European (Un)Sovereign Cloud

Amazon Web Services (AWS) kündigte im Mai 2024 seine erste European Sovereign Cloud an. Im Juni 2025 wurde dann eine „unabhängige europäische Governance-Struktur“ mit Gründung einer neuen Gesellschaft bekanntgegeben. Auch Microsoft kündigte im Juni 2025 die eigene souveräne Cloud-Lösung an.

Das BSI schloss im März 2025 mit AWS eine Kooperationsvereinbarung. Der BSI-Vizepräsident erklärte nach Unterzeichnung der Kooperationsvereinbarung mit AWS, dass die Anforderungen des BSI einen Einfluss hätten auf „Vertraulichkeit, Integrität und Verfügbarkeit“, aber auch auf die „technischen Möglichkeit, ein Angebot selbstbestimmt zu nutzen.“ Nach den eigenen Pressemittelungen ermögliche AWS es seinen Kunden „Standort“ und „Bewegung der Daten“ zu kontrollieren. Geplant ist eine neue Muttergesellschaft mit drei Tochtergesellschaften, „die in Deutschland eingetragen sind“. Die Muttergesellschaft bekommt eine deutsche Geschäftsführerin und ein Infrastruktur, die vollständig innerhalb der EU und „physisch sowie logisch von anderen AWS-Regionen getrennt“ sowie keine „kritische“ Abhängigkeit von anderer Struktur aufweise soll. Microsoft kündigt demgegenüber an mit Partner-Unternehmen in europäischen Ländern zusammenzuarbeiten.

Dennoch bleibt offen, ob es weiterhin einen Datentransfer in die USA gibt. Auch mit einem Angemessenheitsbeschluss (und besonders ohne), müssen Unternehmen ihre Auftragsverarbeiter so auswählen, dass eine Datenverarbeitung im Einklang mit der DSGVO gewährleistet ist (Art. 28 DSGVO).

Unter anderem der US CLOUD Act stellt hierbei aber relevantes Kriterium auf. Dieser verpflichtet unter bestimmten Bedingungen Unternehmen, die dem US-Recht unterliegen, zur Herausgabe von Daten auf Servern außerhalb der USA an US-Behörden. Als Argument hiergegen wird angeführt, dass ein solcher Datentransfer nach der DSGVO nicht durchgeführt werden darf. Insofern bestünde ein Spannungsverhältnis für das betroffene Unternehmen. Im Ergebnis bleibt es eine Glaubensfrage, ob dieses Argument Gewicht hat. Wer sich fragt, wie die Unternehmen dieses Spannungsverhältnis auflösen, sollte sich aber auch fragen, warum sich die Unternehmen so oft genötigt sehen gegen die Anordnungen vorzugehen. Die CLOUD-ACT-FAQ sind jedenfalls erhellend und sollten auch bei zu wenig Zeit für den eigentlichen Gesetzestext einmal gelesen werden.

Microsoft ist in der Vergangenheit oft gegen Anweisungen nach dem CLOUD Act vorgegangen. Das dies die Regel sein soll, wird bei Microsoft im Data Processing Agreement im Anhang C festgehalten (Stand: April 2025). Zwei Mal im Jahr veröffentlich Microsoft, wie oft eine Anfrage der Behörden zu einer Offenlegung der Daten führte. Gleichzeit geriet Microsoft Anfang des Jahres in die Kritik, als es auf Druck der US-Regierung das E-Mail-Konto des Chefanklägers des Internationalen Strafgerichtshof sperrte. Vergleichbare Transparenz und Verpflichtungen sind derweil bei AWS nach derzeitiger Recherche nicht ersichtlich gewesen.

Die Datenschutzkonferenz (das Gremium der deutschen Datenschutzaufsichtsbehörden) stellt in Ihrem Beschluss vom 31.01.2023 fest, dass die Anwendbarkeit von Gesetzen auf EWR-Tochterunternehmen die Zuverlässigkeit der Auftragsverarbeiter nicht grundsätzlich entfallen lässt. Bei einer abstrakten Gefahr einer unzulässigen Übermittlung, könne dies jedoch anders bewertet werden. Eine solche abstrakte Gefahr könnte mittlerweile gegeben sein. Anton Carniaux (Direktor für öffentliche Angelegenheiten und Recht bei Microsoft Frankreich) sagte gegenüber dem französischen Senat, dass nicht garantiert werden könne, dass Daten französischer Bürger von Microsoft Frankreich nicht an ausländische Behörden weitergegeben werden. Oder wie im offiziellen Dokument zusammengefasst: Microsoft kann keine Souveränität garantieren. Marc Holitscher, Technologiechef bei Microsoft Schweiz, wiederholte diese Aussage inhaltlich für sein Land. Verwiese aber zudem auf die Bemühungen von Microsoft gegen die Anordnungen.

Nun muss dies aber im Lichte der neuen Strukturen gesehen werden. Egal welcher souveränen Cloud-Lösung das Vertrauen geschenkt werden soll, alle bauen im Wesentlichen auf europäische Unternehmen, die möglichst losgelöst vom eigentlichen Konzern sein sollen. Es stellt sich also in Zukunft auch die Frage, inwiefern der Rechtsstreit über Mutter- und Tochterkonzerne noch zum Erfolg führt. Vielmehr sollte sich auf tatsächliche Gegebenheiten gestützt werden. Die wenigen Informationen, die verfügbar sind müssen angenommen werden und anhand dessen eine Risikoabwägung durchgeführt werden.

Durch neue souveräne Cloud Lösungen müssen die eigenen Lösungen neu bewertet werden. Ein Vorteil der European Sovereign Cloud liegt in der potenziellen Stärkung der IT-Sicherheit sowie des Business Continuity Managements. Im Falle einer Abkoppelung vom Mutterkonzern könnten die gespeicherten Daten aufgrund der eigenständigen Gesellschaftsstrukturen weiterhin in Europa verbleiben. Noch besser ist hierbei Angebote zu nutzen, die auf die eigenen Server aufsetzt. Am Ende bleibt es aber eine Frage der sauberen Risikoabwägung.

---