1. Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen.
2. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann.
3. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss.
4. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers.
5. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten.
6. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht.

Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.

Auch jenseits der Kritik an Sweeneys Ernennung wird vor allem ein Aspekt in Zukunft eine Rolle spielen: Wie sich die europäischen Datenschutzaufsichtsbehörden bei ihren gemeinsamen Beschlüssen gegenüber den Vorlagen aus Dublin verhalten werden. In einigen Mitgliedstaaten wurden zuletzt ausgesprochen wirtschaftsnahe Datenschutzbeauftragte benannt – was sich auch in den verbindlichen Beschlüssen des Europäischen Datenschutzausschusses widerspiegelt, mit denen die Entscheidungen einzelner Aufsichtsbehörden überstimmt werden können. Das betraf in der Vergangenheit vor allem Irland – die DPC-Entscheidungen wurden mehrfach deutlich verschärft.

Bricht die europäische Einigkeit jetzt auch beim Datenschutz auseinander?

Bereits jetzt hat Europas historisches Versagen, weniger abhängig von einer Handvoll digitaler Gatekeeper zu werden, die eigene Wettbewerbsfähigkeit, den Wohlstand, die Souveränität und die Demokratie des Kontinents schwer geschädigt. In einer Zeit, in der Big Tech und seine politischen Verbündeten ihre Bemühungen verstärken, Macht und Einfluss in Europa zu konsolidieren, könnte weiteres Nichtstun sowohl politisch als auch wirtschaftlich katastrophal sein.

Schon lange ist klar: Wer von Gatekeepern abhängig bleibt, verliert Handlungsfreiheit. Aber wie soll man sich davon lösen in einer Gesellschaft, die lieber Dienstleister bezahlt, statt Wissen selbst aufzubauen?

Diese Frage stellt sich immer wieder. Wirklich überzeugende Antworten gibt es kaum. Am Ende bleibt nur die Rechtsprechung. Denn auf Versprechen oder gute Vorsätze ist selten Verlass.

Besonders drastisch könnten die Maßnahmen gegen die Plattform X ausfallen. Innerhalb der Kommission wird offenbar erwogen, X die personalisierte Werbung zu untersagen, was das Geschäftsmodell in Europa faktisch zerstören würde.

Darüber hinaus behält sich der Konzern vor, Daten aus EU und EFTA in beliebige Rechenzentren weltweit zu übertragen, wenn er es für die Untersuchung der Cybersicherheit als notwendig erachtet.

tagesspiegel.de schreibt in »Cloud: Microsoft stellt EU-Datengrenze fertig - Tagesspiegel Background«

Trotz regionaler Speicherung können bestimmte sicherheitsrelevante Daten in Ausnahmefällen mit globalen Schutzmaßnahmen übertragen werden. Microsoft betont, dass man durch Verschlüsselung und strenge Zugriffskontrollen höchste Sicherheitsstandards einhalte.

Nur zur Klarstellung: Die globalen Schutzmaßnahmen werden von den USA definiert, aber immerhin erfolgt das Abfließen der Daten verschlüsselt. Souverän wäre das jedoch nur, wenn man mitentscheiden könnte oder zumindest darüber informiert würde.

Friederike Moraht schreibt in »US-Drohungen: Bleibt die EU bei DSA und DMA standhaft?« für tagesspiegel.de

Gegen diese Erzählung stellt sich Breton vehement: Es sei die freie Entscheidung der Unternehmen, ob sie in der Europäischen Union Geschäfte machen wollen. „Wir zwingen sie nicht, zu kommen. Wenn sie nicht wollen, ist das ihre Sache.“ Kein einziges Land außerhalb der EU könne beschließen, ein Gesetz außer Kraft zu setzen, weil es ihm nicht gefällt. „So funktioniert das nicht. Wir erklären, was diese Regeln sind.“

Breton plädiert für mehr Selbstbewusstsein gegenüber Big Tech aus den USA. Man müsse sich bewusst sein, dass Europa für die Tech-Unternehmen einen unverzichtbaren Markt darstelle – „der größte digitale Markt der freien Welt“. „Wir müssen auf unsere Regeln stolz sein und verstehen, dass sie Teil unserer digitalen Souveränität sind.“

Verwendet aber beispielsweise ein Drittanbieter Open-Source-Komponenten im Rahmen seiner Geschäftstätigkeit, kann er für dadurch entstandene Schäden haftbar gemacht werden.

Möglicherweise könnte dieses Phänomen dazu führen, dass Open Source Software seltener in proprietäre Software integriert wird. Allerdings halte ich das für unwahrscheinlich, da in vielen Bereichen schlichtweg kaum Alternativen vorhanden sind. Ich nenne hier gerne die Faustformel: je unspektakulärer die Aufgabe der Software, desto weniger Alternativen existieren.

Eine plausiblere Entwicklung wäre, dass Unternehmen die Open Source Projekte durch Mitarbeit unterstützen oder die Entwickler unter Vertrag nehmen. Dies könnte dazu beitragen, die Stabilität und Leistungsfähigkeit der Open Source Software zu verbessern.

Im Rahmen der von Washington verlangten “Enhanced Border Security Partnership” (EBSP) wären die Behörden in der Lage, “die Fingerabdrücke von Reisenden, die eine Einreise oder einen Einwanderungsstatus anstreben, mit ihren entsprechenden Straf-, Terror- und Identitätsregistern abzugleichen”. Sie erhielten dann zahlreiche personenbezogene Daten, falls dabei ein Treffer erzielt würde. Eine solche Übereinkunft soll neue Bedingung für die zukünftige Teilnahme am Visa Waiver Programm (VWP) werden. Aktuell erlaubt dieses Programm über den vereinfachten ESTA-Antrag eine visumfreie Einreise in die USA.

Das klingt in meiner Vorstellung wirklich beängstigend. Was ist wenn es zu einer falschen Meledung kommt? Ich frage mich, wie dabei die Rechte des Einzelnen geschützt werden können. Biometriedaten, die einmal preisgegeben wurden, sind verbrannt. Sie können nicht erneut verwendet werden, um irgendetwas zu verschlüsseln. Stattdessen ermöglichen sie den US-Behörden den Aufbau einer gigantischen Datenbank.

Darunter fällt der gesamte Open-Source-Bereich inklusive der Entwicklung freier Software und offener Hardware sowie Open Data, datenschutzfreundliche Technologien und Netzausrüstung.

Genau geregelt würde darüber hinaus auch, welche Zutaten für die Marinade zulässig sind, wie dick die Fleischscheiben zu sein haben und wie lange mariniert werden muss.

Aus meiner Sicht ist das ein schwieriges Thema für uns Deutsche. Wer schon einmal eine originale Bolognese oder Pekingente probiert hat, weiß, dass wir Deutschen oft unsere eigene Interpretation bevorzugen.

Ein möglicher Kompromiss könnte sein, “Döner nach türkischer Art” zu regulieren, den Begriff “Döner” jedoch unverändert zu lassen.

Doch auch Deutsche Glasfaser will nach eigenem Vorteil abschalten. So schlägt Pfisterer vor, in der nordrhein-westfälischen Kreisstadt Borken, die eine Glasfaserquote von bereits 95,8 Prozent vorweisen kann, das Kupfernetz abzuschalten. Dort hat das Unternehmen seinen Hauptsitz.

Es wirkt befremdlich, wenn ein Unternehmen darauf drängt, dass das Kupfernetz der Konkurrenz schneller abgeschaltet werden soll, um die eigene Glasfaserstrategie voranzutreiben. Die Entscheidung, auf Glasfaser umzusteigen, sollte den Kunden selbst überlassen bleiben. Der Markt wird das in seinem eigenen Tempo regeln. Sollte dieser Wandel langsamer vonstattengehen, könnte es darauf hindeuten, dass die Telekom mit ihrem Fokus auf Vectoring richtig lag, bis ein realer Bedarf nach höheren Bandbreiten besteht.

Andreas Wilkens schreibt in »Streit über Microsoft 365: EU-Kommission verklagt EU-Datenschutzbeauftragten« für heise.de

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hatte drei Jahre lang die rechtlichen Aspekte der Verwendung von Microsoft 365 in der EU-Kommission untersucht. Im März dieses Jahres sagte er, die Kommission habe gegen mehrere Vorgaben aus der speziellen Datenschutzverordnung für die EU-Institutionen verstoßen. Insbesondere habe die Kommission keinen ausreichenden Schutz persönlicher Informationen gewährleistet, die über MS 365 in Drittstaaten wie die USA gehen.

Dieses Szenario ist aus mehreren Gründen bedeutsam. Erstens stellen wir uns die Frage, ob für die Kommission andere Normen gelten als für den Rest von uns? Zweitens, welche Botschaft sendet das, wenn die EU-Kommission ihre eigene Kontrollinstanz verklagt hat? Solche Vorgehensweise könnte dazu führen, dass Datenschutzbeauftragte zögern, auf Missstände hinzuweisen, was die DSGVO letztlich zu einer zahnlosen Entität machen könnte. Tatsächlich sägt dies an den Grundpfeilern unserer datenschutzrechtlichen Bestimmungen, die Weitestgehend dazu dienen sollten, Vertrauen in unsere digitalen und persönlichen Informationen zu wahren.

Außerdem müssten Nutzerinnen und Nutzer der automatisierten Durchleuchtung erst zustimmen. Tun sie das nicht, könnten sie keine Bilder und Videos mehr auf der jeweiligen Plattform verschicken.

Seien wir ehrlich, glaubt wirklich jemand, dass ein Individuum, welches sich an der Verbreitung kinderpornographischer Inhalte beteiligt, sich vorab die Genehmigung zur Überwachung einholt? Die Täter würden einfach ihre Kommunikationswege ändern oder andere Plattformen nutzen. Die Informationen zur genutzten Plattform werden höchstens noch über die überwachten Chats geteilt. Dieses vorgeschlagene Gesetz würde also nur diejenigen überwachen, die keine solchen Inhalte teilen.

Die nachfolgende Aussage offenbart, wie wenig Expertise vorhanden ist oder herangezogen wurde.

Er sei der Meinung, es dürften gar keine Handys in Umlauf sein, die es überhaupt ermöglichen, mit “solchem Material umgehen zu können, es also zu öffnen, zu bearbeiten oder zu versenden”. Dies sei, soweit er wisse, technisch möglich.

Nein, technisch lässt sich dieses Problem nicht lösen, ohne eine vollständige Bevölkerung unter pauschalen Verdacht zu stellen.