EU-Vorschriftenentwurf sieht strengere Regeln für die Kennzeichnung der Cybersicherheit für Amazon, Google und Microsoft vor

Amazon, Alphabets Google, Microsoft und andere Anbieter von Cloud-Diensten außerhalb der Europäischen Union, die sich ein EU-Cybersicherheitssiegel für den Umgang mit sensiblen Daten sichern wollen, können dies nur über ein Joint Venture mit einem in der EU ansässigen Unternehmen tun, so ein von Reuters eingesehener EU-Entwurf.

US-Technologieriesen und andere an dem Joint Venture beteiligte Unternehmen dürfen nur eine Minderheitsbeteiligung halten, und Mitarbeiter, die Zugang zu EU-Daten haben, müssen sich einer speziellen Prüfung unterziehen und in der EU mit 27 Ländern ansässig sein, so das Dokument.

Das Dokument fügt hinzu, dass der Cloud-Service von der EU aus betrieben und gewartet werden muss und dass alle Daten der Cloud-Service-Kunden in der EU gespeichert und verarbeitet werden müssen und dass EU-Gesetze Vorrang vor Nicht-EU-Gesetzen in Bezug auf den Cloud-Service-Anbieter haben.

Der jüngste Vorschlagsentwurf der EU-Cybersicherheitsbehörde ENISA betrifft ein EU-Zertifizierungssystem (EUCS), das für die Cybersicherheit von Cloud-Diensten bürgen und bestimmen würde, wie Regierungen und Unternehmen in der EU einen Anbieter für ihr Geschäft auswählen.

Während die neuen Bestimmungen die Bedenken der EU hinsichtlich der Einmischung von Nicht-EU-Staaten unterstreichen, werden sie wahrscheinlich die Kritik von US-Tech-Giganten hervorrufen, die befürchten, vom europäischen Markt ausgeschlossen zu werden.

Big Tech setzt auf den staatlichen Cloud-Markt, um das Wachstum in den kommenden Jahren voranzutreiben, während ein möglicher Boom im Bereich der KI nach dem viralen Erfolg von OpenAIs ChatGPT auch die Nachfrage nach Cloud-Diensten ankurbeln könnte.

"Zertifizierte Cloud-Dienste werden nur von Unternehmen mit Sitz in der EU betrieben, wobei kein Unternehmen von außerhalb der EU eine wirksame Kontrolle über den CSP (Cloud Service Provider) ausüben darf, um das Risiko einer Einmischung von Nicht-EU-Mächten zu mindern, die die Vorschriften, Normen und Werte der EU untergraben", heißt es in dem Dokument.

"Unternehmen, die ihren eingetragenen Hauptsitz oder ihre Hauptverwaltung nicht in einem EU-Emergiestaat haben, dürfen weder direkt noch indirekt, allein oder gemeinsam eine positive oder negative tatsächliche Kontrolle über den CSP ausüben, der die Zertifizierung eines Cloud-Dienstes beantragt", so das Dokument.

Das Dokument besagt, dass die strengeren Regeln für personenbezogene und nicht-personenbezogene Daten von besonderer Sensibilität gelten werden, bei denen eine Verletzung negative Auswirkungen auf die öffentliche Ordnung, die öffentliche Sicherheit, das menschliche Leben oder die Gesundheit oder den Schutz des geistigen Eigentums haben kann.

Der jüngste Entwurf könnte zu einer Zersplitterung des EU-Binnenmarktes führen, da jedes Land die Anforderungen nach eigenem Ermessen durchsetzen kann, so eine Quelle aus der Industrie.

Die US-Handelskammer hat bereits erklärt, dass der Plan die US-Unternehmen ungleich behandelt. Die EU sagt, die Maßnahmen seien notwendig, um die Datenrechte und die Privatsphäre in der EU zu schützen.

Die EU-Länder werden den Entwurf noch in diesem Monat prüfen, danach wird die Europäische Kommission eine endgültige Regelung verabschieden.