Die jüngste Ankündigung einer „neuen, unabhängigen Cloud für Europa“ durch Amazon Web Services (AWS) hat die wachsende Divergenz zwischen den Positionen von Paris und Berlin hinsichtlich der digitalen Souveränität im Cloud-Sektor unterstrichen.
Der Schritt von AWS letzte Woche erfolgte als Teil eines allgemeinen Trends, bei dem amerikanische Hyperscaler – ein Begriff, der Cloud-Dienstleister mit massiven Aktivitäten beschreibt – versuchen, auf die Bedenken von EU-Ländern einzugehen, die ihre Daten innerhalb der Grenzen Europas behalten wollen.
Beispiele aus der Vergangenheit sind führende Marktteilnehmer wie Microsoft, das im Juli 2022 sein Angebot „Microsoft Cloud for Sovereignty“ ankündigte, und Oracle, das im vergangenen Juni sein EU-Angebot „Sovereign Cloud“ auf den Markt brachte.
„Was mich am meisten beunruhigt, ist, dass das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) die AWS European Sovereign Cloud befürwortet hat“, sagte der französische zentristische Abgeordnete Philippe Latombe gegenüber Euractiv und erklärte, er befürchte, dass „die Deutschen anfangen, Druck“ gegen Frankreichs höchste Cloud auszuüben Sicherheitszertifizierung namens SecNumCloud.
AWS war tatsächlich der erste Cloud-Service-Anbieter, der das C5-Testat des BSI erhielt, eine deutsche Cloud-Sicherheitszertifizierung, die auf demselben internationalen Standard wie SecNumCloud basiert.
BSI-Generaldirektorin Claudia Plattner sagte in einer Erklärung, dass sie „sehr erfreut sei, die lokale Entwicklung einer AWS-Cloud konstruktiv zu begleiten, die auch zur europäischen Souveränität in Sachen Sicherheit beitragen wird“.
Was ist eine sichere Cloud?
Laut Arnaud David, Director of European Affairs bei AWS, hat das Unternehmen technische Bausteine implementiert, darunter Schutzmaßnahmen, Kontrollen und Sicherheitsfunktionen, die es Kunden ermöglichen, Zugriffsbeschränkungen durchzusetzen, sodass niemand, auch nicht von AWS, auf Kundendaten zugreifen kann.
Er erklärte weiter, dass AWS nicht auf Kundendaten zugreifen kann, es sei denn, der Zugriff wird von seinen Kunden gewährt, und dass AWS seinen Kunden Verschlüsselungstools zur Verfügung stellt. Darüber hinaus werden nur in der EU ansässige AWS-Mitarbeiter den Betrieb der europäischen Sovereign Cloud von AWS kontrollieren.
Rechtskonflikte
Für MP Latombe kann „AWS Cloud nicht souverän sein, weil es dem US-amerikanischen FISA und Cloud Act unterliegt“, Gesetzen, die US-Unternehmen, US-Bürger oder ausländische Tochtergesellschaften auf US-amerikanischem Boden zur Zusammenarbeit mit den US-Sicherheitsbehörden verpflichten.
Laut David von AWS: „Wenn AWS im Rahmen des FISA aufgefordert wird, Daten an US-Behörden zu senden, wird Amazon jede Anfrage anfechten, die es für unangemessen hält, insbesondere wenn sie im Widerspruch zu lokalem Recht steht, wie etwa der Datenschutz-Grundverordnung (DSGVO) der EU.“ EU.”
Natürlich beteuert jedes Unternehmen, dass es keine sensiblen Informationen preisgeben wird, zumindest solange es nicht ins Kreuzfeuer widersprüchlicher Gerichtsbarkeiten gerät.
„Wir sind ein globales Unternehmen, das in jedem Land, in dem wir tätig sind, den Gesetzen unterliegt, einschließlich des US-amerikanischen Rechts“, sagte David und fügte hinzu, dass dies auch für EU-Unternehmen mit Tochtergesellschaften in den USA gelte.
Latombe ist anderer Meinung und argumentiert, dass europäische Cloud-Anbieter mit Niederlassungen in den Vereinigten Staaten nur über ihre in den USA ansässigen Tochtergesellschaften den US-Gesetzen unterliegen, was bei AWS nicht der Fall sei, einem in den USA ansässigen Unternehmen, das sich weltweit an US-Behörden halten muss.
Jean-Sébastien Mariez, Gründungspartner der französischen Technologierechtskanzlei Momentum Avocats, stellte fest, dass „der Speicherort der Daten für die Anwendbarkeit von US-Gesetzen künftig irrelevant sei“.
Während Amazon darüber hinaus damit wirbt, dass „nur in der EU ansässige AWS-Mitarbeiter“ auf Daten zugreifen werden, heißt es in einem Memo des niederländischen Nationalen Cyber-Sicherheitszentrums aus dem Jahr 2022, dass dies nicht unbedingt einen Schutz vor FISA- und Cloud-Act-Gesetzen bedeutet.
Deutsch-französische Divergenz
Traditionell konnte Paris auf die Unterstützung Berlins bei der Durchsetzung digitaler Souveränitätsprinzipien zählen, die ihre nationalen Champions gegenüber ausländischen Anbietern begünstigen. Im Gegensatz dazu bevorzugen kleinere Mitgliedstaaten den Kauf der besten verfügbaren Technologie unabhängig von ihrer Herkunft.
Aber eine deutsch-französische Meinungsverschiedenheit über das Konzept der Sovereign Cloud zeichnet sich schon seit langem ab. Unterschiedliche Auffassungen darüber, was digitale Souveränität für die Cloud-Infrastruktur bedeutete, führten dazu, dass das europäische digitale Souveränitätsprojekt Gaia-X seine politische Dynamik verlor.
Die Spannungen erreichten ihren Höhepunkt mit dem European Cloud Services Scheme (EUCS), einem Zertifizierungssystem für Cybersicherheit, bei dem Frankreich über seinen Kommissar Thierry Breton versuchte, die Souveränitätsanforderungen von SecNumCloud auf EU-Ebene zu reproduzieren.
Dieser Versuch stieß auf erheblichen Widerstand liberalerer Länder, angeführt von den Niederlanden. Da die liberale FDP wichtige Ministerien in der aktuellen Koalitionsregierung in Berlin besetzt, erhielt Frankreich nicht nur keine Unterstützung aus Deutschland, sondern wurde zeitweise mehr oder weniger offen kritisiert.
In diesem Zusammenhang befürchtet Latombe, dass die Deutschen eine pro-amerikanische und anti-französische Position einnehmen und daher „ihre industrielle Abhängigkeit von russischem Gas gegen eine Abhängigkeit von amerikanischen Digitalunternehmen eintauschen“ würden.
Aus diesem Grund hält er die C5-Zertifizierung für die AWS European Sovereign Cloud für „einen Haken“. [the French certification] SecNumCloud“, da zwischen den französischen ANSSI- und deutschen BSI-Behörden ein gegenseitiges Anerkennungsabkommen für Sicherheitszertifikate besteht, allerdings derzeit nur für die erste Sicherheitsstufe.
Ein BSI-Sprecher teilte Euractiv mit, dass es keinen konkreten Zusammenhang zwischen der AWS-Ankündigung und dem derzeit diskutierten EUCS gebe. Unterdessen sagte das deutsche Digitalministerium gegenüber Euractiv, es sei „sich dafür einsetzen, dass die [German] Wirtschaft kann im erforderlichen Umfang auf sichere und leistungsstarke Cloud-Strukturen zugreifen.“
Die französische ANSSI und das Digitalministerium lehnten Euractivs Bitte um Stellungnahme ab. Latombe beworben Am Montag (30. Oktober) teilte er mit, dass er zu diesem Thema eine schriftliche Anfrage an den französischen Digitalminister Jean-Noël Barrot geschickt habe.
[Edited by Luca Bertuzzi/Nathalie Weatherald]
