Fordern Sie eine nationale Cloud, in der es nicht an Nicht-EU-Lieferanten mangelt

Fordern Sie eine nationale Cloud, in der es nicht an Nicht-EU-Lieferanten mangelt

Wir veröffentlichen einen kurzen Auszug aus dem Papier "Die Versuchungen der nationalen und europäischen Wolke: zwischen politischer Vereinfachung und Rechtskritik" von Luca Bolognini und Enrico Pelino

Das nationale Cloud-Projekt im italienischen Fall und die von Frankreich und Deutschland geführte Parallele Gaia-X zeichnen ein Szenario, in dem eindeutig gesetzgeberische Hinweise auf die Schaffung von Cloud-Infrastrukturen unter vollständiger oder vorherrschender Kontrolle der Mitgliedstaaten und tendenziell, aber bisher nur in der Zukunft, der Europäischen Union. Wir glauben, dass dies daher der Ankerpunkt ist. Es ist anzumerken, dass die nationalen und europäischen Gründe, die den genannten Initiativen zugrunde liegen, auch aus den begleitenden Erklärungen eher auf strategische und politische Interessen bei der Stärkung der digitalen Souveränität und des Marktprotektionismus als auf echte Bedenken hinsichtlich des Schutzniveaus der Rechte zurückzuführen zu sein scheinen. grundlegend innerhalb der Union.

Unter diesem letzten Gesichtspunkt, nämlich dem tatsächlichen Rechtsschutzniveau, ist anzumerken, dass die kritischen Punkte in der sogenannten Entscheidung identifiziert wurden "Schrems II" des Gerichtshofs der Europäischen Union – ein Landeplatz, in dem wir uns klebend oder kritisch positionieren können, der aber nicht ignoriert werden kann – scheint durch eine bloße Lokalisierung der Infrastruktur innerhalb der EU nicht vollständig beseitigt zu werden. weil sie im Wesentlichen mit dem exterritorialen Geltungsbereich der öffentlich-rechtlichen Bestimmungen von Drittländern verbunden sind. Es ist möglich, einen internationalen Dialog mit diesen Ländern aufzunehmen, um Formen der sanften Überredung zu experimentieren, aber sie werden unweigerlich Grenzen in der Wahl der nationalen Souveränität anderer finden.

Es erscheint daher realistisch gesehen unwahrscheinlich, dass die trockene Alternative vermieden wird, die Flüsse personenbezogener Daten außerhalb der EU vollständig zu unterbrechen, d. H. Sogar die wesentlichen und nicht entsagbaren Datenströme, da sie mit der gleichen Verfügbarkeit der heutigen Cloud-Infrastrukturen verbunden sind (unter Berücksichtigung der enormen Konsequenzen, die sich daraus ergeben würden) und Qualifikation für die Ausübung der Grundrechte und -freiheiten – ein Weg, der in klarem Gegensatz zum Grundsatz der Verhältnismäßigkeit nach Art. 5 des Vertrags über die Europäische Union – oder ob die Aufmerksamkeit auf ausgewogenere und verhältnismäßigere Übergangsmodelle gerichtet werden soll, die darauf abzielen, Infrastrukturgüter zu schaffen, die weniger vom Ausland abhängig sind, aber im Ausland immer noch ökosystemisch sind, mit angemessenem Zeitplan und angemessener Planung.

In der Übergangsphase, die sich auf diese Weise eröffnet, erscheint es vernünftig, auf pragmatische Lösungen zurückzugreifen und sich auf Lieferanten zu verlassen, die in Bezug auf Struktur und Kapital Garantien für die rechtliche Widerstandsfähigkeit gegenüber Anfragen außereuropäischer Regierungen bieten können, um eine Entschädigung für den Fall sicherzustellen von Vorurteilen und die Übernahme der Verpflichtungen, die nach den geltenden europäischen Rechtsvorschriften erforderlich sind, vor allem nach dem RGPD.

Unter den pragmatischen Lösungen sind die folgenden drei zu erwähnen: die Trennung von Informationen, die als strategischer angesehen werden, die Anwendung von Verschlüsselungstechniken, die direkt von den Kunden / Benutzern aktiviert werden können, die Untersuchung von Rechtsmodellen für das Management europäischer Infrastrukturen, die eine stärkere europäische Kontrolle gewährleisten; versuchen, sich nicht des technologischen Beitrags der vom Markt ausgewählten Nicht-EU-Lieferanten zu berauben.

Bei der Gesamtbewertung des Schutzes und im Hinblick auf eine korrekte und allgemeine Abwägung der Risikofaktoren ist es ratsam, neben dem soeben beschriebenen sogenannten "extraterritorialen" Risiko nicht die andere Seite des Risikos zu vergessen, nämlich die typische, die durch Verstöße dargestellt wird Cybersicherheit, deren Auswirkungen auf die Grundrechte der betroffenen Personen besonders intensiv und weit verbreitet sind (auch weil sie den Bereich von Regierungsangriffen auf Drittländer umfasst, die sogar außerhalb eines Rahmens der im Bereich der öffentlichen Sicherheit der angreifenden Länder geltenden Vorschriften durchgeführt werden).

Unter diesem Gesichtspunkt muss die Wahl des Cloud-Anbieters dann unter Berücksichtigung des tatsächlichen Qualitätsniveaus getroffen werden, das er im Vergleich zum Stand der Technik und der Technik bieten kann, dh unter Berücksichtigung der Präzedenzfälle für die Reaktion auf kritische Situationen Investitionen in die kontinuierliche technologische Anpassung, jeglichen Versicherungsschutz, der im Falle einer Entschädigung aktiviert werden kann, SLAs (Service Level Agreements) und PLAs (Privacy Level Agreements), die Qualität und Häufigkeit interner Kontrollen und externer Audits in Bezug auf die organisatorischen Maßnahmen und das tatsächliche Ausbildungsniveau der zur Verarbeitung befugten Personen, nicht nur in Bezug auf das IT-Bewusstsein (einschließlich des Gegensatzes zu Social-Engineering-Techniken), sondern auch in Bezug auf das regulatorische Bewusstsein.


Dies ist eine Übersetzung eines Artikels, der am Sat, 03 Oct 2020 05:40:44 +0000 im italienischen Blog Start Magazine unter der URL https://www.startmag.it/innovazione/appello-per-un-cloud-nazionale-non-che-non-si-privi-di-fornitori-extra-ue/ veröffentlicht wurde.