Dürfen Versicherer in der EU weiterhin US-Clouds nutzen?
Die EU-Kommission hat in den vergangenen Jahren eine Reihe von Vorschlägen vorgelegt, um digitale Dienste in Europa sicherer zu machen. Etwa im Bereich der Cloud-Services greifen Unternehmen allerdings insbesondere auf Angebote aus den Vereinigten Staaten zurück, auch weil europäische Lösungen fehlen oder nicht wettbewerbsfähig sind. Die Regulierung dieser Bereiche erfordert daher Fingerspitzengefühl. Andernfalls könnte europäischen Unternehmen das Geschäft sehr erschwert werden.
2020 wurde die Europäische Agentur für Cybersicherheit (ENISA) mit der Entwicklung eines European Cybersecurity Certification Scheme for Cloud Services (EUCS) beauftragt. Ziel ist es, die Sicherheit von Cloud-Diensten innerhalb der EU zu stärken.
Nach dem EUCS sollen Cloud-Anbieter künftig anhand einheitlicher und objektiver Kriterien in drei Sicherheitsstufen geclustert werden: „grundlegend“, „erheblich“ und „hoch“. Die Anwendung des EUCS soll zum jetzigen Zeitpunkt jedoch freiwillig sein. Nutzer/-innen von Cloud-Diensten sollen somit in die Lage versetzt werden, Cloud-Dienstleister informierter auszuwählen. Für Unternehmen wären klare Anreize geschaffen, noch stärker in Cybersicherheitsmaßnahmen zu investieren.
Kein europäischer Konsens über konkrete Souveränitätsanforderungen
Es wird darüber diskutiert, ob zur Erreichung der höchsten Zertifizierungsstufe („hoch“) sogenannte Souveränitätsanforderungen erfüllt werden müssen. Diese würden die Unabhängigkeit von außereuropäischen Rechtsakten, gegebenenfalls sogar einen europäischen Hauptsitz vorschreiben.
Dies birgt nicht nur Risiken mit Blick auf das Internationale Handelsrecht. Es steht auch zu befürchten, dass große US-Hyperscaler die Bedingungen für die höchste Zertifizierungsstufe aufgrund der Souveränitätsanforderungen nicht erfüllen können.
Einige Länder, wie Frankreich und Italien, sprechen sich dem Vernehmen nach für derart strenge Souveränitätsanforderungen aus. Andere Staaten, wie die Niederlande und Schweden, sehen jedoch genau dabei die Gefahr einer Innovationsbremse.
Kämen die Souveränitätsanforderungen zum Einsatz, könnten Versicherer durch künftige Vorschriften gezwungen werden, nur Cloud-Anbieter der höchsten Sicherheitsstufe zu nutzen. Die Zusammenarbeit mit US-amerikanischen Cloud-Anbietern wäre dann kaum mehr möglich. Da die EU selbst über keine vergleichbaren Alternativen verfügt, würde das fast zwingend einen technologischen Rückschritt bedeuten.
Insbesondere Regulierungen zur IT-Aufsicht, etwa der Digital Operational Resilience Act oder die überarbeitete Network and Information Security Directive (NIS 2), zeigen, dass sich die europäische Gesetzgebung tatsächlich in eine solche Richtung entwickeln könnte.
Datensicherheit und -souveränität: ja; de facto-Verbot der Nutzung von US-Clouds: nein
Der GDV unterstützt zwar das Ziel, mehr Sicherheit und Souveränität für europäische Cloud-Daten zu schaffen. Gleichwohl blickt die Branche sorgenvoll auf aktuelle Pläne, die Sicherheitsstufe „hoch“ an die Anforderung zu knüpfen, dass vollständige Unabhängigkeit zu Rechtsvorschriften außerhalb der EU bestehen muss.
Die Einführung neuer Souveränitätsanforderungen ohne sorgfältige Abwägung der unbeabsichtigten Folgen würde die Innovationskraft und Wettbewerbsfähigkeit der Branche schwächen.