Souveräne Cloud: Europa braucht einen Sovereign Cloud Code of Conduct
Was ist eine souveräne Cloud und wo kommt der Bedarf dafür her? Der Jurist Johan David Michels von der Queen Mary University of London ist diesen Fragen im Rahmen des Cloud Legal Projects im Auftrag von Broadcom nachgegangen.Souveräne Cloud, so Michels, kann Unterschiedliches bedeuten, je nachdem, wessen Perspektive man einnimmt. Aus Anwendersicht geht es um Kontrolle über die genutzten Cloud-Ressourcen und den Datenzugriff. Dahinter stehen die Befürchtung, dass ausländische Regierungen etwa auf Grundlage des US-amerikanischen CLOUD Act auf die Daten zugreifen, sowie die Anforderungen nationaler und EU-Regulierung wie der DSGVO. Bedenken gibt es vor allem in sensiblen Sektoren wie dem Gesundheitswesen, kritischer Infrastruktur und Verteidigung.Souveräne Cloud als Teil der digitalen SouveränitätEuropäische Politiker sehen die souveräne Cloud als Teil der Debatte über digitale Souveränität und strategische Autonomie, um eine übermäßige Abhängigkeit von US-Diensten zu vermeiden – eine Sorge, die angesichts der „America First“-Agenda von US-Präsident Trump wächst. Für europäische Cloud-Anbieter schließlich ist Souveränität eine Chance zur Differenzierung. US-Hyperscaler hingegen vermarkten ihre eigenen „souveränen“ Dienste, die jedoch bei Anwendern auf Skepsis stoßen.Michels weist darauf, dass es weder eine verbindliche Definition von souveräner Cloud gibt noch die Anforderungen der DSGVO in Bezug auf Datenverarbeitung in der Cloud ganz klar sind. Das sorgt für rechtliche Unsicherheit und erlaubt es europäischen wie US-amerikanischen Cloud-Anbietern, ihre Dienste als souverän zu bezeichnen. Zudem wird der Data Act ab September 2025 weitere Verpflichtungen für Cloud-Anbieter bringen.Der Forscher schlägt daher vor, dass die Cloud-Branche in Abstimmung mit Regulierungsbehörden einen gemeinsamen Sovereign Cloud Code of Conduct entwickelt, der die Anforderungen von DSGVO und Data Act berücksichtigt. Der Sovereign Cloud Code of Conduct soll für Rechtssicherheit bei Anbietern wie Anwendern sorgen und sicherstellen, dass die Risiken für Personen, deren Daten verarbeitet werden, minimiert werden. Dazu sollte er verschiedene Modelle zur Reduzierung des Risikos des Zugriffs ausländischer Regierungen vorsehen – von einem Hosting bei europäischen Anbietern, die nicht der US-Gerichtsbarkeit unterliegen, bis zu technischen Maßnahmen wie Pseudonymisierung oder Verschlüsselung.Die Studie Sovereign Cloud for Europe diskutiert weitere Aspekte der souveränen Cloud und steht zum kostenlosen Download zur Verfügung.(odi)