Die Hyperscaler AWS, Google Cloud und Microsoft offerieren angeblich sichere Datenräume für europäische Anwender. Die Branche befindet sich in einem Wettlauf, wer das Gütesiegel „EU-souverän“ am überzeugendsten für sich reklamieren kann. Doch kann ein US-Konzern wirklich digitale Souveränität garantieren?
Europa ist softwaretechnisch von den USA abhängig. Hiesige Behörden und Firmen greifen vor allem auf Standardsoftware zurück – und das in beeindruckendem Maße und nicht zuletzt vom US-Riesen Microsoft. Die Zuverlässigkeit und Vertrauenswürdigkeit US-amerikanischer Cloud-Giganten wird aber nicht erst seit der zweiten Amtszeit von Donald Trump als US-Präsidenten zunehmend angezweifelt.
Bedenklich scheint insbesondere, dass selbst die staatliche Souveränität bedroht ist, wenn Ministerien und Regierungen ohne US-Software nicht mehr arbeitsfähig sind. Immer wieder gab es Vorstöße, die amerikanische Software durch quelloffene, Linux-basierte Systeme zu ersetzen. In der Regel sind sie gescheitert, aus verschiedenen Gründen.
Ein US‑Konzern als Hüter der EU‑Souveränität?
Mit der US-Software blieb auch das Unbehagen. Unter größtem Marketing-Einsatz stellte Microsoft daher im Juni 2025 die „Sovereign Cloud“ für Europa vor, fast zeitgleich hat AWS seine „European Sovereign Cloud“ ins Rampenlicht gerückt. Beide Konzerne versprechen, alle Kundendaten innerhalb der EU‑Grenzen zu halten. Zudem verbleiben die Krypto-Schlüssel ausschließlich beim Auftraggeber. Im Falle von Microsoft sollte zudem ein „Data Guardian“-Programm garantieren, dass nur in Europa ansässiges Personal umfassende Administratorrechte erhält.
Auf den ersten Blick klingt das wie die lang ersehnte Verwirklichung der Forderungen nach digitaler Souveränität. Aber ist sie das wirklich? Wichtige Fragen bleiben nämlich offen. Wer pflegt den Quellcode? Sind wirklich keine Geheimtüren installiert, wie etwa der erst im Juli von Kaspersky entdeckte „GhostContainer“. Es handelt sich dabei um eine Backdoor, über die Angreifer die vollständige Kontrolle über einen Exchange-Server erhalten und so eine Vielzahl schädlicher Aktivitäten durchführen können. Die Kaspersky-Experten vermuten Cyberspionage als Ziel der Kampagne.
Und nicht zu vergessen: Der US-amerikanische Cloud Act verpflichtet US-Unternehmen, Daten auf Anordnung hin an Behörden auszuhändigen. Die Hyperscaler erklären dennoch tapfer, dass Fernzugriffe aus den USA nur mit ausdrücklicher Genehmigung europäischer Kollegen und unter strikter Protokollierung möglich seien.
Dieses Phänomen hat der Technikchef des europäischen Cloud-Anbieters Ionos, Dr. Markus Noga, kürzlich als „Sovereignty Washing“ bezeichnet – als Etikettenschwindel also. Dazu muss man allerdings wissen: Auch Ionos würde auf eine rechtlich nicht anfechtbare Aufforderung hin Kundendaten an Behörden geben – in diesem Fall an europäische.
Europas eigene Cloud‑Alternativen – verpasste Gelegenheiten
Die Kritik an Microsofts Vorstoß ist wohl auch deshalb so laut, weil europäische Unternehmen einerseits bislang keine überzeugende Antwort auf die Dominanz der US-Clouds fanden, andererseits eben ihrerseits Etikettenschwindel betreiben. Nicht, dass man nicht gegensteuern würde: Mit Projekten wie Gaia-X wollten die Europäer eine eigene Cloud-Initiative etablieren, und deutsche Anbieter wie Deutsche Telekom (T-Systems), SAP, Ionos oder die französische OVH rangen um eine gemeinsame Linie. Doch praktikable Angebote sind eher rar gesät, trotz branchenübergreifender Initiativen wie „Manufacturing-X“, das als Teil der Digitalstrategie der Bundesregierung für den Aufbau eines „Datenraums für die Industrie 4.0“ sorgen soll, also für ein sicheres, offenes und skalierbares Datennetzwerk, auf das alle produzierenden Unternehmen in Deutschland zugreifen können. Und statt eine gemeinsame souveräne Cloud-Plattform zu schaffen, haben die deutschen Platzhirsche jeweils ihr eigenes Süppchen gekocht.
Die Folge: Selbst dort, wo man aus politischen oder regulatorischen Gründen gern autarker wäre, greift man mangels echter Alternative doch wieder zu Microsoft & Co. Google konnte gar die deutsche Bundeswehr als Kunden gewinnen und holte sich im vergangenen Jahr den Zuschlag für einen „hochsicheren“ Cloud‑Vertrag.
Wettlauf um den „souveränen“ Stempel
Die Branche befindet sich also in einem Wettlauf, wer das Gütesiegel „EU-souverän“ am überzeugendsten für sich reklamieren kann. Doch am Ende bleibt ein ungutes Gefühl: Die Hoheit liegt nie vollständig in europäischer Hand, solange die Technologie, Updates und Kernservices aus den USA kommen. Selbst wenn Microsoft & Co. sich vertraglich verpflichten, im Ernstfall gegen Zugriffsbegehren aus ihrer Heimat zu klagen, ändert dies nichts daran, dass Europa sich in eine Abhängigkeit begibt.
Was tun? Andreas E. Thyen, Verwaltungsratspräsident der LizenzDirekt AG, rät zu Hybrid- und Multi-Cloud-Strategien, anstatt alles auf einen einzigen Hyperscaler zu setzen. Und auf jeden Fall sollte eine On-Premises- bzw. Private-Cloud-Lösung, also eine in Eigenregie betriebene Software auf eigenen Servern, wesentlicher Bestandteil jedes Cloud-Konzepts von Unternehmen sein. Thyen fordert zudem den Erwerb unbefristeter On-Premises-Lizenzen, wie sie etwa Microsoft weiterhin anbietet. (Sein Unternehmen bietet diese an!) Sie könnten im Zweifel auch ohne permanente Anbindung an einen Hersteller weiter genutzt oder sogar weiterveräußert werden. Dasselbe gelte für Open-Source-Software, die zwar Herausforderungen mit sich bringe bezüglich Know-how, Support und Bedienkomfort, aber eben die digitale Selbstbestimmung fördere.
„Wenn Europa seine digitale Souveränität nicht endlich in die eigene Hand nimmt, anstatt wohlklingenden Angeboten der US-Anbieter zu erlegen, wird es nicht nur in technologische, sondern auch noch weiter in geopolitische Abhängigkeiten geraten“, so Thyen. „Diese wird weit über wirtschaftliche Fragestellungen hinausgehen. Es handelt sich um einen Wettlauf um die Kontrolle über die Zukunft.“
Weitere Artikel zum Schwerpunkt „Data Analytics“