Verschiedene europäische IT- und Telko-Anbieter, aber auch Industriekonzerne kritisieren Pläne der EU, wonach es den US-amerikanischen Hyperscalern Amazon Web Services (AWS), Google und Microsoft offenbar gestattet werden soll, sich für hochsensible Cloud-Verträge in Europa zu bewerben. Laut Informationen der Nachrichtenagentur Reuters gehören zu den Kritikern auch die Deutsche Telekom und Airbus.

Die derzeit unter der EU-Ratspräsidentschaft Belgiens verhandelten Pläne sehen eine Art Zertifizierungssystem für Cloud-Dienste vor. Anhand dessen sollen Regierungen, Behörden und Unternehmen die Sicherheit von Cloud-Angeboten bewerten und entsprechend ihren Anforderungen vertrauenswürdige Provider auswählen können.

Weichgespülte Souveränität

Der derzeit vorliegende Entwurf weiche allerdings die zuvor aufgestellten Souveränitätsanforderungen auf, monieren die Kritiker aus Europa. Der ursprüngliche Entwurf hätte Reuters zufolge die US-Konzerne dazu verpflichtet, ein Joint Venture in Europa zu gründen beziehungsweise mit einem in der EU ansässigen Unternehmen zusammenzuarbeiten. Nur so hätten AWS, Google, Microsoft und Co. die notwendigen Security-Zertifizierungen für die EU erhalten, um Daten sicher und regelkonform in ihren Clouds speichern und verarbeiten zu dürfen.

EU-Kommission nutzt rechtswidrig Microsoft Cloud

Doch diese strengeren Souveränitätsanforderungen scheinen vorerst vom Tisch. Der belgische Plan soll am 15. April von Cybersicherheitsexperten aus den 27 EU-Ländern diskutiert werden, bevor er zur für den Herbst 2024 geplanten Verabschiedung an die EU-Kommission weitergereicht wird.

Bis dahin dürfte es jedoch noch viele Diskussionen geben. Die EU-Länder sollten diesen jüngsten Vorschlag ohne Souveränitätsanforderungen ablehnen, fordern 18 europäische Unternehmen in einem gemeinsamen Brandbrief an Landes- und EU-Behörden. Strengere Anforderungen hinsichtlich Datenresidenz in Europa und entsprechende Kontrollen aufzunehmen sei notwendig, um das Risiko eines unrechtmäßigen Datenzugriffs auf der Grundlage ausländischer Gesetze zu mindern, heißt es in dem Schreiben, aus dem Reuters zitiert.

Nachteile für europäische Cloud-Anbieter

Ohne solche Anforderungen könnten ausländische Regierungen und Geheimdienste auf der Grundlage ihrer Gesetze wie dem U.S. Cloud Act oder dem chinesischen National Intelligence Law womöglich auf Daten europäischer Unternehmen zugreifen, warnen die Kritiker. Zudem würden ohne Souveränitätsklauseln europäische Cloud-Anbieter gegenüber ihren größeren US-Konkurrenten behindert. "Die Streichung solcher Anforderungen würde die Lebensfähigkeit von Cloud-Lösungen in Europa ernsthaft untergraben", heißt es in dem Brief.

Datenschutzabkommen mit den USA: EU billigt Data Privacy Framework

die Unterzeichner fordern, das EU-Cybersicherheitslabel sollte dem Beispiel von Gaia-X folgen. Das Framework für eine europäische Cloud-Computing-Plattform wurde geschaffen, um die eigene Souveränität in Europa zu stärken und die Abhängigkeit von US-Anbietern zu verringern. Zu den Unterzeichnern des gemeinsamen Schreibens gehören Reuters zufolge neben der Telekom und Airbus unter anderen der Telko-Anbieter Orange, der Energiekonzern EDF, der Cloud-Anbieter OVHcloud, das Technologieunternehmen Capgemini und Dassault Systemes - alle aus Frankreich - sowie das italienische Unternehmen Aruba, die deutsche Ionos, Telecom Italia, das österreichische Unternehmen Exoscale und Eutelsat.