Breaking news

Sovereign Cloud oder Sovereign Washing? Ein trojanisches Pferd vor Europas digitalen Toren.

AWS, Microsoft, Google - sie alle haben kürzlich "Sovereign Clouds" eingeführt. Die Wahrheit ist jedoch, dass alle US-Unternehmen den US-Gesetzen mit Verpflichtungen zur Herausgabe von Daten unterliegen. Lassen Sie uns herausfinden, ob es sicher ist, US-Clouds zu nutzen, oder ob es sich nur um Sovereign Washing handelt.

Sovereign Cloud oder Sovereign Washing? Ein trojanisches Pferd vor Europas digitalen Toren.

Das Streben Europas nach digitaler Souveränität ist dringender denn je. Doch anstatt auf wirklich europäische Dienste zu setzen, bei denen der Schutz der Privatsphäre im Vordergrund steht, verlassen sich viele europäische Unternehmen und lokale sowie EU-Behörden immer noch auf US-Technologien und könnten die brandneuen und glänzenden "Sovereign Cloud"-Angebote als nützliche Lösung betrachten. Was aber, wenn die "Sovereign Cloud" weniger sicher ist, als US-Unternehmen uns glauben machen wollen? Schauen wir uns die "Microsoft Sovereign Cloud", die "Sovereign Cloud von Google" und die beworbene "Europäische Digitale Souveränität von Amazon Web Services" einmal genauer an und prüfen, ob es sicher ist, sie als europäische Behörde oder Unternehmen zu nutzen.

“Sovereign washing”: das Märchen von US Big Tech

In den letzten Monaten haben alle großen US-Tech-Unternehmen “souveräne Clouds” auf den Markt gebracht, sei es die “Microsoft Sovereign Cloud”, die “Sovereign Cloud von Google” oder “European Digital Sovereignty von Amazon Web Services” - sie alle versprechen EU-Organisationen, ihre Daten zu schützen und sich an hohe europäische Datenschutzstandards zu halten.

Ihre Botschaft klingt wirklich überzeugend: “Wir speichern Ihre Daten in Europa, wir halten uns an Ihre Regeln, und wir bringen Arbeitsplätze und Infrastruktur” - aber wenn es zu schön klingt, um wahr zu sein, ist es das meistens auch. In Wirklichkeit ist die “souveräne Cloud” nichts anderes als ein trojanisches Pferd - sie sieht zwar von außen gut aus, zielt aber darauf ab, EU-Unternehmen und Behörden dazu zu bringen, ihre Daten US-Diensten anzuvertrauen.

Aber die Wahrheit ist: Das ist keine Souveränität. Das ist Marketing. Das ist “Sovereign washing”.

Die Illusion der digitalen Souveränität

Beginnen wir mit dem Offensichtlichen: Nur weil Ihre Daten in Europa gespeichert sind, bedeutet das nicht, dass sie durch europäische Gesetze geschützt sind. US-Cloud-Anbieter unterliegen, auch wenn sie von europäischen Rechenzentren aus operieren, der US-Gerichtsbarkeit - insbesondere durch Gesetze wie den CLOUD Act und FISA 702 können sie durch US-Behörden zur Herausgabe von Daten gezwungen werden.

Das bedeutet, dass Unternehmen wie Microsoft, Amazon und Google nach US-Recht gezwungen werden können, US-Behörden Zugang zu Daten europäischer Unternehmen und Behörden zu gewähren, selbst wenn die Daten innerhalb der EU und außerhalb der Vereinigten Staaten gespeichert sind.

Ja, sie etablieren vielleicht eine eigene europäische Unternehmenseinheit oder gehen eine Partnerschaft mit einem lokalen Unternehmen ein, um vermeintliche “Souveränität” zu erlangen. Aber solange die Technologie, der Quellcode, die Service-Updates oder die Kontrollmechanismen in amerikanischer Hand bleiben, hat Europa keine echte Souveränität über seine Daten oder seine digitale Infrastruktur.

Es hat viele Versuche gegeben, EU-Organisationen die rechtskonforme Nutzung von US-Cloud-Angeboten zu ermöglichen, aber aufgrund der US-Überwachungsgesetze war bisher keiner dieser Versuche erfolgreich. So wurde beispielsweise mit dem Schrems-II-Urteil des Europäischen Gerichtshofs das Privacy-Shield-Abkommen zwischen den USA und der EU genau deshalb gekippt, weil die US-Überwachungsgesetze nicht mit den durch die europäische Datenschutz-Grundverordnung garantierten EU-Datenschutzrechten vereinbar sind. Die “souveränen Cloud-Angebote” sind nur ein weiterer Versuch, US-Clouds in der EU zu legalisieren.

Doch wann immer personenbezogene Daten in ein Drittland wie die Vereinigten Staaten übertragen werden - oder übertragen werden könnten -, muss ein angemessenes Schutzniveau gewährleistet sein. Aus EU-Sicht ist dies aufgrund des CLOUD Acts und bestimmter politischer Risiken, die das erforderliche Datenschutzniveau untergraben, problematisch.

Selbst die Europäische Kommission befürchtet, dass ihre Nutzung von Microsoft gegen die EU-Datenschutzgesetze verstößt. Die Kommission prüft nun Angebote europäischer Cloud-Anbieter, um Microsoft Azure zu ersetzen.

Die versprochene Kontrolle durch US-Cloud-Anbieter ist eine gefährliche Illusion.

Schalte die Privatsphäre ein.

Rechtliche Anfechtung ist zwecklos

Selbst die robustesten technischen Sicherheitsvorkehrungen bieten keinen wirklichen Schutz. Ob durch direkten Zugriff oder durch erzwungene Kooperation von Partnerunternehmen, Microsoft, Google und Amazon können gezwungen werden, Daten europäischer Unternehmen und Behörden herauszugeben.

Microsofts “Data Guardian” mag den Anschein von Transparenz erwecken, doch wenn der Zugriff einmal erfolgt ist, sind selbst die fälschungssichersten Protokolle nutzlos: Sie dokumentieren lediglich einen Vorgang, zum Beispiel die Weitergabe von Daten an US-Behörden, der nicht mehr rückgängig gemacht werden kann.

Microsoft - das bei diesem europäischen Vorstoß für mehr digitale Souveränität am meisten zu verlieren hat - macht auch die kühnsten Versprechungen. Eines davon ist, dass es die amerikanischen Anfragen zur Herausgabe von Daten rechtlich anfechten wird. Aber was bedeutet das eigentlich? Tatsächlich ist es mehr symbolisch als sinnvoll. Rechtlichen Schritte bei einer Aufforderung zur Datenherausgabe verhindern nicht wirklich, dass Daten herausgegeben werden - denn selbst wenn Microsoft ein Ersuchen anfechtet, muss es diesem zuerst einmal nachkommen, so dass die Daten bereits weg sind. Der Schaden ist bereits angerichtet. Eine Anfechtungsklage ist in den meisten Fällen völlig sinnlos.

”Sovereign washing”

Diese vermeintlich souveränen Lösungen sind keine Zeichen technischer Unabhängigkeit, sondern perfekt inszenierte Kommunikationsstrategien. Sie sollen Vertrauen schaffen, wo in Wahrheit keine Kontrolle besteht. Die US-Unternehmen bieten keine wirkliche digitale Souveränität an, sondern verpacken ein ungelöstes Problem auf clevere Art und Weise, was dem Privacy-Washing sehr ähnlich ist.

Und genau wie bei den Behauptungen zum exzellenten Datenschutz der US-Tech-Unternehmen ist die Strategie beim “Sovereign washing” genau dieselbe:

  1. Perfekt vermarkten - die amerikanische Cloud wird als “europakompatibel” dargestellt.
  2. Abhängigkeiten schaffen - Europäische Unternehmen und Behörden werden durch Integrationen und Closed-Source-Code von ihren Cloud-Angeboten abhängig gemacht.
  3. Starke Lobbyarbeit - US Tech überflutet Brüssel mit Lobbyarbeit, nimmt Einfluss und übertrifft die europäische Konkurrenz in ihren Lobbying-Bemühungen bei Weitem.
  4. Steuern umgehen - Gewinne fließen zurück in die US-Zentrale, und mit Strategien zur Steueroptimierung zahlen US-Unternehmen in der EU nur sehr wenig Steuern.

Das ist clever. Aber es ist nicht in Europas Interesse.

Standort, Standort, Standort

Was für Hauskäufer gilt, trifft auch auf die digitale Souveränität zu: Es kommt auf den Standort an.

Während US-amerikanische Cloud-Anbieter den europäischen Markt weiterhin dominieren, können US-amerikanische Technologieunternehmen die Versprechen, die sie in Bezug auf die digitale Souveränität machen, nicht garantieren. Die US-Angebote mögen nun eine europäische Flagge auf dem Ärmel tragen, aber das Etikett der Souveränität ist nichts weiter als ein Etikett: Die Unternehmen, die diese so genannten “souveränen Clouds” anbieten, unterliegen weiterhin den Gesetzen und Überwachungsbefugnissen der USA - und das lässt sich nicht wegwaschen. Der CLOUD Act und FISA 702 gelten also weiterhin, auch wenn der Server in Frankfurt, Brüssel oder Paris steht.

Wenn es Europa mit der digitalen Souveränität ernst ist, muss es sich von der Illusion verabschieden, dass eine solche Kontrolle mit US-Diensten möglich ist. Echte Souveränität kann nur auf einer Infrastruktur aufgebaut werden, die von europäischen Unternehmen bereitgestellt wird und nicht der US-Gerichtsbarkeit unterliegt.

Souveränität entsteht nicht durch glänzende neue Produktnamen wie diese “Sovereign Clouds”. Sie ergibt sich aus der vollständigen rechtlichen und technischen Kontrolle. Alles andere ist nichts weiter als “Sovereign washing”.

Treffen Sie die richtige Wahl: Wählen Sie Europa.

Illustration eines Telefons mit Tuta-Logo auf dem Bildschirm, daneben ein vergrößertes Schild mit einem Häkchen, das die hohe Sicherheit der Tuta-Verschlüsselung symbolisiert.