Der Bundesrat wird über die Vorlage gemäß § 2 EUZBLG auch durch die Bundesregierung unterrichtet.
Hinweis: vgl.
Drucksache. 232/11 (PDF) = AE-Nr. 110287,
Drucksache. 305/11 (PDF) = AE-Nr. 110376,
Drucksache. 308/11 (PDF) = AE-Nr. 110379,
Drucksache. 347/11 (PDF) = AE-Nr. 110414,
Drucksache. 413/11 (PDF) = AE-Nr. 110574,
Drucksache. 617/11 (PDF) = AE-Nr. 110792,
Drucksache. 820/11 (PDF) = AE-Nr. 111087,
Drucksache. 021/12 (PDF) = AE-Nr. 120026,
Drucksache. 340/12 (PDF) = AE-Nr. 120403 und AE-Nr. 110237
Europäische Kommission
Brüssel, den 27.9.2012 COM (2012) 529 final
1. Einleitung
"Cloud-Computing" meint in einfachen Worten das Speichern, Verarbeiten und Verwenden von Daten, die sich in entfernten Rechnern befinden und auf die über das Internet zugegriffen wird. Das bedeutet, dass den Benutzern eine beinahe unbegrenzte Rechenleistung auf Abruf zur Verfügung steht. Sie brauchen zur Deckung ihres Rechenbedarfs keine großen Investitionen mehr zu tätigen und kommen mit einer Internetverbindung überall an ihre Daten heran. Das Cloud-Computing kann eine massive Senkung der IT-Ausgaben bei den Nutzern bewirken und zur Entwicklung vieler neuer Dienste führen. Mit Hilfe der Cloud können sich selbst Kleinstunternehmen auf immer größeren Märkten betätigen, und Behörden können ihre Dienstleistungen attraktiver und effizienter machen und dabei sogar noch Geld sparen.
Während das World Wide Web überall für jedermann Informationen zugänglich macht, stellt das Cloud-Computing überall für jedermann Rechenleistung zur Verfügung. Wie das Web stellt auch das Cloud-Computing eine technische Entwicklung dar, die schon seit einiger Zeit im Gange ist und sich auch künftig fortsetzen wird. Im Gegensatz zum Web befindet sich das Cloud-Computing aber noch in einer relativ frühen Entwicklungsphase, was Europa die Chance gibt, jetzt zu handeln und sich an die Spitze der weiteren Entwicklung zu setzen, um durch eine breite Cloud-Nutzung und ein breites Cloud-Angebot sowohl auf der Nachfrageals auch der Angebotsseite davon zu profitieren.
Die Kommission will daher in allen Wirtschaftssektoren eine rasche Übernahme des Cloud-Computing ermöglichen und unterstützen, um IKT-Kosten zu senken und - in Verbindung mit neuen digitalen Geschäftsabläufen1 - die Produktivität, das Wachstum und die Beschäftigung zu steigern. Ausgehend von einer Analyse der politischen, regulatorischen und technischen Rahmenbedingungen und einer breit angelegten Konsultation der Beteiligten, die durchgeführt wurde, um herauszufinden, was zur Verwirklichung dieses Ziels getan werden muss, werden nun in der vorliegenden Mitteilung die wichtigsten und dringendsten Maßnahmen dargelegt, die zusätzlich ergriffen werden müssen. Dadurch wird eine der wichtigsten Maßnahmen umgesetzt, die in der Mitteilung über den elektronischen Handel und Online-Dienste2 vorgesehen war. Dies ist als politische Selbstverpflichtung der Kommission zu verstehen und dient gleichzeitig als Aufruf an alle Akteure, an der Umsetzung dieser Maßnahmen mitzuwirken, die zu zusätzlichen Direktausgaben für das Cloud-Computing in Höhe von 45 Milliarden EUR im Jahr 2020 sowie zu einer kumulierten Gesamtwirkung auf das BIP in Höhe von 957 Milliarden EUR und zur Schaffung von 3,8 Millionen Arbeitplätzen bis 2020 führen könnten3.
Mehrere der genannten Aktionen sind darauf gerichtet, die Wahrnehmung vieler potenzieller Cloud-Computing-Anwender zu ändern, wonach der Einsatz dieser Technik zusätzliche Risiken birgt4. In dieser Hinsicht sollen die Aktionen mehr Klarheit schaffen und die Kenntnis des geltenden Rechtsrahmens verbessern, indem sie das Melden und Nachprüfen der Einhaltung der Vorschriften erleichtern (z.B. durch Normen und Zertifizierung) und den Rechtsrahmen fortentwickeln (z.B. mit einer bevorstehenden Rechtsetzungsinitiative zur Cybersicherheit).
Die Bewältigung der besonderen Herausforderungen des Cloud-Computing würde eine schnellere und einheitlichere Übernahme dieser Technik in Unternehmen, Organisationen und öffentlichen Verwaltungen in Europa bewirken und damit auf der Nachfrageseite zur beschleunigten Steigerung der Produktivität und Wettbewerbsfähigkeit in der gesamten Wirtschaft sowie auf der Angebotsseite zu einem größeren Markt führen, in dem Europa eine weltweite Führungsrolle übernähme. Dem europäischen IKT-Sektor bieten sich dadurch wichtige neue Chancen, denn unter den richtigen Rahmenbedingungen könnte Europa seine traditionellen Stärken auf dem Gebiet der Telekommunikationsausrüstungen, -netze und -dienste sehr effektiv auf Cloud-Infrastrukturen übertragen. Darüber hinaus könnten sich große wie kleine Anwendungsentwickler die wachsende Nachfrage zunutze machen.
2. Merkmale Vorteile des CLOUD-Computing
Das Cloud-Computing hat eine ganze Reihe bestimmender Merkmale (was eine allgemeine Begriffsbestimmung schwierig macht5), zu denen vor allem Folgende zählen:
- - Die Hardware (Rechner, Speichergeräte) gehört dem Cloud-Computing-Anbieter, nicht dem Nutzer, der darauf über das Internet zugreift. - Die Hardware-Nutzung wird dynamisch über ein ganzes Rechnernetz optimiert, so dass dem Nutzer grundsätzlich nicht bekannt ist, wo genau oder mit welchem Teil der Hardware die Datenspeicherung oder -verarbeitung zu einem bestimmten Zeitpunkt erfolgt, obwohl sich hieraus wichtige Auswirkungen auf das anwendbare Recht ergeben können.
- - Cloud-Anbieter verlagern häufig die Arbeitslast ihrer Benutzer (z.B. zwischen verschiedenen Computern oder verschiedenen Rechenzentren), um die verfügbare Hardware optimal auszunutzen.
- - Die an einem entfernten Standort befindliche Hardware speichert und verarbeitet die Daten und stellt sie beispielsweise über Anwendungen zur Verfügung (so dass ein Unternehmen seine Cloud-Rechendienste genauso nutzen kann wie die Verbraucher heute ihre Webmail-Konten). - Organisationen und Einzelpersonen können auf ihre Inhalte zugreifen und ihre Software benutzen, wann und wie sie wollen, z.B. mit Desktop-Computern, Laptops, Tablets und Smartphones.
- - Eine Cloud-Konfiguration besteht aus mehreren Ebenen: Hardware, Middleware oder Plattform und Anwendungssoftware. Die Normung ist besonders auf der Middleware-Ebene wichtig, weil dadurch die Entwickler eine breite Palette möglicher Kunden erreichen können und die Benutzer eine große Auswahl erhalten.
- - Die Benutzer zahlen in der Regel nutzungsabhängig, wodurch für Einrichtung und Betrieb einer hochentwickelten Rechenumgebung keine großen Vorauszahlungen und Festkosten für sie anfallen.
- - Gleichzeitig können die Nutzer die Menge der benutzten Hardware sehr einfach ändern (z.B. neue Speicherkapazitäten in Sekundenschnelle mit wenigen Mausklicks einbinden).
Die Verbraucher können mit Hilfe von Cloud-Diensten Informationen speichern (z.B. Bilder oder E-Mail-Nachrichten) und Software benutzen (z.B. soziale Netze, Video- und Musik-Streaming, Spiele). Organisationen, darunter auch öffentliche Verwaltungen, können schrittweise ihre hauseigenen Rechenzentren und IKT-Abteilungen durch Cloud-Dienste ersetzen. Unternehmen können mit Hilfe von Cloud-Diensten beliebige Angebote an ihre Kunden rasch erproben und dann ausbauen, weil dies ohne Investition in physische Infrastrukturen und deren Aufbau möglich ist. Insgesamt stellt das Cloud-Computing einen weiteren Industrialisierungsschritt (Normung, Vergrößerung, breite Verfügbarkeit) bei der Bereitstellung von Rechenleistungen ("Rechenversorgung") dar, so wie einst Kraftwerke die Stromversorgung industrialisiert haben. Dank genormter Schnittstellen (ähnlich der Steckdosen im Stromnetz) können die Benutzer alle Details (Aufbau, Versorgung, Betrieb und Sicherung eines Rechenzentrums) getrost den Fachleuten überlassen, die viel besser in der Lage sind, Größenvorteile zu erzielen (indem sie viele Benutzer bedienen), als der Kunde das je könnte. Überdies ermöglichen Cloud-Dienste gewaltige Größeneinsparungen, weshalb im nationalen Alleingang wirtschaftlich optimale Lösungen kaum zu erreichen sind. Die Vorteile der Übernahme des Cloud-Computing lassen sich durch eine 2011 für die Kommission durchgeführte Erhebung belegen, der zufolge 80 % der Organisationen durch die Einführung des Cloud-Computing ihre Kosten um 10-20 % senken können. Weitere Vorteile gibt es in Bezug auf ein ortsunabhängigeres Arbeiten (46 %), Produktivität (41 %), Normung (35 %) wie auch neue Geschäftsmöglichkeiten (33 %) und Märkte (32 %)6. Auch alle vorliegenden Wirtschaftsstudien bestätigen die große Bedeutung des Cloud-Computing, mit dessen weltweitem rasantem Wachstum gerechnet wird7.
Der beispiellose Zuwachs des Datenflusses und der Informationsverarbeitung über das Internet wirkt sich durch den Energie- und Wasserverbrauch sowie Treibhausgasemissionen erheblich auf die Umwelt aus. Das Cloud-Computing kann dabei helfen, diese Probleme zu mindern, und zwar durch eine effizientere Verwendung der Hardware und vor allem durch den Bau von Rechenzentren, die mit energiesparenden Servern und umweltfreundlicher Energie arbeiten 8. Schätzungen zufolge könnten große US-amerikanische Unternehmen durch die Übernahme des Cloud-Computing jährlich 12,3 Milliarden USD an Energiekosten einsparen9.
Es sind daher erhebliche Effizienzsteigerungen in der gesamten Volkswirtschaft aus der Übernahme von Cloud-Diensten durch Unternehmen und andere Organisationen, insbesondere auch KMU, zu erwarten. Gerade auch für kleine Unternehmen in krisengeschüttelten Volkswirtschaften oder in abgelegenen und ländlichen Gebieten könnte die Cloud zum Sprungbrett für den Zugang zu wirtschaftlich stärkeren Regionen werden. Durch die Überwindung der "Tyrannei der Entfernung" dank breitbandiger Infrastrukturen kann sich so die ganze Vielfalt der KMU, vom neu gegründeten Hochtechnologie-Anbieter bis zum kleinen Händler oder Handwerker, auch weit entfernte Märkte mit Hilfe der Cloud erschließen. Dadurch eröffnen sich neue wirtschaftliche Entwicklungsmöglichkeiten für jede Region, die Ideen und Talente und eine Hochgeschwindigkeits-Breitbandinfrastruktur hat. Die Cloud kann auch Arbeitplätze dort schaffen, wo IKT-kundige Arbeitskräfte leben, anstatt diese durch die Arbeitssuche zu entwurzeln. Dadurch entstehen Arbeitsplätze und Einkommen auch in benachteiligten Regionen. Viele lokale Produkte und Dienstleistungen könnten auch weltweit Erfolg haben, wenn sie ihre Webpräsenz (und Auffindbarkeit mit Internet-Suchmaschinen) verbessern und - vor allem im Zusammenschluss kleiner Unternehmen - eine kritische Masse erreichen, die notwendig ist, um mit wichtigen Geschäftspartnern (z.B. Transport-, Tourismus- und Finanzdienstleistern) vorteilhafte Bedingungen auszuhandeln. Auch Behörden können beträchtliche Vorteile aus der Cloud-Übernahme ziehen, sowohl im Hinblick auf Effizienzsteigerungen als auch die Erbringung flexiblerer und besser auf die Bedürfnisse der Bürger und Unternehmen abgestimmter Dienstleistungen. Die direkteste Sparmöglichkeit beträfe die Senkung der IT-Kosten durch Verringerung der Kapital- und Betriebsausgaben und durch eine höhere Auslastung der Hardware, die bei Infrastrukturen des öffentlichen Sektors heute bisweilen bei kaum mehr als 10 % liegt10. Weitere Vorteile ergäben sich aus der Neugestaltung der Prozesse, die zu geringeren Kosten führen, eine häufigere Aufrüstung erlauben und die Möglichkeiten der gemeinsamen Nutzung von Infrastrukturen durch verschiedene Behörden verbessern würde.
Über die reinen Kosteneinsparungen hinaus kann das Cloud-Computing helfen, den Übergang zu öffentlichen Diensten des 21. Jahrhunderts voranzutreiben, also zu Dienstleistungen, die interoperabel und skalierbar sind und den Bedürfnissen der mobilen Bürger und Unternehmen entsprechen, die sich die Vorteile des europäischen digitalen Binnenmarkts zunutze machen wollen. Die ersten Schritte wären eine Steigerung der Leistungsfähigkeit der Dienste, z.B. in Bezug auf die höhere Sicherheit und Benutzerfreundlichkeit, die Fähigkeit, neue Dienste kostengünstig, schnell und flexibel einzuführen, eine relativ einfache Benutzung der Cloud-Computing-Dienste zur Schaffung von Plattformen für soziales Engagement oder für konkrete Kampagnen sowie die Möglichkeiten, die Ergebnisse besser zu verfolgen. Im Ausblick auf das kommende Jahrzehnt könnte das Cloud-Computing dazu beitragen, dass alle Europäer im Digitalzeitalter ankommen und anstelle der Papierbürokratie vollständig elektronische öffentliche Dienste in Anspruch nehmen können. Das Cloud-Computing könnte helfen, im öffentlichen Sektor Kosten zu senken und den Nutzwert zu steigern sowie durch Einbeziehung der gesamten Bevölkerung die Basis der Wirtschaftstätigkeit zu verbreitern.
3. Weitere Schritte
Die vorbereitenden Arbeiten der Kommission verdeutlichen die Hauptbereiche, in denen Maßnahmen notwendig sind:
- - Fragmentierung des digitalen Binnenmarkts aufgrund unterschiedlicher nationaler rechtlicher Rahmenbedingungen und bestehender Unsicherheiten bezüglich des anzuwendenden Rechts, wobei an erster Stelle der möglichen Probleme für potenzielle Cloud-Computing-Anwender und -Anbieter die Frage des Standorts der digitalen Inhalte und Daten steht. Dies liegt vor allem an der komplizierten Verwaltung der Dienste und Nutzungsweisen, die sich über mehrere Rechtssysteme erstrecken und Fragen des Vertrauens und der Sicherheit in Bezug auf Datenschutz, Vertragsgestaltung, Verbraucherschutz und Strafrecht berühren. - Vertragliche Probleme im Zusammenhang mit Bedenken in Bezug auf Datenzugang und -übertragbarkeit, Änderungskontrolle und Eigentum an den Daten. So gibt es ungeklärte Fragen in Bezug auf die Haftung für Störungen der Dienste wie Ausfall oder Datenverlust, die Nutzerrechte bei einseitig vom Anbieter vorgenommenen Systemaufrüstungen, das Eigentum an den in Cloud-Anwendungen erstellten Daten oder die Art und Weise der Beilegung von Streitigkeiten.
- - Ein Normendschungel führt zu Verwirrung, da es einerseits eine wachsende Vielzahl von Normen gibt und andererseits unklar ist, welche Normen eine für die Übertragbarkeit hinreichende Interoperabilität der Datenformate gewährleisten. Ungeklärte Fragen gibt es auch bezüglich des Umfangs, in dem Vorkehrungen zum Schutz personenbezogener Daten getroffen werden müssen, oder des Problems des Datendiebstahls/-verlusts sowie des Schutzes vor Cyberangriffen.
Diese Strategie sieht nicht den Aufbau einer "europäischen Super-Cloud" im Sinne einer speziellen Hardware-Infrastruktur für die Bereitstellung allgemeiner Cloud-Computing-Dienste für Nutzer des öffentlichen Sektors in ganz Europa vor. Dennoch ist eines der verfolgten Ziele die Schaffung öffentlich zugänglicher Cloud-Angebote ("öffentliche Cloud"11), die europäischen Standards entspricht, und zwar nicht nur im rechtlichen Sinne, sondern auch im Hinblick auf Wettbewerbsfähigkeit, Offenheit und Sicherheit. Dies schließt keineswegs aus, dass öffentliche Stellen spezielle private Clouds für die Verarbeitung sensibler Daten einrichten, aber im Allgemeinen sollten im öffentlichen Sektor genutzte Cloud-Dienste im Interesse des bestmöglichen Kosten-Nutzen-Verhältnisses soweit wie möglich dem Wettbewerb unterliegen, und sie müssen auch regulatorische Verpflichtungen oder übergeordnete politische Ziele in Bezug auf wichtige betriebliche Kriterien wie Sicherheit und Schutz sensibler Daten einhalten.
3.1. Cloud-Computing und Digitale Agenda (Digitaler Binnenmarkt)
Da das Cloud-Computing von Natur aus frei von örtlichen Beschränkungen ist, könnte es den digitalen Binnenmarkt auf eine neue Stufe heben. Dies wird aber nur dann möglich sein, wenn es zuvor gelingt, die bestehenden Binnenmarktvorschriften wirksam umzusetzen. Die möglichen Vorteile sind gewaltig. In der für die Kommission angefertigten Vorbereitungsstudie wird geschätzt, dass die öffentliche Cloud unter Cloudfreundlichen Rahmenbedingungen einen BIP-Zuwachs von 250 Milliarden EUR im Jahr 2020 bewirken würde. Dieser Zahl stehen 88 Milliarden EUR für den Fall des "Nichthandelns" gegenüber. Für den Zeitraum von 2015 bis 2020 ergäbe dies kumulierte Auswirkungen in Höhe von 600 Milliarden EUR und ginge einher mit der Schaffung von 2,5 Millionen zusätzlichen Arbeitsplätzen12.
Viele der Schritte, die notwendig sind, um Europa Cloudfreundlich zu machen, wurden bereits als Maßnahmen des Aktionsbereichs "Binnenmarkt" in der Digitalen Agenda für Europa und in der Binnenmarktakte13 ausgewiesen. Die meisten dieser Maßnahmen liegen den Gesetzgebern nun zur Beschlussfassung vor. Eine zügige Annahme und Umsetzung dieser Vorschläge wäre ein wichtiger Beitrag zur Realisierung der wirtschaftlichen Gewinne, die das Cloud-Computing verspricht.
Maßnahmen der Digitalen Agenda zur "Öffnung des Zugangs zu Inhalten"
In der Digitalen Agenda für Europa hat sich die Kommission selbst die "Vereinfachung der Klärung, Verwaltung und grenzüberschreitenden Lizenzierung von Urheberrechten" zum Ziel gesetzt 14. Die dazu in der Digitalen Agenda festgelegten Schlüsselaktionen laufen plangemäß und werden Europa besser in die Lage versetzen, die neuen Chancen des Cloud-Computing sowohl auf Seiten der Produzenten als auch der Verbraucher digitaler Inhalte zu nutzen.
Damit die Cloud als Plattform für digitale Inhaltsdienste (auch mobile Dienste) gut funktionieren kann, werden Modelle für Verteilung der Inhalte gebraucht, die den Zugang zu allen Arten von Inhalten (Musik, audiovisuelles Material, Bücher) sowie deren Nutzung mit unterschiedlichen Geräten und in unterschiedlichen Gebieten verbessern. Cloud-Diensteanbieter und Rechteinhaber können geschäftliche Vereinbarungen über Lizenzen treffen, die es den Kunden erlauben, mit verschiedenen Geräten auf ihre persönlichen Konten zuzugreifen, und zwar unabhängig vom geografischen Gebiet, aus dem dieser Zugriff erfolgt.
Solche flexiblen Lizenzvereinbarungen wurden im Markt bereits abgeschlossen, wenngleich sich in einigen Fällen die Einigung schwierig gestaltet. Die Anbieter brauchen einfache Verfahren für den Erwerb der nötigen Lizenzen für solche Dienste. Die Verbraucher sollten die Möglichkeit haben, auch unterwegs ihre innerhalb der EU rechtmäßig erworbenen Inhalte zu nutzen, ohne den Zugang zu den Diensten, für die sie in anderen Mitgliedstaaten bezahlt haben, einzubüßen. Den Rechteinhabern käme zugute, dass solche Lizenzvereinbarungen die Innovation der Dienste fördern und ihnen auf diese Weise neue Einnahmequellen erschließen würden. Durch eine zügige Annahme des Kommissionsvorschlags für eine Richtlinie über die kollektive Rechteverwertung werden viele Voraussetzungen für eine grenzübergreifende Lizenzierung von Cloud-Inhalten in Bezug auf Musik geschaffen. Darüber hinaus erwägt die Kommission weitere Maßnahmen im Anschluss an das Grünbuch über audiovisuelle Werke15, beispielsweise zur Förderung und Erleichterung der Lizenzierung audiovisueller Werke für den Online-Vertrieb, vor allem über nationale Grenzen hinweg. Ein Cloud-Computing-Dienst kann aber auch das Speichern von Inhalten in der Cloud ermöglichen. So können die Verbraucher die Cloud als digitales Schließfach für Inhalte und als Synchronisierungswerkzeug für den Zugriff auf die Inhalte mit verschiedenen Geräten benutzen. Dies wirft Fragen im Hinblick auf die mögliche Erhebung von Urheberrechtsabgaben für das private Kopieren von Inhalten in die, aus der oder innerhalb der Cloud auf.
Diese und andere Fragen werden gegenwärtig in einem Vermittlungsprozess unter der Leitung von Antonio Vitorino untersucht 16. Ausgehend von den Ergebnissen dieses Prozesses wird die Kommission u.a. beurteilen, ob es notwendig ist, den Geltungsbereich der Privatkopie-Ausnahme und die Anwendbarkeit von Gebühren klarzustellen, insbesondere inwieweit Cloud-Computing-Dienste, die eine direkte Vergütung der Rechteinhaber zulassen, von der Privatkopie-Regelung ausgenommen sind.
Maßnahmen der Digitalen Agenda zur "Vereinfachung online und grenzüberschreitend ausgeführter Transaktionen"
Die kürzlich im Rahmen der Digitalen Agenda durchgeführte Überprüfung der Richtlinie über den elektronischen Geschäftsverkehr hat die Bedeutung der Richtlinie, die eine Beschränkung der Verantwortlichkeit der Anbieter von Diensten der Informationsgesellschaft für die Bereitstellung oder Übertragung unrechtmäßiger Informationen, die von Dritten bereitgestellt wurden, vorsieht, als unverzichtbare Grundlage für das Wachstum digitaler Dienste in Europa bestätigt. Zahlreiche derartige Online-Dienste werden nun in Cloud-Infrastrukturen verlegt, wodurch stärker integrierte Dienstleistungen leichter angeboten werden können. Daraus ergeben sich komplexere Wertschöpfungsketten, die sich häufig auf mehrere Rechtsgebiete erstrecken, was wiederum Fragen aufwirft in Bezug auf die Feststellung des anwendbaren Rechts (z.B. Niederlassung) und die Anwendung der Meldeverfahren für (mutmaßliche) unrechtmäßige Informationen und Tätigkeiten auf diese neu entstehenden Dienste. Auf diese Probleme wird in den Folgearbeiten zur Mitteilung über den digitalen Binnenmarkt für elektronischen Handel und Online-Dienste sowie in der Kommissionsinitiative zu den Melde-und Abhilfeverfahren eingegangen17.
Sichere elektronische Authentifizierungsmethoden für Internet-Transaktionen sind auch für die Entwicklung des digitalen Binnenmarkts von zentraler Bedeutung. Wegen der komplexeren Wertschöpfungsketten und der verschachtelten Natur zahlreicher Dienste ist im Cloud-Computing eine verlässliche Authentifizierung unbedingt notwendig, um einerseits Vertrauen zu schaffen und andererseits die Benutzung der Dienste zu straffen. Beispielsweise erleichtern Verfahren der Einmalanmeldung die Benutzung einer ganzen Reihe von Diensten, erfordern aber auch hochentwickelte und verlässliche Authentifizierungsmethoden, die über einfache selbsterzeugte Passwörter weit hinausgehen, um das Vertrauen in die verschiedenen beteiligten Anbieter zu erhöhen. Die Annahme gemeinsamer Standards für eine sichere, aber dennoch nahtlose Benutzung von Diensten, die eine verlässliche Authentifizierung und Autorisierung erfordern, wäre für die Cloud-Übernahme überaus hilfreich. Die Bereitstellung solcher Lösungen wird durch die Annahme der Kommissionsvorschläge zur elektronischen Identifizierung und Authentifizierung18 beträchtlich erleichtert werden.
Auf allgemeine Probleme der Cybersicherheit wird die Kommission in den kommenden Monaten in ihrer Strategie zur Cybersicherheit eingehen. Diese Strategie richtet sich an alle Anbieter von Diensten der Informationsgesellschaft, darunter auch die von Cloud-Computing-Diensten. Sie wird u.a. geeignete technische und organisatorische Maßnahmen vorsehen, die in Bezug auf das Management der Sicherheitsrisiken und die Berichterstattung über erhebliche Vorfälle an die zuständigen Behörden ergriffen werden sollten.
Maßnahmen der Digitalen Agenda zur Vertrauensbildung im digitalen Umfeld
Wie die Konsultation und die von der Kommission eingeleiteten Studien ergeben haben, ist der Datenschutz ein zentraler Problembereich, der die Übernahme des Cloud-Computing erschweren könnte. Vor allem die 27 teilweise unterschiedlichen nationalen rechtlichen Rahmenbedingungen machen es äußerst schwierig, auf Binnenmarktebene kostengünstige Cloud-Lösungen anzubieten. Angesichts des globalen Charakters der Cloud wurde ferner um Klarstellung gebeten, wie internationale Datenübertragungen reguliert werden sollen. Diesen Bedenken wurde - in Verwirklichung einer anderen Aktion der Digitalen Agenda - Rechnung getragen durch den Kommissionsvorschlag vom 25. Januar 2012 für einen starken und einheitlichen Rechtsrahmen, der Rechtssicherheit auf dem Gebiet des Datenschutzes schafft. Der Verordnungsvorschlag nimmt sich auch der durch die Cloud aufgeworfenen Fragen an. Im Wesentlichen klärt er die wichtige Frage des anwendbaren Rechts, indem er dafür sorgt, dass ein einziges Regelwerk direkt und in einheitlicher Weise in allen 27 Mitgliedstaaten gilt. Der Rahmen ist gut für Unternehmen und Bürger, weil er in ganz Europa für gleiche Wettbewerbsbedingungen, einen geringeren Verwaltungsaufwand und niedrigere Einhaltungskosten sorgt. Gleichzeitig stellt er ein hohes Schutzniveau für Personen sicher und gibt ihnen mehr Kontrolle über ihre eigenen Daten. Eine transparentere Datenverarbeitung wird auch dazu beitragen, das Vertrauen der Verbraucher zu stärken. Der Vorschlag erleichtert die Übermittlung personenbezogener Daten in Länder außerhalb der EU und des EWR, ohne dabei jedoch den durchgehenden Schutz der betroffenen Personen infrage zu stellen. Mit dem neuen Rechtsrahmen werden die notwendigen Voraussetzungen dafür geschaffen, dass Verhaltensregeln und Normen für die Cloud angenommen werden können, falls die Interessenträger Zertifizierungsprogramme für nötig halten, anhand deren kontrolliert werden kann, ob die Betreiber geeignete IT-Sicherheitsnormen und Vorkehrungen für die Datenübermittlung anwenden.
Angesichts dessen, dass Datenschutzbedenken als eines der größten Hindernisse bei der Übernahme des Cloud-Computing erkannt wurden, ist es umso wichtiger, dass der Rat und das Europäische Parlament nun zügig auf eine Verabschiedung der vorgeschlagenen Verordnung hinarbeiten, und zwar so früh wie möglich im Jahr 2013.
Da am Cloud-Computing ganze Ketten von Anbietern und anderen Akteuren wie Infrastruktur- und Kommunikationsbetreibern beteiligt sind, werden bis dahin Vorgaben zur Anwendung der geltenden EU-Datenschutzrichtlinie gebraucht. Dies betrifft insbesondere die Feststellung und Abgrenzung der Datenschutzrechte und -pflichten der für die Verarbeitung Verantwortlichen bzw. der Auftragsverarbeiter im Hinblick auf Cloud-Diensteanbieter bzw. andere Akteure innerhalb der Wertschöpfungskette des Cloud-Computing. Die besonderen Eigenarten der Cloud werfen zudem Fragen hinsichtlich des anzuwendenden Rechts auf, wenn es schwierig ist, den Ort der Niederlassung eines Cloud-Anbieters zu bestimmen, z.B. bei einem Nicht-EU-Nutzer eines Nicht-EU-Anbieters, der ein Rechenzentrum in Europa betreibt. In diesem Zusammenhang begrüßt die Kommission die Hinweise zur Anwendung der geltenden EU-Datenschutzrichtlinie, die in der Stellungnahme der "Datenschutzgruppe nach Artikel 29" zum Cloud-Computing vom 1. Juli 1219 enthalten sind. Nach Ansicht der Kommission bildet die Stellungnahme der Datenschutzgruppe nach Artikel 29 eine gute Grundlage für den Übergang von der heutigen EU-Datenschutzrichtlinie zur neuen EU-Datenschutzverordnung. Sie sollte als Richtschnur für die Arbeit der nationalen Behörden und der Unternehmen dienen und ihnen maximale Klarheit und Rechtssicherheit auf der Grundlage des bestehenden Rechtsrahmens verschaffen.
Überdies wird die Kommission, sobald die vorgeschlagene Verordnung erlassen worden ist, den darin festgelegten neuen Mechanismus anwenden, um in enger Zusammenarbeit mit den nationalen Datenschutzbehörden ggf. notwendige zusätzliche Vorgaben für die Anwendung des europäischen Datenschutzrechts in Bezug auf Cloud-Dienste zu machen.
Auch das Vertragsrecht gehört zu den Problemfeldern, die das Vertrauen der Verbraucher in digitale Dienste beeinträchtigen, weil sie sich ihrer Rechte nicht sicher sind und sich nicht ausreichend geschützt fühlen. Gleichzeitig brauchen Händler einen Rahmen, der es ihnen erleichtert, ihre Produkte online anzubieten. In diesem Zusammenhang hat die Kommission bereits einen Vorschlag für eine Verordnung über ein gemeinsames europäisches Kaufrecht20 vorgelegt.
3.2. Besondere Schlüsselaktionen zum Cloud-Computing
Die Vollendung des digitalen Binnenmarkts - durch eine schnellstmögliche Annahme und Umsetzung der vorliegenden Vorschläge der Digitalen Agenda - ist der unverzichtbare erste Schritt auf dem Weg zu einem Cloudfreundlichen Europa. Aber um noch einen Schritt weiter zu gehen und "Cloudaktiv" zu werden, muss auch ein Klima der Sicherheit und des Vertrauens geschaffen werden, damit es zu einer aktiven Übernahme des Cloud-Computing in Europa kommen kann.
Um Vertrauen in Cloud-Lösungen zu schaffen, ist eine ganze Serie vertrauensbildender Schritte notwendig. Diese beginnt mit der Festlegung geeigneter Normen, deren Einhaltung zertifiziert werden kann, damit öffentliche und private Beschaffer sicher sein können, dass sie im Zuge der Einführung von Cloud-Diensten ihren rechtlichen Pflichten nachkommen und eine geeignete Lösung bekommen, die ihren Anforderungen entspricht. Auf diese Normen und Zertifizierungen kann dann wiederum in Vertrags- und Geschäftsbedingungen verwiesen werden, so dass Anbieter und Nutzer auf einen fairen Vertragsschluss vertrauen können. Wie im Zusammenhang mit den oben genannten Vorbereitungen erwähnt, ist sowohl bezüglich der Normen und der Zertifizierung als auch bezüglich der Vertragsbedingungen ein besonderer Rahmen für das Cloud-Computing erforderlich.
Bei der Gestaltung einer vertrauenswürdigen Cloud-Umgebung in Europa kommt den Behörden eine wichtige Rolle zu. Sie können ihr Gewicht als Großabnehmer in die Waagschale werfen, um die Entwicklung und Einführung des Cloud-Computing in Europa auf der Grundlage offener Technologien und gesicherter Plattformen zu fördern. Die Schaffung eines klaren und schützenden Rahmens für die Übernahme im öffentlichen Sektor wird dafür sorgen, dass diese neue Technik einen vertrauenswürdigen Zugang für internationale Benutzer ermöglicht und dass Europa zum Zentrum der Innovation auf dem Gebiet der Cloud-Dienste wird. Außerdem dürfte die Übernahme vertrauenswürdiger Cloud-Lösungen durch öffentliche Auftraggeber auch kleine und mittlere Unternehmen zu diesem Schritt ermutigen.
Es gibt aber auch Bedenken, dass das Cloud-Computing seine wirtschaftliche Wirkung erst dann voll entfalten kann, wenn es sowohl von öffentlichen Stellen als auch von kleinen und mittleren Unternehmen (KMU) übernommen wird. Bislang ist die Übernahme in beiden Sektoren gering, weil es schwierig ist, die mit der Cloud-Einführung verbundenen Risiken abzuschätzen.
Zur Verwirklichung dieser Ziele wird die Europäische Kommission daher drei Cloudspezifische Maßnahmen ergreifen:
- 1) Schlüsselaktion 1: Lichten des Normendschungels;
- 2) Schlüsselaktion 2: Sichere und faire Vertragsbedingungen;
- 3) Schlüsselaktion 3: Aufbau einer europäischen Cloud-Partnerschaft zur Förderung der Innovation und des Wachstums durch den öffentlichen Sektor.
3.3. Schlüsselaktion 1- Lichten des Normendschungels
Eine breitere Verwendung von Normen, die Zertifizierung von Cloud-Diensten - mit der gezeigt wird, dass diese Normen erfüllt werden - und die Anerkennung solcher Zertifizierungen durch die Regulierungsbehörden als Nachweis der Einhaltung rechtlicher Verpflichtungen wären für die Verbreitung der Cloud-Nutzung überaus hilfreich.
Gegenwärtig bestehen Anreize für einzelne Anbieter, eine beherrschende Stellung anzustreben, indem sie ihre Kunden an sich binden und branchenweit genormte Ansätze verhindern. Trotz zahlreicher Normungsbemühungen, die meistens von Zulieferern ausgehen, könnten sich Clouds in einer Weise entwickeln, in der es an Interoperabilität,
Datenübertragbarkeit und -umkehrbarkeit mangelt - Elemente, die jedoch entscheidend sind, um eine starre Kundenbindung zu vermeiden.
Normen in der Cloud werden sich auch auf Beteiligte außerhalb der IKT-Branche auswirken, vor allem auf KMU, den öffentlichen Sektor und die Verbraucher. Solche Nutzer werden selten in der Lage sein, die Angaben der Anbieter in Bezug auf die Anwendung der Normen, die Interoperabilität ihrer Clouds oder die Möglichkeiten und Einfachheit der Übertragung der Daten von einem Dienstleister zu einem anderen zu beurteilen. Hierfür ist eine unabhängige, vertrauenswürdige Zertifizierung notwendig.
Bemühungen zur Normung und Zertifizierung im Bereich des Cloud-Computing sind bereits im Gange. Das US-amerikanische Nationale Institut für Normen und Technologie (NIST) hat eine Reihe von Papieren veröffentlicht, darunter auch eine Reihe allgemein anerkannter Definitionen. Das Europäische Institut für Telekommunikationsnormen (ETSI) hat eine Cloud-Arbeitsgruppe gebildet, die sich mit dem Cloud-Normungsbedarf und der Einhaltung von Interoperabilitätsnormen befasst. Es steht außer Zweifel, dass weitere Normungsinitiativen benötigt werden. Vorrang hat jetzt aber die Durchsetzung der bestehenden Normen zur Stärkung des Vertrauens in Cloud-Dienste durch vergleichbare Dienstpakete und interoperable wie vielfältige Angebote. Neben der Festlegung der betreffenden Normen ist auch eine Zertifizierung der Einhaltung dieser Normen erforderlich.
Viele - und sicherlich alle großen - Organisationen brauchen eine Zertifizierung, um nachweisen zu können, dass ihre IT-Systeme den Vorschriften und Auditvorgaben entsprechen und dass die Anwendungen und Systeme interoperabel sind. Die Kommission wird
- - zuverlässige und vertrauenswürdige Cloud-Angebote fördern, indem sie das ETSI beauftragt, in transparenter und offener Weise das Vorgehen der Beteiligten zu koordinieren, damit bis 2013 ein detaillierter Plan der erforderlichen Normen (u.a. für Sicherheit, Interoperabilität, Datenübertragbarkeit und -umkehrbarkeit) aufgestellt wird; - das Vertrauen in Cloud-Computing-Dienste dadurch stärken, dass technische Spezifikationen im Bereich der Informations- und Kommunikationstechnologien, die dem Schutz personenbezogener Informationen dienen, nach der neuen Verordnung zur europäischen Normung21 auf EU-Ebene anerkannt werden;
- - mit Hilfe der ENISA und anderer einschlägiger Stellen die Entwicklung EU-weiter freiwilliger Zertifizierungsprogramme im Bereich des Cloud-Computing unterstützen (auch im Hinblick auf den Datenschutz) und bis 2014 ein Verzeichnis derartiger Programme erstellen;
- - den Umweltfolgen einer zunehmenden Cloud-Nutzung Rechnung tragen, indem sie bis 2014 mit der Branche harmonisierte Messparameter für den Energieverbrauch, den Wasserverbrauch und die CO₂-Emissionen von Cloud-Diensten vereinbart22.
3.4. Schlüsselaktion 2 - Sichere und faire Vertragsbedingungen
Herkömmliche IT-Outsourcing-Verträge bezogen sich üblicherweise auf Anlagen und Dienste zur Datenspeicherung und Datenverarbeitung, die in Verhandlungen vorab detailliert festgelegt und beschrieben wurden. Demgegenüber wird mit Cloud-Computing-Verträgen im Wesentlichen nur ein Rahmen geschaffen, innerhalb dessen der Nutzer entsprechend seinen Bedürfnissen Zugriff auf unbegrenzt skalierbare und flexibel einsetzbare IT-Kapazitäten erhält. Allerdings steht derzeit der größeren Flexibilität des Cloud-Computing im Vergleich zum traditionellen IT-Outsourcing häufig eine geringere Sicherheit für den Kunden gegenüber, die darauf zurückzuführen ist, dass die mit den Cloud-Anbietern geschlossenen Verträge unpräzise und unausgewogen sind.
Aufgrund der Komplexität und Unsicherheit der rechtlichen Rahmenbedingungen für Cloud-Diensteanbieter verwenden diese oft komplizierte Verträge oder Leistungsvereinbarungen23 (SLA) mit umfangreichen Haftungsausschlüssen. Der Gebrauch nicht verhandelbarer Standard-Vertragsbedingungen mag den Anbietern eine Kostenersparnis bringen, für die Nutzer (auch die Endverbraucher) ist dies häufig aber nicht wünschenswert. Solche Verträge können auch die Rechtswahl vorgeben oder eine Datenwiederherstellung ausschließen. Selbst große Unternehmen haben hier nur wenig Verhandlungsmacht. Zudem sehen die Verträge oft keinerlei Haftung für die Unversehrtheit und Vertraulichkeit der Daten oder die Kontinuität der Dienstleistungserbringung vor24.
Was gewerbliche Nutzer angeht, erwies sich die Aufstellung von Musterbedingungen für das Cloud-Computing zur Verwendung in Leistungsvereinbarungen (SLA) für gewerbliche Nutzer als eine der wichtigsten Fragen, die im Zuge des Konsultationsprozesses aufgeworfen wurden. Die Leistungsvereinbarungen regeln die Beziehung zwischen dem Cloud-Provider und dem gewerblichen Nutzer und bilden somit im Wesentlichen die Grundlage für das Vertrauen, das der Nutzer seinem Cloud-Anbieter und dessen Fähigkeit zur Erbringung der Dienstleistungen entgegenbringen kann.
Was Verbraucher und kleine Unternehmen anbelangt, geht der Vorschlag der Kommission für eine Verordnung über ein gemeinsames europäisches Kaufrecht25 - als Vertrauen schaffende Maßnahme im Rahmen der Digitalen Agenda - auf viele der Probleme ein, die sich aus unterschiedlichen nationalen Kaufrechtsvorschriften ergeben, und bietet den Vertragsparteien ein einheitliches Regelwerk an. Der Vorschlag enthält angepasste Vorschriften für die Bereitstellung "digitaler Inhalte", die auch einige Aspekte des Cloud-Computing abdecken26.
Zu jenen Fragen, die über das gemeinsame europäische Kaufrecht hinausgehen, sind jedoch noch ergänzende Arbeiten nötig, um sicherzustellen, dass andere Vertragsfragen, die für das Cloud-Computing von Belang sind, ebenfalls regelt werden können, und zwar nach einem ähnlichen Ansatz eines fakultativen Rechtsinstruments. Diese ergänzenden Arbeiten sollten sich mit Fragen befassen wie z.B. Bewahrung der Daten nach Vertragsende, Offenlegung und Integrität der Daten, Speicherort und Übertragung von Daten, direkte und indirekte Haftung, Eigentum an den Daten, einseitige Änderungen des Dienstes durch die Cloud-Anbieter und Untervergabe.
Obwohl die Nutzer durch bestehendes EU-Recht bereits geschützt werden, sind den Verbrauchern ihre einschlägigen Rechte oft nicht bewusst, insbesondere nicht in Bezug auf das anwendbare Recht und den Gerichtsstand in Zivil- und Handelssachen, vor allem wenn es um vertragsrechtliche Fragen geht27. Zur Überwindung dieser Probleme wurde in der Konsultation 28 die Ausarbeitung von Muster-Vertragsbedingungen als wünschenswert bezeichnet. Gewerbliche Nutzer und Zulieferer fordern Selbstregulierungsvereinbarungen oder eine Normung. Für Verträge mit Verbrauchern und kleinen Unternehmen sind europäische Muster-Vertragsbedingungen, die auf einem fakultativen vertragsrechtlichen Instrument beruhen, möglicherweise erforderlich, um zu transparenten und fairen Verträgen über Cloud-Dienste zu gelangen.
Die Ermittlung und Verbreitung der besten Praktiken in Bezug auf Muster-Vertragsbedingungen wird auch die Einführung des Cloud-Computing beschleunigen, weil dadurch das Vertrauen möglicher Kunden gestärkt wird.
Geeignete Maßnahmen zu den Vertragsbedingungen können sich auch auf dem wichtigen Gebiet des Datenschutzes als hilfreich erweisen. Wie oben dargelegt, wird die vorgeschlagene Verordnung über den Schutz personenbezogener Daten ein hohes Schutzniveau für Personen garantieren, indem sie dafür sorgt, dass die Daten auch nach einer Übertragung außerhalb der EU und des EWR fortgesetzt geschützt bleiben, was vor allem durch Standard-Vertragsklauseln für internationale Datenübertragungen und durch die Festlegung der notwendigen Bedingungen für die Annahme Cloudfreundlicher verbindlicher unternehmensinterner Vorschriften gewährleistet wird. Diese Änderungen werden sicherstellen, dass die EU-Datenschutzvorschriften der geografischen und technischen Wirklichkeit des Cloud-Computing Rechnung tragen. Bis Ende 2013 wird die Kommission
- - mit den Interessenträgern Musterbedingungen für das Cloud-Computing zur Verwendung in Leistungsvereinbarungen zwischen Cloud-Anbietern und gewerblichen Cloud-Nutzern aufstellen und dabei der Entwicklung des EU-Rechts auf diesem Gebiet Rechnung tragen; - in Übereinstimmung mit der Mitteilung zum gemeinsamen europäischen Kaufrecht29 den Verbrauchern und kleinen Unternehmen Vorschläge für europäische Muster-Vertragsbedingungen für all jene Fragen unterbreiten, die in den Anwendungsbereich des vorgeschlagenen gemeinsamen europäischen Kaufrechts fallen. Ziel ist eine Normung der wichtigsten Vertragsbedingungen, um eine empfehlenswerte Praxis bei Vertragsbedingungen für Cloud-Dienste in Bezug auf die Bereitstellung "digitaler Inhalte" zu etablieren;
- - eine eigens dafür eingesetzte Expertengruppe, der auch Branchenvertreter angehören, damit beauftragen, bis Ende 2013 sichere und faire Vertragsbedingungen für Verbraucher und kleine Unternehmen sowie - aufgrund eines ähnlichen Ansatzes mit einem fakultativen Rechtsinstrument - für Cloudbezogene Fragen auszuarbeiten, die über das gemeinsame europäische Kaufrecht hinausgehen;
- - die Teilhabe Europas am weltweiten Wachstum des Cloud-Computing fördern, und zwar durch Überprüfung der Standard-Vertragsklauseln für die Übertragung personenbezogener Daten in Drittländer und ggf. deren Anpassung auf Cloud-Dienste; ferner wird sie die nationalen Datenschutzbehörden auffordern, verbindliche unternehmensinterne Vorschriften für Cloud-Anbieter zu billigen 30;
- - mit der Branche bei der Vereinbarung von Verhaltensregeln für Anbieter von Cloud-Diensten zusammenarbeiten, um die einheitliche Anwendung der Datenschutzvorschriften zu fördern, die der Datenschutzgruppe nach Artikel 29 zur Billigung vorgelegt werden können, um die Rechtssicherheit und die Vereinbarkeit der Verhaltensregeln mit dem EU-Recht zu gewährleisten;
3.5. Schlüsselaktion 3 - Förderung einer gemeinsamen Führungsrolle des öffentlichen Sektors durch eine europäische Cloud-Partnerschaft
Dem öffentlichen Sektor kommt eine wichtige Rolle bei der Gestaltung des Cloud-Computing-Marktes zu. Als EU-weit größter Abnehmer von IT-Dienstleistungen kann er verbindliche Vorgaben in Bezug auf Leistungsmerkmale, Sicherheit, Interoperabilität, Datenübertragbarkeit und Einhaltung technischer Anforderungen machen. Ferner kann er auch Anforderungen für die Zertifizierung festlegen. In mehreren Mitgliedstaaten sind nationale Initiativen in Angriff genommen worden, z.B. Andromede in Frankreich, G-Cloud im Vereinigten Königreich und Trusted Cloud in Deutschland 31. Aber der Markt des öffentlichen Sektors ist fragmentiert, seine Anforderungen werden wenig beachtet, die Dienste sind kaum integriert und die Bürger bekommen für ihr Geld nicht den bestmöglichen Gegenwert. Durch eine Bündelung der öffentlichen Nachfrage könnten Effizienzsteigerungen erzielt und gemeinsame sektorale Anforderungen aufgestellt werden (z.B. für elektronische Gesundheitsdienste, Sozialfürsorge, unterstütztes Leben und elektronische Behördendienste wie die Bereitstellung offener Daten 32), um Kosten einzusparen und Interoperabilität herzustellen.
Auch dem Privatsektor würden höherwertige Dienstleistungen, ein verstärkter Wettbewerb, eine zügige Normung und bessere Interoperabilität sowie Marktchancen für Hochtechnologie-KMU zugute kommen.
In diesem Jahr richtet die Kommission deshalb eine Europäische Cloud-Partnerschaft (ECP) ein, die als Dachorganisation für vergleichbare Initiativen in den Mitgliedstaaten dienen soll. In der ECP werden der Sachverstand der Branche und die Nutzer des öffentlichen Sektors zusammenfinden, um in offener und völlig transparenter Weise gemeinsame Anforderungen für die Auftragsvergabe im Bereich des Cloud-Computing aufzustellen. Ziel der ECP ist es nicht, eine physische Cloud-Computing-Infrastruktur aufzubauen. Stattdessen soll über Vergabeanforderungen, die von den beteiligten Mitgliedstaaten und Behörden überall in der EU verwendet werden, erreicht werden, dass sich das kommerzielle Angebot in Europa an die europäischen Bedürfnisse anpasst. Außerdem wird die ECP wesentlich dazu beitragen, eine Fragmentierung zu verhindern und eine öffentliche Cloud-Nutzung herbeizuführen, die interoperabel, sicher und umweltverträglicher ist und in vollem Einklang mit den europäischen Vorschriften steht, z.B. in Bezug auf den Datenschutz und die Sicherheit. Die ECP wird unter Leitung eines Lenkungsausschusses arbeiten, dem die teilnehmenden Behörden angehören, die mit Industriekonsortien auf dem Gebiet der vorkommerziellen Auftragsvergabe zusammenarbeiten. Ziel ist es,
- - die Anforderungen des öffentlichen Sektors an Cloud-Dienste zu ermitteln, Spezifikationen für die IT-Beschaffung zu entwickeln und Referenzimplementierungen zu beauftragen, mit denen die Einhaltung der Vorgaben und die Leistungsfähigkeit demonstriert werden kann 33; - auf der Grundlage der neuen gemeinsamen Benutzeranforderungen zur gemeinsamen Beschaffung von Cloud-Computing-Diensten durch öffentliche Einrichtungen überzugehen;
- - weitere Maßnahmen zu konzipieren und umzusetzen, für die eine Koordinierung mit den Beteiligten erforderlich ist, wie im vorliegenden Papier dargestellt.
4. Zusätzliche politische Schritte
Die Kommission wird auch eine Reihe flankierender Maßnahmen zur Unterstützung der drei Schlüsselaktionen ergreifen. Andere Initiativen wie beispielsweise zu Breitbandzugang, Roaming oder offenen Daten werden ebenfalls dazu beitragen, dass Rahmenbedingungen geschaffen werden, die einer raschen Cloud-Einführung - insbesondere für Verbraucher und KMU - förderlich sind.
4.1. Stimulierungsmaßnahmen
Die Kommission wird untersuchen, wie ihre sonstigen vorhandenen Instrumente bestmöglich eingesetzt werden können, vor allem über die Förderung der Forschung und Entwicklung im Rahmen von Horizont 2020 zu langfristigen Herausforderungen, die das Cloud-Computing besonders betreffen, sowie die Unterstützung der Migration auf Cloudgestützte Lösungen, z.B. Software für die Umstellung von herkömmlichen Großrechnern auf Cloud-Systeme und die betreffende Aufforderung zur Einreichung von Vorschlägen wurde am 9. Juli 2012 veröffentlicht.
für die Verwaltung von Hybrid-Systemen (die Cloud- und Nicht-Cloud-Systeme miteinander verbinden), um eine starre Kundenbindung zu vermeiden34.
Im Jahr 2014 will die Kommission digitale Dienstinfrastrukturen im Rahmen der vorgeschlagenen Fazilität "Connecting Europe"35 als stets überall verfügbare Cloudgestützte öffentliche Dienste einführen, z.B. für Online-Unternehmensgründung, grenzüberschreitende Auftragsvergabe und elektronische Gesundheitsdienste sowie den Zugang zu Informationen des öffentlichen Sektors. Außerdem wird sie ihren eigenen Cloud-Plan im Rahmen ihrer Strategie "eCommission" verwirklichen; dazu gehört ein Aktionsplan für die Verlegung öffentlicher Dienstleistungen, die im Zuge anderer Unionsprogramme erbracht werden, in die Cloud.
Schließlich wird sie Maßnahmen ergreifen (u.a. Studien, Betreuungs- und Beratungsprogramme, Sensibilisierung), um digitale Kompetenzen und digitales Unternehmertum im Zusammenhang mit dem Cloud-Computing zu fördern.
4.2. Internationaler Dialog
Wenn Cloud-Dienste durch keine technischen Hindernisse an geografischen Grenzen gestoppt werden, dann kommt es nicht nur darauf an, die Chancen des digitalen Binnenmarkts vollständig auszuschöpfen, sondern auch den Blick über die EU hinaus auf die weitere internationale Umgebung zu richten, und zwar sowohl im Hinblick auf die rechtlichen Rahmenbedingungen (z.B. das anwendbare Recht) als auch Maßnahmen zur Förderung der Cloud-Übernahme.
Das Cloud-Computing ist global entstanden und erfordert einen verstärkten internationalen Dialog über eine sichere und nahtlose grenzübergreifende Nutzung. Beispielsweise muss im internationalen Handelsdialog, in der Rechtsdurchsetzung, aber auch in Fragen der Sicherheit und der Cyberkriminalität den neuen Herausforderungen, die aus dem Cloud-Computing erwachsen, Rechnung getragen werden36.
Immer mehr Drittländer werden sich der großen Bedeutung des Cloud-Computing bewusst. Die USA, Japan, Kanada, Australien und südostasiatische Länder wie Korea, Malaysia und Singapur haben bereits Cloud-Computing-Strategien aufgestellt oder damit begonnen. Die Schwerpunkte darin sind Partnerschaften zur Stimulierung der Übernahme durch öffentliche Stellen, die Förderung der technologischen Entwicklung und der Normung sowie internationaler Dialog und Koordinierung in rechtlichen und technischen Fragen. Die EU muss deshalb ihre strukturierte Zusammenarbeit mit internationalen Partnern vertiefen, und zwar nicht nur im Hinblick auf Erfahrungsaustausch und gemeinsame technologische Entwicklung, sondern auch im Hinblick auf rechtliche Anpassungen zur Förderung einer effizienteren und wirksameren Cloud-Einführung37. Diese Gespräche werden im Rahmen multinationaler Gremien wie der WTO und der OECD fortgeführt, um die Erreichung gemeinsamer Ziele für Cloud-Computing-Dienste voranzutreiben und um Cloud-Computing-Fragen auch in die Freihandelsverhandlungen mit Indien, Singapur u.a. einzubeziehen.
Außerdem wird die Kommission ihre laufenden internationalen Gespräche mit den USA, Indien, Japan und anderen Ländern auf wichtige Themen im Zusammenhang mit Cloud-Diensten (wie oben erläutert) ausweiten, z.B. auf Fragen wie Datenschutz; Datenzugang für Strafverfolgungsbehörden und Anwendung von Amtshilfevereinbarungen, um zu vermeiden, dass Unternehmen mit widersprüchlichen behördlichen Anordnungen konfrontiert werden; Koordinierung der Datensicherheit auf globaler Ebene; Cybersicherheit und Verantwortlichkeit der Vermittler (Dienstleister); Normen und Interoperabilitätsanforderungen, insbesondere für öffentliche Dienste; Anwendung des Steuerrechts auf Cloud-Dienste; Zusammenarbeit in der Forschung und technologischen Entwicklung.
5. Fazit
Das Cloud-Computing berührt ein breites Spektrum von Politikgebieten. Laufende politische Initiativen wie die Reform des Datenschutzrahmens und das gemeinsame europäische Kaufrecht werden die Hindernisse für die Übernahme des Cloud-Computing in der EU vermindern und sollten rasch verabschiedet werden.
Gleichzeitig wird die Kommission im Jahr 2013 die in der vorliegenden Mitteilung genannten Schlüsselaktionen umsetzen, insbesondere was die Maßnahmen zur Normung und Zertifizierung des Cloud-Computing, zur Ausarbeitung sicherer und fairer Vertragsbedingungen und zur Einrichtung der Europäischen Cloud-Partnerschaft angeht.
Die Kommission wird aufmerksam neue politische Fragestellungen verfolgen, die für das wirtschaftliche und gesellschaftliche Potenzial des Cloud-Computing von Bedeutung sein dürften, d.h. in Bereichen wie Besteuerung, öffentliches Beschaffungswesen, Finanzregulierung oder Rechtsdurchsetzung, wo die grenzübergreifende Dimension des Cloud-Computing Fragen in Bezug auf die Einhaltung von Vorschriften und Berichtspflichten aufwirft.
Die Kommission wird zum Jahresende 2013 über die Fortschritte berichten, die mit allen Maßnahmen der vorliegenden Strategie erzielt werden, und bei Bedarf weitere Politik- und Legislativvorschläge unterbreiten.
In den nächsten zwei Jahren wird durch die Konzipierung und Verwirklichung der oben genannten Maßnahmen der Grundstein dafür gelegt, dass Europa zu einem leistungsfähigen Zentrum des Cloud-Computing wird. Hinreichende Fortschritte in dieser Vorbereitungsphase werden eine stabile Grundlage für eine schnelle Einführungsphase in den Jahren von 2014- 2020 bilden, in denen bei der Nutzung öffentlich verfügbarer Cloud-Computing-Angebote eine mittlere jährliche Gesamtzuwachsrate von 38 % erreicht werden könnte (das Doppelte des Wachstums ohne Umsetzung der entscheidenden politischen Schritte).
Die Kommission ruft die Mitgliedstaaten auf, das Potenzial des Cloud-Computing zu nutzen. Die Mitgliedstaaten sollten die Cloud-Nutzung im öffentlichen Sektor vorantreiben, und zwar auf der Grundlage gemeinsamer Konzepte, mit denen die Leistung und das Vertrauen gestärkt und gleichzeitig die Kosten gesenkt werden. Dabei kommt es auf eine aktive Beteiligung an der Europäischen Cloud-Partnerschaft und auf die Einführung der von ihr erzielten Ergebnisse an.
Ferner ruft die Kommission die Branche auf, bei der Entwicklung und Annahme gemeinsamer Normen und Interoperabilitätsmaßnahmen eng zusammenzuarbeiten.
- 1. Kretschmer, T. (2012), "Information and Communication Technologies and Productivity Growth: A Survey of the Literature" (Informations- und Kommunikationstechnik und Produktivitätssteigerung: Ein Literaturüberblick), OECD Digital Economy Papers, Nr. 195, OECD Publishing. http://dx.doi.org/10.1787/5k9bh3jllgs7-en.
- 2. Mitteilung "Ein kohärenter Rahmen zur Stärkung des Vertrauens in den digitalen Binnenmarkt für elektronischen Handel und Online-Dienste", COM (2011) 942 final.
- 3. IDC (2012), "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up" (Quantitative Schätzung der Cloud-Computing-Nachfrage in Europa und mögliche Einführungshindernisse); weitere Einzelheiten finden sich auch in der dieser Mitteilung beigefügten Arbeitsunterlage der Kommissionsdienststellen, Abschnitt 4.
- 4. Organisationen beispielsweise haben Bedenken bezüglich der Kontinuität ihres Geschäftsbetriebs beim Ausfall solcher Dienste, wogegen Einzelpersonen sich möglicherweise fragen, was mit ihren persönlichen Daten passiert. Durch solche Bedenken wird die Übernahme des Cloud-Computing insgesamt gebremst.
- 5. Viele dieser Definitionen sind sehr abstrakt. Eine oft verwendete Definition spricht von "einem Modell für einen einfachen, auf Abruf verfügbaren Netzzugriff auf einen gemeinsam genutzten Pool aus konfigurierbaren Rechenressourcen [ ... ], der schnell bereitgestellt und mit geringem Aufwand bzw. minimalen Eingriffen durch den Diensteanbieter freigegeben werden kann" - NIST (2009).
- 6. IDC (2012), "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up" (Quantitative Schätzung der Cloud-Computing-Nachfrage in Europa und mögliche Einführungshindernisse).
- 7. Eine Studie sagt z.B. eine Verdreifachung des Cloud-Markts bis 2014 voraus. Eine andere Studie rechnet bis dahin mit dem Entstehen von 11 Millionen neuen Arbeitsplätzen. Siehe die Arbeitsunterlage der Kommissionsdienststellen, Abschnitt 4.1.
- 8. Siehe Greenpeace(2012), How clean is your cloud? (Wie umweltfreundlich ist Ihre Wolke?)< /li>
- 9. Siehe: http://www.broadbandcommission.org/net/broadband/Documents/bbcomm-climatefullreportembargo.pdf .
- 10. Britische Regierung (2011), "Government Cloud Strategy" (Cloud-Strategie der Regierung), www.cabinetoffice.gov.uk.
- 11. Im Gegensatz dazu ist eine private Cloud ein Dienst oder eine Infrastruktur, die nur für einen bestimmten Kunden bereitgestellt wird und anderen Nutzern nicht zur Verfügung steht.
- 12. Nach Schätzungen in IDC (2012), "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Take-up" (Quantitative Schätzung der Cloud-Computing-Nachfrage in Europa und mögliche Einführungshindernisse), könnte die Zahl der Cloudbezogenen Arbeitsplätze im "politikgesteuerten" Szenario bei über 3,8 Millionen liegen, wogegen es im Fall des "Nichthandelns" nur 1,3 Mio. wären, so dass mit dieser Politik 2,5 Millionen zusätzliche Arbeitsplätze geschaffen würden.
- 13. Mitteilung "Binnenmarktakte", KOM (2011) 206 endg.
- 14. Dazu gehören die vorliegenden Vorschläge für eine Richtlinie über die kollektive Rechtewahrnehmung, COM (2012) 372 final,
und für eine Richtlinie über verwaiste Werke, KOM (2011) 289 endg., sowie die Überprüfung der Richtlinie über die Weiterverwendung von Informationen des öffentlichen Sektors, KOM (2011) 877 endg. - 15. Grünbuch über den Online-Vertrieb von audiovisuellen Werken in der Europäischen Union: Chancen und Herausforderungen für den digitalen Binnenmarkt, KOM (2011) 427.
- 16. Siehe die Mitteilung der Kommission "Ein Binnenmarkt für Rechte des geistigen Eigentums", KOM (2011) 287 (Maßnahme 8), die einen Vermittlungsprozess einleitet, um "mögliche Ansätze auszuloten, die zur Harmonisierung des Verfahrens der Abgabenerhebung [ ... ] führen können", und in der es weiter heißt: "Eine gemeinsame Anstrengung aller Seiten zur Lösung der noch ausstehenden Fragen sollte es ermöglichen, die Grundlagen für eine umfassende Rechtsetzungsinitiative auf EU-Ebene bis 2012 zu schaffen". Die Mitteilung zum elektronischen Handel, KOM (2011) 942 endg., sieht für 2013 eine Legislativinitiative zur Privatkopie vor.
- 17. Mitteilung zum elektronischen Handel, KOM (2011) 942 endg., S. 15.
- 18. Vorschlag der Kommission für eine Verordnung über die elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt, COM (2012) 238 final.
- 19. Siehe: Datenschutzgruppe nach Artikel 29, WP 196 - Stellungnahme 005/2012 vom 1. Juli 2012 zum Cloud-Computing, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/index_en.htm#h2-1.
- 20. KOM (2011) 635 endg.
- 21. Diese Verordnung wurde am 11. September 2012 aufgrund des Kommissionsvorschlags KOM (2011) 315 verabschiedet und wird am 1. Januar 2013 in Kraft treten.
- 22. http://www.ict-footprint.eu.
- 23. In einem solchen "Service Level Agreement" werden die technischen Bedingungen der Leistungserbringung festgelegt, z.B. der Umfang der garantierten Verfügbarkeit als Prozentsatz.
- 24. Siehe die Stellungnahme der Datenschutzgruppe nach Artikel 29 zum Cloud-Computing, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/index_en.htm#h2-1.
- 25. KOM (2011) 635 endg.
- 26. Die vorgeschlagene Verordnung über ein gemeinsames europäisches Kaufrecht gilt auch für bestimmte Verträge über die Bereitstellung digitaler Inhalte, d.h. von "Daten, die - gegebenenfalls auch nach Kundenspezifikationen - in digitaler Form hergestellt und bereitgestellt werden, darunter Video-, Audio-, Bild- oder schriftliche Inhalte, digitale Spiele, Software und digitale Inhalte, die eine Personalisierung bestehender Hardware oder Software ermöglichen", jedoch ausgenommen "elektronische Kommunikationsdienste und -netze mit den dazugehörigen Einrichtungen und Diensten" sowie "die Erstellung neuer digitaler Inhalte oder die Veränderung vorhandener digitaler Inhalte".
- 27. Siehe: Verordnung (EG) Nr. 593/2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I), ABl. L 177 vom 4.7.2008, und Verordnung (EG) Nr. 044/2001 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen, ABl. L 12 vom 16.1.2001.
- 28. http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf .
- 29. Mitteilung der Kommission, Eine Europäische Verbraucheragenda für mehr Vertrauen und mehr Wachstum, COM (2012) 225 final.
- 30. Die diesbezüglichen Stellungnahmen der Datenschutzgruppe nach Artikel 29 (siehe WP 195 und WP 153) werden als Grundlage für einen Entwurf der Kommission dienen. Verbindliche unternehmensinterne Vorschriften sind eine Möglichkeit, um rechtmäßige internationale Datenübertragungen zuzulassen, denn sie regeln in durchsetzbarer Weise, wie die verschiedenen Beteiligten in einem Unternehmen unabhängig von ihrem geografischen Standort mit personenbezogenen Daten umgehen müssen.
- 31. http://www.economie.gouv.fr/cloud-computinginvestissementsdavenir; http://www.cabinetoffice.gov.uk/sites/default/files/resources/government-cloudstrategy_0.pdf; http://www.trusted-cloud.de/documents/aktionsprogrammcloudcomputing.pdf .
- 32. Mitteilung der Kommission "Offene Daten: Ein Motor für Innovation, Wachstum und transparente Verwaltung", KOM (2011) 882 endg.
- 33. Diese Maßnahme wird 2013 im Rahmen des Siebten Forschungsrahmenprogramms (7. RP) finanziert;
- 34. Siehe: Bericht der Cloud-Expertengruppe"The Future of cloud computing. Opportunities for European cloud computing beyond 2010" (Die Zukunft des Cloud-Computing: Chancen für ein europäisches Cloud-Computing nach 2010): http://cordis.europa.eu/fp7/ict/ssai/docs/cloud-reportfinal.pdf und Bericht der Gloud-Expertengruppe "Advances in Clouds" (Fortschritte in Clouds): http://cordis.europa.eu/fp7/ict/ssai/docs/future-cc-2mayfinalreportexperts.pdf .
- 35. Vorschlag für eine Verordnung zur Schaffung der Fazilität "Connecting Europe" (KOM (2011) 665.
- 36. In der Mitteilung über den Schutz kritischer Informationsinfrastrukturen, KOM (2011) 163, wird der Aufbau von Vertrauen in das Cloud-Computing als Priorität genannt und zur Intensivierung der Erörterungen über die besten Verwaltungsstrategien aufgerufen.
- 37. Derartige Gespräche laufen bereits im Rahmen des EU-USA-Dialogs über die Informationsgesellschaft, des European American Business Council (EABC) und des EU-Japan-Dialogs über die Informationsgesellschaft. Cloud-Fragen können auch im Transatlantischen Wirtschaftsrat und in der EU-USA-Zusammenarbeit auf dem Gebiet der KMU zur Sprache kommen.