„Sovereign Clouds“ sind der Versuch amerikanischer Hyperscaler ihr attraktives Europageschäft zu sichern, während immer mehr Firmen mittlerweile digitale Souveränität fordern: Also Kontrolle über Standort, Zugriff und Nutzung ihrer Daten – nicht nur DSGVO-Konformität, sondern politische und rechtliche Resilienz gegenüber Drittstaaten, den USA beispielsweise.

„Sovereign Cloud“ klingt nach Sicherheit. In Wahrheit ist es oft nur ein neues Etikett auf altem Risiko. US-Hyperscaler verkaufen Europa „Souveränität“, die am Ende am US-Recht scheitert. Genau so benennt es eine aktuelle Analyse: hübsche Hüllen, keine echte Unabhängigkeit. (Golem.de)

Reality-Check: Der US CLOUD Act wirkt extraterritorial. Heißt: Auch Daten in EU-Rechenzentren können per US-Anordnung abgezogen werden – Konflikt mit EU-Recht inbegriffen. Das ist nicht Meinung, das steht so in den Leitlinien der europäischen Datenschutzbehörden. (Europäische Datenschutzbehörde)

Bestätigt – schwarz auf weiß: Microsofts Frankreich-Chefs sagten im Senat (10. Juni 2025) unter Eid: Man könne einer US-Anordnung nicht widersprechen – selbst bei Daten in Frankreich. Mehrere Medien haben das dokumentiert. (ActuIA, Forbes)

Politische Abhängigkeit ist real, nicht theoretisch. Nach US-Sanktionen gegen den Internationalen Strafgerichtshof berichteten IStG-Mitarbeiter, Microsoft habe das E-Mail-Konto des Chefanklägers deaktiviert – der wechselte zum Schweizer Proton Mail. Das ist die Blaupause, wie schnell „digitale Lebensadern“ politisch gekappt werden können. (AP News)

Und wenn Märkte kippen? Im Frühjahr kappte Microsoft zentrale Services für Kunden in China – Outlook, OneDrive, SharePoint für Universitäten und Biotech-Firmen beispielsweise. Kündigungsfristen: teils Tage. Wer seine Daten- und Servicewege nicht portabel gebaut hat, lernt Exit-Strategie auf die harte Tour. (South China Morning Post)

 

Das IoT-No-Bullshit-Playbook (kurz & machbar)

  1. Souveränität definieren – vertraglich & technisch. EU-Betrieb ist Pflicht, aber nicht genug: Exit-Klauseln, Datenportabilität, offene Schnittstellen, dokumentierte Modelle. Ohne Exit keine Souveränität.
  2. Schlüsselhoheit behalten. Verschlüsselung ist wertlos, wenn der Anbieter den Schlüssel hält. Customer-managed keys, HSM, getrennter Trust.
  3. Vendor-Lock-in minimieren. Standard-Protokolle (OPC UA/MQTT/HTTPS), offene SDKs, Exportpfade, Test-Migration im Kleinen alle 6–12 Monate.
  4. Business vor Buzzword. Daten müssen nachvollziehbar in ERP/Service/Abrechnung wirken – sonst bleibt es nur ein teures Dashboard. Trackt ROI & Risiko statt Klicks.
  5. Souveränität ist Standortpolitik. Hosting, Betrieb, Support in Europa – und zwar so, dass kein US-Recht durchgreifen kann (auch nicht via Tochterfirmen).

Fazit: Souveränität ist kein Gefühl, sondern Fähigkeit: jederzeit prüfbar, widerrufbar, portabel.
Wer das heute baut, kauft sich Freiheit, Resilienz und Verhandlungsmacht. Wer wartet, bezahlt. Mit Abhängigkeit.