SzA für OT

US-Souverän ≠ EU-Souverän

Jan Fischer
Head of Sales Rhebo
18.11.2025
5 min

US-Tech-Unternehmen kämpfen gerade um ihr Image und versuchen, mit Souveränitätsversprechen EU-Kunden zu halten. Wie so oft herrscht mehr Schein als Sein. Das ZenDiS spricht konkreter von einem Etikettenschwindel und Souveranitäts-Washing.

US-Technologieunternehmen und insbesondere große Plattformbetreiber wie Microsoft, AWS und Co. haben in den letzten Monaten einiges an Energie verwendet, um ihre Tentakel in europäischen Betrieben zu halten. Abgesehen davon, dass die Betriebe gar nicht so schnell auf europäische Anbieter umstellen können, hat der Ruf nach deutscher und europäischer digitaler Souveränität offenbar verfangen.  

Blackout per Killswitch

Zu Recht, wie zwei entscheidende Ereignisse 2025 verdeutlichen.

Im Februar suspendierte Microsoft den Account des Chefanklägers des Internationalen Strafgerichtshofs (IStGH), Karim Khan. Seine Bank sperrte zudem seine Konten in Großbritannien. Grund dieser radikalen Maßnahmen waren keine kriminellen Machenschaften seitens Khan, sondern Donald Trumps Wille. Dieser hatte den IStGH wegen der Haftbefehle gegen den israelischen Premier Netanjahu und dessen früheren Verteidigungsminister Gallant sanktioniert.1 Microsoft unterwarf sich daraufhin dem Willen der US-Regierung.

Einen Monat später bestätigte der Chefjustiziar von Microsoft Frankreich unter Eid, dass Daten von EU-Kunden auf EU-Servern nicht grundsätzlich vor dem Zugriff der US-Behörden geschützt sind.2 Microsoft unterliegt als US-Unternehmen dem US Cloud Act und dem Foreign Intelligence Surveillance Act (FISA).  Insbesondere die Sektion 702 des FISA erlaubt es US-Geheimdiensten, auf Kommunikationsdaten ausländischer Personen zuzugreifen – unabhängig davon, wo auf der Welt die Daten gespeichert und verarbeitet werden.3

Des Königs neue Kleider

Seitdem läuft im großen Maßstab die Werbetrommel mit Wortneufindungen und all den Spins, Ablenkungsmanövern und selektiven Informationen, die ein budgetschweres Marketing im Waffenarsenal hat.

Das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) spricht in seinem August 2025 veröffentlichten Whitepaper “Souveränitäts-Washing bei Cloud-Diensten erkennen” explizit von einem Etikettenschwindel. Die Autor:innen konstatieren: [Die Reaktion der Nicht-EU-Unternehmen] auf das europäische Streben nach mehr Digitaler Souveränität sind neue Produkte, die Souveränität versprechen – aber faktisch nicht liefern.”4

Neben juristischen Risiken beim Datenschutz nennt ZenDiS zu Recht das Risiko, durch proprietäre Systeme der Anbieter in einen Architektur-Lock-in zu geraten. Das bedeutet, in eine langfristige Abhängigkeit zu geraten, weil ein späterer Anbieterwechsel ökonomischer und organisatorischer Selbstmord wäre. Digitale Souveränität sei somit nicht nur eine Frage der DSGVO, sondern beinhalte auch Wechselfähigkeit, Datenkontrolle, Transparenz und Gestaltbarkeit.

Aktuell versuchen (insbesondere) US-Technologieunternehmen über vier Wege / Spins, ihre EU-Kunden zu überzeugen:

  1. Ein besonderes Datenschutzversprechen mit so genannten “Datengrenzen”, das jedoch unter US-amerikanischer (und sicherlich auch chinesischer) Rechtsprechung nichts gilt.
  1. Eigene Rechenzentren auf EU-Boden, die nach FISA 702 jedoch auch von US-Behörden “besucht” werden dürfen.
  1. Behauptungen, digitale Souveränität sei nicht genau definiert und deshalb solle man der Definition der wohlgesonnenen Interessensvertreter glauben.
  1. Kooperationen mit europäischen Unternehmen, die unter “alter Wein in neuen Schläuchen” fallen.

Gerade die 4. Strategie ist verlockend, steigert sie doch tatsächlich den Einzelaspekt des Datenschutzes. So bietet SAP die Delos-Cloud an und kann dort als deutsches Unternehmen Datenschutz nach DSGVO durchsetzen. Jedoch basiert die gesamte Cloud auf proprietärer Microsoft-Architektur. Erhält das US-Unternehmen irgendwann einen Anruf vom US-Präsidenten, kann es passieren, dass es von heute auf morgen keine Sicherheits- und Funktionsupdates mehr liefert. Laut Delos Co-Chef Georges Welz würde die Delos-Cloud dann nur einige Monate weiterlaufen können.5 Digitale Souveränität sieht anders aus.

Bequemlichkeit oder Souveränität?

Diese Aspekte gelten nicht nur bzgl. Cloudanbietern und Hyperscalern. Unternehmen (und Privatpersonen) müssen grundsätzlich überlegen, wie sie im Digitalen langfristig effizient und zugleich unabhängig von politischer und monopolistischer Willkür bleiben wollen. Das wird anstrengend, denn dafür müssen wir uns von der Bequemlichkeit verabschieden, mit denen uns seit 20 Jahren US-Tech-Plattformen pämpern.

Doch was bringt beispielweise ein System zur Angriffserkennung, das für befreundete Geheimdienste Türchen offenhält oder plötzlich nicht mehr funktioniert? Den Fallout des Zugriff- und Datenhungers von Behörden hat die Welt vor knapp zehn Jahren erlebt. 2016 wurde der NSA der selbstentwickelte Exploit “EternalBlue” gestohlen. Die Behörde hatte die dazugehörige Schwachstelle im Microsoft-Betriebssystem zuvor über 5 Jahre geheim gehalten und ausgenutzt. 2017 machte die Ransomware WannaCry die Runde, mit "EternalBlue” als Generalschlüssel im Gepäck.

Auch in der OT-Sicherheit sollte deshalb OT Security Made in Germany gelten.