Presseinformation 61/2024
cep zeigt (Aus-)Wege aus EU-Cloud-Dilemma
Berlin/Freiburg. Seit Jahren wird intensiv über die Einführung eines EU-Schemas zur Zertifizierung der Cybersicherheit von Cloud-Diensten (EUCS) diskutiert – bislang vergeblich. Ziel: einheitliche Standards für die Sicherheit von Cloud-Diensten in der EU. Da die Zeit wegen der enormen politischen und wirtschaftlichen Bedeutung drängt, schlägt das Centrum für Europäische Politik (cep) (Aus-)Wege aus der Sackgasse vor.
Im Zentrum des Streits steht die Frage, ob zusätzlich sogenannte Souveränitätsanforderungen wie die Pflicht, Daten ausschließlich in der EU zu speichern, Bestandteil der Zertifizierung sein sollten. Damit sollen europäische Daten vor unrechtmäßigem Zugriff aus Drittstaaten geschützt und zugleich die Souveränität der EU gestärkt werden.
Nach Ansicht der cep-Wissenschaftler kann ein EUCS das Vertrauen von Unternehmen und öffentlichen Einrichtungen in der EU in cybersichere Cloud-Dienste grundsätzlich stärken. „Souveränitätsanforderungen in das EUCS einzubeziehen, ist zwar aus geo- und sicherheitspolitischer Sicht nachvollziehbar“, sagt cep-Digitalexperte Philipp Eckhardt. „Sie in das Schema aufzunehmen, ist jedoch in der angedachten Weise juristisch heikel“, warnt cep-Juristin Anja Hoffmann. „Denn es handelt sich nicht lediglich um eine unpolitische Konkretisierung der Regeln der EU-Cybersicherheitsverordnung, sondern um wesentliche politische Fragen.“ Soweit die EU Souveränitätsanforderungen für sinnvoll erachtet, sollte sie diese gesetzlich und nicht ausschließlich im Wege einer Durchführungsverordnung regeln. „Auch aus ökonomischer Sicht ist die Einbeziehung der sogenannten Souveränitätsanforderungen nicht nur mit Vorteilen verbunden“, sekundiert Eckhardt. So könnte eine eingeschränkte Nutzbarkeit von Anbietern aus Drittstaaten den Wettbewerb verzerren und die Auswahl an innovativen Cloud-Diensten für EU-Nutzer begrenzen.
Um die nötige Stärkung der Cybersicherheit von Cloud-Diensten nicht noch länger hinauszuzögern, sollte die EU-Kommission das EUCS aus Sicht der cep-Experten zunächst zeitnah ohne Souveränitätsanforderungen beschließen. Zudem schlagen die cep-Experten konkrete Anpassungen europäischer Cybersicherheitsgesetze und der EU-Richtlinien zur öffentlichen Auftragsvergabe vor und fordern die Kommission auf, als Übergangslösung Leitlinien zur Cloud-Souveränität zu erarbeiten. „Cloud-Infrastrukturen sind ein zentraler Eckpfeiler der digitalen Transformation und zugleich ein sicherheitspolitisch sensibler Bereich. Die EU sollte hier zeitnah einen umfassenden Ansatz finden, der die Cybersicherheit in der EU stärkt und den Bedenken im Hinblick auf eine weitere Schwächung der digitalen Cloud-Souveränität Rechnung trägt“, betont Eckhardt. „Dieser Ansatz muss jedoch rechtssicher ausgestaltet und sowohl mit europäischem wie internationalem Recht vereinbar sein“, fordert Hoffmann.