Ein neuer Entwurf des europäischen Cloud-Systems enthält einige Änderungen an den umstrittenen Souveränitätsanforderungen. Nachdem es bereits im August Widerstand der Mitgliedsstaaten gegeben hatte, diese Anforderungen abzuschwächen, gibt es nun einen neuen Versuch.
Das System für Europäische Cloud-Dienste (EUCS) hat sich als äußerst umstritten erwiesen. Die Europäische Kommission strebte unter der Leitung des französischen EU-Kommissars Thierry Breton an, nach dem Vorbild von Frankreichs Cloud-Sicherheitszertifizierung SecNumCloud Souveränitätsanforderungen einzuführen. Diese würden außereuropäische Cloud-Unternehmen davon ausschließen, sich für die höchsten Sicherheitsstufen zu qualifizieren.
Während EUCS ein freiwilliges System ist, könnte es für Einrichtungen, die im Rahmen der überarbeiteten Richtlinie zur Netz- und Informationssicherheit (NIS2) als wesentlich für die europäische Wirtschaft angesehen werden, verbindlich werden.
Der Vorschlag stieß bei mehreren EU-Ländern und einem beträchtlichen Teil der Branche auf heftigen Widerstand. Diese sahen darin einen protektionistischen Schritt, um amerikanische Hyperscaler von großen Teilen des europäischen Marktes auszuschließen.
Im Mai enthüllte Euractiv, dass ein Kompromiss zwischen den beiden Lagern in Form eines abgestuften Ansatzes angestrebt wird – mit dem von Frankreich angeführten Lager, das auf die Cloud-Souveränität drängt, auf der einen Seite und dem von den Niederlanden angeführten liberalen Lager, das zunehmend von Deutschland unterstützt wird, auf der anderen Seite.
Während das Cybersicherheitsgesetz nur drei Sicherheitsstufen vorsah – grundsätzlich, erheblich und hoch – wurde eine neue Stufe, „hoch+“, eingeführt, die den Großteil der Souveränitätsanforderungen enthält.
Eine überarbeitete Version des Systems wurde im August in Umlauf gebracht, konnte aber die zögerlichsten EU-Länder nicht überzeugen.
Vor der Sitzung der Europäischen Gruppe für Cybersicherheitszertifizierung am Montag (20. November) wurde nun ein aktualisierter Entwurf, der von Euractiv eingesehen wurde, in Umlauf gebracht. Dieser neue Entwurf ist in diesem Sinne als ein weiterer Versuch zu werten, da die Souveränitätsanforderungen weiter abgeschwächt wurden.
Es bleibt abzuwarten, ob dieser Kompromiss erfolgreich sein wird oder ob die Kommission mit der Verabschiedung des Systems fortfährt, denn die Uhr tickt, um das System noch vor dem Ende des Mandats zu verabschieden.
Die nationalen Vertreter werden die Möglichkeit haben, den gesamten Text anzunehmen oder abzulehnen.
Begriff der Kontrolle
Ein entscheidender Aspekt der Souveränitätsanforderungen war, inwieweit die europäische Tochtergesellschaft eines Cloud-Anbieters als unter der Kontrolle der Muttergesellschaft oder des Konzerns stehend betrachtet werden kann.
Die Anforderung, dass die Cloud-Anbieter nur von Unternehmen mit Sitz in der EU betrieben werden dürfen, ohne dass eine außereuropäische Einheit eine tatsächliche Kontrolle ausübt, wurde für die Sicherheitsstufe hoch+ leicht aufgeweicht.
Insbesondere sieht der neue Text die Möglichkeit vor, Nachweise dafür zu erbringen, dass sie wirksame technische, organisatorische und rechtliche Maßnahmen ergriffen haben, die verhindern, dass mit dem Cloud-Anbieter verbundene Nicht-EU-Unternehmen einen entscheidenden Einfluss auf Entscheidungen im Zusammenhang mit Untersuchungsanfragen ausüben.
Ein Platzhalter weist in diesem Zusammenhang darauf hin, dass diese Option sicherstellen soll, dass „vertrauenswürdige ausländische Cloud-Anbieter, die andere Anforderungen erfüllen, zertifiziert werden können.“ Derselbe Platzhalter findet sich unter der Sicherheitsstufe hoch, was darauf hindeutet, dass diese Anforderung auf diese Stufe ausgeweitet werden könnte.
Datenlokalisierung
Auch für die Sicherheitsstufe hoch wurden Lokalisierungsanforderungen eingeführt, wonach die Anbieter von Cloud-Diensten über mindestens einen eigenen Standort in der Europäischen Union verfügen müssen. Für die Sicherheitsstufe hoch+ blieb die Verpflichtung, sämtliche referenzierte Standorte in der EU zu haben, unangetastet.
Vorrang des EU-Rechts
Die Anforderungen in Bezug auf den Vorrang des EU-Rechts wurden für beide Sicherheitsstufen, also hoch und hoch+, geändert. Somit wurde das Konzept gestrichen, wonach die Anforderungen für alle Kontodaten im Zusammenhang mit der Vertragsbeziehung gelten würden, einschließlich des Vorverkaufs, der Wartung, des Betriebs und des Ausstiegs.
Die Bestimmung darüber, was die Anbieter von Cloud-Diensten in die Risikobewertung für die extraterritoriale Anwendung von Nicht-EU-Gesetzen einbeziehen sollten, wurde weniger verbindlich formuliert. Der Grundsatz, dass die vertraglichen Beziehungen der Rechtsprechung eines EU-Landes unterliegen sollten, wurde jedoch beibehalten.
Den Cloud-Nutzern sollen zusätzliche Hinweise zu den Risiken bei der Nutzung des Cloud-Dienstes bereitgestellt werden, insbesondere hinsichtlich des Risikos eines unrechtmäßigen Zugriffs auf Daten und abgeleitete Daten, einschließlich wirtschaftlich sensibler, vertraulicher und geschützter Geschäftsdaten.
Anforderungen an das Personal
Die Anforderungen an die Mitarbeiter der Cloud-Dienste, die direkt oder indirekt Zugang zu den Daten haben, wurden für die Sicherheitsstufe hoch abgeschwächt. Die Mitarbeiter und ihre Vorgesetzten müssen sich weiterhin „einer angemessenen Überprüfung“ unterziehen und in der EU ansässig sein. Die Idee, dass auch die Wartung einer funktionalen Komponente protokolliert und überwacht werden sollte, wurde jedoch verworfen.
Internationale Vereinbarungen
Es wurde eine Spezifizierung eingeführt, die besagt, dass die Regelung nicht so zu verstehen ist, dass sie die Anwendung von Verpflichtungen nach EU-Recht verhindert, einer Untersuchung oder anderen Anfragen nach Datenzugang nachzukommen, die im Rahmen internationaler Abkommen, wie beispielsweise eines Rechtshilfeabkommens mit einem Drittland, anerkannt sind.
Sensible Daten
Es wurde eine Definition von Daten hinzugefügt, die mit der des Gesetzes über digitale Märkte übereinstimmt, zusammen mit Kategorien sensibler Daten – also personenbezogener oder nicht-personenbezogener Daten, deren Offenlegung die öffentliche Ordnung, Sicherheit, Gesundheit oder die Erfüllung wesentlicher staatlicher Aufgaben beeinträchtigen könnte.
Sektorspezifische Anforderungen
Der neue Text legt fest, dass die Sicherheitsstufe hoch „auch für Cloud-Dienste geeignet sein sollte, die zur Erfüllung sektorspezifischer Anforderungen für globale Tätigkeiten konzipiert sind“, und nennt als Beispiel den Banken- und Finanzsektor.
[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]