Die Europäische Union erwägt die Einführung neuer Vorschriften, um die Nutzung von US-amerikanischen Cloud-Dienstanbietern durch Mitgliedsregierungen bei der Verarbeitung sensibler Daten einzuschränken, um die Abhängigkeit von digitaler Infrastruktur außerhalb der EU zu verringern und die Entwicklung lokaler „souveräner Clouds“ zu fördern. Mehrere informierte Beamte der Europäischen Kommission teilten den Medien mit, dass diese Idee voraussichtlich in das „Tech-Souveränitätspaket“ der EU aufgenommen werden soll, das am 27. Mai angekündigt wird.
Berichten zufolge diskutiert die Europäische Kommission im Rahmen des bevorstehenden Plans die Festlegung einer „Souveränitätsschwelle“ für die Auswahl von Cloud-Diensten durch den öffentlichen Sektor, wobei der Schwerpunkt auf der Reduzierung der Gefährdung sensibler Daten des öffentlichen Sektors durch Nicht-EU-Cloud-Plattformen liegt. Ein ungenannter Beamter sagte: „Die Kernidee besteht darin, eine Reihe von Schlüsselbereichen zu definieren, die auf europäischen Cloud-Funktionen gehostet werden müssen.“ Betroffen sein können Cloud-Anbieter aus Drittstaaten wie den USA.
Gemäß der aktuellen Diskussionsrichtung werden die entsprechenden Vorschläge ausländischen Cloud-Dienstanbietern nicht vollständig die Teilnahme an Regierungsaufträgen verbieten, sondern Einschränkungen für deren Verwendung bei der Verarbeitung sensibler Daten im öffentlichen Sektor auf der Grundlage der Datensensibilitätsstufe festlegen. Ein Beamter wies darauf hin, dass dies bedeute, dass „US-amerikanische Cloud-Dienstleister in einigen sensiblen und strategischen Bereichen öffentlicher Einrichtungen in Mitgliedsländern mit Nutzungsbeschränkungen konfrontiert sein könnten.“ Derzeit gelten Finanzen, Justiz und medizinische Gesundheit als sensible Datentypen, die diskutiert werden. In Zukunft müssen sie möglicherweise stärker auf eine Cloud-Infrastruktur mit souveränen Eigenschaften zurückgreifen.
Es ist erwähnenswert, dass sich diese Diskussionsrunde über die Souveränität von Cloud-Diensten nur auf Daten der Regierung und des öffentlichen Sektors konzentriert und private Unternehmen vorerst nicht einbezieht. Mit anderen Worten: Der „Technologische Souveränitätsplan“ wird privaten Unternehmen keine direkten zwingenden Anforderungen bei der Auswahl von Cloud-Plattformen auferlegen.
Hinter den oben genannten Trends steht die Verschärfung der Beziehungen zwischen der EU und der neuen US-Regierung unter Präsident Trump in den letzten Monaten, und die Sorge vor einer „digitalen Abhängigkeit“ innerhalb Europas hat rapide zugenommen. Derzeit dominieren immer noch amerikanische Unternehmen den europäischen Cloud-Computing-Markt: Amazon, Microsoft und Google kontrollieren gemeinsam mehr als 70 % des Marktanteils, wobei Amazon etwa 29 %, Microsoft etwa 24 % und Google etwa 18 % ausmachen. Im Rahmen des 2018 erlassenen Cloud Act haben US-amerikanische Strafverfolgungsbehörden das Recht, Daten von US-Unternehmen abzurufen, unabhängig davon, wo die Daten physisch gespeichert sind. Dies hat die Bedenken der europäischen Länder hinsichtlich der Sicherheit kritischer Daten weiter geweckt.
In diesem Zusammenhang beschleunigen europäische Regierungen die Suche nach lokalen und Open-Source-Alternativen und erhöhen die Budgets im Zusammenhang mit der digitalen Souveränität. Im Februar dieses Jahres gaben Regierungsvertreter aus vielen Ländern an, dass sie bereits selbst entwickelte oder europäische Lösungen evaluieren, um große US-Technologieplattformen zu ersetzen. Die französische Regierung gab im Januar dieses Jahres bekannt, dass sie das unter der Führung der Regierung entwickelte Videokonferenztool „Visio“ auf den Markt bringen wird und plant, bis 2027 schrittweise amerikanische Tools wie Microsoft Teams und Zoom in Regierungssystemen zu ersetzen.
Auch auf EU-Ebene wird der Aufbau einer Souveränen Cloud durch konkrete Projekte vorangetrieben. Im April dieses Jahres vergab die Europäische Kommission Ausschreibungsverträge im Gesamtwert von 180 Millionen Euro an vier europäische Sovereign-Cloud-Projekte zur Bereitstellung von Cloud-Service-Lösungen für EU-Agenturen und -Institutionen. Bei einem der Projekte handelt es sich um ein Joint Venture zwischen dem französischen Luft- und Raumfahrt- und Verteidigungsunternehmen Thales und Google Cloud, das den Schwerpunkt der EU auf Souveränität widerspiegelt und gleichzeitig Sicherheits- und Innovationsbedürfnisse durch Joint Ventures und technische Zusammenarbeit in Einklang bringt.
Der „Technology Sovereignty Plan“ soll nicht nur Cloud Computing, sondern auch den Cloud and AI Development Act (CADA) und den „Chip Act 2.0“ umfassen und darauf abzielen, die Entwicklung lokalerer Lösungen und Produkte in Schlüsselbereichen wie Cloud Computing, künstliche Intelligenz und Halbleiter zu fördern. Sobald der Plan offiziell von der Europäischen Kommission vorgeschlagen wurde, muss er noch von allen 27 Mitgliedstaaten genehmigt werden, bevor er in Kraft treten kann.
Zu den externen Bedenken, ob der Plan transatlantische Technologie- und Handelskonflikte auslösen wird, ging ein Sprecher der Europäischen Kommission nicht direkt auf die Details ein, sondern betonte, dass der Plan „mit dem Selbstbewusstsein und der Handlungsfähigkeit Europas im digitalen Zeitalter zusammenhängt“. Der Sprecher sagte, das Ziel des Plans bestehe darin, die Möglichkeiten der „Souveränen Cloud“ durch öffentliche Beschaffung und andere Instrumente zu erweitern und mehr Anbieter von Cloud- und KI-Diensten mit unterschiedlichem Hintergrund beim Markteintritt zu unterstützen.
Aus Sicht der öffentlichen Meinung in Europa ist diese Diskussionsrunde über den Weg zum Cloud-Zugang für sensible Regierungsdaten nicht nur eine Frage des Binnenmarktwettbewerbs, sondern wird auch als umfassendes Spiel um geopolitischen Wettbewerb, Datensouveränität und Sicherheitsrisiken gesehen. Wie ein Gleichgewicht zwischen der Gewährleistung der Sicherheit kritischer Daten, der Aufrechterhaltung offener Märkte und der Förderung technologischer Innovationen hergestellt werden kann, wird für die EU nach der Einführung des „Technologischen Souveränitätsplans“ zu einer langfristigen Herausforderung werden.