Die EU-Kommission arbeitet am Digital Networks Act. Mitgliedsstaaten haben 288 Milliarden Euro für digitale Infrastruktur eingeplant. Merz und Macron fordern europäische Rechenzentren. Das Digitalministerium testet openDesk als Microsoft-Alternative.
Die Richtung ist klar: Europa will unabhängiger werden von US-Tech. Die Frage ist: Was bedeutet das konkret?
Die Ausgangslage
Europäische Unternehmen haben 2024 etwa 25 Milliarden Dollar für Cloud-Dienste bei den fünf größten US-Anbietern ausgegeben. Das entspricht 83% des europäischen Marktes.
Microsoft, Amazon und Google kontrollieren die Infrastruktur, auf der ein Großteil der europäischen Wirtschaft läuft. E-Mail, Dokumentenverwaltung, CRM, ERP, Backup, Hosting – oft alles beim selben Anbieter.
Die politische Debatte dreht sich um die Frage: Was passiert, wenn die US-Regierung den Zugang sperrt? Oder Daten anfordert?
Was die EU plant
Der Digital Networks Act soll 2027 in Kraft treten und den European Electronic Communications Code ersetzen. Ziel: ein einheitlicher Rahmen für Investitionen in digitale Infrastruktur, Cybersicherheit und Netzausbau.
Die Zahlen aus den Roadmaps der Mitgliedsstaaten:
- 288,6 Milliarden Euro geplante Investitionen in digitale Maßnahmen
- 71% davon aus öffentlichen Mitteln
- 8,5 Milliarden Euro EU-Fördermittel (Digital Europe Programme + Connecting Europe Facility)
Zum Vergleich: In den USA investiert die Privatwirtschaft jährlich über 200 Milliarden Dollar in digitale Infrastruktur.
Das Problem mit "Sovereign Cloud"
Microsoft, AWS und Google haben reagiert. Sie bieten jetzt "Sovereign Cloud"-Produkte in Europa an: Delos Cloud, Azure unter T-Systems-Kontrolle, Google Distributed Cloud. Daten bleiben in der EU, europäische Mitarbeiter, lokale Verschlüsselung.
Im Juni 2025 saß Anton Carniaux, Legal Counsel bei Microsoft France, vor dem französischen Senat. Die Frage war direkt: Können Sie garantieren, dass Daten französischer Bürger niemals ohne Genehmigung französischer Behörden an US-Behörden weitergegeben werden?
Seine Antwort unter Eid: "Non, je ne peux pas le garantir."
Microsoft hatte zuvor vertraglich garantiert, dass Daten europäischer Kunden die EU nicht verlassen. Aber: Wenn eine US-Anfrage rechtlich gültig ist, müssen sie trotzdem Folge leisten.
Drei US-Gesetze, die europäische Daten betreffen
CLOUD Act (2018)
Der Clarifying Lawful Overseas Use of Data Act verpflichtet US-Unternehmen, Daten auf Anfrage herauszugeben – egal wo die Server stehen.
Im Gesetzestext:
"A [service provider] shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication [...] regardless of whether such communication, record, or other information is located within or outside of the United States."
Das Gesetz entstand aus dem Microsoft-Irland-Fall: Microsoft weigerte sich, in Dublin gespeicherte E-Mails an das FBI herauszugeben. Der Fall ging bis zum Supreme Court. Dann verabschiedete der Kongress den CLOUD Act.
FISA Section 702
Erlaubt US-Geheimdiensten, Kommunikationsdaten von Nicht-US-Bürgern ohne richterliche Anordnung zu sammeln. 2024 wurde der Geltungsbereich erweitert:
"The reauthorization expanded the scope of FISA 702 so that — with limited exceptions — any company under U.S. jurisdiction that offers a service of any kind and has access to equipment on which communications are stored or transit can be compelled to comply with FISA 702 directives."
Der EuGH hat den EU-US Privacy Shield 2020 wegen FISA 702 für ungültig erklärt (Schrems II).
Executive Order 12333
Ermöglicht Massenüberwachung ohne territoriale Einschränkung und ohne Richtervorbehalt – inklusive Datenverkehr auf transatlantischen Unterseekabeln.
Übersicht: US-Gesetze und ihre Reichweite
| Gesetz | Reichweite | Richtervorbehalt |
|---|---|---|
| CLOUD Act | Alle US-Unternehmen, weltweit | Ja (US-Gericht) |
| FISA 702 | US-Unternehmen mit Kommunikationsinfrastruktur | Nein |
| EO 12333 | Keine territoriale Grenze | Nein |
Was "Souveränität" technisch bedeutet
Serverstandort allein reicht nicht. Entscheidend sind:
- Vertragspartner: Deutsches Unternehmen oder US-Tochter? Eine GmbH mit US-Muttergesellschaft unterliegt dem CLOUD Act.
- Rechtliche Jurisdiktion: Welches Recht gilt im Streitfall?
- Eigentümerstruktur: Wer kontrolliert das Unternehmen? Investoren, Management, Muttergesellschaft?
- Technische Kontrolle: Wo laufen Management-Systeme? Wer hat Zugriff auf Verschlüsselungsschlüssel?
Wann ist das relevant?
AWS berichtet, dass bisher keine Unternehmensdaten aufgrund von CLOUD-Act-Anfragen herausgegeben wurden. Das Risiko ist für die meisten Unternehmen theoretisch.
Aber "theoretisch" reicht nicht für jeden:
- Regulierte Branchen: Banken, Versicherungen, Gesundheitswesen müssen Kontrolle über ihre Daten nachweisen.
- Behörden: Polizei, Kommunen, Landesbehörden haben oft Vorgaben zur Datenhoheit.
- Unternehmen mit US-Konkurrenten: Andere Risikolage als ein lokaler Handwerksbetrieb.
- Rechtsanwälte und Steuerberater: Mandantengeheimnis verträgt sich schlecht mit Herausgabepflichten.
Was wir nicht versprechen
Vollständige technologische Unabhängigkeit gibt es nicht. Unsere Server laufen auf Intel- oder AMD-Prozessoren. Firmware von Dell oder Supermicro. GPUs von Nvidia.
Was wir bieten: Eine deutsche GmbH als Vertragspartner. Deutsches Recht. Kein US-Mutterkonzern. Eigene Infrastruktur in deutschen und europäischen Rechenzentren (AS215197).
Für Unternehmen, die tatsächlich Wert auf Datenhoheit legen, ist das ein Unterschied.
Quellen
- heise.de: Not sovereign – Microsoft cannot guarantee the security of EU data
- heise.de: So souverän sind US-Clouds für Europa wirklich
- heise.de: EU Parliament calls for detachment from US tech giants
- ZeroHedge: EU's Digital Networks Act – 288,6 Mrd. Euro Investitionspläne
- Stanford Law Review: Microsoft Ireland, the CLOUD Act
- Center for Democracy and Technology: FISA 702 Expansion
- Brennan Center for Justice: Overseas Surveillance
- noyb: Schrems II FAQs