Extraterritoriality

Stefan Krempl schreibt in »Kritik an BSI-Rahmen: Scheinsouveränität für die europäische Cloud?« für heise.de Die heise online vorliegende CISPE-Analyse macht große Schlupflöcher im C3A-Katalog aus. So sehe das Framework zwar vor, dass der primäre Cloud-Anbieter unter europäischer Kontrolle stehen müsse. Bei den weitaus wichtigeren Subunternehmern weiche das BSI diese Linie aber drastisch auf: Für sie wird lediglich eine registrierte Hauptniederlassung in Deutschland oder der EU verlangt. ...

Die Zitate von Professor Harald Wehnes sind überzeugend. Markus Feilner schreibt in »C3A-Kriterien des BSI: “Eine Einladung fürs Souveränitätswashing”« für golem.de Doch der grundlegende Widerspruch bleibt: “Die aktuellen Kriterienkataloge von BSI, EU und Zendis haben ein systematisches Problem: Sie prüfen Datenlokation, Verschlüsselung und Lieferketten, aber nicht die Rechtshoheit. Ein US-Unternehmen mit Rechenzentrum in Frankfurt erfüllt grundsätzlich alle diese Kriterien – und unterliegt doch dem Cloud Act und Fisa 702, die Datenabfluss an US-Behörden ermöglichen.” ...