BSI begleitet Start der AWS European Sovereign Cloud
Das Bundesamt für Sicherheit in der Informationstechnik unterstützt Amazon Web Services bei der Ausgestaltung einer eigenständigen Cloud-Infrastruktur für Europa. Das Projekt soll digitale Souveränität ermöglichen.
Am 15. Januar 2026 ist die AWS European Sovereign Cloud (ESC) gestartet. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelt es sich dabei um eine eigenständige Cloud-Infrastruktur, die sich vollständig innerhalb der Europäischen Union befindet.
Der Betrieb soll sowohl physisch als auch logisch von der globalen AWS-Instanz unabhängig sein. Das BSI hat den US-Cloud-Anbieter Amazon Web Services bei der Konzeption der Sicherheits- und Souveränitätsmerkmale unterstützt und will die Umsetzung nach eigenen Angaben eng begleiten.
BSI-Präsidentin Claudia Plattner erläuterte die Strategie der Behörde: „Um mit digitalen Innovationen Schritt zu halten und gleichzeitig digitale Souveränität zu ermöglichen, verfolgt das BSI eine Doppelstrategie.“ Diese umfasse erstens die Stärkung des europäischen Marktes und der hiesigen Digitalindustrie. Zweitens müssten außereuropäische globale Produkte so angepasst und eingebettet werden, dass eine sichere und selbstbestimmte Nutzung möglich werde. „Die Zukunft der Hyperscaler in Europa sind daher Angebote wie die AWS European Sovereign Cloud“, so Plattner.
Technische Entkopplung als Souveränitätsgarantie
Aus Sicht des BSI soll die AWS European Sovereign Cloud technische und strukturelle Souveränitätsmerkmale kombinieren. Zu den zentralen Aspekten gehört demnach neben der technischen Unabhängigkeit von der globalen Partition ein eigenständiges Personal, das den Regelbetrieb einschließlich der kontinuierlichen Schließung von Sicherheitslücken sicherstellt. Es soll ausschließlich aus EU-Bürgern bestehen und sowohl technisch als auch organisatorisch eigenständig agieren.
Darüber hinaus fordert das BSI technische Kontrollschichten, die verhindern sollen, dass Nutzerdaten aus dem EU-Raum abfließen können. Ebenso soll ausgeschlossen werden, dass eine externe Steuerung oder Abschaltung der Instanz – ein sogenannter Kill-Switch – von außen vorgenommen werden kann. Diese Anforderung erstreckt sich laut der Behörde auch auf Updates, die in die ESC eingespielt werden.
Stéphane Israël, Managing Director AWS European Sovereign Cloud and Digital Sovereignty, betonte die Zielsetzung aus Unternehmenssicht: „Kunden wollen das Beste aus beiden Welten – sie möchten die komplette Palette der fortschrittlichen Cloud- und KI-Services von AWS nutzen können und gleichzeitig sicherstellen, dass sie strengste Souveränitätsanforderungen erfüllen können.“
Durch den Aufbau einer Cloud, die in Technologie, Betrieb und Kontrolle vollständig europäisch sei, könnten Organisationen mit Zuversicht innovieren und dabei die vollständige Kontrolle über ihre digitalen Ressourcen behalten.
Rechtlicher Konflikt zwischen CLOUD Act und DSGVO
Der Hintergrund des Projekts ist ein grundlegender Konflikt. Der US CLOUD Act von 2018 verpflichtet amerikanische Technologieunternehmen, US-Behörden auf Anforderung Daten herauszugeben – unabhängig davon, wo diese Daten gespeichert sind. Selbst wenn Daten auf Servern in der EU liegen, kann ein US-Gericht die Herausgabe anordnen, weil die Muttergesellschaft US-Recht unterliegt.
Dieser Umstand steht im direkten Widerspruch zur europäischen Datenschutz-Grundverordnung (DSGVO), die einen solchen Zugriff verbietet. Der Europäische Gerichtshof erklärte aus diesem Grund im sogenannten Schrems-II-Urteil das Datenabkommen „Privacy Shield“ für ungültig.
Die AWS European Sovereign Cloud soll dieses rechtliche Problem durch technische und organisatorische Maßnahmen umgehen. Die Strategie dahinter: Wenn das US-Unternehmen Amazon Web Services Inc. weder physischen noch administrativen Zugriff auf die Daten und die Infrastruktur der ESC hat, kann es auch nicht durch ein US-Gericht gezwungen werden, diesen Zugriff zu gewähren.
Offene Fragen bleiben
Trotz der umfangreichen technischen Maßnahmen bleibt ein grundsätzliches Problem bestehen: Solange die europäische Cloud-Instanz Teil eines US-Konzerns ist, existiert weiterhin eine rechtliche und wirtschaftliche Abhängigkeit. Ein Geschäftsführer einer europäischen Tochtergesellschaft ist grundsätzlich den Weisungen der Muttergesellschaft unterworfen. Die technischen Kontrollschichten sollen jedoch verhindern, dass ein solcher Einfluss praktische Auswirkungen auf den Datenzugriff hat.
Ob diese Entkopplung ausreicht, will das BSI nun prüfen. Die Behörde kündigte an, den Status der Entkopplungsfähigkeit zu bewerten und zur weiteren Optimierung der Souveränitätsmerkmale beizutragen.
BSI kündigt Souveränitätskriterien für Cloud-Lösungen an
Im Laufe des Jahres 2026 will das Amt auf Basis des EU Cloud Sovereignty Frameworks allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen. Diese Kriterien sollen laut der Behörde als Grundlage für die Bewertung des Autonomiegrades von Cloud-Lösungen dienen und unter anderem auch in Beschaffungsprozessen eingesetzt werden können.
sf/BSI
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
