Europas Weg zur digitalen Unabhängigkeit – die Bedeutung der neuen AWS European Sovereign Cloud für Europa

 

Angesichts der fortschreitenden Digitalisierung steigt in der Europäischen Union (EU) das Bedürfnis nach einer verlässlichen Möglichkeit der Datensicherung. Unternehmen wie Privatpersonen stehen vor der Herausforderung, immer größere Datenmengen sicher, kontrolliert und gesetzeskonform zu speichern. 

In Betracht kommt die Speicherung von Daten bei US-amerikanischen Cloud-Anbietern, sofern diese über eine DPF-Zertifizierung verfügen (z.B. Microsoft, Google oder Amazon). Die EU-US Data Privacy Framework(DPF)-Zertifizierung verpflichtet US-Unternehmen dazu, bestimmte Datenschutzstandards einzuhalten, die von der EU als angemessen anerkannt werden. Ziel ist es, die Übermittlung personenbezogener Daten aus der EU in die USA rechtlich sicher und unkompliziert zu gestalten. Gleichwohl ist die rechtliche Absicherung nicht uneingeschränkt. Der US CLOUD Act kann diesen Schutz unterlaufen, indem er US-Unternehmen dazu verpflichtet, Daten auf Anfrage an US-Behörden weiterzugeben. Sowohl europäische Unternehmen als auch EU-Bürger:innen müssen daher befürchten, dass ihre Daten US-Behörden zugänglich gemacht werden könnten. 

Neuer Lösungsansatz durch Isolierung

Diese Sorge adressiert die neue sogenannte AWS European Sovereign Cloud, die von Amazon Web Services speziell für die EU entwickelt wurde. Die Cloud soll die strengen Datensouveränitäts-, Datenschutz- und Compliance-Anforderungen europäischer Behörden, Unternehmen und kritischer Sektoren erfüllen und ausschließlich dem Recht der Europäischen Union unterliegen. 

AWS wirbt für die im Januar 2026 vorgestellte „European Sovereign Cloud“ mit dem Motto: „In Europa entwickelt, betrieben, kontrolliert und gesichert“. Die Cloud wird vollständig in der EU betrieben und sowohl physisch als auch rechtlich von globalen Netzwerken getrennt.

AWS investiert rund 7,8 Mrd. € in die European Sovereign Cloud, deren Infrastruktur und Rechenzentren sich ausschließlich in Europa befinden werden. Nach der Errichtung eines ersten Rechenzentrums in Brandenburg (Deutschland) sind weitere Local Zones in Belgien, Niederlande und Portugal geplant, um Datenlokalität und geringe Latenz zu gewährleisten. Zudem soll der Cloud-Betrieb ausschließlich durch EU-Bürger:innen erfolgen und vollständig dem Recht der EU sowie der Aufsicht und Kontrolle der zuständigen EU-Behörden unterliegen. Dies soll eine operative Unabhängigkeit und Eigenständigkeit der Cloud garantieren. AWS verspricht, dass die European Sovereign Cloud, trotz einer Trennung von den globalen AWS-Netzwerken, denselben Funktionsumfang, dieselbe Architektur, dieselben Services, APIs und Innovationen wie andere AWS-Regionen bieten wird. Durch die physische und logische Trennung zur Durchsetzung von Zugriffsbeschränkungen, leistungsstarke Verschlüsselung und ein dediziertes Security Operation Center, ergänzt durch unabhängige Überprüfungen zur Einhaltung internationaler Standards (ISO, SOC, BSI C5 etc.), werde die Sicherheit von Daten und die Einhaltung von Compliance-Anforderungen sichergestellt. 

Verbleibende Unsicherheit

Trotz der operativen, organisatorischen und rechtlichen Unabhängigkeit der AWS European Sovereign Cloud ist kritisch zu berücksichtigen, dass es sich bei der Muttergesellschaft AWS Inc. um ein US-amerikanisches Unternehmen handelt und der US CLOUD Act US-Unternehmen grundsätzlich auch dann zur Herausgabe von Daten verpflichten kann, wenn diese außerhalb der Vereinigten Staaten gespeichert sind. AWS vertritt demgegenüber die Auffassung, dass die European Sovereign Cloud von einer eigenständigen EU-Gesellschaft betrieben wird, die Datenverarbeitung ausschließlich nach europäischem Recht erfolgt und der US-Muttergesellschaft weder ein operativer Zugriff noch eine Weisungsbefugnis zusteht. Viele Datenschützer:innen sind gleichwohl der Auffassung, dass die Anwendbarkeit des US CLOUD Act zwar erheblich eingeschränkt ist, ein vollständiger Ausschluss jedoch nicht mit letzter Sicherheit gewährleistet werden kann.  

Die technische Isolierung der neuen Cloud-Lösung kann als Fortschritt verbucht werden. Ob der Zugriff durch US-amerikanische Behörden durch Anwendung des CLOUD Act wirksam verhindert werden kann, bleibt jedoch fraglich. Für eine effektive digitale Unabhängigkeit führt an der Nutzung europäischer Lösungen oder einer Veränderung der US-amerikanischen Rechtslage kein Weg vorbei.

Unabhängig hiervon kann sich auf den formalen Standpunkt gestellt werden, dass durch eine DPF-Zertifizierung oder auch durch die Verwendung von Standardvertragsklauseln ein formal ordnungsgemäßes DSGVO-Niveau erreicht wird.

Bei Fragen oder Beratungsbedarf rund um Cloud-Lösungen und deren rechtliche Einordnung unterstützen wir Sie gerne. 
 

Ähnliche Beiträge

18. Dezember 2025

Cluster 1: Cloud und Datenverarbeitung - Neue Anforderungen der ISO 27001:2022

Cloud-Dienste verändern die IT-Landschaft – und stellen Unternehmen vor neue Sicherheitsanforderungen. Die ISO 27001:2022 reagiert mit vier zusätzlichen Controls für Cloud-Sicherheit, Datenlöschung, Maskierung und DLP.
ISMS
22. August 2024

C5-Zertifizierung zur Stärkung des Vertrauens in die Informationssicherheit bei Cloud-Diensten

Erreichen Sie höchste Sicherheitsstandards für Ihren Cloud-Dienst mit der vom BSI entwickelten C5 Zertifizierung. Schützen Sie Ihre Daten und stärken Sie das Vertrauen Ihrer Kunden durch umfassende Cloud-Sicherheitsmaßnahmen.
IT-Prüfung und Beratung
IT-Sicherheit
Zertifizierungen
18. Juni 2020

Neue Prüfungsstandards für Anbieter von Cloud-Diensten

Das Bundesamt für Sicherheit in der Informationstechnik hat seinen Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) mit den Mindestanforderungen an ein sicheres Cloud Computing angepasst. Nach der vorherigen Version dient dieser nun als Prüfungsgrundlage für das Risikomanagement eines Cloud-Anbieters sowie als wichtige Orientierungshilfe für die Anbieter selbst.
Zertifizierungen
IT-Sicherheit
Cyber Security
Datenschutz
IT-Prüfung und Beratung
02. Dezember 2025

Digital Omnibus: EU-Kommission plant umfassende Vereinfachung des Digitalrechtsrahmens

Die EU-Kommission hat den Digital Omnibus vorgestellt, ein Reformpaket zur Vereinfachung des EU-Digitalrechts. Nach Jahren steigender Regulierung sollen nun Meldepflichten gebündelt, Definitionen präzisiert und Cookie-Banner abgeschafft werden.
Datenschutz
NIS-2
Künstliche Intelligenz
EU-DSGVO
IT-Recht
Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Datenschutz EU-DSGVO

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden