Digitale Souveränität ist derzeit in aller Munde. In Europa verbindet man damit vor allem den Wunsch nach mehr Unabhängigkeit von US-Anbietern. Die Versprechen der Hyperscaler beziehen sich aber auf die Souveränität europäischer Daten und den Schutz vor US-Zugriff.
Europäischen Datenschützern ist schon lange ein Dorn im Auge, dass US-Behörden im Zweifel Zugriff auf selbst in Europa gehostete Daten haben können – und nicht nur die. Es gab auch schon Fälle von offenkundiger Industriespionage über diese Kanäle.
Der österreichische Datenschutzaktivist und Jurist Max Schrems hat deswegen 2016 vor dem Europäischen Gerichtshof (EuGH) erst das transatlantische Safe-Harbor-Abkommen und vier Jahre später den sogenannten EU-US Privacy Shield zu Fall gebracht.
Diametrales Souveränitätsverständnis
Die amerikanischen Cloud-Riesen AWS und Microsoft haben mit Einrichtung von Rechenzentren in der EU versucht, den strengeren Anforderungen der DSGVO und anderen Datenschutzverordnungen entgegenzukommen. Nun versprechen sie diametral zu dem europäischen Verständnis von weniger Abhängigkeit von Unternehmen wie ihnen eine digitale Souveränität, die sich auf den Schutz der Daten bezieht.
Microsoft und AWS entwickeln souveräne Cloud-Lösungen für europäische Kunden. Bildquelle: Pexels
Wie das Fachhandelsmagazin IT-Business nun berichtet, haben die beiden Cloud-Anbieter unabhängig voneinander Schritte für eine weitergehende digitale Souveränität zum Schutz oder gar Abschotten europäischer Daten eingeleitet.
Microsoft-Chef Satya Nadella hat demnach im Rahmen der AI Tour in Amsterdam Mitte Juni 2025 ein Konzept vorgelegt, bei denen die Daten europäischer Kunden der Cloud-Lösungen des Unternehmens in Europa bleiben. Um sicherzustellen, dass die Daten nicht in die USA oder anderswohin gelangen, sollen europäische Mitarbeiter den Betrieb und Zugriff kontrollieren und die völlige Kontrolle verschlüsselt den Kunden obliegen. Zentrales Element der gemeinsam entwickelten Lösung ist dabei eine Azure Managed HSM Encryption (Verschlüsselung). Diese erlaubt, dass die Kunden den Schlüssel für ihre Daten in den Händen halten und diesen selbst oder über Partner erzeugen, verwalten und sicher speichern können.
Microsoft sieht Verschlüsselung als Schlüssel
Verbinden lässt sich das mit einem externen Key Manager was den Vorteil der Schlüsselgenerierung nach dem höchsten FIPS-Standards bietet. Ein integriertes Hardware-Sicherheitsmodul lässt sich sowohl als On-Prem-Appliance als auch als As-a-Service-Lösung einsetzen.
Nadella hat in Amsterdam drei unterschiedliche Varianten des neuen Konzepts präsentiert, die bis Ende des Jahres verfügbar sein sollen:
- Eine Souveräne oder „Souvereign Public Cloud“ mit Verbleib und Kontrolle der Kundendaten ausschließlich in Europa unter Einbindung bestehender europäischer Rechenzentren
- Eine „Sovereign Private Cloud“ mit Hosting in lokalen Microsoft-Rechenzentren und hybriden Cloud-Lösungen vor Ort oder über Partner
- Eine „National Partner Cloud“, die sich besonders an Behörden und Betreiber kritischer Infrastrukturen richtet.
„Kein Freifahrtschein vom US-Überwachungsrecht“
Benjamin Schilz, CEO des Berliner Secure-Messaging-Spezialisten Wire, gibt in einer ersten Einschätzung zu Bedenken: „Microsoft verfügt über keinen Freifahrtschein vom US-Überwachungsrecht. Die versprochene souveräne Private Cloud gibt Zusagen, die sich rechtlich nicht einlösen lassen. Es geht nicht um gute Absichten, sondern um eine einfache Tatsache: Jeder US-Softwareanbieter kann gesetzlich dazu verpflichtet werden, Überwachungsmaßnahmen durchzuführen oder den Zugriff auf Dienste willkürlich zu unterbinden.“
Weiter schreibt er, dass der Quellcode von Microsoft nicht offen sei und es keine rechtlichen Hürden gebe, die US-Regierung davon abzuhalten, den Einbau von „Hintertüren zu verlangen“, um dabei kryptographische Schlüssel, Kunden- oder Metadaten abgreifen zu können.
AWS geht noch einen Schritt weiter
Ist der Datenraum von AWS wirklich souverän? Diese Frage stellt IT-Business in Bezug auf einen weiteren US-Hyperscaler. Denn in Hamburg hat Amazon Web Services nun ähnlich wie Microsoft neue Souveränitätskontrollen und eine Governance-Struktur für seine „AWS European Sovereign Cloud“ vorgestellt und damit das Versprechen abgegeben, keine Daten an Dritte weiterzugeben.
Kathrin Reiz, derzeit Vice President AWS Industries aus Deutschland, soll dafür sowie als Leiterin eines eigenen Security Operations Centers (SoC) auch für die Governance verantwortlich sein. Die AWS European Sovereign Cloud, die allerdings erst Ende 2025 verfügbar sein wird, bietet ansonsten die gewohnten APIs aus dem AWS Nitro System.
Für das „souveräne Angebot“ gründet AWS eine europäische Organisation mit einer Mutter- und drei Tochtergesellschaften in Deutschaland, die neben Renz im Management-Team auch Beauftragte für Sicherheit und Datenschutz mit Sitz in der EU beherbergen sollen. Ein vierköpfiger unabhängiger Beirat aus EU-Mitgliedsstaaten soll als Expertengremium dienen und Rechenschaft über die European Sovereign Cloud von AWS ablegen.
Die Frage stellt sich, ob sich AWS im Zweifel gegen ein US-Gericht stellen wird, wenn dieses Einsicht in europäische Daten verlangt. Laut AWS habe es noch nie eine Anfrage gegeben, die zu einer Offenlegung von Unternehmens- oder Behördendaten außerhalb der USA an die US-Regierung geführt habe. Eine Garantie dafür könne man allerdings nicht abgeben.
Quelle Titelbild: Pexels / Angel Bena