„Multi-Cloud-Strategie“ der EU-Kommission: Widerspruch zu eigenen Vorgaben

Der US-amerikanische Cloud-Dienst Oracle gab am Montag (30. Oktober) bekannt, dass die EU-Kommission beschlossen hat, Oracle-Cloud Infrastructure-Dienste in ihr Angebot aufzunehmen. Dies wirft Fragen zur Vereinbarkeit mit den vorgeschlagenen Cloud-Sicherheitssystemen auf.

Die EU-Kommission hat Oracle Cloud Infrastructure für einen sechsjährigen übergreifenden Rahmenvertrag ausgewählt, der es dem in den USA ansässigen Unternehmen ermöglicht, den Institutionen, Organen und Agenturen der EU Cloud-Dienste anzubieten.

„Die Cloud ist eine Frage der digitalen und industriellen Souveränität“, erklärte der für den Binnenmarkt zuständige EU-Kommissar Thierry Breton Anfang April auf dem Forum für Cybersicherheit.

Breton hat den französischen Vorstoß zur Schaffung einer europäischen Nachbildung von Frankreichs Cloud-Sicherheitszertifizierung SecNumCloud angeführt, die Souveränitätsanforderungen in die Europäischen Cloud-Dienste (EUCS) einführt.

Die Entscheidung der Kommission, das amerikanische Unternehmen Oracle in ihr Cloud-Service-Angebot für die EU-Verwaltung aufzunehmen, scheint daher im Widerspruch zu ihrem angepriesenen Streben nach technologischer Souveränität zu stehen.

Multi-Cloud-Strategie

Ein Sprecher der Kommission sagte Euractiv, dass „die Europäische Kommission eine Multi-Cloud-Strategie verfolgt“ und erklärte, dass die Institutionen, Organe und Agenturen der EU nun die Möglichkeit haben werden, „Mini-Wettbewerbe in Übereinstimmung mit ihren IT-Bedürfnissen durchzuführen“ und dann den Cloud-Anbieter auszuwählen, der ihrer Meinung nach am besten für ihre Bedürfnisse geeignet ist.

Oracle ist nicht der erste oder einzige außereuropäische Cloud-Anbieter, der einen Rahmenvertrag erhält und damit die Möglichkeit hat, seine Dienste der EU-Verwaltung anzubieten.

Es ist jedoch bemerkenswert, dass diese ausländischen Cloud-Anbieter nicht für die höchste Sicherheitsstufe des EUCS in Frage kommen würden. Denn die laut den im Mai und August dieses Jahres zirkulierten Entwürfen setzen voraus, dass der Cloud-Dienstanbieter von einem europäischen Unternehmen „kontrolliert“ wird.

Eine umstrittene Regelung

Mit anderen Worten, die Kommission könnte einen höheren Standard setzen, als sie ihn selbst befolgt.

Während EUCS ein freiwilliges System ist, könnte es für Einrichtungen, die im Rahmen der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) als wesentlich für die europäische Wirtschaft angesehen werden, verbindlich werden.

Der Versuch der Kommission, Souveränitätsanforderungen einzuführen, stößt jedoch auf erheblichen Widerstand seitens der Industrie und einem wachsenden Zusammenschluss von Mitgliedsstaaten unter Führung der Niederlande.

Nach der Politisierung einer eigentlich technischen Diskussion hat auch das Europäische Parlament kürzlich eine Änderung des Cybersicherheitsgesetzes, der Rechtsgrundlage für die EUCS, angenommen, die es den Abgeordneten ermöglichen würde, gegen Zertifizierungssysteme für Cybersicherheit zu stimmen.

Französischer Ansatz verliert an Schwung

Ein Experte, der mit Euractiv unter der Bedingung der Anonymität sprach, sagte, dass das französische Cloud-Zertifizierungssystem SecNumCloud in der EU an Schwung verliert.

Die Anforderung, dass die Aktien eines Cloud-Anbieters nicht zu mehr als 24 Prozent einem Unternehmen mit Hauptsitz außerhalb der EU gehören dürfen, wird nun nämlich in ganz Europa fallen gelassen, außer bei der französischen SecNumCloud-Zertifizierung.

Dies steht im Einklang mit der Entscheidung des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), der AWS European Sovereign Cloud die C5-Zertifizierung zu vergeben. Dabei handelt es sich um eine Cloud-Sicherheitszertifizierung, die auf der gleichen internationalen Norm wie SecNumCloud basiert, und dem Wunsch der EU-Kommission, keinen Anbieter vom europäischen Markt auszuschließen.

Im Gegensatz dazu versuchten Abgeordnete des französischen Senats, einen protektionistischen Schritt zu unternehmen, indem sie in einem Gesetzentwurf zur Regulierung des digitalen Raums die Verpflichtung für alle öffentlichen Einrichtungen einbrachten, ihre Daten nur auf Cloud-Dienste mit SecNumCloud-Zertifizierung hochzuladen.

Später wurde er vom Berichterstatter der Nationalversammlung mit der Begründung abgelehnt, dass SecNumCloud-zertifizierte Cloud-Anbieter nicht in der Lage gewesen wären, einen Upload einer so großen Datenmenge zu bewältigen.

Einige, wie der französische Abgeordnete Philippe Latombe oder der österreichische Datenschutzaktivist Max Schrems, sehen in den amerikanischen Hyperscalern – ein Begriff, der für US-amerikanische Cloud-Service-Anbieter mit enormen Aktivitäten verwendet wird – eine Gefahr für europäische Unternehmen.

Latombe sieht eine potenzielle Gefahr, dass amerikanische Unternehmen und Behörden auf die Daten europäischer Unternehmen zugreifen könnten und somit „Wirtschaftsspionage [betreiben], Geschäftsgeheimnisse der EU ausfindig machen und die Industrie- und Wissensbasis der EU ins Visier nehmen“ könnten, sagte er Euractiv.

Schrems äußerte auch Zweifel daran, dass die USA zum „Cloud-Anbieter der Welt“ werden könnten, da sie „die Ansicht [vertreten], dass man im Ausland keine Rechte auf Privatsphäre hat.“ Er kritisierte daher die Europäische Kommission, die sich mit den USA auf ein Abkommen geeinigt hat, das die Übermittlung personenbezogener EU-Daten an die USA gemäß dem vereinbarten Datenschutzrahmen ermöglicht.

[Bearbeitet von by Luca Bertuzzi/Nathalie Weatherald/Kjeld Neubert]