Die EU-Kommission will den Markt für Rechenzentren in fünf bis sieben Jahren verdreifachen. Ohne massive Markteingriffe wäre das unmöglich – und genau hier setzt CADA an.
Die Europäische Kommission hat kürzlich ihren Entwurf für den Cloud and AI Development Act (CADA) vorgestellt. Damit will sie die europäische Cloud- und KI-Branche stärken: durch einen Umbau der Infrastruktur, des europäischen Cloud-Marktes und der Arbeitsweise öffentlicher Stellen in Zukunft.
WERBUNG
WERBUNG
CADA stützt sich auf drei große Säulen. Erstens mehr Investitionen in Forschung, Entwicklung und Innovation. Zweitens den Kapazitätsausbau – der europäische Markt für Rechenzentren soll sich in den nächsten fünf bis sieben Jahren verdreifachen. Drittens einen umfassenden Autonomierahmen mit vier Stufen von Souveränität und Sicherheit sowie neuen Pflichten für die EU-Mitgliedstaaten.
CADA stößt auf geteiltes Echo
Bislang fällt die Bilanz gemischt aus. Branchenverbände wie CCIA Europe sprechen von einem diskriminierenden Vorschlag, denn CADA würde die EU-Mitgliedstaaten verpflichten zu prüfen, für welche Anwendungsfälle bestimmte Souveränitätsstufen nötig sind, die Anbieter aus Drittstaaten „standardmäßig gar nicht erfüllen könnten“.
Der polnische IT-Jurist Mikolaj Barcenciewicz hatte bereits zuvor erklärt, CADA sollte risikobasiert statt kategorisch angelegt sein. Der individuelle Ansatz der Mitgliedstaaten und das Subsidiaritätsprinzip müssten gewahrt bleiben und dürften nicht durch pauschale Vorgaben verdrängt werden.
Der schwedische EU-Abgeordnete Jörgen Warborn hat seine Sicht auf den CADA-Entwurf kürzlich auf LinkedIn erläutert. Er fordert, die Ziele der europäischen digitalen Souveränität mit weiterer Entbürokratisierung und besseren Rahmenbedingungen für Unternehmen zu verbinden – einschließlich einer stärkeren „Aussicht auf Rendite für Investitionen“.
Er betonte außerdem, dass die Souveränitätsziele der EU bei Anwendungen mit Bezug zur nationalen Sicherheit tatsächlich gestärkt werden sollten. Weniger sensible Bereiche sollten dagegen für ausländische Direktinvestitionen offen bleiben, denn „ein Großteil des weltweiten Vermögens liegt außerhalb der EU“. Die Union müsse um diese Investitionen werben, nicht umgekehrt.
Die finnische EU-Abgeordnete Aura Salla plädiert hingegen für einen noch stärker zentralisierten Ansatz, um technologische Abhängigkeiten einem Stresstest zu unterziehen und Risiken auf Ebene der Mitgliedstaaten zu bewerten.
Schließlich halten manche Interessengruppen – etwa der deutsche Softwareanbieter Nextcloud – den bisherigen Entwurf für nicht ehrgeizig genug. Sie fordern, die Regeln auch auf den Privatsektor auszudehnen.
Genehmigungen: Obergrenze von zwölf Monaten, aber mehr Auflagen
Titel III von CADA sieht zwei zentrale Instrumente vor, um die Rechenzentrumskapazitäten in der EU rasch auszubauen: sogenannte Data Centre Acceleration Zones und Data Centre Strategic Projects.
Spätestens sechs Monate nach Inkrafttreten der Verordnung muss jeder Mitgliedstaat mindestens eine solche Beschleunigungszone ausweisen. Sie soll in die lokalen Stadt- und Gebietsentwicklungspläne eingebettet sein und Faktoren wie Netzverfügbarkeit, Leitungskapazitäten und eine klare Priorität für bereits genutzte Industrieflächen (Brownfield-Standorte) berücksichtigen.
Egal ob ein Vorhaben innerhalb einer solchen vorab genehmigten Zone liegt oder als einzelnes strategisches Projekt eingestuft wird: Es soll von einem „grünen Korridor“ profitieren, der das Genehmigungsverfahren auf höchstens zwölf Monate begrenzt.
Die Vorgaben für die Einhaltung der Regeln fallen jedoch streng aus. Betreiber der Infrastruktur müssen einheitliche EU-Nachhaltigkeitskennzahlen einführen, und die Zuteilung lokaler Ressourcen wird streng überwacht, um spekulatives Horten oder wettbewerbswidrige Blockaden zu verhindern.
Realistisch gesehen bleibt den Mitgliedstaaten nur ein enges Zeitfenster von sechs Monaten, um in komplexen lokalen Planungsverfahren regelkonforme Zonen festzulegen. Danach folgt ein ebenso straffer Zeitraum von bis zu zwölf Monaten für die Erteilung einzelner Genehmigungen.
Der eigentliche Bau von Rechenzentren stößt schon heute auf handfeste Engpässe. Nur wenige spezialisierte Bauunternehmen verfügen über die nötigen Zertifizierungen, jede Projektphase wird streng geprüft, und selbst vergleichsweise kleine Anlagen benötigen bisweilen mehrere Jahre bis zur Fertigstellung.
Wenn die EU-Politik zusätzliche umfangreiche Auflagen für Mitgliedstaaten und Betreiber aufeinanderstapelt, droht die Obergrenze von „maximal zwölf Monaten“ zur Nebensache zu werden – ein Zielpunkt ohne große Bedeutung in einem ohnehin hochkomplexen Genehmigungsprozess.
Öffentliche Auftragsvergabe: tiefgreifende Änderungen
Titel IV von CADA und die dazugehörigen Anhänge skizzieren einen starren neuen Rahmen. Er legt genau fest, welche Arten von Cloud-Software und -Diensten die EU-Mitgliedstaaten künftig beschaffen dürfen.
Der Bedarf des öffentlichen Sektors wird strikt auf die vier in Anhang II von CADA definierten Vertrauensstufen abgebildet.
Stufe eins steht für grundlegende Souveränität und Sicherheit; eine Eigentümerstruktur mit Unternehmen aus Drittstaaten bleibt zulässig.
Stufe zwei steht für erhebliche digitale Souveränität. Unternehmensbeteiligungen aus Drittstaaten sind weiterhin möglich, allerdings nur, wenn sämtliche Abläufe, Infrastruktur, Beschäftigte und Support strikt in der EU angesiedelt sind, eine „substanzielle“ Cybersicherheitszertifizierung vorliegt und Kundendaten nicht für KI-Training in Drittstaaten genutzt werden dürfen.
Stufe drei steht für hohe Souveränität und nationale Sicherheit. Unternehmenskontrolle aus Drittstaaten ist grundsätzlich untersagt; Ausnahmen soll es nur in seltenen Fällen und mit Zustimmung der Europäischen Kommission geben. Stufe vier schließlich bedeutet maximale Autonomie und kritische Sicherheit. Jede Kontrolle durch Unternehmen aus Drittstaaten ist dort vollständig ausgeschlossen.
Wie sollen die EU-Mitgliedstaaten diesen neuen CADA-Rahmen in der Praxis umsetzen? Zunächst müssen sie eine oder mehrere zuständige nationale Behörden benennen. Diese sollen die Regeln durchsetzen, Anbieter prüfen und Anträge auf Anerkennung von Cloud-Dienstleistern bearbeiten.
Innerhalb eines Jahres müssen die Mitgliedstaaten Risikoanalysen durchführen, die anschließend alle zwei Jahre zu wiederholen sind. Diese Analysen sollen aufzeigen, welche Tätigkeiten des öffentlichen Sektors auf Cloud-Dienste angewiesen sind und welche Sicherheitsstufe jeweils erforderlich ist.
Der aktuelle CADA-Entwurf würde die bisherige Praxis der öffentlichen Beschaffung von Cloud-Diensten grundlegend umkrempeln.
Bislang konnten öffentliche Einrichtungen in den Mitgliedstaaten ihre Cloud-Anbieter weitgehend frei auswählen – nach Kriterien wie Preis, Servicequalität, organisatorischem Bedarf und den jeweiligen, risikobasierten Vorgaben zum souveränen Datenmanagement.
Bisher spielten vor allem Preis und standardisierte technische Spezifikationen eine zentrale Rolle bei der Vergabe öffentlicher Aufträge. Künftig müssten die Mitgliedstaaten zusätzlich nichtpreisliche Kriterien bewerten, etwa wie stark ein Anbieter zum europäischen digitalen Ökosystem beiträgt.
Dieser Artikel wurde zuerst auf EU Tech Loop (Quelle auf Englisch) veröffentlicht und im Rahmen einer Vereinbarung auf Euronews übernommen.