Yet another blog meandering about data & law
Im soeben erschienenen Jahrbuch 25 Datenschutzrecht, herausgegeben von Bergauer/Gosch findet sich ein ausführlicher Beitrag, den ich als Erstautor (ua auch zur Digitalen Souveränität) mitverfassen durfte: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO, 29-57
In Europa wächst die Besorgnis über einen potenziellen „Kill Switch“ aus den USA. Dieser Begriff beschreibt die Möglichkeit der US-Regierung, Europas Zugang zu US-amerikanischen Cloud-Diensten und anderen Technologien einseitig zu kappen. Obwohl ein solches Szenario als unwahrscheinlich gilt, wäre es grundsätzlich möglich - Instrumente hierfür existieren z.B. im International Emergency Economic Powers Act (IEEPA), wie der ehemalige Chief of the Cyber and National Security Unit at the White House ausführlich ausführt.
Diese Bedrohung befeuert Europas Streben nach digitaler Souveränität, dessen praktische Umsetzung u.a. in der Entwicklung „souveräner Clouds“ liegt, die vor US-Gesetzen wie dem CLOUD Act geschützt sind. Doch der Weg ist steinig: US-Hyperscaler wie Google, Microsoft und Amazon dominieren den europäischen Markt, ihre „europäischen” Angebote werden von manchen sogar als „Souveränitäts-Washing“ kritisiert. Selbst vermeintliche „Datengrenzen“ von US-Anbietern weisen nämlich z.T. wenig beachtete Ausnahmen auf, die Datenübertragungen in die USA zur Folge haben (oder auch Zugriffe aus den USA mittels CLOUD Act oder anderer Instrumentarien, siehe dazu z.B. Prof. Vladeck für die dt. DSK) und somit die Datensouveränität in Frage stellen. Zudem sind proprietäre Cloud-Systeme strukturell von Updates aus den USA abhängig, was bei einem Entzug der Unterstützung schnell zu Sicherheitslücken führen könnte. BSI-Präsidentin Plattner hält die vollständige digitale Souveränität für Deutschland derzeit für unerreichbar, betont aber die Wichtigkeit von Kontrollmechanismen. Langfristig setzt Europa auf den Aufbau eigener Alternativen, um strategische Abhängigkeiten zu mindern und einer „digitalen Scheidung“ entgegenzuwirken - siehe u.a. den Bericht „EuroStack – Eine europäische Alternative für digitale Souveränität“, der aufzeigt, wie die EuroStack-Initiative dazu beitragen kann, die Abhängigkeit Europas zu verringern.
Für besonders Interessierte empfehle ich diese Anfragebeantwortung der dt. Bundesregierung zum Thema “Digitale Souveränität und Nutzung von Open Source bei Clouds der Bundesverwaltung und der Status der Deutschen Verwaltungscloud-Strategie”.
On 9 October 2024, the European Commission has issued its Report on the first periodic review of the functioning of the adequacy decision on the EU-US Data Privacy Framework. In its press release, the EC writes that “[b]ased on the information gathered during the review, the Commission concludes that the US authorities have put in place all the constitutive elements of the framework. [...]”. According the EC, the review is based on a review meeting, an input from a wide range of actors including civil society organisations, trade associations, EU data protection authorities, US authorities involved in implementing the framework, as well as feedback from the general public via the ‘Have your Say' portal (some quite interesting feedback not fully in appraisal of the decision can be found there).