Es sei wie mit dem Thema Nachhaltigkeit: „Wenn ein Wort im Trend liegt, klebt das jeder bei sich drauf.“ So beschreibt Peter Ganten die Diskussion um die „souveräne Cloud“, die in jüngster Zeit Fahrt aufgenommen hat. Ganten ist Vorstandsvorsitzender der OSB Alliance, des Bundesverbands für Digitale Souveränität. Er verfolgt die Entwicklung schon sehr lange. Vor rund zehn Jahren war er bereits Teil einer Arbeitsgruppe in Berlin, die eine Definition für digitale Souveränität finden wollte, da war das Thema noch nicht in der öffentlichen Debatte angekommen. Das hat sich seitdem geändert.

Die aktuelle Diskussion um die souveräne Cloud dreht sich vor allem um die Frage: Wer bietet sie wirklich an, die absolute Souveränität, und wer betreibt nur Augenwischerei? Konkret gefragt: Wer hat den Zugriff auf die Daten deutscher Unternehmen? Und welcher Anbieter betreibt seine Systeme wirklich selbstständig und unabhängig? Ist es eine deutsche Firma auf deutschem Boden, wo stehen die Rechenzentren und welche Gesetze gelten eigentlich?

Souverän heißt in diesem Zusammenhang: unabhängig von den USA zu sein. Deshalb sind vor allem die Hyperscaler – sprich Amazon, Google und Microsoft – „die Bösen“. Auf der anderen Seite stehen „die Guten“ – zumindest auf den ersten Blick: deutsche Unternehmen, die alternative Cloud-Lösungen zu den US-Konzernen anbieten und damit Souveränität versprechen. Darunter sind die Deutsche Telekom, SAP, Delos, Ionos oder die Schwarz-Gruppe.

Die Kritik an den Angeboten der US-Konzerne ist offenkundig: Die Abhängigkeit von den USA kann gefährlich werden – vor allem in Zeiten von Donald Trump und Handelskriegen. Aber ganz so einfach ist es nicht. Kritik gibt es auch an deutschen Angeboten, und manch einer findet, die Diskussion sei zu emotional und gehe an der Realität vorbei.  

Die großen US-Cloudanbieter kommen laut T-Systems auf einen Marktanteil von mehr als 70% im europäischen Cloud-Markt. Damit diktierten sie nicht nur die technologischen Standards, heißt es, sie hätten auch Einfluss auf die wirtschaftlichen und rechtlichen Bedingungen, unter denen europäische Kunden arbeiten.

Gerade die rechtliche Seite bekommt immer wieder viel Aufmerksamkeit: Kritiker beziehen sich häufig auf den Cloud Act in den USA. Dieser besagt, dass US-Behörden auch dann auf Kundendaten in den Rechenzentren amerikanischer IT-Firmen und Cloud-Provider zugreifen dürfen, wenn die Standorte außerhalb des Landes liegen.

Aber das sei noch nicht alles, sagt Verbandsvertreter Ganten. Er verweist auf das Instrument „National Security Letter“ der NSA. „Da werden Unternehmen aufgefordert, Daten auszuhändigen. Und Unternehmen dürfen auch gar nicht darüber sprechen.“ Diese Intransparenz in der Interaktion mit dem US-Geheimdienst sieht Ganten als noch problematischer an als den häufig erwähnten Cloud Act.

Ein Unternehmen, dessen Angebot unter den Cloud Act fällt, ist Amazon Web Services (AWS). AWS bewirbt derzeit seine „European Sovereign Cloud“, die Ende des Jahres in Deutschland verfügbar sein soll. Der Betrieb soll vollständig von der globalen AWS-Cloud getrennt sein. Dafür hat AWS eine Muttergesellschaft und drei Tochtergesellschaften gegründet, die in Deutschland eingetragen sind. Die gesamte Infrastruktur sei separiert und der Betrieb einschließlich Support finde nur in der EU statt.

Der Cloud Act greift trotzdem. Doch betont das Unternehmen, dass es nach US-Recht noch nie zur Herausgabe europäischer Kundendaten gezwungen gewesen sei. AWS ist es wichtig zu konkretisieren, worum es geht: Damit US-Behörden die Herausgabe der Daten verlangen können, müsse das Unternehmen in eine mutmaßliche Straftat verwickelt sein. Es gebe aber auch das Recht, entsprechende Anfragen anzufechten, wenn sie mit nationalen Gesetzen kollidierten, einschließlich der DSGVO. Außerdem gebe es noch eine Möglichkeit, das Restrisiko zu eliminieren, dass wirklich keine Daten in den USA landen: Die Daten in der Cloud einfach verschlüsseln. „Dann können im Ernstfall auch nur maximal verschlüsselte Daten abgerufen werden“, erklärt Michael Hanisch, Head of Technology bei AWS in Deutschland.

„Aus meiner Sicht sind all diese Angebote der Hyperscaler Etikettenschwindel“, sagt der Chef des Open-Source-Unternehmens Nextcloud, Frank Karlitschek. Er spricht von „Sovereignty Washing“. Dass Angebote aus Deutschland allerdings automatisch als unbedenklich eingestuft werden könnten, ist seiner Meinung nach auch nicht der Fall.

Wie komplex die Diskussion ist, zeigt das Beispiel von SAP und Delos: Die Delos GmbH ist ein Tochterunternehmen des Softwarekonzerns mit Standorten in Walldorf und Berlin. Sie wurde 2022 gegründet, um eine souveräne Cloud-Plattform zu bauen. Die Cloud von Delos soll ebenfalls Ende des Jahres verfügbar sein. Thomas Saueressig, der für Cloud zuständige SAP-Vorstand, nennt sein Produkt „extrem souverän. Quasi der Goldstandard“.

Doch Kritiker monieren: Hinter dem Angebot stecke Microsoft-Technologie – der Wolf im Schafspelz sozusagen. Saueressig erklärt, warum er darin trotzdem kein Problem sieht: „Wir kaufen die Technologie von Microsoft und dann wird sie komplett autark betrieben. Auch Softwarelösungen wie Office 365 – allerdings abgekoppelt, so ähnlich wie „on-premise““ - also lokal gespeichert, ohne Zugriff aus den USA. Das Problem: Software braucht Updates. In dem hypothetischen Fall, dass die USA alles abschalten würden, „könnten wir Delos vorerst normal weiterbetreiben“, sagt Saueressig. Allerdings wäre die Zeit endlich.

Neben der geplanten Delos-Cloud bietet SAP noch eine weitere Möglichkeit ohne Hyperscaler-Technologie an. Aber auch damit sind Kritiker wie Verbandschef Ganten nicht zufrieden. „SAP ist auf dem Papier ein deutsches Unternehmen, hat aber trotzdem ein hohes wirtschaftliches Interesse daran, die Wünsche und Anforderungen der USA zu erfüllen.“ Denn SAP macht einen großen Teil seines Umsatzes in Amerika und hat Verträge mit US-Behörden. Wie wichtig der Markt für die Walldorfer ist, hat sich bei der Diskussion um die DEI-Programme in den USA gezeigt. Im Zuge dieser hatte SAP ihre Frauenquote gestrichen – wenngleich der Konzern betont, die Diversitätsprogramme liefen weiter.

An vielen Stellen sei die Diskussion um die Sovereign Cloud philosophisch, entgegnet der SAP-Vorstand. Im Mittelpunkt der Debatte stehe ein Fall, der vermutlich niemals eintreten werde. Und überhaupt: Ihn störe, dass die Amerikaner wieder „die Bösen“ seien. Was sei mit asiatischen Herstellern? Von denen seien Unternehmen genauso abhängig. Am Ende könnten nur eigene, unverzichtbare Produkte die Europäer schützen, sagt Saueressig.

Aus Sicht von Frank Karlitschek vom Open-Source-Unternehmen Nextcloud greift die Debatte um die Sicherheit der Daten und den Betrieb der Cloud ohnehin zu kurz. Er verweist auf die Marktmacht der US-Anbieter, die er schon heute als problematisch ansieht. „Microsoft hat in den vergangenen Jahren mehrfach die Preise erhöht, erst vor kurzem wieder um 40%. Das können sie nur wegen ihrer Monopolstellung durchsetzen.“