Analyse zum Souveränitätspaket der EU: Krisenfest per Gesetz?

Es ist ein umfangreiches Paket, das die EU-Kommission an den Start gebracht hat. Es besteht aus unterschiedlichen Sachverhalten, die unter der Überschrift „Technologische Souveränität“ geregelt werden sollen. Kern der Änderungsvorschläge der EU-Kommission für mehr technologische Souveränität sind zwei Gesetzestexte: Mit dem Chips Act 2 soll Europas Rolle im Halbleiterökosystem resilienter definiert werden. Mit dem Cloud and AI Development Act (CADA) sollen kritische Fähigkeiten der Informationsgesellschaft nun herbeireguliert werden. Kann das funktionieren?

Mehrdimensionale Herausforderung

Die EU-Kommission will die Rolle der EU stärken, denn der bisherige Modus funktioniert unter den geänderten Vorzeichen der Abhängigkeit von Anbietern aus gleich zwei problematischen Weltregionen nicht mehr. Zwar wird auch weiterhin sehr genau unterschieden: Bei chinesischen Anbietern wird davon ausgegangen, dass der Staat unmittelbaren Zugriff auf oft staatlich geförderte Unternehmen haben kann, um strategische Staatsziele zu erreichen. Dabei geht es einmal um die Frage der direkten Bedrohung, also etwa Spionage- und Sabotageszenarien. Daneben wird mitbedacht, ob hier nicht gezielt Märkte erobert werden, um Alternativen etwa aus Europa dauerhaft aus dem Spiel zu nehmen. Es geht also um die Abhängigkeit von einzelnen Komponenten, sondern von gesamten Herstellern und letztlich Branchen.

Doch viel relevanter im Vergleich zur ersten Trump-Präsidentschaft ist die geänderte Perspektive auf die USA. Der Abschied vom Glauben, dass die Vereinigten Staaten und dort ansässige Unternehmen dauerhaft verlässliche Partner mit geteilter Wertvorstellung sind, ist massiv erschüttert – auch bei überzeugten Transatlantikern. Gegen America Alone helfe nur ein digital unabhängigeres Europa, heißt es inzwischen selbst dort – und das möglichst schnell. Was bei 27 Mitgliedstaaten im Regelfall etwas zwischen einem halben und zwei Jahren meint, bis die Gesetze verabschiedet sind.

Cloud-Anforderungen: Für US-Anbieter kaum erfüllbar

Gerade im Cloud and AI Development Act spiegelt sich die Diskussion der vergangenen Monate wider. Künftig soll es unter dem Cloud Computing Sovereignty Framework (CCSF) vier Vertrauenslevel geben, die EU-weit den Grad der Unabhängigkeit von Cloudanbietern nachvollziehbar darlegen sollen – und für öffentliche Stellen Mindestvorgaben treffen. Staatliche Stellen sollen, schlägt die Kommission vor, auf jeden Fall einen Sitz in der EU voraussetzen und Rechenzentren in der EU belassen – solange nicht ausdrücklich anders beauftragt. Und auch der Zugriff für Nicht-EU-Behörden soll wenigstens sehr klar deklariert werden müssen.

Ab Level 2 ist es schnell vorbei

Ab der zweiten Stufe muss durch externe Prüfer nachgewiesen werden, dass ein Anbieter die Kriterien erfüllt. Dann dürfen etwa Daten nicht für KI-Training außerhalb der EU genutzt werden, ein EU-Cybersicherheitszertifikat wird zur Pflicht. Zentral aber sind die Beschränkungen des Einflusses durch Akteure in Drittstaaten: Diese dürfen keinen Einfluss auf die Aufrechterhaltung der Betriebsfähigkeit haben – also etwa durch rechtliche Sanktionen. Das würde etwa alle Anbieter mit Hauptsitz in den USA bereits vollständig ausschließen – und bildet unter anderem den Fall zweier europäischer Richter am Internationalen Strafgerichtshof ab, die von US-Präsident Donald Trump persönlich sanktioniert wurden.

Noch schärfer sind die Vorgaben in Level 3 und Level 4, wobei nicht nur die Anforderungen an die externe Auditierung zur Konformitätsbewertung jeweils höher werden. Ab Level 3, das etwa für Polizeianwendungen eine Rolle spielen kann, wird etwa noch schärfer auf die verwendeten Komponenten abgestellt und etwa der Nachweis von Abhängigkeiten über verwendete Softwarekomponenten aus dem Nicht-EU-Ausland verlangt. Level 4 hingegen steht mit etwas blumigen Worten dafür, dass ein Anbieter de facto nur aus der EU kommen, in ihr operieren und für Hochsicherheitszwecke verwendet werden darf.

Die Kriterien für diese „Vertrauenslevel“ sind in den Anhängen zum CADA-Entwurf (PDF) enthalten und sollen jeweils kumulativ gelten. Sie sind zweifelsohne aus Sicht einiger Anbieter ein Problem. Für die Richtigkeit der Angaben sieht der CADA ab Level 2 vor, dass externe Prüfer die Kataloge abarbeiten und dem Anbieter anschließend bescheinigen, welche Kriterien er erfüllt hat.

Scharfe Kritik kommt denn auch etwa von der Computer and Communications Industry Association (CCIA), einem Verband, der in der EU unter anderem auch Interessen großer US-IT-Unternehmen vertritt. Als „gefährliches Rezept für eine schrittweise Abschottung des Marktes“ bezeichnet der Verband das Vorhaben. Kein internationaler Anbieter außerhalb der EU könne die Sicherheitsniveaus erfüllen, die die Kommission verlange.

Allerdings kennt der CADA-Entwurf auch Ausnahmen: Drittstaaten können EU-Staaten gleichgestellt werden, heißt es in Artikel 18. Eine Mindestvoraussetzung ist eine Angemessenheitsentscheidung nach Artikel 45 der Datenschutzgrundverordnung. Eine solche – umstrittene – existiert für die USA sogar in einem gewissen Rahmen, für China jedoch nicht. Dazu kommen jedoch weitere Kriterien, wie eben dass Cloudanbieter nicht zur Diensteunterbrechung gezwungen werden dürfen – unerreichbar unter US-Recht.