EU-Hosting = Cloud Souveränität dank EU-Tochtergesellschaften von US-Providern?

Das BSI hat in seiner letzten Veröffentlichung "C3A" (Cloud Souveränität Criteria enabling Cloud Computing Autonomy) gute Aspekte aufgezeigt, die in keiner Betrachtung zur Souveränität fehlen sollten.

Denn es geht um strategische Souveränität, rechtliche Souveränität, Datensouveränität, operative Souveränität, Souveränität in der Lieferkette und technologische Souveränität.

Ziele

Viele Ziele können auf dem Papier schnell erreicht werden, aber die Umsetzung in der Realität ist eine andere Sache. Beispielsweise kann ich eine Vereinbarung mit europäischen Töchtern von US-Konzernen schließen, das ist einfach.

Aber es gibt den CLOUD Act (Clarifying Lawful Overseas Use of Data Act), das ist ein seit 2018 bestehendes US-Gesetz zum Zugriff der US-Behörden auf gespeicherte Daten im Internet. Das Gesetz verpflichtet US-amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

Es ist die Frage, ob ich in der Praxis wirklich den Zugriff auf Daten vermeiden kann, wenn über die US-Mutter via CLOUD-Act der Zugang auf Daten bei der EU-Töchter gerichtlich erzwungen wird.

Denn viele EU-Hosting-Modelle der EU-Töchter von Hyperscalern funktionieren in etwa so, dass es europäische Rechenzentren, europäische Tochtergesellschaft, europäische Verträge und europäisches Personal gibt. Rechtlich mag das versucht werden und reduziert Risiken erheblich — beseitigt sie aber nicht vollständig, denn entscheidend bleibt: Hat die US-Mutter Kontrolle?

Ohne Dritte als Eigentümer (z. B. könnte der Bund als großer Gesellschafter einsteigen) mit realen Mehrheiten wird sich die wirtschaftlliche Beherrschung nicht lösen lassen.

Und was ist, wenn aus den USA heraus (ganz ohne Rechtsfragen) beispielsweise Administratorzugriffe möglich sind, Supportzugriffe existieren, Konzernweisungen durchsetzbar sind, Schlüsselmaterial mittelbar kontrolliert wird, Software-Updates zentral gesteuert werden und Konzernrichtlinien gelten?

Illusion

Eine Vereinbarung mit europäischen Tochtergesellschaften amerikanischer Konzerne verbessert Datenschutz und Compliance deutlich — sie beseitigt aber das strukturelle Risiko des US Cloud Act meist nicht vollständig.

Solange die US-Mutter die rechtliche, organisatorische, technische oder wirtschaftliche Kontrolle über die europäische Einheit ausüben kann, bleibt zumindest die Möglichkeit bestehen, dass US-Behörden Zugriff verlangen.

Machen wir uns nichts vor, die Hyperscaler und die US-Behörden werden nichts unversucht lassen, um ihre Macht (und den Umsatz) zu behalten oder zu erweitern! Deshalb ist „EU-Hosting“ nicht automatisch gleichbedeutend mit vollständiger digitaler Souveränität. Kritiker sehen daher die Bestrebungen der EU-Tochtergesellschaften als "Souveränitäts-Whitewashing".

Wirtschaftlichkeit

Man muss dazu also fragen, was die Organisation heute schon umsetzt, was sie umsetzen will und letztlich auch kann. Dabei sind die Fragen der Risikoeinschätzung sehr wichtig, die Zeitschiene ist von Bedeutung und letztlich ist es eine Frage der Wirtschaftlichkeit.

Nicht alles, was sinnvoll und umsetzbar ist, muss teuer sein, aber vieles wird Zeit und Geld kosten, wenn es angesichts der Technologieführerschaft und US-Vormacht (auch bei Open Source) überhaupt technisch möglich ist. Man muss sich darauf einstellen, dass Fragen zur Wirtschaftlichkeit die „Gretchenfrage“ sind: Was kann und will ich mir (heute oder morgen) leisten!

Und packen wir uns an der eigenen Nase: Das Angebot der Hyperscaler (gut, schnell, vermeintlich günstig) ist verlockend, wer kann widerstehen?

Fun Fact

Die Ziele der Informationssicherheit - auch beim Thema Souveränität - werden gerne mit dem Kürzel "CIA" abgekürzt, wobei "C" für Confidentiality, "I" für Integrity und "A" für Availability von Informationen steht. Aber das Kürzel "CIA" steht auch für den berühmten US-Auslandsgeheimdienst.

Wir helfen Ihnen gerne, die Souverantitätsfragen für Ihre Daten und Anwendungen im Rahmen eines ISMS anzugehen, kontaktieren Sie uns!