// HEISE ONLINE — LINUX & OPEN SOURCE
Die souveräne Cloud, die keine ist: ein Etikett für die falsche Ebene
AWS und Microsoft verkaufen ihre EU-Angebote 2026 als souverän. Doch das Etikett trifft die falsche Ebene und lässt die rechtliche Abhängigkeit bestehen.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Digitale Souveränität ist 2026 vom politischen Schlagwort zum Verkaufsargument geworden. Mitte Januar hat Amazon Web Services die AWS European Sovereign Cloud in Brandenburg in Betrieb genommen, eine eigene, vollständig in der EU betriebene Partition mit getrennter Abrechnung in Euro, eigenem Personal und einer separaten Rechtsperson nach deutschem Recht. Wenige Wochen später zog Microsoft mit „Microsoft 365 Local“ nach und erlaubte seitdem, Dienste wie Exchange und SharePoint auf kundeneigener Hardware zu betreiben, abgekoppelt von der öffentlichen Cloud. Beide Angebote tragen dasselbe Etikett, und es ist ein gewichtiges: souverän.
Golo Roden ist Gründer und CTO von the native web GmbH. Er beschäftigt sich mit der Konzeption und Entwicklung von Web- und Cloud-Anwendungen sowie -APIs, mit einem Schwerpunkt auf Event-getriebenen und Service-basierten verteilten Architekturen. Sein Leitsatz lautet, dass Softwareentwicklung kein Selbstzweck ist, sondern immer einer zugrundeliegenden Fachlichkeit folgen muss.
Ich halte dieses Etikett für irreführend. Nicht, weil die technischen und organisatorischen Maßnahmen wertlos wären, im Gegenteil, sie sind beachtlich. Sondern weil sie ausgerechnet die eine Ebene unberührt lassen, auf die es bei Souveränität ankommt. Wer verstehen will, warum eine in Brandenburg betriebene Cloud rechtlich weiterhin in den Vereinigten Staaten hängt, muss zunächst sauber auseinanderhalten, was „souverän“ überhaupt bedeuten kann. Genau diese Unterscheidung trifft in der Debatte kaum jemand, und ohne sie reden die Beteiligten aneinander vorbei.
Souveränität in der Cloud zerfällt in drei Ebenen, die regelmäßig durcheinander geraten. Die erste ist die Datenresidenz, also die Frage, wo Daten physisch liegen. Die zweite ist die operative Autonomie, also die Frage, wer ein System betreibt, wartet und im Zweifel darauf zugreifen kann. Die dritte ist die rechtliche Souveränität, also die Frage, wessen Recht im Konfliktfall greift und wer einem Anbieter Anordnungen erteilen darf, denen dieser folgen muss.
Diese drei Ebenen sind nicht gleichwertig, und das ist der entscheidende Punkt. Datenresidenz und operative Autonomie lassen sich vertraglich und technisch herstellen, und genau das tun die neuen Angebote mit großem Aufwand. Die rechtliche Ebene aber entzieht sich solchen Maßnahmen, denn sie hängt nicht am Standort der Server, sondern an der Jurisdiktion, der das Mutterunternehmen untersteht.
Ein einfaches Gedankenexperiment macht den Unterschied greifbar. Stellen Sie sich vor, sämtliche Daten lägen in einem Rechenzentrum in Brandenburg, betrieben von Personen mit Wohnsitz in der EU, verschlüsselt und vertraglich abgesichert. Solange der Konzern, dem dieser Betrieb gehört, einer fremden Rechtsordnung untersteht, kann diese Rechtsordnung ihn zu einer Handlung zwingen, und kein Server-Standort ändert daran etwas. Datenresidenz ist eine Frage der Geografie, Souveränität eine Frage der Macht.
Dieser Bedeutungskern ist nicht zufällig. Souveränität bedeutet seit jeher die höchste Entscheidungsgewalt, also die Frage, wer am Ende das letzte Wort hat. Übertragen auf die Cloud heißt das: Souverän ist nicht, wessen Daten in der EU liegen, sondern wer im Streitfall bestimmen kann, was mit ihnen geschieht. Alles andere ist Komfort, nicht Kontrolle.
Die AWS European Sovereign Cloud ist technisch beeindruckend, das will ich nicht kleinreden. Sie läuft als eigene Partition mit einer eigenen Region, vollständig getrennt von den übrigen AWS-Regionen, mit eigenem Identitäts- und Abrechnungssystem in Euro und einem ausschließlich von Personen mit Wohnsitz in der EU besetzten Betrieb. Für Zertifizierung und digitale Signaturen hat Amaz