Schutz vor dem CLOUD Act – Weg von US-Clouds: Airbus plant Ausstieg und zieht die Reißleine bei sensiblen Daten

Europas Antwort auf Amazon & Co.: Airbus wagt das Cloud-Experiment

Während staatliche Behörden bei der Digitalisierung oft noch zögerlich agieren oder weiterhin stark auf US-Hyperscaler setzen, vollzieht Europas größter Luft- und Raumfahrtkonzern derzeit eine strategische Kehrtwende. Airbus hat erkannt, dass in Zeiten geopolitischer Spannungen und Industriespionage Datensouveränität nicht nur ein Schlagwort, sondern eine Überlebensfrage ist.

Der Konzern bereitet aktuell eine massive Migration vor, um seine kritischsten Assets – von Bauplänen für Flugzeuge bis hin zu internem technologischen Knowhow – dem Zugriffsbereich des amerikanischen CLOUD Acts zu entziehen. Mit einer geplanten Ausschreibung von über 50 Millionen Euro sucht Airbus nun den Weg in eine „Sovereign Cloud“ made in Europe. Doch dieser mutige Schritt ist nicht ohne Risiko: Selbst der Airbus-Vorstand beziffert die Chance, einen technologisch fähigen europäischen Anbieter zu finden, auf lediglich 80 Prozent – ein alarmierendes Indiz dafür, dass Europas IT-Infrastruktur dem Bedarf der eigenen Industrie noch immer hinterherhinkt.

Passend dazu:

• Europäische Gestaltungskompetenz statt technologische Abhängigkeit – Das französische Cloud-Modell als ökonomische Strategie

Digitale Souveränität: Zwischen Rhetorik und Realität: Die Illusion der Alternativlosigkeit – Warum Europas Unternehmen und Behörden sich selbst sabotieren

Das Paradox: Wenn Entscheider ihre eigenen Prinzipien ignorieren

Die europäische Industriepolitik proklamiert seit Jahren die Notwendigkeit digitaler Souveränität. Die Europäische Kommission hat mit dem Cloud Sovereignty Framework klare Kriterien definiert, der EU Data Act verpflichtet Anbieter zu Transparenz und Datenzugriff, und die gesamte politische Elite betont regelmäßig, dass technologische Abhängigkeit ein zentrales Sicherheitsrisiko darstellt. Dennoch vollzieht sich in der praktischen Realität das genaue Gegenteil: Staaten wie Bayern planen Milliardenverträge mit Microsoft ohne Ausschreibung, Städte wie Luzern verlagern sensible Bürgerdaten in die Azure-Cloud, und Dutzende von Behörden weltweit folgen dem gleichen Muster. Dies ist kein technisches Problem, sondern ein Willens- und Verantwortungsproblem.

Besonders bezeichnend ist der Fall Bayern, der ein symptomatisches Versagen der europäischen Entscheidungsträger offenbarte. Der bayerische Freistaat plant, über einen Zeitraum von fünf Jahren knapp eine Milliarde Euro für Microsoft 365 auszugeben – für 270.000 Mitarbeiter in der öffentlichen Verwaltung. Dies geschieht ohne Ausschreibung, ohne echte Evaluierung europäischer Alternativen und in einer Phase, in der digitale Infrastrukturen als strategisch kritisch erkannt worden sind. Die Kritik von Open-Source-Communities, Informatikverbänden und der mittelständischen IT-Wirtschaft war massiv und systematisch, folgte aber einem bereits vorgezeichneten Weg: Der Microsoft-Vertrag wurde trotzdem abgeschlossen. Diese Entscheidung ist nicht wirtschaftlich begründet, sondern folgt einer Gewohnheit – derselben Gewohnheit, die seit zwei Jahrzehnten europäische Technologieunabhängigkeit erodiert hat.

Das Gegenbild dazu zeigt sich bei Airbus, Europas größtem Luft- und Raumfahrtunternehmen. Im Gegensatz zu Behörden hat Airbus erkannt, dass sensible Daten – die Entwürfe von Flugzeugen, Produktionsprozesse, technologisches Knowhow – nicht in die Hände von US-Konzernen gehören, die dem amerikanischen CLOUD Act unterliegen. Airbus vorbereitet derzeit eine Ausschreibung für die Migration kritischer Anwendungen auf eine europäische Sovereign Cloud, mit einem Vertrag im Wert von über 50 Millionen Euro. Dies ist eine bewusste, risikobasierte Entscheidung eines strategisch wichtigen Unternehmens. Aber es gibt auch hier Zweifel: Der Vorstand von Airbus schätzt die Wahrscheinlichkeit, einen geeigneten europäischen Anbieter zu finden, auf nur etwa 80 Prozent. Das ist nicht ein Zeichen von Unmöglichkeit, sondern ein Zeichen unzureichender europäischer Kapazitätsentwicklung.

Der CLOUD Act als stille Waffe: Die rechtliche Zeitbombe unter europäischen Daten

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde 2018 verabschiedet und regelt den Zugriff von US-Behörden auf Unternehmensdaten. Auf dem Papier klingt das angemessen: Nationale Behörden sollen auf Daten zugreifen können, die sich unter ihrer Gerichtsbarkeit befinden. Aber die praktische Bedeutung des CLOUD Acts ist weit gravierender, als viele europäische Unternehmen und Behörden zu verstehen scheinen.

Der CLOUD Act gilt nämlich nicht nur für Daten, die in den USA gespeichert sind. Er erlaubt es US-Behörden, auf alle Daten zuzugreifen, die von US-amerikanischen Unternehmen oder deren Tochtergesellschaften verwaltet werden – unabhängig davon, wo diese Daten physisch gehostet werden. Das bedeutet konkret: Wenn Ihre Daten in einem Microsoft-Rechenzentrum in Deutschland liegen, können US-Behörden gemäß CLOUD Act Zugriff verlangen. Microsoft muss diesem Zugriff Folge leisten, und das Unternehmen unterliegt zudem „Gag Orders”, das heißt, es darf betroffene Unternehmen nicht informieren, dass ihre Daten angefordert wurden.

Microsoft selbst gab in einem französischen Gerichtsverfahren im Juli 2025 zu, dass es nicht garantieren kann, Daten unter dem CLOUD Act zu schützen. Dies ist eine bemerkenswerte Aussage von dem größten Cloud-Provider Europas. Trotzdem setzen Behörden und Unternehmen ihre Migration in Microsoft-Dienste fort. Es ist, als würde ein Bürger ein Haus bauen lassen, während der Bauunternehmer offen sagt, dass das Dach undicht sein wird – und dann trotzdem einzieht.

Zusätzlich verschärft sich die Lage durch die geopolitische Entwicklung. Die Rückkehr der Trump-Administration im Januar 2025 hat die transatlantischen Datenschutzbeziehungen grundlegend destabilisiert. Trump hat drei demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) entlassen – jenes Gremium, das eigentlich die Wahrung von Datenschutzstandards und die Überwachung von US-Geheimdiensten überprüft. Dadurch ist das PCLOB beschlussunfähig. Dies untergräbt das Transatlantic Data Privacy Framework (TADPF), das gerade erst verhandelt wurde und auf Exekutivbefehlen basiert, die jederzeit widerrufen werden können. Experten warnen offen, dass das gesamte Framework gefährdet ist.

Die Geschichte zeigt ein Muster: Die USA sehen Datenzugriff als strategisches Mittel und nutzen Cloud-Anbieter als Hebel. Der Fall des ICC-Chefanklägeres Karim Khan ist symptomatisch: Nach Sanktionen durch die Trump-Administration verlor Khan Zugriff auf sein Microsoft-Email-Konto. Microsoft behauptet, dies sei nicht eine Suspendierung von ICC-Services gewesen, aber die Episode verdeutlicht die Vulnerabilität von Organisationen, die auf US-Infrastruktur angewiesen sind. Wenn die USA im Krisenfall oder in Handelskonflikten einen „digitalen Schalter” umlegen können, sind europäische Infrastrukturen lahm gelegt.

Passend dazu:

• Warum der US CLOUD Act ein Problem und Risiko für Europa und den Rest der Welt ist: Ein Gesetz mit weitreichenden Folgen

Wirtschaftliche Rationalität oder institutionelle Trägheit: Die Illusion der Alternativlosigkeit

Ein häufiges Argument lautet: Es gibt keine europäischen Alternativen. Dies ist faktisch falsch. Es gibt europäische Cloud-Anbieter, die technisch kompetent sind und Datensouveränität bieten. Der Grund, warum diese nicht dominieren, ist nicht technologischer Natur, sondern ökonomisch und institutionell.

Der Markt ist hochkonzentriert: AWS, Microsoft Azure und Google Cloud kontrollieren etwa 65 Prozent des globalen IaaS-Marktes. Europäische Anbieter wie IONOS, OVH, Stackit, Plusserver und die Open Telekom Cloud (T-Systems) fallen unter die Kategorie „Sonstige” – sie sind technisch reif, aber nicht dominant. Warum? Weil Netzwerkeffekte und Lock-in-Effekte bei Cloud-Services extrem stark sind. Wer einmal mit AWS arbeitet, kann nicht einfach zu IONOS wechseln, ohne erhebliche Migrationskosten zu tragen. Neue Anwendungen werden auf AWS gebaut, weil dort die besten Tools, das größte Ökosystem und die meisten qualifizierten Entwickler sind.

Das ist ein klassisches Marktversagen: Es gibt Lösungen, aber diese Lösungen sind nicht global dominant, deshalb werden sie nicht verwendet. Behörden und Unternehmen orientieren sich an Marktführer, nicht an gesamtwirtschaftlichen Optimalen.

Die EuroCloud Pulse Check 2025 zeigt jedoch eine Trendwende: Der Anteil von Unternehmen, die digitale Souveränität als entscheidend einstufen, ist in fünf Jahren von 25 Prozent auf 47 Prozent gestiegen. 83 Prozent aller Unternehmen bewerten Souveränität und Resilienz nun als zentral für ihre Cloud-Strategie. Noch signifikanter: 57 Prozent haben konkrete Bedenken gegen die aktuelle US-Politik und deren Unberechenbarkeit. Das ist nicht Ideologie, sondern ökonomische Risikoabwägung.

Die Einsatzfelder, wo europäische Anbieter wettbewerbsfähig sind, konzentrieren sich auf sensible und regulierte Bereiche: Backup und Disaster Recovery (66 Prozent der Einsätze), Kubernetes und Container-Lösungen (64 Prozent), sowie Compliance und Datenresidenz-Anforderungen (64 Prozent). Das sind exakt die Bereiche, wo die Kritikalität der Daten höher ist.

Die Kostenargumente werden oft zugunsten von US-Anbietern angebracht. Das ist teilweise berechtigt – Microsoft und AWS haben Skalierungsvorteile. Allerdings ist dieser Vorteil oft kurzfristig. Der bayerische Fall zeigt das: Die Jahreskosten für M365 E5 betragen 59,70 Euro pro Mitarbeiter und Monat. Dies ist ein Listenpreis ohne echte Verhandlung. Europäische Anbieter könnten für vergleichbare Services deutlich günstiger sein, wenn man ihre Kapazität ausbauen würde. Zudem: Wenn man die Risiken des CLOUD Acts, potenzielle geopolitische Sanktionen und Ausfallsicherheit einrechnet, sind die echten Kosten von Microsoft nicht transparent.

Unsere EU- und Deutschland-Expertise in Business Development, Vertrieb und Marketing - Bild: Xpert.Digital

Branchenschwerpunkte: B2B, Digitalisierung (von KI bis XR), Maschinenbau, Logistik, Erneuerbare Energien und Industrie

Mehr dazu hier:

• Xpert Wirtschaft Hub

Ein Themenhub mit Einblicken und Fachwissen:

• Wissensplattform rund um die globale wie regionale Wirtschaft, Innovation und branchenspezifische Trends
• Sammlung von Analysen, Impulsen und Hintergründen aus unseren Schwerpunktbereichen
• Ein Ort für Expertise und Informationen zu aktuellen Entwicklungen in Wirtschaft und Technologie
• Themenhub für Unternehmen, die sich zu Märkten, Digitalisierung und Brancheninnovationen informieren möchten

Die Gaia-X Enttäuschung: Warum europäische Initiativen scheitern

2019 wurde Gaia-X mit großem Getöse gestartet. Das Projekt sollte eine europäische Dateninfrastruktur aufbauen, dezentral, sicher, offen und transparent. An der Initiative beteiligten sich große Namen: SAP, Bosch, Siemens, Telekom, Festo, Schunk. Das Ziel war, die Abhängigkeit von AWS, Azure und Google zu brechen.

Sechs Jahre später ist Gaia-X nicht gescheitert, aber es ist auch nicht zur Marktdominanz gelangt. Im Frühjahr 2025 wurden öffentlich Zweifel laut, ob die Projektziele überhaupt erreichbar sind. Warum? Weil Gaia-X ein klassisches Problem europäischer Koordination illustriert: Dezentralität und Koordination sind widersprüchlich. Wenn man wirklich dezentral agiert und jeder Cloud-Anbieter ein Knoten sein kann, dann gibt es keine klare Verantwortung, keine Skalierungsdynamik und keine strategische Fokussierung. Wenn man zentral koordiniert, verliert man die dezentralen Vorteile.

Gaia-X hat auch ein anderes Problem: Es ist zu sehr auf Technologie fokussiert. Aber das Problem ist nicht primär technologisch. Europäische Cloud-Anbieter können technisch mit den Großen konkurrieren. Das Problem ist Vertrauen, Skalierung und Marktmacht. Ein Startup-Unternehmer vertraut AWS, weil AWS groß ist und nicht scheitern wird. Ein europäischer Anbieter, selbst wenn technisch besser, wird nicht als sichere Wahl wahrgenommen.

Gaia-X hätte gebraucht: echte finanzielle Anreize (Subventionen für europäische Unternehmen, die auf Gaia-X-Services wechseln), gesetzliche Anforderungen (Daten des Staates müssen auf europäischen Servern liegen), und eine klare Governance-Struktur. Stattdessen wurde es zu einem Forum für technische Standards und Best Practices. Wichtig, aber nicht ausreichend.

Passend dazu:

• Industry-X: Förderung der europäischen wie globalen Logistik und Supply Chain durch Industrie-Initiativen Catena-X und Gaia-X

Institutionelle Inkohärenz: Was Luzern und Bayern uns zeigen

Die Fälle von Luzern und Bayern zeigen ein weiteres Muster: Institutionelle Inkohärenz. Schweizer und deutsche Behörden haben Datenschutzbeauftragte, die explizit warnen, dass die Speicherung von sensiblen und besonders schützenswerten Personendaten in Microsoft 365 nicht datenschutzkonform ist. Die kantonale Datenschutzbeauftragte Luzern warnte: Daten bis zur Klassifizierung „vertraulich” in der Microsoft-Cloud verstößen gegen Datenschutzrecht. Trotzdem wurden Bürgerdaten dorthin verschoben.

Bayern plant einen Milliarden-Vertrag, ohne ihn auszuschreiben, obwohl die Gesellschaft für Informatik, die OSBA und die lokale IT-Wirtschaft fundamental widersprochen haben. Die Forderung war klar: Wende die EU-Kriterien für souveräne Clouds an. Die Antwort war letztlich Ignoranz. Die Entscheidung folgte nicht aus sorgfältiger Analyse, sondern aus Bequemlichkeit und Pfadabhängigkeit.

Das ist nicht Dummheit, sondern Struktur. Größere Organisationen sind träge. Die IT-Abteilung kennt Microsoft, alle Systeme sind darauf ausgerichtet, und ein Wechsel würde Umschulungen, Migrationen und Risiken bedeuten. Einzelne Entscheider haben keinen Anreiz, diesen Schmerz zu durchleben. Das Budget kommt aus verschiedenen Quellen, die Verantwortung ist diffus. Der Datenschutzbeauftragte warnt, aber hat keine Vetogewalt. Am Ende wird das Weg des geringsten Widerstands gewählt.

Besonders problematisch ist, dass dies bei Behörden geschieht, die mit öffentlichen Mitteln arbeiten. Der Freistaat Bayern gibt Steuermittel aus. Wenn diese Mittel in europäische Cloud-Anbieter gingen, würde das europäische Ökosystem gestärkt. Stattdessen subventionieren deutsche Steuerzahler implizit die Marktposition von Microsoft. Das ist eine Form stiller Technologie-Rente.

Das Airbus-Modell: Wie echte Souveränität aussieht

Airbus zeigt ein anderes Bild. Das Unternehmen hat erkannt, dass sensible Daten – Flugzeugdesigns, Fertigungstechnologien, strategisches Wissen – unter europäischer Kontrolle bleiben müssen. Deshalb bereitet Airbus eine Ausschreibung für die Migration von Anwendungen wie Enterprise Resource Planning (ERP), Manufacturing Execution Systems, Customer Relationship Management und Product Lifecycle Management auf eine europäische Sovereign Cloud vor.

Der Vertrag hat ein Volumen von über 50 Millionen Euro und ist für bis zu zehn Jahre angelegt. Das ist eine ernsthafte Investition. Airbus gibt damit dem europäischen Markt ein klares Signal: Wir brauchen euch, und wir zahlen dafür. Das ist kein theoretisches Commitment, sondern ein konkretes Geschäftsmodell.

Aber auch Airbus hat Zweifel. Die Executive Vice President of Digital, Catherine Jestin, schätzt, dass es nur eine 80/20-Chance gibt, einen geeigneten europäischen Anbieter zu finden. Das ist keine Ungerechtigkeit gegen europäische Anbieter, sondern eine Aussage: Europäische Cloud-Anbieter sind noch nicht groß und etabliert genug, um das Risiko zu tragen, das Airbus mit dieser Migration eingeht.

Das ist das zentrale Problem. Gaia-X, europäische Anbieter, EU-Regulierung – das alles sind wichtig. Aber sie müssen skalieren. Europäische Cloud-Anbieter müssen nicht nur technisch konform sein, sondern auch das Vertrauen aufbauen, dass sie bei Airbus-Größe operieren können. Das erfordert Kapital, Zeit und Marktanteile.

Die EU Data Act als Wendepunkt

Die EU Data Act, die im September 2025 in Kraft trat, markiert eine regulatorische Verschiebung. Sie verpflichtet Cloud-Anbieter, Unternehmen Zugang zu ihren Daten und Metadaten zu geben, bessere APIs bereitzustellen und den Wechsel zu anderen Anbietern zu erleichtern. Dies sind Schritte gegen Vendor Lock-in.

Theoretisch sollte dies europäischen Anbietern helfen. Wenn Wechsel kostengünstiger wird, können europäische Anbieter leichter Marktanteile gewinnen. Aber die EU Data Act ist auch nur ein Werkzeug. Sie verringert Barrieren, aber schafft keine neuen Anreize für europäische Lösungen.

Was wirklich nötig ist: Behörden und große Unternehmen müssen bewusst entscheiden, europäische Lösungen zu bevorzugen, auch wenn das kurzfristig Mehrkosten oder Anpassungsaufwand bedeutet. Das ist eine politische Entscheidung, keine technische.

Resümee: Digitale Souveränität lebt nicht von Reden, sondern von Entscheidungen

Die zentrale Erkenntnis lautet: Es gibt keine „Naturkonstante”, dass es keine Alternative zu US-Clouds gibt. Es gibt Alternativen. Sie sind technisch reif, regulatorisch überprüft und wirtschaftlich rational einsetzbar. Was fehlt, ist der kollektive Wille.

Solange Bayern Milliarden an Microsoft zahlt, statt europäische Anbieter zu unterstützen, solange Luzern Bürgerdaten trotz Datenschutz-Warnungen in Azure speichert, solange die meisten europäischen Unternehmen den Standardweg gehen und sich nicht die Mühe machen, Alternativen zu prüfen – solange wird sich das Marktmachtgefüge nicht verschieben.

Airbus versteht das. Deshalb bereitet das Unternehmen eine 50-Millionen-Euro-Bet auf europäische Souveränität vor. Andere große europäische Unternehmen sollten dasselbe tun. Nicht aus Ideologie, sondern aus Strategie und Risikomanagement.

Die geopolitische Situation hat sich geändert. Die Unberechenbarkeit amerikanischer Politik unter Trump, die Fähigkeit, Daten als Waffe einzusetzen, die mögliche Einführung von Zöllen auf digitale Dienstleistungen – das sind keine theoretischen Szenarien mehr. Sie sind real.

Digitale Souveränität ist nicht zu fordern, sondern zu leben. Das heißt: Verzicht auf kurzfristige Bequemlichkeit, Investition in Kapazitätsaufbau, klare Regelungen, dass kritische Daten europäischen Jurisdiktionen unterliegen müssen, und vor allem: Entscheidungen, die diesem Anspruch entsprechen. Industrie, Verwaltung und Cloud-Anbieter sind gleichermaßen gefordert. Wer das nicht versteht oder es ignoriert, verhandelt Europas technologische Zukunft ab.

☑️ Unsere Geschäftssprache ist Englisch oder Deutsch

☑️ NEU: Schriftverkehr in Ihrer Landessprache!

Konrad Wolfenstein

Gerne stehe ich Ihnen und mein Team als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie hier das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 89 89 674 804 (München) an. Meine E-Mail Adresse lautet: wolfenstein∂xpert.digital

Ich freue mich auf unser gemeinsames Projekt.

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der Digitalstrategie und Digitalisierung

☑️ Ausbau und Optimierung der internationalen Vertriebsprozesse

☑️ Globale & Digitale B2B-Handelsplattformen

☑️ Pioneer Business Development / Marketing / PR / Messen

Profitieren Sie von der umfangreichen, fünffachen Expertise von Xpert.Digital in einem umfassenden Servicepaket | R&D, XR, PR & Digitale Sichtbarkeitsoptimierung - Bild: Xpert.Digital

Xpert.Digital verfügt über tiefgehendes Wissen in verschiedenen Branchen. Dies erlaubt es uns, maßgeschneiderte Strategien zu entwickeln, die exakt auf die Anforderungen und Herausforderungen Ihres spezifischen Marktsegments zugeschnitten sind. Indem wir kontinuierlich Markttrends analysieren und Branchenentwicklungen verfolgen, können wir vorausschauend agieren und innovative Lösungen anbieten. Durch die Kombination aus Erfahrung und Wissen generieren wir einen Mehrwert und verschaffen unseren Kunden einen entscheidenden Wettbewerbsvorteil.

Mehr dazu hier:

• Nutzen Sie die 5fach Kompetenz von Xpert.Digital in einem Paket - schon ab 500 €/Monat