3 Min. Lesezeit

Digitale Souveränität ist derzeit in aller Munde. In Europa verbindet man damit vor allem den Wunsch nach mehr Unabhängigkeit von US-Anbietern. Die Versprechen der Hyperscaler beziehen sich aber auf die Souveränität europäischer Daten und den Schutz vor US-Zugriff.

Das Wichtigste in Kürze

• Max Schrems klagte erfolgreich gegen Safe-Harbor und EU-US Privacy Shield wegen US-Überwachung.
• Microsoft bietet ab 2025 drei souveräne Cloud-Modelle mit Datenverbleib in Europa an.
• Bei Microsofts Lösung behalten Kunden die Kontrolle über Verschlüsselungsschlüssel via Azure Managed HSM.
• AWS gründet europäische Organisation mit Sitz in Deutschland für seine Sovereign Cloud ab Ende 2025.
• Kritiker bezweifeln, dass US-Anbieter rechtlich vor US-Überwachungsgesetzen geschützt sein können.

Europäischen Datenschützern ist schon lange ein Dorn im Auge, dass US-Behörden im Zweifel Zugriff auf selbst in Europa gehostete Daten haben können – und nicht nur die. Es gab auch schon Fälle von offenkundiger Industriespionage über diese Kanäle.

Der österreichische Datenschutzaktivist und Jurist Max Schrems hat deswegen 2016 vor dem Europäischen Gerichtshof (EuGH) erst das transatlantische Safe-Harbor-Abkommen und vier Jahre später den sogenannten EU-US Privacy Shield zu Fall gebracht.

Diametrales Souveränitätsverständnis

Die amerikanischen Cloud-Riesen AWS und Microsoft haben mit Einrichtung von Rechenzentren in der EU versucht, den strengeren Anforderungen der DSGVO und anderen Datenschutzverordnungen entgegenzukommen. Nun versprechen sie diametral zu dem europäischen Verständnis von weniger Abhängigkeit von Unternehmen wie ihnen eine digitale Souveränität, die sich auf den Schutz der Daten bezieht.

Wie das Fachhandelsmagazin IT-Business nun berichtet, haben die beiden Cloud-Anbieter unabhängig voneinander Schritte für eine weitergehende digitale Souveränität zum Schutz oder gar Abschotten europäischer Daten eingeleitet.

Microsoft-Chef Satya Nadella hat demnach im Rahmen der AI Tour in Amsterdam Mitte Juni 2025 ein Konzept vorgelegt, bei denen die Daten europäischer Kunden der Cloud-Lösungen des Unternehmens in Europa bleiben. Um sicherzustellen, dass die Daten nicht in die USA oder anderswohin gelangen, sollen europäische Mitarbeiter den Betrieb und Zugriff kontrollieren und die völlige Kontrolle verschlüsselt den Kunden obliegen. Zentrales Element der gemeinsam entwickelten Lösung ist dabei eine Azure Managed HSM Encryption (Verschlüsselung). Diese erlaubt, dass die Kunden den Schlüssel für ihre Daten in den Händen halten und diesen selbst oder über Partner erzeugen, verwalten und sicher speichern können.

Microsoft sieht Verschlüsselung als Schlüssel

Verbinden lässt sich das mit einem externen Key Manager was den Vorteil der Schlüsselgenerierung nach dem höchsten FIPS-Standards bietet. Ein integriertes Hardware-Sicherheitsmodul lässt sich sowohl als On-Prem-Appliance als auch als As-a-Service-Lösung einsetzen.

Nadella hat in Amsterdam drei unterschiedliche Varianten des neuen Konzepts präsentiert, die bis Ende des Jahres verfügbar sein sollen:

• Eine Souveräne oder „Souvereign Public Cloud“ mit Verbleib und Kontrolle der Kundendaten ausschließlich in Europa unter Einbindung bestehender europäischer Rechenzentren
• Eine „Sovereign Private Cloud“ mit Hosting in lokalen Microsoft-Rechenzentren und hybriden Cloud-Lösungen vor Ort oder über Partner
• Eine „National Partner Cloud“, die sich besonders an Behörden und Betreiber kritischer Infrastrukturen richtet.

„Kein Freifahrtschein vom US-Überwachungsrecht“

Benjamin Schilz, CEO des Berliner Secure-Messaging-Spezialisten Wire, gibt in einer ersten Einschätzung zu Bedenken: „Microsoft verfügt über keinen Freifahrtschein vom US-Überwachungsrecht. Die versprochene souveräne Private Cloud gibt Zusagen, die sich rechtlich nicht einlösen lassen. Es geht nicht um gute Absichten, sondern um eine einfache Tatsache: Jeder US-Softwareanbieter kann gesetzlich dazu verpflichtet werden, Überwachungsmaßnahmen durchzuführen oder den Zugriff auf Dienste willkürlich zu unterbinden.“

Weiter schreibt er, dass der Quellcode von Microsoft nicht offen sei und es keine rechtlichen Hürden gebe, die US-Regierung davon abzuhalten, den Einbau von „Hintertüren zu verlangen“, um dabei kryptographische Schlüssel, Kunden- oder Metadaten abgreifen zu können.

„Es geht nicht um gute Absichten, sondern um eine einfache Tatsache: Jeder US-Softwareanbieter kann gesetzlich dazu verpflichtet werden, Überwachungsmaßnahmen durchzuführen oder den Zugriff auf Dienste willkürlich zu unterbinden.““

AWS geht noch einen Schritt weiter

Ist der Datenraum von AWS wirklich souverän? Diese Frage stellt IT-Business in Bezug auf einen weiteren US-Hyperscaler. Denn in Hamburg hat Amazon Web Services nun ähnlich wie Microsoft neue Souveränitätskontrollen und eine Governance-Struktur für seine „AWS European Sovereign Cloud“ vorgestellt und damit das Versprechen abgegeben, keine Daten an Dritte weiterzugeben.

Kathrin Reiz, derzeit Vice President AWS Industries aus Deutschland, soll dafür sowie als Leiterin eines eigenen Security Operations Centers (SoC) auch für die Governance verantwortlich sein. Die AWS European Sovereign Cloud, die allerdings erst Ende 2025 verfügbar sein wird, bietet ansonsten die gewohnten APIs aus dem AWS Nitro System.

Für das „souveräne Angebot“ gründet AWS eine europäische Organisation mit einer Mutter- und drei Tochtergesellschaften in Deutschaland, die neben Renz im Management-Team auch Beauftragte für Sicherheit und Datenschutz mit Sitz in der EU beherbergen sollen. Ein vierköpfiger unabhängiger Beirat aus EU-Mitgliedsstaaten soll als Expertengremium dienen und Rechenschaft über die European Sovereign Cloud von AWS ablegen.

Die Frage stellt sich, ob sich AWS im Zweifel gegen ein US-Gericht stellen wird, wenn dieses Einsicht in europäische Daten verlangt. Laut AWS habe es noch nie eine Anfrage gegeben, die zu einer Offenlegung von Unternehmens- oder Behördendaten außerhalb der USA an die US-Regierung geführt habe. Eine Garantie dafür könne man allerdings nicht abgeben.

Häufige Fragen

Warum wurden Safe-Harbor und Privacy Shield gekippt?

Weil US-Behörden Zugriff auf in Europa gespeicherte Daten erhalten können. Max Schrems wies auf Verstöße gegen Datenschutz hin.

Was verspricht Microsoft mit seiner souveränen Cloud?

Daten europäischer Kunden bleiben in Europa. Europäische Mitarbeiter kontrollieren den Zugriff, Kunden behalten die Verschlüsselungsschlüssel.

Wie funktioniert die Verschlüsselung bei Microsofts souveräner Cloud?

Über Azure Managed HSM können Kunden Schlüssel selbst erzeugen, verwalten und speichern. Der Schlüssel bleibt beim Kunden.

Was unternimmt AWS für mehr digitale Souveränität?

AWS gründet eine europäische Organisation mit EU-Sitz, eigenen Sicherheitsbeauftragten und einem Security Operations Center in Deutschland.

Warum wird die Souveränität der US-Cloud-Anbieter kritisiert?

US-Anbieter können gesetzlich zur Überwachung verpflichtet werden. Es gibt keine rechtlichen Hürden gegen Hintertüren oder Datenzugriff.

Lesetipps der Redaktion

• API-First: Warum moderne Cloud-Architekturen am API-Design stehen oder fallen
• Pretext: Löst eine JavaScript-Bibliothek das 30-Jahre-Problem im Browser – oder ist es nur Hype?
• AWS vs. Azure vs. Google Cloud 2026: Der ehrliche Vergleich für DACH-Unternehmen

Mehr aus dem MBF Media Netzwerk

SecurityToday | MyBusinessFuture | Digital Chiefs

Quelle Titelbild: Pexels / Angel Bena