einigen Jahren. In diesem Bereich wurden die Diskussionen und Risiken bereits durch das Verfahren vor dem höchsten Gericht, dem Surpreme Court, durch Microsoft geführt, bestimmt. Dazu kommt die FISA und der Patriot Act.

Aussage bringt mediale Aufmerksamkeit

Herr Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten bei Microsoft France, und Herrn Pierre Lagarde, Technischer Direktor für den öffentlichen Sektor wurden zur Sitzung des französischen Senats geladen. Dieser tagte öffentlich unter dem Vorsitz von Simon Uzenat.

Wichtige Punkte

**Keine Garantie auf Datenvertraulichkeit:** Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten, erklärte, dass er nicht garantieren könne, dass die Daten der französischen Bürger, die Microsoft anvertraut werden, niemals ohne ausdrückliche Zustimmung der französischen Behörden an die US-Regierung übermittelt werden.

**Rechtliche Verpflichtungen:** Microsoft verpflichtet sich vertraglich, Anfragen der US-Behörden zu prüfen und abzulehnen, wenn diese unbegründet sind. Bei begründeten Anfragen ist das Unternehmen jedoch verpflichtet, die Daten zu übermitteln.

**Transparenzberichte:** Microsoft veröffentlicht regelmäßig Transparenzberichte, die Informationen über Anfragen von Behörden enthalten. In den letzten drei Jahren gab es jedoch keine Anfragen, die europäische Unternehmen betroffen haben.

**Sicherheitsmaßnahmen:** Microsoft betonte, dass sie Maßnahmen ergreifen, um die Daten ihrer Kunden zu schützen, einschließlich der Verschlüsselung und der Qualifizierung von Cloud-Diensten (SecNumCloud), um sicherzustellen, dass sensible Daten in einem sicheren Umfeld verarbeitet werden.

**Technologische Abhängigkeit:** Die Vertreter wiesen darauf hin, dass die Abhängigkeit von amerikanischen Cloud-Anbietern eine Herausforderung darstellt, und dass Microsoft bestrebt ist, Lösungen zu entwickeln, die den Anforderungen der europäischen Souveränität gerecht werden.

Bewertung und Folge dessen

Fraglich ist, ob die Risikobewertung in Eintrittswahrscheinlichkeit oder Schadenshöhe sich nun geändert hat und damit die Höhe des Risikos in der Nutzung von Microsoft Services und Produkten.

Vertragsprüfung Offenlegung von Daten

In diesem Bereich

1. Wie vom Kunden angewiesen.
2. Wie im Datenschutznachtrag (DPA) beschrieben.
3. Wie gesetzlich vorgeschrieben.

• Keine Weitergabe von Daten der Kunden, es seit denn
  • vom Kunden angeweisen
  • gesetzliche Vorschriften (weltweit)
• Keine Weitergabe von Verschlüsselungen und Möglichkeiten diese zu Umgehen.

Prozess der Datenweitergabe bei Microsoft in Deutschland

• Eingang der behördlichen Anfrage
• rechtliche Prüfung der Anfrage (Herausgabeanspruch? Welche Daten konkret angefragt? z.B. nur Metadaten oder auch Inhalte)
• Mitteilung an den Kunden und Anfrage der Behörde an den Kunden schicken

Wenn Anfrage nicht an den Kunden darf:  (z.B. TKG, Gefahr in Verzug z.B. Drohung einer unmittelbaren Selbsttötung)

• rechtliche Prüfung der Anfrage erneut für die direkte Herausgabe und Informationen
• technische Prüfung der Anfrage  (Gibt es Daten?)
• Heraussuchen der Daten
• Weitergabe der Daten
• Ergebnis
  • Bericht an die anfragende Behörde
  • Bericht an den Kunden nach Zeitablauf

Technische Prüfung und Maßnahmen zum Schutz von Daten

Datenflussdiagramm am Beispiel

Verschlüsselung

Variante 1: Double Key Encryption

Variante 2: 3rd Party Verschlüsselung (z.B. Boxencryptor)

Datenminimierung / Daten nicht bei M365

Eine Datenminimierung hilft, dass der Hersteller und Dritte nicht auf die Daten zugreifen können. Es ist damit klar, dass ihr immer wieder aufräumen müsst, Retention Label und Policy nutzen und nur die Daten in der Cloud behalten, die man auch wirklich noch benötigt. Es ist damit auch ratsam Archive außerhalb der Cloud zu haben, so dass abgeschlossene Projekte z.B. auf lokalen Systemen liegen. Das Thema Aufräumwoche zwei Mal im Jahr rückt damit wieder in den Vordergrund.

Patriot Act

Der USA PATRIOT Act (vollständig: Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001) wurde am 26. Oktober 2001 als Reaktion auf die Terroranschläge vom 11. September 2001 verabschiedet.  Ziel des Gesetzes war es, die Sicherheitsbehörden der USA mit erweiterten Befugnissen zur Überwachung, Ermittlung und Strafverfolgung im Kampf gegen den Terrorismus auszustatten. Zu den zentralen Maßnahmen gehörten:

• Erweiterte Überwachungsbefugnisse für Telefon- und Internetkommunikation
• Erleichterter Informationsaustausch zwischen Strafverfolgungs- und Geheimdiensten
• Verschärfte Maßnahmen gegen Geldwäsche
• Erweiterte Möglichkeiten zur Inhaftierung von Terrorverdächtigen, auch ohne Anklage

Das Gesetz war von Anfang an umstritten, da es tief in die Bürgerrechte eingriff. Kritiker warnten vor einer Aushöhlung der Privatsphäre und einer möglichen Missbrauchsgefahr durch staatliche Stellen. Teile des Gesetzes wurden später durch den USA Freedom Act ersetzt oder eingeschränkt.
https://www.britannica.com/topic/USA-PATRIOT-Act

Stand Juli 2025: – ausgelaufen und nicht gültig

Der Patriot Act ist aktuell ausgelaufen, da die Erweiterung das House of Representatives nicht passieren konnte. Der Patriot Act ist also nicht gültig.

Quelle ->  https://en.wikipedia.org/wiki/Patriot_Act 

Folge für die DSFA dieser Meldung

Wenn bereits eine DSFA sorgfältig durchgeführt wurde, dann muss dieser Punkt bereits aufgelistet und bewertet worden sein. Man könnte jetzt das Risiko erhöhen und in der Eintrittswahrscheinlichkeit ein weiteres Feld nach rechts gehen ins Risiko, aber nicht soweit, dass Art. 36 DSGVO zieht. Denn alle Zahlen, wie im Transparency Report, zeigen keinen Anstieg dessen.

Also

• Abschnitt dazu schreiben
• Risiko leicht erhöhen, wenn nicht schon passiert

https://www.microsoft.com/en/DigitalSafety/transparency-reports?msockid=15962c1fc71c649c27a63fdbc31c6fbd

Empfehlungen

1. Verschlüsselung und 3rd Party Verschlüsselung prüfen
2. DSFA überprüfen
3. Löschregeln prüfen und Daten aus der Cloud Umgebung nehmen
4. Verträge der aktuellsten DPA nehmen
5. interne Prozesse zu Customer Lockbox und Überwachung mit Defender umsetzen / SOC SIEM Kontrollen für Zugriffe

Was gibt nicht? 

• Von Microsoft zu Google oder einem anderen US Anbieter wechseln
• zusätzliche Verträge schließen

Sitzung des französischen Senates am 10 Juni 2025

Video

https://videos.senat.fr/video.5460497_6847c70b82594.commande-publique–audition-de-microsoft?timecode=2459000

schriftliche Niederschrift

https://www.senat.fr/compte-rendu-commissions/20250609/ce_commande_publique.html

Übersetzung per DeepL

„Dienstag, 10. Juni 2025

– Vorsitz: Simon Uzenat, Vorsitzender –

Die Sitzung wird um 9:05 Uhr eröffnet.

Anhörung von Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten, und Pierre Lagarde, Technischer Direktor für den öffentlichen Sektor, Microsoft France

Herr Simon Uzenat, Vorsitzender. – Wir schließen diese Woche die Anhörungen unseres Untersuchungsausschusses ab, bevor wir in die Endphase unserer Arbeit eintreten, die am kommenden Dienstag, dem 1. Juli, mit der Prüfung unseres Berichts abgeschlossen werden soll.

Zuvor setzen wir heute unsere Untersuchung der Rolle fort, die das öffentliche Beschaffungswesen bei der Förderung der digitalen Souveränität Europas spielen kann. In den letzten Wochen haben wir zahlreiche institutionelle und wirtschaftliche Akteure angehört, die uns auf die Risiken hingewiesen haben, die mit der Nutzung von Betreibern, die extraterritorialen Rechtsvorschriften unterliegen, für das Hosting öffentlicher Daten verbunden sind. Gleichzeitig besteht kein Zweifel daran, dass wir von diesen Betreibern „abhängig” oder sogar „süchtig” sind.

Bislang hatten wir nationale Akteure aus dem Bereich der Cloud und der digitalen Wirtschaft im Allgemeinen angehört. Es erschien uns unerlässlich, einen der amerikanischen Akteure zu empfangen, dessen Produkte und marktbeherrschende Stellung in unseren Anhörungen mehrfach erwähnt wurden, und zwar im Bereich der Bereitstellung von Bürosoftware mit Office 365 und der Datenhosting in der Cloud mit der Lösung Azure, die insbesondere für die Gesundheitsdatenplattform (PDS) ausgewählt wurde: Ich meine Microsoft.

Wir empfangen daher Herrn Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten bei Microsoft France, und Herrn Pierre Lagarde, Technischer Direktor für den öffentlichen Sektor.

Ich teile Ihnen mit, dass diese Anhörung live auf der Website des Senats übertragen und in einem Bericht veröffentlicht wird. Ich weise außerdem darauf hin, dass eine Falschaussage vor unserem Untersuchungsausschuss mit den in den Artikeln 434-13, 434-14 und 434-15 des Strafgesetzbuches bestraft werden, d. h. mit einer Geldstrafe von 75.000 Euro und einer Freiheitsstrafe von bis zu fünf Jahren, je nach den Umständen sogar bis zu sieben Jahren. Ich bitte Sie, nacheinander den Eid zu leisten, die ganze Wahrheit und nichts als die Wahrheit zu sagen, indem Sie die rechte Hand heben und sagen: „Ich schwöre. “

Gemäß dem für Untersuchungsausschüsse geltenden Verfahren leisten Anton Carniaux und Pierre Lagarde den Eid.

Microsoft ist ein internationaler Akteur, dessen Software und Dienste Teil unseres Alltags sind. Diese marktbeherrschende Stellung, aber auch der Umfang der angebotenen Funktionen und die hohe Interoperabilität haben dazu beigetragen, dass Microsoft heute im öffentlichen Bereich unverzichtbar ist. Als US-amerikanisches Unternehmen unterliegt Microsoft jedoch verschiedenen extraterritorialen Gesetzen, die es dazu verpflichten, die von ihm gehosteten Daten an die Behörden weiterzugeben, ohne deren Eigentümer darüber zu informieren. Sind Sie sich der Schwierigkeiten bewusst, die dies für Ihre privaten Kunden, aber auch für den Staat mit sich bringen kann, insbesondere wenn es um sensible Daten wie die der PDS geht?

Um dem entgegenzuwirken, haben Sie eine Partnerschaft mit den Unternehmen Orange und Capgemini geschlossen, um Ihre Produkte in einem souveränen Rahmen anzubieten, der die SecNumCloud-Qualifikation erhalten würde, die bisher noch nicht vergeben wurde: das Projekt Bleu. Können Sie uns mehr über den Stand des Projekts, seine Aussichten auf eine Umsetzung und vor allem über die rechtlichen, technischen und kapitalmäßigen Rahmenbedingungen sagen, die Ihre Lösungen unter diesen Umständen immun gegen extraterritoriale US-Gesetze machen?

Jüngste Beispiele haben uns in dieser Hinsicht nicht beruhigt, wie beispielsweise die Information, dass Ihr Unternehmen auf Ersuchen der US-Behörden die E-Mail-Adresse des Anklägers des Internationalen Strafgerichtshofs (IStGH) gesperrt haben soll. Könnten Sie im aktuellen geopolitischen Kontext gezwungen sein, den Zugang zu Ihren Technologien für Bleu zu sperren? Wie sähen in diesem Fall die Aussichten für den Betrieb oder vielmehr das Überleben von Bleu aus?

Können Sie uns ganz allgemein etwas über die Haltung Ihres Unternehmens gegenüber öffentlichen Aufträgen sagen: Handelt es sich dabei um einen Wachstumsmotor, den Sie voll ausschöpfen, oder eher um eine Nebentätigkeit?

Ich möchte Sie daran erinnern, dass Sie die Angabe von Informationen, die Ihrer Meinung nach unter das Geschäftsgeheimnis fallen, im Rahmen dieser öffentlichen Anhörung verweigern können. Sie müssen diese Informationen jedoch schriftlich an den Untersuchungsausschuss übermitteln.

Herr Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten bei Microsoft France. – Vielen Dank, dass Sie uns die Möglichkeit geben, zu Ihrer Arbeit beizutragen. Ich werde Ihnen zunächst kurz die Tätigkeit von Microsoft vorstellen und anschließend näher auf einige Besonderheiten in Frankreich und Europa eingehen.

Microsoft ist ein Technologieunternehmen, dessen Mission es ist, jedem Menschen und jeder Organisation die Mittel zur Verwirklichung ihrer Ziele an die Hand zu geben. Zu diesem Zweck begleiten wir die digitale Transformation unserer Kunden aus dem öffentlichen und privaten Sektor mit verschiedenen Lösungen: Cloud-Computing mit der Azure-Plattform, künstliche Intelligenz (KI) mit Copilot, Cybersicherheit, IT-Hardware und Collaboration-Tools wie Office. Diese Technologien sind alle auf die Bedürfnisse unserer Kunden zugeschnitten und entsprechen den französischen gesetzlichen Anforderungen.

Ich halte es für wichtig, daran zu erinnern, dass vor der Vergabe öffentlicher Aufträge ein echter öffentlicher Bedarf besteht, der vom Staat definiert wird. Die Regierung hat dies im März 2024 in ihrem strategischen Fahrplan für das digitale Jahrzehnt zum Ausdruck gebracht, der mehrere Schwerpunkte umfasst: Stärkung der digitalen Kompetenzen, Aufbau einer nachhaltigen Infrastruktur, Beschleunigung der digitalen Transformation von Unternehmen und Modernisierung der öffentlichen Dienste.

Dies schlägt sich in konkreten Initiativen nieder, wie der elektronischen Rechnungsstellung, dem einzigen Schalter, der Verbesserung des Gesundheitssystems, auch durch die Digitalisierung der Verwaltungsaspekte, der Bekämpfung von Steuerbetrug, insbesondere durch KI – allesamt Projekte, die für die Bürger von wesentlicher Bedeutung sind und extrem robuste IT-Kapazitäten in Bezug auf Datenspeicherung, -verarbeitung und -schutz erfordern.

Genau diesen Erwartungen der öffentlichen Hand möchte Microsoft mit seinem gesamten Partnernetzwerk gerecht werden.

Konkret bieten wir flexible Technologien, die es privaten Unternehmen und öffentlichen Auftraggebern ermöglichen, frei zu wählen, wie sie diese einsetzen möchten: in Rechenzentren, die von unseren Kunden selbst betrieben werden, aber auch in staatlichen Clouds wie Pi im Innenministerium, über souveräne Cloud-Kapazitäten wie Bleu oder auf unseren Infrastrukturen, wenn die Art der Daten dies zulässt. Diese Flexibilität garantiert den Käufern ein hohes Maß an Kontrolle, Sicherheit und Interoperabilität für die Verwaltung ihrer Daten.

Ich komme nun zu den Besonderheiten, die ich hervorheben möchte. Microsoft ist seit vierzig Jahren fest in Frankreich verankert und stark in den Regionen verwurzelt. Das Unternehmen hat eine wichtige Zugkraft für die Wirtschaft und trägt aktiv zum Gemeinwohl bei.

Wir beschäftigen heute 2.200 Mitarbeiter und stützen uns auf ein äußerst solides Ökosystem von 10.500 Partnern in Paris und den Regionen: digitale Dienstleistungsunternehmen, Softwarehersteller, Start-ups, öffentliche und akademische Akteure. Gemeinsam tragen sie dazu bei, die französische Innovation täglich mit Leben zu füllen.

Im Mai 2024 haben wir auf dem Gipfel „Choose France“ eine massive Investition in Höhe von 4 Milliarden Euro angekündigt, um eine hochmoderne Cloud- und KI-Infrastruktur aufzubauen. Hinzu kommt die Verpflichtung, bis 2027 eine Million Franzosen in KI-Technologien auszubilden und 2.500 Start-ups bei der Einführung von KI zu unterstützen. Diese bedeutenden Investitionen spiegeln unser langfristiges Engagement in Frankreich wider und werden meiner Überzeugung nach eine Angleichung an die Ziele der französischen Politik ermöglichen.

Wir haben eine starke wirtschaftliche Präsenz und eine echte Sogwirkung. Unser Ökosystem, das 80.000 Arbeitsplätze in Frankreich umfasst, reicht von Kleinstunternehmen über kleine und mittlere Unternehmen (KMU) bis hin zu großen Konzernen und mittelständischen Unternehmen. Alle diese Akteure können unsere Lösungen entwickeln, integrieren, weiterverkaufen oder vertreiben, zum Nutzen des öffentlichen Sektors oder privater Unternehmen. Für jeden Euro Umsatz von Microsoft werden 6 Euro Umsatz für die französische Wirtschaft generiert.

Wir unterstützen auch Innovationen. Tatsächlich meldet ein Viertel unserer Partner mindestens ein Patent auf unserer Technologieplattform an, und seit 2008 wurden mehr als 6.000 Start-ups und Unternehmer von Microsoft in Frankreich begleitet. Wir haben insbesondere regionale Niederlassungen in Nantes, Lyon, Marseille, Bordeaux und Toulouse eingerichtet, die als Innovationszentren für KI dienen. Im Jahr 2024 haben wir 10.000 Besucher empfangen: KMU, mittelständische Unternehmen, Start-ups und andere Partner. Im Jahr 2023 haben wir 65.000 Kleinstunternehmen und KMU bei der Integration neuer Technologien, insbesondere KI, unterstützt.

Im Bereich der Technologiepartnerschaften haben wir eine wichtige Vereinbarung mit Mistral AI, dem europäischen Marktführer für große Sprachmodelle, unterzeichnet. Diese Partnerschaft zielt auf die Förderung gegenseitiger Innovationen ab. Sie ermöglicht auch die internationale Expansion von Mistral und bietet Microsoft-Kunden Zugang zu den großen Sprachmodellen dieses Unternehmens. Dies ist ein symbolträchtiges Beispiel, aber wir haben noch weitere Partnerschaften, da Microsoft an die Kraft von Partnerschaften als Triebkraft für gemeinsame Innovationen glaubt; sie bieten unseren Kunden einen hohen Mehrwert und eine große Auswahl. So bieten wir beispielsweise auf unserem Marktplatz zahlreiche Sprachmodelle von Drittanbietern an, darunter auch französische Modelle, wodurch diese auf dem KI-Markt sichtbar werden.

Im Bereich Ausbildung und digitale Inklusion engagieren wir uns sehr. Ich habe bereits unser Ziel erwähnt, bis 2027 eine Million Franzosen in KI auszubilden. Dieses Engagement wurde kürzlich durch eine Website konkretisiert, die Zugang zu 200 Ressourcen bietet und es ermöglicht, den Ausbildungsweg an das Profil jedes Nutzers anzupassen.

Wir haben auch Partnerschaften mit France Travail geschlossen, um Arbeitssuchende speziell in generativer KI auszubilden. Seit mehreren Jahren arbeiten wir auch mit Simplon zusammen, einem Unternehmen der Sozial- und Solidarwirtschaft, das ein Netzwerk von Schulen gegründet hat, das sich ursprünglich auf Cybersicherheit konzentrierte und sich seit einigen Jahren auf KI ausrichtet. Diese Schulungen sind intensiv, kostenlos und zielen insbesondere darauf ab, den Frauenanteil im Technologiesektor zu erhöhen.

Eine weitere wichtige Besonderheit ist unser starkes Engagement für die digitale Souveränität Europas und Frankreichs.

In diesem Zusammenhang möchte ich auf Ihre Frage eingehen, was wir im aktuellen geopolitischen Kontext tun, der besonders komplex ist. Am 30. April dieses Jahres hat unser Präsident Brad Smith in Brüssel eine Reihe von grundlegenden Verpflichtungen für Europa und natürlich auch für Frankreich vorgestellt: Erstens wollen wir ein Cloud- und KI-Ökosystem von Weltklasse entwickeln und die Kapazität unserer Rechenzentren in Europa bis 2027 um 40 % erhöhen. Zweitens: die digitale Widerstandsfähigkeit des Kontinents gewährleisten. Drittens: die Integrität der Daten unserer Kunden um jeden Preis schützen. Viertens: die Cybersicherheit stärken. Fünftens: Wettbewerbsfähigkeit und offene Innovation – Open Source– in Europa fördern.

Speziell zum Thema Cybersicherheit kündigte Brad Smith am 4. Juni die Einführung eines europäischen Sicherheitsprogramms an, das den Mitgliedstaaten kostenlos zur Verfügung gestellt wird. Dieses Programm legt den Schwerpunkt auf einen verstärkten Austausch von Informationen über Bedrohungen durch bestimmte feindliche Staaten, insbesondere durch den Einsatz von KI.

Warum gehen wir in Sachen Cybersicherheit so weit? Weil wir über die natürlich wichtigen Fragen der Souveränität hinaus vorrangig dafür sorgen wollen, dass die Nutzer von Microsoft-Tools, auch im öffentlichen Sektor, das bestmögliche Maß an Cybersicherheit genießen. Seit drei Jahren investieren wir massiv in ein Modell, bei dem Kundendaten nicht nur in Europa gespeichert, sondern auch ausschließlich in Europa verarbeitet werden, sofern der Kunde nicht ausdrücklich etwas anderes wünscht. Ein weiteres interessantes Beispiel ist Confidential Computing, eine Lösung, die Daten nicht nur im Ruhezustand oder während der Übertragung, sondern auch während der Nutzung schützt. Microsoft hat ohne ausdrückliche Genehmigung des Kunden keinen Zugriff auf diese Daten.

Was Bleu betrifft, das Sie erwähnt haben, handelt es sich um ein von Capgemini und Orange gegründetes Unternehmen, das völlig unabhängig von Microsoft ist. Wir sind Technologieanbieter und haben ein System eingerichtet, das dieses Cloud-Computing-Angebot von dem von Microsoft trennt, um es vor jeglichen extraterritorialen Auswirkungen zu schützen. Hinzu kommt eine rechtliche Trennung, wonach Microsoft nicht am Kapital von Bleu beteiligt ist.

Ich möchte Ihnen eine tiefe Überzeugung mit auf den Weg geben: Vertrauen muss man sich über Jahre hinweg durch konstante und geduldige Arbeit verdienen, aber es kann innerhalb weniger Tage oder sogar Sekunden verloren gehen. Wenn Microsoft heute ein weltweit bedeutendes Unternehmen und Marktführer in Frankreich ist, dann deshalb, weil wir Vertrauen als unser höchstes Gut betrachten. Es verpflichtet uns, und wir werden es niemals durch ein Verhalten gefährden, das nicht den Gesetzen oder bewährten Praktiken entspricht, egal in welchem Land.

Die Einhaltung der Vorschriften und der Schutz der Daten unserer Kunden sind für uns keine Option, sondern eine Verpflichtung, die Teil unserer Unternehmenspolitik ist. Ich hoffe, dass diese einleitenden Worte und die Antworten auf Ihre Fragen Sie davon überzeugen können.

Herr Dany Wattebled, Berichterstatter. – Wir danken Ihnen für diese Erläuterungen, die uns beruhigen. Dennoch hat Microsoft im Februar 2025 den Zugang zu den Cloud-Messaging-Diensten des IStGH als Reaktion auf US-Sanktionen, die diese in Europa ansässige internationale Institution lahmlegen, gesperrt. Wie rechtfertigen Sie diese Entscheidung, wo doch Microsoft eigentlich digitale Hoheitsdaten schützen soll? Beweist dies nicht, dass Microsoft mit dem Cloud Act immer den Anordnungen der USA Vorrang vor seinen Verpflichtungen gegenüber seinen europäischen Kunden, einschließlich der französischen Behörden, einräumen wird?

Herr Anton Carniaux. – Was Sie in der Presse zu diesem Thema gelesen haben, ist falsch, denn wir haben den Zugang zu den Diensten des IStGH niemals ausgesetzt oder gesperrt. Die Medienberichterstattung hat dazu beigetragen, diese Vorstellung zu verbreiten, aber das ist nicht der Fall. Wir haben von Anfang an mit dem IStGH diskutiert, um eine Lösung zu finden, ohne dass dies zu einer Unterbrechung oder Aussetzung unsererseits geführt hat.

Herr Simon Uzenat, Vorsitzender. – Sie sagen, dass es nicht zu einer Aussetzung gekommen ist. Gab es also eine bestimmte Maßnahme?

Herr Anton Carniaux. – Die nicht von uns ausgegangen ist.

Herr Simon Uzenat, Vorsitzender. – Waren Sie an der Durchführung dieser Maßnahme beteiligt oder nicht?

Herr Anton Carniaux. – Nein, wir haben nur mit dem ICC gesprochen. Wir haben seinen Zugang nicht physisch gesperrt.

Herr Simon Uzenat, Vorsitzender. – Sie haben in keiner Weise eingegriffen?

Herr Anton Carniaux. – Nur in einem Dialog mit dem ICC, aber nicht technisch.

Herr Dany Wattebled, Berichterstatter. – Microsoft unterliegt dem Cloud Act, der den US-Behörden Zugriff auf in Europa gespeicherte Daten ermöglicht. Wie können Sie mit konkreten Beweisen garantieren, dass die Daten der französischen Behörden, die über die Verträge der Union des groupements d’achats publics (Ugap) verwaltet werden, niemals an die US-Regierung weitergegeben werden? Welche konkreten technischen und rechtlichen Mechanismen verhindern diesen Zugriff?

Herr Anton Carniaux. – Aus rechtlicher Sicht verpflichten wir uns gegenüber unseren Kunden, einschließlich denen aus dem öffentlichen Sektor, solchen Anfragen zu widersprechen, wenn sie unbegründet sind. Wir haben ein sehr strenges System eingeführt, das unter Obama durch Klagen gegen Behördenanfragen ins Leben gerufen wurde und es uns ermöglicht, Zugeständnisse von der US-Regierung zu erwirken. Wir prüfen zunächst sehr genau die Rechtmäßigkeit einer Anfrage und lehnen sie ab, wenn sie unbegründet ist. Wir bitten darum, dass sie nach Möglichkeit an den Kunden weitergeleitet wird. Ist dies nicht möglich, antworten wir in äußerst präzisen und begrenzten Fällen. Ich möchte darauf hinweisen, dass die Regierung keine Anfragen stellen kann, die nicht genau definiert und eng gefasst sind. Wenn wir darüber hinaus kommunizieren müssen, bitten wir darum, den betroffenen Kunden benachrichtigen zu dürfen.

Dieser Prozess funktioniert sehr gut, wie die Transparenzberichte zeigen, die wir zweimal jährlich veröffentlichen. Diese enthalten Statistiken zu den Fällen, mit denen wir konfrontiert waren. Seit drei Jahren hat jedoch kein Antrag in diesem Bereich ein europäisches Unternehmen betroffen.

Herr Dany Wattebled, Berichterstatter. – Was ist Ihrer Meinung nach eine begründete oder unbegründete Anfrage?

Herr Anton Carniaux. – Unter Obama konnten die Anfragen sehr weit gefasst, schlecht definiert und rechtlich wenig eindeutig sein. Im Laufe der Zeit und nachdem wir den Fall vor den Obersten Gerichtshof gebracht hatten, haben wir jedoch erreicht, dass sie viel präziser, genauer, begründeter und rechtlich fundierter sind.

Herr Dany Wattebled, Berichterstatter. – Wenn die Anfrage klar formuliert ist, sind Sie verpflichtet, die Daten zu übermitteln?

Herr Anton Carniaux. – Ja, unter Einhaltung dieses Verfahrens. Aber ich wiederhole, dass dies seit der Veröffentlichung unserer Transparenzberichte kein europäisches Unternehmen oder öffentliche Einrichtung betroffen hat.

Herr Pierre Lagarde, Technischer Direktor für den öffentlichen Sektor bei Microsoft France. – Gemäß unseren vertraglichen Verpflichtungen verschlüsseln wir die Daten im Ruhezustand in den Rechenzentren von Microsoft und während der Übertragung mit Verschlüsselungsschlüsseln, die an keine Stelle weitergegeben werden.

Herr Dany Wattebled, Berichterstatter. – Der Europäische Datenschutzbeauftragte (EDSB) stellte 2024 fest, dass Microsoft 365 gegen die Verordnung (EU) 2018/1725 verstößt, indem es Daten ohne angemessene Garantien aus der Europäischen Union (EU) übermittelt. Wie kann Microsoft France unseren Verwaltungen, die Dienstleistungen über Ugap erwerben, garantieren, dass ihre personenbezogenen Daten geschützt sind?

Herr Anton Carniaux. – Der Text, auf den Sie sich beziehen, ist nicht die Datenschutz-Grundverordnung (DSGVO). Auch wenn die Philosophie dieselbe ist, können Nuancen die Position dieser Behörde erklären.

Herr Pierre Lagarde. – Seit drei Jahren haben wir eine technische Umgebung eingerichtet, um die Datenübertragung so weit wie möglich zu reduzieren und die Daten auf europäischem Boden zu speichern. Seit Januar 2025 verlassen die Daten unserer europäischen Kunden aufgrund einer vertraglichen Garantie die EU nicht mehr, unabhängig davon, ob sie gespeichert, übertragen oder verarbeitet werden oder ob es sich um Daten handelt, die durch Anwendungsprotokolle generiert wurden, einschließlich des Supportbereichs. Diese Arbeiten sind wichtig, um diese technischen Übertragungen zu sichern und zu minimieren.

Herr Dany Wattebled, Berichterstatter. – Ich habe eine eher finanzielle Frage. Es steht fest, dass die Verträge der Ugap mit Microsoft über Microsoft Ireland laufen. Können Sie bestätigen, dass alle Rechnungen und Daten der französischen Behörden über Irland laufen, was zu Steuerausfällen führt? Wenn ja, wie wird die digitale Souveränität Frankreichs gewahrt, da diese Daten auch dem Cloud Act unterliegen können?

Herr Pierre Lagarde. – Was den technischen Teil betrifft, so bleiben wir innerhalb der Europäischen Union. Daher sind die Szenarien genau die gleichen wie die, die ich zuvor genannt habe. Was den lokalen französischen Teil betrifft, so können französische Kunden heute Dienste wählen, die in Frankreich gespeichert und verarbeitet werden, obwohl es auch andere Dienste mit europäischem technischem Geltungsbereich gibt.

Herr Dany Wattebled, Berichterstatter. – Ist es im finanziellen Bereich die Ugap, die verlangt, dass die Rechnungsstellung in Irland erfolgt, oder sind Sie es? Denn es entsteht ein Mehrwertsteuerausfall für die französische Verwaltung.

Herr Anton Carniaux. – Ihre Aussage überrascht mich, denn alle unsere Aufträge werden in Frankreich in Rechnung gestellt. Und wir stellen den öffentlichen Kunden keine Rechnungen direkt, sondern unseren Vertriebshändlern, die ihrerseits über die Ugap an öffentliche Akteure weiterverkaufen. Somit werden alle Einnahmen in Frankreich erzielt.

Herr Dany Wattebled, Berichterstatter. – Könnten Sie uns alle Angaben zu diesem Punkt schriftlich bestätigen?

Herr Anton Carniaux. – Selbstverständlich.

Herr Simon Uzenat, Vorsitzender. – Uns wurde berichtet, dass Microsoft im Rahmen des elektronischen Überwachungsprogramms Prism den Verschlüsselungscode von Outlook an die National Security Agency (NSA) weitergegeben habe. Können Sie diese Angaben bestätigen?

Herr Pierre Lagarde. – Diese Information liegt mir nicht vor, daher kann ich Ihnen keine Antwort geben.

Herr Dany Wattebled, Berichterstatter. – Was das in Zusammenarbeit mit Capgemini und Orange gestartete Projekt Bleu betrifft, haben Sie uns teilweise beruhigt. Können Sie bestätigen, dass Microsoft in keiner Weise an Bleu beteiligt ist?

Herr Anton Carniaux. – Ja, wir bestätigen, dass unser Unternehmen in keiner Weise daran beteiligt ist.

Herr Dany Wattebled, Berichterstatter. – Sie haben angegeben, dass Microsoft sich rechtlich verpflichtet hat, allen unangemessenen Anfragen in Bezug auf europäische Daten entgegenzutreten. Wären Sie im Falle einer rechtlich begründeten Anordnung der US-Behörden zur Weitergabe von Daten verpflichtet?

Herr Anton Carniaux. – Das ist das Ergebnis des von mir beschriebenen Verfahrens. Wenn wir zur Herausgabe verpflichtet sind, geben wir die Daten heraus. Aber keines der europäischen Unternehmen, die zu unseren Kunden zählen, war bisher von einem solchen Fall betroffen.

Herr Dany Wattebled, Berichterstatter. – Herr Carniaux, als Leiter der Abteilung für öffentliche und rechtliche Angelegenheiten vertreten Sie Microsoft France gegenüber politischen Entscheidungsträgern. Können Sie vor unserem Ausschuss unter Eid garantieren, dass die Daten französischer Bürger, die Microsoft über die Ugap anvertraut wurden, niemals auf Anordnung der US-Regierung ohne die ausdrückliche Zustimmung der französischen Behörden weitergegeben werden?

Herr Anton Carniaux. – Nein, das kann ich nicht garantieren, aber ich wiederhole, dass dies noch nie vorgekommen ist.

Herr Simon Uzenat, Vorsitzender. – In den Transparenzberichten von Microsoft, die das Ergebnis einer rein deklaratorischen Maßnahme sind, sind die Angaben enthalten, die Sie darin aufnehmen möchten, und deren Richtigkeit durch keine externe Kontrolle bestätigt wird. Ebenso sagen Sie, dass Sie Initiativen im Bereich der Datenübermittlung ergreifen, und wir möchten Ihnen in diesem Punkt gerne glauben. Wenn Sie jedoch beschließen, Ihre französischen Kunden nur jedes zweite oder dritte Mal zu informieren, hätten diese keine Möglichkeit, genau zu erfahren, wie die Lage ist. Können Sie uns das bestätigen?

Unser Anliegen ist es, die Bedingungen für die Umsetzung dieser extraterritorialen Rechtsvorschriften zu verstehen. Abgesehen von Ihrem guten Willen, welche Garantie haben wir, dass diese Maßnahmen systematisch umgesetzt werden?

Herr Anton Carniaux. – Ihre Frage ist völlig berechtigt.

Erstens sind in den Transparenzberichten von Microsoft Fälle aufgeführt, in denen wir Daten weitergegeben haben, aber kein europäisches Unternehmen davon betroffen war. Es wäre zumindest verwunderlich, wenn wir gerade die Ergebnisse für Europa verfälschen würden. Ich möchte Sie daher in diesem Punkt beruhigen.

Zweitens ist es das Ziel des Geschäftsmodells von Microsoft, das Vertrauen unserer Kunden zu gewinnen. Wenn wir nicht transparent wären und dies bekannt würde, wäre dieses Vertrauen völlig zerstört und jahrelange Arbeit in dieser Richtung wäre zunichte gemacht.

Herr Pierre Lagarde. – Die Investitionen, die wir seit mehr als vier Jahren in das Projekt Bleu getätigt haben, garantieren die vollständige Unabhängigkeit dieses Projekts, da dieses Unternehmen zu 100 % in französischem Besitz ist.

Herr Simon Uzenat, Präsident. – Kapitalmäßig sicherlich, aber nicht in technologischer Hinsicht, da diese von Microsoft bereitgestellt wird… Viele der von uns befragten Akteure haben uns bestätigt, dass diese Lösung ohne Aktualisierungen relativ schnell veralten könnte, wenn die technologischen Verbindungen zwischen den Unternehmen aus irgendeinem Grund vorübergehend oder endgültig unterbrochen würden. Es ist normal, dass Sie die Interessen Ihres Unternehmens verteidigen, aber dennoch besteht hier eine Schwachstelle in technologischer Hinsicht.

Herr Pierre Lagarde. – Die technologische Verschachtelung aller Akteure im Bereich Cloud Computing ist so groß, dass die Abhängigkeit von bestimmten Lösungen, von denen viele aus den USA stammen, heute eine Tatsache ist. Es stimmt, dass das Projekt Bleu von einer Technologieplattform von Microsoft abhängig sein wird, aber man muss verstehen, dass es sich hier nicht nur um eine Infrastruktur handelt, sondern auch um eine Plattform und Software, was technisch sehr umfangreich ist, eine moderne Lösung durch diese souveräne Blase bieten und den Aufbau ehrgeiziger Projekte für den Staat und unsere Start-ups ermöglichen wird.

Ein Teil des Projekts hängt von der Microsoft-Technologie ab, ein anderer Teil ist Open Source. Microsoft leistet weiterhin einen großen Beitrag zur Open Source für Cloud-Lösungen; daher muss dieses Thema in seiner Gesamtheit betrachtet werden.

Schließlich gibt es eine vollständige technologische Trennung zwischen dem Projekt Bleu und den öffentlichen Cloud-Lösungen von Microsoft.

Herr Simon Uzenat, Präsident. – Sie sprechen von einer vollständigen technologischen Trennung. Das ist richtig, aber es gibt dennoch technologische Bausteine, die tatsächlich Eigentum von Microsoft sind. Sonst wäre das System nicht so präsentiert worden.

Herr Anton Carniaux. – Microsoft liefert die Technologie, aber das von Bleu betriebene Rechenzentrum wird sein Eigentum sein.

Was die Updates angeht, wissen wir, dass einige von Ihrem Ausschuss angehörte Personen argumentiert haben, dass die Cloud im Falle einer Unterbrechung aufgrund einer Entscheidung der US-Regierung nicht mehr funktionsfähig wäre. Das ist nicht wahr und würde sicherlich nicht innerhalb weniger Tage passieren.

Herr Pierre Lagarde. – Die Cloud würde tatsächlich sehr lange funktionsfähig bleiben.

Herr Simon Uzenat, Vorsitzender. – Uns wurde von einigen Wochen oder Monaten die Rede gemacht.

Herr Pierre Lagarde. – Keineswegs, es gibt keinen Grund für eine solche Unterbrechung. Das System wird – wie jede Lösung, die heute in einem Rechenzentrum eines Unternehmens gehostet wird – so lange laufen, wie es mit Strom versorgt wird.

Herr Simon Uzenat, Vorsitzender. – Was die physische Speicherung der Daten angeht, kann ich Ihnen zustimmen, aber das Projekt Bleu ist viel umfassender als diese einfache Speicherung.

Herr Pierre Lagarde. –

Die wichtige Frage lautet: Werden wir in puncto Sicherheit und Funktionalität auf dem neuesten Stand sein? Wir haben angekündigt, dass wir unsere Codes in einem Tresor in der Schweiz hinterlegen werden, um in diesen sehr extremen Fällen die Kontinuität zu gewährleisten.

Herr Simon Uzenat, Vorsitzender. – Unabhängig vom Betriebssystem kommt irgendwann der Zeitpunkt, an dem die Lösung nicht mehr umgesetzt werden kann, wie uns Privatpersonen und Vertreter kleiner Strukturen erklärt haben. Wir verstehen, dass Microsoft Sicherheitsargumente anführt, aber in einem konkreten Fall, der uns gemeldet wurde, funktionierte der Anwendungsteil der Microsoft Teams-Lösung nicht mehr.

Herr Pierre Lagarde. – Ein solches Szenario sollte nicht möglich sein, und das Team von Bleu arbeitet daran, dass dies nicht passiert. Die Prüfung durch die Nationale Agentur für Informationssicherheit (ANSSI) vor der Vergabe der SecNumCloud-Qualifikation sollte diese vollständige Trennung bestätigen. Das ist die technologische Herausforderung dieses Projekts.

Herr Jean-Luc Ruelle. – In Dänemark haben die Städte Kopenhagen und Aarhus ihre Beziehungen zu Microsoft schrittweise abgebrochen. Aus welchen Gründen?

Herr Anton Carniaux. – Da ich diese Angelegenheit nicht verfolgt habe, kann ich Ihnen dazu keine Antwort geben.

Herr Jean-Luc Ruelle. – Es sollen finanzielle und geopolitische Gründe angeführt worden sein. Es wäre interessant, diesbezügliche Informationen zu erhalten.

Der französische Staat konzentriert 65 % seiner Ausgaben für Cloud-Dienste auf SecNumCloud-zertifizierte Lösungen, nutzt aber gleichzeitig in großem Umfang Microsoft. Wie funktioniert das?

Herr Pierre Lagarde. – Microsoft ist seit vierzig Jahren im öffentlichen Sektor tätig und eine ganze Reihe von Softwarelösungen sind in den Rechenzentren unserer Kunden, insbesondere denen der Ministerien, installiert. Diese Lösungen werden von den verschiedenen Ministerien betrieben und sind keine Cloud-Lösungen: Extraterritoriale Gesetze finden daher keine Anwendung.

Das historische Angebot an Software von Microsoft für den französischen öffentlichen Sektor ist auch heute noch sehr umfangreich. Daneben werden die hoheitlichen Anforderungen durch SecNumCloud-Angebote abgedeckt. Alle diese Angebote entsprechen den gesamten Anforderungen. Mit der Bereitstellung von Bleu wird dieses Angebot in modernen Umgebungen erweitert, um den ehrgeizigen Projekten des Staates im Bereich der digitalen Lösungen gerecht zu werden.

Diese Anhörung wurde auf Video aufgezeichnet und ist online auf der Website des Senats verfügbar.

Die Sitzung wird um 9:45 Uhr geschlossen.

Die Sitzung wird um 16:00 Uhr eröffnet.

Anhörung von Frau Agnès Buzyn, ehemalige Ministerin für Solidarität und Gesundheit

Herr Simon Uzenat, Vorsitzender. – Bei der Untersuchung der Frage, welche Rolle das öffentliche Beschaffungswesen bei der Förderung der digitalen Souveränität spielen kann, stieß unser Untersuchungsausschuss auf einen Sonderfall, der uns von unserer Kollegin Catherine Morin-Desailly zur Kenntnis gebracht wurde und der die Unklarheiten, Zögerlichkeiten und Widersprüche der öffentlichen Maßnahmen in diesem Bereich verdeutlicht, nämlich den Fall des Hostings der Gesundheitsdatenplattform (PDS), bekannt als Health Data Hub.

Diese Plattform wurde durch das Gesetz vom 24. Juli 2019 in Form einer öffentlichen Interessengemeinschaft geschaffen und hat die Aufgabe, die Daten des nationalen Gesundheitsdatensystems für die Forschung zugänglich zu machen und Innovationen bei der Nutzung von Gesundheitsdaten zu fördern. Obwohl es sich um besonders sensible Daten handelt, die ein sehr hohes Maß an Sicherheit erfordern, wurde bereits bei der Konzeption durch das Gesundheitsministerium in den Jahren 2018-2019, also vor der Verabschiedung dieses Gesetzes, im Rahmen einer politischen Entscheidung die Hosting-Lösung Microsoft Azure ausgewählt, die den extraterritorialen Gesetzen der USA unterliegt.

Heute empfangen wir Frau Agnès Buzyn, ehemalige Ministerin für Solidarität und Gesundheit von Mai 2017 bis Februar 2020, um mit ihr über dieses Thema zu sprechen und die Gründe für diese Entscheidung zu verstehen.

Diese Anhörung wird live auf der Website des Senats übertragen und in einem Bericht veröffentlicht. Ich erinnere Sie daran, dass jede Falschaussage mit den in den Artikeln 434-13, 434-14 und 434-15 des Strafgesetzbuches vorgesehenen Strafen geahndet wird, d. h. mit einer Geldstrafe von 75.000 Euro und einer Freiheitsstrafe von bis zu fünf Jahren, je nach den Umständen sogar bis zu sieben Jahren. Ich bitte Sie daher, zu schwören, die Wahrheit und nichts als die Wahrheit zu sagen. Bitte heben Sie Ihre rechte Hand und sagen Sie „Ich schwöre“.

Gemäß dem für Untersuchungsausschüsse geltenden Verfahren leistet Frau Agnès Buzyn den Eid.

Sie haben den Vorbereitungsprozess für die Gesundheitsdatenplattform geleitet, deren gesetzliche Verankerung im Gesetz vom 24. Juli 2019 erreicht haben und anschließend die Gründung der öffentlichen Interessengemeinschaft (GIP) und die ersten Schritte ihrer Einführung überwacht, die dann durch die Gesundheitskrise gestört wurde. Können Sie uns den Hintergrund der Schaffung dieser Struktur sowie die Priorität, die Sie und die Regierung ihr eingeräumt haben, noch einmal erläutern? Waren Sie unter politischem Druck, dieses Projekt schnell zum Abschluss zu bringen?

Wir haben die Direktorin der PDS, Frau Stéphanie Combes, angehört, die angegeben hat, dass die Entscheidung für Microsoft Azure im März 2019 von Ihnen getroffen wurde. Können Sie uns noch einmal die Bedingungen nennen, unter denen Sie diese Entscheidung getroffen haben?

Es wurde kein Ausschreibungsverfahren eingeleitet, da ein Direktkauf bei der Union des groupements d’achats publics (Ugap) bevorzugt wurde, wodurch kein konkurrierendes Angebot aus dem Inland auf den Markt kommen konnte. Sechs Jahre später wurde trotz der Versprechen und Ankündigungen Ihrer Nachfolger noch keine Migration zu einer souveränen Lösung eingeleitet, die nun durch das Gesetz vom 21. Mai 2024 zur Sicherung und Regulierung des digitalen Raums, das sogenannte „SREN”, vorgeschrieben ist und mindestens ein Jahr Arbeit erfordern dürfte. Hätten Sie es nicht für besser gehalten, damals den französischen und europäischen Akteuren zu vertrauen und gemeinsam mit ihnen eine von Anfang an souveräne Lösung zu entwickeln? Die unmittelbaren Kosten wären vielleicht höher gewesen, aber langfristig hätten sie sich, wie wir in zahlreichen Anhörungen bestätigt bekommen haben, mehr als ausgezahlt.

Frau Agnès Buzyn, ehemalige Ministerin für Solidarität und Gesundheit. – Ich werde Ihnen die Geschichte so erzählen, wie ich sie erlebt habe. Im März 2018 veröffentlichte der Abgeordnete Cédric Villani, der 2017 vom Präsidenten der Republik beauftragt worden war, einen Bericht mit dem Titel „Donner un sens à l’intelligence artificielle” (Künstliche Intelligenz mit Sinn erfüllen), in dem er die Vorteile Frankreichs in diesem Bereich hervorhob, wobei Daten in vier Sektoren nicht ausreichend genutzt würden: Gesundheit, Verkehr, Umwelt und Verteidigung. Ich habe mich dieser Feststellung voll und ganz angeschlossen. In Frankreich hatten wir ein zentralisiertes Gesundheitsdatensystem innerhalb der nationalen Krankenkasse (CNAM), das nationale Gesundheitsdatensystem (SNDS). Wir verfügten auch über zahlreiche Krankenhausdatenbanken, Patientenkohorten für epidemiologische Studien und Krankheitsregister, die jedoch verstreut und nicht miteinander kompatibel waren. Die Idee war, einen Sammelpunkt für diese anonymisierten Daten für die Forschung und Steuerung des Gesundheitssystems zu schaffen. Heute muss ein nachhaltiges Gesundheitssystem durch Datenanalyse gesteuert werden. Einige Länder waren uns voraus, wie die Vereinigten Staaten, das Vereinigte Königreich oder Taiwan.

Angesichts der Herausforderung, dieses zentralisierte System zu schaffen, beauftragten wir eine Arbeitsgruppe unter der Leitung von Stéphanie Combes mit der Konzeption des Health Data Hub, der in das im Juli 2019 verabschiedete Gesetz aufgenommen wurde. Die Frage, ob diese Daten einem amerikanischen Betreiber anvertraut werden sollten, stellte sich von Anfang an. Wir haben ständig nach anderen Lösungen gesucht und acht bis zehn Akteure angesprochen, darunter Thales und OVH. Nach mehrmonatigen Untersuchungen wurde mir mitgeteilt, dass die Wahl nicht zwischen Microsoft und einem europäischen Akteur lag, sondern zwischen der Realisierung des Health Data Hub mit Microsoft als Host oder gar keiner Realisierung. Meine Dienststellen teilten mir mit, dass kein anderes Tool diese Funktion vor vier Jahren übernehmen könnte. Wir haben daher zwei wesentliche Bedingungen gestellt: maximale Sicherheit mit Verschlüsselungscodes, auf die Microsoft keinen Zugriff hat, und die Möglichkeit, zu einem anderen Host zu wechseln, sobald eine europäische oder französische Lösung verfügbar ist. Der Vertrag wurde alle zwei Jahre erneuert, und meines Wissens hatten meine Nachfolger mit denselben Schwierigkeiten zu kämpfen. Derzeit werden diese Daten also weiterhin von Microsoft gehostet, ohne dass es bisher möglich ist, sie einem anderen Hosting-Anbieter anzuvertrauen.

Wir haben uns daher entschlossen, diesen Hub mit maximaler Sicherheit einzurichten, anstatt abzuwarten. Diese Themen wurden im Ausschuss bei der Ausarbeitung des Gesetzes zur Organisation und Umgestaltung des Gesundheitssystems und später zu verschiedenen Zeitpunkten ausführlich diskutiert. Sie wurden nie verschwiegen, ebenso wenig wie die Risiken, die wir bewusst eingegangen sind. Der geopolitische Kontext, die Cyber-Bedrohungen und die Risiken der Datenverschmutzung haben sich seitdem weiterentwickelt. Heute, sieben Jahre später, ist es legitim, dass eine Untersuchungskommission die Fortsetzung unserer Abhängigkeit von Microsoft hinterfragt, aber 2018-2019 gaben meine Dienststellen, die wir dennoch ernsthaft dazu gedrängt hatten, andere Alternativen zu prüfen, an, dass außer einem Verlust von vier bis sechs Jahren nichts außerhalb von Microsoft machbar sei. In dieser Zeit hätte sich die künstliche Intelligenz auf der Grundlage ausländischer Daten weiterentwickelt. Ich wollte hingegen, dass die Franzosen mit souveränen Algorithmen behandelt werden, die auf französischen Daten nach unseren Standards und Empfehlungen trainiert wurden und nicht auf chinesischen oder amerikanischen Daten, wo die Methoden zur Überwachung und Behandlung von Patienten anders sind. Das Ziel ist eine personalisierte Prävention, die Entwicklung von Empfehlungsalgorithmen und eine bessere Steuerung des Gesundheitssystems, um es effizienter zu gestalten. Diese Herausforderungen sind nach wie vor aktuell.

Der Begriff „Zögern” scheint mir nicht angemessen. Wir haben nicht gezögert, sondern alle möglichen Vorkehrungen getroffen, um sicherzustellen, dass es keine Alternativen gibt. Alle Dienststellen, insbesondere die Direktion für Forschung, Studien, Bewertung und Statistik (DREES), haben nach Rücksprache mit den Betreibern und Forschungsteams bestätigt, dass es unmöglich ist, eine andere Lösung zu wählen, ohne mehrere Jahre zu verlieren. Die Bedingungen für die Entscheidung lauteten: entweder handeln oder nichts tun. Dies wurde gesetzlich festgelegt. Was den Wettbewerb betrifft, so gab es einen UGAP-Auftrag mit drei amerikanischen Cloud-Anbietern – Amazon, Google und Microsoft – und der Auftrag war bereits an Microsoft vergeben worden. Es gab weder Kostenaspekte noch politischen Druck, sondern lediglich den Wunsch, dem Allgemeinwohl zu dienen. Wo liegt das überwiegende allgemeine Interesse: Microsoft zu vermeiden, auch wenn dies bedeutet, dass keine französische KI zur Verfügung steht, oder Frankreich mit leistungsfähigen Instrumenten für die Steuerung des Gesundheitssystems auf der Grundlage französischer Daten auszustatten? Wir waren damals der Ansicht, dass das allgemeine Interesse eher auf dem zweiten Aspekt lag. Im Jahr 2025 könnte die Entscheidung angesichts der technologischen Entwicklung anders ausfallen.

Herr Simon Uzenat, Präsident. – Ich bleibe bei dem Begriff „Hinhaltetaktik”, der das Aufschieben von Entscheidungen treffend beschreibt. Sie sind nicht allein verantwortlich für diese Maßnahmen oder Untätigkeit, auch wenn Sie die Einrichtung dieser Gesundheitsdatenplattform initiiert haben. Die Betreiber, mit denen wir gesprochen haben, haben uns bestätigt, dass sie bestenfalls einen Anruf zwischen zwei Türen erhalten haben, was für sie keine echte Konsultation darstellt. Ihre Nachfolger haben 2020, 2022, 2023 und 2024 wiederholt Zusagen gemacht, aber sechs Jahre nach diesem Versprechen einer souveränen Hosting-Lösung sind wir immer noch nicht am Ziel.

Herr Dany Wattebled, Berichterstatter. – Vielen Dank, Frau Ministerin, für Ihre einleitenden Worte. Wir sind von einer hervorragenden Idee für unsere französischen Forscher, unsere französischen Daten und unsere Souveränität ausgegangen. Ich finde es bedauerlich, dass eine außereuropäische Lösung gewählt wurde. Dann wurde sieben Jahre lang nichts unternommen, um eine souveräne Lösung zu finden. Als Ministerin für Solidarität und Gesundheit haben Sie 2018 den Fahrplan für den Health Data Hub gebilligt, der die Beauftragung von Capgemini als Berater und Microsoft als Hosting-Anbieter vorsah. Können Sie erklären, wer in Ihrem Ministerium Capgemini als strategischen Partner vorgeschlagen hat und nach welchen Kriterien diese Entscheidung noch vor Beginn der Vorbereitungsphase getroffen wurde?

Frau Agnès Buzyn. Ich kann mich nicht daran erinnern, während meiner Zeit als Ministerin mit einem Beratungsunternehmen zusammengearbeitet zu haben. Später habe ich erfahren, dass Ministerien, insbesondere Generalsekretariate, regelmäßig öffentliche Ausschreibungen durchführen, um über Bestellungen Beratungsunternehmen zu bestimmten Transformationsprojekten zu beauftragen, insbesondere im digitalen Bereich, wo besondere Kompetenzen erforderlich sind und die Ministerien besonders wenig Erfahrung haben. Es ist möglich, dass das Gesundheitsministerium damals einen Vertrag mit Capgemini hatte und dass der Health Data Hub diesen für seine Strukturierung in Anspruch genommen hat. Ich war an dieser Entscheidung nicht beteiligt und kann mich nicht daran erinnern, Notizen mit Vorschlägen für Beratungsunternehmen erhalten zu haben. Ich hatte bis jetzt noch nie davon gehört.

Ich habe die Entscheidung, Microsoft als Hosting-Anbieter zu wählen, in voller Kenntnis der Sachlage getroffen. In keinem der mir vorgelegten Vermerke wurden andere Möglichkeiten erwähnt. Meine Dienststellen versicherten mir ausdrücklich, dass kein anderer Anbieter die Speicherkapazität und die Sicherheitsbedingungen von Microsoft bieten könne. Ich habe diese Entscheidung in Anbetracht ihrer Kontroversität in Frage gestellt, aber es musste eine Entscheidung getroffen werden. Die wenig mutige Entscheidung wäre gewesen, auf eine hypothetische Lösung zu warten und damit unsere Souveränitätspolitik zu gefährden. Als Minister trifft man umso weniger Angriffe, je weniger Entscheidungen man trifft. Ich bin jetzt in meiner achten oder neunten parlamentarischen Untersuchungskommission und frage mich langsam, ob ich nicht der Staatsfeind Nr. 1 bin! Wenn man Entscheidungen trifft, versucht man, alle möglichen Informationen zu haben. Wenn Sie mir sagen, dass die Informationen meiner Dienststellen nicht korrekt waren und es andere Möglichkeiten gab, kann ich das nicht beurteilen. Ein Minister vertraut seiner Verwaltung.

Herr Simon Uzenat, Präsident. – Wir beurteilen nicht die Qualität der Informationen, da wir keine Kenntnis davon hatten. Wir stellen lediglich fest, dass das, was einige Gesprächspartner im Kern des Projekts als „Sourcing” bezeichnen, nach Ansicht der betroffenen Wirtschaftsakteure kein Sourcing war. Wenn Sie nicht die richtigen Fragen stellen oder dies unter schlechten Bedingungen tun und Ihre Gesprächspartner Ihnen ausweichende Antworten geben, können Sie fälschlicherweise zu dem Schluss kommen, dass sie nicht in der Lage sind, Ihre Anforderungen zu erfüllen.

Herr Dany Wattebled, Berichterstatter. – Wir stellen nicht Sie persönlich in Frage, aber nationale Akteure wie Scaleway oder OVH haben uns versichert, dass sie diese Dienstleistung erbringen können, was überraschend ist. Ich glaube, dass dieses Verfahren zugunsten von Microsoft manipuliert wurde. Die Entscheidung wurde ohne echte Ausschreibung getroffen, da der Auftrag entgegen den üblichen Regeln für das öffentliche Beschaffungswesen über die UGAP vergeben wurde. Können Sie bestätigen, dass eine formelle Bewertung mit anderen Dienstleistern durchgeführt wurde? Ich muss wissen, ob diese Hosting-Möglichkeit wirklich anderen hochrangigen französischen Akteuren angeboten wurde. Verfügen Sie über Dokumente, die diese Konsultationen belegen? Wenn Ihnen gesagt wurde, dass Microsoft die einzige Option sei, haben Sie gefragt, warum die anderen nicht bereit waren oder vier Jahre benötigen würden? Ich benötige konkrete Bewertungselemente, um zu überprüfen, ob der Wettbewerb wirklich ausgeschöpft wurde. Hochrangige Akteure haben uns in Anhörungen bestätigt, dass sie in der Lage sind, diese Dienstleistung zu erbringen.

Frau Agnès Buzyn. – Ich habe absolut keine Möglichkeit zu erfahren, welche Konsultationen von den Dienststellen der DREES offiziell durchgeführt wurden. Ich verfüge über sehr technische Notizen aus meinem Kabinett. Darin heißt es, dass nach Konsultation französischer Industrieunternehmen (Open, Atos, Thales, OVH, Docapost) und Analyse ihres Angebots Microsoft Azure als einzige Lösung heraus, mit der die Qualität erreicht, die erforderlichen Fristen eingehalten und die rechtlichen Auflagen erfüllt werden konnten. Diese Lösung bot das beste technische Gleichgewicht in Bezug auf Kosten, Fristen, Sicherheit und Dienstleistungsqualität, was durch eine Gegenanalyse der interministeriellen Direktion für Digitales und Informations- und Kommunikationssysteme des Staates (Dinsic) bestätigt wurde. Sie gewährleistet auch die Kompatibilität mit den Lösungen von Start-ups, die zunehmend auf PaaS (Platform as a Service) setzen, wie beispielsweise Deepomatic für die Bildannotation, die für das Training von Algorithmen zur Tumorerkennung unerlässlich ist. Die anderen Hosting-Anbieter schienen in Bezug auf die Sicherheit weniger leistungsfähig zu sein. Mehr kann ich dazu nicht sagen.

Herr Simon Uzenat, Vorsitzender. – Wir werden Sie um die Übermittlung dieses Dokuments bitten.

Herr Dany Wattebled, Berichterstatter. – Im Jahr 2018 war Cédric O, damals Berater des Präsidenten der Republik für digitale Angelegenheiten, ein begeisterter Verfechter der künstlichen Intelligenz und von Partnerschaften mit Technologiegiganten. Hat er direkten oder indirekten Einfluss auf die Wahl von Microsoft Azure genommen? Hatten Sie mit ihm oder seinem Team einen Austausch über die Ausrichtung des HDH?

Frau Agnès Buzyn. – Ich kann mich nicht daran erinnern, eine technische Sitzung mit Cédric O, seinen Dienststellen oder seinem Kabinett zum Thema HDH gehabt zu haben. Möglicherweise gab es einen Austausch auf Kabinettsebene oder auf technischer Ebene, aber ich kann garantieren, dass ich keinen persönlichen Druck erfahren habe, Microsoft zu bevorzugen. Ich hatte die gleichen Befürchtungen und Bedenken wie Sie hinsichtlich möglicher Kontroversen. Ich hätte Microsoft gerne um jeden Preis vermieden, aber alle Dienststellen behaupteten, dass es keine andere Lösung gäbe.

Dieser Vertrag wurde seitdem regelmäßig verlängert, und ich glaube, dass alle Gesundheitsminister, die mir nachfolgten, vor dem gleichen Dilemma standen und die gleiche Entscheidung getroffen haben. Wenn es sich um einen offensichtlichen Fehler meinerseits, meines Kabinetts oder meiner Dienststellen gehandelt hätte, hätten meine Nachfolger dies korrigieren können. Dass sie dies nicht getan haben, liegt daran, dass die Lösung nicht so einfach zu finden ist. Wir haben die Sicherheit und Verschlüsselung so weit wie möglich verbessert, mit der nationalen Agentur für Informationssicherheit (Anssi) zusammengearbeitet und unsere Fähigkeit überprüft, auf ein anderes System umzustellen, um nicht an Microsoft gebunden zu sein. Ich habe diesbezüglich keinen Druck und keine besonderen Gespräche mit Cédric O gehabt.

Herr Simon Uzenat, Präsident. – Frau Ministerin, Sie sagen, dass die Angelegenheit nicht einfach ist, das verstehen wir. Die Tatsache, dass es keine konkreten Fortschritte bei der Migration gibt, könnte jedoch auch mit einer Reihe von Fehlern oder, schlimmer noch, mit einem Mangel an politischem Willen zusammenhängen und nicht nur mit der Komplexität des Themas. Im Jahr 2020 versicherte Ihr Nachfolger, dass die Reversibilität innerhalb von maximal zwei Jahren gewährleistet sein würde und dass eine souveräne Lösung in Entwicklung sei. Diese Zusagen wurden in Antworten auf parlamentarische Anfragen klar schriftlich festgehalten. Die Wirtschaftsakteure, mit denen wir gesprochen haben, stellen fest, dass es keinen politischen Willen und keine angemessenen Mittel gibt, um diese souveränen Lösungen umzusetzen.

Herr Dany Wattebled, Berichterstatter. – Stéphanie Combes, die 2019 zur Direktorin des Health Data Hub ernannt wurde, spielte eine zentrale Rolle bei der technischen Umsetzung des Projekts. Hat sie bei der Überwachung der technologischen Entscheidungen, insbesondere bei der Ausrichtung der Auswahl auf Microsoft, autonom gehandelt, oder wurden diese Entscheidungen systematisch von Ihrem Ministerium oder Ihren Mitarbeitern gelenkt?

Frau Agnès Buzyn. – Das kann ich Ihnen nicht genau sagen. Das hing wohl von der Sensibilität der Entscheidungen ab. Was die technischen Aspekte angeht, so hat mein Kabinett, das aus etwa zehn Personen ohne IT-Spezialisten besteht, wohl nicht alle Themen geprüft. Was die Wahl von Microsoft als Hosting-Anbieter angeht, so übernehme ich die volle Verantwortung dafür, dass wir diese Entscheidung bestätigt haben und dass Stéphanie Combes sie nicht allein getroffen hat. Sie arbeitete innerhalb der DREES unter der Leitung dieser Direktion und in Absprache mit anderen Akteuren wie der ANSSI. Ich hatte volles Vertrauen in Stéphanie Combes. Sechs Jahre später, wenn sich nichts geändert hat, würde ich es – wenn ich noch in der Politik wäre – für politisch gefährlich halten, nicht den Willen zu haben, Microsoft zu verlassen, insbesondere zum jetzigen Zeitpunkt. Ich denke, dass die Problematik größtenteils technischer Natur war. Man müsste heute politisch verrückt sein, um sich gerne in die Hände einer amerikanischen Plattform zu begeben.

Herr Dany Wattebled, Berichterstatter. Ich komme direkt zum Zeitpunkt der Entscheidung für Microsoft. Interne Dokumente deuten darauf hin, dass Microsoft bereits im Sommer 2018, noch vor Fertigstellung des Berichts der Vorbereitungsgruppe, als bevorzugte Wahl galt. Können Sie bestätigen, ob es im Vorfeld Gespräche mit Microsoft gab, und wenn ja, wer diese innerhalb Ihres Ministeriums oder anderswo initiiert hat?

Frau Agnès Buzyn. – Dazu kann ich Ihnen keine Antwort geben. Ich wusste nicht einmal, dass Capgemini mehr oder weniger in diese Vorbereitungsphase eingebunden war.

Herr Dany Wattebled, Berichterstatter. – Meine letzte Frage lautet: Durch die Zulassung eines Hosting-Anbieters, der dem Cloud Act unterliegt, wurde Ihrem Ministerium vorgeworfen, die digitale Souveränität Frankreichs zu gefährden, ein Thema, das Sie heute und damals als vorrangig bezeichnet haben. Bedauern Sie im Nachhinein, dass Sie der Empfehlung von Capgemini zugunsten von Microsoft gefolgt sind, und stehen Sie persönlich zu dieser Entscheidung angesichts der Kritik der französischen Datenschutzbehörde CNIL und des Staatsrats? Würden Sie heute anders entscheiden?

Frau Agnès Buzyn. – Ich stehe zu der Entscheidung, die ich mit dem mir vorliegenden Wissen getroffen habe. Auf der Grundlage der mir damals vorliegenden Unterlagen hätte ich keine andere Entscheidung getroffen. Mir wurde wiederholt versichert, dass dies der einzige Weg sei, um den Health Data Hub ohne mehrjährige Verzögerungen auf den Weg zu bringen. Ich war der Ansicht, dass wir Souveränität im Bereich der künstlichen Intelligenz brauchen, insbesondere was das Training unserer Modelle mit französischen Daten angeht. Der Cloud Act zielt, wenn ich das richtig verstanden habe, im Wesentlichen auf personenbezogene Daten von Kommunikationsbetreibern ab. Die vom HDH verarbeiteten Daten sind nicht personenbezogen, sie sind anonymisiert.

Herr Dany Wattebled, Berichterstatter. Alle von amerikanischen Unternehmen gehosteten Daten können auf Anfrage der Bundesbehörden an die US-Regierung weitergegeben werden.

Frau Agnès Buzyn. Ich habe verstanden, dass wir einen Verschlüsselungscode hatten, dass die Daten anonym waren und dass das Risiko einer Datenübermittlung ins Ausland aufgrund der Anonymisierung und vollständigen Verschlüsselung in Wirklichkeit äußerst gering war.

Die andere Möglichkeit, die mir vorgestellt wurde, war, nichts zu tun. Die Vorgaben waren klar: entweder auf einen europäischen Hosting-Anbieter mit den gleichen Kapazitäten zu warten oder Microsoft zu nutzen. Ich habe mich für Microsoft entschieden, mit der Zusage, dass wir diese Daten auf einen anderen Hosting-Anbieter übertragen werden, sobald dies möglich ist.

Herr Simon Uzenat, Vorsitzender. – Bevor ich das Wort an unsere Kollegen weitergebe, möchte ich Ihnen einen Auszug aus einem Schreiben der Gesundheitsdatenplattform an den Ausschuss für künstliche Intelligenz vom 24. Oktober 2023 vorlesen. Auf Seite 5 findet sich folgende Empfehlung: „Von der Regierung eine konstruktive, klare und langfristige Position zu den Souveränitätsanforderungen fordern. Dabei geht es einerseits darum, die Genehmigung der Nutzung ausländischer Lösungen realistisch und pragmatisch zu handhaben, um unsere Innovationsfähigkeit nicht zu gefährden. Andererseits müssen entweder tatsächlich finanzielle Mittel bereitgestellt werden, die mit dem Kompetenzaufbau der Akteure im Bereich der souveränen Cloud vereinbar sind, oder es muss anerkannt werden, dass Souveränität nicht entlang der gesamten Wertschöpfungskette erreicht werden kann, und es müssen die entsprechenden Konsequenzen gezogen werden.” Diese Äußerungen sind bemerkenswert und spiegeln unsere Gespräche mit dem Berichterstatter wider. Die Gesundheitsdatenplattform scheint in diesem Vermerk zu verstehen, dass es einen Mangel an politischem Willen gibt.

Herr Daniel Salmon. – Ich werde das Thema wechseln. Wir sind regelmäßig mit Medikamentenengpässen konfrontiert, derzeit mit Psychopharmaka, was zeigt, dass unsere Souveränität gefährdet ist. Was sollte Ihrer Meinung nach mit Ihrem Rückblick im Bereich der öffentlichen Aufträge getan werden, damit wir über eine nationale oder europäische Produktion verfügen können? Sie kennen die Episode mit den Masken. Wir glauben, dass die öffentliche Beschaffung eine wichtige Rolle spielen muss, damit wir nicht von ausländischen Akteuren abhängig werden.

Frau Agnès Buzyn. – Ich habe bereits vor etwa anderthalb Jahren vor einem Untersuchungsausschuss des Senats zum Thema Medikamentenengpässe Stellung genommen. Die Engpässe hängen mit äußerst komplexen Phänomenen zusammen. Einerseits ist die Nachfrage phänomenal gestiegen: Die Weltbevölkerung hat sich innerhalb von zwei Generationen verdoppelt, die Lebenserwartung ist um etwa 20 Jahre gestiegen, und drei Milliarden Menschen sind aus extremer Armut befreit worden. Damit hat sich die Nachfrage nach Medikamenten und die Zahl der Menschen, die sie sich leisten können, verdrei- bis vervierfacht, aber kein Hersteller hat seine Produktionskapazitäten im gleichen Maße erhöht.

Außerdem schreitet die Innovation vor allem in Europa schnell voran. Die Industrie bevorzugt die Herstellung innovativer, hochpreisiger Medikamente gegenüber älteren, preisgünstigeren Präparaten. Entgegen der Behauptung einiger ist der niedrige Preis von Medikamenten in Frankreich nicht die Hauptursache für Engpässe, da diese auch in Ländern mit hohen Preisen auftreten. Die Ursachen für Engpässe liegen sowohl in der Produktion als auch in der Verteilung. Ich bin überzeugt, dass ohne eine europäische Arzneimittelpolitik kein Land allein seine Souveränität über alle notwendigen Medikamente gewährleisten kann. Die Pharmakopöe entwickelt sich ständig weiter; wenn man eine Fabrik für ein Medikament baut, ist es fünf Jahre später möglicherweise schon veraltet. Wir brauchen eine europäische öffentliche Beschaffung, eine europäische Preisbindung und eine gemeinsame Vision von unentbehrlichen Medikamenten. Die wirklich unentbehrlichen Medikamente sind nicht unbedingt diejenigen, an die man zuerst denkt. So ist beispielsweise Paracetamol nicht lebenswichtig, im Gegensatz zu Kortikoiden. Die Weltgesundheitsorganisation (WHO) hat eine Liste lebenswichtiger Arzneimittel erstellt, die Europa insbesondere im Bereich der Chemotherapie ergänzen könnte. Diese europäische Vision ist unverzichtbar. Mit 66 Millionen Einwohnern, was zwei chinesischen Städten entspricht, ist Frankreich auf dem Weltmarkt zu klein. Die relevante Größenordnung sind die 450 Millionen Europäer.

Herr Daniel Salmon. – Dieser Untersuchungsausschuss befasst sich speziell mit dem öffentlichen Beschaffungswesen. Ich verstehe Ihre Feststellung sehr gut, aber was können wir tun? Wenn wir Empfehlungen aussprechen sollen, welche wären für Sie vorrangig, um unsere Position in den kommenden Jahren zu verbessern?

Frau Agnès Buzyn. – Bei unveränderlichen Medikamenten wie Kortikoiden, die wir unbedingt benötigen, können Sie öffentliche Aufträge nutzen und Vorräte anlegen. Bei den meisten Medikamenten hingegen ist aufgrund der ständigen Innovation das Bestellen und Lagern keine Lösung. Da ich derzeit mit dem Verteidigungssektor zusammenarbeite, stelle ich fest, dass wir uns auf Lagerbestände konzentrieren, während die eigentliche Frage die der Flüsse ist: Wie kann eine Produktionslinie schnell wieder hochgefahren werden, wenn dies erforderlich ist? Mit Lagerbeständen kann man nie länger als ein paar Monate überbrücken, insbesondere weil die Produkte verfallen. Öffentliche Aufträge sind für bestimmte Produkte sinnvoll, aber nicht für alle. Für schnelllebige Branchen ist es wichtig, über anpassungsfähige und sichere Produktionslinien für europäische Unternehmen zu verfügen.

Herr Daniel Salmon. – Ich denke, das hängt genau von öffentlichen Aufträgen ab. Ein Industrieller wird nur investieren, wenn er die Gewissheit hat, dass er nicht einem billigeren Konkurrenten am anderen Ende der Welt den Vorzug geben wird.

Frau Agnès Buzyn. – Im Sinne der industriellen Sicherheit muss tatsächlich eine Stabilität der Aufträge gewährleistet sein. Solange wir jedoch keine echte europäische Strategie haben, erscheint es mir illusorisch, einen solchen Ansatz auf nationaler Ebene entwickeln zu können.

Herr Simon Uzenat, Präsident. – Das können wir verstehen, aber nehmen wir das Beispiel der Masken, auch wenn Sie zu diesem Zeitpunkt nicht mehr Minister waren. Wir haben das in der Bretagne erlebt: Fabriken wurden gegründet, erhielten aber keine öffentlichen Aufträge. So fanden die Lehrer in ihren Schränken Kartons mit in China hergestellten Masken vor. Wir sind uns bewusst, dass die europäische Ebene für strategische Branchen relevant ist, aber der Staat und die französischen Gebietskörperschaften haben dank öffentlicher Aufträge bereits eine Hebelwirkung. In bestimmten Bereichen haben wir die Mittel, um die Entstehung von Branchen zu fördern und sie langfristig zu sichern.

Herr Jean-Luc Ruelle. – Wenn ich das richtig verstehe, begann alles 2017 mit der Umstrukturierung der Gesundheitsinformationssysteme. Diese äußerst wichtige Herausforderung muss zahlreiche Aspekte berücksichtigen: Verwaltung der Gesundheitsvorräte, Überwachung der Krankenhausinvestitionen, obligatorische Impfpläne, Reform der medizinischen Ausbildung, Prävention, E-Health, Telekonsultationen, klinische Forschung und öffentlich-private Partnerschaften. Wie sah das Informationssystem vor dieser Entscheidung, die zum Vertrag mit Microsoft führte, aus?

Frau Agnès Buzyn. – Es gab mehrere separate digitale Systeme. Etwa zehn Jahre lang finanzierte das Generalsekretariat für Investitionen (SGPI) im Rahmen von Ausschreibungen digitale Gesundheitsregionen, die jeweils rund 10 Millionen Euro erhielten, um ihre eigenen digitalen Akten, Impfbücher und Telekonsultationsplattformen zu entwickeln. Parallel dazu kam die gemeinsame Gesundheitsakte, die damals von der CNAM vorangetrieben wurde, nur schwer voran.

Da ich davon ausging, dass Gesundheitsdaten zu einem wichtigen Thema für die Steuerung und Souveränität der künstlichen Intelligenz werden würden, wollte ich hier Ordnung schaffen. Ich habe eine Delegation für digitale Gesundheit ins Leben gerufen, die verstreuten digitalen Gebiete abgeschafft, um die öffentlichen Ausgaben zu rationalisieren, und wir haben mit dem Gesetz von 2019 den digitalen Gesundheitsbereich ausgebaut. Diese Plattform ermöglicht es jedem Versicherten, seine Krankenakte, seine Anwendungen zur Krankheitsüberwachung und seinen Impfpass zu zentralisieren und sie mit seinem Hausarzt oder anderen autorisierten Gesundheitsfachkräften zu teilen. Dies ermöglicht einen gemeinsamen Überblick über die Krankenakten der französischen Bevölkerung. Heute haben mehr als 10 Millionen Franzosen ihren digitalen Gesundheitsbereich eröffnet, entweder selbst, über ihren behandelnden Arzt oder in der Apotheke. Ich habe somit versucht, die Gesundheitsdaten zu rationalisieren und eine Dynamik sowie eine kohärente Vision zu schaffen.

Ich habe mich dabei von meinen Erfahrungen als Vorsitzende der französischen Gesundheitsbehörde inspirieren lassen. Nach einer Woche im US-Gesundheitsministerium, wo ich mich mit Obamacare befasste, stellte ich fest, dass die Amerikaner eine ministeriumsübergreifende digitale Delegation eingerichtet hatten. Die IT-Abteilungen der Ministerien sind nicht in der Lage, eine nationale Vision zu entwickeln, da sie nur ihr eigenes System oder das der Krankenhäuser kennen. Die Schaffung dieser bereichsübergreifenden Delegation, die ich damals leitete und die heute eine Abteilung für digitale Gesundheit innerhalb des Ministeriums ist, sollte dieser Situation Abhilfe schaffen.

Herr Jean-Luc Ruelle. Ich habe mich gerade gefragt, welchen Benchmark Sie damals durchgeführt haben, da einige Länder im Gesundheitswesen echte Erfolge im Bereich des Informationsmanagements erzielt haben, wie beispielsweise das Vereinigte Königreich, Estland, Kanada oder Deutschland. Außerdem haben wir heute ein Problem mit Microsoft und sind gefährdet. Wie können wir dieser Situation begegnen, da sich die Technologien und Software weiterentwickelt haben? Wer kann die Nachhaltigkeit eines vertrauenswürdigen Systems gewährleisten und gleichzeitig die Souveränität über unsere Daten zurückgewinnen?

Frau Agnès Buzyn. – Da ich seit fünf Jahren nicht mehr Ministerin bin, habe ich nicht alle Veränderungen in der Regierung mitverfolgt. Was die Digitalisierung im Gesundheitswesen betrifft, haben wir eine hochrangige Direktion mit hervorragenden Mitarbeitern eingerichtet. Wir haben eine Vision in das Gesetz aufgenommen, die natürlich weiterentwickelt werden kann. Mit der Anssi und der Delegation für digitale Gesundheit verfügt unser Land über die personellen Ressourcen und Kompetenzen, um die großen Leitlinien festzulegen und die Entscheidungen von 2017 bei Bedarf weiterzuentwickeln. Wir haben damals die bestmöglichen Entscheidungen getroffen und uns die Möglichkeit offen gelassen, diese weiterzuentwickeln. Die Kompetenzen sind heute im Ministerium und in den Verwaltungen vorhanden. Mehr kann ich Ihnen dazu nicht sagen.

Herr Jean-Luc Ruelle. – Alles, was das Informationssystem betrifft, ist von großer Bedeutung. Haben Sie Indikatoren zur Bewertung und Messung des Erfolgs eingeführt?

Frau Agnès Buzyn. – PROMs (Patient-Reported Outcome Measures) und PREMs (Patient-Reported Experience Measures) sind Indikatoren für die Qualität der Gesundheitsversorgung, die in Frankreich noch in den Kinderschuhen stecken. Forscher arbeiten daran, und die Haute Autorité de santé (Oberste Gesundheitsbehörde) verfügt über eine eigene Abteilung dafür. Ziel ist es, die Qualität der Gesundheitsversorgung anhand von Indikatoren zu steuern, die am Ende einer Behandlung erhoben werden. Nach einem Schlaganfall beispielsweise, der zu Krankenhausaufenthalten und einer Rehabilitation führt, werden PROMS bei den Patienten erhoben, um die Qualität der Versorgung und ihre Genesung zu bewerten. Diese Indikatoren, die in anderen Ländern weit verbreitet sind, in Frankreich jedoch kaum genutzt werden, könnten es ermöglichen, Gesundheitsfachkräfte nach der Qualität ihrer Arbeit zu vergüten und nicht nur nach der Anzahl der behandelten Patienten. Dies ist für die Steuerung des Systems unerlässlich und erfordert Daten, die während des gesamten Behandlungsverlaufs erhoben werden, was der Health Data Hub leisten könnte.

Frau Karine Daniel. – Ich finde Ihre Überlegungen zu den neuen Herausforderungen, die uns zwingen, über das Management von Abläufen und die Reaktion auf Krisen nachzudenken, deren Art und Ausmaß wir nicht kennen, sehr interessant. Das Beispiel der Medikamente ist relevant, Masken kommen uns in den Sinn, aber wir wissen nicht, welche Präventions-, Prophylaxe- oder Behandlungsgeräte morgen notwendig sein werden. Wie kann das öffentliche Beschaffungswesen im Rahmen des Krisenmanagements an diese unvorhersehbaren Faktoren angepasst werden? Wie können politische Entscheidungsträger Krisenmanagement-Tools einführen, die eine hohe Flexibilität ermöglichen, da die derzeitigen Instrumente des öffentlichen Beschaffungswesens nicht immer für diese Anforderungen an Schnelligkeit und plötzliche, massive Regulierungsmaßnahmen geeignet sind?

Frau Agnès Buzyn. – Das ist eine sehr wichtige Frage. Wir haben noch keine gemeinsamen Erfahrungen aus der Covid-Pandemie gesammelt. Wir glauben immer noch, dass Vorräte das Problem lösen, obwohl sie nur für einen sehr begrenzten Zeitraum wirksam sind. Ein Vorrat von einer Milliarde Masken entspricht dem Verbrauch einer Woche. Das gleiche Problem besteht im Verteidigungsbereich bei Munition. Die grundlegende Frage ist die der Flexibilität, denn die nächste Krise könnte ganz anders aussehen. Wenn es sich um Ebola handelt, brauchen wir Handschuhe, die in Thailand hergestellt werden, so wie die Masken in China hergestellt wurden, oder Impfstoffe, wenn es sich um Pocken handelt. Angesichts dieser immensen Möglichkeiten besteht die Herausforderung darin, unsere Fähigkeit zur Aktivierung von Aufrüstungen, Flüssen und Produktionen zu ermitteln. Die Frage ist komplex, da zunächst der Bereich der Möglichkeiten ermittelt werden muss, der in Wirklichkeit unendlich ist, und dann unsere Produktionskapazität sichergestellt werden muss. Was das öffentliche Beschaffungswesen betrifft, ziehe ich eine Parallele zum Pandemic Fund, der nach Covid bei der Weltbank eingerichtet wurde: Die Länder verpflichten sich im Voraus, im Falle einer neuen Gesundheitskrise Ressourcen zu mobilisieren, ohne sofort Gelder zu blockieren. Diese Strategie ist vorzuziehen, anstatt speziell Masken, Handschuhe, Impfstoffe oder Antibiotika zu bestellen, ohne zu wissen, was wir in der nächsten Krise tatsächlich brauchen werden.

Herr Fabien Genet. – Ich möchte noch einmal auf die Wahl von Microsoft als Host für die Gesundheitsdatenplattform zurückkommen. Sie sagten, dass ein Politiker heute verrückt sein müsste, um einer amerikanischen Hosting-Lösung zu vertrauen. Worauf beziehen Sie sich genau? Wenn Sie auf den derzeitigen Bewohner des Weißen Hauses anspielen, scheint mir, dass er 2017, als Sie Ministerin waren, bereits an der Macht war und eine Haltung gegenüber der Welt hatte, die sich zwar seitdem verschärft hat, aber schon damals zum Ausdruck kam. Wie haben Sie dieses Risiko damals eingeschätzt und die geopolitische Dimension in Ihre Entscheidung einbezogen? Wenn die Souveränität bereits ein solches Risiko darstellte und Sie sich für Microsoft entscheiden mussten, weil Ihre Dienststellen keine Alternative sahen, welche Maßnahmen haben Sie dann innerhalb Ihres Ministeriums oder interministeriell ergriffen, um eine souveräne Lösung zu entwickeln, die diese amerikanische Lösung, zu deren Wahl Sie sich Ihrer Aussage nach gezwungen sahen, ersetzen könnte?

Frau Agnès Buzyn. – Was das Image angeht, möchte heute keine Regierung blindes Vertrauen in die USA setzen, insbesondere angesichts der zweiten Amtszeit von Präsident Trump, die mögliche Instabilität mit sich bringt. Bevor wir diese Lösung akzeptiert haben, haben wir uns vergewissert, dass es keine anderen Optionen gibt. Das ist eine Frage des Prinzips: Wenn wir Daten auf französischem oder europäischem Gebiet speichern können, ziehen wir das Servern vor, die zwar in Europa stehen, aber auf einem amerikanischen System laufen. Ich bin besorgt über das derzeitige Paradoxon: Wir sind alle davon überzeugt, dass Gesundheitsdaten geschützt werden müssen, aber gleichzeitig nutzen viele Franzosen Smartwatches, deren Daten direkt an ausländische Hosting-Anbieter weitergeleitet werden, oder lassen ohne jegliche Kontrolle Gentests durchführen, die nach dem Bioethikgesetz verboten sind. Schließlich spricht heute jeder von einer europäischen Cloud. Als ich 2017 Gesundheitsminister war, wurde mir mitgeteilt, dass es keine europäische Cloud gebe. Ich habe keine Politik für eine europäische Cloud umgesetzt, da dies in die Zuständigkeit des Ministers für Digitales fiel.

Herr Fabien Genet. – Ihre letzte Aussage überrascht mich. Es wäre nicht schockierend, wenn ein Minister, der in seinem Bereich mit Fragen der Souveränität befasst ist, interministerial zusammenarbeitet, um eine gemeinsame Lösung zu finden. Ich verstehe Ihre Position nicht ganz: Haben Sie ein echtes Risiko gesehen oder nicht? Sie sagen uns, dass Sie überprüft haben, dass alle Sicherheitsanforderungen mit den Verschlüsselungscodes erfüllt sind. Machen Sie Microsoft zu Unrecht Vorwürfe, obwohl es letztendlich kein Sicherheitsproblem gibt? Wir haben keine klare Vorstellung davon. Außerdem stört mich Ihr Argument zum Imageproblem. Wie beurteilen Sie die Tatsache, dass verschiedene französische Gesundheitsminister die Produktion von Medikamenten in China oder anderswo schrittweise aufgegeben haben? Gibt es hier nicht auch ein Problem in Bezug auf Sicherheit, Souveränität und Image?

Frau Agnès Buzyn. – Die Frage der Souveränität stellte sich auch in meinem Ministerium, insbesondere im Hinblick auf Instrumente für den Gesundheitsbereich. KI, die auf französischen Daten mit französischen Algorithmen trainiert wurde, ist ein wichtiges Thema für die Souveränität. Aus diesem Grund haben wir den Health Data Lub geschaffen, um nicht von amerikanischen oder chinesischen Algorithmen abhängig zu sein. Chinesische Algorithmen werden heute an französische Ärzte verkauft. Die Frage der Souveränität stellt sich also im Bereich der im Gesundheitswesen eingesetzten Instrumente.

Damals empfand ich dies angesichts der verschiedenen Schutzstufen (Austausch mit der ANSSI, verschlüsselte und anonymisierte Daten) eher als Imageproblem denn als Sicherheitsproblem. Mich störte vielmehr, dass wir keinen französischen Hosting-Anbieter hatten, aber ich war relativ zuversichtlich, was das tatsächliche Risiko anging. Im Jahr 2018 stellte sich diese Frage noch nicht. Ich war vor allem besorgt über das Image, keinen europäischen Hosting-Anbieter nutzen zu können, und weniger über Sicherheitsfragen.

Herr Simon Uzenat, Vorsitzender. – Mehrere von uns angehörte Experten haben uns berichtet, dass die Verschlüsselung keinen ausreichenden Schutz vor extraterritorialen Gesetzen biete. Uns wurde heute Morgen ohne Bestätigung mitgeteilt, dass Microsoft den Verschlüsselungscode für Outlook an die NSA weitergegeben habe. Darüber hinaus erklärte Stéphanie Combes in den Unterlagen, die sie im Anschluss an ihre Anhörung vorgelegt hat, dass eine sogenannte souveräne Lösung Sicherheitsprobleme mit sich bringen könne, und führte als Beispiel Datenlecks in verschiedenen Gesundheitseinrichtungen an, die auf französischen Lösungen basieren. Heute sind technologische Lösungen im Zusammenhang mit Microsoft-Umgebungen am stärksten angegriffen und weisen die meisten Schwachstellen auf. Diese Anfälligkeit scheint heute weitgehend anerkannt zu sein.

Sie erwähnen außerdem das private Verhalten. Ich möchte daran erinnern, dass unser Untersuchungsausschuss darauf abzielt, die Handlungen der Behörden zu beleuchten, nicht persönliche Fehler. Ich habe in Ihrer Argumentation den Eindruck gewonnen, dass die Frage der Souveränität nicht gestellt werden sollte, da unsere Mitbürger beispielsweise vernetzte Uhren verwenden.

Die Herausforderung, die sich bereits 2017 stellte, besteht darin, zu wissen, wie die Strukturierung französischer und europäischer Branchen durch öffentliche Aufträge begleitet werden kann, wie dies in den Vereinigten Staaten seit Jahren der Fall ist. Der Präsident der Republik hatte 2017 diesbezüglich entschlossene Äußerungen gemacht und die Initiative zum Thema künstliche Intelligenz ergriffen. Die Frage ist, ob die Taten mit den Worten übereinstimmen.

Frau Agnès Buzyn. – Ich habe mich falsch ausgedrückt. Als ich von den personenbezogenen Daten sprach, die viele preisgeben, wollte ich betonen, wie sehr mich das stört. Im Bioethikgesetz habe ich mich für ein Verbot von Gentests eingesetzt, während viele im Parlament diese liberalisieren wollten. Ich bin äußerst sensibel, was die Sicherheit der personenbezogenen Daten der französischen Bürger angeht.

Was die kollektiven Daten angeht, war ich besorgt, dass mir keine Alternativen vorgeschlagen wurden. Ich habe die Arbeit mehrfach an die zuständigen Stellen zurückverwiesen, um mir zu versichern, dass es keine anderen Lösungen gibt. Ich weiß nicht mehr genau, wie lange dieser Prozess gedauert hat, aber ich habe mich besonders intensiv damit befasst. Schließlich wurde mir versichert, dass es in Bezug auf Sicherheit und Kapazität keine andere Lösung gibt. Ich habe meine Verantwortung übernommen und mich für Microsoft entschieden, obwohl ich mir sehr unwohl dabei fühlte, da ich wusste, dass diese Entscheidung kritisiert werden würde. Ich kann nicht garantieren, dass ich keinerlei Einfluss auf die Verwaltung hatte, aber ich habe meine Vorsichtsmaßnahmen getroffen. Eine zentrale Verwaltungsabteilung hat mit mehreren Personen und in Absprachen an diesem Thema gearbeitet. Mir wurde versichert, dass es keine anderen Lösungen gab. Ich habe mich entschieden, zu handeln, anstatt nichts zu tun, und dabei die Schwierigkeiten vorausgesehen. Deshalb habe ich dafür gesorgt, dass die Lösung geändert werden kann, sobald sich eine Alternative ergibt. Was die Sicherheit der Microsoft-Lösungen in Krankenhäusern angeht, kann ich mich nicht zu ihrer Anfälligkeit für Phishing-Versuche äußern.

Herr Simon Uzenat, Vorsitzender. – Wir bitten Sie, uns die Unterlagen, insbesondere die damals von Ihrem Kabinett verfasste Mitteilung, sowie alle weiteren Informationen zur Erläuterung Ihrer Ausführungen zu übermitteln. Wir verstehen, dass Sie nach fünf Jahren nicht mehr alle Details im Gedächtnis haben, aber wir benötigen Präzisierungen zu den heute angesprochenen Punkten.

Diese Anhörung wurde auf Video aufgezeichnet und ist online auf der Website des Senats verfügbar.

Die Sitzung wird um 17:15 Uhr geschlossen.

Die Sitzung wird um 17:30 Uhr eröffnet.

Anhörung von Herrn Cédric O, ehemaliger Staatssekretär für Digitales

Herr Simon Uzenat, Vorsitzender. – Unser Untersuchungsausschuss setzt seine Arbeit zur Rolle des öffentlichen Beschaffungswesens bei der Förderung der digitalen Souveränität und zur Entstehung einer politischen Entscheidung fort, die in diesem Bereich schwerwiegende Folgen hatte, nämlich die Entscheidung, das Hosting der Gesundheitsdatenplattform (PDS) an Microsoft Azure zu übertragen, eine Lösung, die dem extraterritorialen Recht der USA unterliegt. Dieses Projekt wurde in den Jahren 2018-2019 mit dem Ziel ins Leben gerufen, Frankreich zu einem europäischen Vorreiter bei der Nutzung von Gesundheitsdaten für Forschungszwecke zu machen, da unser Land zwar über eines der weltweit fortschrittlichsten Erfassungssysteme, das nationale Gesundheitsdatensystem (SNDS), verfügte, dieses jedoch nicht ausreichend nutzte. Paradoxerweise scheint es, dass die Lösung einer souveränen Hosting-Lösung für dieses neue Instrument, das Frankreich zu einem führenden Land in der Gesundheitsforschung machen sollte, von Anfang an mit der Begründung abgelehnt wurde, dass französische oder europäische Anbieter nicht die erwarteten Funktionen anbieten würden. Dies wurde uns in der vorangegangenen Anhörung von Agnès Buzyn, ehemalige Ministerin für Solidarität und Gesundheit, bestätigt.

Wir empfangen Herrn Cédric O, ehemaliger Berater für digitale Wirtschaft im Kabinett des Präsidenten der Republik und des Premierministers von Mai 2017 bis März 2019, dann Staatssekretär für digitale Angelegenheiten vom 31. März 2019 bis Mai 2022, um mit ihm über dieses Thema zu sprechen.

Ich teile Ihnen mit, dass diese Anhörung live auf der Website des Senats übertragen und in einem Bericht veröffentlicht wird. Ich erinnere Sie außerdem daran, dass eine Falschaussage vor unserem Untersuchungsausschuss mit den in den Artikeln 434-13, 434-14 und 434-15 des Strafgesetzbuches bestraft werden, d. h. mit einer Geldstrafe von 75.000 Euro und bis zu fünf Jahren Freiheitsstrafe, je nach den Umständen sogar bis zu sieben Jahren. Ich fordere Sie daher auf, den Eid zu leisten, die ganze Wahrheit und nichts als die Wahrheit zu sagen, die rechte Hand zu heben und zu sagen: „Ich schwöre“.

Gemäß dem für Untersuchungsausschüsse geltenden Verfahren leistet Herr Cédric O den Eid.

Herr Minister, Sie waren zunächst beim Präsidenten der Republik und dann in der Regierung an der Festlegung der Politik zur digitalen Souveränität des Landes beteiligt. Können Sie uns etwas über die Anfänge der PDS und die Umstände sagen, unter denen die Entscheidung über ihren Sitz getroffen wurde? Haben externe Organisationen wie Beratungsunternehmen diesen Prozess beeinflusst? Wir wissen, dass Capgemini die Vorbereitungsphase der PDS begleitet hat.

Sie waren außerdem Mitglied der Regierung, als die Doktrin „Cloud im Zentrum” ausgearbeitet und durch ein Rundschreiben des Premierministers vom 5. Juli 2021 formalisiert wurde. Auf welche Herausforderungen ging dieses Rundschreiben konkret ein? Sind Sie vier Jahre später der Meinung, dass in der Öffentlichkeit ein ausreichendes Bewusstsein für die Risiken besteht, die sich aus den extraterritorialen Rechtsvorschriften ergeben, denen bestimmte nicht-europäische Unternehmen unterliegen? In diesem Zusammenhang entstehen derzeit Partnerschaften zwischen amerikanischen Hyperscalern und französischen Unternehmen wie Bleu, einem Zusammenschluss von Orange, Capgemini und Microsoft, oder S3NS mit Thales und Google, um hybride Lösungen anzubieten, die sowohl souverän sind als auch auf amerikanischen Technologien basieren. Wie beurteilen Sie deren Tragfähigkeit?

Welchen Beitrag sollte Ihrer Meinung nach die öffentliche Hand generell zur Förderung von Innovationen im digitalen Bereich leisten?

Herr Cédric O, ehemaliger Staatssekretär für Digitales. – Ich werde nacheinander auf die beiden Themen eingehen, um die Sie mich gebeten haben: digitale Souveränität im Allgemeinen und die Rolle der öffentlichen Hand, anschließend die Bedingungen für die Wahl des Health Data Hub (HDH) Anfang 2019.

Was die digitale Souveränität angeht, müssen wir uns klar sein: Europa und Frankreich laufen Gefahr, aus der Geschichte herauszufallen und sehen sich einer erheblichen technologischen Dominanz der USA und Chinas gegenüber. Diese Dominanz zeigt sich in massiven Investitionen. Sie ist im Alltag spürbar. Die USA und China haben beschlossen, in diesem Bereich weitaus mehr zu investieren als Europa. Der Rückstand begann mit der Krise von 2008. Im Jahr 2022 wurden 300 Milliarden Euro in amerikanische Start-ups investiert, gegenüber weniger als 100 Milliarden Euro in Europa und 15 Milliarden Euro in französische Start-ups. Das bedeutet, dass die Vereinigten Staaten jährlich 200 Milliarden Euro mehr in ihre technologische Dominanz investieren. Sie fragen, wie öffentliche Aufträge die Entstehung europäischer Champions fördern können. Die öffentlichen Aufträge der Zentralregierung für Cloud-Dienste belaufen sich auf nur 130 Millionen Euro pro Jahr. Das ist viel Geld, aber angesichts der Herausforderungen nichts: Der Umsatz von OVHcloud beträgt eine Milliarde Euro, was bedeutet, dass selbst wenn alle öffentlichen Aufträge an dieses Unternehmen vergeben würden, sein Umsatz nur um 10 % steigen würde. Der Umsatz von Amazon Web Services (AWS), dem weltweit führenden Anbieter von Cloud-Diensten, beläuft sich auf 107 Milliarden Euro pro Jahr, bei einem entsprechenden Investitionsniveau. Mit dem Aufkommen der künstlichen Intelligenz, die zu einem der wichtigsten Hebel für Wettbewerbsfähigkeit und Souveränität geworden ist, besteht daher die größte Gefahr, dass es in bestimmten Technologiebereichen keine wettbewerbsfähigen französischen oder europäischen Anbieter mehr gibt.

Um französische und europäische Technologieführer hervorzubringen, sind drei Hebel unerlässlich. Der erste betrifft das Ökosystem. Im Jahr 2018 beliefen sich die Finanzmittel französischer Start-ups auf 3 Milliarden Euro. Im Jahr 2022 waren es 15 Milliarden Euro. Der Aufbau eines Finanzierungsökosystems in Europa ist von entscheidender Bedeutung. Die Amerikaner profitieren von Pensionsfonds in Höhe von Billionen Euro, die es in Europa nicht gibt. Wir müssen darüber nachdenken, einen Teil der europäischen Ersparnisse für innovative Akteure einzusetzen. Als ich Minister war, haben wir viel Zeit mit diesem Thema verbracht, was mir manchmal vorgeworfen wurde. In vielen Regionen sind technologische Vermögenswerte und Unternehmen entstanden, die heute Teil der nationalen Souveränität Frankreichs sind. Wir hatten einen Plan aufgestellt, den ich im Mai 2021 bei OVH angekündigt habe, der 2 Milliarden Euro für die Cloud vorsieht. Wenn wir in der aktuellen Haushaltslage kein Geld in unsere Start-ups investieren, werden öffentliche Aufträge keinen ausreichenden Hebel für die Entwicklung darstellen.

Das zweite Thema ist die Regulierung. Abgesehen von sehr spezifischen Bereichen wie der Verteidigung ermöglichen die europäischen Vorschriften für das öffentliche Beschaffungswesen derzeit keine Begünstigung von einheimischen französischen oder europäischen Akteuren, was ich bedaure. Die Sicherheitsvorschriften für die Cloud sind auf europäischer Ebene mit der EUCS-Norm festgelegt. Wir führen seit Jahren Verhandlungen auf europäischer Ebene, um ein Kriterium der Unempfindlichkeit gegenüber Extraterritorialität in die höchste Sicherheitsstufe dieser Norm aufzunehmen, aber unsere deutschen und niederländischen Partner lehnen dies weiterhin ab. Derzeit verfügt der Staat über keine Rechtsgrundlage, um französische oder europäische Anbieter zu bevorzugen, außer in ganz besonderen Fällen.

Ein wesentlicher Aspekt ist der Missbrauch einer marktbeherrschenden Stellung. Die amerikanische Dominanz in der Cloud ist das Ergebnis einer Vertikalisierung der Lösungen, die de facto einen solchen Missbrauch darstellt. Die Hyperscaler verkaufen gleichzeitig Hosting, Anwendungen und Datenverarbeitung. Was die reine Infrastruktur angeht, kann jeder Server für das Hosting von Daten herstellen. Der Rückstand Europas liegt im Bereich der Anwendungen. Wenn Google Dienste verkauft, sind diese an seine Cloud gekoppelt. Microsoft dominiert die Cloud im französischen Staatssektor und in Großunternehmen aufgrund seiner Position mit Microsoft Office. Es gibt heute nur sehr wenige Alternativen zu Word oder Excel, und da Microsoft diese Software zusammen mit einer Cloud-Lösung verkauft, ist man gezwungen, sie zu nutzen.

Drittens hat das öffentliche Beschaffungswesen einen großen, aber begrenzten Einfluss. Für ein KMU mit 20 Mitarbeitern wie das, das ich gegründet habe, ist es extrem schwierig, die Beziehungen zur Verwaltung zu pflegen. Ausschreibungen sind zu komplex, zu langwierig, ungewiss und sogar unlesbar. Die Schwelle für den Wettbewerb bei 40.000 Euro ist für Start-ups viel zu niedrig. Die Innovationskultur bei öffentlichen und privaten Einkäufern ist schwach ausgeprägt. Ein europäischer Small Business Act wäre zu begrüßen, aber dafür müssen wir unsere Partner erst noch überzeugen. Die jüngste Initiative „Je choisis la French Tech” (Ich entscheide mich für French Tech) ist hervorragend, da sie öffentliche Einkäufer und Einkäufer großer Konzerne sensibilisiert.

Was das HDH betrifft, so hatte ich zwei Positionen inne, in denen ich mit diesem Dossier zu tun hatte. Bis zum 31. März 2019 war ich als Berater des Präsidenten der Republik und des Premierministers für die digitale Wirtschaft und öffentliche Beteiligungen zuständig; in dieser Funktion wurde ich über die Entscheidung informiert, Microsoft Azure für das Hosting der HDH-Plattform zu nutzen.Anschließend war ich Minister mit Zuständigkeit für die interministerielle Direktion für Digitales ab diesem Zeitpunkt bis zur Umbildung im Juli 2020. Nach diesem Datum übernahm Amélie de Montchalin diese Aufgabe, und ich bin nicht mehr für die digitale Transformation des Staates zuständig. Da ich mich entschieden habe, den Staatsdienst zu verlassen und Unternehmer zu werden, habe ich keinen Zugang mehr zu den Dokumenten, über die ich Ihnen berichten werde. Ich bitte Sie, eventuelle Ungenauigkeiten zu entschuldigen.

Das HDH-Projekt entstand im Anschluss an die französische Strategie für künstliche Intelligenz vom März 2018 als Reaktion auf den Villani-Bericht, in dem eine außergewöhnliche Chance im Gesundheitsbereich erkannt wurde. Frankreich verfügt über einen großen Vorteil: zwei der fünf größten Gesundheitsdatenbanken der Welt, das nationale Gesundheitsdatensystem (SNDS) und das der Assistance publique – Hôpitaux de Paris (APHP). Die Dringlichkeit war damals groß, da sich die künstliche Intelligenz seit den Durchbrüchen von 2014 und 2017 sehr schnell weiterentwickelt hat. In diesem Jahr revolutionierte die Veröffentlichung eines Forschungsartikels mit dem Titel „Attention is all you need” diesen Bereich. Danach ging alles sehr schnell. ChatGPT, das im Dezember 2022 ins Leben gerufen wurde, hat heute einen Wert von 330 Milliarden Euro. In der Digitalbranche erobert der Erste den gesamten Markt. Wir haben daher 2019 beschlossen, sehr schnell voranzukommen, um davon zu profitieren, dass unsere Datenbanken größer waren als die der Amerikaner. Das Gesundheitsministerium hat über die Direktion für Forschung, Studien, Bewertung und Statistik (DREES) das Thema geprüft und im März 2019 eine Entscheidung getroffen, als ich noch Berater des Präsidenten der Republik und des Premierministers war. Die Frage nach der Wahl des Hosting-Anbieters war eine von vielen, wobei die wichtigsten Fragen die ersten Projekte betrafen, die bearbeitet werden konnten. In einem Vermerk des Kabinetts der Gesundheitsministerin wurde nach Konsultation von etwa zwanzig Unternehmen Microsoft empfohlen. Ich erinnere mich, dass ich gefragt habe, ob französische Hosting-Anbieter in Betracht gezogen worden seien, und die Antwort verwies auf Gründe der Cybersicherheit und Leistung, die für Microsoft sprachen. Ich habe diesen Vermerk nicht mehr und bitte Sie, ihn beim Gesundheitsministerium anzufordern. Jedenfalls kann ein Berater des Präsidenten der Republik eine Entscheidung, die auf der Grundlage einer objektiven Untersuchung der Verwaltung getroffen wurde, nicht ändern, unabhängig davon, was er davon hält, da dies den Straftatbestand der Begünstigung erfüllen würde.

Die Entscheidung war übrigens sinnvoll: schnell mit einigen Kohorten über Microsoft für ein bis zwei Jahre zu beginnen, in der Hoffnung, dass die französischen Lösungen ihren Rückstand aufholen würden, und dabei die Reversibilität zu wahren. Wir haben die technischen Vorkehrungen getroffen, um später gegebenenfalls auf eine französische Cloud umsteigen zu können. Zwischen März 2019 und Juli 2020, als ich für die Dinum zuständig war, musste die Lösung umgesetzt werden. Ich möchte daran erinnern, dass dieses Dossier in die Zuständigkeit des Gesundheitsministeriums fiel und dass damals jedes Ministerium für seine eigene Digitalpolitik verantwortlich war. Erst später erhielt die Dinum ein Vetorecht bei digitalen Projekten der Ministerien. Die Dinum hatte damals die technische Analyse des Gesundheitsministeriums für gültig befunden.

Die Cloud-Landschaft in Frankreich im Jahr 2019 hatte nichts mit der von 2025 zu tun. Im Jahr 2019 dominierte die Debatte über das Scheitern von CloudWatt und Numergy in den Jahren 2015-2016, einer Regierungsinitiative zur Schaffung einer souveränen Cloud mit SFR und Orange, die aufgrund fehlender Kunden zu einer Verschwendung öffentlicher Gelder geführt hatte. Das Thema der Extraterritorialität amerikanischer Gesetze begann sich abzuzeichnen, spielte jedoch noch keine große Rolle. Der 2016 geschaffene Referenzrahmen SecNumCloud enthielt damals noch keine Elemente zur Immunität gegenüber der Extraterritorialität. Das französische Cloud-Ökosystem war damals noch weit weniger ausgereift als heute. Unternehmen wie OVHcloud, Scaleway, Outscale und Clever Cloud hatten noch nicht das Niveau, das sie heute haben, sowohl in Bezug auf die Leistung als auch auf die Sicherheit. Ich erinnere daran, dass es bei einigen französischen Betreibern Probleme gab, insbesondere Datenverluste und Brände in Rechenzentren.

Die damals getroffene Entscheidung – die ich umso leichter verteidigen kann, als ich sie nicht getroffen habe – war sinnvoll und zielte auf eine Lösung für ein oder zwei Jahre ab. Dies ist umso relevanter, als HDH während der Gesundheitskrise intensiv für die Forschung genutzt wurde. Ohne die Entscheidung für Microsoft hätten wir dies nicht tun können. Ich bin nach wie vor überzeugt, dass wir die richtige Entscheidung getroffen haben.

Herr Dany Wattebled, Berichterstatter. – Ihre schöne Geschichte überzeugt mich überhaupt nicht. Außerhalb der USA und Chinas gibt es keine Rettung? Die GAFAM (Google, Apple, Facebook, Amazon, Microsoft) haben in Garagen ohne Mittel angefangen und sind durch öffentliche Aufträge groß geworden. Ich habe den Eindruck, dass man dafür gesorgt hat, dass französische Unternehmen nicht konkurrieren können, obwohl mir einige Akteure der Branche versichert haben, dass sie nur darum gebeten werden müssten, um zu beweisen, dass sie dazu in der Lage sind.

Sie sind jetzt bei Mistral AI, einem hervorragenden Einhorn, das eine Schlüsselrolle im Bereich der künstlichen Intelligenz in Europa spielt und eine Partnerschaft mit Microsoft unterhält, die auch die Azure-Infrastruktur umfasst. Wie bringt Mistral AI seine Ambitionen, europäischer Marktführer zu werden, mit dieser strategischen Partnerschaft in Einklang? Welche Maßnahmen schützen die über Azure verarbeiteten Daten vor den Risiken, die mit den extraterritorialen Gesetzen der USA verbunden sind?

Herr Cédric O. – Vielen Dank für diese Frage. Ich möchte klarstellen, dass ich als Berater des Präsidenten der Republik nicht an der Entscheidung für Microsoft als HDH beteiligt war.

Herr Dany Wattebled, Berichterstatter. – Sie haben jedoch gerade davon gesprochen und waren Berater. Sie haben Notizen erhalten. Sie hätten fragen können, ob es eine französische Alternative oder französische Akteure gibt, die dazu in der Lage wären. Wir haben diese Unternehmen angehört: Sie behaupten, dass sie mit einem Auftrag bereit gewesen wären. Ihnen wurde von Anfang an gesagt, dass sie nicht mit den Amerikanern konkurrieren könnten.

Herr Cédric O. – Sie haben mehrere Fragen aufgeworfen. Kann man der Regierung wirklich vorwerfen, dass sie die französischen Start-ups zwischen 2017 und 2022 schlecht bedient hat? Sie sind Abgeordneter aus dem Norden, nah an der French Tech Lille. Ich lade Sie ein, direkt bei den Unternehmen der French Tech Lille oder der Region Bretagne Sud nachzufragen, ob sie mit den Maßnahmen der Regierung zufrieden sind. Dank unserer Maßnahmen konnten französische Unternehmen zum führenden Ökosystem in Europa aufsteigen und Champions hervorbringen, was zuvor nicht der Fall war. Sie können Sam Dahmani, den Präsidenten der French Tech Lille, dazu befragen.

Was Microsoft betrifft, so hat Stéphanie Schaer, Direktorin der Dinum, in ihrer Anhörung angegeben, dass 95 % der Cloud-Ausgaben des französischen Staates an französische Anbieter gehen. Kann man mir in diesem Zusammenhang wirklich vorwerfen, Microsoft zu begünstigen? In bestimmten Einzelfällen, wie dem oben genannten, haben wir aus Gründen der Schnelligkeit, Leistungsfähigkeit und Sicherheit lokale und vorübergehende Entscheidungen getroffen.

Herr Simon Uzenat, Präsident. – Wir haben bei der genannten Anhörung um nähere Angaben zu diesen Zahlen gebeten. Die vorgelegten Daten entsprachen nicht den gesamten Ausgaben des Staates für Cloud-Dienste. Wir wurden daher zu äußerster Vorsicht gemahnt, da viele Zahlen und Daten nicht berücksichtigt worden waren.

Herr Cédric O. – Was Microsoft betrifft, so beläuft sich dessen Investition in Mistral auf nur 15 Millionen Euro, was etwa 1,5 % unserer Gesamtfinanzierung in Höhe von 1,2 Milliarden Euro entspricht. Microsoft gehört nicht zu den fünfzehn größten Investoren des Unternehmens. Bei unseren Finanzierungsrunden hat Mistral seine Investoren ausgewählt und nicht umgekehrt. Unsere Partnerschaft mit Microsoft ist rein kommerzieller Natur, ebenso wie unsere Partnerschaften mit CMA CGM und BNP, die weitaus größere Anteilseigner von Mistral sind. Als internationales Unternehmen setzen wir unsere Modelle auf verschiedenen Clouds ein: OVHcloud, Microsoft und Scaleway. Mistral bleibt ein unabhängiger europäischer Marktführer, der von Unternehmern gegründet wurde, die große amerikanische Unternehmen verlassen haben, um eine europäische Alternative im Bereich der künstlichen Intelligenz zu entwickeln.

Herr Dany Wattebled, Berichterstatter. – Bei den Debatten über den europäischen AI Act hat Mistral AI für einen innovationsfreundlichen Rechtsrahmen plädiert. Wie interpretiert Ihr Unternehmen die europäischen Erwartungen hinsichtlich der technologischen Souveränität in seinen strategischen Entscheidungen, insbesondere im Bereich der Infrastruktur? Haben Sie Partnerschaften mit europäischen Akteuren wie OVHcloud oder Scaleway, die SecNumCloud-zertifiziert sind, in Betracht gezogen, um die technologische Unabhängigkeit von Mistral zu stärken?

Herr Cédric O. – Ja, wir haben Partnerschaften mit Scaleway, eine wichtige Partnerschaft mit Outscale, einer Tochtergesellschaft von Dassault Systèmes, und wir arbeiten mit OVHcloud zusammen, um unsere Modelle auf ihrer Plattform verfügbar zu machen.

Die europäische Frage im Bereich der künstlichen Intelligenz ist von entscheidender Bedeutung, da es falsch wäre, Cloud und künstliche Intelligenz voneinander zu trennen. Wenn wir amerikanische künstliche Intelligenz nutzen, nutzen wir zwangsläufig auch amerikanische Cloud-Dienste. Daher ist es unerlässlich, den Einsatz künstlicher Intelligenz in europäischen Unternehmen mit europäischen Anbietern zu entwickeln, sei es Mistral oder andere Akteure wie H oder Aleph Alpha in Deutschland. Ich bin besorgt, dass die Europäische Kommission Projekte für Rechenzentren auf europäischem Boden subventionieren könnte, die nicht im Besitz europäischer Unternehmen sind. Die Kommission sollte bei ihren Gigafactory-Projekten vor allem angesichts der angekündigten beträchtlichen Summen von 500 Millionen bis 2 Milliarden Euro, die für die Staaten nicht aufzubringen sind, die Finanzierung europäischer Unternehmen bevorzugen. Europa muss seine Rolle bei Subventionen und Aufträgen im Bereich künstliche Intelligenz und Cloud Computing wahrnehmen. Leider begünstigen die aktuellen europäischen Vorschriften, wie ich bereits mehrfach betont habe, weder die Entwicklung einer europäischen künstlichen Intelligenz noch deren Nutzung durch europäische Akteure.

Herr Dany Wattebled, Berichterstatter. – Was den Datenschutz betrifft, arbeitet Mistral AI mit Alan zusammen, das wichtige Aufträge wie den des Ministeriums für Wirtschaft und Finanzen gewonnen hat, der mehr als 130.000 Mitarbeiter umfasst, die strengen Vorschriften wie der DSGVO und der HDS-Zertifizierung unterliegen. Wie stellen Sie sicher, dass Ihre KI-Modelle, die möglicherweise über Azure bereitgestellt werden, diese Standards einhalten und die Daten der Bürger schützen? Haben die Verbindungen zwischen Alan und Mistral außerdem den Erhalt von Aufträgen gegenüber ehemaligen großen Versicherungsvereinen auf Gegenseitigkeit wie der Mutuelle générale de l’éducation nationale (MGEN) erleichtert?

Herr Cédric O. – Was die Verbindungen zu Alan betrifft, so sind einige Mitbegründer von Mistral AI auch Mitbegründer von Alan. Derzeit gibt es keine technologischen Verbindungen zwischen den beiden Unternehmen, lediglich Personen, die sich kennen. Die finanziellen Verbindungen sind minimal: Ursprünglich betrugen sie etwa 2 % für die Gründer, nach Verwässerung gehören heute weniger als 1,5 % des Kapitals von Mistral AI zu Alan. Alan nutzt teilweise Modelle von Mistral AI, greift aber je nach Bedarf auch auf andere Modelle zurück, insbesondere für die Sprachverarbeitung, die Mistral AI nicht anbietet. Ich habe den Staat immer dazu ermutigt, bei französischen Start-ups zu bestellen, aber ich kann keine unabhängigen Entscheidungen der Regierung kritisieren.

Herr Dany Wattebled, Berichterstatter. – Aus welchem Grund haben die Ministerien Alan gegenüber den alten Versicherungsvereinen auf Gegenseitigkeit wie der MGEN oder anderen historischen Versicherungsvereinen für Beamte bevorzugt?

Herr Cédric O. – Ich habe keine Ahnung.

Herr Simon Uzenat, Präsident. – Wir waren am 12. Mai in Brüssel und haben uns mit der GD Grow und dem Kabinett des Vizepräsidenten Stéphane Séjourné zu dieser Frage der Bekräftigung einer europäischen Präferenz im Rahmen der Überarbeitung der Richtlinien über das öffentliche Beschaffungswesen getroffen, die über die Frage der digitalen Souveränität hinausgeht. Europa darf nicht weiter hinterherhinken, während die Vereinigten Staaten seit Jahrzehnten ihre öffentlichen Aufträge mobilisieren. Die heute eingegangene Antwort der Dinum präzisiert, dass es sich bei den 145 Millionen Euro nicht um jährliche Ausgaben handelt, sondern um das Budget für den interministeriellen Cloud-Markt, der von der Union des groupements d’achats publics (Ugap) von Oktober 2020 bis zum 31. Mai 2025 verwaltet wird. Dieser Betrag wird durch Lücken in den Datenmeldungen und den Ausschluss von Software as a Service (SaaS)-Lösungen und anderen Strukturen aus dem Umfang relativiert.

Ich bin überrascht von Ihrer Aussage, dass es nicht möglich war, von der Empfehlung der Verwaltung in ihrem Vermerk abzuweichen. Als regionaler Abgeordneter ist es meine Aufgabe, wenn Dienststellen Elemente vorlegen, die einem politischen Willen zuwiderlaufen, muss man die Arbeit vertiefen und die verschiedenen Akteure, die an der Ausarbeitung dieses Vermerks beteiligt waren, zur Rede stellen. Die Vertreter von OVHcloud haben uns berichtet, dass sie zum Zeitpunkt der Entscheidung für Microsoft als Hosting-Anbieter für das HDH nur einen informellen Telefonkontakt hatten, was angesichts des vom Präsidenten der Republik 2017 bekräftigten Willens wenig erscheint. Der Weg, der zu Ihrer Schlussfolgerung geführt hat, hat möglicherweise nicht alle möglichen Lösungen ausgeschöpft. Seit 2019 stellen wir einen Mangel an politischem Willen fest, wobei Minister eine Umkehrbarkeit für 2020, dann für 2022, 2023 und 2024 versprechen, ohne dass dies umgesetzt wird. Die Frage ist, ob wir mit echtem politischen Willen und den notwendigen Mitteln diesen Sektor nicht besser hätten strukturieren können, anstatt zu warten und unseren Rückstand festzustellen.

Herr Cédric O. – Wenn sich diese Frage heute wieder stellen würde, wäre die gemeinsame Reaktion wahrscheinlich anders. Diese Entscheidung muss im Kontext des Jahres 2019 gesehen werden. Damals waren die French Tech, OVHcloud und die französisch-amerikanischen Beziehungen ganz anders. Ich behaupte nicht, dass sich niemand die Frage der Extraterritorialität gestellt hat. Aber selbst wenn ich diese Entscheidung hätte ändern wollen, hätte ich es nicht tun können. Bei der App TousAntiCovid beispielsweise, die sehr viele sensible Daten enthielt und 50 Millionen Mal heruntergeladen wurde, wollten wir im Eilverfahren einen französischen Akteur mit SecNumCloud-Zertifizierung, Outscale, einschalten. Daraufhin wurden bei der nationalen Finanzstaatsanwaltschaft Vorwürfe der Begünstigung erhoben! Wenn ein Politiker einen Verwaltungsbericht mit einer Rangliste von Dienstleistern erhält, kann er Fragen stellen, aber davon abzuweichen ist heikel. Die Politik muss auf einer übergeordneten Ebene beurteilt werden: Begünstigen wir französische Akteure bei allen öffentlichen Aufträgen? Auch heute noch halte ich die Empfehlung zum Hosting des HDH für sinnvoll. Ich habe großen Respekt vor Octave Klaba, vor dem, was er aufgebaut hat, und vor OVHcloud, und ich bin der Meinung, dass Frankreich Glück hat, sie zu haben, aber in diesem speziellen Punkt bin ich aufrichtig der Meinung, dass die Entscheidung von 2019 sinnvoll war, auch wenn ich nicht direkt dafür verantwortlich bin.

Herr Simon Uzenat, Präsident. – Zur Klarstellung: Bei der von uns erwähnten Bewertung handelte es sich nicht um eine Rangliste wie bei einer Ausschreibung. Es war eine Bewertung des wirtschaftlichen Umfelds, die zu dem Schluss kam, dass nur eine Lösung die festgelegten Ziele erfüllte. Unsere Kritik bezieht sich genau auf diesen Punkt: Die Alternativen wurden nicht ausreichend geprüft. Es handelt sich keineswegs um Begünstigung. Der Staat hat darüber hinaus eine viel wichtigere Rolle bei der Förderung und Strukturierung der Branchen zu spielen als die lokalen Gebietskörperschaften.

Herr Dany Wattebled, Berichterstatter. – Ich komme auf Ihre Einleitung zurück, wonach nichts getan werden kann. Sie zeigen selbst, dass es mit künstlicher Intelligenz möglich ist, den Rückstand aufzuholen, auch wenn wir den digitalen Wandel verschlafen haben. Halten Sie es angesichts des aktuellen geopolitischen Kontexts mit der zweiten Amtszeit von Trump, offenen und verdeckten Kriegen für sinnvoll, alle unsere Verwaltungsdaten, einen Schatz an Informationen über Gesundheit und Bildung, an Unternehmen weiterzugeben, die extraterritorialen Gesetzen unterliegen? Muss nicht in unseren öffentlichen Aufträgen eine Souveränitätsklausel, zumindest auf europäischer Ebene, aufgenommen werden? Unsere Unternehmen wollen keine Subventionen, sondern Aufträge. Wenn wir ihnen klare Ziele mit einer Frist setzen, sind sie bereit, sich zu engagieren, sogar mit Strafen, vorausgesetzt, der Auftrag wird bestätigt.

Herr Cédric O. – Ich wollte nie behaupten, dass alles verloren ist. Im Gegenteil, ich glaube so sehr an den Kampf um Souveränität, dass ich zwei französische Unternehmen im Bereich der künstlichen Intelligenz gegründet habe, anstatt mich einem großen amerikanischen Unternehmen anzuschließen. Um diesen Kampf zu führen, muss man klar denken und schwierige Entscheidungen treffen. Die Amerikaner investieren das Geld, das wir in unser Sozialmodell stecken, in ihre weltweite Vorherrschaft. Wir treten in eine Ära der „Hard Power” ein, in der wir uns entscheiden müssen, ob wir in unsere technologische Vorherrschaft und unsere Verteidigungsunternehmen oder in unseren Lebensstandard investieren wollen. Wir haben in Frankreich außergewöhnliche Unternehmer, die tatsächlich Märkte brauchen, nicht nur Subventionen. Die Wahl von Donald Trump hat die Lage verändert. Ich bin nun überzeugt, dass eine gewisse Bevorzugung Europas bei öffentlichen Aufträgen notwendig ist, sogar für bestimmte Verwendungszwecke großer französischer Privatkonzerne. Der Kernpunkt des Kampfes wird auf europäischer Ebene mit EUCS ausgetragen: Wenn es uns nicht gelingt, eine extraterritoriale Immunität zu integrieren, werden alle unsere Bemühungen vergeblich sein.

Herr Fabien Genet. – Sie sind auch heute noch der Meinung, dass die Entscheidung von Microsoft damals gerechtfertigt war. Könnten Sie dies noch einmal kurz erläutern?

Herr Cédric O. – Damals haben wir eine vorübergehende Entscheidung getroffen, um schnell starten zu können, indem wir die Plattform zur Verfügung gestellt haben. Microsoft bot zu diesem Zeitpunkt mehr Sicherheit, und die Forscher konnten ihre Algorithmen schneller darauf ausführen. Ich möchte klarstellen, dass wir nie den gesamten SNDS übertragen haben. Nur bestimmte Kohorten werden in den HDH übernommen, zusammen mit den entsprechenden SNDS-Daten. Die vollständige Datenbank der Krankenversicherung ist im HDH nicht verfügbar. Wir haben die Reversibilität sichergestellt, um nicht dauerhaft an Microsoft gebunden zu sein. Das Ziel war es, unseren Forschern zwei Jahre lang schnelle Fortschritte zu ermöglichen und gleichzeitig unseren französischen Akteuren Raum für Entwicklung zu lassen.

Herr Fabien Genet. – Welche vertraglichen Verpflichtungen hinsichtlich des Datenschutzes bestehen im Rahmen eines Vertrags mit Microsoft über das Hosting dieser Daten? Inwiefern stellt die Tatsache, dass es sich um ein US-amerikanisches Unternehmen handelt, ein Risiko dar, und wie schätzen Sie dieses ein?

Herr Cédric O. – Ich kenne die genauen Vertragsbedingungen nicht, da dieser Teil vom HDH geregelt wurde. Soweit ich mich erinnere, waren sie die einzigen zertifizierten Gesundheitsdatenhosting-Anbieter (HDS), die Garantien in Bezug auf Sicherheit und Verfügbarkeit bieten. Ich war nicht persönlich für die rein rechtlichen Aspekte dieser Bereitstellung zuständig.

Herr Fabien Genet. – Welche Garantie habe ich als Bürger, dass meine Regierung diese Speicherung durch ein ausländisches Unternehmen organisiert? Besteht die Gefahr, dass die Regierung des Landes, in dem das Unternehmen seinen Sitz hat, auf diese Daten zugreifen kann?

Herr Cédric O. – De facto besteht immer ein Risiko, selbst bei einem französischen Unternehmen. Die amerikanische Dominanz im Bereich der Cloud-Technologien ist so groß, dass es selbst bei einigen französischen Hosting-Anbietern nicht möglich ist, ohne diese Technologien zu arbeiten. Die einzige Möglichkeit, jegliches Risiko auszuschließen, wäre, alles selbst zu hosten, ohne auf die Cloud zurückzugreifen.

Herr Dany Wattebled, Berichterstatter. – Heute Morgen haben wir Anton Carniaux, Direktor für öffentliche und rechtliche Angelegenheiten bei Microsoft, eine Frage gestellt. Wir haben ihn gefragt, ob er unter Eid garantieren könne, dass die Daten französischer Bürger niemals ohne die ausdrückliche Zustimmung der französischen Behörden an ausländische Behörden weitergegeben werden. Er antwortete, dass er dies unabhängig von der Verschlüsselung nicht garantieren könne. Das bedeutet, dass Microsoft trotz aller Vorsichtsmaßnahmen gezwungen sein kann, Daten ohne Wissen der französischen Behörden weiterzugeben.

Herr Cédric O. – Sie haben Recht. Niemand bestreitet die enorme Dominanz der USA im Bereich der Cloud-Technologie, die uns alle abhängig macht, einschließlich eines Teils der französischen Anbieter, die auf amerikanische Technologien angewiesen sind, insbesondere auf virtuelle Maschinen.

Dieses Problem ist weltweit, selbst die Vereinigten Staaten sind nicht über ihre gesamte technologische Infrastruktur souverän. Für 5G gibt es beispielsweise nur drei Anbieter von Basisstationen (Ericsson, Nokia und Samsung), von denen keiner amerikanisch ist. Die amerikanische Telefonkommunikation, einschließlich der verschlüsselten, läuft daher über nicht-amerikanische Geräte. Wie wir haben sie nicht darauf gewartet, dass ein nationaler Akteur die Technologie beherrscht, um 5G einzuführen. Es gab sogar Gerüchte über eine feindliche Übernahme von Ericsson, um diese technologische Schwäche zu beheben!

Wir haben in Europa dennoch einige Vorteile: 5G mit Ericsson und Nokia sowie ASML im Bereich der künstlichen Intelligenz, das alle Chips für künstliche Intelligenz druckt. Das sind zwei wichtige Trümpfe in den Verhandlungen mit den Amerikanern. Das Problem ist der enorme Unterschied in den Mitteln: OVH ist 2 bis 3 Milliarden Euro wert, Amazon hingegen 2000 Milliarden. Bei neuen Technologien wie der künstlichen Intelligenz holen wir unseren Rückstand auf, aber sie haben zehn Jahre Vorsprung. Wir speichern alle Daten unserer Telefone in chinesischen oder amerikanischen Clouds. Das ist eines der größten Probleme Europas heute.

Diese Anhörung wurde auf Video aufgezeichnet und ist online auf der Website des Senats verfügbar.

Die Sitzung wird um 18:30 Uhr geschlossen.

Die Sitzung wird um 19 Uhr eröffnet.

Anhörung von Frau Clara Chappaz, Ministerin für künstliche Intelligenz und Digitalisierung

Herr Simon Uzenat, Vorsitzender. – Wie es bei einem Untersuchungsausschuss üblich ist, schließen wir unsere Arbeit mit der Anhörung der Regierungsmitglieder ab, die für die Bereiche zuständig sind, die Gegenstand unserer Untersuchungen sind.

Als wir unsere Anhörungen mit einer Untersuchung des traditionellen Bereichs des öffentlichen Auftragswesens begannen und Vertreter der Gebietskörperschaften, Experten und Juristen empfingen, wurde uns insbesondere auf Initiative unseres Berichterstatters schnell klar, dass ein besonderer Bereich unser ganzes Interesse verdient: die digitale Souveränität und die Rolle, die öffentliche Auftraggeber bei ihrer Förderung spielen können.

Die Feststellungen in diesem Bereich sind eindeutig und werden geteilt: eine erlittene oder aufrechterhaltene Abhängigkeit von außereuropäischen Betreibern, die extraterritorialen Rechtsvorschriften unterliegen, und ein mangelndes Verständnis der damit verbundenen Risiken, trotz einer klaren Doktrin in diesem Bereich. Zwar hat auf höchster Ebene ein Bewusstseinswandel stattgefunden, wie Artikel 31 des Gesetzes vom 21. Mai 2024 zur Sicherung und Regulierung des digitalen Raums, das sogenannte „Sren-Gesetz”, zeigt, doch müssen diese Leitlinien noch in die Tat umgesetzt werden, insbesondere im Hinblick auf die Gesundheitsdatenplattform (PDS).

Wir empfangen daher Frau Clara Chappaz, Ministerin für künstliche Intelligenz und Digitalisierung, um mit ihr über dieses Thema zu diskutieren.

Ich weise darauf hin, dass diese Anhörung live auf der Website des Senats übertragen und in einem Bericht veröffentlicht wird. Ich erinnere außerdem daran, dass eine Falschaussage vor unserem Untersuchungsausschuss mit den in den Artikeln 434-13, 434-14 und 434-15 des Strafgesetzbuches, d. h. mit einer Geldstrafe von 75.000 € und einer Freiheitsstrafe von bis zu fünf Jahren, je nach den Umständen sogar bis zu sieben Jahren, geahndet werden kann. Ich fordere Sie auf, zu schwören, die ganze Wahrheit und nichts als die Wahrheit zu sagen. Bitte heben Sie Ihre rechte Hand und sagen Sie „Ich schwöre“.

Gemäß dem für Untersuchungsausschüsse geltenden Verfahren leistet Frau Clara Chappaz den Eid.

Frau Ministerin, die Arbeit unseres Untersuchungsausschusses hat die Widersprüche in der Politik aufgezeigt, die der Staat in den letzten Jahren verfolgt hat, um die digitale Souveränität Frankreichs und Europas voranzubringen.

Auf der einen Seite stehen ein großes Risikobewusstsein und ein hohes Maß an Fachwissen in Strukturen wie der Nationalen Agentur für Informationssicherheit (Anssi) oder der interministeriellen Direktion für Digitales (Dinum), die wir angehört haben. Auf der anderen Seite stehen öffentliche Auftraggeber in Ministerien, Krankenhäusern oder Kommunen, die aufgrund unzureichender Anreize oder manchmal auch aufgrund mangelnden Verständnisses der damit verbundenen Risiken weiterhin von Betreibern abhängig sind, die die Sicherheit der von ihnen gehosteten Daten nicht gewährleisten können. Teilen Sie diese Einschätzung? Wie gedenken Sie Abhilfe zu schaffen?

Unser Untersuchungsausschuss hat sich mit der Situation der PDS befasst und bedauert, dass das Hosting seit ihrer Gründung von Microsoft Azure gewährleistet wird, obwohl dies eine Gelegenheit gewesen wäre, die Entwicklung und Strukturierung eines souveränen französischen Hosting-Angebots zu fördern, das schon damals mit der internationalen Konkurrenz hätte mithalten können – auch wenn Cédric O, den wir gerade empfangen haben, diese Meinung nicht teilt. Die Migration zu einer SecNumCloud-zertifizierten Lösung ist nun gemäß Artikel 31 des „Sren”-Gesetzes obligatorisch. Wie sehen die Aussichten in dieser Frage aus und wann wird die Durchführungsverordnung zu diesem Artikel veröffentlicht? Wie beurteilen Sie die Reife der französischen Cloud-of-Trust-Branche für die Erfüllung dieser Aufgabe?

Generell bedauern die Start-ups, dass sie bei öffentlichen Ausschreibungen benachteiligt werden, die eher auf etablierte Akteure und große Unternehmen ausgerichtet sind. Welche Initiativen hat die Regierung ergriffen oder plant sie, um hier Abhilfe zu schaffen?

Schließlich wird sich der Rechtsrahmen für das öffentliche Beschaffungswesen in Kürze mit der von der Europäischen Kommission eingeleiteten Überarbeitung der europäischen Richtlinien ändern. Am 12. Mai dieses Jahres wurde uns bei unserem Besuch in Brüssel bestätigt, dass die Agenda der Kommission einen Legislativvorschlag für Ende 2026 vorsieht. Beabsichtigt die Regierung in diesem Zusammenhang, strengere Anforderungen an die digitale Souveränität und die von uns gewünschte Bekräftigung einer europäischen Präferenz in diesem Bereich wie auch in allen anderen Bereichen des öffentlichen Auftragswesens zu verteidigen?

Frau Clara Chappaz, Staatssekretärin für künstliche Intelligenz und Digitalisierung. – Ihr Untersuchungsausschuss befasst sich mit einem Thema, das aufgrund des erheblichen wirtschaftlichen Gewichts des öffentlichen Auftragswesens – 170 Milliarden Euro pro Jahr – aber auch wegen seiner strategischen Bedeutung für unsere großen wirtschaftlichen, sozialen und technologischen Prioritäten von entscheidender Bedeutung ist.

Zunächst einmal sei daran erinnert, dass die Politik im Bereich des öffentlichen Auftragswesens vom Minister für Wirtschaft, Finanzen und industrielle und digitale Souveränität gesteuert wird, während die Beschaffungen des Staates insbesondere in den Zuständigkeitsbereich meiner Kollegin, der Ministerin für öffentliche Finanzen, Amélie de Montchalin, fallen. Die Zuständigkeit für die Dinum liegt hingegen gemeinsam beim Premierminister und dem Minister für den öffentlichen Dienst und Vereinfachung.

Ich teile Ihre feste Überzeugung, die sich meiner Meinung nach auch in Ihrer bisherigen Arbeit widerspiegelt. Die Art und Weise, wie wir unsere digitalen Lösungen beschaffen, unsere Daten verwalten, unsere Cybersicherheit gewährleisten und unsere Märkte öffnen, ist für die digitale Souveränität von entscheidender Bedeutung. Diese Politik kann aber auch ein Instrument zur Unterstützung unserer innovativen Akteure sein – insbesondere innovativer KMU und Start-ups. Deshalb haben wir erst kürzlich auf dem Gipfeltreffen für Maßnahmen im Bereich der künstlichen Intelligenz im Februar dieses Jahres dazu aufgerufen, das Instrument der öffentlichen und privaten Beschaffung gemeinsam zum Vorteil unserer Wettbewerbsfähigkeit zu nutzen.

Es ist notwendig, unsere sensiblen Daten zu schützen. Die Digitalisierung nimmt in vielen Bereichen unseres Alltags und unserer öffentlichen Dienste einen wichtigen Platz ein: Verwaltungen, staatliche Stellen und Kommunen haben sich verpflichtet, digitale Infrastrukturen zu nutzen, um Zeit zu sparen, die Kosten für die öffentlichen Finanzen zu senken und den Nutzern reibungslosere Dienstleistungen zu bieten. Diese Entwicklungen ermöglichen es, besser und effizienter auf die Erwartungen der französischen Bevölkerung einzugehen. Die Vorteile einer verstärkten Nutzung digitaler Technologien dürfen uns jedoch nicht davon abhalten, neue Risiken und Abhängigkeiten, die sich daraus ergeben, aufmerksam zu beobachten.

Im Bereich des Schutzes sensibler Daten hat die Regierung eine klare Linie festgelegt, indem sie die Doktrin „Cloud im Zentrum” mit der Notwendigkeit eines besseren Schutzes unserer sensiblen Daten verknüpft hat.

Einerseits orientiert die Doktrin „Cloud im Zentrum” die öffentlichen Dienste zu einer verstärkten Nutzung der Cloud, um unsere digitalen Infrastrukturen zu modernisieren und zu rationalisieren; andererseits wird diese Entwicklung durch verstärkte Sicherheitsanforderungen, insbesondere für sensible Daten, begleitet, die sich auf von der Anssi ausgestellte SecNumCloud-zertifizierte Lösungen stützen. Daher dürfen nur SecNumCloud-zertifizierte Angebote oder interne Hosting-Lösungen und interministerielle Clouds sensible Daten des Staates hosten, die besonderer Aufmerksamkeit bedürfen.

Tatsächlich weisen nicht alle genutzten Daten den gleichen Grad an Sensibilität auf. Die Anforderungen an ihre Verwaltung müssen daher an dieses Kriterium angepasst werden.

Zusammen mit meinen Kollegen Amélie de Montchalin und Laurent Marcangeli haben wir es im April dieses Jahres für notwendig erachtet, die Behörden an die Grundsätze für das Hosting von Daten zu erinnern. Ziel ist es, zu überprüfen, ob das erreichte Sicherheitsniveau entsprechend der Sensibilität der Daten ausreichend ist.

Artikel 31 des Gesetzes „Sren” legt den Bereich der besonders sensiblen Daten fest und sieht vor, dass diese vor jedem Risiko eines unbefugten Zugriffs durch ausländische Akteure geschützt werden müssen. Die Ministerien müssen daher sicherstellen, dass die für die Datenverarbeitung verwendeten Hosting-Dienste und Anwendungen – insbesondere kollaborative Lösungen, Büro- und Messaging-Anwendungen oder Lösungen für künstliche Intelligenz – diesen Schutzanforderungen entsprechen, insbesondere wenn die Daten besonders sensibel sind.

Dies ist ein weiterer Schritt, um Standardkäufe zu vermeiden, die schlecht geregelt sind oder nicht den Anforderungen der Cybersicherheit entsprechen, aber auch, um das öffentliche Beschaffungswesen auf kontrollierte, sichere und unseren Souveränitätsprioritäten entsprechende Lösungen auszurichten. Die Durchführung dieser Kontrolle erfordert ein verstärktes Engagement der Dinum.

Mehrere Anbieter sind bereits mit dem SecNumCloud-Label zertifiziert: Cegedim, Cloud Temple, Index Education, im Besitz von Docaposte, Oodrive, Outscale, OVH, Whaller und Worldline. Die Angebote Bleu und S3NS, zwei französische Projekte für vertrauenswürdige Cloud-Dienste in Partnerschaft mit amerikanischen Hyperscalern, haben ebenfalls den Prozess zur Zertifizierung mit dem SecNumCloud-Label eingeleitet. Bei dem ersten handelt es sich um ein Joint Venture zwischen Capgemini und Orange in Partnerschaft mit Microsoft, bei dem zweiten um eine Tochtergesellschaft von Thales in Partnerschaft mit Google.

Der zweite Punkt, den ich ansprechen möchte, betrifft unsere technologische Souveränität und die Notwendigkeit, wieder mehr Autonomie zu erlangen.

Die kritischen Abhängigkeiten, die wir in mehreren Schlüsselbereichen der Digitalwirtschaft aufgebaut haben, können nicht länger ignoriert werden: Datenhosting-Dienste, Betriebssysteme, Verwaltungssoftware oder strategische Komponenten. Europa ist massiv von außereuropäischen Technologielösungen abhängig: 83 % der europäischen Digitalausgaben – öffentlicher und privater Sektor zusammengenommen – fließen an ausländische Akteure, was einem geschätzten Betrag von 264 Milliarden Euro pro Jahr entspricht. Diese Zahl zeigt, wie wichtig es ist, unsere derzeitigen Abhängigkeiten besser zu dokumentieren. Vor diesem Hintergrund habe ich die Einrichtung einer Beobachtungsstelle für digitale Souveränität initiiert, die derzeit vom Generalrat für Wirtschaft (CGE) vorbereitet wird. Dieses Instrument soll es uns ermöglichen, unsere technologischen Abhängigkeiten in den Wertschöpfungsketten genau zu messen, Risiken zu kartieren und Handlungsspielräume zu bewerten. Ziel ist es, einen mittelfristigen Plan zur Verringerung unserer Abhängigkeiten nach Sektoren und Infrastrukturtypen zu erstellen. Diese Transparenz ist unerlässlich, um öffentliche und private Entscheidungen zu fundieren.

Sobald wir unsere Schwachstellen identifiziert haben, müssen wir das nationale und europäische Angebot unterstützen. Öffentliche und private Aufträge sind ein wesentlicher Hebel, um unsere Entscheidungen zu lenken und solide und glaubwürdige europäische oder nationale Lösungen zu fördern.

Wir verfügen bereits über Instrumente, auf die wir zurückgreifen können. Im europäischen Recht ist es möglich, Anforderungen an den Standort von Daten festzulegen, ehrgeizige Umweltkriterien zu integrieren oder hohe Sicherheitsstandards vorzuschreiben, sofern diese Anforderungen einen Bezug zum Auftragsgegenstand haben und in einem angemessenen Verhältnis zum angestrebten Ziel stehen. Diesem Ansatz sind wir bereits mit der SecNumCloud-Zertifizierungsanforderung für das Hosting sensibler Daten oder mit den gezielten Beschaffungsstrategien gefolgt, die wir in vorrangigen Bereichen wie wiederaufbereiteter IT-Ausrüstung oder Ladestationen für Elektrofahrzeuge entwickelt haben.

Wir müssen jedoch erkennen, dass wir noch weiter gehen müssen. Aus diesem Grund vertritt Frankreich auf europäischer Ebene im Rahmen der laufenden Überarbeitung der Richtlinien über die Vergabe öffentlicher Aufträge eine ehrgeizige Position.

Dabei verfolgen wir mehrere strukturierende Prioritäten: die Einführung einer europäischen Präferenz durch eine klarere Definition der Herkunft der betreffenden Produkte und Dienstleistungen; die Stärkung der Versorgungssicherheit, um die wirtschaftliche Widerstandsfähigkeit unserer Wertschöpfungsketten zu festigen; und schließlich die Vereinfachung des Rechtsrahmens, um allen Wirtschaftsakteuren, insbesondere den innovativsten, den Zugang zu öffentlichen Aufträgen zu erleichtern.

Es ist unsere Aufgabe, die Entwicklung unserer strategischen Branchen konsequent und entschlossen weiter zu unterstützen – eine langfristige Verpflichtung, die seit 2021 durch den Investitionsplan „France 2030” deutlich verstärkt wurde. Dieser Plan steht in der Kontinuität der nationalen Strategien für mehrere kritische Technologien wie künstliche Intelligenz, Cybersicherheit oder Cloud Computing, mit dem Ziel, die Entstehung wettbewerbsfähiger und nachhaltiger französischer Akteure zu fördern.

In diesem Zusammenhang soll eine Ausschreibung für Projekte im Bereich Cloud dazu beitragen, ein souveränes Dienstleistungsangebot auf nationaler Ebene zu stärken, insbesondere in den Bereichen vertrauenswürdige Cloud und Cloud-Dienste für künstliche Intelligenz.

In diese Dynamik der Strukturierung und Konsolidierung unserer Branchen fügt sich auch die Unterzeichnung des strategischen Branchenvertrags (CSF) für digitale Souveränität ein, der vor einigen Wochen mit den Ministern Philippe Baptiste und Marc Ferracci geschlossen wurde. Dieses gemeinsame Engagement verkörpert unser gemeinsames Ziel, einen Weg einzuschlagen, der entschlossen auf die technologische Unabhängigkeit unseres Landes ausgerichtet ist.

Mein dritter Punkt betrifft die große Herausforderung, die der Zugang zu öffentlichen Aufträgen für unsere innovativen Start-ups und KMU darstellt.

Im Jahr 2024 werden nur 2 % der staatlichen Ausgaben für Start-ups aufgewendet. Obwohl dieser Anteil gegenüber 2023 um 0,6 Prozentpunkte gestiegen ist, reicht er nach wie vor nicht aus. Mehrere große digitale Unternehmen auf globaler Ebene konnten sich – von ihren Anfängen an und während ihres gesamten Wachstums – dank einer strukturierenden Unterstützung durch öffentliche Aufträge in ihrem Land entwickeln. Diese Unterstützung ermöglichte es ihnen, schnell einen bedeutenden Vorsprung zu erlangen und zahlreiche internationale Märkte zu erobern.

Wie lässt sich dieser geringe Zugang von Start-ups zu öffentlichen Aufträgen erklären? Trotz der Digitalisierung der Verfahren sind die Beschaffungsmechanismen für kleine Unternehmen nach wie vor oft unzugänglich, da die Hürden für Unternehmen mit naturgemäß begrenzten Mitteln hoch sind: Sie sind komplex, langwierig, personalintensiv und begünstigen de facto bereits etablierte Großkonzerne. Um dem entgegenzuwirken, ist eine der Säulen des Plans „Je choisis la French Tech” die Schulung innovativer Unternehmen im Bereich des öffentlichen Auftragswesens.

Dabei sind die französischen Start-ups bereit. Mistral, spezialisiert auf generative Modelle künstlicher Intelligenz, verkörpert den europäischen Anspruch auf technologische Souveränität, indem es Alternativen zu den amerikanischen KI-Giganten entwickelt. Ich denke auch an Jus Mundi, ein Unternehmen, das sich auf künstlich intelligente Rechtsrecherche spezialisiert hat. Diese Unternehmen verdeutlichen die Fähigkeit unseres technologischen Ökosystems, leistungsstarke und wettbewerbsfähige Lösungen in strategischen Bereichen wie Cybersicherheit, künstliche Intelligenz, Cloud, Datenanalyse oder Fachsoftware anzubieten.

Wir müssen daher diesen Unternehmen den Zugang zu öffentlichen Aufträgen erleichtern.

Konkret bedeutet dies die Schaffung eines stabilen, einfachen und vorhersehbaren Rechtsrahmens, insbesondere durch mehrere Maßnahmen des Gesetzentwurfs zur Vereinfachung des Wirtschaftslebens, wie die dauerhafte Anhebung der Schwellenwerte für vereinfachte Auftragsvergabe auf 143 000 Euro für innovative Beschaffungen gegenüber derzeit 100 000 Euro; die Möglichkeit, bis zu 15 % der Lose öffentlicher Innovationsaufträge für junge innovative Unternehmen (JEI) zu reservieren. Ich wünsche mir, dass diese Maßnahmen in den weiteren Beratungen zu diesem Text beibehalten werden, da sie für unser Ökosystem wichtig sind.

Der Zugang zu öffentlichen Aufträgen erfordert auch eine verstärkte Unterstützung von Experimenten, wie beispielsweise Innovationspartnerschaften nach dem Vorbild von Proqcima, die vom Verteidigungsministerium gefördert werden, noch zu wenig genutzt werden, aber echte Hebel sein können; durch die Stärkung von Sourcing- und Schulungsmaßnahmen, wie beispielsweise die Initiative „Je choisis la French Tech” (Ich entscheide mich für French Tech), um ein besseres gegenseitiges Verständnis zwischen Start-ups und öffentlichen Auftraggebern zu fördern. Es geht nicht darum, Nischenmärkte für Start-ups zu schaffen, sondern Innovation in den Alltag der Verwaltung zu integrieren.

Abschließend möchte ich noch einmal einen grundlegenden Grundsatz betonen: Unsere digitale Souveränität darf nicht zu übertriebenem Misstrauen führen oder zu der Vorstellung, dass wir alle unsere digitalen Lösungen systematisch intern entwickeln müssen.

Auf dem Markt sind bereits zahlreiche Lösungen verfügbar, die unseren Anforderungen entsprechen, und diese müssen voll ausgeschöpft werden. Wenn eine kommerzielle Lösung hinsichtlich Leistung, Kosten, Anpassungsfähigkeit und Wartung gleichwertig ist, ist es besser, einen Vertrag mit diesem Anbieter abzuschließen, als eine interne Lösung zu entwickeln, die langfristig teurer und weniger effizient sein kann. Unser Vorrang für Souveränität muss in jedem Fall mit der notwendigen Kontrolle unserer öffentlichen Finanzen in Einklang gebracht werden.

Herr Simon Uzenat, Präsident. – Wenn wir über Fragen der Souveränität sprechen, meinen wir damit nicht nur die von den staatlichen Stellen entwickelten Lösungen, sondern das gesamte französische und europäische Ökosystem, von Start-ups bis hin zu den größten Unternehmen, die wir angehört haben.

Herr Dany Wattebled, Berichterstatter. – Vielen Dank für die Vorstellung Ihres Fahrplans, er ist sehr interessant.

Ich möchte eine allgemeine Anmerkung zu unserer Arbeit machen und sagen, dass es ein „Vorher” und ein „Nachher” unserer Untersuchungskommission gibt. Wir hatten zu Beginn unserer Arbeit das Gefühl, dass wir jedes Mal, wenn wir das Thema digitale Souveränität ansprachen, „an der Nase herumgeführt” wurden: Alle, von der Ministerin bis hin zu den Dienststellen, schoben sich gegenseitig die Verantwortung zu – und zeigten damit, dass eigentlich niemand das Ruder in der Hand hatte. Wir haben die Unternehmen angehört. Ich war dabei, als Sie die Räumlichkeiten von OVH in Roubaix besucht und Octave Klaba getroffen haben. Er hat uns erzählt, wie die Datenhosting für die Plattform „Health Data Hub“ (HDH) seinem Unternehmen entgangen ist – er hat uns erzählt, wie er zwischen zwei Türen davon erfahren hat, ohne weitere Begründung, außer dass es nicht für sein Unternehmen sei, dass es von Capgemini für Microsoft vorgesehen sei.

Das war „vorher”. Dann kam Donald Trump zurück, und die Regierung begann zu erkennen, wie gefährlich es ist, alle unsere Daten an amerikanische Unternehmen weiterzugeben, sowohl in Bezug auf die Sicherheit als auch auf den wirtschaftlichen Vorteil. Wir haben die Bestätigung erhalten – Microsoft hat uns das heute Morgen noch einmal ganz klar gesagt –, dass amerikanische Unternehmen den extraterritorialen Gesetzen der USA unterliegen und sich daher einer Aufforderung der US-Regierung, alle in ihrem Besitz befindlichen Daten zu übermitteln, nicht widersetzen können – was bedeutet, dass wir den Amerikanern durch jeden Vertrag mit Microsoft wirtschaftliche Waffen in die Hand geben.

Uns wurde dann gesagt, dass Frankreich zwar im Rückstand sei, aber dass sich die Lage ändern könnte, wenn wir ein wenig Mittel zur Unterstützung unserer Unternehmen bereitstellen würden – schließlich hätten die Amerikaner das auch getan, und wenn man so gerne erzählt, dass amerikanische Start-ups in Garagen entstanden sind, dann waren es doch öffentliche Aufträge, die ihnen zum Durchbruch verholfen haben.

Für unseren Untersuchungsausschuss stellen sich daher mehrere Fragen. Wie wird die Regierung im Rahmen der öffentlichen Auftragsvergabe sicherstellen, dass bei der Auswahl der Technologien, insbesondere für kritische Infrastrukturen, die Anforderungen an Souveränität und strategische Unabhängigkeit im Vordergrund stehen? Die Plattform „Place“, die die Aufträge zentralisiert, ist ein wichtiges Instrument für die öffentliche Auftragsvergabe. Nach welchen Kriterien wurde der Dienstleister CGI für die Entwicklung und den Betrieb ausgewählt? Und wie passt diese Wahl in eine Logik der digitalen Souveränität? Einige Akteure stellen die Fähigkeit ausländischer Dienstleister in Frage, die vollständige Souveränität der Daten auf der Plattform „Place“ zu gewährleisten. Welche technischen und rechtlichen Garantien wurden zum Schutz sensibler Daten, die über diese Plattform übertragen werden, eingerichtet?

Frau Clara Chappaz, stellvertretende Ministerin. Die SecNumCloud-Zertifizierung ist eine Antwort auf extraterritoriale Rechtsvorschriften und gewährleistet den Datenschutz, was in unserem geopolitischen Kontext äußerst wichtig ist.

Was die Daten des HDH betrifft, so kennen Sie den Ablauf der Ereignisse und die Situation, die wir vorgefunden haben. Seit ihrem Amtsantritt hat die Regierung Überlegungen zur Zukunft des Hostings angestellt. Das Gesetz „Sren” verpflichtet ihn eindeutig dazu, einen Cloud-Dienstleister zu beauftragen, der Garantien für die Souveränität bietet. In der aktuellen Situation gibt es keine vollständige Kopie der Krankenversicherungsdaten auf dem HDH – was übrigens nicht zufriedenstellend ist, da dies die Verwendungsmöglichkeiten einschränkt. Derzeit können bestimmte Gesundheitsdaten nur für bestimmte Projekte und nach Genehmigung durch die nationale Datenschutzbehörde CNIL an das HDH übertragen werden. Diese Daten müssen gemäß dem Gesetz „Sren“ wieder auf einen hochsicheren, souveränen Server übertragen werden. Wir arbeiten gemeinsam mit allen betroffenen Akteuren an dieser Angelegenheit. Das Gesundheitsministerium hat gerade eine Ausschreibung veröffentlicht, um die Speicherung der Daten auf einem sicheren Server zu ermöglichen, was als „Zwischenlösung” bezeichnet wird…

Herr Dany Wattebled, Berichterstatter. – Innerhalb welcher Frist wird sie umgesetzt?

Frau Clara Chappaz, stellvertretende Ministerin. – Sie könnte 2026 beginnen. Wir möchten auch die französischen Cloud-Anbieter, die die SecNumCloud-Qualifikation erhalten haben, dabei unterstützen, die Hosting- und Rechenanforderungen der HDH-Plattform zu erfüllen und eine vertrauenswürdige Lösung anzubieten. Nach dieser Übergangsphase, sobald alle SecNumCloud-Angebote verfügbar sind, hoffen wir, die souveräne Hosting-Lösung für die HDH weiter voranzutreiben. Unser Ziel ist es, den Schutz personenbezogener Daten und Gesundheitsdaten zu gewährleisten und alle Vorteile dieses innovativen Projekts, das die HDH-Plattform darstellt, zu nutzen.

Die Frage der Datensouveränität ist von entscheidender Bedeutung. Die Doktrin ist klar, aber es muss sichergestellt werden, dass sie verstanden, bekannt und eingehalten wird. Im Rahmen des in Vorbereitung befindlichen Dekrets trifft sich die Dinum diese Woche mit der CNIL, um die Grundzüge der Doktrin zu präzisieren und ihre ordnungsgemäße Anwendung zu gewährleisten. Wir müssen zunächst unsere technologischen Schwachstellen verstehen und unsere Beschaffungen kartografieren, um sie besser steuern und unsere Abhängigkeiten besser verstehen zu können – daran arbeiten der CGE und die staatliche Beschaffungsbehörde (DAE). Digitale Souveränität beschränkt sich nicht auf die Sicherung von Daten. Wir müssen das öffentliche Beschaffungswesen mobilisieren, um unsere Schwachstellen zu verringern. Der Gesetzentwurf zur Vereinfachung des Wirtschaftslebens sollte uns auch dabei helfen, die uns zur Verfügung stehenden Instrumente optimal zu nutzen, um unsere Schwachstellen zu verringern und mit den Akteuren der Technologiebranche zusammenzuarbeiten.

Unsere oberste Priorität ist es, die Dynamik der europäischen Präferenz im digitalen Bereich voranzutreiben, um mehr Spielraum zu haben, um unsere Abhängigkeiten zu verringern, sobald wir sie verstanden haben. Das ist eine Aufgabe, die Zeit braucht, aber ich bin entschlossen, sie voranzutreiben, denn es geht sowohl um Datensicherheit als auch um digitale Souveränität und Industriepolitik. Wenn Start-ups Zugang zum Markt haben, können sie sich entfalten, wie Sie am Beispiel der HDH-Plattform gezeigt haben.

Es ist wichtig, alle Bausteine zu verstehen, um die Frage der Datensouveränität und der Risiken, die auf der Place-Plattform bestehen können, präzise beantworten zu können. Die Entscheidung, den Vertrag mit Atexo nach seinem Auslaufen im Jahr 2024 nicht zu verlängern, wurde im Hinblick auf den von der DAE und der Agence de l’information financière de l’État (AIFE) festgelegten Kurs getroffen, der darauf abzielt, die Leistung, Sicherheit und Kohärenz des Informationssystems für das öffentliche Beschaffungswesen zu verbessern. Diese Entscheidung berücksichtigt die geplante Erweiterung von Place auf neue öffentliche Akteure, die Integration von Dienstleistungen im Zusammenhang mit dem Programm zur digitalen Transformation des öffentlichen Auftragswesens und die operativen Schwierigkeiten, auf die einige Käufer mit Atexo gestoßen sind. Die Leistungs- und Effizienzunterschiede bei der Ausführung des Vertrags mit Atexo haben dazu geführt, dass dieser nicht verlängert wurde.

Herr Dany Wattebled, Berichterstatter. – Ist CGI ein Unternehmen mit ausländischem Kapital?

Frau Clara Chappaz, Staatssekretärin. – CGI ist ein kanadisches Unternehmen mit einer französischen Tochtergesellschaft. Der ihm übertragene Auftrag betrifft die Anwendungswartung ohne Zugriff auf Daten. Ziel ist es, kurzfristige Herausforderungen zu bewältigen. CGI ist bereits Partner zahlreicher öffentlicher Dienste und wird 2023 der elftgrößte Lieferant des Staates sein. Das Unternehmen stützt sich auf Open Source und ist nicht in Umgebungen tätig, in denen vertrauliche Daten verarbeitet werden. Die Produktionsumgebungen, die die Antworten auf Ausschreibungen erhalten, werden von Open, einem über Ugap ausgewählten französischen Unternehmen, betrieben; CGI hat für seine Wartungsarbeiten nur Zugang zu Testumgebungen mit fiktiven Daten.

Ich möchte daran erinnern, dass es nach europäischem Recht verboten ist, die Auswahl eines Dienstleisters allein aufgrund der Rechtsform eines Unternehmens zu treffen. Die Sicherheit und Vertraulichkeit der Daten sind durch Vertragsklauseln geregelt.

Ich teile Ihre Bedenken hinsichtlich der Extraterritorialität von Daten und der Möglichkeit ausländischer Akteure, auf unsere sensiblen Daten zuzugreifen. Die Risiken im Zusammenhang mit der Extraterritorialität des Rechts müssen sehr ernst genommen werden. Ist jede Datenübermittlung außerhalb der Kooperationsabkommen inakzeptabel? Die SecNumCloud-Zertifizierung wurde eingeführt, um unsere sensiblen staatlichen Daten zu schützen. Wir können uns freuen, dass es zertifizierte Akteure gibt.

Ich erinnere auch daran, dass die DSGVO die Übermittlung von Daten an Drittländer verbietet, sofern nicht bestimmte Bedingungen erfüllt sind. TikTok wurde in erster Instanz auf der Grundlage dieser europäischen Rechtsvorschriften verurteilt; das Unternehmen hat Berufung eingelegt, wir werden sehen, wie das Urteil ausfällt. In jedem Fall ist unser Recht in dieser Frage der Datenübermittlung sehr klar.

Herr Dany Wattebled, Berichterstatter. – Der kürzlich vom Bildungsministerium mit Microsoft unterzeichnete Rahmenvertrag mit einem potenziellen Volumen von 74 bis 152 Millionen Euro hat zahlreiche Debatten ausgelöst. Wie wurde diese Entscheidung begründet? Welche Maßnahmen sind vorgesehen, um die Abhängigkeit von nicht-europäischen Lösungen zu verringern?

Sie haben außerdem bei der von der Dinum organisierten Veranstaltung „L’État dans un nuage” (Der Staat in der Cloud) darauf hingewiesen, wie wichtig es ist, öffentliche Aufträge zu nutzen, um europäische oder sogar französische Lösungen zu fördern. Wie wollen Sie ein solches Ziel mit bestehenden Partnern und den amerikanischen Technologieriesen in Einklang bringen? Wie können die französischen und europäischen Akteure konkret gestärkt werden?

Frau Clara Chappaz, stellvertretende Ministerin. Der vom Bildungsministerium mit Microsoft unterzeichnete Vertrag soll es der Verwaltung dieses Ministeriums ermöglichen, weiterhin die Software-Lösungen dieses Unternehmens wie Windows, Word und Outlook zu nutzen, mit denen die meisten Computer der Mitarbeiter ausgestattet sind. Diese Rahmenvereinbarung beinhaltet keine Mindestabnahme und ermöglicht es dem Ministerium, die Nutzungslizenzen zu einem Vorzugspreis zu verlängern. Alle Ministerien verfügen über eine solche Vereinbarung, aber die des Bildungsministeriums ist besonders wichtig, da sie mehrere Millionen Arbeitsplätze und Server umfasst. Dieser Vertrag wurde gerade um vier Jahre verlängert und auf Forschungseinrichtungen und Universitäten ausgeweitet, die Skaleneffekte erzielen möchten.

Diese Rahmenvereinbarung ändert nichts an der Doktrin des Staates hinsichtlich der Datenspeicherung. Sensible Daten des Ministeriums müssen auf internen Servern in Frankreich gespeichert werden; nicht sensible Daten können in kommerziellen Clouds gehostet werden.

Ich verstehe sehr gut, dass die Vergabe eines so wichtigen Auftrags an einen nicht-europäischen Akteur im Rahmen des öffentlichen Beschaffungswesens Fragen aufwirft. Während jedoch 83 % des privaten Marktes sich für nicht-europäische Cloud-Lösungen entscheiden, tendiert der Staat zu 62 % zu französischen und europäischen Lösungen. Um noch weiter zu gehen, müssen die 15 französischen Angebote, die als SecNumCloud qualifiziert sind, besser genutzt werden. Ich habe eine technische Bewertung dieser Lösungen beantragt, da uns oft entgegengehalten wird, dass sie nicht auf dem erforderlichen Niveau seien: Sie müssen analysiert werden, um zu sehen, wie sie sich präsentieren. Diese Arbeit ist im Gange. Wir bauen die Kompetenzen unserer Akteure mit der Ausschreibung für Cloud-Projekte aus, die auch wichtig ist, um diese Akteure zu begleiten und Funktionen im Bereich der künstlichen Intelligenz einzuführen. Dies ist eine Gelegenheit, um zu sehen, wie diese Akteure im Rahmen der europäischen Präferenz gefördert werden können.

Ich teile Ihre Analyse: Wir sind von nicht-europäischen Lösungen und bestimmten Unternehmen abhängig, und gleichzeitig von einem ganzen europäischen und französischen Ökosystem, das sich weiterentwickeln würde, wenn es besseren Zugang zu öffentlichen Aufträgen hätte – das ist unsere Herausforderung. Deshalb plädiere ich im Gesetzentwurf zur Vereinfachung des Unternehmensalltags dafür, die Schwelle von 100.000 auf 143.000 Euro anzuheben, was für KMU einen erheblichen Unterschied bedeutet. Ebenso werden wir 15 % dieser Aufträge für innovative Akteure reservieren, was nach geltendem Recht das Maximum ist.

Es gibt auch eine kulturelle Dimension, die Gegenstand des Programms „Je choisis la French Tech” (Ich entscheide mich für French Tech) ist, nämlich Start-ups darin zu schulen, die Vorschriften für das öffentliche Beschaffungswesen zu verstehen. Wir haben diese Schulung mit der Mission French Tech ins Leben gerufen – mit Unterstützung von Open Classroom, einem französischen Start-up – und sie ist zertifiziert: Wenn ein Start-up sie absolviert hat, kann es sich bei öffentlichen Auftraggebern vorstellen und hat sich mit der Materie vertraut gemacht. Wir machen auch Fortschritte bei der Vernetzung: Wir haben etwa dreißig Veranstaltungen mit verschiedenen Ministerien organisiert, um das Innovationsökosystem und die öffentlichen Auftraggeber einander näher zu bringen. Wie Sie sicher verstanden haben, vertrete ich eine ehrgeizige Vision des öffentlichen Auftragswesens, das ein Hebel für die digitale Souveränität auf europäischer Ebene ist.

Mit den amerikanischen Akteuren haben wir zwei Partnerschaftsprojekte, S3NS und Bleu. Digitale Souveränität bedeutet nicht, sich abzuschotten, sondern klare Anforderungen und Ansprüche zu formulieren. Das ist der Sinn von SecNumCloud, das hohe Anforderungen stellt – die wir auch auf europäischer Ebene mit dem Projekt zur europäischen Zertifizierung von Cloud-Diensten (EUCS) umsetzen, das es unseren Akteuren ermöglichen wird, vertrauenswürdige Funktionen zu entwickeln und diese in ganz Europa zu verkaufen. Wenn Akteure aus den USA oder anderen Ländern Angebote entwickeln und investieren wollen, ist das eine gute Sache, vorausgesetzt, dass keine Abhängigkeiten entstehen. Die gleiche Logik wenden wir auch im Bereich der künstlichen Intelligenz an, wo wir mit Partnern zusammenarbeiten, um Kapital, insbesondere aus dem Ausland, für unser Ökosystem zu gewinnen.

Herr Dany Wattebled, Berichterstatter. – Meine letzte Frage ist zukunftsorientiert. Es kursieren Informationen über einen möglichen Auftrag der Dinum im Wert von 120 Millionen Euro an große Beratungsunternehmen wie Capgemini und McKinsey zur Unterstützung bei der Ausarbeitung des Lastenhefts für die Entwicklung souveräner Lösungen. Können Sie diese Information bestätigen oder dementieren und gegebenenfalls die Ziele dieses Vorhabens erläutern? Die Hinzuziehung internationaler Beratungsunternehmen für strategische Projekte wirft Fragen hinsichtlich der Vereinbarkeit mit den Souveränitätszielen auf. Nach welchen Kriterien wählt die Dinum ihre Partner aus, insbesondere in den Lastenheften, die oft ausschlaggebend für die Auswahl der Dienstleister sind?

Frau Clara Chappaz, stellvertretende Ministerin. – Ich habe keine genauen Informationen über diesen Beratungsauftrag, den die Dinum angeblich vergeben will. Ich werde mich erkundigen und mich mit den entsprechenden Informationen bei Ihnen melden. Ich werde Ihnen dann schriftlich antworten.

Herr Simon Uzenat, Vorsitzender. – Wenn möglich bis Ende der Woche.

Herr Jean-Luc Ruelle. – Die Schulung „Je choisis la French Tech” (Ich entscheide mich für French Tech) der Académie soll als Inkubator für Start-ups dienen: Wie hoch ist ihre Erfolgsquote, wie viele Start-ups sind daraus hervorgegangen und welchen Stellenwert haben sie im öffentlichen Beschaffungswesen? Wie viele Aufträge der Union des groupements d’achats publics (Ugap, Vereinigung öffentlicher Einkaufsgemeinschaften) wurden seit 2024 an Start-ups vergeben?

Wie sieht das konkrete Feedback der öffentlichen Auftraggeber zu APProch aus? Wie messen Sie die tatsächliche Nutzung?

Was sind Ihrer Meinung nach die größten Hindernisse für die Beteiligung von Start-ups am öffentlichen Beschaffungswesen, und welche Vereinfachungsmaßnahmen wollen Sie ergreifen, um diese Hindernisse zu beseitigen?

Frau Clara Chappaz, stellvertretende Ministerin. – Ich werde nicht alle Antworten haben, aber ich werde mich bemühen, sie bis Ende der Woche zu beschaffen und Ihnen zukommen zu lassen.

Die Umwandlungsquote ist ein sehr guter Indikator, aber es ist noch zu früh, um sie festzulegen, da wir die Akademie erst im Februar ins Leben gerufen haben – wir müssen mindestens ein Jahr abwarten, wir verfolgen dies sehr genau und werden Ihnen die Informationen zu einem späteren Zeitpunkt zukommen lassen.

Ich kann Ihnen keine Antwort zur Ugap in Bezug auf die Anzahl der Verträge geben. Die Start-ups machen 2,4 % der öffentlichen Aufträge aus, ihr Anteil ist um 0,6 Prozentpunkte gestiegen. Mit „Je choisis la French Tech” haben wir uns zum Ziel gesetzt, den Anteil der Start-ups an den öffentlichen Beschaffungen zu verdoppeln. Wir befinden uns auf Wachstumskurs und verfolgen die Entwicklung weiterhin sehr genau, um unsere Ziele zu erreichen.

Welche Hindernisse müssen beseitigt werden, damit Start-ups einen besseren Zugang zu öffentlichen Aufträgen erhalten? Genau daran arbeiten wir. Es gibt zweifellos eine kulturelle Dimension, und die Schulung „Je choisis la French Tech” soll diesen Zugang erleichtern. Es gibt auch ganz konkrete Aspekte, wie die Vergabefristen, die im Vergleich zur Lebensdauer von Start-ups sehr lang sind, die Zahlungsfristen oder auch die schwerfälligen Verfahren – das Ziel des Gesetzentwurfs zur Vereinfachung des Wirtschaftslebens ist es, diese zu vereinfachen. Die Vereinfachung ist eine wichtige Priorität dieser Regierung: Das gilt für Start-ups, aber auch für alle kleinen und mittleren Unternehmen (KMU).

Herr Jean-Luc Ruelle. – Wenn ein Start-up oder ein KMU einen öffentlichen Auftrag erhält, ist das oft ein großer Erfolg. Verfolgen oder bewerten Sie die Ergebnisse nach 12 oder 24 Monaten, um zu sehen, ob sich das Unternehmen weiterentwickelt?

Frau Clara Chappaz, Ministerin. – Das ist Teil der laufenden Arbeiten mit der DAE. Wir wollen die Dinge objektivieren und sehen, wie öffentliche Aufträge zur Entwicklung von Start-ups und KMU beitragen.

Herr Michel Canévet. – Öffentliche Aufträge sind ein wesentliches Element für die Entwicklung der Wirtschaftsakteure auf nationaler Ebene. Die Schwelle für öffentliche Aufträge wird von 100.000 auf 143.000 Euro angehoben. Haben Sie weitere konkrete Maßnahmen in Vorbereitung, um den französischen Akteuren Impulse in Richtung Digitalisierung, künstliche Intelligenz und Cybersicherheit zu geben?

Haben Sie versucht, die europäischen Akteure dabei zu unterstützen, die neuen Vorschriften zu erfüllen, denen viele Akteure gemäß den Richtlinien vom 14. Dezember 2022, 2022/2557 über die Widerstandsfähigkeit kritischer Einrichtungen (REC), 2022/2554 über die digitale operative Widerstandsfähigkeit des Finanzsektors (Dora) und 2022/2555 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union (NIS2) erfüllen müssen?

Frau Clara Chappaz, stellvertretende Ministerin. – Die Anhebung der Schwelle auf 143.000 Euro und der Anteil von 15 % der Aufträge für innovative Akteure sind sehr konkrete Maßnahmen, die die Regierung im Gesetzentwurf zur Vereinfachung des Wirtschaftslebens unterstützt und deren Fortführung sie hofft – dies wird für den Zugang von KMU und Start-ups zu öffentlichen Aufträgen sehr nützlich sein, diese Maßnahmen können einen echten Unterschied machen. Es gibt auch einen regulatorischen Aspekt, beispielsweise in Bezug auf Zahlungsfristen. Das Wirtschaftsministerium prüft derzeit, was getan werden kann, um KMU das Leben zu erleichtern.

Wir haben die Akteure zu Fragen der Cybersicherheit mobilisiert. Die von Ihnen erwähnten europäischen Richtlinien werden sowohl den öffentlichen als auch den privaten Markt öffnen. Tatsächlich sind die meisten der 15.000 von NIS 2 betroffenen Unternehmen privat.

Die europäischen Vorschriften haben sich weiterentwickelt, und wir setzen uns mit aller Kraft dafür ein, dass diese Änderungen den französischen Unternehmen zugutekommen. Wir mobilisieren das gesamte Ökosystem, um diese Chancen zu nutzen und von der Umsetzung dieser Richtlinien zu profitieren. In Wirklichkeit gibt es oft kulturelle Barrieren in beide Richtungen: Käufer wenden sich nicht immer ohne Weiteres innovativen Lösungen zu, aber innovative Unternehmen sind nicht immer in der Lage, die mit Gesetzesänderungen verbundenen Geschäftsmöglichkeiten zu nutzen – daher sind Kontakte so wichtig, die bei den von uns organisierten Veranstaltungen natürlich nicht zu kurz kommen. Wir haben auch eine Überprüfung der Ugap beantragt, um sicherzustellen, dass alle Akteure und innovativen Start-ups, die über relevante Lösungen im Bereich Cybersicherheit verfügen, ordnungsgemäß referenziert sind.

Herr Simon Uzenat, Präsident. – Im Laufe unserer Arbeit haben wir festgestellt, dass die Reden sehr entschlossen waren, aber den Taten keine Taten folgten. Vielleicht ist es an der Zeit, den Begriff „sensible Daten” durch einen wirksameren und einfacheren Ansatz zu ersetzen, der besagt, dass öffentliche Daten per definitionem sensibel sind. Man kann sich eine Abstufung vorstellen, aber die Daten, dieses Öl des 21. Jahrhunderts, müssen geschützt werden.

Wir haben den Eindruck, dass versucht wird, den Umfang der sogenannten sensiblen Daten schrittweise zu reduzieren, indem angeblich nicht sensible Daten weiterhin außerhalb Frankreichs gespeichert werden, ohne dass sichergestellt ist, dass sie vor extraterritorialen Gesetzen geschützt sind – obwohl diese Daten bei genauerer Betrachtung in Wirklichkeit sensibel sind. Dies ist beispielsweise bei der Gesundheitsdatenplattform (PDS) der Fall, die ursprünglich in Amsterdam gehostet wurde. Man will uns beruhigen, indem man uns sagt, dass diese Gesetze kein Risiko darstellen, aber die Verantwortlichen von Microsoft haben uns heute Morgen versichert, dass dies nicht der Fall ist. Wir stellen fest, dass Minister gezwungen waren, ihre Verwaltungen schriftlich daran zu erinnern, dass sie die „Cloud at the Centre”-Doktrin und die digitale Souveränität respektieren müssen, was surreal erscheint. Die Verordnungen zum „Sren”-Gesetz wurden immer noch nicht veröffentlicht. Was für eine Zeitverschwendung! Die Regierung sagt seit 2020, dass die notwendigen Maßnahmen für die Migration der PDS-Daten so schnell wie möglich getroffen werden, aber wenn man genau hinschaut, sieht man, dass dies seit mehr als sieben Jahren andauert und dass die notwendigen Maßnahmen immer noch nicht ergriffen wurden.

Wir haben Kenntnis von einem Vermerk vom 24. Oktober 2023 erhalten, der auf Initiative der PDS an den Ausschuss für künstliche Intelligenz gerichtet ist. Ich lese Ihnen einen Auszug aus den Empfehlungen vor: „Von der Regierung eine konstruktive, klare und langfristige Position zu den Souveränitätsanforderungen fordern. Dabei geht es einerseits darum, realistisch und pragmatisch die Genehmigung der Nutzung ausländischer Lösungen sicherzustellen, um unsere Innovationsfähigkeit nicht zu gefährden. Andererseits ist es notwendig, entweder tatsächlich finanzielle Mittel in Höhe des Kompetenzaufbaus der Akteure im Bereich der souveränen Cloud bereitzustellen oder anzuerkennen, dass Souveränität nicht entlang der gesamten Wertschöpfungskette erreicht werden kann, und die Konsequenzen daraus zu ziehen.“ Diese Position ist klar, aber diese Absätze geben uns zu denken. Es ist doch gerade wegen mangelnden politischen Willens und unzureichender Mittel, dass die gesetzten Ziele nicht erreicht werden. Am 19. Mai dieses Jahres haben Sie, Frau Ministerin, während der großen Debatte über digitale Souveränität erklärt, dass „digitale Souveränität bedeutet, eine Wahl zu haben. Diese Wahl muss natürlich wirtschaftlich rational sein“. Dem ersten Teil dieser Aussage stimme ich zu, bedauere jedoch, dass die öffentliche Auftragsvergabe seit 2019 diesem Anspruch nicht gerecht geworden ist. Ich frage Sie daher mit Blick in Ihre Augen: Was ist das Ziel der Regierung – wo liegt Ihr Kurs? Wie haben Sie auf diesen Vermerk vom 24. Oktober 2023 reagiert, und wie haben Ihre Vorgänger reagiert? Wir fordern, dass die Taten mit den Worten übereinstimmen – das erwarten die Wirtschaftsakteure, die nicht verstehen, warum die öffentliche Hand auf der Stelle tritt.

Frau Clara Chappaz, stellvertretende Ministerin. – Der politische Wille ist stark, und das zeigt auch das Schreiben, das wir an die Behörden geschickt haben – es zeigt unseren politischen Willen, dass das Gesetz und das Rundschreiben der Premierministerin vollständig eingehalten werden.

Herr Simon Uzenat, Präsident. – Man kann darin auch ein Zeichen dafür sehen, dass die Verwaltung die doch klaren Bestimmungen nicht umgesetzt hat – was die Frage nach der Steuerung der öffentlichen Maßnahmen in diesem Bereich aufwirft…

Frau Clara Chappaz, stellvertretende Ministerin. – Der politische Wille ist ungebrochen, und ich stehe dazu, auch wenn er sich vielleicht von dem meiner Vorgänger unterscheidet. Der Kontext hat sich geändert, und diese Entwicklung ist eine Chance, die digitale Souveränität zu bekräftigen und zu stärken. Die Folgen und Risiken sind nun sehr real und besser sichtbar. Ich habe die Verwaltung zu sensiblen öffentlichen Daten befragt. Mit SecNumCloud sind wir bis an die Grenzen der Regeln der Welthandelsorganisation (WTO) gegangen – ich habe genau geprüft, ob wir noch weiter gehen können.

Mein erster Kampf besteht darin, sicherzustellen, dass wir uns an das halten, was wir geschrieben haben. Dann müssen wir uns bestimmte Dossiers ansehen, was wir für die HDH-Plattform tun, indem wir einen Aufruf zur Einreichung von Projekten für eine Zwischenlösung starten. Die Verordnungen zum „Sren”-Gesetz haben Priorität, eine Sitzung ist für diese Woche geplant, um die Dinge zu beschleunigen.

Herr Simon Uzenat, Präsident. – In welchem Zeitrahmen werden sie verabschiedet?

Frau Clara Chappaz, stellvertretende Ministerin. – So schnell wie möglich, sobald wir alle notwendigen Sitzungen abgehalten haben. Wir werden uns mit genaueren Informationen und weiteren Antworten bei Ihnen melden.

Die Ausschreibung für Cloud-Projekte war im aktuellen Haushaltskontext etwas kompliziert zu starten, aber wir haben sie durchgeführt, weil sie eine Priorität ist. Wir halten an einem Budget für den Kompetenzaufbau im Bereich Cloud-Angebote fest – die Anträge werden derzeit eingereicht.

Das geopolitische Umfeld hilft uns, unserer Stimme Gehör zu verschaffen, die sich für Souveränität einsetzt und auf europäischer Ebene lange Zeit allein stand. Frankreich unterstützt die EUCS seit ihren Anfängen aktiv, und endlich haben sich andere Länder angeschlossen, insbesondere Deutschland, das seine Position geändert hat. Die digitale Souveränität stand im Mittelpunkt aller Diskussionen des letzten Europäischen Rates, endlich erkennt jeder ihre strategische Dimension, ebenso wie die Verteidigung – und Frankreich ist in dieser Frage sehr entschlossen. Wir kommen gemeinsam mit Deutschland voran, das in der Frage der Datensicherheit eine andere Haltung eingenommen hat als bisher. Wir kommen auch im Weimarer Format mit Polen und auf Ebene des gesamten Rates voran.

Nach den Gesprächen, die ich mit meinen Vorgängern geführt habe, glaube ich, dass diese europäische Position neu ist. Das gibt mir Hoffnung, jedenfalls die Überzeugung, dass wir in diesen Fragen nicht nachgeben werden und dass sich heute eine Chance bietet, die wir nutzen müssen.

Die Sitzung wird um 20:05 Uhr geschlossen.

Diese Anhörung wurde auf Video aufgezeichnet und ist online auf der Website des Senats verfügbar.

Mittwoch, 11. Juni 2025

Die Sitzung wird um 16:30 Uhr eröffnet.

Anhörung von Éric Lombard, Minister für Wirtschaft, Finanzen und industrielle und digitale Souveränität

Herr Simon Uzenat, Präsident. – Seit März haben wir im Rahmen unserer Arbeiten, die nach einem besonders straffen Zeitplan abliefen, alle Akteure aus dem Bereich des öffentlichen Auftragswesens in ihrer ganzen Vielfalt empfangen: lokale Mandatsträger und ihre Vertreter, staatliche Stellen, Experten, Juristen, Ökonomen, öffentliche Auftraggeber, Wirtschaftsakteure und Vertreter des Krankenhaussektors.

Wir sind nun noch stärker davon überzeugt, dass das öffentliche Beschaffungswesen aufgrund seines wirtschaftlichen Gewichts, das Schätzungen zufolge zwischen 170 und 300 Milliarden Euro pro Jahr liegt, ein mächtiger Hebel für die Transformation der französischen Wirtschaft und somit ein eigenständiger Bereich der öffentlichen Politik ist. Soziale Begleitung, ökologischer Wandel oder digitale industrielle Souveränität sind Ziele, zu deren Erreichung die Beschaffungspolitik einer öffentlichen Einrichtung heute beitragen muss. Über diese Ziele besteht Konsens.

Ein Ministerium ist die Kontrollinstanz des Staates in diesem Bereich, auch wenn diese Politik naturgemäß einen stark interministeriellen Charakter hat: das Ministerium für Wirtschaft und Finanzen. Die Direktion für Rechtsangelegenheiten (DAJ) ist für die Einhaltung der Vorschriften in diesem Bereich zuständig, während die Direktion für staatliche Beschaffungen (DAE) die Beschaffungspolitik des Staates steuert und Impulse für die staatlichen Akteure gibt. Wir haben Vertreter dieser beiden Direktionen empfangen.

Es ist daher nur logisch, dass wir den zuständigen Minister, Éric Lombard, Minister für Wirtschaft, Finanzen und industrielle und digitale Souveränität, zum Abschluss unserer Arbeiten empfangen, um mit ihm über dieses Thema zu diskutieren.

Ich teile Ihnen mit, dass diese Anhörung live auf der Website des Senats übertragen und in einem Bericht veröffentlicht wird. Ich erinnere auch daran, dass eine Falschaussage vor unserem Untersuchungsausschuss mit den in den Artikeln 434-13, 434-14 und 434-15 des Strafgesetzbuches vorgesehenen Strafen geahndet wird, d. h. mit einer Geldstrafe von 75.000 € und einer Freiheitsstrafe von bis zu fünf Jahren, je nach den Umständen sogar bis zu sieben Jahren. Ich fordere Sie auf, zu schwören, die ganze Wahrheit und nichts als die Wahrheit zu sagen. Bitte heben Sie Ihre rechte Hand und sagen Sie „Ich schwöre “.

Gemäß dem für Untersuchungsausschüsse geltenden Verfahren leistet Herr Éric Lombard den Eid.

Herr Minister, das öffentliche Auftragswesen steht vor tiefgreifenden Umwälzungen: Sein auf europäischer Ebene festgelegter Rechtsrahmen wird in den kommenden Monaten überarbeitet. Bei dieser Gelegenheit prallen in Brüssel verschiedene Visionen aufeinander, wobei einige Mitgliedstaaten das öffentliche Auftragswesen auf einen rein wirtschaftlichen Akt reduzieren. Was werden die Prioritäten Frankreichs in diesem Zusammenhang sein, da die Europäische Kommission bis Ende 2026 einen Legislativvorschlag vorlegen muss? Beabsichtigen Sie, eine Form der europäischen Präferenz sowie einen Mechanismus zur Unterstützung von KMU, eine Art Small Business Act, zu fördern?

Zu den zahlreichen tatsächlichen oder empfundenen Hindernissen und Rigiditäten, die bei den Wirtschaftsakteuren nach wie vor bestehen, wenn sie zum öffentlichen Beschaffungswesen befragt werden, gehören die Schwellenwerte. Im Rahmen der Prüfung des Gesetzentwurfs zur Vereinfachung des Wirtschaftslebens wurden in der Nationalversammlung Maßnahmen zu ihrer Anhebung verabschiedet. Wie steht die Regierung zu diesem Thema?

Bei der verantwortungsvollen Vergabe öffentlicher Aufträge muss der Staat mit gutem Beispiel vorangehen. Davon sind wir fest überzeugt. Dies sollte auch gelten, um die im Gesetz „Klimaschutz und Resilienz” festgelegten Ziele in Bezug auf soziale und ökologische Aspekte im öffentlichen Beschaffungswesen zu erreichen. Allerdings hinkt der Staat in einem wichtigen Bereich hinterher: der Verabschiedung eines Plans zur Förderung sozial und ökologisch verantwortungsbewusster Beschaffung (Spaser), der für alle Beschaffer mit einem Jahresumsatz von 50 Millionen Euro ohne Steuern obligatorisch ist. Wie ist der Stand dieses Prozesses, dessen Abschluss seit über einem Jahr angekündigt ist? Wir haben die Bestätigung erhalten, dass es bald soweit sein wird, aber wie sieht es tatsächlich aus? Es gibt weitere Verzögerungen, sei es bei der Einhaltung des Egalim-Gesetzes oder bei der digitalen Souveränität. In Bezug auf den letzten Punkt haben wir gestern bei der Anhörung Ihrer Kollegin Clara Chappaz eine Diskrepanz zwischen Worten und Taten festgestellt.

Schließlich ist die datengesteuerte Steuerung eine wichtige Herausforderung für die Verbesserung der Leistungsfähigkeit des Beschaffungswesens und der Transparenz gegenüber den Wirtschaftsakteuren und unseren Mitbürgern. Derzeit sind die Daten des Observatoire économique de la commande publique (OECP, Beobachtungsstelle für das öffentliche Beschaffungswesen) lückenhaft und vermitteln kein klares Bild vom wirtschaftlichen Gewicht des öffentlichen Beschaffungswesens in Frankreich. Dies wurde durch die Zahlen zu den Investitionen in die Digitalisierung deutlich, die je nach Ankündigung stark schwanken, von 145 Millionen bis 4,8 Milliarden Euro, was zeigt, dass noch viel zu tun bleibt, um eine klare Vision zu erreichen. Beabsichtigen Sie, die Offenlegung staatlicher Daten in diesem Bereich zu verbessern, nach dem Vorbild der Initiativen von Gebietskörperschaften wie der Region Bretagne, die als erste eine Beobachtungsstelle für Daten zum öffentlichen Beschaffungswesen eingerichtet hat? Es ist eine Frage der Transparenz und Effizienz, um den Zugang zum öffentlichen Beschaffungswesen zu erleichtern.

Herr Éric Lombard, Minister für Wirtschaft, Finanzen und industrielle und digitale Souveränität. – Ich freue mich, an Ihren Arbeiten teilzunehmen, die Licht in ein komplexes und strategisches Thema bringen werden.

Einige Zahlen: Das öffentliche Beschaffungswesen hat ein Volumen von 170 Milliarden Euro, was die Bedeutung des Themas und seine wirtschaftlichen Auswirkungen auf die Leistungsfähigkeit des öffentlichen Handelns und auf unser Wirtschaftsgefüge verdeutlicht. Der Staat macht nur einen Teil davon aus: Im Jahr 2024 werden es 25 Milliarden Euro ohne Verteidigung und 50 Milliarden Euro mit öffentlichen Einrichtungen sein, da das öffentliche Beschaffungswesen auch die lokalen Gebietskörperschaften mit 73 Milliarden Euro und öffentliche Unternehmen und Netzbetreiber mit 46 Milliarden Euro umfasst.

Der Staat ist also ein wichtiger Abnehmer und hat auch eine regulierende Funktion. Er ist bestrebt, effizient und zu den besten Konditionen einzukaufen, aber auch durch seine Beschaffungen zu verschiedenen wirtschaftspolitischen Zielen beizutragen oder durch verantwortungsbewusste Beschaffung, die zweifellos verstärkt werden muss, einen Beitrag zum ökologischen Wandel zu leisten.

Das Recht, das das öffentliche Beschaffungswesen regelt, basiert auf drei Grundprinzipien, die uns sowohl auf nationaler als auch auf europäischer Ebene verpflichten. Erstens die Rechtfertigung des Bedarfs: Jede öffentliche Ausgabe muss einem klar identifizierten Bedarf entsprechen, um überflüssige Anschaffungen zu vermeiden und eine optimale Nutzung der öffentlichen Mittel zu gewährleisten. Zweitens ist der Wettbewerb von zentraler Bedeutung, da er durch den Vergleich der besten Angebote wirtschaftliche Effizienz und Transparenz gewährleistet. Die öffentlichen Auftraggeber stellen sicher, dass sie die beste Qualität zum besten Preis erhalten. Und schließlich die Öffnung der Märkte: Öffentliche Aufträge stehen allen Wirtschaftsteilnehmern offen, unabhängig davon, ob sie aus dem Inland, aus anderen EU-Ländern oder aus Nicht-EU-Ländern stammen.

Diese drei Grundsätze tragen zur ordnungsgemäßen Verwendung öffentlicher Gelder bei. Die notwendige Kostenkontrolle schützt die Steuerzahler. Der Finanzminister, der auch für die öffentlichen Finanzen zuständig ist, kann sich diesem Grundsatz nur anschließen, insbesondere in einer Zeit, in der wir noch mehr als sonst auf die öffentlichen Ausgaben achten.

Die jüngsten Entwicklungen unseres Vergaberechts haben zu Recht die Herausforderungen des ökologischen Wandels berücksichtigt, insbesondere die Verpflichtung, Umweltaspekte bis 2026 allgemein zu berücksichtigen. Wir sind fast am Ziel, was alle Aufträge für alle öffentlichen Akteure betrifft.

Diese Regelung verhindert nicht die Dominanz von in Frankreich ansässigen Lieferanten. Die Frage nach dem Kauf französischer Produkte ist legitim. Im Rahmen des Rechts der Europäischen Union ist es nicht möglich, bei der Vergabe öffentlicher Aufträge aufgrund der Nationalität der Unternehmen zu diskriminieren. Allerdings sind mehr als 97 % der Lieferanten des Staates Unternehmen mit Sitz in Frankreich, sowohl was die Anzahl der Aufträge als auch den Wert der Beschaffungen betrifft, und seit mindestens zehn Jahren sind wir nicht unter diesen Anteil gefallen. Der französische Bau- und Tiefbausektor profitiert in hohem Maße von öffentlichen Aufträgen, was beweist, dass unsere Unternehmen in ihrem Land wettbewerbsfähig sind und die europäischen Vorschriften einhalten. Bei Lieferungen ist die Realität zwangsläufig differenzierter, da diese Aufträge Teil internationaler Wertschöpfungsketten sind, die manchmal die Möglichkeit einschränken, französische Produkte zu wählen. Genau darin besteht die Herausforderung einer Politik, die entschlossen auf die Unterstützung der Branchen ausgerichtet ist, wie es die Politik meines Ministeriums ist, dessen Zuständigkeitsbereich die Industrie und kleine und mittlere Unternehmen (KMU) umfasst. Seit 2023 bemühen wir uns, die Wettbewerbsfähigkeit der in Frankreich und in der Europäischen Union hergestellten Waren und Dienstleistungen zu verbessern.

Es geht also darum, indirekte Hebel wie Umweltaspekte zu identifizieren. Im Jahr 2024 wurden staatliche Beschaffungsstrategien in fünf vorrangigen Sektoren für den Kauf von Photovoltaikmodulen, Wärmepumpen, Elektro- und Plug-in-Hybridfahrzeugen, generalüberholter IT-Ausrüstung und Ladestationen für Elektrofahrzeuge festgelegt.

Das nationale Vergaberecht kann und muss sich weiterentwickeln. Dies ist eines der Ziele des Gesetzentwurfs zur Vereinfachung des Wirtschaftslebens, der derzeit in der Nationalversammlung diskutiert wird. Die Regierung geht voran und hat ein offenes Ohr für das Parlament. So haben wir unter Berücksichtigung der Bedenken von Fachleuten und Kommunen darauf verzichtet, die Vereinheitlichung des Vergaberechts fortzusetzen. Dieser Text sieht auch eine Ausweitung der Plattform „Place“ auf alle öffentlichen Einrichtungen des Staates, öffentliche Gesundheitseinrichtungen und Sozialversicherungsträger vor, was den Zugang zu öffentlichen Aufträgen insbesondere für KMU erleichtern wird. Wir nehmen zur Kenntnis, dass die Nationalversammlung eine Ausweitung auf die lokalen Gebietskörperschaften nicht gewünscht hat: Es wird nun Aufgabe des paritätischen Ausschusses (CMP) sein, in dieser Frage das richtige Gleichgewicht zu finden. Schließlich begrüßen wir die Beibehaltung der Schwelle für Verhandlungsaufträge von 100 000 Euro für Bauaufträge, die sowohl eine Vereinfachung der Verwaltungsverfahren als auch die Wahrung der Transparenz ermöglicht.

Demgegenüber stehen jedoch einige von der Nationalversammlung hinzugefügte Maßnahmen zur ausdrücklichen Begünstigung lokaler Unternehmen bei der Vergabe öffentlicher Aufträge, die gegen europäisches Recht verstoßen. Ihre Beibehaltung würde ein erhebliches rechtliches Risiko der Aufhebung der auf ihrer Grundlage durchgeführten Verfahren mit sich bringen. Ich appelliere an das Parlament, diese Maßnahmen in der CMP zu überdenken. Wir würden beispielsweise ein großes verfassungsrechtliches Risiko eingehen, wenn wir alle Ausschreibungs- und Vorabveröffentlichungsverfahren für 45 % der Liefer- und Dienstleistungsaufträge gegenüber derzeit 15 % abschaffen würden. Wir müssen ein Gleichgewicht wahren zwischen der notwendigen Vereinfachung und der Beibehaltung, wenn auch in flexibler Form, der Anforderungen an Transparenz und gleichen Zugang zu öffentlichen Aufträgen, die wesentliche Garantien für die ordnungsgemäße Verwendung öffentlicher Gelder sind.

Auf europäischer Ebene bietet die Überarbeitung der Richtlinien über das öffentliche Auftragswesen eine große Chance, für die Frankreich vier Prioritäten gesetzt hat. Erstens die Einführung einer europäischen Präferenz, um in Europa hergestellte Produkte gegenüber von Importeuren weiterverkauften Produkten zu begünstigen. Dies bezeichnen wir in den europäischen Sitzungen als „Buy European Act”. Zweitens müssen wir die Sicherheit und Widerstandsfähigkeit unserer Volkswirtschaften gewährleisten, was über die Versorgungssicherheit läuft – die besondere Bedeutung dieses Themas ist seit einigen Monaten deutlich zu erkennen. Drittens wollen wir nachhaltige öffentliche Aufträge fördern, indem wir verbindliche Nachhaltigkeitsaspekte berücksichtigen, was eine zwingende Voraussetzung für die Energiewende und den ökologischen Wandel ist. Viertens wollen wir, wo immer möglich, den Rahmen für das öffentliche Beschaffungswesen vereinfachen, um das Wirtschaftsleben zu unterstützen.

Was die Präferenz für europäische Produkte angeht, so muss an der schwierigen Definition des europäischen Ursprungs der betreffenden Produkte und Dienstleistungen gearbeitet werden, was schwierige Fragen aufwirft, aber es ist möglich, hier voranzukommen. Diese Entwicklungen müssen auch mit den internationalen Verpflichtungen in Einklang gebracht werden, die uns an Staaten binden, denen wir unsere jeweiligen öffentlichen Beschaffungsmärkte geöffnet haben – ich denke dabei an die Vereinigten Staaten, Kanada, Japan, Korea und Singapur, auch wenn dies ohne Naivität geschehen muss, denn mir ist bewusst, dass nicht alle diese Länder ihre Verpflichtungen einhalten.

Abschließend möchte ich auf die Frage des öffentlichen Beschaffungswesens und der Souveränitätsanforderungen eingehen, die Sie gestern mit Clara Chappaz besprochen haben, die mir von ihrer Anhörung vor Ihnen berichtet hat. Wettbewerbsfähigkeit und Qualität der Angebote müssen wesentliche Kriterien bleiben, und wir können nicht Investitionen von Unternehmen in Frankreich anziehen wollen und sie gleichzeitig stigmatisieren – insbesondere muss vermieden werden, einzelne Unternehmen zu verteufeln. Allerdings müssen wir bei der Speicherung von Daten, insbesondere sensiblen Daten, wachsam sein. Aus diesem Grund hat die Regierung eine sogenannte „Cloud im Zentrum”-Doktrin eingeführt. Für die Speicherung ihrer sensiblen Daten müssen die Ministerien interministerielle Cloud-Lösungen wie die des Ministeriums für Wirtschaft und Finanzen oder kommerzielle Angebote nutzen, jedoch nur solche, die als SecNumCloud zertifiziert sind, eine Qualifikation, die die Nationale Agentur für die Sicherheit der Informationssysteme (Anssi) erst nach einer gründlichen Analyse vergibt. Ich danke übrigens den Mitarbeitern dieser Behörde, die hervorragende Arbeit leisten.

Diese Regeln wurden den Mitgliedern der Regierung kürzlich von Laurent Marcangeli und Amélie de Montchalin sowie Clara Chappaz in Erinnerung gerufen, da sie in der aktuellen Situation von großer Bedeutung sind. Wir können jedoch noch weiter gehen. Zusammen mit Amélie de Montchalin haben wir die Erstellung einer Kartografie der Souveränitätsrisiken für alle staatlichen Beschaffungen gefordert. Auf der Grundlage dieser Arbeiten können wir dann Maßnahmen zur Minderung dieser Risiken erarbeiten. Zusammen mit Marc Ferracci haben wir am vergangenen Freitag die Direktoren der Zentralverwaltung des Finanzministeriums zu einer Sitzung eingeladen und mit ihnen über dieses Thema gesprochen. Das öffentliche Beschaffungswesen ist zweifellos ein wichtiger Hebel für unsere Wirtschaft. Es muss darauf abzielen, die öffentlichen Gelder zu schützen und die Wettbewerbsfähigkeit unserer Unternehmen zu unterstützen. In diesem Sinne freue ich mich, diesen Dialog fortzusetzen und Ihre Fragen zu beantworten.

Herr Dany Wattebled, Berichterstatter. – Vielen Dank für Ihre Ausführungen zur Herstellung von Produkten in Europa, das ist entscheidend. Da Ihr Ministerium für die digitale Souveränität zuständig ist, wie reagieren Sie darauf, dass das Bildungsministerium, die Plattform „Health Data Hub” (HDH) oder die École polytechnique Microsoft für das Hosting ihrer Daten nutzen, obwohl dieses Unternehmen auch in Europa der extraterritorialen Gesetzgebung der USA unterliegt? Planen Sie die Rückführung der Daten in souveräne, vorzugsweise französische Clouds? Wie sieht Ihre Strategie für die Rückführung dieser Daten aus, da die Verträge mit Microsoft alle zwei Jahre verlängert werden können?

Herr Éric Lombard, Minister. – Was die Daten angeht, scheint mir der erste Schritt darin zu bestehen, zu bestimmen, welche Daten so sensibel sind, dass sie nur in einer souveränen Cloud gespeichert werden dürfen, und welche Daten zwar keinen nachweislich strategischen Charakter haben, deren Nutzung jedoch nicht anderen Ländern überlassen werden darf. Diese Arbeit muss sehr genau durchgeführt werden, da sie von entscheidender Bedeutung ist. Außerdem muss die Kapazität der souveränen Betreiber für die Speicherung von Daten, die unter die Souveränität fallen, geprüft werden. Zu berücksichtigen ist auch der Vorsprung, den bestimmte nicht-französische Betreiber bei den Verwaltungstechniken in den verschiedenen Bereichen der Cloud haben, sei es bei der Speicherung oder bei der Entwicklung von Anwendungen.

Nachdem diese Arbeit erledigt ist, erscheint es mir unerlässlich, dass alles, was unter die Souveränität fällt, in einer souveränen Cloud gehostet wird und dass alles, was nicht darunter fällt, tatsächlich zurückgeführt wird. Ein Unternehmen wie Microsoft plant jedoch, in Europa geschützte Einheiten zu errichten, die die SecNumCloud-Qualifikation erhalten würden. Wenn dies der Fall ist, vertraue ich den von uns geschaffenen Institutionen und halte dies für eine Option, auch wenn ich der Meinung bin, dass die von bestimmten Akteuren entwickelte souveräne Cloud aufgrund ihrer Konzeption zweifellos noch besser geschützt ist.

Herr Dany Wattebled, Berichterstatter. – Natürlich gibt es eine Hierarchie der Sensibilität von Daten, je nachdem, ob sie mehr oder weniger strategisch sind, aber im Zeitalter der künstlichen Intelligenz, die sich aus Daten speist, werden in Wirklichkeit alle Daten strategisch, auch wenn sie auf individueller Ebene nicht so erscheinen. Sehen Sie sich an, was mit Gesundheitsdaten geschieht: Auf individueller Ebene erscheinen sie harmlos, aber wenn man sie auf die kollektive Ebene überträgt, ist eine Gesundheitsdatenbank strategisch, insbesondere in wirtschaftlicher Hinsicht. Außerdem haben uns Sicherheitsexperten gesagt, dass Unternehmen wie Microsoft trotz ihrer Erklärungen in Wirklichkeit keine Garantien bieten. Ich habe den Direktor für öffentliche und rechtliche Angelegenheiten von Microsoft France gefragt, ob er unter Eid erklären könne, dass strategische Daten nicht ohne Benachrichtigung einer französischen Behörde aus Frankreich herausgegeben würden. Er antwortete mir, dass er dies nicht garantieren könne. Das war seine Antwort, sie ist öffentlich.

Herr Éric Lombard, Minister. – Ich teile Ihre Meinung: Die Gesundheitsdaten eines Landes sind etwas, das man nicht an ein anderes Land weitergeben sollte, selbst wenn es ein Freund und Verbündeter ist. Und wir wissen, dass beispielsweise die US-Gesetze es der US-Regierung erlauben, US-Unternehmen zur Herausgabe aller Daten zu verpflichten. Allerdings bieten Tochtergesellschaften, die mit anderen europäischen Partnern in Frankreich gegründet wurden, sofern sie als SecNumCloud qualifiziert sind, aufgrund ihrer rechtlichen und technischen Struktur die Gewähr für diese Norm.

Herr Dany Wattebled, Berichterstatter. – Das Unternehmen Alan wird die Gesundheitsdaten von 300.000 Beamten und Anspruchsberechtigten verwalten. Diese werden von AWS gehostet, einem Unternehmen nach US-amerikanischem Recht, das somit diesen extraterritorialen Gesetzen unterliegt. Warum wurde in der Ausschreibung für diesen jüngsten Vertrag nicht die von der Anssi empfohlene SecNumCloud-Zertifizierung verlangt? Welche vertragliche Garantie hat das Unternehmen Alan gegen ausländische Anordnungen gegeben?

Herr Éric Lombard, Minister. – Da ich die Einzelheiten dieses Vertrags, insbesondere die Bestimmungen zum Hosting, nicht vorliegen habe, werde ich versuchen, Ihnen bis zum Ende der Anhörung oder später zu antworten.

Herr Dany Wattebled, Berichterstatter. – Nach Angaben der Gewerkschaften soll der Vertrag von Alan mit dem Ministerium für ökologischen Wandel jährlich 6,6 Millionen Euro mehr kosten als das konkurrierende Angebot der MGEN-Gruppe, ebenso wie der Gesundheitsteil der Versicherung für die rund 130.000 Beamten des Finanzministeriums. Warum sollte man ein Start-up bevorzugen, das Geld verliert – Alan hat im letzten Jahr 54 Millionen Euro verloren –, gegenüber einem stabilen Konzern wie MGEN, der von Matmut unterstützt wird? Welche Garantien wurden verlangt und erhalten?

Warum greift man nicht lieber auf Open-Source-Lösungen und Betreiber zurück, die uns Souveränität garantieren? Wir tun zu leicht so, als gäbe es außer amerikanischen Anbietern keine anderen, obwohl wir in Frankreich kompetente Leute mit Open-Source-Lösungen haben, die alle Garantien bieten. Wir haben diese Unternehmer getroffen, sie beherrschen das Hosting von Daten, sie haben uns gesagt, dass sie keine Hilfe, keine Subventionen wollen, sondern Verträge! Warum unterstützt sie die öffentliche Hand nicht? Das ist doch genau das, was den amerikanischen Start-ups gelungen ist, die dank öffentlicher Aufträge gewachsen sind. Wir haben den digitalen Wandel verschlafen, werden wir auch den Wandel zur künstlichen Intelligenz verschlafen? Können wir unseren Rückstand nicht aufholen, indem wir uns auf öffentliche Aufträge stützen, und sogar viele unserer Konkurrenten überholen?

Herr Éric Lombard, Minister. – Der Minister und sein Kabinett hatten offensichtlich keinen Einfluss auf die Prüfung der von Ihnen erwähnten Ausschreibung, die von den zuständigen Teams des Finanzministeriums unter Einhaltung der von uns diskutierten Regeln für das öffentliche Beschaffungswesen durchgeführt wurde. Ich hatte keine Entscheidung über diesen Vertrag zu treffen, was völlig normal ist, da dies nicht meine Aufgabe ist.

Alan ist ein französisches Start-up-Unternehmen, und wie viele Start-ups kann es dank seiner raschen Entwicklung Marktanteile gewinnen. Wie viele Start-ups gewinnt Alan Aufträge, obwohl es defizitär ist, da es sich aus Eigenmitteln finanziert, die von Investoren bereitgestellt werden, die ihm vertrauen – und zwar so lange, bis es aufgrund seiner Größe ein wirtschaftliches Gleichgewicht erreicht hat. Nach diesem Modell hat beispielsweise Amazon mehr als 10 Jahre auf sein erstes positives Ergebnis gewartet, und wir wissen, wie es ausgegangen ist. Diese defizitäre Situation scheint mir nicht ausschlaggebend zu sein, und ich bin sicher, dass die finanzielle Solidität des Unternehmens geprüft wurde.

Open Source wird von vielen Akteuren im öffentlichen Beschaffungswesen häufig verwendet und steht nicht im Widerspruch zur Datensicherheit – aber ich werde auf das Thema dieses konkreten Vertrags zurückkommen, sobald ich die entsprechenden Informationen erhalten habe.

Herr Michel Canévet. – Sie haben gerade einen Schwellenwert von 100.000 Euro für öffentliche Aufträge genannt. Ich hatte verstanden, dass dieser auf 143.000 Euro angehoben werden soll. Können Sie das bestätigen?

Sie sagen, es sei schwierig, den französischen Anteil an öffentlichen Aufträgen zu ermitteln und genau zu bewerten, was auf unserem Staatsgebiet produziert wird. Wäre ein Label „Made in France” nicht besser geeignet, um die nationale Herkunft der Produkte zu kennzeichnen? Viele Verbraucher wünschen sich ein solches Instrument, um die Herkunft ihrer Einkäufe zu erkennen.

Dritte Frage: Gelten die Vorgaben für die Ministerien zur digitalen Souveränität im öffentlichen Beschaffungswesen auch für staatliche Betreiber?

Vierte Frage: Welche Maßnahmen planen Sie im Bereich der künstlichen Intelligenz, um sowohl französische und europäische Lösungen zu unterstützen, da das öffentliche Beschaffungswesen eine extrem wichtige Sogwirkung hat, als auch um unsere digitale Souveränität zu wahren?

Und schließlich: Was sind Ihre Prioritäten im Bereich der Vereinfachung? Viele Wirtschaftsakteure sind abgeschreckt durch den Umfang der im Rahmen öffentlicher Aufträge vorzulegenden Unterlagen und durch die teilweise sehr umfangreichen Lastenhefte, die sie einhalten müssen, was viele Unternehmen abschreckt: Was halten Sie davon?

Herr Éric Lombard, Minister. – Bevor ich Ihre Fragen beantworte, möchte ich Ihnen folgende von meinem Team überprüfte Information mitteilen: Der Präsident von Microsoft hat erklärt, dass sein Unternehmen kein Angebot hat, das die SecNumCloud-Qualifikation erfüllt; daher kann dieses Unternehmen nicht für das Hosting souveräner Daten ausgewählt werden.

Herr Dany Wattebled, Berichterstatter. – Dennoch wurden Microsoft die Daten der HDH-Plattform, der Hochschulbildung, darunter auch der École polytechnique, anvertraut. Das wirft Fragen auf. Hier muss sicherlich eine Kehrtwende vollzogen werden.

Herr Éric Lombard, Minister. – Genau aus diesem Grund beschäftigen wir uns intensiv mit dieser Frage. Noch einmal: Wir müssen sehr genau prüfen, um welche Daten es sich handelt, und eindeutig festlegen, welche Daten auf keinen Fall in einer offenen Cloud gespeichert werden dürfen. Als ich Leiter der Caisse des dépôts war, wurde diese Entscheidung vom Exekutivkomitee getroffen, und die Beschlüsse wurden in meiner Anwesenheit gefasst. Sie haben Recht, eine Information für sich genommen mag harmlos erscheinen, aber in Verbindung mit anderen Daten kann sie sehr wichtig sein. Dies gilt für Gesundheitsdaten: Auf individueller Ebene geht es um den Schutz der Person, was wichtig ist, aber nicht in derselben Weise wie auf kollektiver Ebene, wo sie viel über den Gesundheitszustand der französischen Bevölkerung und den Zustand unseres Gesundheitssystems aussagen.

Herr Dany Wattebled, Berichterstatter. – Daten sind das Rohmaterial der KI, daher muss sorgfältig damit umgegangen werden..

Herr Éric Lombard, Minister. – Da sind wir uns einig.

Im Rahmen des Gesetzentwurfs zur Vereinfachung des Wirtschaftslebens wird vorgeschlagen, die Schwelle für öffentliche Aufträge auf 143 000 Euro anzuheben. Die Entscheidung liegt in den weisen Händen des Parlaments.

Wie kann man die Herkunft „Made in France” besser valorisieren? Die Realität ist, dass man das nicht kann. Der ehemalige Abgeordnete Yves Jégo hat zwar Überlegungen zum „Made in France” angestoßen, aber die europäischen Vorschriften verbieten sogar jede Form von europäischer Präferenz. Das wollen wir ändern oder zumindest anpassen, weil es nicht im Interesse des europäischen Projekts ist. Das europäische Projekt ist jedoch das eines Binnenmarktes, in dem beispielsweise der französische Staat nicht-französische Fahrzeuge kauft und andere europäische Staaten französische Fahrzeuge kaufen. Und es gibt durchaus Kriterien, die die öffentlichen Gelder schonen und einer Produktion in der Nähe Vorteile verschaffen – beispielsweise ökologische Kriterien: Ein in der Nähe hergestelltes Produkt ist kostengünstiger zu transportieren und verursacht weniger CO2-Emissionen. Dieses Kriterium kann berücksichtigt werden, nicht jedoch die Staatsangehörigkeit als solche.

Staatliche Betreiber unterliegen natürlich den von der Regierung festgelegten Richtlinien für das öffentliche Beschaffungswesen. Die Anssi unterstützt sie bei Fragen, und die Dinum sorgt für die Verbreitung der Kultur und der Vorschriften für das digitale öffentliche Beschaffungswesen.

Ich stimme Ihnen auch in Bezug auf künstliche Intelligenz zu: Es ist sinnvoll, dass Betreiber, die ihren Mitarbeitern künstliche Intelligenz zur Verfügung stellen, deren Nutzung streng auf berufliche Zwecke beschränken und sie, wenn sie für strategische Informationen verwendet wird, in souveränen Clouds hosten. Aus diesem Grund legen wir über den offensichtlichen wirtschaftlichen Nutzen hinaus großen Wert auf die Förderung französischer Akteure im Bereich der künstlichen Intelligenz. So können wir uns schützen und die Rechenzentren in unserem Hoheitsgebiet behalten, über die wir die Kontrolle haben. Dies ist eine sehr wichtige Herausforderung, da die Wertschöpfung in Zukunft weitgehend auf der Analyse von Daten basieren wird, die Lösungen für viele Probleme liefern. Künstliche Intelligenz ist ein Hebel für den Fortschritt, wenn sie unter Achtung der Demokratie und ethischer Regeln eingesetzt wird.

Wir legen großen Wert auf Vereinfachung. Jeder, der als Käufer oder Bewerber Erfahrungen mit dem öffentlichen Beschaffungswesen hat, kennt die Schwerfälligkeit dieses Systems. Deshalb wollen wir mehrere Prioritäten in diesem Bereich auf EU-Ebene setzen. In Brüssel weht ein starker Wind der Vereinfachung, ich hoffe, dass er Früchte tragen wird. Wir wollen vereinfachen, um unsere Unternehmen zu schützen und im internationalen Wettbewerb effizienter zu sein. In diesem Bereich gibt es in der Tat viel zu tun: Laufzeit von Rahmenvereinbarungen, Schwellenwerte für Kleinstaufträge, Ausschlussgründe …

Herr Dany Wattebled, Berichterstatter. – Unsere Anhörungen haben uns davon überzeugt, dass es ein Problem der Verantwortung gibt: Jede Behörde scheint in ihrem eigenen Bereich zu arbeiten, es scheint konzentrische Sphären zu geben, aber keinen Piloten im Flugzeug – die Dinum, die Anssi, die Ministerien, jeder arbeitet für sich, aber letztendlich werden die Aufträge aus Gründen der Einfachheit über die Union des groupements d’achats publics (Ugap) vergeben. Wenn man die Verantwortlichen fragt, lehnen sie jede Verantwortung ab und verweisen uns an die Auftragnehmer oder sogar an die Einkäufer selbst. Diese Befehlskette erscheint mir ziemlich unklar, niemand übernimmt eindeutig Verantwortung, man verweist auf Notizen oder frühere Entscheidungen. Die Dinum gibt Empfehlungen ab, hat aber nicht die Macht, Dinge zu ändern, und letztendlich geht alles weiter wie bisher. In Deutschland wurde ein großes Ministerium für Digitales geschaffen, das alle digitalen Belange bündelt. Unsere Nachbarn werden uns überholen. Wir haben fast alle Ministerien angehört, die Praktiken variieren, die Linien sind unklar und niemand scheint für die Entscheidungen im Bereich Digitales verantwortlich zu sein. Diese Fehlentwicklung beunruhigt mich, ich frage mich, ob wir nicht wieder ins Hintertreffen geraten. Wir brauchen eine echte, umfassende Strategie für die Digitalisierung mit klaren Zuständigkeiten und Behörden, die ihre Rolle wahrnehmen und im Dienste dieser Strategie stehen. Das ist meine Meinung…

Herr Éric Lombard, Minister. – Der Verantwortliche sitzt vor Ihnen. Es gibt ein Ministerium für Digitales in Bercy, und ich arbeite eng mit seiner Leiterin Clara Chappaz zusammen, die Sie gehört haben und die für die Koordinierung der von uns besprochenen Themen zuständig ist. Wenn Entscheidungen getroffen werden müssen, werden sie auf der richtigen Ebene getroffen.

Diese Regierung ist erst seit sechs Monaten im Amt, aber sie hat unter der Leitung des Premierministers bereits eine Sitzung aller betroffenen Minister zum Thema künstliche Intelligenz organisiert, um zu prüfen, wie diese in die Organisation des Staates integriert werden kann, damit die Regeln, Kodizes und Aufgaben eingehalten werden, aber auch, um zu prüfen, was sie uns bringen kann.

All dies wird ordnungsgemäß gesteuert. Die Bedrohungen, die Gegenstand sehr klarer Hinweise von Clara Chappaz und mir an alle Beteiligten sind. Ich danke Ihrem Untersuchungsausschuss und Ihnen für Ihre Fragen, die es ermöglichen, diese Fragen einer breiteren Öffentlichkeit zugänglich zu machen.

Der Vergleich mit Deutschland ist immer aufschlussreich. Ich stelle fest, dass wir, als der Präsident der Republik im Élysée-Palast Investoren versammelt hat, die sich für künstliche Intelligenz interessieren, Investitionen in Höhe von 109 Milliarden Euro mobilisiert haben – und zwar deshalb, weil die europäischen Talente größtenteils bei uns zu finden sind.

Herr Dany Wattebled, Berichterstatter. – Wir müssen sie bei uns halten…

Herr Éric Lombard, Minister. – Wir tun alles dafür. Zusammen mit den großen französischen Digitalunternehmen bin ich in die Vereinigten Arabischen Emirate gereist, um begeisterte Investoren zu treffen, die zum Gipfel nach Paris gekommen waren, sozusagen als „Kundendienst“. Das Gleiche haben wir mit dem Präsidenten der Republik getan, als wir vor zwei Wochen nach Asien gereist sind. Wir sind sehr engagiert, ich arbeite an der Einrichtung von Rechenzentren auf unserem Territorium und sorge dafür, dass Grundstücke zur Verfügung gestellt und Stromanschlüsse gewährleistet sind. Sie haben Recht, wenn Sie diesen Punkt hervorheben, aber ich denke, dass wir in diesem Bereich eher führend sind oder zumindest auf dem Niveau der Amerikaner. Der Chef von Nvidia ist derzeit in Paris auf der Messe Vivatech, zusammen mit anderen Unternehmern, die wissen, dass sie in Frankreich Talente, Unternehmen und ein günstiges rechtliches Umfeld finden. Ich bin daher optimistischer als Sie, insbesondere was die wirtschaftliche Entwicklung und die Unternehmen angeht, aber auch hinsichtlich der Art und Weise, wie der Staat die Maßnahmen steuert und koordiniert. Wenn unsere Maßnahmen nicht energisch genug sind, müssen wir vielleicht die Vorkehrungen verschärfen – aber seien Sie versichert, dass wir diese Themen sehr aufmerksam verfolgen und Ihre Bedenken teilen.

Herr Michel Canévet. – Wie begleitet der Staat die Entwicklung einer Industrie- und einer Strategie für künstliche Intelligenz in unserem Land? Kann er durch öffentliche Aufträge einer Reihe von Akteuren helfen, sich in unserem Land zu entwickeln?

Herr Éric Lombard, Minister. – Auf internationaler Ebene nehmen wir die traditionelle Rolle des Staates wahr, nämlich die französische Exzellenz zu präsentieren, was wir in vielen Ihnen bekannten Bereichen tun – beispielsweise bei Airbus, Rafale und anderen großen französischen Industriezweigen, die weltweit zu den besten gehören.

Künstliche Intelligenz gehört tatsächlich zu den Projekten, die wir mit den Staaten diskutieren. Wir wissen sehr wohl, dass die Entwicklung eines neuen Sektors wie diesem Aufgabe der Staaten und der Unternehmen ist. Es gibt viele Länder, in denen eine große Nähe zwischen beiden besteht, beispielsweise in Südostasien.

In Frankreich befinden wir uns in einem anderen Wettbewerbsumfeld mit einer sehr starken Unterstützung durch die öffentliche Hand. Der Gipfel zur künstlichen Intelligenz wurde auf Initiative des Präsidenten der Republik vom Staat organisiert und fand im Élysée-Palast mit großen Investoren und Vertretern ausländischer Staaten statt. Wir haben auch ein Abkommen mit den Vereinigten Arabischen Emiraten unterzeichnet, in dem bestimmte Fonds unter der Aufsicht des emiratischen Staates bereitgestellt werden. Auch kanadische Investmentfonds haben sich beteiligt. Seit mehreren Jahren fördern wir die Entstehung des Sektors der künstlichen Intelligenz mit einem Ökosystem aus Start-ups und Innovationen, die eng mit unseren Universitäten und Schulen verbunden sind, und mit der ständigen Unterstützung von Bpifrance. Sie haben Alan erwähnt, ein französisches Spitzenunternehmen, von dem ich mir eine internationale Entwicklung wünsche, da unsere Unternehmen auch im Finanzdienstleistungsbereich sehr leistungsfähig sind. Darüber wird derzeit in der Debatte über den digitalen Euro gesprochen. Es handelt sich um technische Instrumente, die die Entwicklung privater Unternehmen ermöglichen werden.

Zusammenfassend lässt sich sagen, dass wir auf internationaler Ebene die französische Exzellenz fördern, was Aufgabe des Staates ist, und dass wir in unserem Land ein wettbewerbsfähiges Ökosystem aufrechterhalten, das den Unternehmen ermöglicht, sich zu entwickeln.

Herr Simon Uzenat, Präsident. – Tatsächlich sind die Vereinigten Staaten international sehr offensiv, aber auch auf ihrem Binnenmarkt, wo die Behörden den Hebel der öffentlichen Aufträge voll ausnutzen. Aus diesem Grund fragen wir Sie nach der europäischen Präferenz.

Wie sieht der genaue Zeitplan für die Verabschiedung des Spaser aus? Der Staat sollte als erster Käufer, der von dieser Verpflichtung betroffen ist, mit gutem Beispiel vorangehen. Zwar gab es politische Instabilität, aber in den letzten Monaten ist ein erheblicher Rückstand entstanden. Es ist dringend notwendig, einen umfassenden Rahmen für diese Beschaffungspolitik zu schaffen.

Die Frage der Souveränität geht weit über den digitalen Bereich hinaus und betrifft die gesamte Politik im Bereich des öffentlichen Auftragswesens: landwirtschaftliche Souveränität, industrielle Souveränität auf nationaler und europäischer Ebene. Der Rechnungshof der Europäischen Union schätzt die Hebelwirkung des öffentlichen Auftragswesens auf fast 2.500 Milliarden Euro, was etwa 15 % des BIP entspricht. Bezogen auf Frankreich würde dieser Anteil einem wirtschaftlichen Gewicht des öffentlichen Auftragswesens zwischen 300 und 400 Milliarden Euro pro Jahr entsprechen – es gibt wenig Grund, sich mit der Zahl von 170 Milliarden Euro zufrieden zu geben, die vom Observatoire économique de la commande publique (Beobachtungsstelle für das öffentliche Auftragswesen) angegeben wird und sich nur auf gemeldete Aufträge über 90 000 Euro ohne MwSt. bezieht. Wie gedenken Sie diesen Hebel der öffentlichen Aufträge zu nutzen, um Fortschritte im Bereich der Souveränität im weitesten Sinne zu erzielen?

Wir haben darüber in unserem Ausschuss noch nicht beraten, aber ich glaube, meine Kollegen teilen diese Ansicht: Öffentliche Daten sind per definitionem sensible Daten. Unsere Gebietskörperschaften erheben im Rahmen der Erbringung öffentlicher Dienstleistungen auf allen Ebenen sensible Daten – und genau diese Daten sind einer der wichtigsten Motoren der wirtschaftlichen Entwicklung. Wir stellen jedoch eine gewisse Naivität seitens der öffentlichen Hand, insbesondere des Staates, aber auch seitens einer Reihe privater Akteure gegenüber dieser Realität fest. Sie ist allgemein verbreitet, ich denke beispielsweise an Projektmanagement-Assistenten (AMO), die viele Daten – finanzielle, strategische – erfassen und der Anwendung extraterritorialer Gesetze unterliegen können.

Wenn man die Dinge genauer betrachtet, stellt man fest, dass es viele blinde Flecken bei der Berücksichtigung dieser Herausforderungen gibt. Angesichts dieser Realitäten erklären unsere Behörden unseren Rückstand mit immer gleichen „Formulierungen”, um die Verzögerungen zu erklären.

Hier ein Auszug aus einer Pressemappe der Regierung vom Mai 2021, den ich Ihnen vorlesen möchte, weil er mir symbolisch erscheint. „Die Einführung der Cloud soll die Umsetzung der Verpflichtungen der Regierung im Bereich der digitalen Transformation der Verwaltungen beschleunigen. Die digitalen Dienste der Verwaltungen werden auf einer der beiden internen Clouds des Staates oder auf Cloud-Angeboten von Unternehmen gehostet, die strenge Sicherheitskriterien erfüllen. (…) Jedes digitale Produkt, das sensible Daten verarbeitet, insbesondere personenbezogene Daten französischer Bürger, Wirtschaftsdaten französischer Unternehmen oder Fachanwendungen für Staatsbedienstete, muss zwingend in der internen Cloud des Staates oder in einer von der Anssi als SecNumCloud qualifizierten industriellen Cloud gehostet werden und vor jeglichen außergemeinschaftlichen Vorschriften geschützt sein. Diese Zeilen wurden vor mehr als vier Jahren geschrieben: Die Prioritäten sind klar definiert, aber es sind keine Taten gefolgt. Wenn Sie insbesondere die Lösung Bleu erwähnen, die nicht SecNumCloud-zertifiziert ist, verschweigen Sie, dass sie auf amerikanischen Technologiebausteinen basiert. Wir haben Microsoft befragt, und wenn aus irgendeinem Grund die technologischen Verbindungen zu den Vereinigten Staaten unterbrochen würden, wäre die Bleu-Cloud innerhalb kürzester Zeit extrem anfällig. Sicherlich sind wir noch nicht so weit, aber wer hätte vor wenigen Monaten vorhersagen können, was heute auf internationaler Ebene geschieht? Mit anderen Worten: Wie werden die Ankündigungen konkret umgesetzt?

Ein weiterer Punkt, auf den Sie nicht eingegangen sind, betrifft die Unterstützung von Kleinstunternehmen und KMU mit der Idee eines Small Business Act auf EU-Ebene. Sie sagen uns, dass dies eine der vier Prioritäten Frankreichs ist, aber wie wollen Sie konkret die qualifizierte Mehrheit erreichen, die für die Verabschiedung einer solchen Gesetzgebung erforderlich ist? Wir haben uns mit der Ständigen Vertretung in Brüssel getroffen und sehen sich abzeichnen. Es scheint, dass die europäische Präferenz einen Weg vorzeichnet – aber er ist noch sehr fragil, insbesondere was die Definition seines Anwendungsbereichs angeht. Ich persönlich plädiere für einen breiten Anwendungsbereich, aber wie sieht es konkret mit den Diskussionen mit unseren europäischen Partnern aus? Welche Mittel setzt Frankreich ein, um seine Prioritäten auf europäischer Ebene konkret umzusetzen?

Schließlich haben Sie nicht auf die datengesteuerte Steuerung geantwortet, obwohl dies ein zentrales Thema für die Effizienz der öffentlichen Ausgaben und insbesondere für das öffentliche Beschaffungswesen ist. Im vergangenen Jahr wurden 4,5 Milliarden Euro für digitale Dienste ausgegeben, aber wir kennen die Details nicht, es gibt viele Unklarheiten. Überlegungen sind offenbar im Gange, aber wir brauchen Transparenz in dieser Frage. Welche Mittel wollen Sie einsetzen, um diese Transparenzziele gegenüber den Bürgern und den Wirtschaftsakteuren zu erreichen? Welchen Zeitplan planen Sie, denn wir haben das Gefühl – und das ist nicht nur ein Gefühl, sondern eine Tatsache –, dass die Fortschritte relativ langsam sind?

Sie haben vorhin die 170 Milliarden Euro erwähnt, aber diese Zahl des Observatoire économique de la commande publique (Beobachtungsstelle für das öffentliche Beschaffungswesen) ist zu relativieren. Das Gleiche gilt für die Aussage, dass 97 % der Lieferanten des Staates Unternehmen mit Sitz in Frankreich sind. Das sagt nichts darüber aus, wo der Wert erzeugt wird. Lieferanten können ihren Sitz in Frankreich haben, aber ihre Waren im Ausland beziehen. Wir müssen die Rückverfolgbarkeit von Informationen verbessern, ähnlich wie bei den Initiativen, die Sie zur Kartierung von Versorgungsrisiken ergriffen haben. Wir haben das Verteidigungsministerium zu diesem Thema befragt, aber die Frage stellt sich für alle Beschaffungen und setzt Fortschritte bei der datengestützten Steuerung voraus

. Am Ende unserer Arbeit bestätigt Ihre Anhörung unseren Eindruck, dass die staatliche Steuerung in Fragen des öffentlichen Auftragswesens, der Souveränität und der damit verbundenen Überlegungen zumindest zögerlich erscheint. Ich wähle bewusst diese moderate Formulierung, aber wir sehen, dass Ihre Minister ein Schreiben verfassen mussten, um die Verwaltungen an die geltenden Regeln zu erinnern, und wir stellen in Ihren Ausführungen das völlige Fehlen einer interministeriellen Dimension fest: In Wirklichkeit arbeitet jeder in seinem eigenen Bereich. Wie Sie jedoch bereits erwähnt haben, betrifft das Thema öffentliche Aufträge die Gebietskörperschaften und Krankenhäuser und damit weit mehr als nur die Ministerien. Es gibt eine bereichsübergreifende Dimension der öffentlichen Aufträge, die nicht berücksichtigt wird. Dieser Mangel könnte die Schwierigkeiten bei der Umsetzung, die Schwankungen oder das Zögern erklären, auch wenn Ihr Kollege dieses Wort gestern nicht gerne gehört hat. Auf jeden Fall stellen wir eine sehr große Diskrepanz zwischen den Worten und der Umsetzung fest.

Wie sehen Sie also die Zukunft des öffentlichen Auftragswesens in Bezug auf seine Steuerung und die Überwachung der von Ihnen getroffenen Entscheidungen? Wir sehen eine Vielzahl von Instanzen, Agenturen und Direktionen – und all dies scheint das System zu verkomplizieren, was den Zielen, die wir einvernehmlich verfolgen könnten, zuwiderläuft.

Herr Éric Lombard, Minister. – Ich gehe von Ihrer Schlussfolgerung aus, die ich nicht teile: Es gibt eine Direktion für staatliche Beschaffungen und eine Direktion für Rechtsangelegenheiten im Finanzministerium. Ich habe diese Anhörung zusammen mit deren Verantwortlichen sowie mit den Kabinetten des Finanzministeriums vorbereitet. Ich glaube, dass Sie in Ihrer Ausführungen zwei verschiedene Themen ansprechen: zum einen das öffentliche Beschaffungswesen und zum anderen die Daten und deren Speicherung – diese beiden Themen hängen zwar zusammen, sind aber voneinander zu trennen.

Die Beschaffungspolitik des Staates wird von diesen beiden Abteilungen gesteuert. Wann wird sie vereinfacht? Der Spaser befindet sich derzeit in interministerieller Abstimmung und soll vor der Sommerpause veröffentlicht werden.

Was die Fragen der Souveränität angeht, verstehe ich Ihre Position sehr gut. Man muss sich sagen, dass sich die Welt seit dem 10. Januar dieses Jahres verändert hat, was nicht unerheblich ist und sich auf die Art und Weise auswirkt, wie wir Bedrohungen unserer Souveränität wahrnehmen. Die Relevanz der Weltanschauung des Präsidenten der Republik, die er in seiner Rede an der Sorbonne 2017 zum Ausdruck gebracht hat, in der der Begriff der Souveränität einen wichtigen Platz einnahm und die von unseren engsten Verbündeten kaum aufgegriffen wurde, wird nun anerkannt. Jeder sieht nun, dass die Dinge komplex und riskant sind.

Nehmen Sie das Beispiel der Seltenen Erden: Alle dachten, unsere Lieferketten für kritische Materialien seien gesichert, bis China, obwohl es ein befreundetes Land ist, beschloss, uns nicht mehr zu beliefern – und es gibt viele weitere Beispiele dieser Art. Nehmen Sie auch ein französisches Verteidigungsunternehmen, das seit langem von einem deutschen Unternehmen beliefert wurde: Es genügte die Übernahme dieses Unternehmens durch ein anderes Unternehmen aus einem NATO-Mitgliedstaat, um die Belieferung abrupt einzustellen, sodass das französische Unternehmen gezwungen war, eine neue Produktionskette aufzubauen, um seine strategische Unabhängigkeit nicht zu gefährden. Unser Verteidigungsmodell ist unabhängig und souverän, und die anderen europäischen Länder erkennen jetzt, dass diese Unabhängigkeit einen Wert hat, viel mehr, als sie noch vor sechs Monaten erkannt haben.

Die Analyse der Souveränität hat sich geändert, und die Fragen, die Sie stellen, gewinnen neue Relevanz. Bei einem Kauf muss über die von mir erwähnten Regeln für das öffentliche Beschaffungswesen hinaus auch die Unabhängigkeit der Lieferkette sichergestellt werden, sowohl in Bezug auf die Verfügbarkeit als auch in Bezug auf den sogenannten zweiten Schlüssel, d. h. eine Lieferung, die dem Verkäufer die Möglichkeit geben würde, uns die Verwendung des mit diesem Produkt hergestellten Produkts zu verbieten.

Zusammen mit Marc Ferracci haben wir gerade den strategischen Vertrag für die Nuklearindustrie unterzeichnet. Dieser umfasst französisches Know-how sowie diversifizierte und organisierte Versorgungskonzepte, um unsere Energieunabhängigkeit in den kommenden Jahrzehnten zu gewährleisten. Diese Überlegungen müssen wir in allen Bereichen des öffentlichen Handelns anstellen und unseren Blick auf den Begriff der Unabhängigkeit neu ausrichten, sowohl auf nationaler als auch auf europäischer Ebene. Und ich stimme Ihnen zu, dass wir sehr konkret prüfen müssen, woher unsere Lieferungen und Einkäufe stammen, wer die Aktionäre sind und wo sie ihren Sitz haben. Dies beeinflusst je nach unseren Bündnissen, unseren Freundschaften und unserer Geschichte die Entscheidungen, die wir treffen können.

Bei Fragen im Zusammenhang mit der Cloud muss die Dimension der Cybersicherheit berücksichtigt werden. Wichtige Einrichtungen wie Krankenhäuser wurden von Hackern angegriffen, was großen Schaden angerichtet hat. Zusammen mit Anssi und Bpifrance haben wir Instrumente entwickelt, um den öffentlichen Sektor und KMU durch Prävention vor Angriffen zu schützen. Für den Datenschutz gibt es souveräne Lösungen wie OVH, Outscale, eine Tochtergesellschaft von Dassault, oder NumSpot, eine souveräne Cloud, die die Caisse des dépôts zusammen mit Docaposte und Bouygues Télécom entwickelt hat, um eine souveräne, vollständig nationale und mehrheitlich öffentliche Cloud zu schaffen. Diese Lösungen werden weiterentwickelt und stehen dem Staat zur Verfügung.

Auf Initiative der Ministerin für Digitales und Künstliche Intelligenz sorgen wir dafür, dass die Daten in souveränen Clouds gehostet werden, wenn dies erforderlich ist. Einige große US-amerikanische Betreiber, die teilweise einen technologischen Vorsprung haben, entwickeln derzeit gemeinsam mit der Anssi SecNumCloud-Lösungen. Wir informieren auch die öffentlichen Betreiber, von denen einige sogar die Sicherheit ihrer Informationssysteme von Hackern testen lassen. Sind wir im Hinblick auf das Rundschreiben von 2021 schnell genug? Élisabeth Borne hatte in einem Rundschreiben von 2023 eine Beschleunigung gefordert. Der Premierminister hat die Minister mit wichtigen Verwaltungsbereichen zu einer Sitzung einberufen, um sie zu einer Beschleunigung aufzufordern.

Wir nutzen Daten und künstliche Intelligenz, um die Qualität der öffentlichen Dienstleistungen zu verbessern. Ich habe darüber mit den Betreibern des Gesundheitssystems gesprochen, wo sie dazu beitragen kann, Behandlungen, Pflegemethoden und Diagnosen schneller zu identifizieren. Im Finanzministerium wird sie in vielen Dienststellen eingesetzt, insbesondere in der Generaldirektion für öffentliche Finanzen, um Betrug zu bekämpfen. Dadurch können wir effizienter und schneller arbeiten.

Ich möchte Ihnen versichern, dass diese Politik auf staatlicher Ebene konsequent umgesetzt wird. Sie haben insbesondere die Energie gesehen, mit der Clara Chappaz ihre Aufgaben wahrnimmt.

Die Komplexität unserer Verfahren hält KMU und Kleinstunternehmen tatsächlich von öffentlichen Aufträgen fern, auch wenn die Ausschreibungen für alle Unternehmen offen sind. Deshalb wollen wir die Regeln sowohl auf nationaler als auch auf europäischer Ebene vereinfachen. Wir bemühen uns auch, die Unternehmen zu begleiten, die Beamten des Finanzministeriums stehen ihnen zur Verfügung, um ihnen zu erklären, wie sie auf eine Ausschreibung reagieren können. Ich stimme Ihnen auch zu, dass es sinnvoll wäre, wenn die Gebietskörperschaften und öffentlichen Betreiber diese Aufklärungsarbeit leisten würden. Als ich an der Spitze der Caisse des dépôts stand, die ein großer Einkäufer ist, habe ich darauf geachtet, dass unsere Einkäufe verantwortungsbewusst sind, sowohl in Bezug auf den ökologischen Wandel, die Ethik und die Inklusivität der Unternehmen als auch in Bezug auf die lokale wirtschaftliche Entwicklung. Wenn 97 % der öffentlichen Aufträge an französische Unternehmen vergeben werden, dann deshalb, weil die öffentlichen Auftraggeber diese Ziele im Blick haben, die wir für das öffentliche Beschaffungswesen vorgeben.

Die europäischen Vorschriften gehen in die gleiche Richtung, aber ich glaube, wir können noch weiter gehen. Im Finanzministerium haben wir gerade ein Label für Sparprodukte eingeführt, die zu 70 % in Europa investiert sind, um Anreize für die Investition europäischer Spareinlagen in Europa zu schaffen. Ich habe im Rat für Wirtschaft und Finanzen diese Priorität für die europäischen Verteidigungsanstrengungen geltend gemacht, und wir wurden angehört. Es gibt noch viele Bereiche, in denen Europa europäischer werden muss.

Herr Dany Wattebled, Berichterstatter. – Das ist ein Weckruf…

Herr Éric Lombard, Minister. – Ich für meinen Teil bin schon lange wach und glaube, dass Sie es auch sind… Der Plan zur Verteidigung in Europa wurde von diesem Rat einstimmig verabschiedet. Das ist ein Fortschritt! Ich verstehe also sehr gut, was Sie uns sagen. Ihre Bedenken spornen uns an, schneller voranzukommen – aber ich möchte Ihnen nicht den Eindruck vermitteln, dass wir nicht im Takt sind.

Herr Simon Uzenat, Präsident. – Alle sind sich einig, dass sich die Welt verändert hat. Das ist schon seit einiger Zeit so. Ich denke an die Gesundheitskrise und an das, was mit den Masken passiert ist: Als man zur Verlagerung der Produktionskapazitäten aufrief, gingen einige Unternehmen das Risiko ein, Masken herzustellen; aber wir haben gesehen, dass Krankenhäuser und das Bildungsministerium weiterhin Masken aus China bestellten. Das Ergebnis: Einige Unternehmen mussten schließen, ich habe das in meiner Heimatregion, der Bretagne, miterlebt.

Die erste Wahl von Donald Trump gab bereits Anlass zu größter Wachsamkeit – nicht umsonst haben der 2017 gewählte Präsident der Republik und seine nachfolgenden Regierungen sehr entschlossene Reden gehalten. Ja, die Welt hat sich verändert, die Umwälzungen haben sich in letzter Zeit beschleunigt und verstärkt, aber dieser Trend ist schon seit einiger Zeit zu beobachten und erforderte unserer Meinung nach schon seit langem entschlossenere Maßnahmen.

Was die Frage der interministeriellen Steuerung angeht, so gibt es sehr wohl eine DAE, deren Mitarbeiter leisten wichtige Arbeit, das ist nicht das Problem. Was uns alarmiert, ist die Feststellung, dass Minister ihre Verwaltungen an die geltenden Regeln erinnern müssen, dass öffentliche Aufträge entgegen den festgelegten Grundsätzen vergeben werden… Wir stellen fest, dass in der Gesamtorganisation des Staates – wobei wir natürlich seine Größe berücksichtigen – das öffentliche Beschaffungswesen mit seinen zahlreichen Verzweigungen unserer Überzeugung nach keine eigenständige Politik darstellt. Man kann Ihnen das sicherlich nicht vorwerfen, aber die Gebietskörperschaften kamen in Ihren Ausführungen relativ wenig zur Sprache, obwohl sie wichtige Akteure sind. Sie werden uns sagen, dass Ihr Kollege François Rebsamen für die Gebietskörperschaften zuständig ist, aber gerade hier wären gemeinsame Leitlinien für das öffentliche Beschaffungswesen erforderlich. Das Gleiche gilt für die Krankenhäuser, wo uns gesagt wird, dass die finanziellen Zwänge, denen sie unterliegen, die Einhaltung der Ziele für das öffentliche Beschaffungswesen erschweren. Unter diesen Umständen sehen wir deutliche Mängel in der interministeriellen Steuerung, die durch viel schnellere und entschlossenere Maßnahmen behoben werden müssten.

Herr Éric Lombard, Minister. – Ich gebe zu, dass wir uns verbessern müssen. Ich werde die Wirtschaftsbeobachtungsstelle für das öffentliche Auftragswesen, die ein wertvolles Instrument ist, stärker mobilisieren und mit der DAE und der DAJ zusammenarbeiten, um die Querschnittsorientierung unserer Maßnahmen zu verbessern: Wir können es besser machen, und das werden wir auch tun.

Ich gehe in diesem Haus mit der Frage der lokalen Gebietskörperschaften vorsichtig um, da Sie besser als ich mit dem Grundsatz ihrer Selbstverwaltung vertraut sind. Wir stehen ihnen zur Seite, aber es handelt sich um einen Zweig des Staates, der nicht vollständig unserer Zuständigkeit unterliegt, wie Sie sicher verstehen werden.

Jede Einrichtung, selbst ein Unternehmen, das viel Geld verdient, muss Haushaltszwänge berücksichtigen; sie muss sich entsprechend organisieren und ihre Prioritäten festlegen. Das Budget der Krankenhäuser wurde in den letzten Jahren nicht gekürzt, vielleicht wurden die Mittel für andere Prioritäten verwendet, aber von Haushaltsdisziplin gegenüber den Krankenhäusern kann kaum die Rede sein, der Begriff ist nicht angemessen: Die Krankenhäuser haben von Zuwendungen profitiert, die schneller gestiegen sind als in anderen Bereichen des Staates – man wird mir das vielleicht vorwerfen, aber es ist so.

Herr Simon Uzenat, Präsident. – Wir sind natürlich der Selbstverwaltung der Gebietskörperschaften verpflichtet, und unsere Gebietskörperschaften sind verantwortlich. Wenn jedoch die ihnen zugewiesenen Mittel drastisch gekürzt werden – zwar vom Parlament, aber faktisch von den Abgeordneten, die Ihre Regierung unterstützen –, schrumpft der Handlungsspielraum der Gebietskörperschaften. Man kann nicht so tun, als hätte der Staat keinen Einfluss auf ihre Mittel, die ihnen auferlegten Zwänge, die Regeln, die sie umsetzen müssen, und die personellen Ressourcen, die ihnen zur Verfügung stehen. Dies bleibt ein zentrales Thema.

Was schließlich die datengesteuerte Steuerung angeht, bedauere ich das Fehlen konkreter Antworten. Ich wäre Ihnen dankbar, wenn Sie uns mehr über die Absichten Ihrer Regierung für mehr Transparenz in diesem Bereich zum Nutzen der Wirtschaftsakteure und unserer Mitbürger sagen könnten.

Dieser Tagesordnungspunkt wurde auf Video aufgezeichnet und ist online auf der Website des Senats verfügbar.

Die Sitzung ist um 18 Uhr geschlossen.“