Amazon Web Services plant den Start der AWS European Sovereign Cloud bis Ende 2025 in Brandenburg. Die neue Cloud-Region wird vollständig in der EU betrieben, soll europäischem Recht unterliegen und ausschließlich von in Europa ansässigen Mitarbeiter:innen betreut werden. Der US-Cloud-Act wirkt dem Betreiben allerdings weiterhin entgegen. Eine 100-prozentige Unabhängigkeit ist daher nicht gegeben.

Amazon Web Services (AWS) kündigt die Umsetzung der AWS European Sovereign Cloud an. Der Anbieter schafft dafür wird eine neue europäische Organisation und ein neues Betriebsmodell mit Hauptsitz in Deutschland, bestehend aus einer Muttergesellschaft und drei Tochtergesellschaften. Die Leitung übernimmt die bisherige Vice President von AWS Industries, Kathrin Renz. Zudem soll ein unabhängiger Beirat, die Einhaltung der Souveränitätsanforderungen überwachen.

Laut AWS wird der Beirat rechtlich dazu verpflichtet sein »im besten Interesse der AWS European Sovereign Cloud zu handeln. Zur Stärkung der souveränen Kontrolle der AWS European Sovereign Cloud wird der Beirat aus vier Mitgliedern bestehen, die alle Staatsbürger:innen in EU-Mitgliedsstaaten mit Wohnsitz in der EU sein werden. Darunter wird mindestens ein von Amazon unabhängiges Beiratsmitglied sein. Der Beirat wird als Expertengremium fungieren und Rechenschaft über den Betrieb der AWS European Sovereign Cloud ablegen, einschließlich starker Sicherheits- und Zugangskontrollen sowie der Fähigkeit der AWS European Sovereign Cloud, auch bei Störungen unabhängig zu operieren.«

Kathrin Renz, AWS European Sovereign Cloud»Kunden sagen uns, dass sie nicht zwischen funktional eingeschränkten Lösungen und der vollen Leistungsfähigkeit von AWS wählen möchten«, erklärt Geschäftsführerin Renz den Ansatz. »Deshalb haben wir die AWS European Sovereign Cloud so konzipiert, dass sie europäische Anforderungen an die digitale Souveränität erfüllt und dabei das Service-Portfolio, die Sicherheit, Zuverlässigkeit und Leistung bietet, die Kunden von AWS erwarten.«

Technische Unabhängigkeit und Sicherheitsarchitektur

Das Design der AWS European Sovereign Cloud soll es ermöglichen, dass sie unbegrenzt weiter betrieben werden kann, selbst in dem Fall von Konnektivitäts-Unterbrechungen zwischen der AWS European Sovereign Cloud und dem Rest der Welt. Die Architektur umfasst dafür mehrere Verfügbarkeitszonen mit unabhängiger Stromversorgung, Netzwerkkonnektivität, Betriebseinrichtungen und Sicherheitsfunktionen. Zudem erhalten autorisierte AWS Mitarbeiter:innen, die in der EU ansässig sind, unabhängigen Zugang zu einer Kopie der Quellcodes, die für die Aufrechterhaltung der Dienste der AWS European Sovereign Cloud erforderlich sind.

AWS investiert bis 2040 insgesamt 7,8 Milliarden Euro in den Aufbau der AWS European Sovereign Cloud. Die erste Region wird in Brandenburg eingerichtet und soll etwa 2.800 Arbeitsplätze pro Jahr in Deutschland schaffen.

Anzeige

US-Cloud-Act bleibt trotzdem

Die Bestrebungen von Amazon sind lobenswert, aber die versprochene Datensouveränität bleibt ein Versprechen, welches nur schwer eingehalten werden kann. Die Muttergesellschaft bleibt in amerikanischem Besitz und unterliegt immer noch dem US-Cloud-Act. Dieser verlangt von US-Unternehmen, Daten an US-Behörden mit den entsprechenden Vollmachten auszuhändigen, unabhängig davon, wo diese Daten gespeichert sind. Auch das Dazwischenschalten einer deutschen Tochtergesellschaft wird im Zweifel nicht helfen.

Katrin Peter, Ayedo»Der Launch zeigt, dass auch AWS die wachsende Sensibilität für europäische Werte, Regularien und Rechtssysteme anerkennt«, erklärt ayedo-CMO Katrin Peter, gegenüber speicherguide.de. »Allerdings bleibt aus unserer Sicht die entscheidende Frage bestehen: Wem gehört die Infrastruktur – und welches Rechtssystem hat letztlich Zugriff? Es bleibt ein Angebot eines US-amerikanischen Unternehmens, das nach wie vor dem US-amerikanischen Cloud-Act unterliegt. Dieser ermöglicht es US-Behörden grundsätzlich, auch auf Daten in europäischen Rechenzentren zuzugreifen, sofern diese von einem US-Unternehmen betrieben werden.«

Für europäische Unternehmen, Behörden und Organisationen bleibt eine erhebliche Grauzone in Bezug auf rechtliche Kontrolle und tatsächliche Souveränität. »Die reine physische Datenhaltung in Europa reicht nicht aus, wenn die juristische Kontrolle außerhalb Europas verbleibt«, schränkt Peter ein.

Frank Karlitschek, Nextcloud»Digitale Souveränität bedeutet, dass Organisationen die volle Kontrolle über ihre Daten, ihre Infrastruktur und die zugrundeliegende Technologie haben«, ergänzt Nextcloud-CEO Frank Karlitschek. »Wenn ein US-Konzern verspricht, europäische Souveränität zu garantieren, bleibt das ein Widerspruch: Die rechtlichen sowie technologischen Abhängigkeiten, die proprietäre Architektur und die fehlende Transparenz bleiben bestehen. Eine Cloud kann nur dann souverän sein, wenn sie unabhängig betrieben und kontrolliert wird – und das geht nur mit Open-Source. Alles andere ist reines Souveränitäts-Washing.«

Mit verkabelter Kontrolle lässt sich keine Krise überstehen

»Solange ein US-Konzern Herr über Infrastruktur und Updates bleibt, sind technische Sicherheitsversprechen nur so viel wert wie die nächste Executive-Order in Washington«, meint auch luckycloud-Gründer und CEO Luc Mader. »Ein System bleibt nur so sicher wie das nächste Update und wenn das aus dem Silicon Valley kommt, ist Souveränität eine Illusion. Bei AWS bleibt alles bei AWS. Das ist keine Souveränität, das ist Compliance-Theater.«

Auch in einer abgetrennten EU-Region könne AWS zur Datenherausgabe gezwungen werden. »Ein US-Richter, ein interner Befehl, ein nicht nachvollziehbares Update und das war‘s mit der Autonomie«, sagt Mader gegenüber speicherguide.de. »Im Ernstfall zählt nicht, wer den Support-Vertrag hat, sondern den Zugriff. Und das ist bei AWS am Ende AWS selbst, mit allen Risiken geopolitischer Machtspiele.«

Die AWS Sovereign Cloud sei laut Mader besser als eine normale AWS-Region, aber sie bleibe ein US-Produkt mit globalem Risiko: »Souveränität beginnt nicht beim Datenstandort, sondern bei der Kontrolle über den Betreiber.«