Die EU-Kommission will den Rechenzentrumsmarkt der EU in fünf bis sieben Jahren verdreifachen. Ohne tiefgreifende Markteingriffe ginge das nicht – genau hier setzt CADA an.
Die EU-Kommission hat vor Kurzem ihren Entwurf für den Cloud and AI Development Act (CADA) vorgestellt. Das Gesetz soll die europäische Cloud- und KI-Branche stärken, indem es die Infrastruktur, den Cloud-Markt in Europa und die künftige Arbeit öffentlicher Stellen neu ordnet.
WERBUNG
WERBUNG
CADA stützt sich auf drei zentrale Säulen: Investitionen in Forschung, Entwicklung und Innovation, Kapazitätsaufbau – der europäische Rechenzentrumsmarkt soll in den kommenden fünf bis sieben Jahren verdreifacht werden – sowie ein umfassender Autonomierahmen mit vier Stufen von Souveränität und Sicherheit und neuen Pflichten für die EU-Mitgliedstaaten.
CADA sorgt für gemischte Reaktionen
Bislang fällt die Bewertung des Vorschlags gemischt aus. Branchenverbände wie CCIA Europe kritisieren ihn als diskriminierend, denn CADA verlangt von den Mitgliedstaaten, für jeden Anwendungsfall zu prüfen, welches Souveränitätsniveau erforderlich ist – Stufen, die Anbieter aus Nicht-EU-Staaten „standardmäßig nicht erfüllen könnten“.
Der polnische Technologierechtler Mikolaj Barcenciewicz hat bereits betont, CADA solle risikobasiert statt kategorisch angelegt sein. Der individuelle Ansatz der Mitgliedstaaten und das Subsidiaritätsprinzip müssten gewahrt bleiben, statt pauschalisiert zu werden.
Der schwedische EU-Abgeordnete Jörgen Warborn hat sich auf LinkedIn zum CADA-Entwurf geäußert. Nach seiner Ansicht müssen die europäischen Digital-Souveränitätsziele mit weiterer Bürokratievereinfachung und besseren Geschäftsbedingungen einhergehen, damit sich die „Aussicht auf Rendite“ verbessert.
Zugleich betonte er, dass die Souveränitätsziele der EU bei nationalen Anwendungen mit Bezug zur Sicherheit tatsächlich gestärkt werden sollten. Weniger sensible Bereiche sollten aber für ausländische Direktinvestitionen offen bleiben, denn „ein Großteil des globalen Vermögens liegt außerhalb der EU“ und Europa müsse darum werben, diese Investitionen anzuziehen – nicht umgekehrt.
Die finnische EU-Abgeordnete Aura Salla plädiert hingegen für einen noch stärker zentralisierten Ansatz, um technologische Abhängigkeiten Stresstests zu unterziehen und Risiken auf Ebene der Mitgliedstaaten zu bewerten.
Einige Akteure wie der deutsche Softwareanbieter Nextcloud halten den bisherigen Vorschlag zudem für nicht ehrgeizig genug und fordern, CADA solle auch auf den privaten Sektor ausgeweitet werden.
Genehmigungen: Höchstdauer zwölf Monate, aber mehr Auflagen
Titel III von CADA sieht zwei zentrale Instrumente vor, um die Rechenzentrumskapazitäten in der EU rasch auszubauen: sogenannte Data Centre Acceleration Zones und Data Centre Strategic Projects.
Innerhalb von sechs Monaten nach Inkrafttreten der Verordnung muss jeder Mitgliedstaat mindestens eine Beschleunigungszone ausweisen. Diese Zonen sollen in die lokalen Stadt- und Bebauungspläne eingebettet werden und Faktoren wie die Verfügbarkeit des Stromnetzes, Netzkapazitäten und eine klare Bevorzugung bereits erschlossener Flächen berücksichtigen.
Liegt ein Projekt innerhalb einer dieser vorab festgelegten Zonen oder erhält es den Status eines strategischen Projekts, profitiert es von einem „grünen Korridor“: Das Genehmigungsverfahren ist auf höchstens zwölf Monate begrenzt.
Allerdings ist der CADA-Prüfkatalog anspruchsvoll: Betreiber der Infrastruktur müssen standardisierte EU-Nachhaltigkeitskennzahlen einführen, und die Zuteilung lokaler Ressourcen wird streng überwacht, um spekulative Vorratshaltung oder wettbewerbswidrige Blockaden zu verhindern.
Praktisch bleibt den Mitgliedstaaten damit ein sehr knappes Zeitfenster von sechs Monaten, um solche Zonen in ihre komplexen lokalen Planungsstrukturen einzupassen, gefolgt von einem ebenso engen Zeitraum von zwölf Monaten für die Genehmigung einzelner Vorhaben.
Der eigentliche Bau von Rechenzentren stockt schon heute aus rein praktischen Gründen: Nur wenige spezialisierte Baufirmen verfügen über die nötigen Zertifizierungen, jede Projektphase unterliegt strengen Prüfungen, und selbst kleinere Anlagen brauchen mitunter Jahre bis zur Fertigstellung.
Mit den zusätzlichen umfangreichen Auflagen für Staaten und Betreiber läuft die EU-Politik Gefahr, dass die Obergrenze von höchstens zwölf Monaten für Genehmigungen zu einem eher symbolischen Ziel in einem ohnehin hochkomplexen Verfahren wird.
Öffentliche Aufträge: Grundlegende Änderungen
Titel IV von CADA und die zugehörigen Anhänge definieren einen strikten neuen Rahmen, der genau vorgibt, welche Arten von Cloud-Software und -Diensten EU-Mitgliedstaaten beschaffen dürfen.
Der Bedarf des öffentlichen Sektors wird eng an die vier in Anhang II festgelegten Vertrauensstufen gekoppelt.
Stufe eins umfasst grundlegende Anforderungen an Souveränität und Sicherheit; Unternehmensbesitz aus Drittstaaten ist hier erlaubt.
Stufe zwei steht für eine weitreichende digitale Souveränität. Eigentum durch Unternehmen aus Drittstaaten bleibt möglich, sofern alle Abläufe, die Infrastruktur, das Personal und der Support strikt in der EU angesiedelt sind, über eine „substanzielle“ Cybersicherheitszertifizierung verfügen und Kundendaten nicht für KI-Training in Drittstaaten genutzt werden dürfen.
Stufe drei bedeutet hohe Souveränität und nationale Sicherheit. Unternehmenskontrolle aus Drittstaaten ist standardmäßig untersagt und nur in seltenen Ausnahmefällen erlaubt, über die die Europäische Kommission entscheidet. Stufe vier schließlich steht für maximale Autonomie und kritische Sicherheit; jede Kontrolle durch Unternehmen aus Drittstaaten ist dort vollständig verboten.
Wie sollen die EU-Mitgliedstaaten diesen neuen CADA-Rahmen umsetzen? Zunächst müssen sie eine oder mehrere nationale zuständige Behörden benennen, die die Regeln durchsetzen, Anbieter prüfen und Anträge auf Anerkennung von Cloud-Diensten bearbeiten.
Innerhalb eines Jahres müssen die Staaten Risikoanalysen durchführen – und danach alle zwei Jahre wiederholen. Diese Analysen sollen erfassen, welche Tätigkeiten des öffentlichen Sektors auf Cloud-Dienste angewiesen sind und welche Sicherheitsstufe jeweils angemessen ist.
Der aktuelle CADA-Vorschlag würde die Vergabe öffentlicher Aufträge für Cloud-Dienste grundlegend verändern.
Bisher konnten öffentliche Einrichtungen in den Mitgliedstaaten ihre Cloud-Anbieter frei nach Preis, Servicequalität, organisatorischen Anforderungen und einschlägigen, risikobasierten Vorschriften zum Umgang mit Daten auswählen.
Wo bisher vor allem der Preis und Standardanforderungen an die Technik ausschlaggebend waren, müssten die Staaten künftig auch nicht-preisliche Kriterien bewerten – etwa, in welchem Maß ein Anbieter zum europäischen digitalen Ökosystem beiträgt.
Dieser Artikel ist zuerst auf EU Tech Loop (Quelle auf Englisch) erschienen und wurde im Rahmen einer Vereinbarung auf Euronews übernommen.