Cloud-Alternativen aus Europa: Digitalsouverän ist nicht gleich digitalsouverän

Unser Ergebnis: Keines der untersuchten Angebote ist datenunsicher oder unsouverän, dennoch gibt es einige Unterschiede, die sowohl von der bereitgestellten Infrastruktur wie auch vom jeweiligen Unternehmen als Anbieter abhängig sind.

Die Souveränität eines Cloud-Dienstes lässt sich nämlich anhand von zwei zentralen Dimensionen beurteilen: der rechtlichen Verankerung und der technischen Architektur. Auf der rechtlichen Seite ist entscheidend, unter welcher Jurisdiktion der Anbieter operiert – insbesondere ob US-Recht oder US-Konzernstrukturen mittelbar Einfluss auf den Dienst haben können. Ein Anbieter mit Sitz und Infrastruktur in Deutschland oder der EU bietet hier mehr Schutz als einer, der zwar einen europäischen Standort nutzt, aber in einen internationalen Konzern mit US-Geschäftsfußabdruck eingebettet ist. Auch die Frage, wem die Server physisch gehören und ob externe Unterauftragnehmer Zugriff haben, spielt eine Rolle.

Technisch ist das entscheidende Kriterium, ob Ende-zu-Ende-Verschlüsselung beziehungsweise das Zero-Knowledge-Prinzip als verbindliche Standardarchitektur umgesetzt ist – also ob Dateien bereits vor dem Upload verschlüsselt werden und Schlüssel weder für den Anbieter noch für Dritte zugänglich sind. Dienste, bei denen diese Sicherheitsfunktionen erst durch Konfiguration oder bestimmte Tarifwahl aktiviert werden müssen, bieten Verbrauchern strukturell weniger Schutz. Ergänzend sind Transparenzmerkmale wie Open-Source-Software, externe Audits und der Verzicht auf versteckte Telemetrie relevant, da sie das Vertrauen in die tatsächliche Umsetzung der Sicherheitsversprechen stützen.

Die vollständige Analyse digitalsouveräner Cloud-Anbieter gibt es in der aktuellen WDR Servicezeit.