Datensouveränität: Zwischen Wunschdenken und Wirklichkeit

Erst hieß es: Wer nicht in der Cloud ist, ist von gestern. Heute heißt es: Wer in der Cloud bleibt, könnte bald ein böses Erwachen erleben. Auch wenn der Trend noch relativ klein ist, denken immer mehr Firmen darüber nach, ihre bei großen US-Hyperscalern wie Amazon AWS oder Microsoft Azure gehosteten Daten wieder auf eigene Server zurückzuholen. Doch ist eine von US-Konzernen unabhängige, souveräne Cloud realistisch und sinnvoll?

• Abhängigkeit & Kosten: Unternehmen fühlen sich von US-Clouds abhängig und kämpfen mit hohen Gebühren, versteckten Kosten und Sicherheitsrisiken.
• Datensouveränität: Europa strebt Unabhängigkeit an, scheitert aber bisher an rechtlichen, wirtschaftlichen und organisatorischen Hürden.
• Hybride Modelle: Realistischer Weg – gerade für kleine Unternehmen – ist die Kombination aus privaten/europäischen Clouds für sensible Daten und Public Clouds für flexible Workloads.

Viele Organisationen überlegen, ob sie ihre Cloud-Strategien ändern sollen. Die Gründe dafür sind vielfältig: hohe Preise, schwierige Bedienung, unerklärliche Leistungseinbußen und unklare rechtliche und technische Sicherheitsfragen. Laut Bitkom fühlt sich deshalb mehr als die Hälfte der Unternehmen ihren Cloud-Anbietern ausgeliefert.

Das Unbehagen wirft grundlegende Fragen auf: Wie steht es eigentlich um unsere digitale Souveränität? Europa wirkt immer mehr wie eine digitale Kolonie der US-Konzerne, und das wird als Problem wahrgenommen. 78 Prozent der Unternehmen finden, dass Deutschland zu sehr von amerikanischen Anbietern abhängig ist. Lucy Czachowski vom Digitalverband Bitkom bringt es auf den Punkt: „Wir brauchen Ökosysteme, die es uns ermöglichen, hybride IT-Architekturen modular und souverän zu beherrschen“. Anders gesagt: Die Datenhoheit gehört in europäische Hände – und zwar ohne Hintertüren, Funktionseinbußen oder Mondpreise.

Unternehmer realisieren zunehmend die wahren Kosten ihrer Cloudlösungen. Denn neben den monatlichen Gebühren gibt es eine Vielzahl versteckter Kosten, beispielsweise für Schulungen und den Verwaltungsaufwand bei der Cloudmigration, Lock-in-Effekte, Backups für Ausfälle oder notwendige Compliance-Anpassungen. Deshalb verlassen mittlerweile etliche Unternehmen die Cloud. So spart das Softwareunternehmen 37signals beispielsweise rund zwei Millionen Dollar im Jahr, seit es seine Daten wieder in einem eigenen Rechenzentrum verwaltet. Hinzu kommen sensible technische Probleme: Laut einer Studie des Marktforschungsunternehmens Vanson Bourne haben 52 Prozent der befragten Unternehmen angegeben, in der Cloud Datenverluste erlitten zu haben. Letztendlich steht bei vielen Unternehmen deshalb der Wunsch nach Unabhängigkeit im Vordergrund. Und das nicht nur wegen der Unberechenbarkeit von US-Präsident Donald Trump. Eine Partnerschaft mit US-Konzernen offenbart sich zunehmend als unkalkulierbares Risiko.

Was bedeutet Datensouveränität eigentlich?

Nichtsdestotrotz hat sich jüngst niemand Geringeres als BSI-Präsidentin Claudia Plattner kritisch zu den deutschen Ambitionen beim Thema Datensouveränität geäußert. In einem Interview mit der Deutschen Presse-Agentur (dpa) erklärte sie, dass „digitale Souveränität für Deutschland auf absehbare Zeit nicht erreichbar“ sei und widersprach damit dem Wunschdenken vieler politischer Sonntagsreden. Diese Aussage löste eine breite und kontroverse Debatte aus. Zahlreiche Experten, Open-Source-Verbände und Unternehmen reagierten mit einem offenen Brief und betonten darin, dass Datensouveränität in Europa und Deutschland durchaus möglich sei, wenn sie politisch gewollt und entschlossen vorangetrieben werde. Plattner ist jedoch nicht die einzige Skeptikerin. Laut Linus Müller, IT-Security-Experte und Pressesprecher des Chaos Computer Clubs, hat sie „nichts als die Wahrheit gesagt“.

Tatsächlich ist der Begriff „Datensouveränität“ in den letzten Jahren zu einem Buzzword deutscher Politiker geworden. Dabei darf bezweifelt werden, ob viele von ihnen überhaupt verstanden haben, was dies im Detail bedeutet. Oberflächlich betrachtet geht es darum, die Kontrolle über die eigenen Daten zu bewahren und unabhängig von amerikanischen Tech-Giganten zu werden. Das klingt erst einmal super: Die eigenen Daten werden sicher in deutschen Rechenzentren verwaltet und sind vor neugierigen Blicken aus Übersee geschützt. Doch wie realistisch ist dieses Ziel?

Datensouveränität ist kein Selbstläufer

Dazu einige nüchterne Fakten: In der Theorie ist Datensouveränität leicht realisierbar. In der Praxis sieht die Sache jedoch etwas anders aus. Datensouveränität ist in der Umsetzung ein extrem kompliziertes und ambitioniertes Projekt, an dem schon viele Initiativen kläglich gescheitert sind. Die größten Probleme ergeben sich weniger aus technischen als aus wirtschaftlichen und juristischen Gründen. Was nützt beispielsweise die Möglichkeit, den Cloudanbieter wechseln zu können, wenn der Aufwand dafür unübersehbar groß und risikobehaftet ist? Oder wenn wesentliche rechtliche Fragen – etwa zum Datentransfer zwischen den USA und Europa – letztlich ungeklärt sind und internationale Abkommen sowie Urteile vor Gericht Jahre auf sich warten lassen?

So bastelt Europa seit Jahren an einer eigenen Cloud-Lösung: dem sagenumwobenen Projekt GAIA-X. Viel wurde versprochen, wenig geliefert. Während Google, Microsoft und Amazon ihre Cloud-Infrastrukturen flächendeckend über den europäischen Kontinent verteilen, diskutiert man hierzulande immer noch über Standards, Schnittstellen und föderale Zuständigkeiten. GAIA-X ist bislang eher ein ambitioniertes Schaufensterprojekt als eine ernsthafte Alternative.

Gleichzeitig bieten US-Clouds nach wie vor erhebliche Vorteile: Dazu gehören geringe Einstiegskosten, insbesondere für kleine Unternehmen, sowie eine sofort verfügbare und beliebig skalierbare IT-Infrastruktur, die nicht selbst aufgebaut werden muss. Auf der Backend-Ebene stellen US-Konzerne weit verbreitete und einfach bedienbare Software wie Microsoft 365 zur Verfügung, die mit wenigen Klicks einsatzbereit ist. Realistisch betrachtet gibt es dafür keine ernstzunehmenden europäischen Alternativen. Hinzu kommt, dass die Konzerne auf die europäische Kritik reagiert haben. Mittlerweile bieten sie Souveränitätslösungen für die Cloud an, die europäischen Unternehmen eine vollständige Kontrolle über ihre Daten ermöglichen sollen. So trennt AWS beispielsweise die komplette europäische Infrastruktur sowie das zuständige Management vollständig von anderen Regionen der Welt, um auch den strengsten Compliance-Anforderungen europäischer Kunden gerecht zu werden.

Dennoch sollte jedem bewusst sein, dass selbst wenn Microsoft oder AWS mit sicheren Serverstandorten in Deutschland werben, auf denen die Daten ihrer europäischen Kunden völlig souverän verwaltet werden können, dies nicht bedeutet, dass ein Zugriff durch US-Behörden im Zweifelsfall völlig ausgeschlossen ist. Denn letztlich handelt es sich um Unternehmen, die immer noch der US-amerikanischen Rechtsprechung unterliegen, und wie weit der US-Cloud-Act letztlich greift, ist juristisch nach wie vor umstritten.

Ist ein Cloud-Exit immer sinnvoll?

Niemand sollte auf schnelle Lösungen aus der Politik hoffen. Denn es ist im Interesse der europäischen Cloud-Anbieter, dass die juristischen Unsicherheiten bei der Nutzung von US-Clouds bestehen bleiben. Ohne diese Unsicherheit wäre ihr stärkstes Verkaufsargument weg, und die Vorteile der US-Konzerne würden schwerer wiegen. Deshalb werden die europäischen Konkurrenten der US-Konzerne zwar nach außen hin für weitere Datenabkommen eintreten, hinter verschlossenen Türen jedoch eher dagegen lobbyieren.

Unternehmen sollten sich also genau überlegen, ob sie Daten und Lösungen aus US-Clouds in europäische oder eigene Infrastrukturen zurückführen. Eine solche Entscheidung erfordert eine sehr sorgfältige Analyse und Planung im Einzelfall. Denn nicht in jedem Fall ist der Rückzug sinnvoll. So muss beispielsweise zwischen unbedenklichen Daten, die weiterhin in einer öffentlichen Cloud bleiben können, und solchen, die so sensibel sind, dass sie besser auf dem eigenen Server aufgehoben sind, unterschieden werden. Hybride Modelle, also die Kombination aus privater und öffentlicher Cloud, gewinnen deshalb in Zukunft immer mehr an Bedeutung.

Deutsche und europäische Entwicklungen

Die technischen, wirtschaftlichen und politischen Hürden für eine europäische Datensouveränität sind nach wie vor enorm. Bisher ist es Europa nicht gelungen, eine konkurrenzfähige, wirklich souveräne Cloud zu etablieren. Das heißt jedoch nicht, dass wir die Flinte ins Korn werfen sollten. Mit der Magenta Cloud gibt es zum Beispiel eine deutsche Alternative für Privatkunden und kleine Firmen. Zwar bedeutet sie keine absolute Garantie für vollständige Datensouveränität auf höchster staatlicher Ebene, sie ist aber eine der souveränsten und datenschutzfreundlichsten Lösungen im deutschen Cloud-Markt. Wer maximale Kontrolle und Schutz nach deutschem Recht sucht, ist hier deutlich besser aufgehoben als bei US-Anbietern. Ein weiteres Angebot wurde jüngst von Schwarz Digits und Partnern angekündigt: Mit dem DataHub Europe wurde eine europäische Daten- und KI-Plattform gegründet. „Mit dem DataHub Europe schaffen wir eine europäische Alternative zu Plattformanbietern, die unsere Werte nicht teilen. Wir ermöglichen KI-Innovation in einem souveränen, DSGVO-konformen Rahmen – mit Rechenzentren und Cloud-Infrastruktur in Europa“, so Co-CEO Christian Müller von Schwarz Digits.

In diesem Zusammenhang ist auch der Plan der EU zu erwähnen, sogenannte „Gigadatencenter“ bzw. KI-Gigafabriken in Europa aufzubauen, um technologische Souveränität und Wettbewerbsfähigkeit zu stärken. Kern der Initiative ist der massive Ausbau einer europäischen Daten- und Supercomputing-Infrastruktur. Diese soll es ermöglichen, KI, Big Data und Cloud-Dienste im großen Maßstab bereitzustellen – und das unabhängig von US-amerikanischen oder asiatischen Anbietern. Es bleibt abzuwarten, ob dieser Plan ein besseres Schicksal ereilt als andere ambitioniert gestartete europäische Projekte wie Gaia-X.

Hybride Cloud-Lösungen als Kompromiss – gerade für kleine Unternehmen

Die Debatte um den Cloud-Exit ist somit auch eine Debatte über die Zukunftsfähigkeit der europäischen Digitalwirtschaft. Sie zwingt Unternehmen, ihre IT-Architektur zu optimieren und ihre Abhängigkeiten kritisch zu hinterfragen. „Wer digitale Souveränität ernst nimmt, wird künftig nicht nur die Leistungsfähigkeit eines Cloud-Angebots bewerten, sondern auch dessen Herkunft, Kontrollmöglichkeiten und Integrationsfähigkeit in ein europäisches Ökosystem“, sagt Mario Brouwers, stellvertretender Vorsitzender der AGEV.

Ein vollständiger Rückzug aus der Cloud ist gerade für kleine Unternehmen jedoch weder realistisch noch wirtschaftlich sinnvoll. Zu groß sind die Vorteile, die Public-Cloud-Dienste in puncto Skalierbarkeit, Innovationsgeschwindigkeit und Zugang zu neuen Technologien bieten. Die Frage ist nicht, ob Unternehmen Cloud-Dienste nutzen sollten, sondern wie sie dies tun, um Innovation, Sicherheit und Unabhängigkeit gleichermaßen zu gewährleisten. Hybride IT-Modelle bieten hier einen pragmatischen Mittelweg: Kritische und sensible Daten verbleiben in einer privaten oder vertrauenswürdigen europäischen Cloud, während weniger sicherheitsrelevante Workloads flexibel in internationalen Public Clouds betrieben werden. So lassen sich Kosteneffizienz, Flexibilität und digitale Souveränität in Einklang bringen.

„Der Cloud-Exit sollte nicht als Entweder-oder, sondern als Chance auf eine strategische Neugewichtung verstanden werden – mit dem Ziel, die Kontrolle zu behalten, ohne die Vorteile moderner Cloud-Services aufzugeben”, ergänzt Mario Brouwers seine Einschätzung.