Neues Phänomen Bluewashing: Ist die AWS European Sovereign Cloud nur ein Marketing-Stunt?

Spätestens nachdem Microsoft aufgrund von Trump-Sanktionen das Email-Konto des Chefanklägers des Internationalen Gerichtshofs blockiert hat, fragen sich auch viele CISOs und Informationssicherheitsbeauftragte in deutschen Unternehmen: Welche Unternehmensdaten können den amerikanischen Cloud-Konzernen noch anvertraut werden?

Die Problematik liegt darin, dass die großen US-Techkonzerne íhre Verwaltungszentralen in den USA haben und damit dem amerikanischen Recht unterliegen. 

Dies kann weitreichende Folgen haben: Erlässt die US-Regierung oder sonstige staatliche Stellen Rechtsakte, die sich gegen einzelne Organisationen, Branchen oder ganze Länder richten, sind die US-Konzerne verpflichtet, diese US-Rechtsakte zu befolgen und auf ihre Tochterfirmen im Ausland entsprechend einzuwirken. 

Die Sanktionen gegen den Internationalen Gerichtshof, welche Microsoft ausgeführt hat, waren hier nur ein Beispiel. Ein anderes Beispiel ist der seit vielen Jahren kritisierte US-CLOUD Act, aufgrund US-Behörden heimlich auf Cloud-Daten zugreifen dürfen unabhängig davon, wo sie gespeichert sind.

Die problematische Abhängigkeit von US-Cloud-Anbietern

Die Tragweite dieses Datensicherheitsproblems ist beträchtlich: Nahezu jedes deutsche Dax-Unternehmen nutzt die Office Cloud-Dienste von Microsoft (Microsoft 365) oder ein Alternativprodukt amerikanischer Anbieter (Google Workspace).¹ In der sonstigen deutschen Unternehmenslandschaft sieht es nicht besser aus. Microsoft beziffert seinen eigenen Marktanteil auf 85%.²

Beim Cloud-Computing sieht es ähnlich aus: Die deutschen Unternehmen lassen ihre Softwaredienste in aller Regel auf den Cloud Computing Diensten der US-Konzerne laufen (Microsoft Azure, Amazon AWS, Google Cloud). So vertraut der Volkswagen-Konzern der AWS-Cloud die Vernetzung seiner gesamten Produktions- und Logistikprozesse an (“Volkswagen Industrial Cloud”).³ Ein weiteres Beispiel ist das Softwareunternehmen adesso aus Dortmund, das für die 20 größten Versicherer in Deutschland die Versicherungsverträge digital managt und für die Speicherung von Millionen von Versichertendaten die Cloud-Computing Plattform AWS von Amazon einsetzt.

Europäische Alternativen auf dem Vormarsch

Vor diesem Hintergrund ist es nicht verwunderlich, dass immer mehr Alternativangebote aus dem Boden sprießen. Mit Cloud-Computing-Anbietern wie der Open Telekom Cloud, Stackit, Ionos oder Nextcloud gibt es auch in Deutschland wettbewerbsfähige Alternativanbieter.

Jüngst hat Ionos in Zusammenarbeit mit Nextcloud auch eine in der Cloud laufende Workspace-Alternative angekündigt, die Microsoft 365 und Google Workspace Konkurrenz machen soll.⁴ Zu den bereits am Markt vorhandenen Alternativen mit vergleichbarem Funktionsumfang zählen z.B. Collabora Online aus Großbritannien (auch in Zusammenarbeit mit Nextcloud).

Für den besonders sensiblen Bereich von Gremienbeschlüssen von Führungsgremien deutscher Unternehmen steht mit Resolvio in Zusammenarbeit mit der Deutschen Telekom ebenfalls eine zu 100 % datensouveräne Softwarelösung zur Verfügung (Board Management Software). Resolvio stellt eine datensouveräne Alternative zu Anbietern wie Diligent, Sherpany oder Dilitrust dar, die selbst unter der Kontrolle von US-Konzernen stehen oder für die Datenhaltung AWS und Azure nutzen.

Microsofts gescheiterter Versuch: Die “Cloud for Sovereignty”

Bereits 2022 hatte Microsoft die “Microsoft Cloud for Sovereignty” vorgestellt. In dieser Produktversion kann der Nutzer auswählen, an welchen Standorten in der Welt die Clouddaten gespeichert werden sollen (Slogan “Ihre Daten bleiben in Deutschland”).

Bei näherem Hinsehen wandten Kritiker schon damals ein, dass der Standort der Datenspeicherung zu keiner echten Datensouveränität führt. Deutschland sei vielmehr in eine “Datenfalle” getappt. Für echte Datensouveränität komme es darauf an, wer über die Daten Kontrolle habe, egal an welchem Ort sie gespeichert sind. Solange die Microsoft-Server, die in Deutschland und anderen EU-Ländern, aus der Konzernzentrale in den USA kontrolliert würden, könne keine Rede von echter Datensouveränität sein (Informatiker: Deutschland tappt in der Microsoft-Cloud in die Datenfalle).

Amazons Antwort: Milliarden für die AWS European Sovereign Cloud

Der Trend zu datensouveränen Angeboten in Europa hat auch die US-Techkonzerne nicht kalt gelassen. So hat Amazon in den ersten Junitagen seine Pläne zu der AWS European Sovereign Cloud unter der Überschrift “Multimilliarden AWS Cloud-Projekt in Brandenburg erhält eigenständige Governance” vollmundig enthüllt.

Garniert von in Aussicht gestellten Milliardeninvestitionen in den Standort Deutschland wurde angekündigt, dass die neue Cloud-Rechenzentren in Deutschland von einer “neuen Muttergesellschaft” betrieben werden sollen, die von EU-Staatsbürgern geleitet werden soll und ihren Sitz in München haben werde. Erste Geschäftsführerin werde die Deutsche Kathrin Renz, die bislang in anderer Position im Amazon-Konzern tätig ist.

Was Amazon verspricht:

• Eigenständige deutsche Muttergesellschaft mit Sitz in München
• EU-Bürger in Führungspositionen
• Lokaler Beirat zur Kontrolle
• Investitionen von mehreren Milliarden Euro
• Physische Datenspeicherung ausschließlich in Deutschland

Die juristische Realität: Warum echte Souveränität mit AWS unmöglich bleibt

Experten sehen die Amazon-Lösung skeptisch. “Die Zwischenschaltung einer eigenen europäischen AWS-GmbH als ‘neue Muttergesellschaft’ mit Sitz in München ändert nichts daran, dass die US-Konzernzentrale hier durchregieren kann und muss, wenn US-Behörden einen Datenzugriff anordnen”, so der auf das Gesellschaftsrechts spezialisierte Rechtsanwalt Hubertus Scherbarth. 

“Im deutschen Gesellschaftsrecht ist jeder Geschäftsführer verpflichtet, den Weisungen der Gesellschafter zu folgen.” Selbst wenn sich die deutsche Geschäftsführerin der neuen europäischen AWS-GmbH Kathrin Renz weigert, Datenablüsse zuzulassen, würde dies die Daten auf der europäischen AWS Cloud nach Auffassung des Experten nicht sicherer machen: “Weigert sich ein Geschäftsführer, Daten an die US-Mutter weiterzugeben, kann dieser ohne Angabe von Gründen sofort abberufen und durch ein genehmere Person ersetzt werden.”

Das größte Problem bleibt der US-CLOUD Act, der amerikanischen Behörden weitreichende Zugriffsmöglichkeiten auf Daten gewährt – unabhängig vom Speicherort. “Nutzt beispielsweise der Vorstand eines DAX-Konzerns für die Verwaltung seiner Entscheidungen Anbieter mit US-Muttergesellschaften wie die Diligent oder Sherpany, kann er sich nie sicher sein, ob eine US-Behörde aus welchem Grund auch immer mitliest”, erklärt Rechtsanwalt Scherbarth. “Das gleiche Problem wird für die neu gegründete AWS GmbH mit Sitz in München bestehen.“

Eine echte Datensouveränität ergibt sich auch nicht aus der von AWS vorgestellten “Governance-Struktur”, die einen Beirat vorsieht. “Selbst wenn Amazon in der GmbH-Satzung eine Eigenständigkeit einräumt, könnte der US-Mutterkonzern diese Satzung jederzeit mit einem Federstrich beim Notar ändern.”

Bluewashing statt echter Souveränität

Die AWS European Sovereign Cloud entpuppt sich als cleverer Marketing-Schachzug, der das wachsende Bewusstsein für Datensouveränität in Europa ausnutzt, ohne echte Unabhängigkeit zu bieten. 

Analog zu der sogenannten Greenwashing-Praxis, mit welcher Unternehmen versuchen, durch Marketing-Aktionen ihre Produkte umweltfreundlicher erschienen zu lassen, als sie sind, könnte man bei AWS und Co in Anspielung auf die Farbe der EU-Flagge von “Bluewashing” sprechen. Trotz milliardenschwerer Investitionen und der Bemühungen, das AWS Produkt als “europäisch souverän” oder “datenkonform” darzustellen, bleibt die ultimative Kontrolle stets bei dem Amazon-Mutterkonzern in den USA.

Für deutsche Unternehmen bedeutet dies: Die Abhängigkeit von US-Cloudriesen bleibt bestehen, auch wenn sie unter dem Deckmantel europäischer Souveränität verpackt wird. Echte Datensouveränität gibt es nur mit wirklich unabhängigen europäischen Anbietern – auch wenn diese derzeit noch Kompromisse bei Funktionsumfang oder Kosten bedeuten mögen.

Die Zeit ist reif für eine ehrliche Diskussion über den Preis der Bequemlichkeit: Wollen deutsche Unternehmen weiterhin auf die technische Überlegenheit und den Komfort der US-Anbieter setzen, oder sind sie bereit, für echte digitale Souveränität auch Abstriche in Kauf zu nehmen?

Für Unternehmen, die Datensouveränität ernst nehmen, gibt es bereits konkrete Alternativen:

• Im Cloud-Computing bieten allein in Deutschland Anbieter wie die Ionos, die Deutsche Telekom und Stackit zuverlässige europäische Lösungen anbieten.
• Im Bereich der Cloud-Office-Anwendungen stehen beispielsweise mit dem britischen Anbieter Collabora eine beliebte europäische Office-Alternative mit Cloud-Funktionalität zur Verfügung.
• Für Führungsgremien wie Vorstand, Aufsichtsrat oder Geschäftsführung steht mit Resolvio eine besonders sichere und unabhängige Lösung zur Verfügung, die den Zeit- und Kostenaufwand bei der Beschlussfassung um bis zu 90 % verringern kann.

Die AWS European Sovereign Cloud jedenfalls bietet keine Antwort auf die Frage der europäischen Datensouveränität – sie verschleiert sie nur geschickt.