Choose Language

Zurück zum Blog
EU Data Sovereignty Cloud Providers 2026

Deine Cloud sagt 'EU-Region'. Deine Daten können trotzdem vor US-Gerichten landen.

Ein Urteil des US Supreme Court hat gerade die rechtliche Grundlage für EU-US-Datentransfers geschwächt, und ein separates US-Gesetz macht den Serverstandort schon seit Jahren irrelevant. Hier erfährst du, was sich geändert hat und warum echte EU-Datensouveränität wichtiger ist denn je.

Du schaust nach, wo deine Daten gespeichert sind, siehst 'EU-Region' und gehst davon aus, dass du geschützt bist. Bei den meisten Tools, die auf amerikanischer Infrastruktur laufen, stimmt diese Annahme jedoch nicht. Ein aktuelles Urteil des US Supreme Court hat die rechtliche Grundlage für EU-US-Datentransfers zusätzlich erheblich geschwächt. Und ein separates US-Gesetz macht die 'EU-Server-Region' schon seit Jahren irrelevant, eine Tatsache, die viele Unternehmen ignoriert haben oder die den meisten leider völlig entgangen ist.

Die rechtliche Grundlage bekommt Risse

Das EU-US Data Privacy Framework (DPF) erlaubt es Unternehmen, personenbezogene Daten aus der EU legal an zertifizierte US-Unternehmen zu übertragen. Dieses Framework stützt sich auf zwei US-Behörden, die als unabhängige Kontrollinstanzen fungieren sollen: die FTC, die Datenschutzverpflichtungen durchsetzt, und das Privacy and Civil Liberties Oversight Board (PCLOB), das US-Geheimdienste beaufsichtigt.

Im Juni 2026 entschied der US Supreme Court im Fall Trump v. Slaughter, dass die FTC entgegen bisheriger Annahme nicht unabhängig vom Präsidenten ist. Damit kippte er einen jahrzehntealten Präzedenzfall, der Behördenmitglieder vor einer Entlassung ohne triftigen Grund geschützt hatte. Die Angemessenheitsentscheidung der EU aus dem Jahr 2023 stützte sich ausdrücklich auf diese vermeintliche Unabhängigkeit als Schutzmechanismus für die Daten von EU-Bürgern. Unabhängig davon hat das PCLOB bereits drei seiner vier Mitglieder verloren, die alle im Januar 2025 von der amtierenden Regierung entlassen wurden. Ein Bundesgericht erklärte diese Entlassungen zwar für rechtswidrig und ordnete die Wiedereinsetzung an, doch das Verfahren ist bis heute nicht abgeschlossen und liegt derzeit faktisch auf Eis, bis der Ausgang von Trump v. Slaughter feststeht. In der Praxis funktioniert derzeit keine der beiden Kontrollinstanzen als die unabhängige Institution, die die EU bei der Genehmigung des Frameworks vorausgesetzt hatte.

Max Schrems und noyb haben angekündigt, eine rechtliche Anfechtung des DPF vorzubereiten. Sollte diese erfolgreich sein, wäre es das dritte EU-US-Datentransferabkommen, das innerhalb eines Jahrzehnts scheitert, nach Safe Harbor 2015 und dem Privacy Shield 2020. Wichtig ist: Das DPF wurde bislang noch nicht gekippt. Das Urteil schafft lediglich die rechtliche Grundlage für eine Anfechtung, das Framework bleibt aber formal in Kraft, solange die EU-Kommission ihre Angemessenheitsentscheidung nicht überprüft oder EU-Gerichte nicht aufgrund einer neuen Beschwerde dagegen entscheiden. Beide vorherigen Kollapse ließen Unternehmen mit kaum Übergangszeit zurück, um eine neue Rechtsgrundlage zu finden, und dasselbe Szenario droht, sollte dem DPF ein ähnliches Schicksal widerfahren.

Das Problem reicht tiefer als ein einzelnes Framework

Selbst wenn man das Data Privacy Framework außen vor lässt, schafft ein separates US-Gesetz ein noch grundlegenderes strukturelles Problem. Der CLOUD Act aus dem Jahr 2018 verpflichtet jedes Unternehmen mit Hauptsitz in den USA, Daten auf Anordnung eines gültigen US-Gerichtsbeschlusses herauszugeben, unabhängig davon, wo diese Daten physisch gespeichert sind.

Das wird ständig übersehen, auch von europäischen Unternehmen, die meinen, das Problem gelöst zu haben. Die Wahl einer EU-Rechenzentrumsregion bei AWS, Azure, Google Cloud, Cloudflare, Vercel, Supabase und ähnlichen Anbietern schützt vor einem ganz bestimmten rechtlichen Problem: der unerlaubten Datenübertragung aus der EU heraus im Sinne der DSGVO. Dieser Schutz ist allerdings umstritten, da einige EU-Aufsichtsbehörden argumentieren, dass die rechtliche Angreifbarkeit einer US-Muttergesellschaft durch den CLOUD Act nicht automatisch eine DSGVO-"Übermittlung" darstellt, die eine eigene Rechtsgrundlage erfordert. Was EU-Region-Hosting jedoch nicht leistet, ist ein Schutz vor dem CLOUD Act selbst, denn dessen Reichweite richtet sich nach dem Firmensitz und nicht nach dem Serverstandort. AWS, Microsoft, Cloudflare, Vercel, Supabase und Google sind allesamt US-Unternehmen. Eine Vorladung, die Amazon in Seattle zugestellt wird, erreicht Kundendaten in Amazons Frankfurt-Region genauso wie Daten in Ohio.

Auch die Hyperscaler wissen das

Das ist keine rein theoretische Sorge, die die Branche ignoriert hätte. Um Kunden nicht zu verlieren, die sich der Problematik des US CLOUD Act zunehmend bewusst werden, ist Amazons AWS sogar noch einen Schritt weitergegangen und hat Anfang 2026 seine "European Sovereign Cloud" eröffnet. Dabei handelt es sich um eine physisch und logisch getrennte Infrastruktur in Deutschland, die unter einer eigenständigen, EU-geführten Unternehmensstruktur mit EU-Staatsangehörigen als Geschäftsführern betrieben wird und mit einer Investition von 7,8 Milliarden Euro unterlegt ist. Microsoft und Google verfolgen über lokale Partner ähnliche Ansätze. Die Tatsache, dass die Hyperscaler eigene, vollständig getrennte Unternehmens- und Rechtsstrukturen aufbauen, um dieses Problem zu lösen, ist selbst ein Eingeständnis, dass ein einfaches "EU-Region"-Häkchen nie ausreichend war.

Trotzdem zieht Brüssel die Zügel weiter an: Im Juni 2026 hat die Europäische Kommission Microsoft Azure und AWS strengeren Vorgaben nach dem Digital Markets Act unterworfen, gezielt um ihre Marktdominanz einzudämmen und europäische Alternativen zu stärken. Die regulatorische Richtung ist eindeutig: weg vom Vertrauen in die Selbstzertifizierung von Souveränität durch US-Unternehmensstrukturen.

Was das Problem tatsächlich löst

Die einzige strukturelle Lösung besteht darin, Anbieter zu wählen, die keine US-Muttergesellschaft und keinerlei US-Rechtsbezug haben. Diese Anbieter fallen von vornherein nicht in den Anwendungsbereich des CLOUD Act, weil das Gesetz, das zur Herausgabe verpflichtet, auf sie schlicht nicht zutrifft:

  • Keine US-Muttergesellschaft und keine US-Eigentümerstruktur
  • Kein US-Rechtsbezug, den eine Vorladung oder ein Gerichtsbeschluss erreichen könnte
  • Datenspeicherung und -verarbeitung vollständig innerhalb der EU-Rechtsordnung
  • Vollständiger DSGVO-Schutz, ohne dass die Frage einer "Übermittlung" überhaupt zur Debatte steht
  • Oft günstiger als die souveränen Cloud-Tarife der Hyperscaler, da keine separate Rechtsstruktur mit zusätzlichem Overhead nötig ist

Einige bekannte europäische Alternativen:

OVHcloud ist ein französischer Anbieter und das größte Cloud-Infrastrukturunternehmen mit Hauptsitz in der EU. Er bietet vollständige Compute-, Speicher- und Hosting-Dienste ohne amerikanische Eigentümerschaft oder rechtliche Angreifbarkeit und positioniert sich ausdrücklich als souveräne Alternative zu den amerikanischen Hyperscalern.

Scaleway ist ein weiterer französischer Anbieter, bekannt für entwicklerfreundliche Infrastruktur, GPU-Instanzen für KI-Workloads und eine wachsende Nutzerbasis unter europäischen Start-ups, die eine Abhängigkeit von US-Clouds von Anfang an vermeiden wollen, anstatt später mühsam davon wegzumigrieren.

StackIT ist der Cloud-Arm der Schwarz Gruppe, dem deutschen Unternehmen hinter Lidl und Kaufland, und wurde gezielt aufgebaut, um europäischen Unternehmen eine souveräne Alternative mit ausreichender operativer Skalierung für anspruchsvolle Workloads zu bieten.

Ionos ist ein etablierter deutscher Anbieter für Hosting, Cloud-Infrastruktur und Domain-Dienste, der europaweit häufig als unkomplizierte, DSGVO-native Alternative zu US-basiertem Hosting genutzt wird.

Aspekt US-Hyperscaler (EU-Region) AWS European Sovereign Cloud / Azure Sovereign Cloud EU-nativer Anbieter
Eigentümerstruktur US-Muttergesellschaft US-Muttergesellschaft, separate EU-Rechtseinheit EU-Hauptsitz, keine US-Eigentümerschaft
CLOUD-Act-Reichweite Ja Reduziert, aber vertraglich komplex, weiterhin US-Mutter Keine, außerhalb der US-Rechtsordnung
DSGVO-"Übermittlungs"frage Umstritten, unklar Darauf ausgelegt, das zu vermeiden Nicht relevant, es findet keine Übermittlung statt
Preisaufschlag Standardpreise 20 bis 30 Prozent höher Oft günstiger als souveräne Cloud-Tarife
Abhängigkeit vom DPF Hoch, wenn Daten die EU verlassen Reduziert Keine

Datensouveränität ist keine Marketingfrage, sondern eine Frage der Rechtsordnung. Ein europäisches Unternehmen ohne US-Eigentümerschaft kann von einem US-Gerichtsbeschluss nicht dazu gezwungen werden, Daten herauszugeben, weil US-Gerichte schlicht keine rechtliche Zuständigkeit über es haben.

Wenn du als Organisation oder Privatperson sicherstellen willst, dass für deine Daten global gesehen EU-Recht gilt und nicht US-Recht, führt langfristig kein Weg an Infrastruktur vorbei, die vollständig in der EU ansässig und im EU-Eigentum ist.

Hast du genug davon, dass Google jeden deiner Klicks speichert? Du hast auch keine Lust auf US-Anbieter wie DuckDuckGo, der im Hintergrund Unternehmen wie Microsoft durch die Nutzung von Bing mitfinanziert? Dann probier die datenschutzfreundliche europäische Suchmaschine xPrivo Search aus. xPrivo Search zeigt, wie Suchen ohne US-Überwachung aussieht: rein europäisch, technologisch unabhängig, radikal privat und mit unabhängigem europäischen Such-Index. Teste es kostenlos und anonym und entkomme der Big Tech und der Datenkralle: https://www.xprivo.com/search