Die jüngste Ankündigung einer „neuen, unabhängigen Cloud für Europa“ durch Amazon Web Services (AWS) hat eine wachsende Kluft zwischen Paris und Berlin in der Auslegung der digitalen Souveränität im Cloud-Sektor deutlich gemacht.
Die Ankündigung von AWS in der vergangenen Woche ist Teil eines allgemeinen Trends, bei dem amerikanische Cloud-Service-Anbietern versuchen, die Bedenken der europäischen Staaten zu zerstreuen, die ihre Daten innerhalb der europäischen Grenzen halten wollen.
Zu den Beispielen aus der Vergangenheit gehören führende Marktteilnehmer wie Microsoft, das im Juli 2022 sein Angebot Microsoft Cloud for Sovereignty ankündigte, und Oracle, das im vergangenen Juni sein Angebot EU Sovereign Cloud vorstellte.
„Was mich am meisten beunruhigt, ist die Tatsache, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) die AWS European Sovereign Cloud unterstützt hat“, erklärte der französische Abgeordnete Philippe Latombe gegenüber Euractiv. Er befürchtet, dass „die Deutschen Druck“ gegen Frankreichs höchste Cloud-Sicherheitszertifizierung namens SecNumCloud ausüben könnten.
AWS war in der Tat der erste Cloud-Service-Anbieter, der das C5-Testat des BSI erhielt – eine deutsche Cloud-Sicherheitszertifizierung, die auf demselben internationalen Standard wie SecNumCloud basiert.
BSI-Hauptgeschäftsführerin Claudia Plattner erklärte in einer Stellungnahme, sie „freue sich sehr, den Aufbau einer AWS-Cloud vor Ort konstruktiv zu begleiten, die auch einen Beitrag zur europäischen Souveränität in Sachen Sicherheit leistet.“
Was ist eine sichere Cloud?
Laut Arnaud David, Direktor für europäische Angelegenheiten bei AWS, hat das Unternehmen technische Bausteine eingerichtet, darunter Schutzmaßnahmen, Kontrollen und Sicherheitsfunktionen. Diese ermöglichen es den Kunden, Zugriffsbeschränkungen durchzusetzen, damit niemand, auch nicht von AWS, auf Kundendaten zugreifen kann.
Er erläuterte weiter, dass AWS nur dann auf Kundendaten zugreifen kann, wenn der Zugang von seinen Kunden gewährt wird, und dass AWS seinen Kunden Verschlüsselungswerkzeuge zur Verfügung stellt. Darüber hinaus werden nur in der EU ansässige AWS-Mitarbeiter den Betrieb der europäischen souveränen AWS-Cloud kontrollieren.
Rechtskonflikte
Für den Abgeordneten Latombe könne die AWS-Cloud jedoch nicht souverän sein, weil sie dem US FISA und dem Cloud Act unterliegt. Dabei handelt es sich um Gesetze, die US-Unternehmen, US-Bürger oder ausländische Tochtergesellschaften auf US-Boden zur Zusammenarbeit mit den US-Sicherheitsbehörden verpflichten.
Laut David von AWS gehe man damit folgendermaßen um: „Wenn AWS aufgefordert wird, im Rahmen des FISA Daten an US-Behörden zu übermitteln, wird Amazon jede Anfrage anfechten, die es für unangemessen hält, insbesondere wenn sie gegen lokales Recht verstößt, wie zum Beispiel die Allgemeine Datenschutzverordnung der EU (GDPR) in der EU.“
Es ist verständlich, dass Unternehmen zustimmen, keine sensiblen Informationen preiszugeben, zumindest so lange diese nicht ins Kreuzfeuer der widersprüchlichen Rechtsprechung gerät.
„Wir sind ein globales Unternehmen, das in jedem Land, in dem wir tätig sind, den Gesetzen unterliegt, einschließlich des US-Rechts“, sagte David. Dies gelte auch für EU-Unternehmen mit Tochtergesellschaften in den USA.
Latombe widerspricht dem und argumentiert, dass europäische Cloud-Anbieter mit Niederlassungen in den USA nur über ihre in den USA ansässigen Tochtergesellschaften den US-Gesetzen unterliegen würden. Dies sei bei AWS, einem in den USA ansässigen Unternehmen, das sich weltweit an die US-Behörden halten müsse, nicht der Fall.
Jean-Sébastien Mariez, Gründungspartner der französischen Tech-Anwaltskanzlei Momentum Avocats, stellte fest, dass „der Standort der Daten für die Anwendbarkeit der US-Gesetze fortan irrelevant ist.“
Während Amazon damit wirbt, dass „nur in der EU ansässige AWS-Mitarbeiter“ in der EU auf die Daten zugreifen können, heißt es in einem Memo des niederländischen National Cyber Security Center aus dem Jahr 2022, dass dies nicht unbedingt Schutz vor den FISA- und Cloud Act-Gesetzen bedeutet.
Deutsch-französische Divergenz
Traditionell konnte Paris auf die Unterstützung Berlins zählen, wenn es darum ging, eigene Anbieter gegenüber ausländischen Anbietern zu bevorzugen. Im Gegensatz dazu ziehen es kleinere Mitgliedstaaten vor, die beste verfügbare Technologie zu kaufen, unabhängig von ihrer Herkunft.
Eine deutsch-französische Divergenz zum Konzept der souveränen Cloud hat sich jedoch schon lange angebahnt. Unterschiedliche Auffassungen darüber, was digitale Souveränität für Cloud-Infrastrukturen bedeutet, haben dazu geführt, dass das europäische Projekt der digitalen Souveränität Gaia-X seinen politischen Schwung verloren hat.
Die Spannungen spitzten sich mit dem European Cloud Services Scheme (EUCS) zu, einem Zertifizierungssystem für Cybersicherheit, bei dem Frankreich über seinen Kommissar Thierry Breton versuchte, die Souveränitätsanforderungen von SecNumCloud auf EU-Ebene zu replizieren.
Dieser Versuch stieß auf erheblichen Widerstand seitens liberalerer Länder, angeführt von den Niederlanden. Da die FDP derzeit das Bundesverkehrs- und Digitalministerium innehat, wurde Frankreich von Deutschland nicht nur nicht unterstützt, sondern zeitweise auch mehr oder weniger offen kritisiert.
In diesem Zusammenhang befürchtet Latombe, dass die Deutschen eine pro-amerikanische und anti-französische Position einnehmen und somit „ihre industrielle Abhängigkeit von russischem Gas gegen eine Abhängigkeit von amerikanischen Digitalunternehmen eintauschen.“
Aus diesem Grund ist er der Ansicht, dass die Erteilung der C5-Zertifizierung für die AWS European Sovereign Cloud „ein Wink mit dem Zaunpfahl [der französischen Zertifizierung] SecNumCloud“ war, da die französischen ANSSI- und deutschen BSI-Behörden ein Abkommen zur gegenseitigen Anerkennung von Sicherheitszertifikaten haben, wenn auch derzeit nur für die erste Sicherheitsstufe.
Ein BSI-Sprecher sagte gegenüber Euractiv, dass es keine spezifische Verbindung zwischen der AWS-Ankündigung und dem derzeit diskutierten EUCS gebe. In der Zwischenzeit sagte das Bundesdigitalministerium gegenüber Euractiv, dass es sich „dafür einsetzt, dass die [deutsche] Wirtschaft im erforderlichen Umfang auf sichere und leistungsfähige Cloud-Strukturen zugreifen kann.“
Die französische ANSSI und das Digitalministerium lehnten Euractivs Bitte um einen Kommentar ab. Latombe kündigte am Montag (30. Oktober) an, dass er eine schriftliche Anfrage an den französischen Digitalminister Jean-Noël Barrot in dieser Angelegenheit geschickt habe.
[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald/Kjeld Neubert]