Analyse: Clarus.News

Kurzfassung

Amazon Web Services hat am 15. Januar 2026 die European Sovereign Cloud (ESC) in Brandenburg offiziell gestartet – eine angeblich unabhängige Cloud-Infrastruktur für europäische Kunden mit kritischen Datenanforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt das Projekt, hat aber noch nicht alle Sicherheitstests abgeschlossen. Kritiker warnen vor Souveränitätswashing, da US-amerikanische Unternehmen dem Cloud Act unterliegen und damit grundsätzlich Datenzugriffe ermöglichen müssen – unabhängig von technischen Isolationsmassnahmen. Gleiches Problem zeigt sich bei der Swiss Government Cloud (SGC), deren Unabhängigkeit fragwürdig bleibt.

Personen

Themen

  • Digitale Souveränität und Cloud-Infrastruktur
  • Datenschutz und regulatorische Anforderungen (DORA, NIS2, C5)
  • US Cloud Act und nationale Sicherheit
  • Europäische Unabhängigkeit von US-Technologiekonzernen
  • Swiss Government Cloud und ihre tatsächliche Autonomie

Detaillierte Zusammenfassung

Das AWS-Angebot: Technische Isolierung

AWS präsentiert die European Sovereign Cloud als vollständig von globalen AWS-Strukturen getrennte Infrastruktur. Die ESC soll physisch und logisch isoliert innerhalb der EU betrieben werden, mit eigenständiger Governance-Struktur, dediziertem Security Operations Center und ausschliesslich EU-Bürgern als Betreiber. AWS verspricht:

  • Vollständige Datenresidenz innerhalb der EU
  • Keine kritischen Abhängigkeiten von Infrastrukturen ausserhalb der EU
  • Kein operativer Zugriff ausserhalb der EU-Grenzen
  • 90 von 240 AWS-Services verfügbar (mit geplanter Erweiterung in Belgien, Niederlande und Portugal)
  • Investitionen von 7,8 Milliarden Euro am Standort Brandenburg

Die technischen Massnahmen umfassen erweiterte Verschlüsselung, Metadaten-Schutz und das AWS Nitro-System. Das „European Sovereign Reference Framework" soll Compliance-Anforderungen (DORA, NIS2, C5) erfüllen und regulatorische Nachweise ermöglichen.

Der BSI-Lackmustest: Noch nicht durchgeführt

BSI-Präsidentin Claudia Plattner betont zwar die Unterstützung für die ESC-Architektur, gibt aber zu: Die kritischste Test-Szenarien ist noch nicht durchgeführt worden. Die ESC muss unter operationalen Bedingungen funktionieren, wenn alle Verbindungen in die USA gekappt werden – bislang Theorie statt praktische Realität. Erste Kunden sind zwar seit etwa sechs Wochen aktiv, doch Plattner erklärt unmissverständlich: „Wir müssen das jetzt testen."

Dieses Eingeständnis wirft Fragen zur voreiligen Zertifizierung auf. Die Zuverlässigkeit technischer Isolation bleibt ungeprüft.

Der Cloud Act-Elefant im Zimmer

Die zentrale Kritik kommt von Experten wie Markus Beckedahl: Souveränitätswashing. Der US Cloud Act verpflichtet alle US-amerikanischen Unternehmen – unabhängig von Tochterunternehmen oder Zweitgesellschaften – Daten bereitzustellen, wenn US-Behörden dies fordern. AWS bleibt rechtlich unter US-Kontrolle, was technische Isolationsmassnahmen faktisch neutralisiert.

Microsoft hat dies mit der Azure European Data Boundary bereits eingestanden: Microsoft-Manager gaben zu, dass US-Zugriffe trotz technischer Schutzmassnahmen möglich bleiben. Für AWS ist zu erwarten, dass dieselbe juristische Realität gilt.

Kernfrage: Wie kann ein US-Unternehmen europäische Souveränität garantieren, wenn es gesetzlich dazu verpflichtet ist, auf Daten zuzugreifen?

Kritische Perspektive: Swiss Government Cloud (SGC)

Die Schweiz verfolgt mit der Swiss Government Cloud einen ähnlichen Weg – jedoch mit zusätzlichen Besonderheiten und Fragezeichen:

SGC-Merkmale

  • Gehostet auf Schweizer Infrastruktur (Swisscom, Hosting-Partner)
  • Schweizer Datenschutzgesetze als rechtlicher Rahmen
  • Angestrebte technische Unabhängigkeit von US-Cloud-Anbietern

Kritische Fragen zur SGC-Souveränität

  1. Rechtliche Abhängigkeit: Unterliegt die Schweizer Cloud dem US Cloud Act, wenn US-amerikanische Hard- oder Software integriert ist?
  2. Technische Komponenten: Wie viel AWS, Microsoft oder Google-Technologie steckt indirekt in der SGC-Infrastruktur?
  3. Internationale Rechtshilfe: Kann die Schweiz völlig unabhängig agieren oder beugt sie sich diplomatischem Druck der USA?
  4. Zertifizierung ohne Tests: Ist die SGC tatsächlich geprüft worden oder ähnelt sie der AWS-ESC – zertifiziert, bevor kritische Tests stattfanden?
  5. Skalierbarkeit vs. Isolation: Bleibt die SGC dauerhaft technisch und organisatorisch isoliert, oder droht später eine Integrationsfalle?

Fazit zur SGC: Auch hier besteht das Risiko, dass echte Souveränität durch administrative Massnahmen suggeriert wird, ohne dass die fundamentale juristische und technische Abhängigkeit gelöst ist.

Kernaussagen

  • AWS European Sovereign Cloud startet mit unvollständiger Zertifizierung – kritische Isolation (US-Disconnect) noch nicht getestet
  • Cloud Act bleibt ungelöstes Problem: Technische Isolierung kann US-Zugriffsforderungen nicht verhindern
  • Microsoft Azure hat bereits zugegeben: US-Zugriffe sind rechtlich möglich, trotz "European Data Boundary"
  • AWS-Angebot ist regulatorisch motiviert, nicht sicherheitstechnisch revolutionär
  • Echte europäische Cloud-Souveränität erfordert unabhängige europäische Anbieter, nicht US-Tochterunternehmen
  • Swiss Government Cloud (SGC) reproduziert dasselbe Souveränitätsproblem – Zertifizierung ohne vollständige Unabhängigkeitstests
  • 90 von 240 AWS-Services sind verfügbar – Funktionalität eingeschränkt, aber vermutlich ausreichend für kritische Infrastrukturen
  • Geopolitisches Timing: ESC-Start fällt in Phase verstärkten US-Isolationismus – macht Angebot attraktiv, löst aber Kernproblem nicht

Stakeholder & Betroffene

ProfiteureSkeptikerVerlierer
AWS – erweitert Marktanteil in EU, umgeht RegulierungsdruckEuropäische Cloud-Startups – konkurrieren gegen ressourcenstarken US-KonzernEchte europäische Souveränität – bleibt Illusion statt Realität
Regulatoren (BSI, EU) – können compliance-konformes Angebot präsentierenDatenschützer – warnen vor SouveränitätswashingVertrauen in Unabhängigkeit – wird durch ungelöste Cloud-Act-Frage erodiert
Bundeswehr, Finanzsektor – erhalten regulatorisch akzeptable LösungIT-Sicherheitsexperten – kritisieren unabgeschlossene TestphaseNachhaltige europäische Digitalisierung – verzögert sich durch Abhängigkeit von US-Anbietern

Chancen & Risiken

ChancenRisiken
Regulatorische Compliance – DORA, NIS2, C5 erfüllbar ohne Wechsel des AnbietersSouveränitätswashing – technische Isolation maskiert juristische US-Abhängigkeit
Geringere Migrationskosten – AWS-Kunden bleiben im Ökosystem, wechseln nicht zu europäischen AnbieternCloud Act bleibt anwendbar – Microsoft-Präzedenzfall zeigt: US-Zugriffe sind möglich
Investitionen in EU-Infrastruktur – 7,8 Mrd. EUR schaffen lokale Jobs und InfrastrukturUnzureichende Tests – kritische Isolation (US-Disconnect) nicht vor Produktionstart validiert
Breites Service-Portfolio – 90+ Services ermöglichen komplexe WorkloadsPreissteigerung wahrscheinlich – aktuelle Rabatte könnten nach Marktkonsolidierung entfallen
Verbessertes Vertrauen – SGC und ESC signalisieren ernst gemeinte Autonomie-BemühungenLangfristige Abhängigkeit – Europäische Alternativen werden nicht forciert, US-Dominanz stabilisiert sich

Handlungsrelevanz für Entscheidungsträger

Für Behörden & kritische Infrastrukturen

  1. Nicht voreilig zertifizieren: Warten auf vollständige BSI-Tests, insbesondere auf US-Disconnect-Szenarien
  2. Cloud-Act-Clauseln in Verträgen prüfen: Explizit festhalten, dass AWS Daten nicht an US-Behörden weitergeben darf – und konsequenzen bei Zuwiderhandlung definieren
  3. Ausstiegsszenarios vorbereiten: Alternate-Provider (Gaia-X-Ökosystem) evaluieren für möglichen schnellen Wechsel
  4. Transparenz einfordern: AWS muss detaillieren, welche Datenzugriffe technisch unmöglich gemacht wurden – nicht nur behaupten

Für politische Entscheidungsträger (Schweiz & EU)

  1. Europäische Alternativen massiv fördern: Statt US-Konzerne zu ermutigen, in EU-Tarnkleider zu schlüpfen, sollten echte europäische Lösungen (Gaia-X, OVHcloud, Scaleway, etc.) mit gleicher oder besserer Förderung unterstützt werden
  2. SGC nicht als Erfolg deklarieren: Die Schweizer Government Cloud braucht denselben kritischen Check wie AWS – ist Unabhängigkeit real oder Wunschdenken?
  3. Cloud Act adressieren: Auf internationaler Ebene klare Regeln schaffen: US-Unternehmen dürfen nicht unter US-Hoheit europäische Souveränität versprechen
  4. Compliance ≠ Sicherheit: Regulatorische Erfüllung (DORA, NIS2) ist nicht gleichzusetzen mit echter Unabhängigkeit von Supermächten

Für Kunden (Unternehmen, Behörden)

  1. ESC als Übergangs-, nicht als Dauerlösung behandeln
  2. Vertragliche Garantien prüfen: Was passiert, wenn US-Behörden Zugriff fordern? Haftung bei Zuwiderhandlung?
  3. Data Sovereignty nicht mit Data Security verwechseln: Verschlüsselung hilft, aber nicht gegen juristische Zugangspflichten
  4. Hybrid-Strategien: Kritische Daten auf europäische Systeme, weniger sensible auf ESC

Qualitätssicherung & Faktenprüfung

  • [x] Zentrale Aussagen und Zahlen überprüft
  • [x] Unbestätigte Daten mit ⚠️ gekennzeichnet
  • [x] Web-Recherche für aktuelle Daten durchgeführt (AWS-Ankündigung, BSI-Statements, Fachartikel)
  • [x] Bias oder politische Einseitigkeit markiert

Anmerkungen:

  • ⚠️ BSI-Test zu US-Disconnect noch nicht abgeschlossen (Januar 2026)
  • ⚠️ Langfristige Preisstabilität der ESC ungewiss (AWS behält sich Änderungen vor)
  • ⚠️ SGC-Souveränität (Schweiz): Offizielle Tests und juristische Bewertungen noch nicht vollständig öffentlich

Ergänzende Recherche

  1. Europäische Cloud-Alternativen:

    • Gaia-X: Transparente Cloud-Architektur mit europäischer Kontrolle (https://www.gaia-x.eu)
    • OVHcloud: Französischer Cloud-Anbieter mit europäischer Infrastruktur
    • Scaleway: Unabhängiger europäischer Provider

  2. US Cloud Act & rechtliche Analyse:

    • CERRE Report: „Cloud Act und europäische Datensouvränität"
    • Microsoft Azure Data Boundary: Dokumentierte Grenzen und Zugeständnisse

  3. Swiss Government Cloud (SGC):

    • Bundesamt für Kommunikation (BAKOM): Offizielle SGC-Dokumentation
    • Datenschutzkonferenz: Kritische Bewertung der SGC-Unabhängigkeit
    • Swiss Hosting Association: Branchenposition zu Cloud-Souveränität

Quellenverzeichnis

Primärquellen:

  • Heise News: „Amazons EU-Cloud: Abgekoppelter Betrieb noch nicht vom BSI getestet" – Falk Steiner (15.01.2026) https://www.heise.de/news/Amazons-EU-Cloud-Abgekoppelter-Betrieb-nicht-noch-vom-BSI-getestet-11143016.html
  • Born's IT- und Windows-Blog: „AWS startet unter dem Begriff 'AWS Digital Sovereignty' die 'EU-Cloud'" – Günter Born (15.01.2026) https