Die neue Open-Source-Strategie der EU-Kommission bringt viele Forderungen der Community auf Papier. Rechtlich bindend sind die Maßnahmen allerdings noch nicht. Die anstehende Reform des EU-Vergaberechts könnte das ändern.

Als Teil ihres Gesetzespakets für digitale Souveränität („Tech Sovereignty Package“) hat die EU-Kommission am vergangenen Mittwoch auch eine neue europäische Open-Source-Strategie vorgestellt. Offene Technologien sollen dabei helfen, Europas Abhängigkeit von außereuropäischen Anbietern in kritischen Bereichen zu verringern.

„Es ist Zeit, dass wir das nutzen, was wir in Europa haben, um die Kontrolle über unsere gewünschte Zukunft zu erlangen“, sagte Digitalkommissarin Henna Virkkunen bei der Vorstellung der Strategie. Über drei Millionen Open-Source-Mitwirkende und 500 gewinnorientierte Open-Source-Unternehmen gebe es in Europa. Trotzdem würden jedes Jahr mehr als 260 Milliarden Euro für digitale Produkte und Dienstleistungen aus Nicht-EU-Ländern ausgegeben. Die Kommission argumentiert weiter, dass Europa zwar erhebliche wirtschaftliche Werte durch Open-Source-Projekte schaffe, die daraus entstehenden Gewinne aber häufig außerhalb Europas abgeschöpft würden.

Die neue Strategie soll das ändern. Sie soll die gesamte Kette abdecken: von Forschung und Entwicklung über die Markteinführung und den Einsatz von Open-Source-Software bis hin zur langfristigen Wartung und Steuerung kritischer Open-Source-Komponenten.

Open Source im Mittelpunkt der Digitalpolitik

Ein grundlegender Wandel ist allein der politische Stellenwert, den die Kommission Open Source nun zuschreibt. Die Denkfabrik OpenForum Europe verweist darauf, dass die Kommission erstmals einen umfassenden Rahmen für Open Source geschaffen habe und den entscheidenden Beitrag von Open Source zu Souveränität, Wettbewerbsfähigkeit und Innovationskraft Europas anerkenne. Die gemeinnützige Organisation spricht deshalb von einem „definierenden Moment“ für die europäische Open-Source-Politik.

Das Sozialunternehmen Open Ireland Network hält das Framing der Strategie für ebenso wichtig wie die Verpflichtungen, die sich daraus ergeben. Zum ersten Mal habe die Kommission Open Source als Grundlage für einen europäischen Technologie-Stack positioniert statt wie zuvor als Sparmaßnahme. Die irische Organisation bezeichnet die Strategie als „ehrgeizig“ und stellt konkrete Maßnahmen heraus wie die Mobilisierung von zwei Milliarden Euro über sieben Jahre im öffentlichen und privaten Sektor, ein Open-Source-Wartungsinstrument für kritische Infrastrukturen und das konkrete Ziel von 30 Millionen Nutzenden offener Kollaborationstools bis 2030.

„Wir freuen uns, dass die Strategie viele Prioritäten der Open-Source-Communitys abdeckt“, kommentiert Jordan Maris, Leiter der EU-Politik bei der Open Source Initiative. Dazu zählt er unter anderem Maßnahmen zur Erleichterung der Ansiedlung von Open-Source-Projekten in Europa und zum Abbau von Hindernissen bei der öffentlichen Beschaffung von Open-Source-Software.

Verknüpfung mit digitalen Brieftaschen

Offene Alternativen zu proprietären Lösungen will die Kommission gezielt fördern und dazu mit den Mitgliedstaaten im Konsortium für eine europäische digitale Infrastruktur (EDIC) zusammenarbeiten. Besonders auffällig ist dabei die Verknüpfung mit den digitalen Brieftaschen der EU: der Eudi-Wallet und der European Business Wallet. Die Kommission plant Open Source also direkt in eigene Projekte einzubauen, anstatt nur einzelne Initiativen zu fördern.

Grundsätzlich erklärt die Kommission, selbst mehr Open Source nutzen zu wollen. Öffentliche Verwaltungen sollen zu „Ankerkunden“ werden und zum Open-Source-Ökosystem beitragen. Dafür wird die öffentliche Beschaffung entscheidend. Ausschreibungen sollen „Open-Source-freundlicher“ und die Wiederverwendung öffentlicher Software erleichtert werden. Bei der Gestaltung von Ausschreibungen sollen Behörden zudem beraten werden, Offenheit und Souveränität bei Entscheidungen über Investitionen als Faktoren berücksichtigt werden.

Nach Ansicht vieler Beobachter:innen entscheidet sich hier, ob die Strategie tatsächlich die gewünschten Effekte erzielen wird. Schon in einer Konsultation zu der Strategie im Januar hatten viele Akteure eine Priorität von Open Source in der Beschaffung gefordert, darunter das deutsche Unternehmen Nextcloud. Sein CEO, Frank Karlitschek, begrüßt den Ansatz der neuen Strategie: „Öffentliche Gelder sollten in der Tat für öffentlichen Code ausgegeben werden – Public Money, Public Code.“ Indem die EU als strategischer Kunde auftrete, könne sie dem privaten Sektor das Vertrauen für Investitionen geben.

Allerdings fehlten noch konkrete Ziele und Änderungen im Beschaffungswesen, kommentiert Karlitschek. Ohne diese seien die Pläne zur „Förderung“ und „Unterstützung“ von Open Source „nur gut gemeinte Ausgaben von Steuergeldern, die sofort durch die deutlich umfangreichere Beschaffung von US-amerikanischer proprietärer Technologie untergraben werden“.

Rechtliche Verbindlichkeit fehlt

Die Free Software Foundation Europe (FSFE) kommt zu einer ähnlichen Bewertung. Die ausdrückliche Anerkennung von „Public Money? Public Code!“ in der Strategie, neun Jahre nachdem die FSFE die Initiative ins Leben rief, könne „ein wichtiger Schritt vorwärts für die Softwarefreiheit in Europa“ sein, sagt Johannes Näder, Senior Policy Project Manager bei der FSFE. Jedoch müsste dieser Grundsatz zu einer verbindlichen Anforderung bei öffentlichen Ausschreibungen gemacht werden. „Würde auch nur die Hälfte der 264 Milliarden Euro an öffentlichen IT-Ausgaben in Europa von proprietären Lösungen auf freie Software umgeleitet, würde dies die europäische technologische Souveränität stärken“, meint Näder.

Peter Ganten, Geschäftsführer des deutschen Unternehmens Univention, sieht ebenfalls eine Schwachstelle in der fehlenden Verbindlichkeit. Nach jetzigem Stand würden Mitgliedstaaten nur dazu verpflichtet, Open Source zu „fördern“. Dabei gebe es Ausnahmen, die im Zweifel „fast jede Entscheidung“ nachträglich rechtfertigen könnten. Die zentrale Frage sei: „Wer muss eigentlich begründen, warum Abhängigkeit in Kauf genommen wird und wo ist diese Begründung nachvollziehbar, prüfbar und auditierbar?“ Bislang fehle dieser Durchsetzungsmechanismus.

Die Strategie ist rechtlich nicht bindend. Daher hängt ihr Erfolg „von der entschlossenen Umsetzung“ der EU-Kommission ab, sagt die grüne Europaabgeordnete Alexandra Geese. Die Empfehlungen für die öffentliche Beschaffung könnten allerdings im EU-Vergaberecht verpflichtend gemacht werden. Die Reform der Vergaberichtlinien („Public Procurement Act“) will die Kommission am 1. Juli präsentieren.

Und auch der „Cloud and AI Development Act“ (CADA), ein Gesetz, das die Kommission als Teil des Souveränitätspakets präsentiert hat, ist zentral. Hier wird das Prinzip „Open Source First“ bei der Beschaffung von Cloud und KI festgehalten. Allerdings müssen noch das EU-Parlament und der Rat ihre Position zu dem Gesetz erarbeiten und anschließend im Trilog verhandeln. Selbst ein nicht-bindender Grundsatz könnte also noch im Gesetzgebungsprozess abgewandelt werden.

Kommission will nur zwei Milliarden Euro „mobilisieren“

Neben neuen Beschaffungsregeln wurde in der Konsultation insbesondere eine bessere Finanzierung des Open-Source-Ökosystems gefordert. Der EU-Abgeordnete Matthias Ecke (SPD) erklärt: „Wichtig ist nun, dass auch konkrete Förderinstrumente folgen – denn Open-Source-Projekte sind chronisch unterfinanziert.“ Michiel Leenaars von der niederländischen NLnet Foundation hatte vor Kurzem im Interview mit netzpolitik.org darauf hingewiesen, dass es für 2027 noch kein Budget für das Förderprogramm „Open Internet Stack“ der Kommission gibt. Der mehrjährige EU-Haushalt befindet sich derzeit noch in der Verhandlung.

Für alle Maßnahmen der Strategie will die Brüsseler Behörde zwei Milliarden Euro über sieben Jahre „mobilisieren“. Das sei nur ein kleiner Bruchteil der 264 Milliarden Euro, die jährlich für proprietäre Software und Dienstleistungen ausgegeben werden, kommentiert die Free Software Foundation Europe. In einer Analyse für TechPolicyPress bewerten Vertreter:innen von OpenForum Europe die Summe als „unzureichend“. Zwei Milliarden Euro wären „ein guter Anfang“, schreiben die Autor:innen, aber für alle aufgeführten Maßnahmen zu wenig Geld. Sie ermutigen die Kommission daher, sich um zusätzliche Mittel zu bemühen.

Eine der Maßnahmen, für die schon länger Finanzierung gefordert wurde, ist ein Open-Source-Wartungsinstrument für kritische Infrastrukturen. Es soll sicherstellen, dass kritische Open-Source-Komponenten langfristig gepflegt werden. Diesen Schritt begrüßen viele Akteure ausdrücklich. Die Sovereign Tech Agency, eine GmbH im Auftrag des deutschen Bundesdigitalministeriums, kommentiert etwa: „Das Open-Source-Wartungsinstrument schließt eine strukturelle Lücke, die unsere Arbeit von Anfang an geprägt hat: Kritische Open-Source-Infrastruktur schafft öffentlichen Mehrwert, ist jedoch oft unterfinanziert und institutionell anfällig.“

Kommt ein europäischer Fonds?

Am 19. Juni sollen bei einem Treffen in Paris die ersten Aktivitäten des EDIC starten, informiert die CEO der Sovereign Tech Agency, Adriana Groh. Dort soll auch ein Pilotprojekt für einen Sovereign Tech Fund auf EU-Ebene zur Sprache kommen. In Brüssel wird erwogen, einen solchen europäischen Fonds nach deutschem Vorbild aufzubauen. In Deutschland hat die Sovereign Tech Agency den Fonds aufgebaut.

Ob aus der neuen Strategie tatsächlich ein Wendepunkt für Open Source in Europa wird, hängt von vielen Faktoren ab: der Reform des Vergaberechts, dem Willen der Mitgliedstaaten, der Positionierung des Parlaments. Klar ist jedoch, dass die Kommission viele Punkte aufgenommen hat, die die Open Source Community schon seit Jahren fordert. Und sie versteht Open Source nun als wichtigen Faktor für die digitale Souveränität.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit einem Paket an Gesetzen will die EU-Kommission digital souveräner werden. Aber das positiv besetzte Label verschleiert eine knallharte Industrie-Agenda: Neue Rechenzentren sollen massig Energie verschlingen. Ein Kommentar.

Das Problem verfolgt die Debatte um digitale Souveränität wie ein Schatten: Der Begriff ist nicht definiert. Wer genau sich von wem unabhängiger machen soll, bleibt unklar. Nun will die EU den Ausbau von Rechenzentren als Schritt zu mehr Souveränität verkaufen. Dabei entstehen allerdings neue Abhängigkeiten, und zwar von Energieversorgern.

Am Mittwoch hat Kommissions-Vizepräsidentin Henna Virkkunen das lang erwartete Technological Sovereignty Package präsentiert. Von der Hardware bis zur Software will die Kommission Europa technologisch autonomer und resilienter machen. „Wir können es uns nicht leisten, bei den Technologien, die den Betrieb unserer Krankenhäuser, die Stabilität unserer Energienetze und die Sicherheit unserer Dienste gewährleisten, von anderen abhängig zu sein“, lässt sich Ursula von der Leyen (CDU) zitieren.

Doch die Kommission verfolge eine Definition von digitaler Souveränität, mit der sie „Regulierung und regulatorische Durchsetzungsfähigkeit weitgehend ausblendet“, kritisiert Marielle-Sophie Düh. Sie ist Doktorandin am Centre for Digital Governance der Hertie School und Mitglied der Forschungsgruppe „Politics of Digitalization“ vom Wissenschaftszentrum Berlin für Sozialforschung. Letztlich reduziere die Kommission „Souveränität auf ein industriepolitisches Projekt“.

Energiebedarf: verfünffachen

Daraus macht die Kommission keinen Hehl. Ganz offiziell will sie mit dem Paket „die Wettbewerbsfähigkeit und die geoökonomische Position Europas stärken“, heißt es in einer Zusammenfassung. Hierfür will sie den Weg für mehr Rechenzentren ebnen.

Offenbar waren die Lobby-Bestrebungen von Wirtschaftsverbänden erfolgreich. Im Vorfeld hatte etwa der Verband der Internetwirtschaft eco gewarnt: Europa dürfe „den Ausbau von Rechenzentren nicht durch neue Regulierung selbst ausbremsen“. Dabei ist Deutschland heute schon nach den USA das Land mit den weltweit meisten Rechenzentren.

Nun will die EU-Kommission Genehmigungsverfahren für Rechenzentren unter bestimmten Bedingungen beschleunigen. Wie ein hochrangiger EU-Beamter erklärte, visiert die Kommission mit ihrem Paket an, dass sich der Energiebedarf europäischer Rechenzentren in etwa verfünffachen wird – von zurzeit 12 Gigawatt auf 60 Gigawatt im Jahr 2035.

Damit verschlingen Rechenzentren zunehmend große Teile des Strombedarfs ganzer EU-Länder. Rechenzentren in Irland beanspruchen bereits heute 22 Prozent des dortigen Bedarfs, mehr als ein Fünftel. In Deutschland sind es noch vier Prozent.

Umweltvorschriften: verwässern

Um „den Weg für diese stromfressenden Rechenzentren frei zu machen“, sei die Kommission dazu bereit, „Umweltvorschriften zu verwässern“, kritisiert Bram Vranken. Er ist Forscher und Aktivist beim Corporate Europe Observatory und untersucht die Lobby-Taktiken von Unternehmen wie Meta, Amazon und Google. Dafür werfe die Kommission ihre Klimaziele über den Haufen. So habe Big Tech mithilfe aggressiver Lobbyarbeit den „Plan der Kommission, Mindeststandards für die Nachhaltigkeit von Rechenzentren einzuführen, zum Scheitern gebracht“, so Vranken.

Er warnt: Mit ihrer Wirtschaftspolitik wird die EU „unser aller Stromrechnungen in die Höhe treiben“. In Irland ist das seit mindestens einem Jahr bittere Realität.

KI-Wettlauf: mithalten

Mit den Rechenzentren und ihrem Energiehunger will die EU im weltweiten KI-Wettlauf mithalten. Dafür hat die Kommission schon vor gut einem Jahr den Aktionsplan „Kontinent KI“ aufgestellt, wonach sogenannte Künstliche Intelligenz die Wettbewerbsfähigkeit Europas entscheidend bestimme.

Auch wenn Tech-Konzerne gerne ein anderes Bild vermitteln, verbraucht vor allem generative KI viel Energie und treibt den Bedarf weiter in die Höhe: So erwartet die Internationale Energieagentur, dass der Stromverbrauch aller Rechenzentren weltweit bis 2030 auf rund 945 Terrawattstunden ansteigt. Das wäre doppelt so viel wie im Jahr 2024.

Die Kommission will zwar an der Energieeffizienz schrauben, um den Bedarf an teurer Energie aus fossilen Brennstoffen zu begrenzen und stärker auf erneuerbare Energien zu setzen. Aber in welchem Ausmaß wird das gelingen? In Deutschland geht Wirtschaftsministerin Katherina Reiche (CDU) einen ganz anderen Weg. Die Ex-CEO des Strom- und Gasnetzbetreibers Westenergie bastelt an der Ausschreibung für mehr Kapazität bei Gastkraftwerken: 20 Gigawatt bis 2030.

Für die„AI First“-Mentalität der EU-Kommission ist „digitale Souveränität“ bloß ein Label. Im Zentrum steht der globale Industrie-Wettbewerb – nicht Folgen für Umwelt oder Gesellschaft. Jüngst hat die EU-Kommission den Siemens-Vorstandsvorsitzenden Jim Hagemann Snabe als Berater für industrielle KI eingesetzt. In Brüssel gab es dafür viel Kritik, immerhin hatte sich Snabe dafür eingesetzt, KI-Vorschriften in der EU zu schleifen. Die Folgen der KI-Politik dürften jedoch alle treffen, spätestens bei der Stromrechnung.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission hat ein Gesetz vorgestellt, mit dem sich die Mitgliedstaaten in Sachen Cloud und KI-Entwicklung von US-amerikanischen Anbietern unabhängiger machen sollen. Doch das Gesetz bleibt zurückhaltend und lässt vieles offen, kritisieren Fachleute.

„Über Geld spricht man nicht“ heißt es hierzulande gerne. Außer mit dem Finanzamt natürlich. In der Steuerverwaltung landen Informationen über Einkünfte, in der Sozialverwaltung landen Informationen über Phasen von Arbeitslosigkeit oder Wohngeld-Auszahlungen, in der Gesundheitsverwaltung landen Informationen über Krankheitsverläufe. Sensible Informationen, die viel über unser Leben verraten.

Und was macht die öffentliche Verwaltung damit? Sie schiebt die Daten zunehmend in die Cloud. Die gehört meistens Microsoft, Google, Amazon oder Oracle. Ob direkt oder über einen Subunternehmer – Verwaltungen greifen meist auf Dienste US-amerikanischer Cloud-Anbieter zurück.

Sind die Daten in einer solchen Public Cloud sicher? Und sollten Behörden in Sachen digitale öffentliche Infrastruktur auf US-Big-Tech setzen? Diese Fragen sind drängender geworden, seitdem bekannt wurde, welchen Einfluss US-Präsident Donald Trump hier ausübt und ausüben kann.

Die „geopolitische Lage“ heißt Trump

Diese „geopolitische Lage“ sei dringlich, so die Vizepräsidentin und EU-Kommissarin Henna Virkkunen bei der gestrigen Pressekonferenz zum neuen Tech Sovereignty Package. Es umfasst den Chips Act 2.0, die Open-Source-Strategie der EU und den Fahrplan für Digitalisierung und KI im Energiesektor.

Welchen Zugriff die US-Regierung künftig auf europäische öffentliche Informationen haben kann, will die Kommission mithilfe des Cloud and AI Development Acts (CADA) regulieren; das vierte Element im Packet. Doch gerade CADA scheint ein sehr zaghaftes Instrument der EU für mehr Unabhängigkeit von US-Big-Tech zu werden. Denn für einen großen Teil staatlicher Daten schließt die Kommission US-Cloud-Anbieter nicht vom europäischen Markt aus.

Nach ihrer Rechnung könnten gut 99 Prozent, mindestens aber 70 Prozent, staatlicher Daten der EU-Mitgliedsländer auf Clouds von US-Anbietern landen. Diese Zahlen beruhen auf einer Schätzung der Kommission zur Risikobewertung staatlicher Daten. EU-Mitgliedstaaten sollen nach einem vorgegebenen Stufensystem die Risiken bei der Beschaffung von Cloud-Diensten prüfen.

Zugriff auf Daten durch US-Regierung

Auf der anderen Seite des Atlantiks stehen dem Pakt Gesetze wie der Foreign Intelligence Surveillance Act (FISA), der Patriot Act und der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) gegenüber. Laut CLOUD Act sind Tech-Unternehmen mit Sitz in den USA wie Microsoft oder Google dazu verpflichtet, unter bestimmten Voraussetzungen Daten gegenüber US-Behörden offenzulegen.

Dazu zählen auch Daten aus der EU. Das ist unabhängig davon, ob die Daten eines US-Unternehmens auf einem Rechenzentrum innerhalb der EU gespeichert sind, so ein juristisches Gutachten der Universität Köln im Auftrag des Bundesinnenministeriums. Bestätigt hat das aber auch der Chefjustiziar von Microsoft Frankreich, Anton Carniaux. Vor gut einem Jahr erklärte er dem französischen Senat: Wenn französische Behörden Microsoft nutzen, kann die US-Regierung diese Daten einsehen. Dafür müssen die Behörden nicht einmal ausdrücklich zugestimmt haben.

Trump kann sogar öffentliche Angestellte und Beamt:innen daran hindern, ihrer Arbeit nachzugehen. Das zeigen die Fälle von Richter:innen und einem Chefankläger am Internationalen Strafgerichtshof. Trump veranlasste, dass sie Dienste von Microsoft, Paypal und Co. nicht mehr nutzen können; auch auf ihre Accounts und darin enthaltene Daten können sie nicht mehr zugreifen.

Womit hält die EU dagegen?

Anhand von vier Sicherheitsstufen, den sogenannten „Union Assurance Levels“, sollen EU-Mitgliedstaaten nun die Cloud-Dienste auf den Prüfstand stellen, die sie nutzen: Welches Risiko wäre gegeben, wenn Daten an Nicht-EU-Staaten abfließen? Oder wenn ein Dienst ausfallen würde? Für diese Risikobewertung sollen die Länder ein Jahr Zeit haben, dann müssen sie ihre Ergebnisse veröffentlichen.

Demnach müssen Cloud-Anbieter für ihre Dienste je nach Stufe bestimmte Kriterien erfüllen. Stufe 1 benötigt ein niedriges Maß an Souveränität, Stufe 4 ein hohes. Bei Daten, die weniger sensibel sind, reiche die Sicherheitsstufe 1 aus. Demnach müssten Behörden lediglich sicherstellen, diese Daten in europäischen Rechenzentren zu speichern statt in beispielsweise US-amerikanischen. Öffentliche Auftraggeber in den EU-Mitgliedstaaten sollen nur Cloud-Dienste beschaffen, die mindestens Stufe 1 erfüllen. Hier ändert sich für die großen Cloud-Anbieter aus den USA wie Amazon und Google nichts. Denn sie haben die dazu erforderlichen Niederlassungen in der EU und betreiben hier bereits eigene Rechenzentren.

Auch mit der zweiten Sicherheitsstufe würde sich für sie nichts ändern, das erklärte ein hochrangiger EU-Beamter. Die Kommission hat dabei das Risiko eines Kill Switch im Blick. Damit ist gemeint, dass Betreiber aus der Ferne das IT-System abschalten könnten. Der jeweilige Cloud-Anbieter muss bei Stufe 2 ausschließen, dass Nicht-EU-Länder wie die USA oder China den Kill Switch umlegen könnten.

Cloud-Anbieter aus den USA ausschließen?

Stufe 3 soll erfordern, dass sich Cloud-Anbieter innerhalb der EU befinden und von dort aus kontrolliert werden. Daneben sollen sie Mitarbeitende mit europäischer Staatsangehörigkeit beschäftigen. Einflussnahme durch Drittstaaten soll damit reduziert werden. Virkkunen erklärte auf der Pressekonferenz, dass es US-Cloud-Anbieter schwer haben würden, Stufe 3 zu erreichen.

Doch es gibt ein Schlupfloch: Nach Artikel 18 hat die Kommission die Möglichkeit „von den Anforderungen auf Stufe 3 abzuweichen und Drittstaaten für Cloud-Anbieter anzuerkennen“, so Dennis-Kenji Kipker, Research Director und Gründer des Frankfurter Cyberintelligence Institute, gegenüber netzpolitik.org. Dazu dienen sogenannte Angemessenheitsbeschlüsse im Gesetz. Solche Beschlüsse beim Thema Datenschutz haben in der Vergangenheit gezeigt, dass die Kommission die USA trotz erheblicher Bedenken als vertrauenswürdigen Partner ansieht.

Die höchste Stufe soll nicht nur besonders für sicherheitssensible Bereiche gelten, sondern biete laut Kommission auch maximale Souveränität: EU-Länder sollen ihren gesamten Technologie-Stack von der Hardware bis zur Software vollständig kontrollieren. Das würde Nicht-EU-Anbieter ausschließen. Demnach dürften Cloud-Anbieter in dieser Stufe keiner Einflussnahme aus einem Drittland unterliegen.

Mitgliedstaaten entscheiden

Es bleibe „den Mitgliedstaaten vorbehalten“, wie sie bewerten, was „souveränitäts- und sicherheitskritisch“ ist. Die Kommission gibt also nicht vor, wie die EU-Länder das Stufensystem umsetzen sollen. Sie empfiehlt etwa die Bereiche Justiz, Polizei und Grenzschutz der Stufe 2 zuzuordnen. Das kritisiert die Grünenpolitikerin Alexandra Geese. „Wer akzeptiert, dass eine außereuropäische Regierung im Ernstfall Einfluss auf den Betrieb kritischer digitaler Infrastrukturen von Justiz, Polizei, nationale Sicherheit und Grenzschutz nehmen oder deren Verfügbarkeit gefährden kann, schafft institutionalisierte Abhängigkeit.“

Der Stufe 4 ordnet die Kommission den Bereich Verteidigung zu. Das würde nur etwa ein Prozent staatlicher Daten betreffen. Der Großteil von 70 Prozent sei weniger schutzbedürftig und falle damit unter Stufe 1, während 20 Prozent unter Stufe 2 und neun Prozent unter Stufe 3 fielen.

Inwieweit EU-Länder jedoch US-Cloud-Anbieter meiden und wie „das Ergebnis der Bewertung und Einordnung des Sicherheitsniveaus“ ausfällt, hänge wesentlich von ihrem „Risiko-Sicherheitskontext“ ab, so Kipker. Die Kommission spricht hier kein Vergabeverbot aus. Die Länder entschieden also selbst, ob „in einem besonders sensiblen Anwendungsfall die Wahl eines hohen Sicherheitsniveaus einen außereuropäischen Anbieter faktisch ausschließt“.

Die Kommission gibt auch nicht vor, wie die EU-Länder ihre Behörden von einem Cloud-Anbieter wie Amazon oder Microsoft zu einem europäischen Anbieter migrieren. Immerhin hätte CADA nach Inkrafttreten „unmittelbare Geltung und Anwendungsvorrang, und die Kommission könnte Verstöße über das Vertragsverletzungsverfahren nach AEUV durchsetzen“, erklärt Kipker.

Das Gesetzespaket geht nun an das europäische Parlament und die Mitgliedstaaten. Gerade von letzteren hängt ab, ob sich die Cloud-Landschaft für die Behördenarbeit in der EU tatsächlich verändert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.