Kritik

Amazon: Neue „European Sovereign Cloud“ kann US-Datenzugriff nicht ausschließen

, Avatar
Amazon Web Services. © AWS
Amazon Web Services. © AWS
Startup Interviewer: Gib uns dein erstes AI Interview Startup Interviewer: Gib uns dein erstes AI Interview

Amazon Web Services (AWS) hat mit der AWS European Sovereign Cloud eine neue Cloud-Plattform vorgestellt, die speziell auf europäische Anforderungen an Datenschutz, Datenhoheit und regulatorische Compliance zugeschnitten sein soll (mehr dazu hier). AWS spricht von einer physisch und logisch getrennten Cloud-Infrastruktur. Diese werde vollständig innerhalb der Europäischen Union betrieben und soll sich insbesondere für Behörden, kritische Infrastrukturen und stark regulierte Branchen eignen.

Mit souveränen Cloud trifft Amazon einen Nerv: Anhaltenden Debatten um den US-amerikanischen CLOUD Act steht die Nutzung US-amerikanischer Cloud-Anbieter in Europa unter besonderer rechtlicher Beobachtung. Genau hier positioniert AWS sein neues Angebot.

„Die Trennung ist unzureichend“

Bei Kritiker:innen gibt es Zweifel, ob die angekündigte Souveränität derzeit erreicht wird. Kern der Kritik ist die tatsächliche Kontrolle über zentrale Infrastrukturkomponenten. „Sowohl die Domain-Struktur als auch die dahinterliegende IP-Infrastruktur stehen nach unserem derzeitigen Stand mittelbar bzw. unmittelbar unter Kontrolle von Unternehmen mit Sitz in den USA“, so Florian Schweitzer, Cloud Security Expert bei Certitude Consulting mit Sitz in Wien. Damit wäre die Sovereign Cloud – trotz Betrieb in der EU – strukturell an das US-Recht angebunden. „Die angekündigte Trennung ist nach derzeitigem Stand unzureichend.“

Der US CLOUD Act verpflichtet US-Unternehmen unter bestimmten Voraussetzungen zur Herausgabe von Daten – unabhängig davon, wo diese Daten physisch gespeichert sind. Das kollidiert mit den hohen Anforderungen der DSGVO an staatliche Datenzugriffe, insbesondere mit dem Grundsatz, dass Zugriffe vorhersehbar, verhältnismäßig und rechtlich überprüfbar sein müssen.

Solange zentrale technische Kontrollpunkte nicht eindeutig außerhalb des Zugriffsbereichs von US-Unternehmen liegen, bleibt die AWS European Sovereign Cloud laut Schweitzer „grundsätzlich CLOUD-Act-exponiert„.

Kritik kommt auch von Alexander Windbichler, Gründer und CEO des österreichischen Cloud-Anbieters Anexia. „Was hier präsentiert wird, ist eine klassische Nebelkerze – keine echte digitale Souveränität. Es ist dieselbe Situation wie zuvor.“

Und weiter: „Der CLOUD Act bleibt weiterhin uneingeschränkt gültig. Das europäische Unternehmen befindet sich laut öffentlichen Aufzeichnungen nach wie vor zu 100 % im Besitz eines in den USA ansässigen Amazon-Unternehmens, und daran führt kein Weg vorbei, solange die letztendliche Kontrolle außerhalb der EU liegt“, schreibt er auf Linkedin. „Wenn Europa es mit der digitalen Souveränität ernst meint, müssen wir klar zwischen Risikominderung und Souveränität unterscheiden. Beides miteinander zu vermischen mag bequem sein – aber es ist nicht korrekt.“

AWS reagiert ausweichend auf Kernkritik

Auf Nachfrage betont AWS, der CLOUD Act werde häufig „missverstanden“. Man argumentiert, es gebe keinen automatischen oder unbegrenzten Zugriff durch US-Behörden, sondern nur auf Basis strenger rechtlicher Standards. „Seit wir 2020 mit der statistischen Erfassung begonnen haben, gab es keine Datenanfragen an AWS, die zur Offenlegung von außerhalb der USA gespeicherten Inhalte von Unternehmens- oder Regierungskunden gegenüber der US-Regierung geführt haben“, heißt es von Amazon. Zudem wird auf einen Blogbeitrag verwiesen, der den CLOUD Act thematisiert.

Umgekehrt formuliert bedeutet das: Zwar soll es laut AWS seit 2020 keine Zugriffsanfragen auf in der EU gespeicherte Daten gegeben haben – was aber nicht bedeutet, dass diese nicht noch kommen können. Dass es keinen „automatischen oder unbegrenzten Zugriff“ gibt, ist klar, aber auf Basis „strenger rechtlicher Standards“ kann es ihn sehr wohl geben.

AWS bewirbt die neue Cloud als Lösung für besonders schützenswerte Daten. Doch genau hier liegt der Konflikt: Wenn eine rechtliche Zugriffspflicht gegenüber US-Behörden zumindest theoretisch fortbesteht, lassen sich Verfügbarkeit, Vertraulichkeit und Integrität sensibler Daten nicht mit der notwendigen rechtlichen Sicherheit garantieren. Für öffentliche Stellen oder Betreiber kritischer Infrastrukturen dürfte das ein Ausschlusskriterium darstellen.

Anspruch und Realität im Zwiespalt

Die AWS European Sovereign Cloud ist ein politisch und wirtschaftlich wichtiges Signal: US-Hyperscaler erkennen den wachsenden europäischen Bedarf an digitaler Souveränität an. Der aktuelle Aufbau erfüllt diesen Anspruch jedoch nur teilweise. Solange zentrale Infrastrukturkomponenten unter US-Kontrolle stehen und damit CLOUD-Act-relevant bleiben, ist die angekündigte Trennung rechtlich und technisch nicht gegeben.

Rank My Startup: Erobere die Liga der Top Founder!
Werbung
Werbung

Aus Datenschutz-Gründen ist dieser Inhalt ausgeblendet. Die Einbettung von externen Inhalten kann in den Datenschutz-Einstellungen aktiviert werden:

Specials unserer Partner

Die besten Artikel in unserem Netzwerk

Deep Dives

RankMyStartup.com

Steig' in die Liga der Top Founder auf!
© Wiener Börse

IPO Spotlight

powered by Wiener Börse
#glaubandich CHALLENGE Hochformat.

#glaubandich CHALLENGE 2026

Österreichs größter Startup-Wettbewerb - Top-Investoren mit an Bord

AI Talk

Der führende KI Podcast mit Clemens Wasner & Jakob Steinschaden

Future{hacks}

Zwischen Hype und Realität

Trending Topics Tech Talk

Der Podcast mit smarten Köpfen für smarte Köpfe

Weiterlesen