Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Cybersecurity-Risikomanagement > 27. Mai: EU-Technologiesouveränität auf dem Prüfstand – GCC High in Frankfurt funktioniert nicht mehr

27. Mai: EU-Technologiesouveränität auf dem Prüfstand – GCC High in Frankfurt funktioniert nicht mehr

von Marc ten Eikelder updated Mai 13, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Fast ein Jahrzehnt lang wurde über europäische Datensouveränität in Gerichten, auf Konferenzen und in Vertragsklauseln gestritten. Am 27. Mai 2026 soll sie voraussichtlich in das EU-Vergaberecht aufgenommen werden.

Wichtige Erkenntnisse

  1. Brüssel geht von der Rhetorik zur Durchsetzung über. Am 27. Mai 2026 wird die Europäische Kommission voraussichtlich ein Tech-Sovereignty-Paket vorstellen, das es Regierungen der EU-Mitgliedstaaten untersagt, US-Cloud-Anbieter für sensible Daten im öffentlichen Sektor in den Bereichen Gesundheitswesen, Finanzen und Justiz zu nutzen.
  2. Der CLOUD Act ist der benannte Auslöser. US-Strafverfolgungsbehörden können US-Cloud-Anbieter zur Herausgabe von Daten zwingen – unabhängig davon, wo diese gespeichert sind, gemäß dem CLOUD Act von 2018. Europäische Datenresidenz löst dieses strukturelle Problem nicht.
  3. Europäische Unternehmen haben dies bereits vorhergesehen. 44 Prozent sehen fehlende Souveränitätsgarantien der Anbieter als Hürde, 32 Prozent meldeten im vergangenen Jahr einen Souveränitätsvorfall – am häufigsten waren unautorisierte grenzüberschreitende Datenübertragungen.
  4. Architektur schlägt Verträge. Schrems II hat bereits vor neun Jahren klargestellt, dass Verträge ausländische Zugriffsrechte nicht aushebeln können. Das Paket der Kommission setzt diesen Grundsatz erstmals auf EU-Vergabeebene um.
  5. „Nachweisbare Souveränität“ wird zur Vergabebedingung. Regulierungsbehörden erwarten drei Dinge: Durchsetzung der Datenresidenz auf Architekturebene, exportierbare Nachweise und erprobte Reaktionsfähigkeit auf staatliche Zugriffsanfragen.

Laut Berichterstattung von CNBC bereitet die Europäische Kommission ein „Tech-Sovereignty-Paket“ vor, das die Nutzung von US-Cloud-Anbietern für sensible Daten im öffentlichen Sektor einschränkt – flankiert vom Cloud and AI Development Act und dem Chips Act 2.0. US-Anbieter werden nicht grundsätzlich ausgeschlossen, aber ihre Nutzung in Gesundheitswesen, Finanzen und Justiz wird beschränkt – genau jene Bereiche, die seit 2018 im Zentrum des Spannungsfelds zwischen DSGVO und CLOUD Act stehen.

Europäische Beamte erklärten, das Kernziel sei die Definition von Sektoren, die zwingend auf europäischer Cloud-Infrastruktur betrieben werden müssen. Nach Vorlage benötigt das Paket die Zustimmung aller 27 Mitgliedstaaten. Es ist das erste Mal, dass die Kommission die Souveränitätsdebatte von einem theoretischen Risiko zu einer Vergabebeschränkung macht.

Am 27. Mai ändert sich nicht das zugrundeliegende Recht. Der US CLOUD Act bleibt in Kraft. Die DSGVO bleibt in Kraft. Schrems II bleibt in Kraft. Was sich ändert: Europäische Unternehmen können nicht länger argumentieren, dass eine von den USA kontrollierte Cloud in Frankfurt einer souveränen Cloud gleichgestellt ist. Die Kommission wird diese Unterscheidung für den öffentlichen Sektor verbindlich machen. Der Privatsektor wird folgen, denn Vergabestandards sind richtungsweisend.

Worauf die Kommission tatsächlich reagiert

Das Tech-Sovereignty-Paket kommt nicht aus dem Nichts. Es ist die institutionelle Antwort auf eine Reihe von Enthüllungen, die das europäische Denken über US-Cloud-Anbieter in den letzten 18 Monaten verändert haben.

Eine Anhörung im französischen Senat 2025 brachte ein Eingeständnis, das in europäischen Politikerkreisen nachhallte: Selbst bei europäischer Datenresidenz kann ein US-Anbieter mit Hauptsitz in den USA nicht garantieren, dass EU-Daten niemals von US-Behörden angefordert werden. Wie die Databalance-Analyse zur Microsoft-Souveränitätsstrategie 2026 feststellt, bleibt die Rechtslage unverändert – es gibt kein Gesetz, das die extraterritoriale Wirkung des US CLOUD Act aufhebt.

Es folgte die ProPublica-Untersuchung zur FedRAMP-Zertifizierung von Microsoft GCC High, veröffentlicht im März 2026. Die Recherche zeigte, dass FedRAMP-Prüfer GCC High trotz fehlender Zuversicht in die Gesamtsicherheit autorisierten, da Bundesbehörden das System bereits nutzten. Wie ProPublica berichtete, wurden grundlegende Schwächen im Risikomanagement festgestellt, etwa bei der zeitnahen Behebung und dem Scannen von Schwachstellen.

Europäische Regulierungsbehörden haben diese Untersuchung gelesen. Sie verfolgten auch Microsofts eigenen Digital Sovereignty Summit in Brüssel im April 2026, auf dem das Unternehmen Souveränität als kontinuierliche Disziplin des Risikomanagements und nicht als Zielzustand neu definierte – und damit faktisch einräumte, dass Standortzusagen nicht mehr ausreichen.

Die Kommission kodifiziert nun, was europäische Unternehmen operativ bereits erkannt haben.

Die Daten, die diesen Moment vorweggenommen haben

Europäische Unternehmen sagen Forschern seit zwei Jahren, dass Verträge ihr Souveränitätsproblem nicht lösen. Die Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe befragte 286 IT- und Sicherheitsverantwortliche aus Kanada, dem Nahen Osten und Europa und belegte die Lücke mit Zahlen.

80 Prozent der europäischen Befragten sehen sich gut oder sehr gut über Souveränitätsanforderungen informiert. Dennoch erlebten 32 Prozent im vergangenen Jahr einen Souveränitätsvorfall. Am häufigsten waren unautorisierte grenzüberschreitende Übertragungen, gefolgt von aufsichtsrechtlichen Untersuchungen, Datenschutzverstößen mit Souveränitätsbezug und Compliance-Versagen von Drittparteien.

Der Europe Sovereignty Report zieht das Fazit explizit: Regulatorische Reife reduziert, aber eliminiert Vorfälle nicht. Die verbleibende Lücke ist operativ, nicht informatorisch – und sie zu schließen erfordert Architektur, nicht mehr Awareness-Trainings. 44 Prozent der Befragten sehen fehlende Souveränitätsgarantien der Anbieter als Haupthindernis – der höchste Wert aller Regionen und eine klare Absage an die Annahme, dass EU-Rechenzentren allein das Problem lösen.

28 Prozent der europäischen Befragten berichten inzwischen von jährlichen Souveränitätsbudgets über 5 Millionen Euro. Bei Unternehmen mit mehr als 10.000 Beschäftigten liegen über 70 Prozent in den höchsten Ausgabenkategorien. Die Investitionen konzentrieren sich auf Bereiche, die nachweisbare Kontrolle schaffen: Durchsetzung der Datenresidenz, Verschlüsselungsschlüsselverwaltung, Automatisierung von Zugriffsrichtlinien und exportierbare Audit-Trails. Unternehmen haben bereits gegen die Lücke investiert, die die Kommission nun formalisiert.

Warum „GCC High in Frankfurt“ diesen Test nie bestehen konnte

Die gängigste Verteidigung von US-Anbietern für europäische Workloads ist eine Art souveräne Enklave: Ein US-Cloud-Produkt, betrieben in europäischen Rechenzentren, von europäischem Personal, unter europäischer Governance. Microsoft GCC High ist das Vorzeigeprodukt für US-Regierungsworkloads, und seine kommerziellen Pendants – Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud, Google Cloud Sovereign Solutions – verfolgen in Europa das gleiche Architekturmodell.

Das Tech-Sovereignty-Paket basiert auf der Erkenntnis, dass dieses Modell das strukturelle Problem nicht löst. Geografie ist nicht Jurisdiktion, und eine von einem US-Unternehmen kontrollierte Enklave bleibt unter dem CLOUD Act erreichbar – unabhängig vom Serverstandort.

Das technische Kernproblem ist die Schlüsselverwaltung. Solange ein US-Anbieter die Verschlüsselungsschlüssel hält, verwaltet oder auf Anforderung beschaffen kann, ist der Speicherort der Daten operativ irrelevant. Microsofts Customer Key-Funktion verdeutlicht die Lücke: Kunden können eigene Schlüssel einbringen, aber Microsoft behält operative Wege, Daten für Servicezwecke zu entschlüsseln. Das genügt für eine CLOUD-Act-Anfrage, reicht aber nicht für einen Regulierer, der Schrems II genau liest.

Die Kommission steuert auf eine Souveränitätsdefinition zu, die drei Dinge verlangt, die das Enklavenmodell nicht gleichzeitig liefern kann: kryptografische Trennung vom Anbieterzugriff, juristische Immunität gegenüber extraterritorialem Recht und exportierbare Nachweise, dass die Residenz tatsächlich durchgesetzt wurde.

Wie „nachweisbare Souveränität“ in der Praxis aussieht

Der Europe Sovereignty Report beschreibt die operative Antwort als drei Architektur-Säulen. Das Tech-Sovereignty-Paket macht daraus eine Vergabeanforderung.

Kontrollen. Durchsetzung der Datenresidenz, Schlüsselverwaltung und Zugriffsrichtlinien, die unautorisierte grenzüberschreitende Bewegungen auf Architekturebene verhindern – nicht auf Vertragsebene. Unternehmen müssen nachweisen können, dass Daten physisch nicht ohne ein explizites, protokolliertes, regelbasiertes Ereignis die definierte Jurisdiktion verlassen können.

Nachweise. Exportierbare Audit-Trails, Datenresidenzprotokolle und Compliance-Berichte, die Regulierungsbehörden auf Abruf zufriedenstellen. 55 Prozent der europäischen Befragten planen, in Compliance-Automatisierung zu investieren, 51 Prozent in technische Kontrollen. Der gemeinsame Treiber: Manuelle Nachweiserbringung skaliert nicht über DORA, NIS 2, den Data Act und den EU AI Act hinweg.

Reaktionsfähigkeit. Erprobte Playbooks für staatliche Zugriffsanfragen, Drittanbieter-Ausfälle, Transfer Impact Assessments und Schrems-II-Compliance-Szenarien. 36 Prozent der europäischen Befragten nennen geopolitische Veränderungen – insbesondere US-Politikwechsel – als Hauptsorge. Unternehmen, die diese Playbooks geprobt haben, werden das Durchsetzungsfenster der Kommission ohne Vergabeverlust durchlaufen. Wer nicht vorbereitet ist, entdeckt die Lücke erst bei der Prüfung.

Der Kiteworks-Ansatz: Architektur, die hält, wenn Verträge nicht ausreichen

Dies ist der Moment, für den Governance auf Datenebene geschaffen wurde. Kiteworks betreibt eine sichere Steuerungsebene, die auf dem Grundsatz basiert, dass Souveränität nicht an vertragliche Zusagen eines Anbieters ausgelagert werden kann. Die Bereitstellungsoptionen – On-Premises, Private Cloud, Hybrid und Single-Tenant-Hosting – ermöglichen es Unternehmen, sensible Inhalte ausschließlich innerhalb der EU-Infrastruktur zu halten, unabhängig von US-Anbietern, die dem CLOUD Act unterliegen.

Die Plattform erzwingt drei Kontrollen, die das Paket der Kommission belohnt: Die Schlüsselverwaltung kann beim Kunden in der jeweiligen Jurisdiktion verbleiben, mit FIPS 140-3-validierten kryptografischen Modulen und doppelter Verschlüsselung im ruhenden Zustand – datei- und datenträgerebene mit getrennten Schlüsseln. Zugriffsrichtlinien werden auf Infrastrukturebene durch ABAC und RBAC durchgesetzt, jede Anfrage wird anhand attributbasierter Regeln authentifiziert und autorisiert, bevor Daten berührt werden. Manipulationssichere Audit-Logs werden in Echtzeit ohne Verzögerung an SIEM geliefert und liefern die exportierbaren Nachweise, die Regulierungsbehörden zunehmend verlangen.

Der Secure MCP Server und das AI Data Gateway übertragen die gleiche Governance auf KI-Agenten-Interaktionen, sodass die Souveränitätsposition eines Unternehmens nicht zusammenbricht, wenn KI-Workflows auf dieselben regulierten Daten zugreifen. Jede KI-Anfrage wird authentifiziert, autorisiert, verschlüsselt und protokolliert – mit denselben Kontrollen auf Datenebene wie bei menschlichen Anwendern. Die GPAI-Anforderungen des EU AI Act und die Residenzpflichten des Tech-Sovereignty-Pakets werden so architekturkonform erfüllt.

Was Unternehmen vor dem 27. Mai tun müssen

Erstens sollten Sie alle Workloads, die sensible personenbezogene Daten verarbeiten, der tatsächlichen Jurisdiktion des Cloud-Anbieters zuordnen – nicht nur dem Standort des Rechenzentrums. Ist das kontrollierende Unternehmen in den USA ansässig, unterliegt der Workload dem CLOUD Act, unabhängig vom Standort. Laut Kiteworks Europe Sovereignty Report ist der Befund, dass 32 Prozent der europäischen Unternehmen im vergangenen Jahr einen Souveränitätsvorfall hatten, die Untergrenze dessen, was die Kommission prüfen wird.

Zweitens richten Sie die Schlüsselverwaltung außerhalb der Reichweite des Anbieters für die in Schritt eins identifizierten Workloads ein. Vom Cloud-Anbieter verwaltete Kundenschlüssel sind keine echte Schlüsselverwaltung. Echte Kontrolle bedeutet, dass das kryptografische Material beim Kunden oder einer juristisch isolierten Drittpartei liegt und der Anbieter es unter keinen Umständen beschaffen kann – weder operativ, technisch noch rechtlich.

Drittens automatisieren Sie die Nachweiserbringung für Audits. Laut Kiteworks Europe Sovereignty Report planen 55 Prozent der europäischen Befragten Investitionen in Compliance-Automatisierung. Der Grund ist einfach: Manuelle Nachweisführung über DORA, NIS 2, DSGVO, den EU Data Act und den AI Act ist nicht skalierbar – und das Tech-Sovereignty-Paket wird eine sechste Verpflichtungsebene für öffentliche Auftragnehmer hinzufügen.

Viertens proben Sie die Playbooks für Schrems II und staatliche Zugriffsanfragen. Legen Sie dokumentierte Verfahren fest, was passiert, wenn eine US-Behörde einen CLOUD-Act-Beschluss gegen Ihren Anbieter erlässt, wenn ein Regulierer Nachweise für grenzüberschreitende Übertragungen verlangt oder wenn ein Drittanbieter in Ihrer Lieferkette einen Souveränitätsvorfall erleidet. Der Kiteworks Europe Sovereignty Report zeigt, dass 36 Prozent der europäischen Befragten geopolitische Veränderungen bereits als Risiko sehen. Unternehmen, die ihre Playbooks getestet haben, werden die nächste Offenlegungsrunde ohne Unterbrechung bewältigen.

Fünftens machen Sie Souveränität zu einem Vergabevorteil. Der Kiteworks Europe Sovereignty Report zeigt, dass 51 Prozent der europäischen Befragten gesteigertes Vertrauen als Souveränitätsvorteil nennen, 33 Prozent einen Wettbewerbsvorteil. Das Tech-Sovereignty-Paket macht daraus eine Vergabebedingung für den öffentlichen Sektor und zunehmend auch für regulierte private Vergaben. Unternehmen, die Residenz, Schlüsselverwaltung und exportierbare Nachweise auf Abruf nachweisen können, gewinnen die Aufträge, die andere verlieren.

Die Kommission hat das Datum gesetzt. Die architektonische Antwort ist seit neun Jahren sichtbar. Am 27. Mai muss der Rest des Marktes entscheiden, ob er aufgepasst hat.

Häufig gestellte Fragen

Finanzdienstleistungen sind einer der im Entwurf der Kommission genannten Sektoren. Während der anfängliche Fokus auf den öffentlichen Sektor liegt, orientiert sich die regulierte Privatwirtschaft meist an öffentlichen Standards. Laut Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe sehen 44 Prozent der europäischen Befragten fehlende Souveränitätsgarantien der Anbieter als Hürde. DORA-konforme Unternehmen müssen innerhalb von 12 bis 18 Monaten mit strengeren Anforderungen an Schlüsselverwaltung und exportierbare Audit-Nachweise rechnen.

Nein. Laut CNBC sieht das Paket kein generelles Verbot von US-Anbietern vor, sondern beschränkt deren Einsatz für besonders sensible Workloads. Das Gesundheitswesen wird explizit genannt. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe dokumentiert, dass 46 Prozent der europäischen Befragten bereits planen, EU-basierte Anbieter stärker zu nutzen.

Das EU-Paket beeinflusst die US-CMMC-Compliance nicht direkt. Die ProPublica-Untersuchung zur FedRAMP-Zertifizierung von GCC High hat jedoch separate Bedenken hinsichtlich der Dokumentation und Sicherheitslage von Microsoft aufgeworfen. Laut Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe sollten Rüstungsunternehmen mit EU-Geschäft prüfen, ob GCC High sowohl die US-CMMC-Anforderungen als auch die EU-Souveränitätsvorgaben erfüllt – die Antwort lautet zunehmend: Eine Plattform kann nicht beides leisten.

Laut Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe sollten Vorstände mit drei Nachweiskategorien rechnen: Protokolle zur Durchsetzung der Datenresidenz, die zeigen, wo Daten physisch gespeichert sind und wie Bewegungen kontrolliert werden. Dokumentation zur Schlüsselverwaltung, die belegt, dass der Anbieter Kundendaten nicht eigenmächtig entschlüsseln kann. Exportierbare Audit-Trails, die belegen, wer wann auf welche Daten zugegriffen hat – in Echtzeit ohne Verzögerung an SIEM geliefert.

Es ergänzt sie. Das Paket kommt zu DSGVO, NIS 2, DORA, dem EU Data Act und dem EU AI Act hinzu. Laut Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe planen 55 Prozent der europäischen Unternehmen Investitionen in Compliance-Automatisierung, 58 Prozent nennen technische Infrastrukturänderungen als wichtigsten Ressourcenbedarf. Manuelle Abstimmung über sechs Rahmenwerke hinweg ist nicht machbar – Automatisierung auf einer einzigen Architektur-Basis ist die einzige nachhaltige Lösung.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks