Vergaberechtliche Auswirkungen des SAFE-Instruments zur Stärkung der europäischen Verteidigungsindustrie

Der Autor beginnt seinen Beitrag mit dem Hinweis auf die Zunahme der Diskussionen über Europas Abhängigkeit von außereuropäischen Cloud-Anbietern. Die Zunahme der Debatte gehe zurück auf verstärkte internationale Spannungen und Cybersicherheitsbedrohungen. Cloud-Dienste seien inzwischen für Unternehmen, staatliche Institutionen und private Nutzer kaum aus dem Alltag wegzudenken. Der Beitrag verfolge das Ziel, die rechtlichen Anforderungen an die Nutzung von außereuropäischen Cloud-Lösungen überblicksartig vorzustellen und aufzuzeigen, dass die Nutzung solcher Dienste nach aktuellem Rechtsstand i.d.R. nicht unzulässig sei. In einem ersten Abschnitt nach der Einleitung betont der Autor, dass digitale Souveränität kein Verbot für außereuropäische Cloud-Lösungen bedeute. Der Begriff der digitalen Souveränität sei rechtlich nicht definiert und es gebe kein allgemeingültiges Verständnis. Der Beitrag diskutiert umfassend das Verständnis und die Definition des Begriffs und stellt verschiedene Ansätze vor. Mit Blick auf das Cybersicherheitsrecht wird ein besonderer Fokus auf die Auswirkungen der NIS-2-Richtlinie gelegt. Dabei wird betont, dass die NIS-2-Richtlinie selbst nicht den erforderlichen Umfang der zu ergreifenden Risikomanagementmaßnahmen festlege, sondern diesen überwiegend in das Ermessen der betroffenen Unternehmen stelle. Dabei seien Mindeststandards im Rahmen einer Durchführungsverordnung durch die EU-Kommission festgelegt worden. Besonders intensiv diskutiert werden die Anforderungen für öffentliche Einrichtungen an die Nutzung außereuropäischer Cloud-Lösungen. Die in der Praxisdiskussion so relevante Diskussion um die C5-Kriterien des BSI für Bundesbehörden und die Gesundheitsbranche werden dabei ebenfalls aufgegriffen. Der Beitrag schließt mit einem Fazit, in dem der Autor hervorhebet, dass nach der geltenden Rechtslage sowohl für private als auch für öffentliche Stellen die Möglichkeit bestehe, auch außereuropäische Cloud-Anbieter einzusetzen. Die anwendbaren gesetzlichen Datenschutzrechts- und Cybersicherheitsbestimmungen setzten bei ihrer Bewertung überwiegend auf belastbare, risikobasierte Entscheidungsprozesse für den Einsatz von Cloud-Diensten anstatt auf pauschale Nutzungsverbote.