Thought Leadership
In den USA ansässige Cloudprovider werben im europäischen Markt mit „Sovereign Clouds“ und EU-konformer Datensouveränität. Unter Vorschriften wie dem CLOUD Act und FISA 702 bleiben europäische Daten jedoch niemals vor den USA geschützt.
Wie funktioniert systematisches Cloudwashing, welche Risiken entstehen daraus für deutsche Unternehmen und welche Alternativen bieten echte Datensouveränität?
Alles nur schöngewaschen?
Die großen US-Provider wie Microsoft, AWS und Google präsentieren europäische Rechenzentren, DSGVO-Compliance und Marketing-Siegel als Belege für Datensouveränität. Spätestens vor Ausschüssen und unter Eid wird jedoch klar: Europäische Daten bleiben im Zugriff US-amerikanischer Behörden – unabhängig davon, wo sie gespeichert sind.
Dieser Beitrag zeigt, warum viele dieser Versprechen nicht halten, was sie suggerieren, und wie geschickt Marketing-Rhetorik das Gefühl von Sicherheit erzeugt, wo in Wahrheit rechtliche Abhängigkeiten bestehen.
Zweifel am Schutz
Project Bleu, oder auch nur Bleu, ist der französische Versuch einer souveränen Cloud. Auf ihr sollen unter anderem alle nationalen Gesundheitsdaten Frankreichs gesammelt werden. Bleu ist ein Gemeinschaftsprojekt. Während Capgemini und Orange offiziell als Eigentümer genannt werden, gilt Microsoft lediglich als Technologiepartner, der eine von der globalen Microsoft-Cloud isolierte Azure-Umgebung zur Verfügung stellen soll. Das soll Schutz vor extraterritorialen Gesetzen bieten – Schutz vor dem US CLOUD Act, doch es gibt Zweifel an diesem Schutz.
Anton Carniaux, Chefjustiziar von Microsoft Frankreich, wurde am 10. Juni 2025 vor einen Senatsausschuss zitiert und befragt: „Können Sie vor unserem Ausschuss unter Eid garantieren, dass die Daten französischer Bürger, die Microsoft über die Ugap (französische staatliche zentrale Einkaufsgesellschaft des öffentlichen Sektors) anvertraut wurden, niemals auf Anordnung der US-Regierung ohne die ausdrückliche Zustimmung der französischen Behörden weitergegeben werden?“ Seine Antwort war: „Nein, das kann ich nicht garantieren.“
Das amerikanische Cloud-Triumvirat
Die drei großen US-Cloud-Anbieter AWS, Microsoft Azure und Google Cloud beherrschen den europäischen Markt, wobei ihr kombinierter Marktanteil laut einer aktuellen Studie der Synergy Research Group bei 70 Prozent liegt. Ihr Werben beschränkt sich dabei nicht auf die Vorteile bestimmter Serviceleistungen oder die technische Überlegenheit, vielmehr gleicht die Marketing-Rhetorik oft leeren Versprechen von Souveränität, die systematisch das fundamentale Problem kaschieren: Europäische Daten sind niemals vor dem Zugriff US-amerikanischer Behörden geschützt – unabhängig davon, wo sie physisch gespeichert werden. Und genau für diese Praxis des Verschleierns und Kaschierens gibt es einen passenden Begriff: Cloudwashing.
Die US-Rechtslage: das doppelte Zugriffsproblem
Zwei Vorschriften, denen sich Microsoft genauso wie die anderen US-Anbieter beugen muss, sind der CLOD ACT und FISA Section 702.
Der 2018 verabschiedete Clarifying Lawful Overseas Use of Data Act (CLOUD Act) stellt einen beispiellosen Bruch mit internationalen Rechtsnormen dar. Das Gesetz ermächtigt US-Strafverfolgungsbehörden, von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen – unabhängig davon, wo diese Daten physisch gespeichert sind oder welche lokalen Gesetze deren Schutz vorsehen.
Noch problematischer ist Section 702 des Foreign Intelligence Surveillance Act (FISA 702), der ursprünglich für die Überwachung ausländischer Agenten konzipiert wurde, aber in der Praxis zur massenhaften Sammlung von Kommunikationsdaten aller Nicht-US-Bürger eingesetzt werden kann. Im Gegensatz zum CLOUD Act, der zumindest formell richterliche Anordnungen erfordert, operiert FISA 702 weitgehend im Verborgenen.
DSGVO-Konflikte – rechtliche Grauzone trotz Angemessenheitsbeschluss
Seit Juli 2023 existiert mit dem EU-US Data Privacy Framework (DPF) ein Angemessenheitsbeschluss der Europäischen Kommission für die USA. Dieser ermöglicht es zertifizierten US-Unternehmen, personenbezogene Daten aus der EU zu empfangen, ohne zusätzliche Schutzmaßnahmen implementieren zu müssen. Microsoft, Amazon und Google sind allesamt unter dem DPF zertifiziert.
Das DPF ist jedoch nicht unumstritten: Nachdem sowohl das „Safe Harbor“-Abkommen als auch das „Privacy Shield“ durch Klagen vor dem Europäischen Gerichtshof gescheitert waren, ist dies nun der fragwürdige dritte Versuch der EU-Kommission, zur Wahrung der wirtschaftlichen Interessen einen rechtssicheren Rahmen für Datenübertragungen in die USA zu schaffen. Das strukturelle Problem, welches zum Scheitern der Vorgänger führte, wird dadurch jedoch nicht behoben: US-Unternehmen bleiben unverändert an den CLOUD Act und an FISA 702 gebunden.
Wie die großen Provider argumentieren – Datensouveränität als Illusion
Es scheint eine ausgeklügelte Strategie des Cloudwashing zu geben, denn bereits seit Jahren gibt es einige erkennbare Muster, die bei allen Anbietern immer auftauchen: die erfolgreiche Anfechtungen von Behördenanfragen, die „You control your data”-Illusion, der Server-Standort-Mythos und intransparente Transparenzberichte.
Datensouveränität bedeutet die vollständige Kontrolle über eigene Daten – wo sie gespeichert werden, wer Zugriff hat und unter welchen rechtlichen Bedingungen sie verarbeitet werden. Durch die Nutzung von AWS, Azure oder Google Cloud verlieren deutsche Unternehmen jedoch nicht nur die Kontrolle über ihre Daten, sondern auch die Fähigkeit, diese zurückzugewinnen. Einmal in US-Cloud-Systemen gespeichert, unterliegen Daten permanenter US-Jurisdiktion.
Die Probleme, die damit einhergehen, sind vielfältig:
- Kein Schutz vor Industriespionage: Produktentwicklungsdaten, Fertigungsverfahren und Kundenlisten in US-Clouds zu speichern, bedeutet, diese Informationen potenziell US-Konkurrenten zugänglich zu machen. Dies gilt insbesondere dann, wenn die Konkurrenz regierungsnah agiert und womöglich direkt mit den Geheimdiensten zusammenarbeitet.
- Keine DSGVO-Compliance: Die DSGVO verlangt von Unternehmen, betroffene Personen über Datenverarbeitungenzu informieren, deren Zweck und Rechtsgrundlage offenzulegen und den Betroffenenumfassende Rechte über ihre Daten zu gewähren. US-Überwachungsgesetze verbietendiese Transparenz explizit.
- Abhängigkeit: Vertrauliche E-Mails laufen über Outlook und plötzlich verliert der Benutzer seinen Zugriff darauf. So erging es Karim Khan, dem Chefankläger des ISG, nachdem er Haftbefehle gegen israelische Regierungsvertreter erwirkt und auf der US-Sanktionsliste gelandet war. Microsoft bestreitet einen Zusammenhang. Wer jedoch den USA ein Dorn im Auge ist, verliert. Dies stellt eine Gefahr auch für europäische Unternehmen dar.
Systematische Irreführung als Geschäftsmodell
Die Aussage von Anton Carniaux vor dem französischen Senat am 10. Juni 2025 war mehr als ein Eingeständnis – sie war die längst überfällige Offenlegung einer systematischen Täuschung, die das Fundament der europäischen Digitalwirtschaft untergräbt. „Non, je ne peux pas le garantir“ – diese sechs Worte auf Französisch entlarven Jahre des Cloudwashings als das, was es war: organisierte Irreführung im großen Maßstab.
AWS, Microsoft und Google haben nicht aus Versehen verschwiegen, dass europäische Daten niemals vor US-Behördenzugriff geschützt sind. Sie haben bewusst und systematisch eine Marketingstrategie entwickelt, die Rechenzentrumsstandorte, technische Verschlüsselung und „Souveränität“-Labels als Sicherheitsfeatures bewirbt, obwohl sie wissen, dass diese Maßnahmen gegen den CLOUD Act und FISA 702 völlig wirkungslos sind.
Für deutsche Unternehmen ist die Konsequenz eindeutig: Echte DSGVO-Compliance und Datensouveränität sind nur mit europäischen Anbietern und Lösungen möglich, die ausschließlich europäischer Rechtsprechung unterliegen. Die deutsche Datensouveränität ist dabei nicht nur eine technische oder rechtliche Frage, sie ist auch eine Frage der strategischen Unabhängigkeit in einer zunehmend polarisierten Welt. Wer diese Souveränität an US-Konzerne abgibt, macht sich erpressbar und verliert die Kontrolle über das wertvollste Gut der Digitalwirtschaft: Daten.
