Die aktuelle geopolitische Lage ist turbulent. Das sorgt dafür, dass die Wahl eines Cloud-Anbieters nicht mehr nur eine technische Entscheidung ist. Das Thema Datensouveränität beeinflusst inzwischen die Wahl des passenden Anbieters ebenso wie verschiedene regulatorische Compliance-Anforderungen.
Welche europäischen Alternativen gibt es, mit denen die Anforderungen an den Datenschutz (DSGVO) sowie die IT-Resilienz (DORA) erfüllt werden können?
Einführung
Die drei größten Cloud-Anbieter – auch Hyperscaler genannt – Amazon, Microsoft und Google sind US- amerikanische Unternehmen. Sie punkten unter anderem mit einer umfangreichen globalen Infrastruktur, hoher Skalierbarkeit und attraktiven Preisen. Doch sie arbeiten unter US-Gesetzen, die staatlichen Stellen Zugriff auf Daten ermöglichen können – unabhängig davon, wo sie gespeichert werden.
So regelt zum Beispiel der Title 18 U.S. Code §2713 des sogenannten CLOUD Acts den direkten Durchgriff auf alle ausländischen Töchterunternehmen. (Link Kubernetes-Artikel) Dieser Paragraf hat schon im Jahr 2020 durch das Schrems-II-Urteil1 dafür gesorgt, dass das damalige Datenschutzabkommen zwischen der EU und USA unwirksam wurde.
Daher werden – gerade mit Blick auf die Themen Datensouveränität und Datenschutz – die Unterschiede zwischen europäischen und US-amerikanischen Cloud-Anbietern für Unternehmen immer wichtiger.
Im Folgenden beleuchten wir verschiedene Möglichkeiten, wie sich Unternehmen rechtlich absichern und Risiken durch die Nutzung von Cloud-Diensten minimieren können.
Risiko Datenschutz
Der Transfer von personenbezogenen Daten von und in die USA sowie die Verarbeitung durch Töchterunternehmen ist trotz CLOUD Act durch den Data Privacy Framework (DPF) in der EU möglich. Der DPF ist allerdings nur solange wirksam, wie seine Maßnahmen auch beachtet werden.
Die Bereitschaft, eine EU-Auftragsdatenverarbeitungsvereinbarung (AVV) vertraglich festzuhalten, ist nicht im Standardangebot aller Hyperscaler enthalten. Als Unternehmenskunde sind daher entsprechende Verhandlungen zu führen, um eine individuelle Regelung zu vereinbaren, die auch den Vorgaben der BaFin entspricht.
Auch das Agieren von Einrichtungen, wie das Anfang 2025 gegründete „Department of Government Efficiency (DOGE)“, haben die Unsicherheit in Bezug auf die Themen Datensouveränität und Datenschutz verstärkt.2, 3
Diese fehlende Transparenz und die – aus Sicht der EU – nicht nachvollziehbaren Datenschutzproblematiken haben in Deutschland Diskussionen zur Gültigkeit des Data Privacy Frameworks ausgelöst.
Dies kann ähnliche Auswirkungen wie das Schrems-II-Urteil haben.
Lösungen für Datenschutzrisiken
Die regionale Beschränkung der Datenspeicherung sowie die Datenverschlüsselung sind bekannte Maßnahmen, die immer am jeweiligen Anwendungsfall ausgerichtet zu implementieren sind und daher entsprechende Zusatzkosten verursachen.
Aus heutiger Sicht bieten entweder vollständig EU-souveräne Cloud-Angebote der Hyperscaler oder andere EU-souveräne Cloud-Anbieter jeweils eine interessante Alternative.
Je nach Ausgestaltung und Anbieter ergeben sich folgende Vorteile:
- Es besteht kein Risiko, dass US-Regierungsbehörden auf Daten zugreifen können – weder direkt, wenn Daten in den USA gespeichert sind, noch indirekt über den CLOUD-Act. Datenauskunftsersuchen ausländischer Behörden müssen über die Bundesregierung laufen.
- EU-Datenschutzverträge in Form von AVVs sind im Standardangebot enthalten. Die Websites verlinken teilweise schon auf entsprechende Datenschutzverträge, die die Kunden individuell abschließen können.
- Die aktuell angebotenen EU-Cloud-Dienste sind in- zwischen vergleichbar mit den allgemeinen US-Anbietern. Neben Basisdiensten wie Netzwerke (networking), virtuelle Maschinen (compute) und Speicher (storage) gibt es auch Managed Services – angefangen von Datenbanken über Container Runtimes bis hin zu KI-Diensten.
Cloud-Anbieter, die nicht nur ihre Server in Deutschland beziehungsweise Europa betreiben, sondern auch ihren Sitz innerhalb der EU haben, sind daher eine valide Alternative, zumal sie mit den deutschen Anforderungen an Compliance, Datenschutz und digitale Souveränität besser übereinstimmen.
Eine weitere Lösungsmöglichkeit ist der Aufbau einer Private Cloud. Diese kann im eigenen Rechenzentrum aufgebaut oder mit ausgewählten Hostingpartnern in der EU umgesetzt werden.
Risiko Betriebskosten
Die Lieferkette von IT-Ausstattung, speziell für Cloud- Rechenzentren, ist inzwischen ähnlich global ausgerichtet wie die der Automotive-Branche. Das Einführen diverser Handelszölle durch die US-Regierung wirkt sich daher auf die gesamte IT-Lieferkette aus. So lassen beispielsweise die gestiegenen Zollkosten bei der Einfuhr asiatischer Hardware in die USA auch die Cloud-Preise steigen.
Das zeigt, dass die Nutzung von reinen US-Cloud-Diensten ohne lokale Rechenzentren in anderen Regionen auch ein Kostenrisiko darstellen kann.
Bleibt die Frage, wie Finanzinstitute diese Abhängigkeit reduzieren können und ob es Alternativen gibt.
Lösung zu Kostenrisiken
Auch bei den Kosten stellen EU-souveräne Cloud-Anbieter inzwischen eine valide Alternative dar. Sie sind nicht nur aufgrund ihrer angebotenen Dienste mit globalen Hyperscalern vergleichbar, sie bieten inzwischen auch vergleichbare Preise.4,5
Strategie und ein Ausblick für die nächsten drei Jahre
Wie kann eine Bank möglichst einfach von den oben beschriebenen Möglichkeiten und Vorteilen profitieren?
Zunächst muss sie die Möglichkeit schaffen, EU-souveräne Cloud-Anbieter in ihrem Institut nutzen zu können. Dies wäre nach unserer Einschätzung mit einem ausgewählten, nicht kritischen IT-Dienst vertraglich wie auch technisch innerhalb von zwei bis drei Monaten zu realisieren.
Als Ausblick und Vision für eine Dreijahresstrategie wäre es interessant, daraus dann eine echte Multi-Cloud-Architektur aufzubauen. Das heißt, neue Cloud-Applikationen werden von Anfang an so gebaut, dass sie bei zwei verschiedenen Cloud-Anbietern lauffähig sind und bei Bedarf in wenigen Minuten zum jeweils anderen Anbieter „hinüberschwenken“ können.
Damit wäre auch schon eine Exit-Strategie in der Praxis verwirklicht und erprobt – anstatt weiterhin als Plan in der Schublade zu liegen.
Mit einer solchen Cloud-Architektur gehört eine Providerabhängigkeit der Vergangenheit an.