Thought Leadership
Amazons EU-Cloud hat erste Compliance-Zertifizierungen erhalten. Kritiker bezweifeln jedoch, dass digitale Souveränität mit einem US-Anbieter überhaupt möglich ist.
Die AWS European Sovereign Cloud hat einen ersten Compliance-Meilenstein erreicht: Wie Amazon mitteilt, liegen nun SOC-2- und C5-Typ-1-Berichte sowie sieben ISO-Zertifizierungen vor, die 69 AWS-Dienste abdecken. Die im Januar 2026 gestartete Cloud-Region sei physisch und logisch von allen anderen AWS-Regionen getrennt und werde ausschließlich von Personal mit EU-Wohnsitz betrieben.
C5 und SOC 2: Die Pflicht ist erledigt
Für den deutschen Markt besonders relevant ist die C5-Typ-1-Attestierung nach dem Kriterienkatalog des BSI. AWS hat nach eigenen Angaben sowohl Basis- als auch Zusatzkriterien erfüllt. Der SOC-2-Bericht wurde zusätzlich auf das hauseigene Sovereign Reference Framework abgebildet, das Kriterien wie Governance-Unabhängigkeit, Datenresidenz und technische Isolation definiert. Dazu kommen sieben ISO-Zertifizierungen von Informationssicherheit (27001) bis Qualitätsmanagement (9001). Unabhängige Prüfer hätten die Kontrollen validiert, die Berichte sind über AWS Artifact abrufbar.
AWS räumt ein, dass „Compliance kein Ziel, sondern eine fortlaufende Reise” sei. Die jetzigen Berichte seien „der Beginn unseres Zertifizierungsportfolios”. Die aufwendigeren Typ-2-Audits, bei denen die operative Wirksamkeit der Kontrollen über einen längeren Zeitraum nachgewiesen wird, stehen noch aus.
Die alte Grundsatzfrage
Ob diese Zertifizierungen Kritiker überzeugen, ist eine andere Frage. Aus Teilen der europäischen IT-Branche, von Datenschützern und aus der Politik wird regelmäßig der Einwand vorgebracht, dass echte digitale Souveränität mit einem US-Anbieter strukturell unmöglich sei. Der CLOUD Act verpflichte amerikanische Unternehmen potenziell zur Herausgabe von Daten, auch wenn diese auf Servern in der EU liegen. Daran änderten weder EU-Personalanforderungen noch logische Trennungen etwas, so die Kritik.
AWS hält dem entgegen, dass die European Sovereign Cloud durch eigenständige EU-Unternehmensstrukturen, strikte Datenresidenz und technische Isolation ein Schutzniveau biete, das über reine Standortfragen hinausgehe.
Ein Dilemma für europäische Kunden
In der Praxis stehen europäische Behörden und Unternehmen vor einem bekannten Zielkonflikt. Rein europäische Alternativen wie OVHcloud, IONOS oder die T Public Cloud bieten mehr rechtliche Unabhängigkeit, können beim Funktionsumfang und Ökosystem aber oft nicht mit AWS mithalten. Wer heute komplexe Workloads souverän betreiben will, muss Kompromisse eingehen, auf der einen oder der anderen Seite.
AWS betont, die aktuellen Zertifizierungen seien erst der Anfang eines wachsenden Compliance-Portfolios. Ob das ausreicht, um die Bedenken gegenüber US-Anbietern in der europäischen Souveränitätsdebatte zu entkräften, bleibt wahrscheinlich umstritten.
