Europäische Cloud-Anbieter bestehen auf Souveränitätsanforderungen

Europäische Cloud-Unternehmen wollen angesichts der geplanten Vorlage des neuen Zertifizierungssystems der EU-Agentur für Cybersicherheit (ENISA) zusammenhalten.

Mit diesem Zertifizierungssystem soll sichergestellt werden, dass die Dienste trotz heftigen Widerstands nicht durch extraterritoriale Gesetze beeinträchtigt werden.

Es wird erwartet, dass die ENISA im September ihre endgültige Empfehlung für das Europäische Zertifizierungssystem für Cybersicherheit für Cloud-Dienste (EUCS) vorlegen wird. Inzwischen fordern die europäischen Cloud-Anbieter die Mitgliedstaaten, die EU-Kommission und die ENISA auf, nicht vor den Souveränitätsanforderungen einzuknicken.

In einem am Montag (11. Juli) an die ENISA gesandten und von EURACTIV eingesehenen Brief schreiben die 34 Unterzeichner, darunter die französische OVHcloud, OUTSCALE und Clever Cloud, dass das System „eine einzigartige Gelegenheit ist, Ihr Engagement für die Gewährleistung von Transparenz, Vertrauen und Sicherheit auf dem europäischen Cloud- und Datenmarkt zu zeigen“.

„Wir dürfen nicht dem Druck derjenigen nachgeben, die dazu neigen, ihre eigenen wirtschaftlichen Interessen auf Kosten der europäischen Rechtsdurchsetzung und des Schutzes der europäischen Organisationen und Bürger zu fördern“, fügten sie hinzu.

Der Zertifizierungsentwurf, der EURACTIV vorliegt, sieht drei Versicherungsstufen vor, wobei die höchste Stufe Anforderungen an die Souveränität der europäischen Datenlokalisierung und die Immunität gegenüber ausländischem Recht enthält.

Angesichts des starken Widerstands einiger Mitgliedstaaten und privater Akteure sind die europäischen Anbieter jedoch nicht bereit, aufzugeben. Sie stützen ihr Plädoyer auf drei Argumente.

Die Unterzeichner sind erstens der Ansicht, dass eine Zertifizierung, die auch die Undurchlässigkeit gegenüber extraterritorialen Gesetzen einschließt, eine Möglichkeit ist, die rechtlichen Erwartungen zu erfüllen, die sich aus der Ungültigerklärung des Privacy Shield ergeben.

Sie argumentieren außerdem, dass diese Regelung den Bedenken der Nutzer Rechnung tragen und das Vertrauen in die zertifizierten Akteure stärken würde, da die Datensouveränität für die Kunden zu einem entscheidenden Thema geworden ist.

„Ein solches System bietet uns einen Rahmen, um je nach Sensibilitätsgrad unserer Daten eine fundierte Entscheidung für Cloud-Dienste zu treffen“, schreiben sie.

Außerdem glauben die europäischen Anbieter, dass dies dazu beitragen würde, gleiche Wettbewerbsbedingungen zu schaffen, da fast drei Viertel des Marktes derzeit von drei amerikanischen „Hyperscalern“, nämlich Amazon, Google und Microsoft, beherrscht werden.

„Ein einheitliches und harmonisiertes Zertifizierungssystem, das in allen EU-Mitgliedstaaten zur Verfügung steht, wird daher von uns leichter angenommen werden und zu einem faireren Cloud-Markt beitragen“, da kleinere Cloud-Anbieter mit weniger personellen und finanziellen Ressourcen es sich nicht leisten können, eine Reihe von komplementären Zertifizierungen zu erfüllen, glauben sie.

Ein einheitliches System werde die Wettbewerbsfähigkeit auf dem europäischen Markt verbessern, da es „den Zugang zu allen Märkten durch eine einzige Zertifizierung ermöglicht“.

Da die Unterzeichner „alle davon überzeugt sind, dass es von entscheidender Bedeutung ist, das gesamte europäische Ökosystem an die Spitze zu bringen“, setzen sie auch auf Solidarität und verpflichten sich, kleinere Cloud-Anbieter bei der Erfüllung dieser Anforderungen zu begleiten.

[Bearbeitet von Luca Bertuzzi/Alice Taylor]