Digitale Souveränität statt Big-Tech-Abhängigkeit: Droht US Tech-Riesen der Ausschluss von europäischen Cloud-Ausschreibungen?

Rechtlicher Kontext

Der CADA ist ein Verordnungsvorschlag der Europäischen Kommission und Teil eines neuen EU-Gesetzespakets zur technologischen Souveränität der EU. Er soll Europas Cloud-, KI- und Rechenzentrumsinfrastruktur stärken und Abhängigkeiten von wenigen großen Drittstaatenanbietern verringern.

Der Verordnungsvorschlag reagiert auf eine zentrale Schwachstelle der europäischen Digitalwirtschaft: Zahlreiche öffentliche und private Einrichtungen nutzen Cloud-Dienste großer Anbieter mit Sitz oder Konzernmutter außerhalb der EU, insbesondere US Tech-Riesen wie Amazon Web Services, Microsoft Azure oder Google Cloud. Aus dieser Marktstruktur können Risiken entstehen, etwa bei Datenzugriffen nach Drittstaatenrecht, bei Supportstrukturen außerhalb der EU oder bei fehlender Kontrolle über technische Lieferketten.

Die EU will daher europäische Rechenzentren, Cloud-Dienste und KI-Infrastrukturen ausbauen. Geplant ist auch ein Souveränitätsrahmen für Cloud-Dienste mit vier Union Assurance Levels. Vereinfacht gilt: Je sensibler die Daten und je kritischer die öffentliche Aufgabe, desto höher kann das erforderliche Level ausfallen.

Level 1 bildet das Basisniveau und knüpft vor allem an Datenverarbeitung und Datenspeicherung innerhalb der Union an. Level 2 verlangt zusätzliche Nachweise zur Unabhängigkeit von Drittstaaten und zur Transparenz der Software-Lieferkette. Level 3 setzt grundsätzlich Kontrolle aus der EU voraus, wobei die Kommission Drittstaatenanbieter unter bestimmten Voraussetzungen anerkennen kann. Level 4 stellt das strengste Niveau dar und verlangt vollständige Transparenz und Kontrolle über die Lieferkette sowie Schutz vor Drittstaatseinfluss.

Instanz

Nach dem Verordnungsvorschlag müssten zukünftig öffentliche Auftraggeber:innen Cloud-Beschaffungen stärker an Risiko- und Souveränitätsfragen ausrichten. Maßgeblich sind vor allem Art und Sensibilität der Daten, Bedeutung der öffentlichen Aufgabe und die Frage, ob ein Drittstaat rechtlich oder faktisch Einfluss auf Anbieter, Infrastruktur, Support oder Lieferkette nehmen kann.

Der Entwurf sieht bei Cloud-Diensten zumindest Level 1 vor. Bei Tätigkeiten mit besonderer Relevanz für die öffentliche Ordnung, etwa in kritischen Sektoren und in den Bereichen innere Sicherheit, Verteidigung, Justiz oder Strafverfolgung, sollen nur Cloud-Dienste mit Level 2, 3 oder 4 zulässig sein.

Damit rückt ein politisch besonders brisanter Punkt in den Vordergrund: Große außereuropäische Tech-Anbieter könnten bei sensiblen Cloud-Ausschreibungen künftig nur noch mitbieten, wenn sie ausreichende Souveränitätsnachweise erbringen. Auftraggeber:innen müssen die Anforderungen an die digitale Souveränität dabei in Einklang mit den vergaberechtlichen Grundsätzen festlegen, dh sie müssen transparent, sachlich gerechtfertigt, mit dem Auftragsgegenstand verbunden und verhältnismäßig sein. Gelingt einem Bieter der Souveränitätsnachweis nicht, ist er trotz hoher technischer Leistungsfähigkeit auszuscheiden.

Praktisch relevant werden Vorgaben zu Datenstandorten, Subunternehmer:innen, Supportstrukturen, Zertifizierungen, Auditmöglichkeiten, Exit-Regelungen und Multi-Cloud-Strategien.

Sachverhalt

Der CADA liegt derzeit als Verordnungsvorschlag vor. Das europäische Gesetzgebungsverfahren läuft noch, weshalb sich Inhalt, Fristen und konkrete Pflichten noch ändern können. Nach dem Entwurf soll die Verordnung am 20. Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft treten und grundsätzlich ein Jahr später anwendbar sein.

Im Falle einer Umsetzung des Vorschlags wird spannend, mit welchen technischen, organisatorischen und rechtlichen Mitteln insbesondere die US Tech-Riesen sicherstellen werden, die neuen Souveränitätsanforderungen bei sensiblen Cloud-Ausschreibungen zu erfüllen.

Sophia Hüttmair