Der US CLOUD Act: Wo Europas digitale Souveränität wirklich steht

Warum „Server in der EU“ rechtlich nie ausreichend war, was die neuen europäischen Sovereignty-Standards tatsächlich verändern, und welche Schritte Unternehmen jetzt konkret weiterbringen.

Juni 2026 · Lesezeit ca. 13 Minuten

1. Ein Satz im Vertrag, der wenig bedeutet

Wer heute einen Cloud-Vertrag mit einem amerikanischen Anbieter unterschreibt, findet darin fast immer eine Klausel wie „Datenverarbeitung ausschließlich innerhalb der Europäischen Union“. Der Satz klingt nach einer rechtlichen Garantie. Tatsächlich beschreibt er nur, wo die Daten physisch liegen, nicht wer im Streitfall darüber entscheidet, ob ein fremder Staat sie einsehen darf.

Diese Verwechslung von Standort und Rechtshoheit ist keine Randnotiz. Sie betrifft praktisch jedes europäische Unternehmen, das Microsoft 365, AWS oder Google Workspace nutzt, also die große Mehrheit der Wirtschaft. Der Grund dafür liegt in einem US-Gesetz, das wenige außerhalb von Rechts- und IT-Abteilungen wirklich kennen: dem CLOUD Act.

2. Was der US CLOUD Act tatsächlich regelt

Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, ist ein US-Bundesgesetz aus dem Jahr 2018. Er verpflichtet jedes Unternehmen, das amerikanischem Recht unterliegt, auf Anordnung US-amerikanischer Behörden Daten herauszugeben, die sich in seiner „possession, custody or control“ befinden, also in seinem Besitz, seiner Verwahrung oder unter seiner Kontrolle. Entscheidend ist dabei nicht, wo der Server physisch steht. Entscheidend ist, welchem Land das Unternehmen rechtlich zugeordnet ist.

Das bedeutet konkret: Microsoft, Amazon und Google bleiben US-Unternehmen, auch wenn sie Rechenzentren in Frankfurt, Dublin oder Stockholm betreiben. Vertragsbezeichnungen wie „EU Data Boundary“ oder „Azure Germany“ ändern an dieser rechtlichen Grundlage nichts. Sie reduzieren operative Risiken im Tagesgeschäft, etwa den routinemäßigen Zugriff durch Mitarbeiter außerhalb der EU, beseitigen aber nicht die gesetzliche Herausgabepflicht gegenüber US-Behörden.

Diese Lücke ist kein theoretisches Konstrukt. Im Juni 2025 bestätigte die französische Tochtergesellschaft von Microsoft unter Eid vor einem Ausschuss des französischen Senats, dass sie keine Garantie gegen den Zugriff US-amerikanischer Behörden geben kann, selbst bei Daten, die in Frankreich unter einem als „souverän“ vermarkteten Angebot gespeichert sind.

Der CLOUD Act entstand 2018 nicht aus regulatorischem Ehrgeiz, sondern als direkte Reaktion auf ein Gerichtsverfahren, das das US-Justizministerium zu verlieren drohte. In United States v. Microsoft Corp., besser bekannt als der „Microsoft-Ireland-Fall“, verlangte das FBI 2013 Zugriff auf E-Mails, die auf einem Microsoft-Server in Dublin lagen. Microsoft verweigerte die Herausgabe mit dem Argument, ein US-Durchsuchungsbefehl könne keine im Ausland gespeicherten Daten erfassen. Der Fall wanderte über Jahre durch die Instanzen bis zum Supreme Court. Noch bevor dieser entschied, verabschiedete der US-Kongress im März 2018 den CLOUD Act und erklärte die Frage damit für erledigt: Der Standort der Daten spielt seither keine Rolle mehr, nur noch die Kontrolle des Anbieters über die Daten.

Die Mechanik, die in kaum einem Vertrag steht

Drei rechtliche Details werden in der öffentlichen Debatte regelmäßig ausgespart, obwohl sie für Unternehmen praktisch relevanter sind als die reine Existenz des Gesetzes.

Erstens kann ein US-Anbieter, der eine CLOUD-Act-Anordnung erhält, gleichzeitig mit einer Gag Order nach 18 U.S.C. § 2705(b) belegt werden, einer gerichtlichen Anweisung, die es dem Anbieter ausdrücklich verbietet, den betroffenen Kunden über die Anfrage zu informieren. Das steht in direktem Konflikt mit den Artikeln 13 und 14 der DSGVO, die betroffenen Personen ein Recht auf Information über die Verarbeitung ihrer Daten einräumen. Ein europäisches Unternehmen kann diesen Konflikt nicht durch eigene Sorgfalt lösen, weil es von der Anfrage im Zweifel nie erfährt.

Zweitens entsteht daraus ein handfester Rechtskonflikt für den Anbieter selbst. Artikel 48 der DSGVO bestimmt, dass eine ausländische behördliche oder gerichtliche Anordnung allein keine rechtmäßige Grundlage für die Übermittlung personenbezogener Daten aus der EU darstellt, sofern sie nicht auf einem völkerrechtlichen Abkommen beruht. Ein US-Anbieter, der einer CLOUD-Act-Anordnung nachkommt, ohne dass ein solches Abkommen existiert, verstößt damit aus EU-Sicht potenziell gegen Artikel 48 und riskiert ein Bußgeld von bis zu vier Prozent des weltweiten Konzernumsatzes. Verweigert er die Herausgabe, riskiert er in den USA eine Verurteilung wegen contempt of court. Diese Zwickmühle liegt beim Anbieter, nicht beim europäischen Kunden, ändert aber nichts daran, dass die Daten des Kunden im Zentrum des Konflikts stehen.

Drittens, und das ist der am wenigsten bekannte Punkt: Der CLOUD Act sieht vor, dass die USA mit einzelnen Staaten sogenannte Executive Agreements abschließen können, die geordnete Verfahren, Benachrichtigungspflichten und Widerspruchsmöglichkeiten für Behördenanfragen festlegen. Solche Abkommen bestehen bislang nur mit dem Vereinigten Königreich und mit Australien. Mit der Europäischen Union als Ganzes existiert 

KEIN solches Abkommen, unter anderem weil unklar ist, ob die EU rechtlich überhaupt als „Qualifying Foreign Government“ im Sinne des Gesetzes auftreten kann. Das bedeutet in der Praxis: EU-Unternehmen sind dem CLOUD Act in seiner ungefilterten, unverhandelten Form ausgesetzt, während britische Unternehmen über ihr Exekutivabkommen zumindest geordnete Verfahrensregeln genießen. Dieser Unterschied wird in der Sovereignty-Debatte fast nie erwähnt, obwohl er die tatsächliche Risikoposition europäischer Unternehmen gegenüber anderen Wirtschaftsräumen unmittelbar verschlechtert.

Eine vierte, oft übersehene Kategorie betrifft nicht die Strafverfolgung, sondern die nationale Sicherheit: Section 702 des Foreign Intelligence Surveillance Act (FISA) erlaubt US-Geheimdiensten den Zugriff auf Daten von Personen außerhalb der USA ohne klassisches Gerichtsverfahren, ohne Benachrichtigung und praktisch ohne Widerspruchsmöglichkeit für die betroffene Person. Der CLOUD Act betrifft strafrechtliche Ermittlungen mit einem, wenn auch eingeschränkten, justiziellen Verfahren. FISA 702 kennt dieses Verfahren nicht. Wer digitale Souveränität ausschließlich anhand des CLOUD Act diskutiert, blendet damit die nach Einschätzung vieler Juristen einschneidendere Zugriffsgrundlage aus.

Die rechtliche Grundlage für transatlantische Datenflüsse selbst ist zudem alles andere als stabil. Der Europäische Gerichtshof kippte 2015 das Safe-Harbor-Abkommen (Schrems I) und 2020 dessen Nachfolger, den Privacy Shield (Schrems II), jeweils wegen unzureichenden Schutzes vor US-Überwachung. Das aktuell gültige EU-US Data Privacy Framework von 2023 soll diese Lücke schließen, beruht aber im Kern auf einer Selbstverpflichtung der US-Regierung (Executive Order 14086) und nicht auf einem für den US-Kongress bindenden Gesetz. Mehrere Datenschutzjuristen halten ein drittes Verfahren vor dem EuGH, inoffiziell bereits als „Schrems III“ bezeichnet, für wahrscheinlich. Unternehmen, die ihre Cloud-Strategie auf der aktuellen Rechtslage aufbauen, sollten diese Volatilität als strukturelles Merkmal einkalkulieren, nicht als Ausnahmefall.

Es spielt keine Rolle, dass dein Account auf AWS eu-central-1 in Frankfurt liegt. Es spielt keine Rolle, welche Region du auswählst. Der Anknüpfungspunkt ist die Firma, nicht der Server.

3. Warum das Thema gerade jetzt eskaliert

Der CLOUD Act existiert seit 2018, doch öffentlich diskutiert wird er erst jetzt mit dieser Intensität. Drei Entwicklungen erklären den Zeitpunkt. Erstens haben mehrere geopolitische Vorfälle das Risiko konkret sichtbar gemacht: 2025 verhängten die USA Sanktionen gegen Ankläger und Richter des Internationalen Strafgerichtshofs in Den Haag, was den betroffenen Personen die Nutzung von Microsoft-Cloud-Diensten faktisch unmöglich machte. Der Gerichtshof wechselte daraufhin zu OpenDesk, einer mit deutschen Bundesmitteln entwickelten Open-Source-Bürosoftware.

Zweitens wächst der Markt für souveräne Cloud-Lösungen in einem Tempo, das institutionelle Aufmerksamkeit erzwingt. Weltweite Ausgaben für souveräne Cloud-Infrastruktur sollen 2026 rund 80 Milliarden US-Dollar erreichen, mit einem europäischen Wachstum von 83 Prozent gegenüber dem Vorjahr. Drittens hat die Europäische Kommission am 3. Juni 2026 als Teil des Europäischen Technologiesouveränitätspakets einen Gesetzgebungsvorschlag für den CADA (Cloud and AI Development Act) angenommen. Der Vorschlag muss noch das ordentliche Gesetzgebungsverfahren mit Europäischem Parlament und Rat durchlaufen, ein Trilogprozess, der bei vergleichbar komplexen Digitalgesetzen erfahrungsgemäß zwölf bis 36 Monate in Anspruch nimmt. Er ist damit noch kein geltendes Recht, markiert aber die politische Richtung unmissverständlich. Zusammengenommen verschieben diese drei Entwicklungen ein bislang juristisches Spezialthema auf die Ebene der Geschäftsführung.

4. Wie abhängig Europa wirklich ist

Amazon, Microsoft und Google kontrollieren gemeinsam rund 70 Prozent des europäischen Cloud-Infrastrukturmarktes. Europäische Anbieter, darunter OVHcloud, STACKIT, Scaleway und IONOS, kommen zusammen auf etwa 13 bis 15 Prozent. Selbst SAP, der größte europäische Softwarekonzern, erreicht im reinen Cloud-Computing-Markt nur einen Anteil von rund zwei Prozent.

Schätzung auf Basis von EU-Parlamentsstudie und Branchendaten 2025/26. EU-Anbieter umfassen u. a. OVHcloud, STACKIT, Scaleway, IONOS.

Diese Konzentration betrifft nicht nur reine Infrastruktur. Rund 80 Prozent der europäischen Unternehmensausgaben für Software und Cloud fließen an US-Anbieter, vor allem Microsoft, Oracle, Salesforce und IBM. Wer als europäisches Unternehmen ein durchschnittliches IT-Setup betreibt, hat damit fast automatisch eine CLOUD-Act-Exposition, ohne dass dies irgendwo explizit im Vertrag steht.

Entwicklung des europäischen Marktes für souveräne Cloud-Dienste, Schätzung. Von rund 20 Milliarden Euro Jahresumsatz heute auf über 100 Milliarden Euro bis 2031.

5. Die Gegenbewegung: Wo Europa schon heute Boden gewinnt

Der Druck in die andere Richtung ist real und lässt sich an konkreten Entscheidungen ablesen, nicht nur an Ankündigungen. Die französische Gesundheitsdatenplattform Health Data Hub, zentrale Infrastruktur für die Gesundheitsdaten von rund 67 Millionen Menschen, wählte am 23. April 2026 nach einem Auswahlverfahren mit 350 technischen Kriterien den französischen Anbieter Scaleway als neuen Betreiber und löst damit Microsoft Azure ab. Die vollständige Migration soll zwischen Ende 2026 und Anfang 2027 abgeschlossen sein. Es ist einer der am weitesten fortgeschrittenen dokumentierten Fälle eines Wechsels weg von einem US-Hyperscaler in einem europäischen Schlüsselsektor und zeigt, dass ein vollständiger Wechsel technisch und politisch machbar ist, auch wenn er Zeit und ein zweistelliges Millionenbudget braucht.

Auch die Investitionssummen sind inzwischen erheblich. Die Schwarz-Gruppe, Mutterkonzern von Lidl und Kaufland, hat bislang rund 11 Milliarden Euro in den Aufbau von STACKIT investiert. Frankreich hat im nationalen Konjunkturprogramm 1,8 Milliarden Euro für Cloud-Souveränitätsinitiativen reserviert. Die EU-Kommission selbst vergab im Oktober 2025 ein Beschaffungsvolumen von 180 Millionen Euro an vier Anbieter, die ihr eigenes Cloud Sovereignty Framework erfüllen mussten, darunter Scaleway. Das sind keine symbolischen Beträge, sondern Kapitalflüsse, die europäische Anbieter in eine andere Größenordnung heben.

Die Marktzahlen bestätigen den Trend. Das europäische Marktvolumen für souveräne Cloud-Dienste liegt 2025 bei rund 20 Milliarden Euro und soll laut Gartner-Prognosen bis 2031 auf über 100 Milliarden Euro wachsen, mit einer Wachstumsrate von 83 Prozent allein im Jahr 2026. In einer Befragung westeuropäischer IT-Verantwortlicher gaben 60 Prozent an, ihre Nutzung lokaler Cloud-Anbieter ausbauen zu wollen. Auch regulatorisch bewegt sich etwas: Der EU Data Act verpflichtet Cloud-Anbieter seit September 2025 dazu, den Wechsel zu einem anderen Anbieter technisch zu erleichtern und Ausstiegsgebühren abzubauen, ein direkter Hebel gegen das Lock-in-Problem, das Migrationen bisher häufig verhindert hat.

Selbst die Reaktion der US-Hyperscaler ist ein indirekter Beleg dafür, dass der europäische Druck wirkt. AWS hat im Januar 2026 mit einer Investition von 7,8 Milliarden Euro die European Sovereign Cloud in Brandenburg in Betrieb genommen, mit eigener Rechtsform, eigenem Personal und eigener Kontrollebene. Microsoft betreibt seit 2025 eine EU Data Boundary und unterstützt nationale Partnerclouds wie Bleu in Frankreich und Delos in Deutschland. Diese Angebote lösen, wie im folgenden Kapitel gezeigt, das CLOUD-Act-Problem nicht vollständig. Dass die größten US-Anbieter dennoch Milliarden in eigens abgeschottete EU-Strukturen investieren, zeigt aber, dass europäische Nachfrage nach Souveränität inzwischen ein wirtschaftlicher Faktor ist, den selbst die größten Anbieter nicht ignorieren können.

Auch im Bereich künstlicher Intelligenz entsteht eine europäische Alternative mit eigenem Momentum: Das französische Unternehmen Mistral AI verzeichnete deutliches Umsatzwachstum, gerade weil es als europäische Alternative zu US-amerikanischen KI-Anbietern positioniert ist. Deutschland und Kanada unterstützen zudem den Zusammenschluss von Cohere und Aleph Alpha zu einem transatlantischen KI-Anbieter mit europäischer Beteiligung. Digitale Souveränität ist damit längst nicht mehr nur ein Compliance-Thema, sondern zunehmend ein eigenständiges Geschäftsmodell.

6. Die Antwort der EU: Cloud Sovereignty Framework und SEAL

Die EU-Kommission hat auf diese Abhängigkeit mit einem eigenen Bewertungssystem reagiert, dem Cloud Sovereignty Framework (CSF). Es definiert acht strategische Souveränitätsziele und bewertet Cloud-Dienste auf einer Skala von SEAL-0 bis SEAL-4. SEAL-4 verlangt vollständige Unabhängigkeit der gesamten Lieferkette, von der Software bis zur Chip-Ebene, ohne jede Abhängigkeit von Drittstaaten im kritischen Pfad. Dieses Framework war bereits Grundlage einer öffentlichen Ausschreibung im Oktober 2025 und damit, ein Jahr vor allen kommerziellen Sovereignty-Labels, der erste offizielle europäische Maßstab in diesem Bereich.

Am 3. Juni 2026 hat die Kommission den Gesetzgebungsvorschlag für den Cloud and AI Development Act (CADA), in Teilen der Berichterstattung auch als CAIDA bezeichnet, formell angenommen. Der Entwurf sieht ein eigenes vierstufiges Sovereignty-Assurance-Modell vor und würde, sofern er das Trilogverfahren unverändert durchläuft, besonders sensible Daten aus den Bereichen Gesundheit, Finanzen und Justiz von der Verarbeitung durch Anbieter mit US-Mutterkonzern ausschließen. US-Anbieter blieben auf den unteren beiden Stufen weiterhin zugelassen und könnten damit den überwiegenden Teil der EU-Behördenaufträge bedienen. Da der Vorschlag noch der Zustimmung von Parlament und Rat bedarf, ist mit einer endgültigen Fassung nicht vor 2027/2028 zu rechnen. Unternehmen, die ihre Cloud-Strategie heute planen, tun gut daran, diesen Zeithorizont bereits jetzt zu berücksichtigen, statt auf eine kurzfristige Verbindlichkeit zu warten.

7. ES³: Schwarz Digits‘ eigener Bewertungsmaßstab

Im April 2026 stellte Schwarz Digits, die IT-Sparte der Schwarz-Gruppe (Lidl, Kaufland), auf der Hannover Messe ein eigenes, kommerzielles Bewertungsmodell vor: den European Sovereign Stack Standard, kurz ES³. Das Modell baut ausdrücklich auf dem Cloud Sovereignty Framework der EU-Kommission auf und ergänzt es um eine neunte Dimension, künstliche Intelligenz. Eine Prüfung durch die Wirtschaftsprüfungsgesellschaft BDO soll dem Modell eine unabhängige Grundlage geben.

Im Kern bewertet ES³ IT-Lösungen anhand von vier kumulativen Reifegraden:

Quelle: Schwarz Digits, ES³-Pressematerial, April 2026

Eine Besonderheit des Modells ist das sogenannte Minimumprinzip: Die Gesamtbewertung eines Dienstes entspricht immer dem niedrigsten erreichten Wert über alle neun Dimensionen hinweg. Ein Dienst, der in acht Dimensionen Stufe 4 erreicht, aber in einer Dimension nur Stufe 2, wird insgesamt als Stufe 2 eingeordnet. Das soll verhindern, dass starke Werte in einem Bereich Schwächen in einem anderen verdecken.

8. Wo das Versprechen der „Immunität“ bricht

Mehrere unabhängige Analysen weisen auf eine Schwäche im Spitzenversprechen von ES³ hin. Die Formulierung „100 % europäische DNA“ und „Immunität gegenüber dem US CLOUD Act“ ist juristisch nur zur Hälfte korrekt. STACKIT, das eigene Cloud-Angebot von Schwarz Digits, fällt tatsächlich nicht unter den CLOUD Act, weil das Unternehmen keine US-Mutter hat. Es unterliegt aber vollständig deutschem Recht, etwa § 113 Telekommunikationsgesetz und den entsprechenden Vorschriften der Strafprozessordnung, die staatlichen Zugriff unter bestimmten Voraussetzungen erlauben. Kein Unternehmen, ob amerikanisch oder europäisch, ist von der Rechtsordnung seines eigenen Sitzstaates ausgenommen.

Auch die Selbstbeschreibung als „erstmals messbar“ wird kritisch gesehen. Das offizielle Cloud Sovereignty Framework der EU-Kommission existierte bereits vor ES³ und wurde, wie oben beschrieben, schon im Oktober 2025 in einer Ausschreibung verwendet, sechs Monate vor dem ES³-Launch. Zudem bewertet die EU-Kommission im eigenen SEAL-Modell STACKIT mit SEAL-3, nicht mit der höchsten Stufe SEAL-4, die vollständige Unabhängigkeit der Lieferkette bis hin zur Chip-Ebene voraussetzt. ES³ ist außerdem ein firmeneigenes Programm von Schwarz Digits, ohne unabhängige Standardisierungsstelle wie ETSI oder CEN im Hintergrund, was die Selbstbewertung methodisch angreifbar macht.

Diese Entwicklung lässt sich an konkreten Zahlen ablesen. Vor 2024 gab es in Europa praktisch kein einheitliches Vokabular für Cloud-Souveränität, geschweige denn ein Bewertungssystem, das Unternehmen oder Behörden tatsächlich anwenden konnten. Heute existieren mit dem EU Cloud Sovereignty Framework, ES³, SecNumCloud und dem BSI-C5-Katalog mehrere, sich teils ergänzende, teils konkurrierende Standards. Das ist kein Zufall, sondern das Ergebnis eines politischen und wirtschaftlichen Drucks, der sich seit den Sanktionen gegen den Internationalen Strafgerichtshof 2025 sichtbar verstärkt hat. Der Wettbewerb zwischen diesen Standards ist dabei eher Stärke als Schwäche: Er zwingt jeden Anbieter, seine Behauptungen zu präzisieren, weil unabhängige Prüfer wie die EU-Kommission selbst inzwischen mit eigenen Maßstäben vergleichen.

9. Andere europäische Initiativen im Überblick

ES³ ist nicht die einzige europäische Antwort auf diese Problemlage. In Frankreich verlangt das SecNumCloud-Label der nationalen Cybersicherheitsbehörde ANSSI für besonders sensible öffentliche Aufträge eine vollständige Trennung von außereuropäischem Einfluss, einschließlich des Verbots von Lizenz- oder Supportverträgen mit US-Mutterkonzernen. In Deutschland zertifiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Cloud-Anbieter nach dem C5-Kriterienkatalog, der unter anderem von STACKIT erfüllt wird. Auf europäischer Ebene fördert das Programm IPCEI-CIS (Important Project of Common European Interest – Next Generation Cloud Infrastructure and Services) den Aufbau gemeinsamer europäischer Cloud-Infrastruktur mit öffentlichen Mitteln.

Daneben existiert seit 2019 die Initiative Gaia-X, die ursprünglich eine föderierte europäische Dateninfrastruktur schaffen sollte. Sie hat sich von einem konkreten Infrastrukturprojekt zu einem eher konzeptionellen Standardisierungsrahmen entwickelt und wird von Kritikern als zu langsam und zu wenig konkret bewertet, verglichen mit kommerziellen Initiativen wie ES³ oder den Angeboten von STACKIT, OVHcloud und Scaleway.

10. Was Unternehmen jetzt konkret tun können

Die naheliegende Reaktion, „wechsle zu einem europäischen Anbieter“, ist für die meisten Unternehmen kein realistischer Plan über Nacht. Ganze IT-Landschaften, die über Jahre auf Microsoft- oder Google-Diensten aufgebaut wurden, lassen sich nicht ohne erheblichen Aufwand und Risiko verlagern. Sinnvoller ist ein gestuftes Vorgehen, das sich an der tatsächlichen Sensitivität der Daten orientiert, nicht an einem pauschalen Alles-oder-nichts-Prinzip.

1. Daten klassifizieren, nicht Infrastruktur pauschal bewerten. Welche Daten würden im Ernstfall wirklich schaden, wenn sie offengelegt würden? In der Regel sind das Kundenverträge mit strategischen Partnern, Finanzdaten, geistiges Eigentum und Entwicklungsunterlagen, nicht jede interne Tabelle.
2. Diese Daten gezielt auf Anbieter ohne US-Mutterkonzern verlagern. STACKIT, Hetzner, OVHcloud, Scaleway und IONOS sind etablierte Optionen, die strukturell außerhalb des CLOUD Act stehen.
3. Für verbleibende US-Dienste die Vertragsgrundlage prüfen. Standard Contractual Clauses und eine vertraglich zugesicherte EU-Datengrenze reduzieren operative Risiken, auch wenn sie die gesetzliche Herausgabepflicht nicht aufheben.
4. Technische Zugriffsbarrieren ergänzend einsetzen, ohne sie zu überschätzen. Confidential-Computing-Technologien wie Intel SGX oder AMD SEV-SNP verschlüsseln Daten auch während der Verarbeitung, sodass selbst der Infrastrukturbetreiber sie nicht einsehen kann. Das hilft gegen Insider-Risiken und bestimmte Zugriffsszenarien, löst aber nicht das Problem bei Backups, Protokolldaten oder Datenverkehr, der außerhalb der geschützten Umgebung verarbeitet wird, etwa in Lastverteilern oder Logging-Systemen. Wer Schlüsselverwaltung (Key Management) vollständig in eigener oder europäischer Hand hält, statt sie dem Cloud-Anbieter zu überlassen, reduziert das Risiko zusätzlich, aber nicht vollständig.
5. Den eigenen ES³- oder SEAL-Reifegrad einmal realistisch einordnen. Nicht um ein Zertifikat zu erhalten, sondern um zu sehen, wo im eigenen Unternehmen die größten Abhängigkeiten tatsächlich liegen.
6. Sovereignty-Kriterien fest in neue Tool-Entscheidungen integrieren. Bei jeder neuen Software-Anschaffung die Frage nach dem Unternehmenssitz des Anbieters von Anfang an mitdenken, statt sie nachträglich zu klären.

Der US CLOUD Act ist keine neue Bedrohung, aber er wird gerade neu verstanden. Jahrelang galt „Server in der EU“ als ausreichende Antwort auf Fragen der Datensouveränität. Diese Annahme war juristisch nie korrekt, sie wurde nur selten ernsthaft geprüft. Standards wie ES³ und das offizielle EU-Modell SEAL machen das Risiko jetzt messbar und damit auch verhandelbar, sowohl gegenüber Anbietern als auch in der eigenen Unternehmensstrategie.

Die berechtigte Skepsis gegenüber Begriffen wie „100 % Immunität“ sollte dabei nicht mit Resignation verwechselt werden. Gerade weil die übertriebenen Versprechen einzelner Anbieter öffentlich hinterfragt werden, etwa von der EU-Kommission selbst über das SEAL-Modell, entsteht ein ehrlicherer und damit belastbarerer Markt. Vor wenigen Jahren existierte für europäische Unternehmen schlicht keine praktikable Alternative zu den drei großen US-Anbietern. Heute gibt es mit STACKIT, OVHcloud, Hetzner, Scaleway und IONOS etablierte, wirtschaftlich tragfähige Optionen, die strukturell außerhalb des CLOUD Act stehen, unterstützt durch öffentliche Förderprogramme wie IPCEI-CIS und durch verbindliche Beschaffungskriterien, die mit CADA erstmals europaweit gesetzlich verankert werden sollen. Das ist ein realer, messbarer Fortschritt, der unabhängig davon Bestand hat, ob einzelne Marketingaussagen juristisch übertrieben sind.

Diese Herangehensweise löst das grundsätzliche Problem nicht vollständig, denn ein Restrisiko gegenüber dem eigenen Rechtsstaat bleibt immer bestehen. Sie verschiebt aber das tatsächliche Risiko von „alles bei einem US-Anbieter“ zu „die kritischen Daten gezielt geschützt, der Rest pragmatisch belassen, in einem europäischen Cloud-Ökosystem, das von Jahr zu Jahr handfester wird“. Für Unternehmen bedeutet das: Die Frage ist nicht mehr, ob digitale Souveränität in Europa machbar ist, sondern wie schnell und wie gezielt der eigene Übergang dorthin organisiert wird.

Quellen

1. European Parliament Research Service, „Cloud infrastructure and enterprise software dependency in the EU“, ATAG-Studie 2025. europarl.europa.eu
2. TechTimes, „EU Tech Sovereignty Laws Target Amazon, Microsoft, Google Cloud in Sensitive Government Work“, Juni 2026. techtimes.com
3. Schwarz Digits, Pressemitteilung „European Sovereign Stack Standard (ES³)“, April 2026. schwarz-digits.de
4. DanubeData, „The US CLOUD Act Explained: Why European Businesses Need Non-US Cloud Alternatives“, 2026. danubedata.ro
5. CIO Dive / Synergy Research Group, „EU regulators launch trio of cloud market probes“, Januar 2026. ciodive.com
6. CryptoBriefing, „European Union debates limits on Big Tech access to cloud tenders“, Mai 2026. cryptobriefing.com
7. heise online, „Schwarz Digits introduces standard for digital sovereignty“, April 2026. heise.de
8. BDO, „European Sovereign Stack Standard (ES³): A milestone for digital sovereignty in Europe“, April 2026. bdo.de
9. innFactory AI Consulting, „European Sovereign Stack Standard (ES³): What the New Sovereignty Standard Means for Your AI Strategy“, 2026. innfactory.ai
10. EU Cloud Patterns, „STACKIT’s ES³ vs. SEAL: Can Digital Sovereignty Actually Be ‚Objectively Measurable‘?“, April 2026. eucloudpatterns.eu
11. Broadcom News and Stories, „Three Predictions for Sovereign Cloud in 2026“, Januar 2026. news.broadcom.com
12. ASEE, „EU Cloud Sovereignty: Why Businesses Are Moving Away from US Providers“, Mai 2026. asee.io
13. Eurojust, „The CLOUD Act“, EU-Erläuterung zu Executive Agreements und Anwendungsbereich. eurojust.europa.eu
14. CSIS, „The CLOUD Act and Transatlantic Trust“, Analyse zu Schrems I/II und Data Privacy Framework. csis.org
15. Cross-Border Data Forum, „Frequently Asked Questions about the U.S. CLOUD Act“. crossborderdataforum.org
16. Europäische Kommission, „Proposal for the Cloud and AI Development Act (CADA)“, Juni 2026. digital-strategy.ec.europa.eu