Warum europäische Unternehmen ihre Daten selbst in die Hand nehmen müssen
Ein Interview über US-Cloud-Risiken, Open Source und DSGVO.
Interview-Podcast
AudioTranskript anzeigen
Frage 1
Digitale Souveränität – das klingt erstmal nach einem Buzzword. Was meint ihr damit konkret?
Antwort:
Ja, der Begriff wird viel strapaziert. Aber hinter dem Buzzword steckt eine sehr konkrete Frage: Wer hat eigentlich die Kontrolle über eure Daten?
Und die ehrliche Antwort für viele europäische Unternehmen lautet: nicht ihr selbst.
Digitale Souveränität bedeutet für uns, dass ein Unternehmen seine Daten, seine Infrastruktur und seine Prozesse selbst kontrolliert – technisch, rechtlich und strategisch. Und dass es nicht von einem einzigen Anbieter abhängig ist, der morgen die Spielregeln ändern kann.
Frage 2
Klingt erstmal theoretisch. Gibt es konkrete Beispiele, wo das schiefgelaufen ist?
Antwort:
Die gibt es leider reichlich – und die kommen nicht aus dem Bereich Science-Fiction.
Zoom hat in der Vergangenheit z.B. seine AGB dahingehend geändert, Kundendaten für KI-Training zu verwenden. Zum Zeitpunkt der Änderung gab es nicht einmal die Möglichkeit, dieses Feature zu deaktivieren. Erst als es öffentlich wurde und der Druck groß genug war, wurde das wieder zurückgenommen. Die Frage, die bleibt: Was ist mit den gesammelten Daten passiert?
Auf Druck des US-Präsidenten hatte Microsoft das Outlook-Konto des Chefanklägers des Internationalen Strafgerichtshofs gesperrt. Ohne Gerichtsbeschluss, ohne Vorwarnung. Wer sein E-Mail-Postfach bei einem US-Konzern betreibt, übergibt diesem Konzern die Möglichkeit, den Zugang jederzeit zu entziehen – aus welchem Grund auch immer.
Erst kürzlich wurde bekannt, dass Microsoft Copilot sensible Informationen entgegen bestehender Bestimmungen zu Trainingszwecken ausgeleitet hat. Copilot wird in immer mehr Dienste integriert, was es schwer bis unmöglich macht, sich solchem Vorgehen zu entziehen. Größere Unternehmen mit eigenen Rechtsabteilungen wogen sich aufgrund vertraglicher Vereinbarungen in trügerischer Sicherheit.
Und auch die EU untergräbt u.a. mit der Chatkontrolle immer wieder die vertrauliche Kommunikation in verschlüsselten Messengern.
Frage 3
Aber wir leben doch nicht in einem rechtsfreien Raum – mich schützen doch Gesetze?
Antwort:
Ja, natürlich. Aber sein Recht nachträglich durchzusetzen, kann kostspielig und vor allem langwierig sein. In einer besseren Position ist derjenige, der von vornherein ausgeschlossen hat, dass ungleich größere und stärkere Unternehmen den Zugang zu seinen Daten und Systemen einschränken können. Am Ende ist es doch dies, was wir Souveränität nennen: die faktische Kontrolle – und nicht nur eine theoretisch-rechtliche.
Hinzu kommt: Der US Cloud Act und der Foreign Intelligence Surveillance Act verpflichten amerikanische Unternehmen, auf Anfrage US-amerikanischer Behörden Daten herauszugeben – egal, wo auf der Welt diese Daten physisch gespeichert sind. Ein AWS-Server in Frankfurt schützt also nicht vor einem US-Gerichtsbeschluss. Gesetze in der EU schützen euch vor europäischen Zugriffen ohne Rechtsgrundlage – aber nicht vor extraterritorialen Zugriffen aus den USA.
Was das bedeutet: Jedes europäische Unternehmen, das auf Microsoft Azure, Amazon Web Services oder Google Cloud setzt, unterwirft seine Daten faktisch auch der amerikanischen Rechtsprechung. Das ist keine übervorsichtige Interpretation – das ist geltende Rechtslage.
Frage 4
Was ist dann die Alternative? Alles selbst betreiben?
Antwort:
Nicht unbedingt alles selbst – aber selbstbestimmt. Und da kommt Open Source ins Spiel.
Software, deren Quellcode offen und überprüfbar ist, bietet eine Transparenz, die proprietäre Lösungen strukturell nicht leisten können. Man kann nicht prüfen, was man nicht sehen kann. Open-Source-Infrastruktur lässt sich unabhängig auditieren – kein versteckter Trainings-Passus in den AGB, keine stillen Updates, die Daten umleiten.
Kombiniert man das mit DSGVO-Konformität, dann erhält man eine Verteidigungslinie, die US-Hyperscaler prinzipbedingt nicht bieten können.
Und genau das ist unser Ansatz bei Clusterfish: eine vollständig verwaltete Private-Cloud-Plattform auf Open-Source-Basis, betrieben auf dedizierten, physikalischen Servern in deutschen Rechenzentren – ohne US-amerikanische Konzernstruktur im Hintergrund.
Frage 5
Welche Unternehmen sind denn besonders gefährdet – oder besonders gut beraten, das ernst zu nehmen?
Antwort:
Ehrlich gesagt: alle, die mit sensiblen Daten arbeiten. Aber es gibt Branchen, wo das Risiko besonders greifbar ist.
- Anwaltskanzleien und Steuerberater – Mandantendaten sind höchst vertraulich. Wenn die auf einem US-Cloud-Server liegen, ist das ein strukturelles Problem.
- Medizin und Gesundheitswesen – Patientendaten unterliegen strengsten Anforderungen. US-Anbieter sind hier schlicht keine gute Wahl.
- Unternehmen mit Geschäftsgeheimnissen – Kalkulationen, Patente, strategische Planungen. Wirtschaftsspionage ist real, und Abhängigkeiten von US-Infrastruktur erhöhen das Risiko.
- Unternehmen in regulierten Branchen – Finanzdienstleister, Energieversorger, kritische Infrastruktur. Hier ist Compliance keine Option, sondern Pflicht.
Und dann gibt es noch das ganz allgemeine Risiko: Wer seine IT auf fremder Infrastruktur betreibt, lebt damit, dass dieser Zugang jederzeit entzogen werden kann. Der Fall des IStGH-Anklägers ist ein extremes Beispiel – aber das Prinzip gilt für jedes Unternehmen.
Frage 6
Was würdet ihr Unternehmen raten, die jetzt anfangen wollen, das Thema ernst zu nehmen?
Antwort:
Erstmal durchatmen – und dann konkret werden.
Der erste Schritt ist eine ehrliche Bestandsaufnahme: Wo liegen eure kritischen Daten gerade? Welche Anbieter habt ihr im Einsatz, und haben die US-amerikanische Konzernstrukturen? Welche Daten wären besonders kritisch, wenn sie in falsche Hände geraten oder der Zugang gesperrt wird?
Der zweite Schritt ist, dass man sich über die Alternativen informiert. Es gibt heute exzellente europäische Infrastrukturanbieter und Open-Source-Lösungen, die auf Augenhöhe mit den großen Hyperscalern sind – oft sogar transparenter, günstiger und mit besserem Support.
Und dann – und das klingt jetzt vielleicht nach Eigenwerbung, ist aber ehrlich gemeint – lohnt es sich, mit uns zu sprechen. Wir haben uns auf genau dieses Problem spezialisiert. Wir bringen Unternehmen von teurer, abhängiger US-Cloud-Infrastruktur auf eine souveräne, DSGVO-konforme Plattform. Das machen wir zum monatlichen Festpreis, inklusive DevOps-Dienstleistung und Umzugsservice – und wir beißen nicht.
Frage 7
Wo bekomme ich mehr Informationen, und wie kann ich euch erreichen?
Antwort:
Alles Wichtige findet sich auf unserer Webseite: https://cluster.fish/
Dort gibt es auch einen KI-Chatbot, der konkrete Fragen beantworten kann. Wer lieber direkt mit uns spricht: einfach über das Kontaktformular oder per Mail an melden.
Wir freuen uns über jeden, der das Thema ernst nimmt – egal ob ihr schon konkrete Pläne habt oder noch ganz am Anfang steht.
Frage 8
Vielen Dank für das Gespräch!
Antwort:
Sehr gerne! Das Thema liegt uns wirklich am Herzen und wir freuen uns über jeden, dem es nach diesem Gespräch ein bisschen klarer geworden ist, was auf dem Spiel steht.