Beskyttelse mod CLOUD Act – Væk fra amerikanske clouds: Airbus planlægger at trække sig tilbage og stopper med at give følsomme data

Europas svar på Amazon & Co.: Airbus kaster sig ud i cloud-eksperimentet

Mens offentlige myndigheder ofte forbliver tøvende med hensyn til digitalisering eller fortsat er stærkt afhængige af amerikanske hyperscalerer, gennemgår Europas største luftfartsvirksomhed i øjeblikket en strategisk kovending. Airbus har erkendt, at datasuverænitet i tider med geopolitiske spændinger og industriel spionage ikke bare er et modeord, men et spørgsmål om overlevelse.

Virksomheden forbereder i øjeblikket en massiv migrering for at fjerne sine mest kritiske aktiver – fra flytegninger til intern teknologisk knowhow – fra den amerikanske CLOUD Acts rækkevidde. Med et planlagt udbud til en værdi af over 50 millioner euro søger Airbus nu en vej til en "suveræn cloud" fremstillet i Europa. Men dette dristige træk er ikke uden risiko: Selv Airbus' bestyrelse anslår chancen for at finde en teknologisk kompetent europæisk udbyder til kun 80 procent – ​​en alarmerende indikation af, at Europas IT-infrastruktur stadig halter bagefter i forhold til sin egen industris behov.

Relateret til dette:

• Europæisk designekspertise i stedet for teknologisk afhængighed – Den franske cloudmodel som økonomisk strategi

Digital suverænitet: Mellem retorik og virkelighed: Illusionen om intet alternativ – Hvorfor Europas virksomheder og myndigheder saboterer sig selv

Paradokset: Når beslutningstagere ignorerer deres egne principper

I årevis har europæisk industripolitik proklameret nødvendigheden af ​​digital suverænitet. Europa-Kommissionen har defineret klare kriterier med sin Cloud Sovereignty Framework, EU's datalov forpligter udbydere til gennemsigtighed og dataadgang, og hele den politiske elite understreger regelmæssigt, at teknologisk afhængighed udgør en stor sikkerhedsrisiko. Men i praksis sker det stik modsatte: stater som Bayern planlægger milliardkontrakter med Microsoft uden udbudsprocesser, byer som Luzern migrerer følsomme borgerdata til Azure-skyen, og snesevis af offentlige myndigheder verden over følger det samme mønster. Dette er ikke et teknisk problem, men et problem om vilje og ansvar.

Sagen Bayern er særligt sigende og afslører et symptomatisk svigt fra de europæiske beslutningstageres side. Fristaten Bayern planlægger at bruge næsten en milliard euro på Microsoft 365 over en femårig periode – til 270.000 ansatte i den offentlige administration. Dette sker uden et offentligt udbud, uden en reel evaluering af europæiske alternativer og på et tidspunkt, hvor digitale infrastrukturer er blevet anerkendt som strategisk kritiske. Kritikken fra open source-fællesskaber, IT-foreninger og mellemstore IT-virksomheder var massiv og systematisk, men den fulgte en forudbestemt vej: Microsoft-kontrakten blev ikke desto mindre underskrevet. Denne beslutning er ikke baseret på økonomiske overvejelser, men snarere på vane – den samme vane, der har undergravet den europæiske teknologiske uafhængighed i de sidste to årtier.

Den modsatte opfattelse er Airbus', Europas største luftfartsvirksomhed. I modsætning til offentlige myndigheder har Airbus erkendt, at følsomme data – flydesign, produktionsprocesser, teknologisk knowhow – ikke bør falde i hænderne på amerikanske virksomheder, der er underlagt den amerikanske CLOUD Act. Airbus forbereder i øjeblikket et udbud på migrering af kritiske applikationer til en europæisk cloud med en kontrakt på over 50 millioner euro. Dette er en bevidst, risikobaseret beslutning fra en strategisk vigtig virksomhed. Men selv her er der tvivl: Airbus' bestyrelse anslår sandsynligheden for at finde en passende europæisk udbyder til kun omkring 80 procent. Dette er ikke et tegn på umulighed, men snarere et tegn på utilstrækkelig europæisk kapacitetsudvikling.

CLOUD Act som et stille våben: Den juridiske tidsbombe blandt europæiske data

CLOUD Act (Clarifying Lawful Overseas Use of Data Act) blev vedtaget i 2018 og regulerer amerikanske myndigheders adgang til virksomhedsdata. På papiret lyder dette rimeligt: ​​nationale myndigheder bør have adgang til data, der falder ind under deres jurisdiktion. Men de praktiske konsekvenser af CLOUD Act er langt mere alvorlige, end mange europæiske virksomheder og myndigheder synes at indse.

CLOUD Act gælder ikke kun for data, der er lagret i USA. Den giver amerikanske myndigheder adgang til alle data, der administreres af amerikanske virksomheder eller deres datterselskaber – uanset hvor disse data fysisk er lagret. Konkret betyder det, at hvis dine data er placeret i et Microsoft-datacenter i Tyskland, kan amerikanske myndigheder anmode om adgang i henhold til CLOUD Act. Microsoft er forpligtet til at efterkomme denne anmodning og er også underlagt mundkurvsordrer, hvilket betyder, at de ikke kan informere berørte virksomheder om, at deres data er blevet anmodet om.

Microsoft indrømmede selv i en fransk retssag i juli 2025, at de ikke kunne garantere databeskyttelse i henhold til CLOUD Act. Dette er en bemærkelsesværdig indrømmelse fra Europas største cloud-udbyder. På trods af dette fortsætter offentlige myndigheder og virksomheder deres migrering til Microsofts tjenester. Det er ligesom en borger, der får bygget et hus, mens entreprenøren åbent siger, at taget vil lække – og så flytter ind alligevel.

Situationen forværres yderligere af den geopolitiske udvikling. Trump-administrationens tilbagevenden i januar 2025 destabiliserede fundamentalt de transatlantiske relationer til databeskyttelse. Trump afskedigede tre demokratiske medlemmer af Privacy and Civil Liberties Oversight Board (PCLOB) - selve det organ, der skal overvåge overholdelsen af ​​standarder for databeskyttelse og tilsynet med amerikanske efterretningstjenester. Dette gør PCLOB ude af stand til at træffe beslutninger. Dette underminerer den transatlantiske ramme for databeskyttelse (TADPF), som først for nylig blev forhandlet og er baseret på bekendtgørelser, der kan tilbagekaldes når som helst. Eksperter advarer åbent om, at hele rammen er i fare.

Historien afslører et mønster: USA ser dataadgang som et strategisk værktøj og bruger cloud-udbydere som løftestang. Sagen om ICC's chefanklager Karim Khan er symptomatisk: Efter sanktioner fra Trump-administrationen mistede Khan adgangen til sin Microsoft-e-mailkonto. Microsoft hævder, at dette ikke var en suspendering af ICC's tjenester, men episoden fremhæver sårbarheden hos organisationer, der er afhængige af amerikansk infrastruktur. Hvis USA kan slå en "digital kontakt" om i en krise eller handelstvist, er europæiske infrastrukturer lammet.

Relateret til dette:

• Hvorfor den amerikanske CLOUD Act er et problem og en risiko for Europa og resten af ​​verden: En lov med vidtrækkende konsekvenser

Økonomisk rationalitet eller institutionel inerti: Illusionen om intet alternativ

Et almindeligt argument er: Der findes ingen europæiske alternativer. Dette er faktuelt forkert. Der findes europæiske cloududbydere, der er teknisk kompetente og tilbyder datasuverænitet. Grunden til, at de ikke dominerer, er ikke teknologisk, men økonomisk og institutionel.

Markedet er meget koncentreret: AWS, Microsoft Azure og Google Cloud kontrollerer cirka 65 procent af det globale IaaS-marked. Europæiske udbydere som IONOS, OVH, Stackit, Plusserver og Open Telekom Cloud (T-Systems) falder ind under kategorien "Andet" – de er teknisk modne, men ikke dominerende. Hvorfor? Fordi netværkseffekter og leverandørbinding er ekstremt stærke i cloud-tjenester. Når du først arbejder med AWS, kan du ikke bare skifte til IONOS uden at pådrage dig betydelige migreringsomkostninger. Nye applikationer bygges på AWS, fordi det tilbyder de bedste værktøjer, det største økosystem og de mest kvalificerede udviklere.

Dette er et klassisk tilfælde af markedssvigt: løsninger findes, men disse løsninger er ikke globalt dominerende, derfor bruges de ikke. Statslige myndigheder og virksomheder orienterer sig mod markedsledere, ikke mod makroøkonomiske optimale faktorer.

EuroCloud Pulse Check 2025 afslører dog en tendensvending: Andelen af ​​virksomheder, der anser digital suverænitet for afgørende, er steget fra 25 procent til 47 procent på fem år. 83 procent af alle virksomheder vurderer nu suverænitet og modstandsdygtighed som centralt for deres cloudstrategi. Endnu mere betydningsfuldt har 57 procent konkrete bekymringer over den nuværende amerikanske politik og dens uforudsigelighed. Dette er ikke ideologi, men snarere en fornuftig økonomisk risikovurdering.

De områder, hvor europæiske udbydere er konkurrencedygtige, er koncentreret i følsomme og regulerede sektorer: backup og disaster recovery (66 procent af implementeringerne), Kubernetes og containerløsninger (64 procent) samt compliance og data repository krav (64 procent). Det er netop de områder, hvor datakritikaliteten er højest.

Der fremføres ofte omkostningsargumenter til fordel for amerikanske udbydere. Dette er delvist berettiget – Microsoft og AWS har skalerbarhedsfordele. Denne fordel er dog ofte kortsigtet. Sagen fra Bayern illustrerer dette: Den årlige pris for M365 E5 er €59,70 pr. medarbejder pr. måned. Dette er en listepris uden reel forhandling. Europæiske udbydere kunne være betydeligt billigere for sammenlignelige tjenester, hvis deres kapacitet blev udvidet. Når man desuden tager risiciene ved CLOUD Act, potentielle geopolitiske sanktioner og modstandsdygtighed i betragtning, er Microsofts reelle omkostninger ikke gennemsigtige.

Branchefokusområder: B2B, digitalisering (fra AI til XR), maskinteknik, logistik, vedvarende energi og industri

Mere information her:

• Ekspert Business Hub

Et tematisk knudepunkt, der tilbyder indsigt og ekspertise:

• Vidensplatform, der dækker globale og regionale økonomier, innovation og branchespecifikke tendenser
• En samling af analyser, indsigter og baggrundsinformation fra vores vigtigste fokusområder
• Et sted for ekspertise og information om aktuelle udviklinger inden for erhvervsliv og teknologi
• Et knudepunkt for virksomheder, der søger information om markeder, digitalisering og brancheinnovationer

Gaia-X-skuffelsen: Hvorfor europæiske initiativer mislykkes

Gaia-X blev lanceret med stor fanfare i 2019. Projektet havde til formål at opbygge en decentraliseret, sikker, åben og transparent europæisk datainfrastruktur. Store aktører deltog i initiativet: SAP, Bosch, Siemens, Telekom, Festo og Schunk. Målet var at bryde afhængigheden af ​​AWS, Azure og Google.

Seks år senere har Gaia-X ikke fejlet, men det har heller ikke opnået markedsdominans. I foråret 2025 blev der offentligt rejst tvivl om, hvorvidt projektets mål overhovedet var opnåelige. Hvorfor? Fordi Gaia-X illustrerer et klassisk problem med europæisk koordinering: decentralisering og koordinering er modstridende. Hvis man opererer på en virkelig decentraliseret måde, og enhver cloududbyder kan være en node, så er der intet klart ansvar, ingen dynamisk skalering og intet strategisk fokus. Hvis man koordinerer centralt, mister man fordelene ved decentralisering.

Gaia-X har et andet problem: det er for fokuseret på teknologi. Men problemet er ikke primært teknologisk. Europæiske cloududbydere kan teknisk set konkurrere med de store spillere. Problemet er tillid, skalerbarhed og markedsstyrke. En startup-iværksætter stoler på AWS, fordi AWS er ​​stort og ikke vil fejle. En europæisk udbyder, selvom den er teknisk overlegen, opfattes ikke som et sikkert valg.

Gaia-X havde brug for: reelle økonomiske incitamenter (tilskud til europæiske virksomheder, der skifter til Gaia-X-tjenester), juridiske krav (offentlige data skal gemmes på europæiske servere) og en klar forvaltningsstruktur. I stedet blev det et forum for tekniske standarder og bedste praksis. Vigtigt, men ikke tilstrækkeligt.

Relateret til dette:

• Industri-X: Fremme af europæisk og global logistik- og forsyningskædeudvikling gennem industriinitiativerne Catena-X og Gaia-X

Institutionel inkohærens: Hvad Luzern og Bayern viser os

Sagerne i Luzern og Bayern afslører et andet mønster: institutionel inkohærens. Schweiziske og tyske myndigheder har databeskyttelsesansvarlige, der eksplicit advarer om, at lagring af følsomme og særligt beskyttede personoplysninger i Microsoft 365 ikke er i overensstemmelse med databeskyttelsesreglerne. Den kantonale databeskyttelsesansvarlige i Luzern advarede om, at data klassificeret som "fortrolige" i Microsoft-skyen overtræder databeskyttelsesloven. På trods af dette blev borgernes data overført dertil.

Bayern planlægger en milliardkontrakt uden at udbyde den, på trods af grundlæggende indvendinger fra det tyske informatikselskab (Gesellschaft für Informatik), OSBA (Ostfriesischer Landesverband Bayern – den bayerske statsforening for cloud-tjenester) og den lokale it-branche. Deres krav var klart: Anvend EU-kriterierne for suveræne cloud-løsninger. Svaret var i sidste ende uvidenhed. Beslutningen var ikke baseret på omhyggelig analyse, men på bekvemmelighed og stiafhængighed.

Det er ikke dumhed, det er struktur. Større organisationer er inaktive. IT-afdelingen kender Microsoft, alle systemer er gearet til det, og et skift ville betyde omskoling, migreringer og risici. Individuelle beslutningstagere har intet incitament til at gå igennem den smerte. Budgettet kommer fra forskellige kilder, og ansvaret er diffust. Databeskyttelsesansvarlig advarer, men har ingen vetoret. I sidste ende vælges den mindste modstands vej.

Det er særligt problematisk, at dette sker med offentlige institutioner, der opererer med offentlige midler. Fristaten Bayern bruger skatteydernes penge. Hvis disse midler blev investeret i europæiske cloud-udbydere, ville det europæiske økosystem blive styrket. I stedet subsidierer de tyske skatteydere implicit Microsofts markedsposition. Dette er en form for stille teknologisk leje.

Airbus-modellen: Hvordan ægte suverænitet ser ud

Airbus præsenterer et andet billede. Virksomheden har erkendt, at følsomme data – flydesign, produktionsteknologier, strategisk viden – skal forblive under europæisk kontrol. Derfor forbereder Airbus et udbud på migrering af applikationer som Enterprise Resource Planning (ERP), Manufacturing Execution Systems, Customer Relationship Management og Product Lifecycle Management til en europæisk suveræn cloud.

Kontrakten er på over 50 millioner euro og er designet til at løbe i op til ti år. Dette er en seriøs investering. Airbus sender et klart signal til det europæiske marked: Vi har brug for jer, og vi betaler for det. Dette er ikke en teoretisk forpligtelse, men en konkret forretningsmodel.

Men Airbus har også sine tvivl. Catherine Jestin, Executive Vice President for Digital, vurderer, at der kun er en 80/20 chance for at finde en passende europæisk udbyder. Dette er ikke en urimelig kritik af europæiske udbydere, men snarere en observation: Europæiske cloududbydere er endnu ikke store og etablerede nok til at bære den risiko, som Airbus tager med denne migration.

Det er kerneproblemet. Gaia-X, europæiske udbydere, EU-regulering – alt det er vigtigt. Men de skal skalere. Europæiske cloududbydere skal ikke kun være teknisk kompatible, men også opbygge tillid til, at de kan operere i Airbus' skala. Det kræver kapital, tid og markedsandele.

EU's datalovgivning som et vendepunkt

EU's datalov, der trådte i kraft i september 2025, markerer et regulatorisk skift. Den forpligter cloud-udbydere til at give virksomheder adgang til deres data og metadata, levere bedre API'er og gøre det lettere at skifte til andre udbydere. Disse er skridt mod leverandørbinding.

I teorien burde dette hjælpe europæiske udbydere. Hvis det bliver mere omkostningseffektivt at skifte udbyder, kan europæiske udbydere lettere vinde markedsandele. Men EU's datalovgivning er blot et værktøj. Den reducerer barrierer, men skaber ikke nye incitamenter til europæiske løsninger.

Det, der virkelig er behov for, er, at myndigheder og store virksomheder bevidst beslutter sig for at prioritere europæiske løsninger, selvom det betyder yderligere omkostninger eller justeringer på kort sigt. Dette er en politisk beslutning, ikke en teknisk.

Konklusion: Digital suverænitet lever ikke af ord, men af ​​beslutninger

Den vigtigste konklusion er denne: Der er ingen "naturlig konstant", der dikterer, at der ikke er noget alternativ til amerikanske cloudløsninger. Alternativer findes. De er teknisk modne, regulatorisk gennemgåede og økonomisk levedygtige. Det, der mangler, er den kollektive vilje.

Så længe Bayern betaler milliarder til Microsoft i stedet for at støtte europæiske udbydere, så længe Luzern lagrer borgernes data i Azure på trods af advarsler om databeskyttelse, så længe de fleste europæiske virksomheder følger standardruten og ikke gider undersøge alternativer – så vil markedsmagtstrukturen ikke ændre sig.

Airbus forstår dette. Derfor forbereder virksomheden en satsning på 50 millioner euro på europæisk suverænitet. Andre store europæiske virksomheder bør gøre det samme. Ikke ud fra ideologi, men ud fra strategi og risikostyring.

Den geopolitiske situation har ændret sig. Uforudsigeligheden i amerikansk politik under Trump, evnen til at udnytte data som våben, den potentielle indførelse af told på digitale tjenester – disse er ikke længere teoretiske scenarier. De er virkelige.

Digital suverænitet er ikke noget, der skal kræves, men noget, der skal leves. Det betyder: at give afkald på kortsigtede bekvemmeligheder, investere i kapacitetsopbygning, etablere klare regler, der fastslår, at kritiske data skal være underlagt europæiske jurisdiktioner, og frem for alt: træffe beslutninger, der opfylder dette krav. Industri, regering og cloududbydere er alle ligeligt opfordret til at handle. De, der ikke forstår dette eller ignorerer det, bringer Europas teknologiske fremtid i fare.

☑️ Vores forretningssprog er engelsk eller tysk

☑️ NYT: Korrespondance på dit modersmål!

 

Jeg og mit team er glade for at stå til rådighed for dig som din personlige rådgiver.

Du kan kontakte mig ved at udfylde kontaktformularen her wolfenstein@xpert.digital:eller blot ringe til mig på +49 7348 4088 965. Min e-mailadresse er

Jeg glæder mig til vores fælles projekt.

 

 

☑️ SMV-support inden for strategi, rådgivning, planlægning og implementering

☑️ Oprettelse eller omlægning af den digitale strategi og digitalisering

☑️ Udvidelse og optimering af internationale salgsprocesser

☑️ Globale og digitale B2B-handelsplatforme

☑️ Pioner inden for forretningsudvikling / marketing / PR / messer

Xpert.Digital besidder dybdegående viden på tværs af forskellige brancher. Dette giver os mulighed for at udvikle skræddersyede strategier, der er præcist afstemt med kravene og udfordringerne i dit specifikke markedssegment. Ved løbende at analysere markedstendenser og overvåge brancheudviklingen kan vi handle proaktivt og tilbyde innovative løsninger. Kombinationen af ​​erfaring og ekspertise skaber merværdi og giver vores kunder en afgørende konkurrencefordel.

Mere information her:

• Drag fordel af Xpert.Digital's 5 ekspertiseområder i én pakke – fra kun €500/måned