Auch wenn Unternehmen Rechenzentren in der EU und deutsches Personal nutzen und Milliarden-schwere Investments tätigen – greift trotzdem häufig US-Recht. Warum „souveräne" Cloud-Angebote von US-Hyperscalern eine Mogelpackung sind.
(Bild: Generiert mit Claude Opus)
Darum Geht'S
US-Hyperscaler vermarkten ihre europäischen Cloud-Angebote als souverän – doch der US Cloud Act und FISA 702 ermöglichen US-Behörden weiterhin Zugriff auf alle Daten, unabhängig vom Serverstandort.
Der Rechtskonflikt zwischen DSGVO und US-Überwachungsgesetzen ist unauflösbar, solange die Muttergesellschaft in den USA sitzt. Kein Rechenzentrum in Europa, keine deutsch GmbH und kein EU-Beirat ändern daran etwas.
Digitale Souveränität erfordert europäische Eigentumsstrukturen, Open Source und eine eigene IT-Infrastruktur – alles andere ist Sovereignty Washing, das digitale Sicherheit vortäuscht.
Am 27. April 2026 hat das Schweizer Unternehmen Wire eine Pressemitteilung mit stolzer Nachricht versendet: Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Messenger Wire Bund für VS-NfD zugelassen – für Verschlusssachen, deren unbefugte Weitergabe dem nationalen Interesse schaden könnte. BKA, Verfassungsschutz, Bundesministerien – sie alle dürfen ab sofort klassifizierte Informationen über "Wire Bund" austauschen. Dr. Günther Welsch, Abteilungsleiter beim BSI, erklärt in der Pressemitteilung: Wire bringe uns "einen Schritt näher zu einer digital souveränen Bundesrepublik".
Eine eigene Pressemitteilung des BSI dazu? Fehlanzeige. Die Behörde überlässt es dem Anbieter, die Nachricht zu verbreiten – und sich damit auch gleich das Narrativ der „digitalen Souveränität" zu eigen zu machen. Unwidersprochen. Was in der Pressemitteilung nicht steht: Die Wire Swiss GmbH ist eine Tochtergesellschaft der Wire Group Holdings Inc. – registriert in Dover, Delaware, USA. Seit Juli 2019, als der US-Investor Morpheus Ventures einstieg, liegt die Eigentümerschaft bei einer US-Holding. Das BSI zertifiziert heute einen Messenger für die sensibelste Regierungskommunikation unterhalb der Geheimhaltung – dessen Muttergesellschaft dem US Cloud Act unterliegt.
US-Hyperscaler versprechen digitale Souveränität
In Den Haag arbeitet der Internationale Strafgerichtshof inzwischen mit openDesk, einer deutschen Open-Source-Suite. Nicht ganz freiwillig. Im Februar 2025 hatte die Trump-Administration Sanktionen gegen IStGH-Chefankläger Karim Khan verhängt – und sein Microsoft-Konto wurde gesperrt. Und vor dem französischen Senat bestätigte Anton Carniaux, Rechtsdirektor bei Microsoft, unter Eid, dass er die Datensouveränität europäischer Kunden nicht garantieren könne: „Non, je ne peux pas le garantir."
Das ist Sovereignty Washing – und es durchzieht die europäische Digitalpolitik von der Cloud-Infrastruktur bis in den Hochsicherheitsbereich. US-Hyperscaler versprechen digitale Souveränität mit EU-Rechenzentren, deutschem Personal und milliardenschweren Investitionen. Das BSI zertifiziert Tools unter US-Eigentümerschaft für Verschlusssachen. Und die EU-Kommission vergibt einen 180-Millionen-Euro-Auftrag für „souveräne Cloud", bei dem Google im Maschinenraum sitzt.
Die Eigentümerstrukturen führen nach Seattle, Redmond, Mountain View – und Delaware. Dort gilt US-Recht: Cloud Act, FISA Section 702, und National Security Letters. Keine EU-Tochtergesellschaft, kein Rechenzentrum in Brandenburg und kein BSI-Zertifikat kann das ändern. Das ist derzeit die Realität hinter dem Begriff „Sovereignty Washing": US-Hyperscaler versprechen Europa digitale Souveränität mit EU-Rechenzentren, deutschem Personal und milliardenschweren Investitionen. Doch die Eigentümerstruktur führt nach Seattle, Redmond oder Mountain View. Und dort gilt US-Recht. Keine EU-Tochtergesellschaft, kein Rechenzentrum in Deutschland und kein Beirat aus EU-Bürgern kann das ändern. Der Rechtsvertreter von Microsoft hat es unter Eid bestätigt.
Was bedeutet „Sovereignty Washing“?
Der Begriff „Sovereignty Washing“ (deutsch: Reinwaschen der Souveränität) beschreibt die Praxis von Cloud-Anbietern aus den USA, ihre europäischen Angebote als „souveräne Cloud-Lösungen“ zu vermarkten, obwohl diese Dienste strukturell und juristisch weiterhin der US-amerikanischen Gerichtsbarkeit unterliegen. Ähnlich wie beim Greenwashing wird ein Etikett aufgeklebt, das ein Versprechen suggeriert, das systemisch nicht eingehalten werden kann. Die Maßnahmen – EU-Rechenzentren, lokales Personal, deutsche Tochtergesellschaften – sind real, aber sie adressieren das eigentliche Problem nicht: di extraterritoriale Reichweite des US-Rechts.
Wichtige Akteuere beim Sovereignty Washing
AWS European Sovereign Cloud: AWS hat die im Januar 2026 angekündigte European Sovereign Cloud als „die einzige vollumfänglich unabhängig betriebene souveräne Cloud" positioniert. Die Maßnahmen klingen beeindruckend:
Betrieb über Amazon Web Services EMEA SARL (deutsche Rechtseinheit)
Ausschließlich EU-Ansässige im operativen Betrieb
Separates IAM, Billing und Security Operations Center
Eigene Metadatenresidenz – auch Rollen, Berechtigungen und Konfigurationen bleiben in der EU
7,8 Milliarden Euro Investition bis 2040
Über 90 Services inklusive KI – ohne Funktionseinschränkungen gegenüber der globalen AWS-Cloud
Microsoft EU Data Boundary & Delos Cloud: Microsoft verfolgt einen zweigleisigen Ansatz: Die 2025 gestartete EU Data Boundary soll globale Microsoft-Dienste auf EU-Datenverarbeitung beschränken. Für den deutschen öffentlichen Sektor entwickelt SAP-Tochter Delos Cloud eine auf Microsoft Azure basierende Plattform mit über 2 Milliarden Euro Investition über zehn Jahre.
Kooperation von Google Cloud und BSI: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2025 eine Kooperationsvereinbarung mit Google Cloud geschlossen – für „sichere und souveräne Cloud-Lösungen" inklusive KI und Post-Quanten-Kryptographie.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Warum digitale Souveränität nicht funktioniert
Der 2018 beschlossene Cloud Act besagt: „A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”
Die entscheidenden drei Worte: „possession, custody, or control". Die Jurisdiktion folgt der Unternehmenskontrolle, nicht dem Serverstandort. AWS EMEA SARL ist eine Tochtergesellschaft von Amazon Inc. (Seattle). Demnach kann die Muttergesellschaft die Herausgabe aller kontrollierten Daten erzwingen.
Im April 2024 hat das US-Repräsentantenhaus FISA Section 702 um zwei Jahre verlängert und erweitert. Der Geltungsbereich umfasst jetzt explizit alle Diensteanbieter mit Zugang zu Kommunikationsgeräten– einschließlich Cloud-Anbieter und Serververmieter. FISA 702 erlaubt die massenhafte Überwachung von Nicht-US-Personen ohne richterliche Einzelfallgenehmigung und ohne Benachrichtigung der Betroffenen.
Das Compliance-Dilemma in der Praxis
Szenario
Konsequenz
US-Warrant
Verstoß gegen DSGVO Art. 48 (ausländische Datenanfrage ohne MLAT)
US-Warrant wird verweigert
Contempt of Court in den USA, Strafverfolgung
National Security Letter
Gag-Order verhindert die Benachrichtigung der Kunden
Schrems-II-Urteil
Bestätigt: SCCs können US-Zugriffsrechte nicht aufheben
Ein Gutachten der Universität Köln vom März 2025 bestätigt: Die US-Zugriffsrechte bestehen unverändert fort – unabhängig von technischen oder organisatorischen Maßnahmen europäischer Tochtergesellschaften.
:quality(80)/p7i.vogel.de/wcms/0c/4b/0c4bb9cc8b348bb186437c5a64b6fd59/ai-20agent-jay-20koppelman-adobestock-1221849468-neu-1197x673v1.jpeg "(Bild: © Jay Koppelman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/18/2f1885854ed604ac6cf04d7f26ec4a56/adobestock-1886430285-muhammad-eu-ai-act-969x545v1.jpeg "(Bild: © MUHAMMAD/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40f4ee2e9a7c7961a4129669ace575c/recruiting-kunakorn-adobestock-588426794-neu-999x562v1.jpeg "(Bild: © kunakorn/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/b4/9eb481237a70c7b34d447e795ce6951b/ki-delstudio-adobestock-1756025427-neu-1165x655v1.jpeg "(Bild: © DELstudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/91/cb91207c985cb1ce07c5b75986b62e93/stark-geb-c3-a4ude-16-9-2496x1403v1.jpeg "Die Zentrale des Baustoffhändlers Stark Deutschland liegt in Offenbach am Main. (Bild: Stark Deutschland )")
:quality(80)/p7i.vogel.de/wcms/65/85/6585774d3aa9fecd6f7be0e21b389a7b/iaas-shevon-adobestock-1950859285-neu-1200x674v1.jpeg "(Bild: © Shevon/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/ff/06ff77fa0dbaa86c49f47a3ceb6f3cc7/cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1.jpeg "(Bild: © GreenOptix/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/f8/2cf89375c6bc361d6c83e42b7d04cd63/ki-security-igor-nazlo-adobestock-642102009-neu-997x561v1.jpeg "(Bild: © igor.nazlo/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/7c/6b7cd2e09c9080db899bb16da9851b1a/cyberangriffe-ali-adobestock-897871503-mit-20ki-996x560v1.jpeg "(Bild: © Ali/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/81/2b818b5f7ba733b3e1cb4f28959a71ab/digital-souvereignty-washing-16-9-1200x674v1.jpeg "(Bild: Generiert mit Claude Opus)")
:quality(80)/p7i.vogel.de/wcms/f0/34/f03477aa0801c854ace360a8bb3ac798/digital-wrightstudio-adobestock-282405948-neu-1200x675v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/7e/d77ee857fc2f2f80cfd828c0c22db8c7/deutsche-20telekom-gr-c3-bcne-20ki-1296x728v1.jpeg "Künstliche Intelligenz kann die Energieeffizienz verbessern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/8c/4a/8c4a3cc0640eba8becdb813710412a8d/2026-06-csp-thementage-keyvisual-1677198687-2899x1632v1.jpeg "(Bild: ADN Advanced Digital Network Distribution GmbH)")
:quality(80)/p7i.vogel.de/wcms/15/2b/152ba0e37025c431f019ab3a166d2416/adobestock-1866319603-master1305-employer-branding-923x519v1.jpeg "(Bild: © master1305/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/e0/02e0253de738dc54cabc95e02b53eb51/cenit-20ag-martin-20thiel-16-9-977x550v1.jpeg "Martin Thiel wird als neuer CEO der Unternehmensgruppe zum 1. Mai 2026 antreten. (Bild: Cenit Gruppe)")
:quality(80)/p7i.vogel.de/wcms/8c/81/8c812149a8cf23be383184b1da53a55d/mhp-shutterstock-gorodenkoff-16-9-1126x633v1.jpeg "Die Mehrheit der Unternehmen treiben Post-Quantum-Kryptographie bereits aktiv voran – vom Pilotprojekt bis zur Migration. (Bild: Gorodenkoff/Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/e9/4d/e94d46aa750d5b4b9eff39ac86f3021e/quantencomputer-graphicview35-adobestock-1620461863-mitki-1165x655v1.jpeg "(Bild: © graphicview35/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d0/c9/d0c9db33dd29e147f8bfb10108d298c3/adobestock-1331550778-iman00-post-quantum-kryptografie-999x562v1.jpeg "(Bild: © Iman00/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/eb/29eb4c9076f5e31b20cc698b6629cd49/fortinet-20os-grafik-16-9-1559x876v1.jpeg "FortiOS ist ein Quantum-Safe-Betriebssystem, das als grundlegende Engine der Security-Fabric-Plattform von Fortinet dient. (Bild: Fortinet)")
:quality(80)/p7i.vogel.de/wcms/cb/d2/cbd252c77081a748e13733cf73a2d827/daten-20cloud-studios-adobestock-983903579-mitki-1197x673v1.jpeg "(Bild: © Studios/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/8e/81/8e81cfe47b22de9baff484886b3f77ce/bild1-668x376v1.png "(Bild: Flux Kontext Fast)")
:quality(80)/p7i.vogel.de/wcms/15/4c/154c59eaef05d575d589cb226be21300/mkd-auftakt-20im-20klinikum-20aschaffenburg-16-9-1152x647v1.jpeg "Die beteiligten Partner von Mein-Krankenhaus.Digital (MKD) beim Auftakt im Klinikum Aschaffenburg. (Bild: Klinik IT eG)")
:quality(80)/p7i.vogel.de/wcms/cc/5b/cc5b1cb944ed35aea7d845615d1a590a/adobestock-1808356611-jafaewafa-digital-health-cloud-klinik-996x560v1.jpeg "(Bild: © jafaewafa/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/ca/edca4b162f9e6fcb70e2ce992f0fc191/schwarz-20digits-charite-1779x1000v1.jpeg "(Bild: )")
:quality(80)/p7i.vogel.de/wcms/09/03/0903ce87036011b833ac01227be46f45/robotik-anastasiia-adobestock-831949885-mitki-1067x600v1.jpeg "(Bild: © Anastasiia/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/66/c7/66c75cc78c7668b95e086f670e0f1a65/nachhaltigkeit-supatman-adobestock-896256258-neu-1200x675v1.jpeg "(Bild: © Supatman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/dd/01dd47904948c7e4bde7592a5975591a/deutscher-nachhaltigkeitspreis-preisstatuette-fotocredit-frank-fendler-1000x563v1.jpeg "(Bild: Frank Fendler)")
:quality(80)/p7i.vogel.de/wcms/18/57/1857a82b6e8a7046aaf37a4049d6647e/uhv-leitstelle-foto-20state-20grid-20corp-16-9-1200x675v1.jpeg "Die State Grid Corporation of China betreibt ein Netz von Leitstellen und Kontrollzentren, um die Stromversorgung für über 1,1 Milliarden Menschen in China zu sichern. (Bild: State Grid Corp.)")
:quality(80)/p7i.vogel.de/wcms/aa/b0/aab0ec0eaf83c39c6f914d89f7663dab/adobestock-1727240800-studio-zenith-mitarbeiterkontrolle-996x560v1.jpeg "(Bild: © Studio Zenith/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/b6/9bb6e08e8817f967f2f1984b3c0667b0/adobestock-1380098923-kras99-shadow-ai-684x385v1.jpeg "(Bild: © kras99/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/62/7e/627e1ceac041f/fis-logo.png "fis-logo (FIS)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b4/59/b4599b489e7fc4f8ba069250b1916aad/ki-20europa-cre-ai-tor-adobestock-869483491-neu-1200x675v1.jpeg "ki-20europa-cre-ai-tor-adobestock-869483491-neu-1200x675v1 (Bild: © Cre-AI-Tor/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/e0/9be02fd3e37ff22ff9766cfe82158404/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1 (Bild: © Antto-AI/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/e9/cae95e4516e3d993350bd5ae46d0861f/adobestock-652588375-metamorworks-amazon-web-services-aws-digitale-souveraenitaet-999x562v1.jpeg "adobestock-652588375-metamorworks-amazon-web-services-aws-digitale-souveraenitaet-999x562v1 (Bild: © metamorworks/stock.adobe.com)")