Geopolitische Herausforderungen mit US-Cloud-Services

In den letzten Jahren sind immer mehr Unternehmen dazu übergegangen, wichtige Teile ihrer IT-Landschaft an US-amerikanische Infrastruktur- und Service-Anbieter auszulagern.
Durch ihr vielseitiges und großes Angebot an gemanagten Ressourcen und Betriebsplattformen wurde die schnelle Bereitstellung und Aktualisierung von Software ermöglicht, wie auch die flexible Skalierung und die Kostenanpassung an dynamische Nutzlasten.

Es gibt also gute Gründe für die Nutzung von US-Cloud-Services.

Datenschutz

Die Nutzung von US-Cloud-Services war für europäische Unternehmen jedoch von Anfang an problematisch. Viele Firmen haderten mit der Vorstellung, dass ihre Daten samt teilweise sehr persönlichen Kundendaten in externen Rechenzentren liegen sollten.
Diese unterliegen nicht nur der Kontrolle eines externen Dienstleisters, sondern auch dem Rechtssystem und sogar dem Zugriff eines anderen Staates.

In der Folge kam es zu verschiedenen Abkommen zwischen der EU und den USA, die die Nutzung von US-Diensten für europäische Unternehmen datenschutzrechtlich ermöglichen sollten: Safe Harbor (2000 in Kraft getreten), Privacy Shield (2016) und Data Privacy Framework (seit 2023).
Auf dieser Basis nutzen europäische Unternehmen bis heute immer mehr US-Cloud-Services.

Die ersten zwei Abkommen zum Datenschutz wurden jedoch durch europäische Gerichte gekippt (Safe Harbour 2015, Privacy Shield 2020).
Und mittlerweile haben wir mit dem dritten Abkommen eine Rechtssituation, in der europäische Unternehmen US-Dienste zwar nutzen dürfen, US-Geheimdienste jedoch weiterhin auf Daten in europäischen Rechenzentren zugreifen dürfen, wenn die Software von US-Unternehmen betrieben wird (US Cloud Act 2018).

Seit dem Regierungswechsel in den USA im Januar 2025 hängt auch das sehr fragile Data Privacy Framework Abkommen am seidenen Faden, da der neue US-Präsident bereits

Dadurch kann es sein, dass die USA dem Abkommen weitere Grundlagen entziehen und es europäischen Unternehmen dann laut europäischem Datenschutzrecht nicht mehr erlaubt sein könnte, DSGVO-relevante Daten bei US-Unternehmen zu speichern.

Wettbewerbsrecht

Des Weiteren übt die EU massiven Druck auf große US-Cloud-Anbieter aus (https://www.politico.eu/article/zuckerberg-urges-trump-to-stop-eu-from-screwing-with-fining-us-tech-companies/), um deren dominante Positionen am Markt aufzubrechen.
So wurden hohe Strafzahlungen verhängt:

Die US-Unternehmen suchen seither Unterstützung bei der neuen US-Regierung, um ihre Interessen in Europa durchzusetzen, was ebenfalls Folgen für die Nutzung ihrer Dienste durch europäische Unternehmen haben kann.

Szenarien

Bevor wir die konkreten Auswirkungen auf Unternehmen betrachten, schauen wir uns an, mit welchen Szenarien wir rechnen müssen.

Szenario 1: Wegfall des Data Privacy Framework

Das Data Privacy Framework wird aufgekündigt. Dies kann dadurch geschehen, wenn die EU offiziell entscheidet, dass die Grundlagen zur Einhaltung des Abkommens nicht mehr vorliegen.

Der Eintritt dieses Szenarios ist sehr wahrscheinlich. Die USA haben ein hohes Interesse daran, möglichst viele Nutzerdaten aus aller Welt einzusammeln und auszuwerten, was im Spannungsverhältnis zu den hohen Datenschutzinteressen in Europa steht.

Es ist davon auszugehen, dass es in den USA keine gesetzlichen Einschränkungen des Datenzugriffs auf ausländische Benutzerdaten geben wird. Zudem ist zu erwarten, dass in Europa Klagen gegen das aktuelle Abkommen erhoben und am Ende erfolgreich sein werden.

Dieses Szenario wird jedoch wahrscheinlich nicht sehr zeitnah eintreten. Die letzten zwei Verfahren, die zum Kippen von Datenschutzabkommen führten, dauerten mehrere Jahre.
In der Zeit nach den Gerichtsurteilen wurden Unternehmen, die personenbezogene Daten bei US-Unternehmen speicherten, nicht direkt zu Strafzahlungen aufgrund europäischen Datenschutzes verurteilt. Stattdessen schlossen sie zusätzliche Verträge mit ihren Dienstleistern ab, bis die EU schließlich ein neues Abkommen als Rechtsgrundlage in Kraft setzen konnte.

Daher ist davon auszugehen, dass der Wille der EU sehr groß ist, auch weiterhin DSGVO-relevante Daten bei US-Dienstleistern verarbeiten zu lassen. Wahrscheinlich wird es selbst nach einem möglichen Ende des aktuellen Abkommens Bemühungen für ein neues Abkommen geben.
Da ein kurzfristiger Umbau betroffener Systeme kaum realistisch ist, ist außerdem mit großzügigen Übergangsfristen durch die EU zu rechnen.

Im Ergebnis wird der Datenschutz auch bei Aussetzen der aktuellen Rechtsgrundlagen wahrscheinlich eher kein kurzfristiges Problem darstellen, das zu Strafzahlungen führen wird. Ein Restrisiko bleibt jedoch, und ob Sie dieses eingehen wollen, sollte das Ergebnis einer strukturierten Risikoanalyse sein.

Unabhängig von der Rechtslage sollte diskutiert werden, ob der Zugriff der US-Geheimdienste auf Mitarbeiter- und Kundendaten für Ihr Unternehmen akzeptabel ist.
In diesem Fall sollten Sie herausfinden, welche Daten und Prozesse von US-Services abhängig sind, damit Sie europäische Alternativen für diese finden können.

Szenario 2: Preissteigerungen

US-Cloud-Service-Anbieter wie Google, Microsoft und Amazon erhöhen ihre Preise.
Dies kann dadurch begründet sein, dass die Unternehmen das Geld für Strafzahlungen in Europa auch in Europa erwirtschaften möchten.
Auch kann dies in Absprache mit der US-Regierung als Druckmittel in den aktuellen Handelsstreitigkeiten zwischen den USA und Europa geschehen.

Unabhängig von der aktuellen Situation des Datenschutzes und den Handelsstreitigkeiten ist es vermutlich Teil des Geschäftsmodells der US-Cloud-Services, ihre Kunden in eine Abhängigkeit zu locken, aus der sie schlecht herauskommen und deshalb in der Folge auch steigende Preise akzeptieren.

Die Wahrscheinlichkeit von Preiserhöhungen ist demnach hoch. Je nach den genutzten Diensten kann der Schaden gering bis hoch ausfallen – entweder durch höhere Servicegebühren oder durch mehr oder weniger aufwändige Migrationen zu anderen Anbietern.

Um Preiserhöhungen zu entgehen, ist es daher sinnvoll, für jede Dienstleistung mehrere Anbieter zur Auswahl zu haben. Nur der Wettbewerb sorgt für marktgerechte Preise. Es kann also hilfreich sein, zu identifizieren, welche Teile der eingekauften IT-Dienstleistungen auch durch andere Anbieter übernommen werden können. Werden diese außerdem in Europa und von europäischen Unternehmen bereitgestellt, vereinfacht das die Handhabung mit dem Datenschutz zusätzlich.

Um zwischen verschiedenen Cloud-Anbietern wechseln zu können, ist es daher sinnvoll, vor allem Basisdienste einzukaufen und nicht auf Produkte zu setzen, die man nicht zu anderen Anbietern überführen kann. (mehr dazu z.B. hier: https://berthub.eu/articles/posts/the-european-cloud-ladder/)

Mindestens, um Preise mit US-Anbietern verhandeln zu können, ist es also sinnvoll herauszufinden, welche US-Services Sie für welche Geschäftsfähigkeit Ihres Unternehmens einsetzen, damit Sie europäische Alternativen identifizieren können.
Und vielleicht macht ein Wechsel zu einem europäischen Anbieter auch finanziell Sinn, da einige hiesige Service-Angebote deutlich preiswerter sind.

Szenario 3: Einstellung von Services

US-Cloud-Service-Anbieter wie Google, Microsoft und Amazon bieten ihre Services nicht mehr an.
Dieses Szenario halte ich für sehr unwahrscheinlich, beinahe für abwegig. Dennoch ist es möglich, dass im Rahmen der Handelsstreitigkeiten damit gedroht wird, bestimmte Services nicht mehr anzubieten.

Da die großen Tech-Firmen jedoch vermutlich nicht auf ihre Einnahmen in Europa verzichten wollen, ist davon auszugehen, dass die wichtigsten Dienste weiterhin unterbrechungsfrei angeboten werden.

Die bisherigen Erfahrungen mit der neuen US-Regierung zeigen, dass sich nach zunächst harten Ankündigungen schnell wieder die finanziellen Interessen des Marktes durchsetzen. Somit ist auch hier eher von einer Kontinuität der Dienstleistungen auszugehen.

Dennoch: wenn wir wie in Szenario 2 europäische Alternativen für die von uns genutzten Services identifizieren, haben wir in Verhandlungen auch in diesem Szenario ein Ass im Ärmel.

Szenario 4: keine Änderungen

Nichts ändert sich. Alle Services werden weiterhin angeboten und die Preise dafür entwickeln sich wie gehabt.
Ebenso wie in Szenario 2 und 3 sollten Unternehmen darauf vorbereitet sein, Anbieter bei Bedarf wechseln zu können, um wettbewerbsgerechte Preise zu erhalten und bei Problemen eines Anbieters den Betrieb fortführen zu können.

Risiken und notwendige Maßnahmen

Die aktuellen Handelsstreitigkeiten zwischen der EU und den USA sowie das Risiko, dass das Datenschutzabkommen zwischen der EU und den USA nicht gelten könnte, werden für Unternehmen wahrscheinlich keine kurzfristigen und dramatischen Verschlechterungen bedeuten. Gleiches gilt für die Strafzahlungen der großen US-Cloud-Anbieter in Europa.

Bubble chart comparing four scenarios. 'Szenario 1' and 'Szenario 2' (red) show high risk and high impact, while 'Szenario 3' and 'Szenario 4' (yellow) indicate lower risk levels.
Risiko Matrix: Szenario 2 birgt das höchste externe Risiko, wenn US-Cloud-Services genutzt werden

Dennoch sollten Unternehmen identifizieren, welche Services der großen US-Cloud-Anbieter sie wofür nutzen und welche konkreten Alternativen es dazu gibt. Dadurch können bessere Preise für die Nutzung der Dienste verhandelt werden, denn die nächste Preiserhöhung kommt bestimmt. Vielleicht ist sogar ein Wechsel zu einem preiswerteren Anbieter in Europa ganz oder teilweise eine Option.

Denn Unternehmen erlangen mehr Kontrolle, wenn die Abhängigkeit von einem einzelnen Anbieter nicht zu groß ist.

Rolle der Enterprise Architektur

Enterprise Architektur (EA) kann als zentrales Werkzeug dienen, um die identifizierten Nutzungsrisiken von US-Cloud-Services strukturiert anzugehen und Maßnahmen abzuleiten. Sie ist das Bindeglied zwischen IT, Geschäftsprozessen und Unternehmensstrategie – ideal, um Transparenz über Abhängigkeiten zu schaffen und Handlungsoptionen zu entwickeln.

Für alle genannten Szenarien müssen wir zunächst feststellen, welche Services der US-Dienstleister wir zu welchem Zweck nutzen.

Konkret geht es uns um die Beantwortung folgender Fragen:

1. Welche US-Dienste werden wofür und mit welchen Alternativen genutzt?
Inklusive der Einschätzung von Wechselkosten und Migrationsaufwand.

2. Welche personenbezogenen Daten werden bei US-Diensten verarbeitet?
Relevant für DSGVO-Compliance und insbesondere im Falle eines ungültigen Data Privacy Frameworks.

Haben Sie eine eigene Abteilung namens Enterprise Architektur oder sind die Aufgaben der Unternehmensarchitektur bewusst auf verschiedene andere Rollen und Abteilungen in Ihrem Unternehmen verteilt?
Unabhängig davon, wie Sie diese Frage beantworten, müssen einige Menschen in Ihrem Unternehmen über fast alle Abteilungen hinweg eng zusammenarbeiten, um die IT-Architektur gemeinsam mit der Geschäftsarchitektur und der Organisation Ihres Unternehmens auf die Firmenziele und -Strategie auszurichten. Das ist übrigens auch Thema unseres Technology Briefings „Soziotechnische Architekturen” (https://briefing.innoq.com/de/soziotechnische-architekturen).

Schauen wir uns also an, wie die Enterprise Architektur dabei helfen kann, konkrete Risiken für Ihr Unternehmen zu identifizieren, zu bewerten und ggf. passende Maßnahmen zu ergreifen, um diese auszuschließen oder sie im Eintrittsfall erfolgreich zu bewältigen.

Bestandsaufnahme der Architektur im Kontext

Zunächst benötigen Sie eine Übersicht der Services, die Sie bei US-Cloud-Anbietern verwenden.
Wenn Sie bereits ein zentrales Enterprise Architecture Tool wie LeanIX (https://www.leanix.net/de/) oder Ardoq (https://www.ardoq.com/) einsetzen und Prozesse etabliert haben, um externe Abhängigkeiten nachzuverfolgen, müssen Sie diese wahrscheinlich nur noch aktualisieren.

Oftmals unterstützen allerdings auch manuelle oder halbautomatisierte Methoden:

  • Strukturierte Umfragen und Interviews mit Fach- und IT-Abteilungen
  • Sichtung bestehender Dokumentation und Schnittstellen
  • Vertragsanalysen zur Identifikation externer Software
  • Nutzung von SaaS-Discovery-Tools
  • Code-Reviews und API-Gateway-Monitoring

Sind die eingesetzten Applikationen, Plattformen und anderen Komponenten bekannt, werden diese in einem zentralen Tool festgehalten und ihre Schnittstellen zu anderen Lösungen beschrieben. Wenn Sie noch kein zentrales EA-Tool einsetzen, bieten sich auch einfache Dokumentationsformen wie der Tech Stack Canvas (https://techstackcanvas.io) an.
Dann werden Sie jedoch einige der notwendigen Diagramme händisch erstellen und pflegen müssen, während Tools wie LeanIX oder Ardoq diese weitgehend automatisiert erstellen.

Bei der Aufnahme der Abhängigkeiten ist es für diesen Anwendungsfall wichtig, konkrete Services der US-Cloud-Services zu identifizieren, statt lediglich AWS als Cloud-Anbieter zu nennen. Es macht einen Unterschied, ob Sie beispielsweise einen Kubernetes-Cluster betreiben, den Sie relativ einfach zu einem anderen Anbieter migrieren können, oder ob Ihr Benutzermanagement dort angesiedelt ist. Ebenso relevant ist, ob Sie Services nutzen, für die es keine vergleichbare Alternative bei anderen Anbietern gibt. In der anschließenden Auswertung können Sie dann alle AWS-Services den Business Capabilities Ihres Unternehmens zuordnen und ein Gesamtrisiko berechnen.

Dabei werden auch Datenobjekte identifiziert und entsprechend ihrer DSGVO-Relevanz klassifiziert. So kann beurteilt werden, ob bei US-Diensten Daten liegen, die dort nur mit gültigem Data Privacy Framework den europäischen Datenschutzregeln entsprechen.
Dies bedeutet, dass Sie den jeweiligen Services bei US-Cloud-Anbietern Datenobjekte samt DSGVO-Klassifizierung sowie im Idealfall auch Business Capabilities zuordnen. So können Sie auf einen Blick erkennen, welche Ihrer Geschäftsfähigkeiten von bestimmten Services abhängen.

Diagram comparing US cloud services (AWS EC2, Microsoft 365, Miro) with alternatives (OVH, Nextcloud Office, Conceptboard) under product procurement and operation.
Szenario 2, 3, 4: In dieser Business Capability wird beispielhaft dargestellt, welche US-Cloud-Services verwendet werden, wie kritisch die Verwendung ist und welche Alternativen es gibt.

Wenn es viele Abhängigkeiten zu verschiedenen Diensten gibt, können Sie diese anhand der Problemwahrscheinlichkeit (s.o.) und der Wirkung auf zentrale Geschäftsbereiche priorisieren. Anschließend beauftragen Sie die EA, nach Alternativen zu suchen, die diese Abhängigkeiten auflösen.
Je nachdem, wie viele Abhängigkeiten Sie haben und wie schwer diese aufzulösen sind, können entweder alle oder nur die wichtigsten Abhängigkeiten betrachtet werden.
Gerade wenn Sie eine schnelle Empfehlung der EA benötigen, kann die Fokussierung auf Kerngeschäftsfelder sehr sinnvoll sein.

In einem ersten Schritt analysiert die EA die Verwendung der betroffenen Dienste, sucht dann nach Alternativen, z.B. in Europa, bewertet grob die Eignung für einen Anbieterwechsel und gibt eine erste Schätzung zu den Kosten und Migrationsaufwänden ab.
Dies erfolgt auf einem hohen Abstraktionsniveau, da die Aufwände für konkrete Anforderungsdefinitionen, Anbieterevaluationen und Migrationsplanungen sehr aufwändig sein können und erst sinnvoll sind, wenn ein Wechsel konkret wird.

Ein Diagramm, das Ihnen am Ende als Artefakt präsentiert werden kann, ist zum Beispiel dieses:

Diagram illustrating connections around Microsoft 365, showing tools and functions like 'Nextcloud Office,' 'Organizational Management,' and 'Meetings & Design.'
Szenario 2, 3, 4: Das Diagramm zeigt beispielhaft, für welche Business Capabilities ein US-Service kritisch ist und welche Alternativen sich pro Capability anbieten

Auch die Abhängigkeit Ihrer Geschäftsprozesse zu US-Cloud-Services kann modelliert werden, wenn Ihr zentrales EA-Tool gut mit Ihrem Prozess-Management-Tool vernetzt ist (Beispiel LeanIX und Signavio) oder Sie High-Level-Prozesse manuell in Ihrem EA-Tool definieren.

Haben Sie Ihre Unternehmensziele und die zugehörige Strategie ebenfalls in Ihrem Tool hinterlegt und ist dadurch erkennbar, welche Geschäftsfähigkeiten auf Ziele und Strategie einzahlen? Dann können Sie identifizieren, welche Ziel- und Strategie-relevanten Fähigkeiten und Projekte von Abhängigkeiten zu US-Cloud-Anbietern betroffen sind.
Je nach Ziel oder Strategie kann die Relevanz der Abhängigkeit dadurch beeinflusst sein.

Wenn identifiziert ist, welche Abhängigkeiten für Ihr Unternehmen nicht mehr akzeptabel sind, kann die EA in Zusammenarbeit mit Solution Architekt:innen, Produkt- und Plattformteams und anderen Beteiligten eine neue Zielarchitektur für die verschiedenen Bereiche erarbeiten.
Im Anschluss wird dann eine Roadmap erarbeitet, die beschreibt, wie Sie vom aktuellen Stand zum Zielbild gelangen.

Fazit

Digitale Souveränität ist kein theoretisches Konzept, sondern ein handfester Wettbewerbsfaktor.

Damit Ihr Unternehmen die Hoheit über Daten und Prozesse erhält, ist es wichtig, nicht zu große Abhängigkeiten zu einzelnen Anbietern entstehen zu lassen.
Manchmal können Abhängigkeiten akzeptiert werden, wenn damit große Geschäftsvorteile verbunden sind. Um die damit verbundenen Risiken bewusst eingehen zu können, müssen diese zunächst identifiziert und mögliche Mitigationsszenarien erarbeitet werden.

Enterprise Architektur ermöglicht es, die dafür nötige Transparenz herzustellen und fundierte Entscheidungen zu treffen.

TAGS