Auch wenn Unternehmen Rechenzentren in der EU und deutsches Personal nutzen und Milliarden-schwere Investments tätigen – greift trotzdem häufig US-Recht. Warum „souveräne" Cloud-Angebote von US-Hyperscalern eine Mogelpackung sind.
(Bild: Generiert mit Claude Opus)
Darum Geht'S
US-Hyperscaler vermarkten ihre europäischen Cloud-Angebote als souverän – doch der US Cloud Act und FISA 702 ermöglichen US-Behörden weiterhin Zugriff auf alle Daten, unabhängig vom Serverstandort.
Der Rechtskonflikt zwischen DSGVO und US-Überwachungsgesetzen ist unauflösbar, solange die Muttergesellschaft in den USA sitzt. Kein Rechenzentrum in Europa, keine deutsch GmbH und kein EU-Beirat ändern daran etwas.
Digitale Souveränität erfordert europäische Eigentumsstrukturen, Open Source und eine eigene IT-Infrastruktur – alles andere ist Sovereignty Washing, das digitale Sicherheit vortäuscht.
Am 27. April 2026 verschickte das Berliner Unternehmen Wire eine Pressemitteilung mit stolzer Nachricht: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Messenger Wire Bund für VS-NfD zugelassen – für Verschlusssachen, deren unbefugte Weitergabe dem nationalen Interesse schaden könnte. BKA, Verfassungsschutz, Bundesministerien – sie alle dürfen ab sofort klassifizierte Informationen über Wire Bund austauschen. Dr. Günther Welsch, Abteilungsleiter beim BSI, wird in der Pressemitteilung zitiert: Wire bringe uns "einen Schritt näher zu einer digital souveränen Bundesrepublik". Und Benjamin Schilz, Geschäftsführer von Wire, nennt es „echte digitale Souveränität".
Was in der Pressemitteilung nicht steht: Die Wire Swiss GmbH wurde 2019 im Zuge einer Finanzierungsrunde unter das Dach der Wire Group Holdings Inc. gestellt – registriert in Delaware, USA –, als der US-Investor Morpheus Ventures einstieg. Seither haben sich der Skype-Mitgründer Janus Friis (über London) und die Schwarz-Gruppe (Neckarsulm) beteiligt. Auf Nachfrage erklärt die Pressestelle von Wire, die US-Holding sei bereits im August 2020 aufgelöst worden – die Wire Group Holdings GmbH in Berlin sei seither die alleinige Holdinggesellschaft. Über 85 Prozent der Anteile lägen in europäischer Hand, davon rund 50 Prozent bei deutschen Investoren. US-Investoren halten demnach heute unter zehn Prozent und ohne Governance-Einfluss.
Wire hat seine Holding-Struktur also nach Europa verlagert. Doch warum brauchte es eine journalistische Nachfrage, um das zu erfahren? In der aktuellen Pressemitteilung, in der von „digitaler Souveränität" die Rede ist, findet sich kein Wort zur Eigentümerstruktur. Auf den Webseiten des Unternehmens auch nicht. Wer den Begriff Souveränität für sich beansprucht, sollte Transparenz über die Besitzverhältnisse als Grundvoraussetzung pflegen. Erst recht mit der Vorgeschichte des BSI.
US-Hyperscaler versprechen digitale Souveränität
Denn was geschieht dort, wo die Kontrolle nicht in europäischer Hand liegt – und Washington Ernst macht? Im niederländischen Den Haag kennen sie die Antwort. Der Internationale Strafgerichtshof arbeitet seit 2025 mit OpenDesk, einer deutschen Open-Source-Suite. Nicht ganz freiwillig. Im Februar 2025 hatte die Trump-Administration Sanktionen gegen IStGH-Chefankläger Karim Khan verhängt – und sein Microsoft-Konto wurde gesperrt. Ein internationales Gericht, ansässig in den Niederlanden, arbeitend unter Völkerrecht – digital abgeschaltet per Executive Order aus Washington. Dass dies kein Einzelfall ist, bestätigte Anton Carniaux, Rechtsdirektor bei Microsoft, wenige Monate später unter Eid vor dem französischen Senat. Auf die Frage, ob er garantieren könne, dass Daten französischer Bürger nie ohne Zustimmung an US-Behörden gehen, sagte er: „Non, je ne peux pas le garantir."
Das ist die Realität hinter dem US-Recht. Und trotzdem versprechen AWS, Microsoft und Google ihren europäischen Kunden „digitale Souveränität" – mit EU-Rechenzentren, deutschem Personal und milliardenschweren Investments. Das BSI, das diese Risiken kennt wie kaum eine andere Behörde, kooperiert gleichzeitig mit Google Cloud bei „souveränen Cloud-Lösungen" für Behörden. Und die EU-Kommission vergab am 17. April 2026 einen 180-Millionen-Euro-Auftrag für „souveräne Cloud" – an ein Konsortium, bei dem Google im Maschinenraum sitzt. Wenn die Fakten das eine zeigen und das Marketing das Gegenteil behauptet, hat das einen Namen: Sovereignty Washing.
Was bedeutet „Sovereignty Washing“?
Der Begriff „Sovereignty Washing“ (deutsch: Reinwaschen der Souveränität) beschreibt die Praxis von Cloud-Anbietern aus den USA, ihre europäischen Angebote als „souveräne Cloud-Lösungen“ zu vermarkten, obwohl diese Dienste strukturell und juristisch weiterhin der US-amerikanischen Gerichtsbarkeit unterliegen. Ähnlich wie beim Greenwashing wird ein Etikett aufgeklebt, das ein Versprechen suggeriert, das systemisch nicht eingehalten werden kann. Die Maßnahmen – EU-Rechenzentren, lokales Personal, deutsche Tochtergesellschaften – sind real, aber sie adressieren das eigentliche Problem nicht: di extraterritoriale Reichweite des US-Rechts.
Wichtige Akteuere beim Sovereignty Washing
AWS European Sovereign Cloud: AWS hat die im Januar 2026 angekündigte European Sovereign Cloud als „die einzige vollumfänglich unabhängig betriebene souveräne Cloud" positioniert. Die Maßnahmen klingen beeindruckend:
Betrieb über Amazon Web Services EMEA SARL (deutsche Rechtseinheit)
Ausschließlich EU-Ansässige im operativen Betrieb
Separates IAM, Billing und Security Operations Center
Eigene Metadatenresidenz – auch Rollen, Berechtigungen und Konfigurationen bleiben in der EU
7,8 Milliarden Euro Investition bis 2040
Über 90 Services inklusive KI – ohne Funktionseinschränkungen gegenüber der globalen AWS-Cloud
Microsoft EU Data Boundary & Delos Cloud: Microsoft verfolgt einen zweigleisigen Ansatz: Die 2025 gestartete EU Data Boundary soll globale Microsoft-Dienste auf EU-Datenverarbeitung beschränken. Für den deutschen öffentlichen Sektor entwickelt SAP-Tochter Delos Cloud eine auf Microsoft Azure basierende Plattform mit über 2 Milliarden Euro Investition über zehn Jahre.
Kooperation von Google Cloud und BSI: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2025 eine Kooperationsvereinbarung mit Google Cloud geschlossen – für „sichere und souveräne Cloud-Lösungen" inklusive KI und Post-Quanten-Kryptographie.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Warum digitale Souveränität nicht funktioniert
Der 2018 beschlossene Cloud Act besagt: „A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”
Die entscheidenden drei Worte: „possession, custody, or control". Die Jurisdiktion folgt der Unternehmenskontrolle, nicht dem Serverstandort. AWS EMEA SARL ist eine Tochtergesellschaft von Amazon Inc. (Seattle). Demnach kann die Muttergesellschaft die Herausgabe aller kontrollierten Daten erzwingen.
Im April 2024 hat das US-Repräsentantenhaus FISA Section 702 um zwei Jahre verlängert und erweitert. Der Geltungsbereich umfasst jetzt explizit alle Diensteanbieter mit Zugang zu Kommunikationsgeräten– einschließlich Cloud-Anbieter und Serververmieter. FISA 702 erlaubt die massenhafte Überwachung von Nicht-US-Personen ohne richterliche Einzelfallgenehmigung und ohne Benachrichtigung der Betroffenen.
Das Compliance-Dilemma in der Praxis
Szenario
Konsequenz
US-Warrant
Verstoß gegen DSGVO Art. 48 (ausländische Datenanfrage ohne MLAT)
US-Warrant wird verweigert
Contempt of Court in den USA, Strafverfolgung
National Security Letter
Gag-Order verhindert die Benachrichtigung der Kunden
Schrems-II-Urteil
Bestätigt: SCCs können US-Zugriffsrechte nicht aufheben
Ein Gutachten der Universität Köln vom März 2025 bestätigt: Die US-Zugriffsrechte bestehen unverändert fort – unabhängig von technischen oder organisatorischen Maßnahmen europäischer Tochtergesellschaften.
:quality(80)/p7i.vogel.de/wcms/8f/de/8fde5edde5492f172f910a88df4ec6bd/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/0c/4b/0c4bb9cc8b348bb186437c5a64b6fd59/ai-20agent-jay-20koppelman-adobestock-1221849468-neu-1197x673v1.jpeg "(Bild: © Jay Koppelman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/18/2f1885854ed604ac6cf04d7f26ec4a56/adobestock-1886430285-muhammad-eu-ai-act-969x545v1.jpeg "(Bild: © MUHAMMAD/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/0f/c40f4ee2e9a7c7961a4129669ace575c/recruiting-kunakorn-adobestock-588426794-neu-999x562v1.jpeg "(Bild: © kunakorn/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/91/2991e12c4143d67380b22e5a28aa2fde/schwarz-20digits-siemens-cedrik-20neike-bernie-20wagner-16-9-1200x674v1.jpeg "Cedrik Neike (links), Mitglied des Vorstands der Siemens AG und CEO von Siemens Digital Industries, und Bernie Wagner, CSO von Schwarz Digits, nach der Vertragsunterzeichnung auf der Hannover Messe 2026. (Bild: Jonathan Schule/Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/cb/91/cb91207c985cb1ce07c5b75986b62e93/stark-geb-c3-a4ude-16-9-2496x1403v1.jpeg "Die Zentrale des Baustoffhändlers Stark Deutschland liegt in Offenbach am Main. (Bild: Stark Deutschland )")
:quality(80)/p7i.vogel.de/wcms/9e/b4/9eb481237a70c7b34d447e795ce6951b/ki-delstudio-adobestock-1756025427-neu-1165x655v1.jpeg "(Bild: © DELstudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/ff/06ff77fa0dbaa86c49f47a3ceb6f3cc7/cyberangriff-greenoptix-adobestock-795873778-neu-1200x675v1.jpeg "(Bild: © GreenOptix/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/f8/2cf89375c6bc361d6c83e42b7d04cd63/ki-security-igor-nazlo-adobestock-642102009-neu-997x561v1.jpeg "(Bild: © igor.nazlo/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6b/7c/6b7cd2e09c9080db899bb16da9851b1a/cyberangriffe-ali-adobestock-897871503-mit-20ki-996x560v1.jpeg "(Bild: © Ali/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/81/2b818b5f7ba733b3e1cb4f28959a71ab/digital-souvereignty-washing-16-9-1200x674v1.jpeg "(Bild: Generiert mit Claude Opus)")
:quality(80)/p7i.vogel.de/wcms/f0/34/f03477aa0801c854ace360a8bb3ac798/digital-wrightstudio-adobestock-282405948-neu-1200x675v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/7e/d77ee857fc2f2f80cfd828c0c22db8c7/deutsche-20telekom-gr-c3-bcne-20ki-1296x728v1.jpeg "Künstliche Intelligenz kann die Energieeffizienz verbessern. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/8c/4a/8c4a3cc0640eba8becdb813710412a8d/2026-06-csp-thementage-keyvisual-1677198687-2899x1632v1.jpeg "(Bild: ADN Advanced Digital Network Distribution GmbH)")
:quality(80)/p7i.vogel.de/wcms/15/2b/152ba0e37025c431f019ab3a166d2416/adobestock-1866319603-master1305-employer-branding-923x519v1.jpeg "(Bild: © master1305/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/e0/02e0253de738dc54cabc95e02b53eb51/cenit-20ag-martin-20thiel-16-9-977x550v1.jpeg "Martin Thiel wird als neuer CEO der Unternehmensgruppe zum 1. Mai 2026 antreten. (Bild: Cenit Gruppe)")
:quality(80)/p7i.vogel.de/wcms/8c/81/8c812149a8cf23be383184b1da53a55d/mhp-shutterstock-gorodenkoff-16-9-1126x633v1.jpeg "Die Mehrheit der Unternehmen treiben Post-Quantum-Kryptographie bereits aktiv voran – vom Pilotprojekt bis zur Migration. (Bild: Gorodenkoff/Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/e9/4d/e94d46aa750d5b4b9eff39ac86f3021e/quantencomputer-graphicview35-adobestock-1620461863-mitki-1165x655v1.jpeg "(Bild: © graphicview35/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/d0/c9/d0c9db33dd29e147f8bfb10108d298c3/adobestock-1331550778-iman00-post-quantum-kryptografie-999x562v1.jpeg "(Bild: © Iman00/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/eb/29eb4c9076f5e31b20cc698b6629cd49/fortinet-20os-grafik-16-9-1559x876v1.jpeg "FortiOS ist ein Quantum-Safe-Betriebssystem, das als grundlegende Engine der Security-Fabric-Plattform von Fortinet dient. (Bild: Fortinet)")
:quality(80)/p7i.vogel.de/wcms/15/4c/154c59eaef05d575d589cb226be21300/mkd-auftakt-20im-20klinikum-20aschaffenburg-16-9-1152x647v1.jpeg "Die beteiligten Partner von Mein-Krankenhaus.Digital (MKD) beim Auftakt im Klinikum Aschaffenburg. (Bild: Klinik IT eG)")
:quality(80)/p7i.vogel.de/wcms/cc/5b/cc5b1cb944ed35aea7d845615d1a590a/adobestock-1808356611-jafaewafa-digital-health-cloud-klinik-996x560v1.jpeg "(Bild: © jafaewafa/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/ca/edca4b162f9e6fcb70e2ce992f0fc191/schwarz-20digits-charite-1779x1000v1.jpeg "(Bild: )")
:quality(80)/p7i.vogel.de/wcms/09/03/0903ce87036011b833ac01227be46f45/robotik-anastasiia-adobestock-831949885-mitki-1067x600v1.jpeg "(Bild: © Anastasiia/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/66/c7/66c75cc78c7668b95e086f670e0f1a65/nachhaltigkeit-supatman-adobestock-896256258-neu-1200x675v1.jpeg "(Bild: © Supatman/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/dd/01dd47904948c7e4bde7592a5975591a/deutscher-nachhaltigkeitspreis-preisstatuette-fotocredit-frank-fendler-1000x563v1.jpeg "(Bild: Frank Fendler)")
:quality(80)/p7i.vogel.de/wcms/18/57/1857a82b6e8a7046aaf37a4049d6647e/uhv-leitstelle-foto-20state-20grid-20corp-16-9-1200x675v1.jpeg "Die State Grid Corporation of China betreibt ein Netz von Leitstellen und Kontrollzentren, um die Stromversorgung für über 1,1 Milliarden Menschen in China zu sichern. (Bild: State Grid Corp.)")
:quality(80)/p7i.vogel.de/wcms/aa/b0/aab0ec0eaf83c39c6f914d89f7663dab/adobestock-1727240800-studio-zenith-mitarbeiterkontrolle-996x560v1.jpeg "(Bild: © Studio Zenith/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/b6/9bb6e08e8817f967f2f1984b3c0667b0/adobestock-1380098923-kras99-shadow-ai-684x385v1.jpeg "(Bild: © kras99/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b4/59/b4599b489e7fc4f8ba069250b1916aad/ki-20europa-cre-ai-tor-adobestock-869483491-neu-1200x675v1.jpeg "ki-20europa-cre-ai-tor-adobestock-869483491-neu-1200x675v1 (Bild: © Cre-AI-Tor/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/e9/cae95e4516e3d993350bd5ae46d0861f/adobestock-652588375-metamorworks-amazon-web-services-aws-digitale-souveraenitaet-999x562v1.jpeg "adobestock-652588375-metamorworks-amazon-web-services-aws-digitale-souveraenitaet-999x562v1 (Bild: © metamorworks/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/2b/022b5202e29629aadef04344b78cbd38/videokonferenz-rido-adobestock-331412728-16-9v1.jpeg "videokonferenz-rido-adobestock-331412728-16-9v1 (Bild: © Rido/stock.adobe.com)")