Die EU hat ein neues bürokratisches monster Bewertungssystem für Cloud-Dienste vorgestellt. Das “Cloud Sovereignty Framework” soll europäische Daten vor dem Zugriff durch US-Behörden schützen. Klingt gut. Ist es auch – teilweise. Aber “souverän” bedeutet hier nicht, dass DU die Kontrolle hast. Sondern die EU.
Zeit, das mal auseinanderzunehmen.
Die EU-Kommission hat acht “Souveränitätsziele” definiert und ein Bewertungssystem namens SEAL (Sovereignty Effective Assurance Levels) eingeführt. Das funktioniert wie ein Nutri-Score für Cloud-Dienste – nur statt Zucker und Fett wird gemessen, wie abhängig ein Dienst von Nicht-EU-Staaten ist.
Die Skala geht von SEAL-0 (keine Souveränität – deine Daten liegen komplett in US-Händen) bis SEAL-4 (volle digitale Souveränität – alles unter EU-Kontrolle).
Die acht Ziele in verständlich:
Strategische Souveränität: Wem gehört der Laden? EU-Firma oder US-Konzern?
Juristische Souveränität: Welches Recht gilt? EU-Recht oder US Cloud Act?
Daten- und KI-Souveränität: Wo liegen deine Daten und wer trainiert damit seine KI?
Betriebliche Souveränität: Können Europäer den Dienst alleine betreiben?
Lieferketten-Souveränität: Woher kommt die Hardware und Software? 😂
Technologische Souveränität: Open Source oder proprietärer Kram?
Sicherheit & Compliance: Werden NIS2, DORA und Co. eingehalten?
Ökologische Nachhaltigkeit: Wie grün 🤢 ist das Rechenzentrum? 🤑
Lieferketten, Beton aus Deutschland, ok. Stahl und Alu aus Indien, Speicher und Prozessoren aus China, Korea, Taiwan, alles Länder die für Nachhaltigkeit, Klimaschutz und Menschenrechte berühmt sind.
Im Winter und ohne Wind hat´s sich schon mit dem grünsein. Die Dinger brauchen Strom.
Verpflichtende Sicherheitsaudits, ha, wer macht die, irgend ein grüner, der bei Mal und Geteilt Kreide holen war, oder stellt die von der ähh leyen noch ein paar tausend Kontrolleure ein, die von euren Steuergeldern bezahlt werden?
Bei öffentlichen Ausschreibungen muss jeder Cloud-Anbieter nachweisen, welches SEAL-Level er bei jedem Ziel erreicht. Wer zu niedrig liegt, fliegt raus.
Du kaufst dir ein Auto. Steht in deiner Garage. Du hast den Schlüssel. Alles deins.
Dann kommt raus: Der Hersteller hat einen Zweitschlüssel. Und eine US-Behörde kann den Hersteller jederzeit anweisen, dein Auto zu sperren, die Fahrerdaten rauszurücken oder dir den Motor abzustellen. Egal wo du parkst – ob in Frankfurt, Amsterdam oder Lissabon. Der Hersteller sitzt in den USA, also gilt US-Recht.
Das ist die Situation mit Microsoft, Google und Amazon Cloud-Diensten. Der US Cloud Act macht’s möglich. Microsoft hat das 2025 vor dem französischen Senat unter Eid bestätigt.
Jetzt kommt die EU und sagt: “Wir bauen eigene Garagen! Nur europäische Hersteller! Keine US-Zweitschlüssel mehr!”
Super Idee. Nur: Jetzt hat die EU den Zweitschlüssel. Und die EU hat sich parallel den Digital Services Act gebaut – ein Gesetz, mit dem sie Plattformen zwingen kann, Inhalte zu löschen. Bei Nicht-Kooperation drohen Strafen bis zu 6% des weltweiten Jahresumsatzes.
Statt einem amerikanischen Zweitschlüssel hast du jetzt einen europäischen.
Die Frage ist nicht: Garage in den USA oder in der EU? Die Frage ist: Warum hat überhaupt jemand anders einen Schlüssel?
Was die USA können (Cloud Act, seit 2018):
Zugriff auf alle Daten bei US-Unternehmen – egal wo die Server stehen
Microsoft, Google, Amazon müssen auf Anfrage liefern
Im Februar 2025 hat Microsoft dem Chefankläger des Internationalen Strafgerichtshofs den E-Mail-Zugang gesperrt – auf US-Sanktionsdruck
Was die EU kann (DSA + DSGVO + NIS2):
Plattformen zur Löschung von Inhalten zwingen (“Trusted Flagger”-System)
Zugriff auf Daten bei EU-Unternehmen über nationale Behörden
Strafen bis 6% des Jahresumsatzes bei Nicht-Kooperation
Über 100 internationale Fachleute für Meinungsfreiheit haben die EU-Kommission vor Zensur durch den DSA gewarnt – die Kommission hat die Bedenken abgelehnt
Das Ergebnis in einer Tabelle:
Szenario | USA greift zu | EU greift zu |
|---|---|---|
Daten bei Microsoft Azure | Ja (Cloud Act) | Schwer (anderes Rechtssystem) |
Daten bei Hetzner/OVHcloud | Nein | Ja (EU-Recht) |
Daten auf eigenem Linux-Server | Nein | Nur mit richterlichem Beschluss |
Daten selbst verschlüsselt + selbst gehostet | Nein | Theoretisch ja, praktisch wertlos für die Behörde |
Das Cloud Sovereignty Framework schützt vor US-Zugriff. Gut. Aber gleichzeitig baut die EU mit dem Digital Services Act ein umfassendes System zur Inhaltskontrolle auf.
Fakten:
Mehr als 100 internationale Fachleute für Meinungsfreiheit haben sich an die EU-Kommission gewandt und vor globaler Zensur durch den DSA gewarnt. Die Kommission hat in ihrer offiziellen Überprüfung im November 2025 alle Bedenken zurückgewiesen.
Die Strafrechtlerin Johanna Rinceanu (Max-Planck-Institut) warnt: Statt rechtlich abgesicherter Kontrolle entsteht eine “privatisierte Paralleljustiz”, bei der Plattformbetreiber aus vorauseilendem Gehorsam, aus Angst vor Strafen eigenmächtig darüber entscheiden, was gesagt werden darf.
Besonders brisant: Vor den niederländischen Wahlen 2023 machte die EU-Kommission das niederländische Innenministerium zum “Trusted Flagger”. Damit erhielt die amtierende Regierung das Recht, priorisierte Löschanträge zu stellen – während sie selbst zur Wahl stand.
Zusammengefasst: Das Cloud Sovereignty Framework sorgt dafür, dass deine Daten in der EU bleiben. Der Digital Services Act sorgt dafür, dass die EU bestimmt, was du mit diesen Daten im Internet sagen darfst.
Das Wort “Souveränität” hat zwei Bedeutungen, und die EU nutzt bewusst die Verwechslungsgefahr:
Souveränität des Bürgers: Du kontrollierst deine Daten. Niemand greift zu – nicht die USA, nicht die EU, nicht dein Nachbar.
Souveränität des Staates: Der EU-Staat kontrolliert die Daten. Statt US-Behörden greifen EU-Behörden zu.
Das Cloud Sovereignty Framework meint ausschließlich Variante 2. Es geht darum, dass europäische Institutionen die Kontrolle haben. Nicht du. Nicht dein Unternehmen. Die EU.
Wenn Ursula von der Leyen auf der Münchner Sicherheitskonferenz sagt: “Unsere digitale Souveränität ist unsere digitale Souveränität” – dann meint sie nicht deine. Sie meint ihre.
Was wirklich schützt: Die Linux-LösungDie gute Nachricht: Du musst weder den USA noch der EU vertrauen. Die Technik für echte – also DEINE – Souveränität existiert und ist kostengünstig. Nichts ist umsonst. Du zahlst immer, entweder mit deinen Daten, deiner Souveränität oder deiner Zeit um es einzurichten, wir helfen gerne. Das größte Problem ist das Dilema mit der Bequemlichkeit.
Wenn du genug davon hast, dass MS jeden Tastenanschlag speichert und bestimmt wann du was mit deinem PC machst, oder welche Geräte du benutzen darfst und die dir demnächst den Drucker lahmlegen, RUF MICH EINFACH AN!
Nextcloud auf eigenem Server oder bei einem europäischen Hoster wie Hetzner Storage Share (ab 4,64 €/Monat für 1 TB)
Deine Dateien liegen auf Hardware, die DIR gehört oder die du direkt mietest
Kein US Cloud Act, kein EU-Behördenzugriff ohne richterlichen Beschluss
Selbst verschlüsseln statt vertrauen:
VeraCrypt für verschlüsselte Container – auch bei Beschlagnahme ist nichts lesbar
KeePassXC für Passwörter – keine Cloud, kein Abo
GnuPG für E-Mail-Verschlüsselung – Ende-zu-Ende, kein Mittelsmann
Open Source statt Blackbox:
Linux Mint statt Windows 11 – keine Telemetrie, keine Zwangs-Updates, kein Microsoft-Konto
LibreOffice statt Microsoft 365 – keine Cloud-Anbindung nötig
Thunderbird statt Outlook – deine Mails bleiben bei dir
Matrix/Element Ende-zu-Ende-verschlüsselt – statt Teams, Whatsapp oder Slack –
Jitsi – Open-Source-Videokonferenzen, selbst hostbar – statt Zoom
Das SEAL-Level für dein Zuhause
Wenn du das SEAL-System auf dein privates Setup anwendest, sieht das so aus:
SEAL-0: Du nutzt Microsoft 365, Gmail, OneDrive. Sowohl USA als auch EU können an deine Daten.
SEAL-1: Du nutzt einen europäischen Hoster, aber unverschlüsselt. Die USA sind raus, die EU kann noch zugreifen.
SEAL-2: Du nutzt einen europäischen Hoster mit eigener Verschlüsselung. Deutlich besser, aber der Hoster hat technisch noch Zugang zum Server.
SEAL-3: Du hostest selbst auf eigener Hardware mit Verschlüsselung. Nur noch mit richterlichem Beschluss UND deiner Kooperation zugänglich.
SEAL-4: Du hostest selbst, verschlüsselst alles, nutzt ausschließlich Open Source und kommunizierst über dezentrale Protokolle. Maximale Kontrolle.
Das EU-Framework will SEAL-4 für Behörden. Du kannst SEAL-4 für dich selbst haben – mit Linux, Nextcloud und ein bisschen Eigeninitiative.
Sofort (kostenlos):
Linux Mint auf USB-Stick testen – ohne Installation
Firefox mit uBlock Origin, oder Brave Browser statt Chrome/Edge
Diese Woche (günstig):
E-Mail zu Mailbox.org oder Posteo umziehen (3 €/Monat)
KeePassXC als Passwort-Manager einrichten
Matrix als Messenger installieren
Diesen Monat (etwas Aufwand):
Nextcloud bei Hetzner Storage Share einrichten (ab 4,64 €/Monat)
VeraCrypt für sensible Dokumente einrichten
Für Fortgeschrittene:
Eigener Nextcloud-Server auf Raspberry Pi oder Mini-PC
Matrix/Element-Server für private Kommunikation
Eigener Mailserver mit Mailcow
Das EU Cloud Sovereignty Framework löst ein echtes Problem: Es macht die Abhängigkeit von US-Hyperscalern messbar und gibt Behörden ein Werkzeug, um Microsoft, Google und Amazon bei öffentlichen Aufträgen auszuschließen.
Aber es ersetzt eine Abhängigkeit durch eine andere. “Souveränität” im EU-Sinne bedeutet: Die EU hat die Kontrolle – nicht du. Und im Zusammenspiel mit dem Digital Services Act entsteht ein System, in dem deine Daten zwar vor US-Zugriff geschützt sind, aber unter EU-Aufsicht stehen.
Echte digitale Souveränität – DEINE Souveränität – bekommst du nur, wenn du selbst hostest, selbst verschlüsselst und Open Source nutzt. Linux ist die Grundlage dafür. Und es kostet dich keinen Cent.
Deine Daten gehören dir. Nicht Microsoft. Nicht Google. Nicht der EU. Dir.
Quellen:
Lokale Hilfe: Linux Club Saarbrücken – hervorragende Admins, praktische Unterstützung, regelmäßiger Stammtisch
Überregional: LinuxGuides.de
15,99 €
43,88 €
64,91 €
