EU

Benjamin Hilbricht und Oliver Voß schreibt in »C3A-Katalog: Die BSI-Kriterien für souveräne Clouds« für tagesspiegel.de Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht. Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.

Falk Steiner schreibt in »Irland: Ehemalige Meta-Lobbyistin wird Datenschutzbeauftragte« für heise.de Auch jenseits der Kritik an Sweeneys Ernennung wird vor allem ein Aspekt in Zukunft eine Rolle spielen: Wie sich die europäischen Datenschutzaufsichtsbehörden bei ihren gemeinsamen Beschlüssen gegenüber den Vorlagen aus Dublin verhalten werden. In einigen Mitgliedstaaten wurden zuletzt ausgesprochen wirtschaftsnahe Datenschutzbeauftragte benannt – was sich auch in den verbindlichen Beschlüssen des Europäischen Datenschutzausschusses widerspiegelt, mit denen die Entscheidungen einzelner Aufsichtsbehörden überstimmt werden können. Das betraf in der Vergangenheit vor allem Irland – die DPC-Entscheidungen wurden mehrfach deutlich verschärft. ...

Matthias Spielkamp und Max von Thun Schreiben in »Trumps Drohungen: US-Angriffe auf Digitalgesetze: Die EU-Kommission muss gegenhalten« für tagesspiegel.de Bereits jetzt hat Europas historisches Versagen, weniger abhängig von einer Handvoll digitaler Gatekeeper zu werden, die eigene Wettbewerbsfähigkeit, den Wohlstand, die Souveränität und die Demokratie des Kontinents schwer geschädigt. In einer Zeit, in der Big Tech und seine politischen Verbündeten ihre Bemühungen verstärken, Macht und Einfluss in Europa zu konsolidieren, könnte weiteres Nichtstun sowohl politisch als auch wirtschaftlich katastrophal sein. ...

Andreas Donath schreibt in »EU erwägt Gegenschlag gegen Apple und Co.« für golem.de Besonders drastisch könnten die Maßnahmen gegen die Plattform X ausfallen. Innerhalb der Kommission wird offenbar erwogen, X die personalisierte Werbung zu untersagen, was das Geschäftsmodell in Europa faktisch zerstören würde.

Sven Festag schreibt in »Digitale Souveränität: Microsoft stellt EU-Datengrenze für Cloud-Dienste fertig« für heise.de Darüber hinaus behält sich der Konzern vor, Daten aus EU und EFTA in beliebige Rechenzentren weltweit zu übertragen, wenn er es für die Untersuchung der Cybersicherheit als notwendig erachtet.