US-Hyperscaler und der US Cloud Act – digitale Souveränität light?
Was uns die US-Cloud-Anbieter aber gerne verschweigen: Die souveränen Cloud-Angebote haben doch keinerlei Auswirkungen auf die Anwendbarkeit des US Cloud Act…
Mustafa Isik: Bei AWS haben Kundendatenschutz und -sicherheit höchste Priorität. Der Cloud Act (Clarifying Lawful Overseas Use of Data Act) von 2018 hat der US-Regierung keinerlei neue Befugnisse eingeräumt, Daten von Anbietern anzufordern. Vielmehr schafft er wichtige rechtliche Leitplanken zum Schutz von Inhalten. Das Ziel des Cloud Act ist, bei schweren Straftaten Zugang zu elektronischen Beweismitteln für die Ermittlungen zu erhalten, unabhängig vom Speicherort der Beweise. Dabei gilt der Cloud Act nicht nur für Unternehmen mit Hauptsitz in den USA, sondern für alle Anbieter, die Geschäfte in den Vereinigten Staaten tätigen. Beispielsweise unterliegen Cloud-Anbieter mit Hauptsitz in Europa, die Geschäfte in den USA tätigen, genauso den Anforderungen des Gesetzes.
AWS erkennt die legitimen Bedürfnisse von Strafverfolgungsbehörden bei der Untersuchung krimineller und terroristischer Aktivitäten an, aber diese müssen die rechtlichen Schutzmaßnahmen für solche Ermittlungen beachten. Wir geben Kundendaten auf keinerlei behördliche Anfragen heraus, es sei denn, wir sind dazu durch eine rechtlich gültige und verbindliche Anordnung verpflichtet. Dies haben wir in unseren rechtlichen Bedingungen öffentlich zugesichert. Darüber hinaus werden wir behördliche Anfragen anfechten, die gegen das Gesetz verstoßen, zu weitreichend oder anderweitig unangemessen sind.
Es hat also niemand Zugriff auf die Daten europäischer Kunden?
Mustafa Isik: AWS verfügt über eine Reihe von Produkten und Services, die sicherstellen, dass niemand – nicht einmal Mitarbeiter von AWS – auf Kundeninhalte zugreifen können. AWS-Kunden verfügen auch über eine Reihe zusätzlicher technischer Maßnahmen und operativer Kontrollen, um den Zugriff auf Daten zu verhindern. Beispielsweise sind viele der AWS-Kernsysteme und Services mit Zero-Operator-Zugriff konzipiert, was bedeutet, dass die Services keine technischen Möglichkeiten für AWS-Mitarbeiter bieten, auf Kundendaten als Reaktion auf eine rechtliche Anfrage zuzugreifen.
Das AWS-Nitro-System, das die Grundlage der AWS-Rechendienstleistungen bildet, verwendet spezialisierte Hardware und Software, um Daten während der Verarbeitung auf Amazon Elastic Compute Cloud (Amazon EC2) vor externem Zugriff zu schützen. Durch eine starke physische und logische Sicherheitsgrenze ist Nitro so konzipiert, dass keine unbefugte Person – nicht einmal AWS-Mitarbeiter – auf Workloads von Kunden auf EC2 zugreifen kann.
Ein deutlicher Beleg für die Wirksamkeit unserer Maßnahmen und der strengen gesetzlichen Anforderungen ist die Tatsache, dass AWS seit Beginn der statistischen Erfassung im Jahr 2020 keine außerhalb der USA gespeicherten Kundeninhalte von Unternehmens- oder Regierungskundendaten an die US-Regierung weitergegeben hat.
AWS hat seit Beginn der statistischen Erfassung im Jahr 2020 keine außerhalb der USA gespeicherten Kundeninhalte von Unternehmens- oder Regierungskundendaten an die US-Regierung weitergegeben.
Mustafa Isik, Chief Technologist Digital Sovereignty bei Amazon Web Services (AWS)
Der US Cloud Act ermöglicht es den US-Behörden, weltweit auf Daten von Unternehmen und Behörden zuzugreifen, wenn diese bei einem Diensteanbieter aus den USA oder bei einem ausländischen Tochterunternehmen gespeichert sind. Was macht also AWS, wenn die US-Behörden mal einen Blick in die AWS European Sovereign Cloud werfen wollen?
Mustafa Isik: Der Zugriff auf Daten durch US-Behörden ist bei weitem nicht uneingeschränkt oder automatisch möglich, und Strafverfolgungsbehörden müssen strenge rechtliche Standards erfüllen. Seit Beginn unserer statistischen Erfassung von Anfragen im Jahr 2020 hat es keine Datenanfrage an AWS gegeben, die zur Offenlegung von außerhalb der USA gespeicherten Kundeninhalten von Unternehmens- oder Regierungsdaten gegenüber der US-Regierung geführt haben. Wir haben mehrschichtige Schutzmaßnahmen implementiert, um die Daten unserer Kunden zu schützen und prüfen jede behördliche Anfrage auf ihre Rechtmäßigkeit. Hinzu kommen technische Schutzmaßnahmen: Eine Vielzahl unserer Produkte und Services gewährleisten, dass niemand – also nicht einmal AWS Mitarbeiter – Zugriff zu Kundeninhalten haben.
Im Übrigen ist der Cloud Act kein rein amerikanisches Phänomen. Viele Länder verlangen bei schweren Straftaten die Offenlegung von Kundendaten, unabhängig vom Speicherort. So ermöglicht beispielsweise der britische Crime (Overseas Production Orders) Act britischen Strafverfolgungsbehörden auf elektronische Daten zuzugreifen, die außerhalb des Vereinigten Königreichs gespeichert sind. Tatsächlich kommt seit 2023 die Mehrheit der Strafverfolgungsanfragen, die AWS erhält, von Behörden außerhalb der Vereinigten Staaten.
Auf Ihrer Webseite schreiben Sie zur AWS European Sovereign Cloud: „Kunden haben die volle Kontrolle über ihre Daten in AWS und bestimmen, wo ihre Daten gespeichert werden, wie sie gespeichert werden und wer Zugriff darauf hat.“ Den Teil mit dem Zugriff kann AWS also nur teilweise einhalten?
Mustafa Isik: Bei AWS herrscht der Grundsatz, dass unsere Kunden die Kontrolle über ihre Daten haben und selbst entscheiden können, wie sie ihre Daten in der Cloud sichern und verwalten. Wir sorgen dafür, dass den Kunden Mittel an die Hand gegeben werden, wie sie es auch technisch unmöglich machen können, dass Daten rausgegeben werden könnten, beispielsweise mithilfe von Verschlüsselung. Oder indem man Systeme verwendet, die zwar auf unseren eigenen basieren, aber bei denen wir keinen Zugriff auf die Daten haben. Wir waren der erste große Cloud-Anbieter, der es Kunden ermöglichte, den Standort und die Bewegung ihrer Daten zu kontrollieren. Zudem haben wir Datenschutzfunktionen und -kontrollen auf Basis von Kunden-Rückmeldungen aus den Bereichen Finanzdienstleistungen, Gesundheitswesen und öffentliche Verwaltung entwickelt – Organisationen, die zu den sicherheits- und datenschutzbewusstesten der Welt gehören.
Handelt es sich aber bei diesen Sovereign Clouds dennoch nicht vielmehr um eine Art Souveränität light?
Mustafa Isik: Nein. Die AWS European Sovereign Cloud wird die einzige vollumfängliche, unabhängig betriebene souveräne Cloud sein, die durch starke technische Kontrollen, souveräne Zusicherungen und rechtliche Schutzmaßnahmen abgesichert ist. Kunden und Partner, die die AWS European Sovereign Cloud nutzen, profitieren von der vollen Leistungsfähigkeit von AWS, einschließlich des gleichen Serviceportfolios, der Sicherheit, Verfügbarkeit, Leistung, der vertrauten Architektur, den gewohnten APIs und Innovationen wie dem AWS Nitro System.
Amazon arbeitet seit Anfang dieses Jahres auch mit dem BSI zusammen. Ziel der Kooperation ist „die Förderung digitaler Freiheit in Deutschland und der Europäischen Union (EU)“. Wie sorgt diese Zusammenarbeit für eine sichere Cloud?
Mustafa Isik: Wir waren der erste Cloud-Anbieter mit BSI C5-Testat – ein Beleg für unsere langjährige, konstruktive Zusammenarbeit. Gemeinsam wollen wir ein Umfeld schaffen, das technologischen Fortschritt unterstützt und gleichzeitig die Sicherheit digitaler Infrastrukturen erhöht. Das BSI setzt wichtige Rahmenbedingungen für digitale Souveränität – insbesondere durch hohe Cybersicherheitsanforderungen, die für unsere Kunden von zentraler Bedeutung sind. Ein Schwerpunkt liegt auf der Entwicklung und Anpassung von Standards und Validierungsprozessen an Cloud-Umgebungen, die ursprünglich für On-Premises-Systeme entwickelt wurden. Das unterstützt Organisationen, ihre Compliance- und Sicherheitsanforderungen mit Cloud-Technologien zu erfüllen. Die Erkenntnisse aus unserem Austausch im Rahmen der BSI-Kooperation fließen direkt in die Entwicklung unserer Services und der AWS European Sovereign Cloud ein.
Konstantin Pfliegl ist leitender Redakteur für das e-commerce Magazin und Digital Business. Er verfügt über mehr als zwei Jahrzehnte Erfahrung als Journalist für verschiedene Print- und Online-Medien.
Bildquelle: Foto Marquart, Tutzing
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/fc/92/fc9219fe63a11cbd77472b28798c7e73/stackit-cybus-partnerschaft-16-9-727x409v1.jpeg "Stackit und Cybus vereinbaren eine strategische Partnerschaft für europäische Smart-Factory-Lösungen. (Bild: Cybus)")
:quality(80)/p7i.vogel.de/wcms/ed/a3/eda36bff4eab74b47f38ae9c2f5962f8/cloud-erp-mahat-adobestock-835645806-mitkiv1.jpeg "(Bild: © mahat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/06/cc06928e9d81a3ae02f66889f453bb00/aws-modell-20availability-20zone-16-9-1200x675v1.jpeg "Die AWS European Sovereign Cloud basiert auf dem Modell der AWS Availability Zone. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/3e/06/3e064c6104f3b0e5e74f8d5f06fbec86/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/43/5843c738a7f9e1643d5b6a125a538e5e/akamai-nocc-pano-16-9-1200x674v1.jpeg "Akamai betreibt ein eigenes Network Operations Command Center. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/77/167784e2707d79bd104241764b3c370d/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/9c/3a/9c3a866def18ca8aebbe659276a18b81/consense-release-2025-2-16-9-1400x787v1.jpeg "Praktische Funktionen und die KI-Integration in der ConSense Release 2025.2 optimiert die Arbeit mit QMS- und IMS-Systemen. (Bild: insta_photos)")
:quality(80)/p7i.vogel.de/wcms/f0/f0/f0f0feec71fb8ec1d2f3d343e327f829/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/22/dd/22dd3877ab935747f146a760d14315d6/ki-agent-thapana-studio-adobestock-1281084264-neu-1200x675v1.jpeg "(© Thapana_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d4/77d4aa1f8a50822209edc6b443190333/telekonnekt-bild3-4128x2321v1.jpeg "Das Service-Team der Telekonnekt unterstützt Arztpraxen und Apotheken bei der Umstellung auf die neue Telematikinfrastruktur. (Bild: Stefan Prager)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/65/b9/65b9165fa3dff/logo-kendox.jpeg "logo-kendox (Kendox AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cc/06/cc06928e9d81a3ae02f66889f453bb00/aws-modell-20availability-20zone-16-9-1200x675v1.jpeg "Die AWS European Sovereign Cloud basiert auf dem Modell der AWS Availability Zone. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/e6/ce/e6cecfa23e7a86aa1f4233bbf642a823/trend-20vision-20one-plattform-16-9-1287x724v1.jpeg "Die Konsole von Trend Vision One visualisiert die gesamte Ereigniskette über alle Sicherheitsstufen hinweg. (Bild: Trend Micro)")