AWS und IBM starten europäische „Souveräne Clouds“

US-Tech-Giganten eröffnen neue Cloud-Regionen in Deutschland. Doch können sie wirklich vor US-Gesetzen schützen?

Die europäische Digitalwirtschaft steht vor einer wichtigen Weichenstellung. Diese Woche haben Amazon Web Services (AWS) und IBM neue „souveräne“ Cloud-Lösungen speziell für den europäischen Markt gestartet. AWS hat seine AWS European Sovereign Cloud mit einer ersten Region in Brandenburg allgemein verfügbar gemacht. Zeitgleich präsentierte IBM seine „Sovereign Core“-Plattform. Die Angebote zielen auf Regierungen und streng regulierte Industrien, die maximale Datenkontrolle fordern.

Hyperscaler bauen „sichere Häfen“ in Europa

Der Wettlauf um den lukrativen europäischen Regulierungsmarkt hat sich deutlich verschärft. Die neue AWS-Infrastruktur ist physisch und logisch vom globalen AWS-Netzwerk getrennt. Ein separater Rechtskörper nach deutschem Recht, geführt von EU-Bürgern, betreibt die Cloud. Damit sollen Inhalte, Metadaten und Abrechnungsdaten komplett in der EU verbleiben – eine direkte Antwort auf jahrelange Forderungen nach Data Residency.

IBM setzt mit „Sovereign Core“ auf einen anderen Ansatz. Die Plattform ermöglicht es Unternehmen und Behörden, selbstverwaltete KI-Umgebungen aufzubauen und die operative Hoheit über ihre Daten zu behalten. Beide Ankündigungen zeigen: US-Anbieter sind bereit, ihre Strukturen tiefgreifend umzubauen, um europäische Kunden zu halten.

Die neuen „souveränen“ Clouds und der bevorstehende EU-AI-Act zwingen IT- und Datenschutzverantwortliche zu konkreten Umsetzungsmaßnahmen. Unser kostenloser Umsetzungsleitfaden zur EU-KI-Verordnung erklärt verständlich, wie Sie KI-Systeme korrekt klassifizieren, welche Kennzeichnungspflichten und Dokumentationsanforderungen gelten und welche Nachweise in Cloud- oder Hybrid-Umgebungen nötig sind — inklusive Praxisbeispielen und Umsetzungs-Checkliste für IT-Leads. Kostenlosen KI-Umsetzungsleitfaden herunterladen

Der rechtliche Widerspruch: Die Schattenseite des CLOUD Acts

Trotz aller technischen Abschottung bleibt ein fundamentales rechtliches Problem bestehen. Der US-amerikanische CLOUD Act von 2018 ermächtigt US-Behörden, von US-Firmen die Herausgabe von Daten zu verlangen – unabhängig vom Speicherort. Rechtsexperten betonen: Eine europäische Tochtergesellschaft schützt die Daten nicht automatisch vor diesem Zugriff. Wenn ein US-Gericht entscheidet, dass die Muttergesellschaft die „Kontrolle“ über die Daten behält, greift das Gesetz weiterhin.

„Die Bezeichnung ‚souverän‘ wird von europäischen Aufsichtsbehörden oft nur als Risikominderung, nicht als vollständiger Schutz gesehen“, erklärt ein Branchenanalyst. Die geopolitischen Unsicherheiten treiben Unternehmen zwar in nationale Jurisdiktionen. Doch wahre digitale Autonomie bleibt mit US-Technologie-Stacks schwer erreichbar.

Fragiler Rechtsfrieden: Das Damoklesschwert über der Datenschutz-Klage

Hintergrund der Produktlaunches ist ein brüchiger Waffenstillstand im transatlantischen Datenverkehr. Im September 2025 wies das EU-Gericht eine Klage gegen das EU-US Data Privacy Framework (DPF) ab. Dieses Abkommen erlaubt den Datenfluss zu zertifizierten US-Firmen. Die Entscheidung brachte kurzfristige Planungssicherheit.

Doch Datenschutzaktivisten warnen: Die grundlegenden Probleme aus den „Schrems“-Verfahren – insbesondere die US-Überwachungsbefugnisse – sind nicht gelöst. Das DPF könnte erneut vor dem Europäischen Gerichtshof (EUGH) angefochten werden. Für europäische IT-Leiter entsteht so ein Spagat: Die neuen Cloud-Angebote bieten verbesserte technische Kontrollen, operieren aber in einem nach wie vor umkämpften Rechtsrahmen.

Strategischer Wandel: Von Compliance zu digitaler Souveränität

Die Debatte hat sich 2026 grundlegend gewandelt. Es geht nicht mehr nur um die Einhaltung der DSGVO, sondern um eine umfassende Strategie der digitalen Souveränität. Die Investitionen von AWS, Microsoft und Google in lokale Infrastrukturen sind direkte Reaktionen auf den EU Data Act und den bevorstehenden EU KI-Gesetz (AI Act).

Unternehmen fragen heute nicht mehr nur, wo ihre Daten liegen, sondern wer die Zugangsschlüssel hat und unter welcher Jurisdiktion das Personal arbeitet. Die Branche bereitet sich auf August 2026 vor, wenn das KI-Gesetz in vollem Umfang gilt und strenge Konformitätsbewertungen für Hochrisiko-KI-Systeme vorschreibt.

Die kommenden Monate werden zeigen, ob die „souveränen“ Zusagen von AWS und IBM nationale Aufseher in Deutschland und Frankreich überzeugen. Experten raten Unternehmen zu einer „Defense-in-Depth“-Strategie: Die neuen Cloud-Optionen sollten mit clientseitiger Verschlüsselung und Hybrid-Architekturen kombiniert werden, um verbleibende Compliance-Risiken abzusichern.

PS: Viele Firmen unterschätzen die Übergangsfristen und Dokumentationspflichten der EU-KI-Verordnung – das kann zu Nachforderungen oder Bußgeldern führen. Der Gratis-Leitfaden liefert eine kurze Checkliste, konkrete Beispiele für Hochrisiko-Einstufungen und Vorlagen für die erforderliche Konformitätsdoku, damit Ihre Cloud- und KI-Projekte rechtssicher bleiben. Jetzt kostenlosen KI-Leitfaden sichern