C3A-Kriterien des BSI: "Eine Einladung zum Souveränitätswashing"
Inhalt
Die gute Nachricht: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) standardisiert digitale Souveränität in Clouds. Die schlechte Nachricht: Laut einer kleinen Anfrage der Opposition im Bundestag wurden dabei Oracle, SAP, Amazon und Google als Lobbyisten zur Mitwirkung eingeladen – während Wissenschaft und Zivilgesellschaft außen vor blieben.
Das irritiert Wissenschaftler, Politiker und Aktivisten. Denn eigentlich sollen die C3A – Criteria enabling Cloud Computing Autonomy(öffnet im neuen Fenster) von Ende April den "europäischen Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern stärken".
Man wolle damit "Transparenz, Orientierung und die Möglichkeit, Clouddienste nach den Kriterien auswählen, die für den jeweiligen Anwendungszweck relevant sind", schreibt das BSI auf seiner Webseite(öffnet im neuen Fenster). Gleichzeitig sollen außereuropäische Produkte abgesichert werden, wenn sie weiter verwendet werden sollen.
Wissenschaftler sind tief enttäuscht
Dass dabei jede kommerzielle Cloud allein schon ein Rückschritt in Sachen digitaler Souveränität ist – geschenkt. Die große Enttäuschung kommt, wenn man tiefer in die Veröffentlichung des BSI zu den C3A eintaucht.
Wie bei Professor Harald Wehnes, der für den Präsidiumsarbeitskreis Digitale Souveränität der Gesellschaft für Informatik (GI) spricht. Er lehrt und forscht am Institut für Informatik der Universität Würzburg, befasst sich seit mehreren Jahren mit Kriterien zur Messung digitaler Souveränität(öffnet im neuen Fenster) und ist Preisträger des Albert-Endres Award(öffnet im neuen Fenster).
"Der C3A-Katalog des BSI ist ein guter Anfang, aber er definiert keine verbindlichen Kriterien gegen extraterritoriale Rechtszugriffe wie Cloud Act oder Fisa 702. Solange diese nicht als absolute Ausschlusskriterien festgeschrieben sind, bleibt Souveränitätswashing möglich – und der Katalog droht, genau das zu legitimieren, was er bekämpfen will", sagt Wehnes.
Souveränitätswashing vom BSI?
Grundsätzlich spricht Wehnes dem BSI ein gutes Ansinnen nicht ab: "Der C3A-Katalog leistet einen wichtigen Beitrag, um digitale Souveränität messbar zu machen. Die Kategorien und die risikobasierte Herangehensweise sind grundsätzlich geeignet, um Abhängigkeiten zu identifizieren."
Doch der grundlegende Widerspruch bleibt: "Die aktuellen Kriterienkataloge von BSI, EU und Zendis haben ein systematisches Problem: Sie prüfen Datenlokation, Verschlüsselung und Lieferketten, aber nicht die Rechtshoheit. Ein US-Unternehmen mit Rechenzentrum in Frankfurt erfüllt grundsätzlich alle diese Kriterien – und unterliegt doch dem Cloud Act und Fisa 702, die Datenabfluss an US-Behörden ermöglichen."
Dass dies keine Theorie sei, zeige ein Vorgang vom März 2026: Der US-Justizausschuss zwang zehn große Tech-Konzerne – darunter Microsoft, Google, Apple, Meta und Amazon -, interne Dokumente der EU-Kommission herauszugeben, darüber hinaus auch Dokumente im Rahmen der Zusammenarbeit der Kommission mit EU-Mitgliedsstaaten. "Wenn US-Behörden selbst vertrauliche Unterlagen von EU-Organen und EU-Politikern einsehen können, ist die Rechtshoheit europäischer Daten eine Illusion. Ein Souveränitätskatalog, der diese Tatsache ignoriert, ist eine Einladung zum Souveränitätswashing und damit de facto unbrauchbar."