Cloud-Computing: EU will einheitliche Regeln für die Datenwolke

Die EU-Kommission wagt einen ersten Schritt in Richtung eines "Made in Europe"-Siegels für Cloud-Dienste. In einer Mitteilung für "eine ganzheitliche Cloud-Computing-Strategie in der EU", die sie diesen Monat vorlegen will, dringt die Kommission auf die Entwicklung europäischer Standards für Datenschutz und IT-Sicherheit bei Dienstleistungen in der digitalen Wolke. Ein Entwurf der Mitteilung liegt der FTD vor.

Unter Cloud-Computing versteht man die Auslagerung von Rechenkapazität, Datenspeicherung oder Software an externe Dienstleister, die sie bei Bedarf zur Verfügung stellen. Das Cloud-Computing stelle einen "ähnlichen Paradigmenwechsel" für die IT-Industrie dar wie das Aufkommen des Internet, heißt es in dem Entwurf der zuständigen EU-Kommissarin Neelie Kroes. Europa werde den ganzen Nutzen der Technologie aber nicht erleben, solange "bestehende Barrieren bei der Einführung und der Nutzung der Cloud" nicht beseitigt werden.

Die IT-Branche setzt enorme Hoffnungen auf den neuen Markt: Der US-Marktforscher Forrester schätzt, dass die Umsätze bis 2020 weltweit auf 241 Mrd. Dollar anschwellen werden. Allerdings liegt Europa nach Einschätzung von Experten wie dem Gartner-Analysten Paolo Malinverno gut zwei Jahre hinter den USA zurück. Neben der Euro-Krise macht Malinverno unterschiedliche Regeln zum Datenschutz in den verschiedenen Ländern verantwortlich. Europäische Anbieter dringen seit Langem auf einen einheitlichen Rahmen.

Datenschutz spielt beim Werben der Anbieter um Vertrauen in die Cloud-Dienste eine wesentliche Rolle. Das gilt besonders für die Verarbeitung personenbezogener Informationen wie Adressen oder Geburtsdaten. Doch einheitliche Regelungen beim Datenschutz wird erst die Überarbeitung der EU-Datenschutzrichtlinie aus dem Jahr 1995 bringen, die noch in Arbeit ist. Die Kommission hat einen Vorschlag vorgelegt, derzeit beraten das EU-Parlament und die Mitgliedsstaaten. Jim Hagemann Snabe, der Co-Chef des deutschen Softwarekonzerns SAP , hatte kürzlich kritisiert, vor allem kleinere Firmen könnten es sich nicht leisten, die Anforderungen von 27 Ländern einzuhalten.

Dem Ruf nach einheitlichen Regelungen kann Kroes mit der Mitteilung nur in Teilen folgen. Denn sie ist im Gegensatz zu Richtlinien nicht rechtsverbindlich. Trotzdem hofft Kroes, Druck auf die Mitgliedsstaaten auszuüben. So kündigt sie an, 2013 zu überprüfen, welche Fortschritte gemacht wurden, und - "wo angemessen" - Gesetzesvorschläge zu machen.

Die Strategie beinhaltet drei Säulen. Die erste ist ein gesetzliches Rahmenwerk. Unterschiedliche Regeln auf regionaler, nationaler oder EU-Ebene seien ein Hindernis. Kroes will deshalb die sogenannten "Standardvertragsklauseln" für die Verarbeitung personenbezogener Daten neu formulieren. Ein weiterer Vorschlag sieht vor, einen Rahmen für Service-Level-Agreements (SLA) zu entwickeln. Diese regeln zum Beispiel die Haftung des Betreibers bei einem Ausfall von Rechenzentren. Zudem schlägt Kroes einen Zertifizierungsmechanismus vor, der anzeigt, in welchem Maße Datenschutz und Sicherheit von Anbietern garantiert werden.

Die zweite Säule der Strategie ist die Standardisierung und die Unterstützung durch den öffentlichen Sektor. Kroes will, dass das European Telecommunications Standards Institute (ETSI) technische Standards erarbeitet. Für den öffentlichen Sektor sieht sie eine "starke Rolle" bei der Förderung von Cloud-Computing. Er sei der größte Abnehmer von IT-Diensten und könne deshalb Anforderungen an Sicherheit, Interoperabilität und Regelkonformität formulieren. In einer Cloud-Partnerschaft will Kroes Kräfte von privatem und öffentlichem Sektor bündeln. So sollen Bedürfnisse des öffentlichen Sektor an Cloud-Dienste identifiziert werden.

Als dritte Säule sieht Kroes den internationalen Dialog. Sie schlägt regelmäßige Gespräche mit den USA und Japan vor. Darin soll es um den internationalen Datenverkehr und die Koordinierung von Datensicherheit auf globaler Ebene gehen.

Kroes hatte sich bei der Ausarbeitung mit europäischen Konzernen ausgetauscht. Bei der Deutschen Telekom  hieß es, die bisher bekannten Ansätze gingen in die richtige Richtung.