Künstliche Intelligenz
So souverän sind US-Clouds für Europa wirklich
Amazon baut in Brandenburg eine von der globalen AWS-Cloud entkoppelte Infrastruktur, Google betreibt eine speziell abgeschottete Cloud für die Bundeswehr, Microsoft wirbt mit einer EU Data Boundary und hat ein „Digital Resilience Commitment“ abgegeben. Ziel all dieser Initiativen: Vertrauen schaffen. Sie sollen garantieren, dass sensible Daten unter nationaler Kontrolle bleiben. Doch wie tragfähig sind diese Zusicherungen – und sind europäische Anbieter grundsätzlich souveräner?
Stefan Hessel ist Rechtsanwalt und Salary-Partner bei reuschlaw in Saarbrücken. Als Head of Digital Business berät er nationale und internationale Unternehmen zu Datenschutz, Cybersicherheit und IT-Recht.
Europäischer Anbieter = mehr Kontrolle?
Oft wird angenommen, der Einsatz von Anbietern aus der EU führe automatisch zu mehr digitaler Souveränität. Viele EU-Firmen nutzen diese Erzählung auch strategisch, um sich gegen die etablierte US-Konkurrenz zu positionieren. Doch was genau bedeutet „europäisch“? Zählt der Unternehmenssitz? Die Serverstandorte? Die Eigentümerstruktur oder die Staatsangehörigkeit des Managements?
Zudem mangelt es auch innerhalb Europas nicht an Negativbeispielen. Prominente Fälle wie Wirecard oder PayOne zeigen, dass die bloße Herkunft eines Anbieters kein Garant für digitale Souveränität ist. Schlimmer noch: Es können sogar geopolitische Risiken bestehen, wie die Verwicklung russischer Nachrichtendienste bei Wirecard zeigt.
Ob Cloud, KI oder M365: Kaum ein Unternehmen kommt heute ohne Software und Servcies aus den USA auf. Angesichts der politischen Verwerfungen seit Beginn der Präsidentschaft von Donald Trump fragen sich immer mehr IT-Verantwortliche: Wie kann ich Abhängigkeiten vermindern und die eigene IT souveräner, resilienter und damit zukunftssicherer aufstellen?
Der IT Summit by heise 2025 am 11. und 12. November im München liefert Antworten. Renommierte Experten erklären, was europäische Cloud-Hoster im Vergleich zu US-Hyperscalern leisten und wie man KI-Lösungen lokal betreibt. Lernen Sie aus Fallstudien, wie andere Unternehmen ihre digitale Abhängigkeit vermindert haben. Erfahren Sie, wie Open Source Ihre Software-Landschaft unabhängiger macht und warum mehr digitale Souveränität die IT-Sicherheit verbessert.
Der IT Summit by heise 2025, die neue Konferenz für IT-Verantwortliche, findet am 11. und 12. November im Nemetschek Haus in München statt. Veranstalter ist heise conferences, das Programm kommt aus der iX-Redaktion.
Souveränität heißt nicht Autarkie
Digitale Souveränität darf nicht mit technologischer Autarkie verwechselt werden. Vollständige Unabhängigkeit von externen Technologien ist weder realistisch noch wirtschaftlich sinnvoll. Vielmehr geht es um die Fähigkeit, digitale Technologien selbstbestimmt, sicher und regelkonform einsetzen zu können. Vertrauen entsteht durch nachvollziehbare Prozesse, technische Absicherung und vertragliche Garantien – nicht durch Nationalfarben im Logo.
Der notwendige Grad an digitaler Souveränität ist zudem kontextabhängig. Für staatliche Infrastruktur können deutlich höhere Anforderungen sinnvoll sein als für ein mittelständisches Unternehmen. Gerade Unternehmen können sich im Regelfall auf vertragliche Zusagen ihrer Anbieter verlassen, sofern es keine konkreten Anhaltspunkte für deren Unzuverlässigkeit gibt.
Datenschutz: Mehr Regeln als Risiken
Ein zentraler Aspekt digitaler Souveränität ist der Datenschutz. Kritiker befürchten immer wieder, dass personenbezogene Daten bei US-Anbietern unkontrolliert in die USA abfließen. Tatsächlich setzt die DSGVO hier enge Grenzen. Datenschutzrechtlich handelt es sich bei dem Einsatz von Cloud-Diensten meist um eine Auftragsverarbeitung, die in der Regel durch europäische Tochtergesellschaften der großen US-Anbieter erfolgt. Wenn diese sich vertraglich verpflichten, Daten nur innerhalb des Europäischen Wirtschaftsraums zu verarbeiten, liegt keine Drittlandübermittlung vor.
Lesen Sie auch
CLOUD Act: Viel Aufregung, wenig Relevanz
Dennoch gibt es immer wieder Kritik – insbesondere im Hinblick auf den US-CLOUD-Act. Dieses Gesetz verpflichtet US-Unternehmen, bei rechtmäßigen Anfragen ihrer Strafverfolgungsbehörden auch auf im Ausland gespeicherte Daten zuzugreifen, sofern sie Kontrolle darüber haben. Theoretisch kann das auch Kundendaten einer europäischen Tochtergesellschaft betreffen. Europäische Tochtergesellschaften unterliegen allerdings dem EU-Recht, das klare Grenzen für Datenzugriffe setzt. Dass selbst Datenschutzaufsichtsbehörden hierzulande mitunter an der Durchsetzbarkeit europäischen Rechts auf europäischem Boden zu zweifeln scheinen, wirft zwar Fragen über das Rollenverständnis der Behörden auf, ändert aber nichts an der Rechtslage.
Zudem spielt der CLOUD Act praktisch bislang kaum eine Rolle. Microsoft hat für das erste Halbjahr 2024 Zahlen veröffentlicht: Es gab 166 Anfragen, aber nur eine betraf einen Kunden außerhalb der USA und dieser stammte nicht aus Europa.
Vertrauenswürdigkeit schlägt Herkunftsland
Digitale Souveränität lässt sich nicht an der Herkunft eines Anbieters festmachen. Weder ein europäischer Firmensitz noch Serverstandorte innerhalb der EU garantieren per se mehr Sicherheit oder Kontrolle. Entscheidend ist vielmehr das Vertrauen, das durch transparente Prozesse, technische Schutzmaßnahmen, rechtlich belastbare Vereinbarungen und Kontrollmöglichkeiten entsteht.
Europäische Regelwerke wie die DSGVO bieten – unabhängig davon, ob der Anbieter aus den USA oder der EU stammt – wirksame Instrumente zur Wahrung von digitaler Souveränität. Letztlich bedeutet digitale Souveränität nämlich, in Kenntnis von Sach- und Rechtslage, eine souveräne Entscheidung zu treffen. Gerade im Cloud-Bereich mag das keine einfache Aufgabe sein, aber eine lösbare.
(odi)