Uneingelöstes Versprechen auf digitale Souveränität: Europäischer Bezahldienst Wero nutzt Amazon-Server

Direkt Geld an Freunde und Bekannte überweisen, jederzeit und in Sekundenschnelle. Das verspricht Wero. Der neue Bezahldienst startete im Juli 2024 und will sich als europäische Alternative zu US-Bezahldiensten wie Visa, Mastercard und PayPal etablieren.

Hinter dem Angebot steht die European Payments Initiative (EPI), ein Zusammenschluss europäischer Banken und Finanzdienstleistungsunternehmen. In Deutschland machen unter anderem die Deutsche Bank, die Postbank, die ING, die GLS, die Sparkassen sowie Volks- und Raiffeisenbanken mit.

Auf der Wero-Website präsentiert sich der Dienst farbenfroh als „DIE starke und unabhängige europäische Lösung beim digitalen Bezahlen“. Mehr als 50 Millionen Menschen nutzen Wero bereits. Auch im Online- und im Einzelhandel soll der Dienst eine Alternative zur US-Konkurrenz bieten.

Auf Anfrage von netzpolitik.org muss EPI allerdings einräumen, dass Wero seine Dienste teilweise über das US-Unternehmen Amazon Web Services abwickelt. Das aber widerspricht nicht nur dem selbst gestellten Anspruch der digitalen Unabhängigkeit, sondern die bei AWS hinterlegten Daten sind auch potenziell dem Zugriff von US-Behörden ausgesetzt.

Cloud „made in Europe“

Nach eigenen Angaben greift EPI „auf eine Kombination aus europäischen und internationalen Technologieanbietern“ zurück, darunter auch „Managed-Infrastructure- und Software-Services von AWS“. Zugleich betont die Initiative, dass sie „die volle Kontrolle über deren Architektur, Sicherheitsmodell und Betrieb“ habe. Doch diese Kontrolle stößt an rechtliche Grenzen.

Mit Beginn von Trumps zweiter Amtszeit gewann in der EU die Debatte um die „digitale Souveränität“ an Fahrt. Einige US-Tech-Konzerne passten daraufhin ihre Angebote an.

So auch AWS. Das Unternehmen ist ein US-amerikanischer Cloud-Anbieter und Tochterunternehmen des Online-Versandhändlers Amazon.com. Zu Beginn dieses Jahres hat es die „AWS European Sovereign Cloud“ in Betrieb genommen. Das Versprechen steckt im Produktnamen: Die Daten der Kunden sollen hier nicht in Übersee, sondern innerhalb der EU gespeichert werden.

Nach eigenen Angaben will AWS seine Kunden so dabei unterstützen, „ihre sich wandelnden Souveränitätsanforderungen zu erfüllen“ – inklusive rechtlicher Schutzmaßnahmen, „die dem Bedarf von Behörden und Unternehmen in Europa gerecht werden“.

US-Behörden könnten Zugriff auf Daten erhalten

EPI hat unter anderem „aus Sicherheitsgründen“ nicht sagen wollen, welche Infrastruktur- und Plattformanbieter Wero im Detail nutzt. Doch selbst wenn der Dienst Daten in der „AWS European Sovereign Cloud“ speichert, bliebe das Souveränitätsversprechen uneingelöst. Vor allem aber wären die Daten dann wohl nicht vor dem Zugriff US-amerikanischer Behörden sicher.

Dafür sorgt der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden. Schließt ein Unternehmen den Zugriff technisch aus, kann dies Geldbußen oder strafrechtliche Konsequenzen nach sich ziehen.

Zu diesem Schluss kommt ein Gutachten der Universität Köln aus dem März 2025, welches das Bundesinnenministerium (BMI) in Auftrag gegeben hatte. Es wurde im Rahmen einer Anfrage nach dem Informationsfreiheitsgesetz auf FragdenStaat veröffentlicht. Ein Sprecher des Ministeriums bestätigte nach der Veröffentlichung gegenüber Tagesspiegel Background, dass die Nutzung von US-Clouddiensten ein „erhebliches Risiko des Datenabflusses“ bedeute.

Das Risiko „extraterritorialer Zugriffsanfragen“

AWS bestreitet, jemals außerhalb der USA gespeicherten Kundeninhalte gegenüber der US-Regierung offengelegt zu haben, wenn es Anfragen erhalten hat, die sich auf den CLOUD Act bezogen – zumindest für die vergangenen sechs Jahre, „seit wir 2020 mit der statistischen Erfassung begonnen haben“.

Das ist keine Gewähr dafür, dass es nicht doch noch dazu kommt. Zumal Jeff Bezos, Gründer von Amazon und heute geschäftsführender Vorsitzender des Verwaltungsrats, inzwischen als „Fanboy“ von Präsident Donald Trump gilt.

Dieses Risikos ist sich offenbar auch EPI bewusst.“Potenzielle extraterritoriale Zugriffsanfragen“ sehe die Initiative „als relevantes rechtliches und geopolitisches Risiko“. Sie verfüge „bereits über Notfall- und Ausstiegspläne für kritische Technologiedienstleistungen“.

Außerdem verfolgt die Initiative nach eigenen Angaben das Ziel, künftig mit mehr europäischen Anbietern zusammenarbeiten und „dabei die für eine kritische Zahlungsinfrastruktur erforderliche Sicherheit, Ausfallsicherheit und Skalierbarkeit zu gewährleisten“.

Welche europäischen Dienstleister das sind, verrät EPI nicht. Ebenso bleibt die Frage offen, wann Wero sein Versprechen nach digitaler Unabhängigkeit einlösen wird.