US-Cloud-Anbieter werben mit »Sovereign Cloud« und europäischen Regionen, rechtlich bleiben Daten bei US-Konzernen jedoch im Zugriff ausländischer Behörden. Cloud-Act und FISA verschieben die Machtbalance deutlich zulasten europäischer Nutzer. Gefordert sind Architekturen, die Schlüsselhoheit, Rechtsraum und Kontrolle konsequent in europäische Hände legen.

Daten sind das Rückgrat der digitalen Wirtschaft – und ihre Sicherheit entscheidet über die Zukunftsfähigkeit deutscher Unternehmen. Doch während US-amerikanische Cloud-Anbieter mit »Sovereign Clouds« und EU-Konformität werben, bleibt eine zentrale Frage oft unbeantwortet: Wer kontrolliert die Unternehmensdaten wirklich? Trotz europäischer Rechenzentren und DSGVO-Siegeln sind Daten in US-Clouds niemals vor dem Zugriff amerikanischer Behörden geschützt. Auch das EU–US Data-Privacy-Framework ändert an dieser Grundlogik wenig. Es regelt vor allem den Transfer personenbezogener Daten, nicht die Frage, wer im Zweifel technisch und organisatorisch die Kontrolle über Schlüssel, Steuerungsebene und Betriebsprozesse ausübt.

Der Grund: US-Gesetze wie der US CLOUD Act oder FISA 702 hebeln nationale Regelungen aus – unabhängig vom physischen Speicherort. Für Unternehmen bedeutet das: Wahre Datensouveränität lässt sich nur mit Lösungen erreichen, die ausschließlich europäischer Rechtsprechung unterliegen. Wer Kontrolle und Vertrauen sichern will, braucht mehr als technische Versprechen – es geht um die strategische Unabhängigkeit und die Zukunft des eigenen Geschäfts.

Digitale Souveränität im Storage-Kontext

Digitale Souveränität im Storage-Kontext bedeutet die nachweisbare Fähigkeit eines Unternehmens, den gesamten Datenlebenszyklus unter eigenem Rechtsrahmen zu steuern. Gemeint sind technische und organisatorische Kontrolle über Zugriffe, Schlüsselmaterial, Betriebsprozesse und Exit-Szenarien. Entscheidend ist nicht der Ort allein, sondern wer effektiv Zugriff erzwingen oder verhindern kann. Souverän ist, wer Schlüsselgewalt besitzt, technische Durchsetzung betreibt, Betriebsautonomie organisiert, Portabilität sicherstellt und all das auditierbar belegt.

Abgrenzungen:

• Datensouveränität beschreibt die Entscheidungs- und Verfügungsrechte über Daten. Sie beantwortet das »Wer darf was« aus Sicht des Verantwortlichen, garantiert aber noch keine technische Durchsetzung.
• Cloud-Souveränität fokussiert auf die Nutzung von Cloud-Diensten unter Wahrung rechtlicher und operativer Kontrolle beim Kunden. Im Storage-Bereich heißt das Trennung von Daten- und Steuerungsebene, client-seitige Verschlüsselung mit kundenseitigen Schlüsseln sowie ein belastbarer Exit.
• Datenresidenz benennt Speicher- und Verarbeitungsstandorte. Sie ist notwendig, aber allein nicht ausreichend, da extraterritoriale Gesetze und Betriebswege weiterhin Zugriffe ermöglichen können.
• Datenhoheit wird häufig synonym zu Datensouveränität verwendet, legt den Schwerpunkt jedoch stärker auf den rechtlichen Anspruch als auf die operative Kontrolle.
• Compliance-Konformität belegt, dass Normen und Standards erfüllt sind. Sie ist ein Nachweis, aber kein Ersatz für echte Souveränität.
• Zertifizierungen wie das EUCS können Sicherheits- und Prozessnachweise strukturieren, lösen aber nicht automatisch die Frage nach extraterritorialen Zugriffspflichten und operativer Kontrolle über Schlüssel und Steuerungsebene.
• Interoperabilität und Portabilität sind verwandte, aber unterschiedliche Ziele. Interoperabilität meint offene Protokolle und Formate, die Zusammenarbeit ermöglichen. Portabilität meint die praktikable Mitnahme von Daten und Metadaten zu anderen Anbietern innerhalb definierter Fristen.

Wachsender Handlungsdruck: US-Cloud-Gesetze werden zur Bedrohung

Roland Stritt, Fast LTADer 2018 verabschiedete Clarifying Lawful Overseas Use of Data Act (Cloud Act) stellt laut Roland Stritt, CRO bei FAST LTA, einen beispiellosen Bruch mit internationalen Rechtsnormen dar: »Das Gesetz ermächtigt US-Strafverfolgungsbehörden, von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen – unabhängig davon, wo diese Daten physisch gespeichert sind oder welche lokalen Gesetze deren Schutz vorsehen.«

Noch problematischer ist seiner Ansicht nach Section 702 des Foreign Intelligence Surveillance Act (FISA 702), der ursprünglich für die Überwachung ausländischer Agenten konzipiert wurde, aber in der Praxis zur massenhaften Sammlung von Kommunikationsdaten aller Nicht-US-Bürger eingesetzt werden kann. »Im Gegensatz zum Cloud-Act, der zumindest formell richterliche Anordnungen erfordert, operiert FISA 702 weitgehend im Verborgenen«, warnt Stritt. Section 702 ist aktuell bis zum 20. April 2026 verlängert, die nächste Reautorisierungsdebatte ist damit absehbar.

Das eigentliche Problem liegt aber nicht in der Existenz der US-Gesetze – die genannten Regularien bestehen bereits seit Jahren. Neu ist jedoch die geopolitische Lage: Die transatlantischen Beziehungen stehen unter verstärktem Druck, wirtschaftliche und politische Interessen driften zunehmend auseinander. Was früher als vertrauensvolle Partnerschaft galt, ist heute von Unsicherheiten und Rivalität geprägt.

Mit der US-Regierung hat sich mit ihrem Amtsantritt im Januar 2025 die öffentliche Wahrnehmung der USA in Deutschland in mehreren Punkten deutlich verändert – gerade in Bezug auf Vertrauen, Datenschutz und die Zusammenarbeit im Digitalbereich. Unter anderem wurden internationale Abkommen häufiger einseitig aufgekündigt oder infrage gestellt. Daher sehen deutsche Unternehmer die USA nicht mehr unbedingt als verlässlichen Partner. Laut ARD-DeutschlandTREND hielt im März nur noch jeder sechste Deutsche (16 Prozent) die USA für einen Partner, dem man vertrauen kann (-38 im Vgl. zu Oktober 2024). Der Trend hat sich danach kaum erholt: Im ARD-DeutschlandTREND Anfang Januar 2026 hielten nur noch 15 Prozent die USA für einen Partner, dem man vertrauen kann.

Die Trump-Regierung hat die US-Interessen kompromisslos priorisiert und machte deutlich, dass wirtschaftliche und politische Vorteile für die USA stets Vorrang haben. Das hat Unternehmen und Politik in Deutschland sensibilisiert, dass amerikanische Partner im Zweifel nicht im gemeinsamen, sondern im eigenen Interesse handeln. Die politische Rhetorik wurde rauer, transatlantische Beziehungen kühler. Themen wie Wirtschaftssanktionen, Handelsstreitigkeiten und unterschiedliche Wertevorstellungen rückten stärker in den Vordergrund und verstärkten das Gefühl, künftig unabhängiger agieren zu müssen

Für deutsche Unternehmen bedeutet das: Vertrauliche Daten sind nicht mehr automatisch geschützt, nur weil sie »bei unseren amerikanischen Partnern« liegen. Im Gegenteil – in Zeiten wachsender wirtschaftlicher Spannungen kann der Zugriff auf zentrale Unternehmensdaten zum machtpolitischen Instrument werden. Wer jetzt nicht handelt, riskiert, die Kontrolle über das eigene digitale Kapital zu verlieren und sich erpressbar zu machen. Daher ist der Handlungsdruck für echte Datensouveränität heute größer denn je.

Risiko-Update durch KI, Regulierung und Geopolitik

Der neue Fokus ist allerdings nicht nur eine Frage von »Freund oder nicht«, sondern das Ergebnis eines Risiko-Updates auf mehreren Ebenen: Erstens verschieben KI- und Cloud-first-Strategien immer sensiblere Workloads in Managed-Umgebungen, wodurch Telemetrie, Metadaten und Modell-Trainingspfade neue Angriffs- und Ausleitungsflächen schaffen.

Zweitens steigen Haftung und Prüfungsdruck durch NIS-2, DORA und strengere Audits deutlich an, sodass bloße Standortzusagen nicht mehr genügen und eine nachweisbare Zugriffskontrolle verlangt wird. Hinzukommt, dass der EU-Data-Act seit dem 12. September 2025 gerade bei Cloud-Services zusätzliche Anforderungen rund um Wechsel, Datenportabilität und Exit-Prozesse setzt. In Deutschland ist zudem das NIS-2-Umsetzungsgesetz seit Dezember 2025 in Kraft, was den Druck in Richtung nachweisbarer Kontrollen und belastbarer Drittanbietersteuerung weiter erhöht. Und mit dem EU-AI-Act greifen seit 2025 stufenweise neue Pflichten, die Datenflüsse, Telemetrie und Trainingspfade in Cloud-Umgebungen noch genauer in den Blick nehmen.

Drittens zeigen aktuelle Beschaffungsfälle und öffentliche Anhörungen, dass extraterritoriale US-Zugriffe nicht nur theoretisch sind, sondern in der Governance real berücksichtigt werden müssen.

Viertens verschärfen geopolitische Spannungen, Sanktionsregime und Lieferkettenrisiken die Abhängigkeit von Anbietern, die ausländischem Recht unterliegen. Kurz gesagt: Nicht die Freundschaft hat sich geändert, sondern die Kombination aus Technologie, Regulierung, Transparenz und Geopolitik erhöht das Schadenspotenzial. Unternehmen müssen deshalb beweisbar kontrollieren können, wer wann worauf zugreift und unter welchem Rechtsrahmen dies geschieht.

Beispiele für die Abhängigkeit

Als die Diskussion zur digitalen Unabhängigkeit im Frühjahr so richtig an Fahrt aufnahm, gab es noch einige Gegenstimmen. Mittlerweile sind diese aber so gut wie verstummt, da es immer mehr negative Beispiele. Im Mai sperrte Microsoft das E-Mail-Konto des Chefanklägers am Internationalen Strafgerichtshof (IStGH), Karim Khan. Damit konnte der IStGH nur noch eingeschränkt bis gar nicht arbeiten.

Laut einer Meldung der Open Source Business Alliance (OSBA) bildete eine Executive Order aus dem Weißen Haus die Grundlage für die Sanktionen gegen den IStGH und die dort beschäftigten Mitarbeitenden. Der Vorfall zeigt, dass Abhängigkeit nicht erst beim Zugriff auf gespeicherte Inhalte beginnt. Schon die Verfügbarkeit von Kommunikationsdiensten, Konten und Identitäten kann zum Engpass werden, wenn Anbieter unter Sanktions- oder Exportdruck geraten.

Peter Ganten, OSBA»Die von den USA angeordneten und von Microsoft mit umgesetzten Sanktionen gegen den internationalen Strafgerichtshof in Den Haag müssen ein Weckruf für alle sein, die für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen verantwortlich sind«, fordert Peter Ganten, Vorstandsvorsitzender der OSBA. »Sie zeigen: Wir können uns nicht auf Unternehmen verlassen, die nicht unter unserer Jurisdiktion stehen. Deswegen brauchen wir dringend Alternativen, die wir kontrollieren und gestalten können.«

Hinzukommt, dass die US-Regierung immer wieder Druck auf IT-Hersteller ausübt und zum Beispiel Nvidia-Verkäufe von AI-Chips nach China gestoppt hat. Mit Exportlizenzen und Zöllen wird zudem versucht Nicht-US-Firmen in der Lieferkette zu regulieren. Für die Befürchtung, die US-Regierung könnte Europa das Internet oder Cloud-Dienste abschalten, gibt es keine belastbaren Indizien. Den immer wieder zitierten »Kill-Switch« gibt es weder technisch, rechtlich noch gouvernance-seitig. Der relevante Hebel liegt häufig darunter: Einschränkungen bei Tenants, Konten, Lizenzen, Support-Prozessen oder der Steuerungsebene reichen oft aus, um Betriebsfähigkeit und Verfügbarkeit spürbar zu treffen.

Allerdings könnte Washington US-Unternehmen per Sanktionen, Exportkontrollen und Notstandsrecht (für US-Kommunikationsdienste im Inland) zu Geoblocking oder Service-Stopps gegenüber bestimmten Ländern/Organisationen zwingen. Der politische Hebel über US-Provider ist durchaus real. Daher macht es absolut Sinn, wenn europäische Unternehmen darüber nachdenken, Abhängigkeiten zu minimieren.

Was echte Datensouveränität für US-Anbieter tatsächlich bedeutet

US-Anbieter sprechen gern über »Souveränität«, adressieren aber oft nicht das Kernproblem. Es geht nicht um den physischen Speicherort allein, sondern um effektive Zugriffskontrolle unter kollidierenden Rechtsregimen. Solange US-Recht extraterritorische Zugriffspflichten kennt, reicht ein EU-Rechenzentrum mit EU-Support nicht aus, wenn Steuerungs-, Schlüssel- oder Betriebspfade weiterhin unter US-Herrschaft stehen. Damit Souveränität mehr ist als Verpackung, müssten US-Anbieter ihr Betriebs- und Geschäftsmodell in zentralen Punkten umbauen und wirtschaftliche sowie technische Zugeständnisse machen, die über Marketingbegriffe hinausgehen.

In der Praxis reagieren Hyperscaler zunehmend mit Partner- und Sonderbetriebsmodellen, die lokale Kontrolle und Krisenfestigkeit stärken sollen. Beispiele sind nationale Partner-Clouds wie Delos Cloud (Deutschland) und Bleu (Frankreich) im Microsoft-Umfeld sowie die von AWS angekündigte European Sovereign Cloud in Deutschland. Solche Konstrukte können Abhängigkeiten reduzieren, sie ersetzen aber nicht automatisch die Prüfung von Schlüsselgewalt, Steuerungsebene und Jurisdiktionsrisiken.

Hier unser 5-Punkte-Plan:

1. Schlüsselhoheit beim Kunden und Client-seitige Verschlüsselung

Erstens braucht es eine Architektur, in der Kundendaten und Betriebsdaten strikt getrennt sind und in der US-Unternehmen keinen einseitigen Zugriff erzwingen können. Das verlangt Client-seitige Verschlüsselung mit kundenseitig kontrollierten Schlüsseln und optional HYOK-Modelle (Hold Your Own Key). BYOK (Bring Your Own Key) genügt nur, wenn der Schlüssel-Lebenszyklus vollständig außerhalb des Anbieterkontrollbereichs liegt. Der Control-Plane-Zugriff muss entkoppelt werden. Support darf nur just-in-time und genehmigungspflichtig über Customer-Lockbox-Mechanismen erfolgen. Telemetrie und Metadaten sind zu minimieren oder auf EU-Sichten zu beschränken, da sich aus Betriebsdaten Rückschlüsse auf Inhalte ziehen lassen.

2. Europäische Betriebsautonomie mit Treuhand- und Datentreuhänder-Modellen

Zweitens erfordert Glaubwürdigkeit eine rechtlich belastbare Organisationsstruktur in Europa. Gemeint ist nicht die übliche EU-Tochter, die letztlich der Mutter untersteht, sondern eine operative Eigenständigkeit mit europäischen Leitungsorganen, europäischer Schlüsselgewalt und vertraglich festgelegten Widerspruchs- und Anfechtungsprozessen bei Behördenanfragen. In kritischen Segmenten bieten sich Treuhand- und Datentreuhänder-Modelle an, bei denen ein europäischer Partner Betrieb und Zutrittsrechte verantwortet und der US-Anbieter nur Software liefert. Das verschiebt Haftung, Entscheidungswege und vor allem die tatsächliche Kontrolle.

3. Nachweisbare Transparenz durch unabhängige Audits und Offenlegung

Drittens braucht es überprüfbare Transparenz statt Versprechen. Ohne unabhängige Audits der Souveränitätskontrollen, ohne veröffentlichte Richtlinien zum Umgang mit behördlichen Auskunftsersuchen und ohne statistische Transparenzberichte bleibt Souveränität Behauptung. Anbieter müssten offenlegen, wo sich Steuerungspunkte befinden, welche Subunternehmer eingebunden sind, wie Schlüsselmaterial gehandhabt wird und welche technischen Schranken selbst gegenüber dem eigenen Root-Personal gelten.

4. Produktstrategie unter Souveränitätsauflagen – Priorisieren, migrieren, exitfähig

Viertens sind Produktstrategie und Roadmaps anzupassen. Echte Souveränitätsfunktionen verursachen Reibung. Service-Parität zwischen globalem Angebot und souveräner Ausprägung wird vermutlich nicht immer zeitgleich möglich sein. Wer Souveränität ernst nimmt, priorisiert Workloads mit hohem Schutzbedarf, bietet klare Migrationspfade, definiert Exit-Szenarien mit nachweislicher Datenportabilität und akzeptiert, dass nicht jeder Managed-Komfort mit voller Souveränität vereinbar ist.

5. Ökonomische Konsequenzen realistisch einpreisen

Fünftens müssen ökonomische Konsequenzen adressiert werden. Souveräne Betriebsmodelle bedeuten zusätzliche Rechenzentrums-Segmente, restriktivere Telemetrie, komplexere Support-Prozesse und geringere Skaleneffekte. Das kostet Marge und bremst globale Vereinheitlichung. Solange US-Anbieter diesen Zielkonflikt nicht offen anerkennen und in ihre Preis- und Liefermodelle einpreisen, bleibt das Versprechen auf halbem Weg stehen.

Souveränität bedeutet kontrollierten Machtverzicht und EU-Governance

Kurz gesagt. Für US-Anbieter heißt Datensouveränität, Macht über Daten und Zugriffe freiwillig und überprüfbar abzugeben, technische Einblicke zu begrenzen, juristische Risiken zu schultern und europäische Governance nicht nur zu akzeptieren, sondern zu implementieren. Alles andere ist Regional-Branding.

An dieser Stelle gibt es natürlich auch den Ruf nach politischem Einschreiten. Mehr als Lippenbekenntnisse sind hier allerdings bisher nicht zu hören. Damit Europa unabhängiger von digitalen Importen aus dem Ausland wird, haben Deutschland und Frankreich den Gipfel für europäische digitale Souveränität in Berlin initiiert. Der »Summit on European Digital Sovereignty« fand am 18. November 2025 in Berlin statt. Dabei wurden unter anderem Maßnahmen in Richtung fairerer digitaler Märkte sowie mehr Cloud- und Daten-Souveränität adressiert. Das darf durchaus als Signal gewertet werden.

Politische Signale und Hyperscaler-Investitionen

Wenn man allerdings sieht, wie unreflektiert die Politik parteiübergreifend auf Googles Investitionsankündigung reagiert, scheint es mit dem Sachverstand nicht weit her zu sein. Der Hyperscaler will mit 5,5 Milliarden Euro den Ausbau von Rechenzentren und Infrastruktur in Deutschland vorantreiben. Google hat das Paket Mitte November 2025 angekündigt. Die Investitionen sollen bis 2029 in Cloud- und KI-Infrastruktur sowie Rechenzentrums- und Standortausbau fließen.

Frederike Kaltheuner, Politikwissenschaftlerin (Bild: tagesthemen)Das klingt zunächst gut. Die Art und Weise, wie die Ankündigung politisch gefeiert wird, wertet Politikwissenschaftlerin Frederike Kaltheuner trotzdem als falsches Signal und erklärt im tagesthemen-Interview: »Dadurch wird nur der Status quo weiter zementiert. In der Souveränität geht es darum, die eigene Infrastruktur zu kontrollieren und wenn diese in ausländischer Hand ist, ist dies nicht der Fall.« Konkret sieht sie Gefahren in der nationalen Sicherheit und in Handelskonflikten. Bei transatlantischen Zerwürfnissen könne eine infrastrukturelle Abhängigkeit schnell zum »Gesprächsthema« werden.

Bisher wurde schlicht verschlafen, das Problem anzugehen. Daher brauche es jetzt Investitionen, Regulierung alleine reiche nicht. Man müsse den Markt öffnen, damit Innovationen und Alternativen erst entstehen können. Dabei sei wichtig, dass mit den Investitionen Alternativen geschaffen werden, weil der Versuch, die Amerikaner nachzubauen, nicht funktionieren werde.

Von den Investitionen der großen US-Tech-Konzerne wie zum Beispiel von Google fließt nur ein kleiner Teil tatsächlich nach Deutschland. Laut Kaltheuner schaffen Rechenzentren erstmal vor allem Jobs im Bau, diese sind aber temporär, und langfristig entstehen im Schnitt nur zwölf Arbeitsplätze pro Standort. Hinzu komme: Es werden derzeit RZs für sehr große KI-Modelle gebaut, und diese Infrastruktur ist so speziell, dass rund 70 Prozent der Investitionen wieder in die USA fließen. Denn auch Google müsse für diese Art von Rechenzentrum die Chips von Nvidia kaufen. Unter dem Strich stärkt das wirtschaftlich vor allem die US-Wirtschaft – nicht den Standort Deutschland.

Hier müssen Unternehmen erkennen, dass digitale Unabhängigkeit nichts ist, was die Politik mit der Gießkanne über alle verteilt. »Jede Investition in Unternehmen ist eine Entscheidung für oder gegen digitale Souveränität«, erklärt Prof. Dr. Dennis-Kenji Kipker vom Cyberintelligence.Institute in seiner S2N-Keynote in Regensburg. »Digitale Souveränität ist unsere eigene Aufgabe – das nimmt uns niemand ab.«