Souveräne Cloud: Ein irreführendes Etikett für die falsche Ebene

Kurzfassung

Amazon und Microsoft haben 2026 Cloud-Angebote unter dem Label „souverän" eingeführt: AWS European Sovereign Cloud in Brandenburg mit EU-Betrieb und Microsoft 365 Local mit On-Premises-Hardware. Der Autor Golo Roden argumentiert, dass diese Lösungen Datenresidenz und operative Autonomie adressieren, die rechtliche Souveränität aber unangetastet lassen. Das Problem: Der CLOUD Act und FISA Section 702 ermöglichen US-Behörden, Daten von US-Konzernen abzurufen, unabhängig vom physischen Standort oder der EU-Tochtergesellschaft.

Personen

• Golo Roden (Gründer und CTO, the native web GmbH)

Themen

• Cloud Sovereignty
• Digitale Souveränität
• Datenresidenz
• Cloud Governance
• EU-Regulierung

Clarus Lead

Die EU-Kommission hat mit dem Cloud and AI Development Act ein Framework geschaffen, das Souveränität in Stufen misst – und damit das Problem benannt: „Souverän" ist kein verlässliches Etikett, sondern Marketing für technische Massnahmen, die die entscheidende Ebene ignorieren. Mit zwei Dritteln des europäischen Cloud-Markts bei drei US-Konzernen wächst der politische Druck, diese Abhängigkeit zu reduzieren, doch ohne klare Definitionen kaufen Organisationen Illusion statt Kontrolle.

Detaillierte Zusammenfassung

Roden unterscheidet drei Ebenen der Cloud-Souveränität. Datenresidenz betrifft den physischen Ort von Daten; operative Autonomie den Betrieb durch unabhängiges Personal; rechtliche Souveränität die Jurisdiktion, der das Mutterunternehmen untersteht. Nur die erste und zweite lassen sich vertraglich und technisch herstellen. Die dritte – wer im Konfliktfall das letzte Wort hat – entzieht sich solchen Massnahmen, weil sie nicht am Server-Standort, sondern an der Rechtsordnung des Konzerns hängt.

Die AWS European Sovereign Cloud läuft in einer separaten Partition mit eigenem Euro-Abrechnungssystem und ausschliesslich EU-ansässigem Personal. Microsoft verlagert sensible Dienste wie Exchange auf Kundenhardware ausserhalb der öffentlichen Cloud. Beide verschieben das Jurisdiktionsproblem nur, ohne es zu lösen. Eine US-Behörde kann den Mutterkonzern anweisen, seine europäische Tochter zu Handlungen zu verpflichten – eine rechtlich ungetestete Konstruktion. Microsoft bestätigte vor dem französischen Senat 2025, nicht garantieren zu können, dass europäische Daten niemals an US-Behörden gelangen.

Das EU-Regulierungsframework erkennt die Lücke: Der Cloud and AI Development Act definiert Souveränität in Stufen. Die unterste verlangt nur EU-Verarbeitung; die oberste fordert Eigentum, Kontrolle und Personalunabhängigkeit von Drittstaaten. Diese Unterscheidung zeigt, dass echte Souveränität Entwurfsdisziplin ist, nicht Einkauf. Europäische Anbieter halten derzeit nur 15 Prozent des Markts; über Beschaffungsvorgaben könnten sie Raum gewinnen.

Roden plädiert für Resilienz als Rückfalllinie: kundenseitig kontrollierte Verschlüsselung, Datenportabilität und technische Umkehrbarkeit schützen gegen extraterritorialen Zugriff, ohne vollständige Unabhängigkeit zu fordern. Initiativen wie der EuroStack und Migrationen in der öffentlichen Verwaltung deuten auf einen mühsameren, aber stabileren Weg – Kontrolle über den eigenen Stack statt Abhängigkeit von Anbietern zu erben.

Kernaussagen

• Souveränität hat drei Ebenen: Datenresidenz, operative Autonomie und rechtliche Kontrolle; aktuelle Cloud-Angebote adressieren nur die ersten beiden.
• Der CLOUD Act und FISA Section 702 ermöglichen US-Behörden extraterritorialen Datenzugriff, den EU-Tochtergesellschaften nicht verhindern können.
• Das EU-Framework (Cloud and AI Development Act) definiert Souveränität in messbaren Stufen und zeigt, dass „souverän" als blosses Etikett unvollständig ist.
• Echte Souveränität erfordert bewusste Entwurfsentscheidungen pro System, nicht pauschale Verlagerung auf Hyperscaler.
• Resilienz durch Verschlüsselung und Datenportabilität bietet pragmatischen Schutz ohne vollständige Unabhängigkeit zu fordern.

Kritische Fragen

1. Evidenz/Datenqualität: Der Autor behauptet, dass US-Behörden eine EU-Tochtergesellschaft zur Datenweitergabe zwingen können – welche Präzedenzfälle oder Rechtsgutachten belegen diese Jurisdiktionsannahme konkret?

2. Interessenkonflikte: Golo Roden ist Gründer einer Softwareentwicklungsfirma. Profitiert die Branche von Skeptizismus gegenüber Hyperscalern, und wie beeinflusst das seine Argumentation?

3. Kausalität/Alternativen: Ist die fehlende Garantie Microsofts vor dem französischen Senat ein Beleg für technische Unmöglichkeit oder eher für rechtliche Unsicherheit und fehlende bindende Verträge?

4. Umsetzbarkeit/Risiken: Initiativen wie der EuroStack sind angekündigt – wie realistisch ist ein tragfähiger europäischer Cloud-Markt angesichts von Finanzierung, Talentmangel und bestehender AWS/Azure-Abhängigkeiten?

5. Kausalität: Führt die Klassifizierung in „Souveränitätsstufen" tatsächlich zu besserer Kontrolle, oder wird sie von Behörden faktisch ignoriert, wenn Kostenerwägungen überwiegen?

6. Interessenkonflikte: Welche europäischen Cloud-Anbieter profitieren direkt von einer restriktiven Definition von Souveränität, und sind deren Positionen in der Debatte transparent gemacht?

7. Datenqualität: Die Behauptung, dass 2/3 des europäischen Cloud-Markts bei drei US-Konzernen liegen – welche Marktabgrenzung (Public Cloud? Hybrid? SaaS?) liegt dieser Zahl zugrunde?

Quellenverzeichnis

Primärquelle: Die souveräne Cloud, die keine ist – ein Etikett für die falsche Ebene – heise.de, Juni 2026

Ergänzende Normung & Regulierung:

1. EU-Kommission: Cloud and AI Development Act (Juni 2026)
2. Bundesamt für Sicherheit in der Informationstechnik (BSI): Kriterienkatalog Cloud Sovereignty
3. Europäischer Gerichtshof: Schrems II (2020) – Ungültigkeit Privacy Shield
4. US CLOUD Act (2018); FISA Section 702; Executive Order 12333

Verifizierungsstatus: ✓ Juni 2026

Weitere Sprachen: Französisch | Englisch

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: Juni 2026