Das europäische Vorzeigeprojekt Gaia-X war unter anderem dafür angetreten, einen Gegenentwurf zu den amerikanischen Hyperscalern zu entwickeln und für souveräne Datenräume zu sorgen. Kann es vor den Zudringlichkeiten von US-Behörden schützen? Und vor europäischen auch?
Souveränität mit Vorbehalt: Auch europäische Datenräume wie Gaia-X sind an EU-Recht gebunden – und damit nicht völlig frei von behördlichen Zugriffsmöglichkeiten.
(Bild: sam richter - stock.adobe.com / KI-generiert)
Das Gaia-X Hub Deutschland hat mit Dr. Abel Reiberg einen neuen Projektleiter. Er musste sich frisch im Amt unserer Frage stellen, inwieweit das Gaia-X-Framework vor Zudringlichkeiten durch Behörden schützen kann. Hilft es dabei, Kundendaten vor den Augen des Gesetzes zu verbergen?
Dr. Abel Reiberg, Projektleiter Gaia-X Hub Deutschland.
(Bild: Gaia-X)
Reiberg erläutert gegenüber CloudComputing-Insider, dass die Initiative dafür auf ein dezentrales System setzt: Die Daten bleiben in der Regel bei ihren Inhabern. Erst wenn es wirklich nötig ist und die Inhaber zustimmen, werden Daten weitergegeben. Ein wichtiger Baustein dafür seien sogenannte „Digital Clearing Houses“, die prüfen, wer Daten erhalten möchte, und sicherstellen, dass nur berechtigte Personen oder Unternehmen Zugriff bekommen. Mit dem Gaia-X Trust-Framework könnten Dateninhaber genau festlegen, wer welche Daten sehen darf und wofür sie genutzt werden dürfen. „Das geschieht über klare Regeln, die für alle verständlich sind“, so Reiberg.
Der Zugriff auf Daten werde über sogenannte Usage und Consumer Policies gesteuert. Das sind konkrete Anforderungen an Nutzer und Anbieter, die in einer offenen Sprache – Open Digital Rights Language (ODRL) – festgelegt werden. Diese Regeln werden im sogenannten Policy Enforcement Point überprüft. So wird laut Reiberg sichergestellt, dass Daten nur an vertrauenswürdige Partner im europäischen Raum transferiert werden.
Die Übermittlung der Daten erfolge direkt zwischen Dateninhaber und Datenempfänger – ohne Zwischenspeicherung bei einem Dritten. Dafür werde spezielle Konnektor-Technologie genutzt. Jeder Beteiligte kann seinen eigenen Konnektor betreiben und bleibt so unabhängig von großen externen Anbietern. So werde die Gefahr, dass Daten durch unrechtmäßige Anfragen von Dienstleistern oder Vermittlern weitergegeben werden, minimiert.
Durch die Wahl europäischer Partner und Dienste könne zudem verhindert werden, dass Daten an außereuropäische Behörden gelangen. Aber: Gerichtlichen Anordnungen muss Folge geleistet werden, wenn sie direkt an die Dateninhaber gerichtet werden. Diese können zwar prüfen, ob die Anordnung berechtigt ist, müssen dann aber entsprechend reagieren.
Rechtliche Grundlagen für die Datenweitergabe
Damit ist nun klar: Im Prinzip sind alle Provider – amerikanische wie europäische - verpflichtet, auf berechtigtes Verlangen hin Kundendaten an die jeweils zuständigen Behörden auszuliefern. Das betrifft auch Anwender des Gaia-X-Frameworks. Hier einige der Gesetze, die dies fordern und für Europa gelten (den in den USA dominierenden CLOUD Act haben wir bereits in Teil 1 erläutert):
Zum einen und allen voran kommt hier die EU-DSGVO ins Spiel, insbesondere der Art.6, Absatz 1, Satz c. Er besagt, dass Provider einer rechtlichen Verpflichtung unterliegen können und daher zur „Verarbeitung von Daten“ verpflichtet sind. Eine „Verarbeitung“ kann auch dem Zweck einer Herausgabe von Daten dienen. Die konkrete Verpflichtung zur Datenherausgabe findet sich in der Strafprozessordnung (StPO) in Paragraph 95, Absatz 1:
(1) Wer einen Gegenstand der vorbezeichneten Art in seinem Gewahrsam hat, ist verpflichtet, ihn auf Erfordern vorzulegen und auszuliefern.
(2) Im Falle der Weigerung können gegen ihn die in § 70 bestimmten Ordnungs- und Zwangsmittel festgesetzt werden. Das gilt nicht bei Personen, die zur Verweigerung des Zeugnisses berechtigt sind.
Nach Paragraph 94, Absatz 1 der Strafprozessordnung können solche Gegenstände wohl auch Daten sein, weil sie nicht näher spezifiziert werden, aber als Beweismittel dienen können:
(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.
(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.
(3) Die Absätze 1 und 2 gelten auch für Führerscheine, die der Einziehung unterliegen.
(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.
Juristen werden ohne Zweifel noch weitere Gesetze ausfindig machen, die eine Weitergabe von Kundendaten an Behörden ermöglichen bzw. gebieten. Aber EU-DSGVO und StPO alleine sind schon unwiderstehliche Geschütze.
Fazit
Eigentlich ist es traurig: Die Aussage eines mir gut bekannten CIOs von vor 20 Jahren, wonach jeder IT-Manager, der seinen Job behalten wolle, besser niemals kritische Unternehmensdaten in die Public Cloud geben sollte, hat auch heute noch Gültigkeit, allen Rufen nach souveränen Datenräumen zum Trotz. Und der Ausweg aus der Misere ist nach wie vor der selbe: Nur in einer Private Cloud gehören einem die Daten ganz alleine. Nur dort sind sie vor Zudringlichkeiten durch Behörden und Übeltäter geschützt. Zumal sie ja auch noch verschlüsselt werden könnten.
Und damit kehren wir noch einmal an den Ausgang unserer Recherche zurück. Kevin Miller wies ausdrücklich auf die Möglichkeit der Verschlüsselung von Kundendaten in der AWS-Cloud hin. Den Schlüssel dafür halte ausschließlich der Datenbesitzer – selbst wenn also Daten an ein Gericht oder eine Behörde übergeben würden, wären diese nicht zu gebrauchen. Vorausgesetzt, der Schlüsselinhaber wird nicht weich. Oder die Behörden haben einen unwiderstehlichen Code-Knacker zur Hand. Dafür gibt es aktuell leider aber starke Tendenzen, sowohl in der EU als auch in den USA. Das ist aber ein anderes Thema.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0a/2d/0a2dd858eb819a61da727d85c4071297/0125573814v1.jpeg "Zwei Welten in der Cloud: US-Gesetze wie der CLOUD Act setzen der vermeintlichen Datensouveränität in der europäischen Cloud der Hyperscaler enge Grenzen. (Bild: Lisouski Uladzimir - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/50/c2/50c2902a4f7eeaf0e95f8b1468ec40f4/0125569423v1.jpeg "Wenn aus der Cloud die Daten regnen: Der Mythos der absoluten Datensouveränität europäischer Clouds löst sich bei genauerem Hinsehen auf. Auch europäische Cloud-Anbieter geben Daten heraus, wenn das Gesetz es verlangt. (Bild: Zhongyuan Chen - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/50/c2/50c2902a4f7eeaf0e95f8b1468ec40f4/0125569423v1.jpeg "Wenn aus der Cloud die Daten regnen: Der Mythos der absoluten Datensouveränität europäischer Clouds löst sich bei genauerem Hinsehen auf. Auch europäische Cloud-Anbieter geben Daten heraus, wenn das Gesetz es verlangt. (Bild: Zhongyuan Chen - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0a/2d/0a2dd858eb819a61da727d85c4071297/0125573814v1.jpeg "Zwei Welten in der Cloud: US-Gesetze wie der CLOUD Act setzen der vermeintlichen Datensouveränität in der europäischen Cloud der Hyperscaler enge Grenzen. (Bild: Lisouski Uladzimir - stock.adobe.com / KI-generiert)")