Auf den Punkt: Europäische Institutionen und Deutschland arbeiten an digitaler Souveränität in der Cloud. US-Hyperscaler bieten Sovereign-Cloud-Modelle an, doch echte Unabhängigkeit erfordert kritische Prüfung von Standorten, Gerichtsständen, Datenschutz und möglichen Lock-In-Effekten.
Die unberechenbare Politik der US-Regierung verstärkt europäische Sorgen um Abhängigkeit von großen amerikanischen Cloud-Anbietern. EU-Institutionen und Deutschland arbeiten an Strategien für digitale Unabhängigkeit, während Hyperscaler mit „Sovereign Cloud"-Angeboten gegensteuern.
Das erratische Verhalten der aktuellen US-Regierung hat die Besorgnis Europas über seine Abhängigkeit von großen US-Cloud-Betreibern deutlich verstärkt. Sowohl die Europäische Kommission als auch das Europäische Parlament haben bereits Dokumente zu diesem Thema veröffentlicht. Im laufenden Jahr hat die Kommission zudem um Vorschläge für einen Cloud and AI Development Act gebeten. Auch Deutschland befasst sich intensiv mit der Frage der digitalen Souveränität.
Die großen Hyperscaler wie Azure, Google, AWS, Oracle und IBM haben alle Initiativen gestartet, um mit „Sovereign Cloud“-Modellen diesen Bedenken Rechnung zu tragen. Die Bewertung dieser Angebote erweist sich jedoch als schwierig: Manche Lösungen sind reine Marketingkampagnen – das deutsche ZenDiS spricht in solchen Fällen von „Souveränitäts-Washing“.
Bei der Evaluierung echter digitaler Souveränität sind mehrere Aspekte entscheidend: Geografisch nahe Rechenzentren bieten Vorteile für Ausfallsicherheit und Verbindungsgeschwindigkeit. Ebenso wichtig ist der Gerichtsstand bei Verträgen mit den Anbietern. Kritisch sind auch die Durchgriffsmöglichkeiten amerikanischer Konzernmütter auf ihre europäischen Tochterunternehmen und deren Dienstleistungen.
Das Beispiel des Internationalen Strafgerichtshofs in Den Haag zeigt: Sanktionen durch Executive Order können erhebliche Auswirkungen haben. Wie gut können Sovereign Clouds solche Szenarien tatsächlich abfangen? Weitere zentrale Fragen betreffen den Zugriff von US-Behörden auf gespeicherte und verarbeitete Daten gemäß US-CLOUD Act sowie die Einhaltung von GDPR und Datenschutzbestimmungen – besonders relevant für Anwendungen, bei denen der physische Speicherort von Daten ausschlaggebend ist. Nicht zuletzt stellt sich die Frage nach dem Ausmaß der Abhängigkeit durch Vendor- und Technologie-Lock-In. Hinzu kommt die fraglich gewordene Haltbarkeit des EU-US Data Privacy Framework.
Quelle: www.cert.at