AWS European Sovereign Cloud in Brandenburg: Amazons Antwort auf europäische Digitale Souveränität

Brandenburg wird Zentrum von Amazons visionärer Sovereign Cloud-Initiative: AWS startet europäische Cloud-Offensive

Amazon Web Services hat im Juni 2025 die lange erwartete Governance-Struktur für die AWS European Sovereign Cloud enthüllt, ein ehrgeiziges Projekt, das auf wachsende europäische Bedenken bezüglich digitaler Souveränität und Datenschutz reagiert. Diese Initiative stellt Amazons bisher umfassendste Anstrengung dar, eine vollständig europäisch kontrollierte Cloud-Infrastruktur zu schaffen, die von der Muttergesellschaft Amazon unabhängig operiert. Mit einer geplanten Investition von 7,8 Milliarden Euro bis 2040 und dem Hauptsitz in Brandenburg soll die Sovereign Cloud Ende 2025 den Betrieb aufnehmen. Die Entstehung dieser separaten europäischen Cloud-Infrastruktur reflektiert die zunehmenden transatlantischen Spannungen im Bereich des Datenschutzes, insbesondere vor dem Hintergrund des US Cloud Act und der politischen Entwicklungen unter der neuen Trump-Administration, die europäische Unternehmen und Regierungen zur Suche nach datenschutzkonformen Alternativen bewogen haben.

Passend dazu:

• Abhängig von der US-Cloud? Deutschlands Kampf um die Cloud: So wollen sie AWS (Amazon) und Azure (Microsoft) Konkurrenz machen

Governance-Struktur und operative Unabhängigkeit

AWS hat eine komplexe europäische Organisationsstruktur für die European Sovereign Cloud entwickelt, die darauf abzielt, vollständige operative Autonomie von der US-amerikanischen Muttergesellschaft zu gewährleisten. Die neue Struktur umfasst eine in Deutschland eingetragene Muttergesellschaft sowie drei spezialisierte Tochtergesellschaften, die verschiedene Aspekte des Cloud-Betriebs abdecken. Kathrin Renz, die derzeit als Vice President von AWS Industries tätig ist, wird als erste Geschäftsführerin des neuen europäischen Unternehmens fungieren und damit eine rein europäische Führungsebene etablieren.

Die operative Kontrolle wird ausschließlich von EU-Bürgern mit Wohnsitz in der Europäischen Union ausgeübt, was einen fundamentalen Unterschied zu herkömmlichen AWS-Regionen darstellt. Das Managementteam wird neben der Geschäftsführerin einen Beauftragten für Sicherheit und Datenschutz umfassen, beide müssen EU-Staatsbürger mit Wohnsitz in der EU sein. Diese Personalstrategie erstreckt sich auf alle operativen Ebenen, einschließlich Rechenzentrumsmanagement, technischem Support und Kundenservice, wodurch sichergestellt wird, dass keine operative Kontrolle außerhalb der EU-Grenzen ausgeübt wird.

Ein unabhängiger Beirat wird als zusätzliche Governance-Schicht etabliert, der rechtlich verpflichtet ist, im besten Interesse der AWS European Sovereign Cloud zu handeln. Dieser Beirat besteht aus vier Mitgliedern, alle EU-Bürger mit Wohnsitz in der EU, wobei mindestens ein Mitglied unabhängig von Amazon sein muss. Der Beirat fungiert als Expertengremium und gewährleistet Rechenschaftspflicht in souveränitätsbezogenen Aspekten des Cloud-Betriebs, einschließlich Sicherheits- und Zugangskontrollen sowie der Fähigkeit zur unabhängigen Operation bei Störungen.

Die technische Architektur der AWS European Sovereign Cloud ist darauf ausgelegt, unbegrenzt weiterzuarbeiten, selbst bei Konnektivitätsunterbrechungen zwischen der europäischen Sovereign Cloud und dem Rest der Welt. Autorisierte AWS-Mitarbeiter der European Sovereign Cloud, die in der EU ansässig sind, erhalten unabhängigen Zugang zu einer Kopie der Quellcodes, die für die Aufrechterhaltung der Dienste unter extremen Umständen erforderlich sind. Diese technische Autonomie wird durch eine eigene Netzwerkinfrastruktur unterstützt, die über AWS Direct Connect Konnektivität zu europäischen Anbietern bereitstellt.

Technische Infrastruktur und Sicherheitsmaßnahmen

Die AWS European Sovereign Cloud wird über eine vollständig autonome technische Infrastruktur verfügen, die physisch und logisch von anderen AWS-Regionen getrennt ist. Ein zentraler Baustein dieser Infrastruktur ist ein eigenes Amazon Route 53-System, das Kunden ein hochverfügbares und skalierbares Domain Name System (DNS), Domain-Registrierung und Webdienste für Verfügbarkeits- und Zustandsüberwachung bietet. Die Route 53-Nameserver für die European Sovereign Cloud werden ausschließlich europäische Top-Level-Domains (TLDs) für ihre eigenen Domain-Namen verwenden, was eine weitere Ebene der technischen Souveränität darstellt.

Ein besonders wichtiger Aspekt der technischen Unabhängigkeit ist die Einrichtung einer eigenen europäischen “Root-Certificate-Authority” (CA). Diese Zertifizierungsstelle ermöglicht es, dass Schlüsselmaterial, Zertifikate und Identitätsüberprüfung für SSL/TLS-Zertifikate vollständig autonom innerhalb der AWS European Sovereign Cloud betrieben werden können. Dies eliminiert Abhängigkeiten von externen Zertifizierungsstellen und stärkt die kryptographische Souveränität der Plattform.

Die Sicherheitsarchitektur wird durch ein eigenes Security Operations Center (SOC) verstärkt, das globale AWS-Sicherheitspraktiken unter vollständig europäischer Kontrolle spiegelt. Dieses SOC wird von einem eigenen Leiter für Sicherheit geleitet, der EU-Bürger mit Wohnsitz in der EU sein muss. Der Sicherheitsleiter ist dafür verantwortlich, die Geschäftsführung zu beraten und Kunden sowie Regulierungsbehörden in Europa in sicherheitsrelevanten Angelegenheiten zu unterstützen.

Zur Erfüllung der Kundenanforderungen führt AWS das Sovereign Requirements Framework (SRF) ein, einen umfassenden Katalog technischer, rechtlicher und betrieblicher Souveränitätskontrollen. Das SRF basiert auf Souveränitätserwartungen von Kunden, Anforderungen von EU-Regulierungsbehörden, Leitlinien führender Branchenstandards und den Bedürfnissen von Implementierungspartnern. Kunden erhalten über AWS Artifact Zugang zu Prüfberichten, die vollständige Nachverfolgbarkeit der Kontrollgestaltung und betrieblichen Wirksamkeit gewährleisten.

Passend dazu:

• Sichere Cloud und digitale Souveränität in Europa: Sind Microsofts Investitionen in Europa datensicher?

Finanzielle Investitionen und wirtschaftliche Auswirkungen

Amazon hat eine beträchtliche finanzielle Verpflichtung für die AWS European Sovereign Cloud angekündigt, mit geplanten Investitionen von 7,8 Milliarden Euro bis zum Jahr 2040 in die deutsche Region der souveränen Cloud, die in Brandenburg angesiedelt wird. Diese Investitionssumme spiegelt nicht nur Amazons strategisches Engagement für den europäischen Markt wider, sondern auch die erkannte Notwendigkeit, auf die wachsenden Souveränitätsanforderungen europäischer Kunden zu reagieren.

Die wirtschaftlichen Auswirkungen dieser Investition werden voraussichtlich weit über die direkte Kapitalzufuhr hinausgehen. Amazon prognostiziert einen Multiplikatoreffekt, der bis 2040 bis zu 17,2 Milliarden Euro zum Bruttoinlandsprodukt beitragen soll. Dieser erwartete volkswirtschaftliche Nutzen basiert auf der Annahme, dass die digitale Transformation von Verwaltung und Unternehmen vorangetrieben wird und das AWS-Partner-Netzwerk gestärkt wird.

Die Beschäftigungseffekte sind ebenfalls erheblich: Das Projekt soll 2.800 Vollzeitstellen bei regionalen Unternehmen schaffen, insbesondere in den Bereichen Bau, Instandhaltung, Ingenieurwesen, Telekommunikation und der breiteren regionalen Wirtschaft, die Teil der Lieferkette für AWS-Rechenzentren sind. Zusätzlich plant AWS die Schaffung neuer Stellen für hochqualifizierte Fachkräfte wie Softwareentwickler, Systemingenieure und Lösungsarchitekten, die speziell für den Aufbau und Betrieb der AWS European Sovereign Cloud verantwortlich sein werden.

Die Investitionsstrategie unterstreicht auch Amazons Engagement für nachhaltige Projekte, da das Unternehmen plant, Projekte zu erneuerbaren Energien voranzutreiben und positive Wirkungen in den Gemeinden zu erzielen, in denen AWS präsent ist. Diese ganzheitliche Herangehensweise an regionale Entwicklung reflektiert ein Verständnis dafür, dass erfolgreiche Cloud-Infrastruktur nicht nur technische Exzellenz, sondern auch gesellschaftliche Integration erfordert.

Integration einer unabhängigen und Datenquellen-übergreifenden KI-Plattform für alle Unternehmensbelange - Bild: Xpert.Digital

KI-Gamechanger: Die flexibelste KI-Plattform - Maßgeschneiderte Lösungen, die Kosten senken, Ihre Entscheidungen verbessern und die Effizienz steigern

Unabhängige KI-Plattform: Integriert alle relevanten Unternehmensdatenquellen

• Diese KI-Plattform interagiert mit allen spezifischen Datenquellen
  • Von SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox und vielen andere Daten-Management-Systmen
• Schnelle KI-Integration: Maßgeschneiderte KI-Lösungen für Unternehmen in Stunden oder Tagen, anstatt Monaten
• Flexible Infrastruktur: Cloud-basiert oder Hosting im eigenen Rechenzentrum (Deutschland, Europa, freie Standortwahl)

• Höchste Datensicherheit: Einsatz in Anwaltskanzleien ist der sichere Beweis
• Einsatz über die unterschiedlichsten Unternehmensdatenquellen hinweg
• Wahl der eigenen bzw. verschiedenen KI-Modelle (DE,EU,USA,CN)

Herausforderungen, die unsere KI-Plattform löst

• Mangelnde Passgenauigkeit herkömmlicher KI-Lösungen
• Datenschutz und sichere Verwaltung sensibler Daten
• Hohe Kosten und Komplexität individueller KI-Entwicklung
• Mangel an qualifizierten KI-Fachkräften
• Integration von KI in bestehende IT-Systeme

Mehr dazu hier:

• KI-Integration einer unabhängigen und Datenquellen-übergreifenden KI-Plattform für alle Unternehmensbelange

Rechtlicher Hintergrund: US Cloud Act und transatlantische Spannungen

Die Notwendigkeit einer europäischen Sovereign Cloud wurzelt tief in den rechtlichen Konflikten zwischen US-amerikanischer und europäischer Datenschutzgesetzgebung, insbesondere dem 2018 verabschiedeten US Cloud Act (Clarifying Lawful Overseas Use of Data Act). Dieses Gesetz erlaubt US-amerikanischen Strafverfolgungsbehörden den Zugriff auf Daten, die von US-Unternehmen kontrolliert werden, unabhängig davon, wo diese Daten physisch gespeichert sind. Diese extraterritoriale Reichweite steht in fundamentalem Konflikt mit der europäischen Datenschutz-Grundverordnung (DSGVO), insbesondere mit deren Bestimmungen für internationale Datentransfers.

Der Cloud Act ermöglicht es US-Behörden, über Gerichtsbeschlüsse (Warrants oder Subpoenas) von US-amerikanischen Telekommunikationsanbietern und Cloud-Dienstleistern die Herausgabe von Daten zu verlangen, selbst wenn dies gegen die Gesetze des Landes verstößt, in dem die Daten gespeichert sind. Diese Regelung schafft erhebliche rechtliche Unsicherheit für global operierende Unternehmen, die sich mit widersprüchlichen rechtlichen Anforderungen konfrontiert sehen.

Die Problematik wurde durch historische Präzedenzfälle wie den Patriot Act bereits vorweggenommen. Bereits 2012 warnten Forscher der Universität Amsterdam davor, dass europäische Daten in der “Cloud” von US-amerikanischen Strafverfolgungs- und Geheimdienstbehörden trotz europäischer Datenschutzgesetze eingesehen werden könnten. Das Foreign Intelligence Surveillance Amendments (FISA) Act macht es US-Behörden besonders leicht, lokale Regierungsinstitutionen zu umgehen und direkten Zugang zu Cloud-Daten von Nicht-Amerikanern außerhalb der USA zu erlangen, mit minimalen Transparenzverpflichtungen.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben 2019 in einer gemeinsamen Stellungnahme betont, dass Artikel 48 der DSGVO verlangt, dass jede Anordnung einer Nicht-EU-Behörde zur Übertragung personenbezogener Daten außerhalb der EU durch ein internationales Abkommen anerkannt werden muss, um gültig zu sein. Demnach sollten EU-Unternehmen grundsätzlich direkte Anfragen ablehnen und die anfragende Drittlandsbehörde auf bestehende Rechtshilfeabkommen verweisen.

Politische Entwicklungen und verstärkte Souveränitätsbestrebungen

Die politischen Entwicklungen in den USA unter der neuen Trump-Administration haben die bereits bestehenden transatlantischen Spannungen im Datenschutzbereich erheblich verschärft. Ein besonders problematisches Signal war die Entlassung von drei demokratischen Mitgliedern des Privacy and Civil Liberties Oversight Board (PCLOB) durch Präsident Trump am 3. Februar 2025. Diese Entscheidung hat direkte Auswirkungen auf das Transatlantic Data Privacy Framework (TADPF), das den legalen Datentransfer zwischen der EU und den USA regelt, da das nun beschlussunfähige Aufsichtsgremium seine zentrale Aufgabe der Überwachung der US-Geheimdienste nicht mehr erfüllen kann.

Experten warnen, dass dies nur der Beginn einer Reihe von Maßnahmen sein könnte, die das gesamte TADPF gefährden. Exekutivbefehle, auf denen das Framework maßgeblich basiert, könnten in den kommenden Wochen widerrufen werden. Diese Entwicklung trifft besonders Unternehmen und Institutionen, die stark auf US-Cloud-Dienste angewiesen sind und verdeutlicht die Verwundbarkeit transatlantischer Datenschutzvereinbarungen gegenüber politischen Veränderungen.

Der fundamentale rechtliche Konflikt zwischen dem Cloud Act und europäischen Datenschutzbestimmungen bleibt bestehen und wird durch die politischen Entwicklungen noch verschärft. Während die EU mit der DSGVO einen umfassenden Rechtsrahmen geschaffen hat, der den Schutz personenbezogener Daten als Grundrecht verankert, basiert der US-Datenschutz weiterhin auf einem Flickwerk aus sektoralen Regelungen und Selbstverpflichtungen von Unternehmen.

Diese politischen Realitäten haben europäische Unternehmen dazu veranlasst, ihre Abhängigkeit von US-Cloud-Diensten zu überdenken. Die AWS European Sovereign Cloud kann als direkte Antwort auf diese Herausforderungen verstanden werden, da sie eine technische und rechtliche Struktur schafft, die europäischen Datenschutzanforderungen entspricht, ohne auf US-basierte Infrastruktur oder Governance-Strukturen angewiesen zu sein.

Kritische Bewertung und verbleibende Herausforderungen

Trotz der umfassenden Maßnahmen zur Schaffung einer europäisch souveränen Cloud-Infrastruktur bleiben fundamentale Fragen bezüglich der vollständigen Unabhängigkeit von US-rechtlichen Einflüssen bestehen. Die im Query angesprochene Problematik der extraterritorialen Anwendung US-amerikanischer Gesetze könnte auch die AWS European Sovereign Cloud betreffen, da Amazon als US-amerikanisches Unternehmen grundsätzlich der US-Jurisdiktion unterliegt.

Die Anwendung des Cloud Act auf EU-Unternehmen hängt davon ab, ob diese ausreichende Verbindungen zu den USA haben. Dies kann durch eine US-Rechtspersönlichkeit, eine ausländische Einheit mit einem Büro in den USA oder eine ausländische Einheit mit ausreichenden Kontakten in den USA, die die Anforderungen der persönlichen Gerichtsbarkeit erfüllen, der Fall sein. Obwohl die AWS European Sovereign Cloud als separate deutsche Gesellschaft strukturiert ist, könnte die Muttergesellschaft Amazon weiterhin als Verbindung zu den USA interpretiert werden.

Ein weiterer kritischer Aspekt ist die Frage der technologischen Abhängigkeit. Auch wenn die operative Kontrolle vollständig europäisiert wird, basiert die zugrunde liegende Technologie weiterhin auf von Amazon entwickelten Systemen und Architekturen. Dies könnte theoretisch Angriffspunkte für US-rechtliche Ansprüche schaffen, insbesondere wenn argumentiert wird, dass geistiges Eigentum oder Technologietransfer betroffen sind.

Die Effektivität der AWS European Sovereign Cloud als Lösung für digitale Souveränität wird letztendlich davon abhängen, wie robust die rechtlichen und technischen Abschottungsmaßnahmen in der Praxis funktionieren. Während die angekündigten Strukturen vielversprechend erscheinen, müssen sie sich erst in realen Konfliktsituationen bewähren, in denen US-Behörden möglicherweise Zugang zu Daten oder Systemen verlangen, die in der europäischen Sovereign Cloud verwaltet werden.

Passend dazu:

• Sicherer Serverstandort in Deutschland? Datensouveränität in der Cloud: Warum der Serverstandort Deutschland nicht ausreicht!

AWS investiert in Souveränität: Europas Cloud-Zukunft im Fokus

Die AWS European Sovereign Cloud stellt einen bedeutsamen Meilenstein in der Entwicklung europäischer digitaler Souveränität dar und reflektiert die wachsende Erkenntnis, dass technologische Abhängigkeit zu rechtlicher und politischer Verwundbarkeit führen kann. Mit ihrer umfassenden europäischen Governance-Struktur, der beträchtlichen finanziellen Investition von 7,8 Milliarden Euro und der vollständigen operativen Kontrolle durch EU-Personal adressiert die Initiative viele der Kernbedenken bezüglich US-amerikanischer Cloud-Services.

Die Initiative zeigt Amazons strategisches Verständnis für die sich verändernde geopolitische Landschaft und die Notwendigkeit, auf europäische Souveränitätsanforderungen zu reagieren, ohne dabei die technologische Exzellenz und Skalierbarkeit zu kompromittieren, die AWS zu einem dominanten Cloud-Anbieter gemacht haben. Die für Ende 2025 geplante Einführung kommt zu einem kritischen Zeitpunkt, da politische Entwicklungen in den USA die transatlantischen Datenschutzbeziehungen belasten.

Dennoch bleiben fundamentale Fragen bezüglich der vollständigen rechtlichen Immunität gegenüber US-amerikanischen Gesetzen bestehen. Die Effektivität der Sovereign Cloud als Lösung für digitale Souveränität wird sich erst in der praktischen Anwendung und möglichen rechtlichen Herausforderungen erweisen. Europäische Unternehmen und Regierungen müssen weiterhin wachsam bleiben und zusätzliche Maßnahmen zur Diversifizierung ihrer technologischen Abhängigkeiten in Betracht ziehen, um wahre digitale Souveränität zu erreichen.

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der KI-Strategie

☑️ Pioneer Business Development

Konrad Wolfenstein

Gerne stehe ich Ihnen als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie unten das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 89 89 674 804 (München) an.

Ich freue mich auf unser gemeinsames Projekt.

Xpert.Digital ist ein Hub für die Industrie mit den Schwerpunkten, Digitalisierung, Maschinenbau, Logistik/Intralogistik und Photovoltaik.

Mit unserer 360° Business Development Lösung unterstützen wir namhafte Unternehmen vom New Business bis After Sales.

Market Intelligence, Smarketing, Marketing Automation, Content Development, PR, Mail Campaigns, Personalized Social Media und Lead Nurturing sind ein Teil unserer digitalen Werkzeuge.

Mehr finden Sie unter: www.xpert.digital - www.xpert.solar - www.xpert.plus