Warum Datensouveränität 2026 nicht verhandelbar ist

Amerikanische Hyperscaler sind exzellent. Wir nutzen sie, ein guter Teil der digitalen Infrastruktur Europas läuft zu Recht auf ihnen, und sie liefern eine Skalierung und Innovation, die heute niemand reproduziert. Sobald das Gespräch jedoch auf kritische Infrastruktur und regulierte sensible Daten kommt, ändert sich der Rahmen — nicht weil sie „gegen uns“ wären, sondern weil sie unter einer anderen Jurisdiktion operieren, und das hat konkrete rechtliche Konsequenzen.

Die rechtliche Grundlage ist solide. Im Juli 2020 hat der Europäische Gerichtshof Privacy Shield für ungültig erklärt (Schrems-II-Urteil, C-311/18), und zwar genau wegen des Konflikts zwischen dem US CLOUD Act und der DSGVO. Jede Verarbeitung personenbezogener europäischer Daten durch einen Anbieter, der der US-Jurisdiktion unterliegt, begründet eine direkte DSGVO-Haftung. Keine Meinung: gefestigte europäische Rechtsprechung.

Was sich in den letzten 18 Monaten geändert hat

• NIS2 verpflichtet seit Oktober 2024 dazu, die digitale Lieferkette wesentlicher und wichtiger Einrichtungen zu auditieren. KI-as-a-Service ist Lieferkette.
• Der EU AI Act klassifiziert Hochrisikosysteme mit Anforderungen an Nachvollziehbarkeit und Governance, die Kontrolle darüber implizieren, wo und wie Daten verarbeitet werden.
• DORA, seit Januar 2025 vollständig anwendbar, verpflichtet beaufsichtigte Finanzinstitute, Ausstiegspläne für kritische Cloud-Dienste vorzulegen. Die Europäische Zentralbank identifiziert in ihrem Leitfaden zum Outsourcing die Abhängigkeit von Hyperscalern als systemisches Konzentrationsrisiko.
• Auf EU-Ebene debattiert das EUCS (European Cybersecurity Certification Scheme for Cloud Services) unter der ENISA weiterhin, ob das Sicherheitsniveau „High“ Immunitätsanforderungen gegenüber ausländischen Jurisdiktionen enthalten soll — die formale Verabschiedung bleibt aufgeschoben. Auf nationaler Ebene sind SecNumCloud (Frankreich, ANSSI, seit 2016 in Betrieb) und das Esquema Nacional de Seguridad (Spanien, verpflichtend durch Königliches Dekret 311/2022) bereits verbindliche Rahmenwerke, keine Projekte.

Das Muster ist klar: Aufsichtsbehörden geben sich nicht mehr mit „die Daten sind verschlüsselt“ zufrieden. Sie verlangen zu wissen, wer sie verarbeitet, wo, unter welcher Jurisdiktion und wie die Verantwortungskette aussieht.

Was „souverän“ in der Praxis bedeutet

Souverän ist kein Siegel. Es ist eine Summe von Anforderungen, die gleichzeitig erfüllt sein müssen:

Worauf wir achten, wenn wir die Plattform entwerfen

GPU Solutions betreibt ein einziges Rechenzentrum, in Madrid, Tier III, bereits mit ISO 27001 und ENS Media zertifiziert — nicht „in Bearbeitung“. Der Cluster läuft auf HGX B200 mit VM-Isolation auf Hypervisor-Ebene, nicht auf geteilten Containern. Die Liste der Unterauftragnehmer passt auf ein Blatt Papier: wir, NVIDIA für HW-Support und der Tier-III-Betreiber.

Bewusst einfach. Wenn Ihr CISO die Risikoanalyse unterzeichnen muss, ist Einfachheit die wichtigste Anforderung der Welt.

Die Frage für Ihr Team

Schauen Sie auf Ihre letzte Cloud-Rechnung. Können Sie diese vier Fragen beantworten, ohne den Vertrag zu durchsuchen?

• In welchem Land genau werden die Prompts verarbeitet, die Sie an das Modell senden?
• Was passiert, wenn eine US-Behörde Zugriff auf diese Daten verlangt?
• Welche Unterauftragnehmer liegen zwischen Ihrer Anwendung und der GPU?
• Wie lange würden Sie für eine Migration brauchen, wenn die Aufsichtsbehörde es Ihnen morgen vorschreibt?

Wenn eine der Antworten erfordert, ein Support-Ticket zu öffnen, haben Sie bereits ein Compliance-Problem. Die gute Nachricht: Eine Alternative existiert, funktioniert und passt in Ihr aktuelles Budget.