Warum auch die „AWS European Sovereign Cloud“ am Versprechen echter europäischer Datensouveränität scheitern muss.
Der Trend ist intakt: Auch AWS hat heute in Deutschland den Start der „AWS European Sovereign Cloud“ angekündigt – inklusive separater Infrastruktur und eigener Governance in der EU. Das Angebot soll physisch und rechtlich getrennt von der übrigen AWS-Cloud laufen, betrieben und überwacht von einer deutschen Gesellschaft, deren Leitungsgremien mit EU-Bürgern besetzt sind. Laut Handelsblatt geht es um eine Investitition in Höhe von 7,8 Milliarden Euro bis 2040. Geplant ist, das Angebot schrittweise auf Belgien, die Niederlande und Portugal auszuweiten.
Das ist eine große Ankündigung mit entsprechender Resonanz in der Presse. Was es – wieder einmal – nicht ist: eine Antwort auf das eigentliche Problem, das Behörden, KRITIS und regulierte Branchen in diesen turbulenten Zeiten wirklich beschäftigt: Wie viel Kontrolle hat Europa über Daten und Betrieb, wenn der Anbieter am Ende doch wieder in US-Strukturen eingebettet ist? Denn „souverän“ heißt nicht „Daten liegen in Deutschland“. „Souverän“ heißt: Auch unter Druck bleibt die Kontrolle hier.
Und Druck ist das bevorzugte Werkzeug der aktuellen US-Regierung. Wenn diese sich nicht einmal scheut, die territoriale Integrität von Verbündeten militärisch zu bedrohen – wie glaubwürdig kann das Versprechen von US-Anbietern dann sein, europäische Daten-Souveränität zu respektieren? Die Daumenschrauben für das Abgreifen europäischer Daten über US-IT-Anbieter liegen seit Langem ganz offen auf dem Tisch.
Synergy Research beziffert die globalen Marktanteile im Cloud-Infrastrukturgeschäft im Q3 2025 wie folgt: AWS 29 %, Microsoft 20 % und Google 13 %. Diese Dominanz ist nicht nur eine Zahl – sie beziffert eine ganz konkrete, tägliche europäische Abhängigkeit: bei Tools, Ökosystemen, Standards, Infrastruktur und Integrationen.
Bitkom berichtet Anfang 2026, dass zwei Drittel der deutschen Unternehmen personenbezogene Daten in Länder außerhalb der EU übertragen, unter anderem für Cloud, Kommunikation und Support. Heise greift die gleichen Bitkom-Zahlen auf und beziffert den Anteil deutscher Unternehmen, die Daten in Nicht-EU-Staaten transferieren auf 63%. Das Spannungsfeld ist klar: Die Nutzung von US-Hyperscalern ist tägliche Realität – Datensouveränität bleibt so bestenfalls ein Wunschtraum. Speziell für Behörden und KRITIS ist es oft mehr als ein Wunsch: Es ist heute mehr als je zuvor eine Compliance-Frage.
Laut Reuters soll die ESC sogar weiterlaufen, wenn die EU „vom Internet getrennt“ wäre oder die USA Softwareexporte untersagen würden. AWS selbst betont seit 2023/2025 ein Modell mit operativer Kontrolle durch EU-Bürger, unabhängiger Governance und isolierter Infrastruktur.
Das adressiert zwei klassische Sorgen: Betriebszugriffe (wer darf was administrieren?) und Abschalt-/Exportkontrollrisiken (was passiert bei politischer Eskalation/Abschaltung?). Die Versicherungen sind also zu begrüßen. Aber sie lösen wieder einmal nicht automatisch den schwierigsten Teil.
Der CLOUD Act verpflichtet Anbieter, die US-Recht unterliegen, Daten herauszugeben, die in ihrer „possession, custody, or control“ sind – unabhängig davon, wo die Daten physisch liegen. Das wird in einer CRS-Zusammenfassung des US-Kongresses klar beschrieben und vom US-Justizministerium in eigenen Materialien ganz offen erläutert.
Der Konflikt ist offenkundig. Denn in der EU ist die Auffassung genau umgekehrt: Artikel 48 DSGVO stellt klar, dass Anordnungen von Drittstaatenbehörden zur Offenlegung personenbezogener Daten grundsätzlich nicht einfach „durchgereicht“ werden dürfen, sondern nur auf Basis internationaler Übereinkünfte (wie etwa Rechtshilfeabkommen). Der Europäische Datenschutzausschuss hat dazu im Juni 2025 eindeutige Leitlinien veröffentlicht.
Kurz: US-Zugriffspflichten und EU-Datenschutzlogik widersprechen sich strukturell – und es gibt aktuell kaum Hinweise darauf, das die US-Seite andere Auffassungen respektieren würde. Genau dieser Konflikt ist der Grund, warum „Souveränität“ in hochregulierten Umgebungen keine Imagefrage ist, sondern eine Frage von Compliance und Risikomanagement. Ein “Weiter so” ist in der aktuellen Situation grob fahrlässig.
Im Dezember 2025 wurde ein im Auftrag des Bundesinnenministeriums erstelltes und über FragDenStaat veröffentlichtes Gutachten öffentlich, das die Reichweite US-amerikanischer Zugriffsrechte auf Cloud-Daten analysiert . Heise und Golem berichten dazu, dass das Gutachten die Zugriffsmöglichkeiten auch bei in der EU gespeicherten Daten problematisiert und den Speicherort allein nicht als Schutzschild sieht. Für Behörden und regulierte Unternehmen ist das relevant, weil es die Diskussion auf eine neue Ebene hebt: vom „unguten Bauchgefühl“ auf ein klares und nicht mehr zu ignorierendes Geschäftsrisiko.
Der Internationale Strafgerichtshof kündigte an, Microsoft durch die deutsche Lösung openDesk (ZenDiS) zu ersetzen – aus Sorge vor US-Sanktionen und Abhängigkeiten. Zeit und Handelsblatt berichten darüber. Die Stiftung Datenschutz berichtete daraufhin, dass der Chefankläger zeitweise keinen Zugriff auf Microsoft-E-Mails mehr hatte. Das war kein Zufall. Das war ein Lehrstück - und ein deutlicher Warnschuss: Abhängigkeit kann schneller als gedacht plötzlich zu Handlungsunfähigkeit führen – bewusst ausgelöst durch die Politik.
Eine einfache, pauschale Antwort auf diese heikle Frage wäre unseriös – weil es am Ende um konkrete Datenarten, Schutzbedarfe, Vertragsmodelle und technische Kontrollen geht. Aber für viele hochregulierte Umgebungen gilt faktisch: Wenn Daten und Prozesse so sensibel sind, dass ein unbemerkter Drittzugriff oder eine politisch motivierte Sperre nicht akzeptiert werden können, wird es momentan sehr schwer, eine US-nahe Providerkette zu rechtfertigen.
Die EDPB-Leitlinien zu Art. 48 DSGVO verschärfen den Erwartungsrahmen zusätzlich: Drittstaatenanforderungen sind kein „Routineprozess“, sondern ein Sonderfall, der rechtlich sauber geprüft werden muss. Genau hier kann der CLOUD Act für US-Anbieter zum Wettbewerbsnachteil werden: Weil die damit verbundene juristische Angriffsfläche es Behörden und Unternehmen mit sensiblen Daten in Europa eigentlich unmöglich macht, überhaupt noch US-IT-Anbieter zu nutzen.
Die ESC kann real helfen, wenn die Hauptsorgen für Ihr Unternehmen EU-Betrieb/Support nur durch EU-Personal, getrennte Infrastruktur, Resilienz gegen Abschaltung/Exportkontrollen und Nachweisfähigkeit gegenüber Kunden/Auditoren sind. Ob die ESC das CLOUD-Act-Risiko vollständig eliminiert, ist allerdings eine Frage, die im Zweifel erst dann final beantwortet wird, wenn es den ersten echten Konfliktfall gibt. AWS betont die rechtliche und technische Trennung. Aus Risikosicht bleibt trotzdem ein Prüfpunktekatalog, den kein Unternehmen einfach ignorieren kann: Ownership, Control, Schlüsselhoheit, Incident- und Legal-Prozesse.
Starten Sie mit Schutzbedarf statt Bauchgefühl: Welche Workloads sind kritisch (Betrieb, Rechtsrisiko, Menschen, Staat)? Welche Daten wären ein GAU, wenn ein Drittstaat Zugriff bekäme oder ein Account gesperrt würde?
Klären Sie Schlüsselhoheiten – nicht nur „Verschlüsselung“: „Verschlüsselt“ reicht nicht, wenn der US-Anbieter die Schlüssel oder Entschlüsselungswege kontrolliert. Entscheidend ist, ob der Provider technisch an Inhalte kommen könnte – und ob ihn sogar Prozesse oder US-Gesetze dazu zwingen könnten.
Setzen Sie auf konkrete Nachweise statt vollmundige Versprechen: Für Cloud-Anbieter in Deutschland ist der BSI-Kriterienkatalog C5 ein etablierter Referenzrahmen für Mindestanforderungen an sicheres Cloud Computing.
Und machen Sie Exit-Planung verpflichtend: Portabilität (Daten, Logs, Identity, APIs), Zeitfenster und Kosten, Migrationspfade und Alternativbetrieb.
Für Datei-/Content-Prozesse (Austausch, Kollaboration, sensible Dokumente) kommen souveräne Content-Plattformen und Managed-File-Transfer-Lösungen aus Deutschland in Frage, bei denen Betrieb, Support und Jurisdiktion hier liegen. SecureCloud berät Sie zu den Auswirkungen des US CLOUD-Act und dem grundsätzlichen Konflikt mit der DSGVO.
Für Office-/Collaboration in der Verwaltung ist openDesk ein Beispiel: Es wird vom Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) verantwortet, das laut Bund 2022 gegründet wurde.
Für Plattform-/Compute-Workloads gibt es europäische Cloud- und Hosting-Anbieter sowie hybride Modelle (EU-Provider, Private Cloud, On-Prem). Entscheidend ist, dass sie zu Ihrem Schutzbedarf passen und die Exit-Fähigkeit realistisch bleibt.
Die AWS European Sovereign Cloud ist für die Branche ein wegweisender Schritt – und wird im Markt Nachahmer finden . Für viele Organisationen kann sie durchaus eine Option sein. Aber für Behörden, KRITIS und streng regulierte Branchen gilt ein anderer, strengerer Prüfmaßstab: Wirklich zuverlässig heißt in diesen Fällen nicht „steht souverän drauf“, sondern „bleibt souverän - auch im Ernstfall“.
Und der Ernstfall ist zur neuen Realität geworden. Das ist der Unterschied zwischen Cloud-Strategie und Cloud-Risiko-Management.
Machen Sie sich Ihr eigenes Bild! Wir beraten Sie zum Thema und leiten mit Ihnen eine belastbare Entscheidungsmatrix ab für Ihre Datensicherheit, aus:
Schutzbedarf → Anbieterklasse → Control → Nachweise → Exit