Bescherming tegen de CLOUD Act – Afstappen van de Amerikaanse cloud: Airbus is van plan zich terug te trekken en de toegang tot gevoelige gegevens te beëindigen

Europa's antwoord op Amazon & Co.: Airbus waagt zich aan het cloudexperiment

Terwijl overheidsinstanties vaak nog steeds aarzelen over digitalisering of sterk afhankelijk blijven van Amerikaanse hyperscalers, ondergaat Europa's grootste luchtvaartbedrijf momenteel een strategische koerswijziging. Airbus heeft ingezien dat in tijden van geopolitieke spanningen en industriële spionage data-soevereiniteit niet zomaar een modewoord is, maar een kwestie van overleven.

Het bedrijf bereidt momenteel een grootschalige migratie voor om zijn meest kritieke bedrijfsmiddelen – van vliegtuigontwerpen tot interne technologische knowhow – buiten het bereik van de Amerikaanse CLOUD Act te houden. Met een geplande aanbesteding ter waarde van meer dan € 50 miljoen zoekt Airbus nu een manier om een ​​"soevereine cloud" in Europa te realiseren. Maar deze gedurfde stap is niet zonder risico: zelfs de raad van bestuur van Airbus schat de kans op het vinden van een technologisch capabele Europese leverancier op slechts 80 procent – ​​een alarmerend teken dat de IT-infrastructuur van Europa nog steeds achterloopt op de behoeften van de eigen industrie.

Geschikt hiervoor:

• Europese ontwerpexpertise in plaats van technologische afhankelijkheid – Het Franse cloudmodel als economische strategie

Digitale soevereiniteit: tussen retoriek en realiteit: de illusie van geen alternatief – waarom Europese bedrijven en overheden zichzelf saboteren

De paradox: wanneer besluitvormers hun eigen principes negeren

Jarenlang heeft het Europese industriebeleid de noodzaak van digitale soevereiniteit verkondigd. De Europese Commissie heeft duidelijke criteria vastgesteld met haar Cloud Sovereignty Framework, de EU-gegevenswet verplicht aanbieders tot transparantie en toegang tot gegevens, en de gehele politieke elite benadrukt regelmatig dat technologische afhankelijkheid een groot veiligheidsrisico vormt. In de praktijk gebeurt echter precies het tegenovergestelde: deelstaten zoals Beieren plannen contracten van miljarden euro's met Microsoft zonder aanbestedingsprocedures, steden zoals Luzern migreren gevoelige burgergegevens naar de Azure-cloud, en tientallen overheden wereldwijd volgen hetzelfde patroon. Dit is geen technisch probleem, maar een probleem van wil en verantwoordelijkheid.

Het geval van Beieren is bijzonder veelzeggend en legt een symptomatisch falen van Europese besluitvormers bloot. De Vrijstaat Beieren is van plan om de komende vijf jaar bijna een miljard euro uit te geven aan Microsoft 365 – voor 270.000 medewerkers van de overheid. Dit gebeurt zonder openbare aanbesteding, zonder een gedegen evaluatie van Europese alternatieven en op een moment dat digitale infrastructuren als strategisch cruciaal worden beschouwd. De kritiek vanuit open-sourcegemeenschappen, IT-verenigingen en middelgrote IT-bedrijven was massaal en systematisch, maar volgde een vooraf bepaald pad: het Microsoft-contract werd desondanks getekend. Deze beslissing is niet gebaseerd op economische overwegingen, maar eerder op gewoonte – dezelfde gewoonte die de Europese technologische onafhankelijkheid de afgelopen twee decennia heeft uitgehold.

Het tegenovergestelde standpunt wordt ingenomen door Airbus, Europa's grootste luchtvaartbedrijf. In tegenstelling tot overheidsinstanties heeft Airbus ingezien dat gevoelige gegevens – vliegtuigontwerpen, productieprocessen, technologische knowhow – niet in handen mogen vallen van Amerikaanse bedrijven die onder de Amerikaanse CLOUD Act vallen. Airbus bereidt momenteel een aanbesteding voor de migratie van kritieke applicaties naar een Europese soevereine cloud voor, met een contractwaarde van meer dan € 50 miljoen. Dit is een weloverwogen, op risico gebaseerde beslissing van een strategisch belangrijk bedrijf. Maar zelfs hier bestaan ​​twijfels: de raad van bestuur van Airbus schat de kans op het vinden van een geschikte Europese leverancier op slechts ongeveer 80 procent. Dit is geen teken van onmogelijkheid, maar eerder een teken van onvoldoende capaciteitsontwikkeling in Europa.

De CLOUD Act als stil wapen: de juridische tijdbom onder Europese data

De CLOUD Act (Clarifying Lawful Overseas Use of Data Act) werd in 2018 aangenomen en regelt de toegang van Amerikaanse autoriteiten tot bedrijfsgegevens. Op papier klinkt dit redelijk: nationale autoriteiten zouden toegang moeten hebben tot gegevens die onder hun jurisdictie vallen. Maar de praktische gevolgen van de CLOUD Act zijn veel ernstiger dan veel Europese bedrijven en autoriteiten lijken te beseffen.

De CLOUD Act is niet alleen van toepassing op data die in de VS is opgeslagen. De wet geeft Amerikaanse autoriteiten toegang tot alle data die beheerd wordt door Amerikaanse bedrijven of hun dochterondernemingen – ongeacht waar die data fysiek is opgeslagen. Concreet betekent dit dat als uw data zich in een datacenter van Microsoft in Duitsland bevindt, de Amerikaanse autoriteiten toegang kunnen vragen op grond van de CLOUD Act. Microsoft is verplicht aan dit verzoek te voldoen en is bovendien gebonden aan een zwijgplicht, wat betekent dat het de betrokken bedrijven niet mag informeren dat er om hun data is gevraagd.

Microsoft gaf in juli 2025 zelf toe in een Franse rechtszaak dat het de gegevensbescherming onder de CLOUD Act niet kon garanderen. Dit is een opmerkelijke bekentenis van Europa's grootste cloudprovider. Desondanks blijven overheidsinstanties en bedrijven overstappen op Microsoft-diensten. Het is alsof een burger een huis laat bouwen terwijl de aannemer openlijk zegt dat het dak zal lekken – en er vervolgens toch intrekt.

De situatie wordt verder verergerd door geopolitieke ontwikkelingen. De terugkeer van de regering-Trump in januari 2025 heeft de trans-Atlantische betrekkingen op het gebied van gegevensbescherming fundamenteel gedestabiliseerd. Trump ontsloeg drie Democratische leden van de Privacy and Civil Liberties Oversight Board (PCLOB) – juist het orgaan dat toezicht moet houden op de naleving van de gegevensbeschermingsnormen en de Amerikaanse inlichtingendiensten. Hierdoor is de PCLOB niet langer in staat om beslissingen te nemen. Dit ondermijnt het Transatlantic Data Privacy Framework (TADPF), dat pas recentelijk is overeengekomen en gebaseerd is op presidentiële decreten die op elk moment kunnen worden ingetrokken. Experts waarschuwen openlijk dat het hele raamwerk in gevaar is.

De geschiedenis laat een patroon zien: de VS beschouwen toegang tot data als een strategisch instrument en gebruiken cloudproviders als drukmiddel. De zaak van ICC-hoofdaanklager Karim Khan is symptomatisch: na sancties van de Trump-administratie verloor Khan de toegang tot zijn Microsoft-e-mailaccount. Microsoft beweert dat dit geen opschorting van ICC-diensten was, maar de episode benadrukt de kwetsbaarheid van organisaties die afhankelijk zijn van de Amerikaanse infrastructuur. Als de VS in een crisis of handelsconflict een "digitale schakelaar" kunnen omzetten, worden Europese infrastructuren lamgelegd.

Geschikt hiervoor:

• Waarom de US Cloud Act een probleem en risico is voor Europa en de rest van de wereld: een wet met verreikende gevolgen

Economische rationaliteit of institutionele inertie: de illusie dat er geen alternatief is

Een veelgehoord argument is: Er zijn geen Europese alternatieven. Dit is feitelijk onjuist. Er zijn Europese cloudproviders die technisch competent zijn en datasoevereiniteit bieden. De reden dat ze niet dominant zijn, is niet technologisch, maar economisch en institutioneel.

De markt is sterk geconcentreerd: AWS, Microsoft Azure en Google Cloud beheersen ongeveer 65 procent van de wereldwijde IaaS-markt. Europese aanbieders zoals IONOS, OVH, Stackit, Plusserver en de Open Telekom Cloud (T-Systems) vallen in de categorie "Overig"—ze zijn technisch volwassen, maar niet dominant. Waarom? Omdat netwerkeffecten en vendor lock-in extreem sterk zijn in de cloudsector. Als je eenmaal met AWS werkt, kun je niet zomaar overstappen naar IONOS zonder aanzienlijke migratiekosten. Nieuwe applicaties worden gebouwd op AWS omdat het de beste tools, het grootste ecosysteem en de meest gekwalificeerde ontwikkelaars biedt.

Dit is een klassiek geval van marktfalen: er bestaan ​​oplossingen, maar deze zijn niet wereldwijd dominant en worden daarom niet gebruikt. Overheidsinstanties en bedrijven richten zich op marktleiders, niet op macro-economische optima.

De EuroCloud Pulse Check 2025 laat echter een trendomkering zien: het percentage bedrijven dat digitale soevereiniteit cruciaal acht, is in vijf jaar tijd gestegen van 25 naar 47 procent. 83 procent van alle bedrijven beschouwt soevereiniteit en veerkracht nu als essentieel voor hun cloudstrategie. Nog belangrijker is dat 57 procent concrete zorgen heeft over het huidige Amerikaanse beleid en de onvoorspelbaarheid ervan. Dit is geen ideologie, maar een gefundeerde economische risicoanalyse.

De gebieden waarin Europese aanbieders concurrerend zijn, concentreren zich in gevoelige en gereguleerde sectoren: back-up en noodherstel (66 procent van de implementaties), Kubernetes en containeroplossingen (64 procent) en compliance- en dataopslagvereisten (64 procent). Dit zijn precies de gebieden waar de kritische waarde van data het hoogst is.

Kostenargumenten worden vaak aangevoerd ten gunste van Amerikaanse aanbieders. Dit is deels terecht – Microsoft en AWS hebben schaalbaarheidsvoordelen. Dit voordeel is echter vaak van korte duur. Het Beierse voorbeeld illustreert dit: de jaarlijkse kosten voor M365 E5 bedragen € 59,70 per medewerker per maand. Dit is een catalogusprijs zonder enige echte onderhandeling. Europese aanbieders zouden aanzienlijk goedkoper kunnen zijn voor vergelijkbare diensten als hun capaciteit zou worden uitgebreid. Bovendien, wanneer men rekening houdt met de risico's van de CLOUD Act, mogelijke geopolitieke sancties en de noodzaak tot veerkracht, zijn de werkelijke kosten van Microsoft niet transparant.

Branchefocus: B2B, digitalisering (van AI tot XR), machinebouw, logistiek, hernieuwbare energie en industrie

Meer hierover hier:

• Xpert Business Hub

Een thematisch centrum met inzichten en expertise:

• Kennisplatform over de mondiale en regionale economie, innovatie en branchespecifieke trends
• Verzameling van analyses, impulsen en achtergrondinformatie uit onze focusgebieden
• Een plek voor expertise en informatie over actuele ontwikkelingen in het bedrijfsleven en de technologie
• Topic hub voor bedrijven die meer willen weten over markten, digitalisering en industriële innovaties

De Gaia-X-teleurstelling: Waarom Europese initiatieven mislukken

Gaia-X werd in 2019 met veel tamtam gelanceerd. Het project had als doel een gedecentraliseerde, veilige, open en transparante Europese data-infrastructuur te bouwen. Grote spelers namen deel aan het initiatief: SAP, Bosch, Siemens, Telekom, Festo en Schunk. Het doel was om de afhankelijkheid van AWS, Azure en Google te doorbreken.

Zes jaar later is Gaia-X niet mislukt, maar het heeft ook geen marktdominantie bereikt. In het voorjaar van 2025 rezen er publiekelijk twijfels over de haalbaarheid van de projectdoelen. Waarom? Omdat Gaia-X een klassiek probleem van Europese coördinatie illustreert: decentralisatie en coördinatie zijn tegenstrijdig. Als je echt gedecentraliseerd opereert en elke cloudprovider een knooppunt kan zijn, dan is er geen duidelijke verantwoordelijkheid, geen dynamische schaalbaarheid en geen strategische focus. Als je centraal coördineert, verlies je de voordelen van decentralisatie.

Gaia-X heeft nog een probleem: het is te veel gericht op technologie. Maar het probleem is niet primair technologisch. Europese cloudproviders kunnen technisch gezien prima concurreren met de grote spelers. Het probleem zit hem in vertrouwen, schaalbaarheid en marktmacht. Een startende ondernemer vertrouwt AWS omdat AWS groot is en niet failliet zal gaan. Een Europese provider, zelfs als die technisch superieur is, wordt niet als een veilige keuze gezien.

Gaia-X had behoefte aan: echte financiële stimulansen (subsidies voor Europese bedrijven die overstappen op Gaia-X-diensten), wettelijke vereisten (overheidsgegevens moeten op Europese servers worden opgeslagen) en een duidelijke bestuursstructuur. In plaats daarvan werd het een forum voor technische standaarden en beste praktijken. Belangrijk, maar niet voldoende.

Geschikt hiervoor:

• Industrie-X: Bevordering van de ontwikkeling van logistiek en toeleveringsketens in Europa en wereldwijd via de branche-initiatieven Catena-X en Gaia-X

Institutionele incoherentie: wat Luzern en Beieren ons leren

De gevallen in Luzern en Beieren onthullen een ander patroon: institutionele incoherentie. Zwitserse en Duitse autoriteiten hebben functionarissen voor gegevensbescherming die expliciet waarschuwen dat het opslaan van gevoelige en bijzonder beschermde persoonsgegevens in Microsoft 365 niet in overeenstemming is met de gegevensbeschermingswetgeving. De kantonnale functionaris voor gegevensbescherming in Luzern waarschuwde dat gegevens die als "vertrouwelijk" zijn geclassificeerd in de Microsoft-cloud in strijd zijn met de gegevensbeschermingswet. Desondanks werden de gegevens van burgers daarheen overgebracht.

Beieren is van plan een contract van een miljard euro te sluiten zonder een openbare aanbesteding uit te schrijven, ondanks fundamentele bezwaren van de Duitse Informaticavereniging (Gesellschaft für Informatik), de OSBA (Ostfriesischer Landesverband Bayern – Beierse staatsvereniging voor clouddiensten) en de lokale IT-sector. Hun eis was duidelijk: pas de EU-criteria voor soevereine clouds toe. Het antwoord was uiteindelijk onwetendheid. De beslissing was niet gebaseerd op een zorgvuldige analyse, maar op gemakzucht en afhankelijkheid van de gebaande paden.

Dit is geen domheid, maar structuur. Grotere organisaties zijn inert. De IT-afdeling kent Microsoft, alle systemen zijn erop afgestemd en overstappen zou omscholing, migraties en risico's met zich meebrengen. Individuele besluitvormers hebben geen enkele reden om die moeite te doen. Het budget komt uit verschillende bronnen en de verantwoordelijkheid is diffuus. De functionaris voor gegevensbescherming waarschuwt wel, maar heeft geen vetorecht. Uiteindelijk wordt de weg van de minste weerstand gekozen.

Wat vooral problematisch is, is dat dit gebeurt met overheidsinstanties die met publieke middelen werken. De deelstaat Beieren besteedt belastinggeld. Als dit geld zou worden geïnvesteerd in Europese cloudproviders, zou het Europese ecosysteem worden versterkt. In plaats daarvan subsidiëren Duitse belastingbetalers impliciet de marktpositie van Microsoft. Dit is een vorm van stille technologische rente.

Het Airbus-model: Hoe ziet echte soevereiniteit eruit?

Airbus schetst een ander beeld. Het bedrijf heeft ingezien dat gevoelige gegevens – vliegtuigontwerpen, productietechnologieën, strategische kennis – onder Europees beheer moeten blijven. Daarom bereidt Airbus een aanbesteding voor voor de migratie van applicaties zoals Enterprise Resource Planning (ERP), Manufacturing Execution Systems, Customer Relationship Management en Product Lifecycle Management naar een Europese, soevereine cloud.

Het contract heeft een waarde van meer dan €50 miljoen en is ontworpen voor een periode van maximaal tien jaar. Dit is een serieuze investering. Airbus geeft een duidelijk signaal af aan de Europese markt: we hebben jullie nodig en we betalen ervoor. Dit is geen theoretische toezegging, maar een concreet businessmodel.

Maar ook Airbus heeft zo zijn twijfels. Catherine Jestin, Executive Vice President of Digital, schat de kans op het vinden van een geschikte Europese provider op slechts 80/20. Dit is geen onterechte kritiek op Europese providers, maar eerder een constatering: Europese cloudproviders zijn nog niet groot en gevestigd genoeg om het risico te dragen dat Airbus met deze migratie neemt.

Dat is de kern van het probleem. Gaia-X, Europese aanbieders, EU-regelgeving – dat is allemaal belangrijk. Maar ze moeten wel kunnen opschalen. Europese cloudproviders moeten niet alleen technisch compliant zijn, maar ook het vertrouwen winnen dat ze op de schaal van Airbus kunnen opereren. Dat vereist kapitaal, tijd en marktaandeel.

De EU-gegevenswet als keerpunt

De EU-gegevenswet, die in september 2025 van kracht werd, markeert een verschuiving in de regelgeving. Deze wet verplicht cloudproviders om bedrijven toegang te geven tot hun data en metadata, betere API's aan te bieden en de overstap naar andere providers te vergemakkelijken. Dit zijn maatregelen om vendor lock-in tegen te gaan.

In theory zou dit Europese aanbieders moeten helpen. Als overstappen kosteneffectiever wordt, kunnen Europese aanbieders gemakkelijker marktaandeel winnen. Maar de EU-gegevenswet is slechts een instrument. Het verlaagt drempels, maar creëert geen nieuwe stimulansen voor Europese oplossingen.

Wat echt nodig is, is dat overheden en grote bedrijven bewust kiezen voor Europese oplossingen, zelfs als dit op korte termijn extra kosten of aanpassingen met zich meebrengt. Dit is een politieke beslissing, geen technische.

Conclusie: Digitale soevereiniteit berust niet op woorden, maar op beslissingen

De belangrijkste conclusie is deze: er bestaat geen "natuurwet" die dicteert dat er geen alternatief is voor Amerikaanse cloudoplossingen. Alternatieven bestaan ​​wel degelijk. Ze zijn technisch volwassen, door de regelgeving getoetst en economisch haalbaar. Wat ontbreekt, is de collectieve wil.

Zolang Beieren miljarden aan Microsoft betaalt in plaats van Europese leveranciers te steunen, zolang Luzern de gegevens van burgers in Azure opslaat ondanks waarschuwingen over gegevensbescherming, en zolang de meeste Europese bedrijven de standaardroute volgen en geen alternatieven onderzoeken, zal de machtsverhoudingen op de markt niet veranderen.

Airbus begrijpt dit. Daarom bereidt het bedrijf een investering van 50 miljoen euro voor in Europese soevereiniteit. Andere grote Europese bedrijven zouden hetzelfde moeten doen. Niet uit ideologie, maar vanuit strategisch en risicomanagementoogpunt.

De geopolitieke situatie is veranderd. De onvoorspelbaarheid van de Amerikaanse politiek onder Trump, de mogelijkheid om data als wapen in te zetten, de potentiële invoering van importheffingen op digitale diensten – dit zijn geen theoretische scenario's meer. Het zijn reële mogelijkheden.

Digitale soevereiniteit is niet iets wat je kunt eisen, maar iets wat je moet beleven. Dit betekent: kortetermijngemak opgeven, investeren in capaciteitsopbouw, duidelijke regelgeving vaststellen die bepaalt dat kritieke data onder de Europese jurisdictie vallen, en bovenal: beslissingen nemen die aan deze eis voldoen. De industrie, de overheid en cloudproviders worden allen in gelijke mate opgeroepen om actie te ondernemen. Wie dit niet begrijpt of negeert, brengt de technologische toekomst van Europa in gevaar.

☑️ onze zakelijke taal is Engels of Duits

☑️ Nieuw: correspondentie in uw nationale taal!

 

Ik ben blij dat ik beschikbaar ben voor jou en mijn team als een persoonlijk consultant.

U kunt contact met mij opnemen door het contactformulier hier in te vullen of u gewoon te bellen op +49 89 674 804 (München) . Mijn e -mailadres is: Wolfenstein ∂ Xpert.Digital

Ik kijk uit naar ons gezamenlijke project.

 

 

☑️ MKB -ondersteuning in strategie, advies, planning en implementatie

☑️ Creatie of herschikking van de digitale strategie en digitalisering

☑️ Uitbreiding en optimalisatie van de internationale verkoopprocessen

☑️ Wereldwijde en digitale B2B -handelsplatforms

☑️ Pioneer Business Development / Marketing / PR / Maatregel

Xpert.Digital heeft diepe kennis in verschillende industrieën. Dit stelt ons in staat om op maat gemaakte strategieën te ontwikkelen die zijn afgestemd op de vereisten en uitdagingen van uw specifieke marktsegment. Door continu markttrends te analyseren en de ontwikkelingen in de industrie na te streven, kunnen we handelen met vooruitziende blik en innovatieve oplossingen bieden. Met de combinatie van ervaring en kennis genereren we extra waarde en geven onze klanten een beslissend concurrentievoordeel.

Meer hierover hier:

• Gebruik de 5 -voudig competentie van Xpert.Digital in één pakket - van 500 €/maand