Warum digitale Souveränität für europäische Unternehmen wichtig ist
TL;DR: US-Recht (der CLOUD Act) erlaubt es der US-Regierung, US-Unternehmen zur Herausgabe von Daten zu zwingen. Selbst dann, wenn diese Daten in Europa gespeichert sind. Die Wahl einer „EU-Region“ bei AWS oder Azure ändert daran nichts. Echte digitale Souveränität braucht einen in der EU ansässigen Provider, Datenspeicherung in der EU und die Option zum Self-Hosting. Ohne alle drei hängt deine DSGVO-Konformität von einem Abkommen ab, den europäische Gerichte bereits zweimal gekippt haben.
Jedes europäische Unternehmen, das Software entwickelt, steht früher oder später vor derselben unangenehmen Frage: Wer kontrolliert meine Daten eigentlich wirklich?
Du hast dich für AWS, GCP oder Azure entschieden, weil das Tooling gut ist und das Ökosystem riesig. Dann stellst du fest, dass eine ausländische Regierung sich ganz legal Zugriff auf deine Daten (und die deiner Kund:innen) verschaffen kann. Das ist keine Theorie und kein Gesetzesentwurf, der sowieso nie durchgesetzt wird. Das gilt schon heute.
In diesem Beitrag geht es darum, warum das so ist, was das für deine Compliance bedeutet und wie eine Alternative aussehen kann.
Das Problem mit dem CLOUD Act
Der Clarifying Lawful Overseas Use of Data (CLOUD) Act wurde 2018 in den USA verabschiedet. Er zwingt Unternehmen mit Hauptsitz in den USA, Daten an US-Strafverfolgungsbehörden herauszugeben, und zwar unabhängig davon, wo diese Daten physisch gespeichert sind.
Das bedeutet:
- Daten auf einem AWS-Server in Frankfurt? Unterliegen einem US-Durchsuchungsbeschluss.
- Daten auf einem Azure-Server in Amsterdam? Unterliegen einem US-Durchsuchungsbeschluss.
- Daten auf einem GCP-Server in Zürich? Unterliegen einem US-Durchsuchungsbeschluss.
Dem CLOUD Act ist egal wo die Hardware steht. Entscheidend ist die Gerichtsbarkeit über das Unternehmen, das den Zugriff kontrolliert. Wenn der Provider in den USA ansässig ist, gilt US-Recht für alle Daten, die sich in seinem Besitz, seiner Obhut oder unter seiner Kontrolle befinden.
Das ist kein theoretischer Sonderfall. Das ist operativer Alltag für jedes Unternehmen, das auf einem Cloud-Provider mit US-Hauptsitz läuft.
„EU-Region“ heißt nicht EU-Gerichtsbarkeit
Cloud-Provider wissen, dass sich europäische Kund:innen darüber Sorgen machen. Deshalb werben sie mit EU-Regionen, EU-Datenresidenz-Optionen und „sovereign cloud“-Produkten. Das klingt beruhigend. Ist es aber nicht.
Der Unterschied ist entscheidend: Der Speicherort ist nicht dasselbe wie die Gerichtsbarkeit über den Zugriff. Ein Rechenzentrum in der EU, das von einem US-Unternehmen betrieben wird, verschafft dir keine EU-Gerichtsbarkeit. Du bekommst US-Gerichtsbarkeit mit Hosting in der EU.
Europäische Gerichte wissen das. Der Europäische Gerichtshof (EuGH) hat die EU–US-Datenübermittlungsrahmen bereits zweimal gekippt – Safe Harbor 2015 (Schrems I) und Privacy Shield 2020 (Schrems II) –, genau weil das US-Überwachungsrecht keinen Schutz bietet, der den Grundrechten in der EU gleichwertig ist.
Der aktuelle EU–US Data Privacy Framework (DPF), der 2023 angenommen wurde, wird bereits rechtlich angegriffen. Ob er die nächste Klage übersteht, ist völlig offen. Deine Compliance-Strategie auf einen Rahmen zu stellen, der schon zweimal zuvor für ungültig erklärt wurde, ist ein Risiko, das drastische Folgen für dein Business haben kann.
Was sich mit DSGVO, DORA und NIS2 ändert
Die Regulierung bewegt sich klar in eine Richtung: mehr Verantwortung dafür, wo Daten liegen und wer darauf zugreifen kann.
| Regulation | Was verlangt wird | Wen es betrifft |
|---|---|---|
| DSGVO | Rechtsgrundlage für die Verarbeitung, Betroffenenrechte und angemessener Schutz bei internationalen Datentransfers | Jedes Unternehmen, das personenbezogene Daten von EU-Bürger:innen verarbeitet |
| DORA (Digital Operational Resilience Act) | IT-Risikomanagement, Kontrolle von Drittanbietern und Meldepflichten bei Vorfällen für Finanzunternehmen | Banken, Versicherungen, Fintechs und ihre kritischen IT-Dienstleister |
| NIS2 (Network and Information Security Directive) | Management von Cybersecurity-Risiken, Sicherheit in der Lieferkette und Meldepflichten bei Vorfällen | Wichtige und wesentliche Einrichtungen in 18 Sektoren, darunter digitale Infrastruktur |
Alle drei Regelwerke führen letztlich zum selben Ergebnis: Du musst genau wissen, wo deine Daten liegen, wer darauf zugreifen kann und nach welchem Rechtsrahmen das passiert. Wenn du einen Provider nutzt, der ausländischer Gerichtsbarkeit unterliegt, werden diese Fragen eher schwieriger als einfacher.
Für Unternehmen in regulierten Branchen wie Finanzwesen, Gesundheitswesen, Rechtswesen oder öffentlichen Einrichtungen geht es dabei nicht nur um „Best Practices“, sondern darum, Prüfer:innen und Aufsichtsbehörden gegenüber nachweisen zu können, dass deine Infrastruktur-Entscheidungen vertretbar sind.
Wie echte Souveränität aussieht
Digitale Souveränität ist kein Feature, das du einfach einschalten kannst. Sie ist eine Architektur-Entscheidung und braucht drei Dinge:
1. Provider mit Sitz in der EU
Das Unternehmen, das deine Infrastruktur betreibt, muss EU-Recht und EU-Gerichten unterliegen – nicht US-Recht mit einer EU-Tochtergesellschaft. Die Konzernstruktur ist wichtig, weil sich rechtliche Verpflichtungen am Mutterunternehmen orientieren, nicht an der Adresse des Rechenzentrums.
2. Datenspeicherung in der EU
Deine Daten müssen auf Servern gespeichert sein, die physisch in der EU stehen. Diesen Teil bieten die meisten Provider bereits an, aber es ist nur ein Puzzleteil. Ohne EU-Gerichtsbarkeit über den Provider schützt dich reine Datenresidenz nicht.
3. Self-Host-Option
Die stärkste Form von Souveränität ist, die Plattform auf deiner eigenen Hardware zu betreiben. Kein Dritter hat Zugriff. Kein Provider kann zur Herausgabe von Daten gezwungen werden, weil kein Provider die Daten hält. Du kontrollierst die Server, das Netzwerk und die Keys.
Wie ZWRM damit umgeht
ZWRM ist ein Unternehmen mit Sitz in der EU (unser Hauptsitz ist in Deutschland). Unsere Managed Cloud läuft auf dedizierten Hetzner-Servern in Deutschland und Island. Deine Daten bleiben in Europa, unter EU-Gerichtsbarkeit, und unterliegen nur EU-Recht und EU-Gerichten.
Aber wir gehen weiter: Die gesamte ZWRM-Plattform ist self-hostable. Du kannst sie auf deinen eigenen Servern betreiben (zum Beispiel in Datacentern von Hetzner, Ionos, OVH oder on-premises) und musst dabei kein einziges Byte durch unsere Systeme schicken. Self-hosted heißt: Du kontrollierst die Infrastruktur, die Daten und die Encryption Keys.
| US-Cloud-Provider | ZWRM Managed | ZWRM Self-Hosted | |
|---|---|---|---|
| Daten in der EU gespeichert | Optional (EU-Region) | Ja (Hetzner, Deutschland) | Ja (deine Server, dein Standort) |
| Provider-Gerichtsbarkeit | USA | EU | Du (kein Provider-Zugriff) |
| CLOUD-Act-Risiko | Ja | Nein | Nein |
| Prüfbarkeit/Auditability | Begrenzt | Vollständig | Vollständig |
| Self-Hosting möglich | Nein | N/A | Ja |
Das hier ist kein Angstmachen und auch kein Aufruf, AWS morgen zu ersetzen. Es geht darum, die Trade-offs zu verstehen, die du eingehst. Und eine Alternative zu haben, wenn diese Trade-offs für dich nicht mehr akzeptabel sind.
Warum das für Builder wichtig ist
Wenn du eine Fintech-App, ein Healthtech-Produkt, eine Legal-Plattform oder irgendeine Anwendung baust, die mit personenbezogenen Daten arbeitet, dann bist du für die Daten deiner Kunden verantwortlich. Nicht dein Cloud-Provider. Du.
Souveräne Infrastruktur zu wählen heißt, dass du drei Fragen ehrlich beantworten kannst:
- Wo liegen die Daten meiner Kunden? Auf Servern in Europa.
- Wer kann darauf zugreifen? Nur Personen und Systeme, die ich autorisiere – nach EU-Recht.
- Kann eine ausländische Regierung Zugriff erzwingen? Nein.
Wenn du heute nicht alle drei Fragen beantworten kannst, lohnt es sich zu verstehen, warum das so ist. Und was es bräuchte, um das zu ändern.
Du willst deine Anwendungen auf Infrastruktur in Europa laufen lassen, die du kontrollierst? Starte eine kostenlose 14-tägige Testphase auf zwrm.eu.
