EU-Souveränität – warum Unternehmen in der EU umdenken müssen

Wissen Sie, wo Ihre Daten gehostet werden, und können Sie WIRKLICH sicherstellen, dass sie im Einklang mit dem geltenden EU-Recht verarbeitet werden?

Ein kürzlich veröffentlichter unabhängiger Bericht von Johan David Michels von der Queen Mary University of London – “Sovereign Cloud for Europe –  unterstreicht die wachsende Bedeutung von Sovereign Cloud-Lösungen in Europa.
Diese Nachfrage wird hauptsächlich durch die strengen europäischen Datenschutzgesetze in Verbindung mit der betrieblichen Notwendigkeit angetrieben, sensible Daten z.B. mit Personenbezug oder Geschäftsgeheimnisse vor dem Zugriff ausländischer Regierungen zu schützen.

Bereits ein einfaches Beispiel in der Studie zeigt den Verstoß gegen die DSGVO, wenn eine ausländische Regierung (hier die USA) ihren lokalen Cloud-Anbieter anweist, Daten seiner EU-Tochter-gesellschaft offenzulegen.

Quelle: Sovereign Cloud for Europe – Studie von Queen Mary University London, Februar 2025

Eine immer komplizierter wachsende Situation

Das oben genannte Beispiel beweist, dass es bereits seit Jahren ein hohes Verstoßrisiko gibt, da die DSGVO bereits 2018 in Kraft getreten ist.

Auch der neue Schwerpunkt “Risikomanagement in der Lieferkette”, der durch jüngere Verordnungen (z.B. durch DORA für Finanzdienstleistungen, durch NIS2 für kritische Infrastrukturen, durch CRA für vernetzte Produkte) gefordert wird, unterstreicht die Notwendigkeit für jedes in der EU ansässige Unternehmen, seine Datensituation zu überdenken und neue Technologien zu implementieren.

Aber es geht nicht nur darum, die Vorschriften einzuhalten, sondern es sollte auch ein Grundbedürfnis jeder Geschäftsleitung sein, die Kontinuität des Unternehmens sicherzustellen, da kritische Ereignisse – die zu weltweiten Geschäftsunterbrechungen oder Datenverlusten führen – jederzeit vorkommen können und in der Vergangenheit bereits vorgekommen sind, um nur die wichtigsten Beispiele wie Log4J, CrowdStrike update, Diebstahl des M365 Masterkey zu nennen.

Trotz der offensichtlichen möglichen unkontrollierbaren Verstöße gegen geltendes EU-Recht und der hohen Risiken für die Geschäftskontinuität zögern viele Unternehmen in der EU noch immer, auf EU-Sovereign-Clouds zu migrieren. Dieses Zögern ist auf verschiedene Umstände zurückzuführen, die sich auch aus regulatorischen Unsicherheiten, fehlenden geeigneten Cloud-Alternativen und erstarkenden Risiken durch Abhängigkeiten von den bestehenden Cloud-Anbietern ergeben:

1. Regulatorische Meinungsverschiedenheiten: Den Überblick über die komplexe und wachsende Landschaft der EU-Gesetze zu behalten kann entmutigend sein. Da sich die Vorschriften stetig ändern und somit zu einem „moving Target“ werden, zögern viele Unternehmen, neue Standards zu übernehmen (siehe z. B. das Hin und Her beim Safe-Harbor-Abkommen zwischen den USA und der EU, das von Schrems immer wieder vor Gericht angefochten wird).
2. Fehlen vergleichbarer Cloud-Alternativen: Obwohl die Abhängigkeit von Cloud-Anbietern außerhalb der EU die Unternehmen geopolitischen Risiken aussetzt, einschließlich des Zugriffs ausländischer Regierungen auf sensible Daten, wählen viele Unternehmen einen der Big-Tech-Anbieter und Hyperscaler (z. B. AWS, Google Cloud, Microsoft Azure) mit Hauptsitz in den USA unter der Annahme, dass es keine Alternative gibt.
3. Intransparente Cloud-Architektur: Durch die Cloudifizierung verschieben Unternehmen bereits heute Daten und Funktionen in beliebige Clouds (Public, Private, Hybrid), um aus Kostengründen wettbewerbsfähig zu bleiben und eine hohe Datenverfügbarkeit zu gewährleisten. Diese komplex gewachsene Cloud-Landschaft mit ihren teilweise unbekannten Abhängigkeiten führt jedoch zu Bedenken bei anstehenden Migrationsprozessen, bei denen Unternehmen vor allem Störungen und mögliche Ausfallzeiten befürchten, da Funktionalitäten nicht ohne weiteres zu einem neuen Cloud-Anbieter migriert werden können.

Beispiel für eine Entwicklungs-Toolchain, die mehrere Cloud- und Softwareanbieter umfasst.
Quelle: Sonatype DevSecOps-Referenzarchitektur

Experten erkennen die Ironie darin, dass eine Migration zu einem neuen/lokalen Cloud-Anbieter erforderlich ist, um komplexe Abhängigkeiten zu beseitigen und die Geschäftskontinuität in der Zukunft zu gewährleisten, während die komplexen Abhängigkeiten selbst Ihre aktuelle Geschäftskontinuität während des Migrationsprozesses gefährden.

Seien wir ehrlich: Es gibt bereits heute Lösungen, wir müssen es nur einfach halten

Trotz der oben genannten Herausforderungen müssen sich in der EU ansässige Unternehmen auf eine erfolgreiche Umstellung auf EU-unabhängige Clouds konzentrieren, um Abhängigkeiten und Komplexität zu beseitigen, die insbesondere bei den heutigen geopolitischen Ereignissen missbraucht werden können. Je unkomplexer und zuverlässiger, desto besser, da dies den Unternehmen zudem ermöglicht, bei Unsicherheiten oder auftretenden Risiken schnell den Anbieter zu wechseln. All dies kann bereits heute erreicht werden, indem man einfach schrittweise vorgeht und die regulatorischen Anforderungen und Geschäftsbedürfnisse jeweils in Themen bündelt und diese aufeinander abstimmt z.B:

1. Verbesserung der GDPR-Compliance und der Vertraulichkeit von Geschäftsdaten durch Verschlüsselung: Im Hinblick auf unsere anfänglich genannten GDPR-Verstoß können lokale EU-basierte Server bereits mit Gateway-Verschlüsselungsmethoden kombiniert werden, um den Datenschutz zu erhöhen und sicherzustellen, dass ausländische/unbefugte Dritte keinen Zugriff auf Unternehmensdaten erhalten.
2. Sicherstellung des NIS2-/DORA-Lieferketten-Risikomanagements und Erhöhung der Widerstandsfähigkeit/Kontinuität des Unternehmens bei lokalen Anbietern: Wenn Daten in einer in der EU ansässigen Cloud gespeichert (und verschlüsselt) werden, sind Geschäftsdaten weit weniger von geopolitischen Risiken betroffen, heimlich ausspioniert, missbraucht oder erpresst zu werden.
   Durch die zusätzliche Implementierung zuverlässiger Dependency Tracker und Software Code Checks können Unternehmen auf einfache Weise die Kontrolle über ihre Cloud-Landschaft (wieder) erlangen, Warnungen und Alarme bezüglich entdeckter CVEs implementieren und somit die Resilienz in ihren Software-Lieferketten erhöhen. Insbesondere die Prüfung von SBOMs (Software Bills of Materials) hat sich als wertvolle Methode zur Sicherstellung der Codequalität in CI/CD-Pipelines erwiesen.
3. Sicherstellung der Einhaltung künftiger gesetzlicher Vorschriften, indem man Teil des Systems wird: Während ausländische Cloud-Anbieter stets auf EU-Vorschriften nur reagieren und diese mit lokalen Gesetzen in Einklang bringen müssen (und möglicherweise kein großes Interesse an ausländischen Vorschriften aufgrund eines administrativen Overkills haben), werden starke EU-unabhängige Cloud-Anbieter immer einen Schritt voraus sein und auch als Teil relevanter Verbände sicherstellen, dass die EU-Vorschriften auf die effektivste, aber auch effizienteste Art und Weise (z. B. hinsichtlich der Implementierungskosten) gestaltet werden. Daher können Unternehmen, die Verträge mit EU-ansässigen Anbietern abschließen, einfach sicher sein, dass ihr Vertragspartner stets im Interesse der EU und damit auf der Grundlage der (EU-einheitlichen) Geschäftswerte des Unternehmens handeln wird.

Kein Grund mehr zu zögern

Die Zeit zum Handeln ist jetzt. Unternehmen in der EU müssen der Migration zu EU Sovereign Clouds Priorität einräumen, zumindest um ihre Daten vor unberechtigtem Zugriff zu schützen und geopolitische Risiken zu mindern. Treten Sie der Zukunft des Cloud Computing entgegen und machen Sie den ersten Schritt in Richtung digitale Souveränität. Wenden Sie sich noch heute an einen Sovereign Cloud-Experten, um zu erfahren, wie EU Sovereign Clouds Ihr Unternehmen verändern können.