Tech-Konzerne auf dem Prüfstand : Digitale Souveränität oder Souveränitäts-Washing?

Solange europäische Unternehmen Cloud-Dienste von Anbietern nutzen, die der US-Jurisdiktion unterliegen, ist der Drittstaaten-Zugriff nie ausgeschlossen. Der Mechanismus dieser Asymmetrie zeigt sich am Beispiel Microsoft. Mit regionaler Datenhaltung, rollenbasiertem Zugriff und verschlüsselter Kommunikation will der Tech-Riese die digitale Souveränität seiner EU-Kunden absichern. Die Strategie fußt auf den Sovereign Public und Private Clouds, ergänzt durch nationale Partnerschaften wie Bleu (Frankreich) und Delos Cloud (Deutschland).

Zwischen technischen Ambitionen …

Die „EU Data Boundary“ verspricht, dass sowohl produktive Daten als auch Telemetrie, Logs und Supportinformationen innerhalb der EU oder EFTA verarbeitet werden. Das Zusatzangebot „Data Guardian“ beschränkt den Remote-Support auf europäisches Personal und verlangt manuelle Freigabe durch EU-basierte Operatoren. Mit dem „External Key Management“ können Kunden ihre Verschlüsselungsschlüssel in Hardware Security Modules (HSMs) außerhalb von Microsofts direkter Kontrolle verwalten. Im Zuge dieses EU-Vorstoßes sollen Microsofts Rechenzentrumskapazitäten in Europa bis 2027 um bis zu 40 Prozent wachsen.

Gleichzeitig warnt die Gesellschaft für Informatik (GI) vor „Souveränitäts-Washing“: Rebranding-Maßnahmen und partielle Lokalisierung von Diensten, die eine Autonomie vortäuschen, die einem juristischen „Reality Check“ nicht standhält.

… und ernüchternder Rechtslage

Im Ernstfall gilt: Jurisdiktion schlägt Infrastruktur. Grund ist die extraterritoriale Wirkung der US-Gesetzgebung für alle Unternehmen mit Sitz in den USA. Diese „Corporate Jurisdiction“ umfasst auch Tochtergesellschaften und Niederlassungen im Ausland. Damit sind Anbieter wie Microsoft rechtlich zur Kooperation mit US-Behörden verpflichtet – unabhängig vom Standort der Server oder der Nationalität der betroffenen Personen.

Drei US-Regularien machen im Ernstfall auch EU-Server gläsern:

•Die FISA Section 702 erlaubt US-Geheimdiensten wie NSA und FBI den Zugriff auf Kommunikationsinhalte und Metadaten, sofern diese über US-Dienste laufen oder auf deren Infrastruktur gespeichert sind. Microsoft darf betroffene Kunden über die Kooperation nicht informieren.

•Der CLOUD Act (2018) verpflichtet US-Unternehmen, auf richterliche Anordnung auch Daten herauszugeben, die sich physisch außerhalb der USA befinden. Die Betroffenen erfahren nicht vom Zugriff. Ein Widerspruch zum Artikel 48 der DSGVO, der Auskünfte an Drittstaaten nur bei bilateralen Abkommen zulässt.

•Der Executive Order 12333 erlaubt US-Geheimdiensten die massenhafte und anlasslose Sammlung ausländischer Kommunikationsdaten, auch wenn diese lediglich „transitieren“ – also über Backbone-Infrastruktur oder Content Delivery Networks (CDNs) der USA geleitet werden. Für den Zugriff ist keine richterliche Kontrolle erforderlich.

Selbst souverän konzipierte Cloud-Angebote verlieren unter diesen Bedingungen ihre verfassungsrechtliche Schutzwirkung. Unternehmen in Europa sind im Fall eines staatlichen Zugriffs rechtlich machtlos – und operativ abhängig.

Das zeigt sich auch am Beispiel Bleu: Obwohl Microsoft hier weder Gesellschafter noch Betreiber ist, bleibt der Konzern der exklusive Technologie-Provider. Sicherheitsupdates, Plattformpflege und zentrale Architekturentscheidungen bleiben bei Microsoft – und damit in US-amerikanischer Jurisdiktion. Demselben Prinzip folgt die Delos Cloud in Deutschland.

Souveränitätsversprechen im neuen Licht betrachtet

Die Speicherung von Daten „at rest“ in Europa genügt nicht, wenn dieselben Daten bei Wartung, Support oder Fehlerdiagnose „in motion“ verarbeitet werden – etwa durch Remote-Zugriffe außerhalb der EU oder über API-Endpunkte mit globalem Orchestrierungs-Backend.

Auch Verschlüsselung ersetzt keine Kontrolle. Zwar ermöglicht „External Key Management“ die externe Schlüsselverwaltung durch den Kunden, doch bleibt offen, ob – und unter welchen Bedingungen – Microsoft Zugriff auf entschlüsselte Daten erhält. Solange die Kryptoarchitektur proprietär ist und keine unabhängige Prüfung der Schlüsselverwendung zulässt, bleibt die Datenhoheit asymmetrisch.

Ähnlich unzureichend sind nationale Partnerschaften. Die Beteiligung europäischer Anbieter wie SAP, Orange oder Capgemini mag die Betriebsnähe erhöhen, doch der technologische Kern – Quellcode, Update-Pipeline, Lifecycle-Steuerung – liegt weiterhin im US-kontrollierten Stack.

Echte digitale Souveränität in der Globalisierung

Eine souveräne Cloud-Infrastruktur setzt drei Faktoren voraus: vollständige technologische Auditierbarkeit, rechtliche Exklusivität im Geltungsbereich der EU und operative Steuerbarkeit ohne Rückkanäle in Drittstaaten.

Auf europäischer Ebene lässt sich digitale Souveränität nur dann realistisch erreichen, wenn Datenverarbeitung, Infrastrukturmanagement und sicherheitskritische Basistechnologien dauerhaft unter europäischer Zuständigkeit stehen. Bedingung dafür ist ein regulatorisch verankertes Beschaffungsmodell, das Souveränitätsanforderungen als Mindeststandard definiert. Denkbare Hebel sind Open Source, EU-only-Jurisdiktion, verifizierbare Deployments und geopolitisch resiliente Betreiberstrukturen.

Das Ziel ist dabei kein Protektionismus. Souveränität ist nicht die Abwesenheit ausländischer Technologie – sondern die Fähigkeit, autonom, nachvollziehbar und rechtssicher über ihren Einsatz entscheiden zu können.

Benjamin Schilz ist seit 2024 CEO beim Messenger-Anbieter Wire, der seinen Firmensitz in der Schweiz hat. Vor seiner Rolle bei Wire war er als Vice President für Infrastruktur und Betrieb beim Technologieunternehmen F5 tätig.