Eine Sovereign Cloud (souveräne Cloud) ist ein Cloud-Computing-Modell, das darauf ausgelegt ist, Daten und IT-Infrastrukturen unter die strikte Kontrolle nationaler oder regionaler Gesetze und Regulierungen (wie die DSGVO in der EU) zu stellen.
Kernmerkmale einer Sovereign Cloud
- Datensouveränität: Daten werden ausschließlich in einem bestimmten Rechtsraum gespeichert und verarbeitet.
- Operative Souveränität: Der Betrieb der Cloud erfolgt durch Personal, das Sicherheitsüberprüfungen der jeweiligen Region unterliegt.
- Technologische Souveränität: Vermeidung von Abhängigkeiten durch offene Standards und Interoperabilität (Vermeidung von „Vendor Lock-in“).
Kritische Bewertung im Hinblick auf „echte Datensouveränität“
Der Begriff wird oft als ultimative Lösung vermarktet, doch bei genauerer Betrachtung ergeben sich erhebliche Einschränkungen:
1. Das Problem mit dem US Cloud Act
Der entscheidende Schwachpunkt vieler „souveräner“ Angebote von US-Hyperscalern (wie Microsoft, AWS oder Google) ist der US Cloud Act.
- Extra-territorialer Zugriff:
US-Behörden können US-Unternehmen dazu verpflichten, Daten herauszugeben, selbst wenn diese auf Servern in Europa gespeichert sind. - Echte Souveränität vs. Vertragliche Souveränität:
Während eine Sovereign Cloud vertraglich zusichert, dass Daten in der EU bleiben, hebelt das US-Recht dies für die Mutterkonzerne oft aus. Eine „echte“ Datensouveränität ist somit nur bei Anbietern gegeben, die keinen Sitz oder Mutterkonzern in den USA haben.
2. Technologische Abhängigkeit (Software-Stack)
Viele europäische Sovereign-Cloud-Lösungen basieren technologisch dennoch auf den Software-Stacks der US-Riesen. Wenn die zugrundeliegende Technologie proprietär ist, behält der US-Anbieter die Kontrolle über Updates, Verschlüsselungsstandards und Hintertüren. Echte Souveränität setzt voraus, dass die Technologie (z.B. via Open Source wie OpenStack) unabhängig betrieben und auditiert werden kann.
3. Die Komplexität der Verschlüsselung
Anbieter werben oft mit „Bring Your Own Key“ (BYOK). Damit die Cloud-Dienste (wie KI oder Datenbankanalysen) jedoch funktionieren, müssen die Daten zur Verarbeitung oft im Arbeitsspeicher entschlüsselt werden. In diesem Moment besteht theoretisch wieder Zugriffspotenzial, was die Souveränität einschränkt.
Fazit
Eine Sovereign Cloud ist ein wichtiger Schritt für Compliance und Datenschutz, bietet aber keinen absoluten Schutz vor dem Zugriff fremder Geheimdienste, solange US-Unternehmen in die Bereitstellung involviert sind.
Für echte Datensouveränität müssten Unternehmen auf rein europäische Anbieter setzen (z.B. im Rahmen von Gaia-X) oder Lösungen nutzen, die eine vollständige technische und rechtliche Entkopplung von US-Rechtsräumen garantieren.
Weitere Informationen zur Umsetzung in Deutschland finden Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
