Der fragile Waffenstillstand, der die globalen Datenflüsse regelte, ist gerade zerbrochen. In einem koordinierten Regulierungsangriff, der das Silicon Valley überraschte, erließen die Europäische Union und ein Block von sieben asiatischen Volkswirtschaften – darunter Japan, Südkorea und Singapur – im ersten Quartal 2026 gleichzeitig überlappende Datenspeicherungsauflagen. Dies zwang Cloud-Anbieter, eine Infrastruktur neu zu gestalten, an der sie das letzte Jahrzehnt gebaut hatten. Microsoft, Google und Amazon Web Services kämpfen nun gegen Compliance-Fristen, die in einigen Fällen innerhalb von 90 Tagen ablaufen.
Dies ist kein bürokratischer Kleinkrieg. Es ist ein struktureller Bruch.
Der Regulierungstsunami, den niemand vollständig vorhergesagt hat
Das Digital Markets Sovereignty Act (DMSA) der EU, das im Februar 2026 rechtsverbindlich wurde, reichte weit über seinen Vorgänger, die DSGVO, hinaus. Es schreibt nun vor, dass alle von EU-Bürgern generierten personenbezogenen Daten nicht nur innerhalb der EU-Grenzen gespeichert, sondern ausschließlich auf Infrastrukturen verarbeitet werden müssen, die sich im Besitz von EU-registrierten Unternehmen befinden oder mehrheitlich von diesen kontrolliert werden. Diese letzte Klausel ist der Knackpunkt. Sie disqualifiziert effektiv Hyperscaler-Rechenzentren in Irland und Deutschland, die vollständig im Besitz amerikanischer Muttergesellschaften sind – es sei denn, diese Tochtergesellschaften erfüllen strenge Kriterien zur Entflechtung der Eigentumsverhältnisse.
Gleichzeitig führten Japans überarbeitetes Personal Information Protection Act Amendment und Südkoreas aktualisiertes PIPA-Framework nahezu identische "souveräne Verarbeitungs"-Klauseln ein, während Singapurs PDPA-Überarbeitung ein gestaffeltes grenzüberschreitendes Transferregime schuf, das so granular ist, dass Standardvertragsklauseln keinen automatischen sicheren Hafen mehr bieten.
„Das Beispiellose hier ist die Synchronisation“, sagt Dr. Anya Krishnamurthy, Senior Fellow am Bruegel Institute, spezialisiert auf digitales Handelsrecht. „Das ist nicht zufällig passiert. Diese Regulierungsbehörden standen 18 Monate lang im Dialog über die OECD Digital Economy Working Group. Die Überschneidung ist beabsichtigt – sie schafft eine Zangenbewegung, die multinationale Unternehmen nicht umgehen können.“
Warum jetzt? Das politische Kalkül hinter dem Vorgehen
Das Timing ist entscheidend. Drei konvergierende Kräfte haben diesen Moment beschleunigt.
Erstens, das Problem des Datenhungers der KI. Große Sprachmodelle und autonome KI-Agenten erfassen nun kontinuierlich Petabyte-große Datensätze. Die Regulierungsbehörden in Brüssel und Tokio beobachteten, wie amerikanische KI-Labore europäische und asiatische Nutzerdaten mit minimaler Rechenschaftspflicht trainierten, und kamen zu dem Schluss, dass die alten Frameworks – für statische Datenbanktransfers geschrieben – architektonisch obsolet waren.
Zweitens, der geopolitische Entkoppelungsdruck. Die US-China-Technologietrennung von 2024-2025 normalisierte die Idee, dass digitale Infrastruktur souveräne Infrastruktur ist. Europäische und asiatische politische Entscheidungsträger übernahmen diese Logik und wandten sie nach innen an, indem sie hinterfragten, warum die Gesundheitsdaten, Finanztransaktionen und Kommunikationen ihrer Bürger über Rechenzentren in Virginia laufen sollten.
Drittens, eine Reihe hochkarätiger Sicherheitsverletzungen. Zwei bedeutende Vorfälle Ende 2025 – einer betraf eine europäische Tochtergesellschaft eines großen US-Cloud-Anbieters und ein weiterer eine südostasiatische Fintech-Plattform – legten Millionen von Datensätzen offen. Beide ließen sich auf grenzüberschreitende Replikationspipelines zurückführen. Die Regulierungsbehörden hatten ihre politische Deckung.
Das operationelle Chaos bei Cloud-Anbietern
Die Compliance-Mathematik ist brutal. Der Aufbau eines wirklich souveränen Cloud-Knotens – der die EU-Anforderungen an die Entflechtung der Eigentumsverhältnisse erfüllt – ist kein Software-Update. Er erfordert die Gründung unabhängiger juristischer Personen, die Rekrutierung lokaler Vorstände mit treuhänderischer Befugnis, die Trennung des Verschlüsselungsschlüsselmanagements von der Infrastruktur der Muttergesellschaft und die Überprüfung der Lieferketten bis auf die Halbleiterebene.
AWS beschleunigte stillschweigend seine Initiative „AWS European Sovereign Cloud“, die ursprünglich für 2027 geplant war, und zog den Zeitplan aggressiv vor. Google Cloud kündigte Notfallpartnerschaften mit der Deutschen Telekom und Orange SA an, um Infrastrukturen unter EU-konformen Strukturen mitzubetreuen. Microsoft restrukturierte seine Azure EU-Operationen in eine teilweise unabhängige Tochtergesellschaft – doch Rechtsanalysten bezweifeln, ob teilweise Unabhängigkeit die DMSA-Schwelle der Mehrheitskontrolle erfüllt.
Die Kosten sind atemberaubend:
- AWS: Geschätzte 4,2 Milliarden Euro an beschleunigten Investitionen in souveräne EU-Infrastruktur bis 2027
- Google Cloud: Prognostizierte 3,8 Milliarden US-Dollar an APAC-Compliance-Restrukturierungskosten
- Microsoft Azure: Allein im ersten Quartal 2026 rund 2,1 Milliarden US-Dollar an einmaligen Restrukturierungskosten verbucht
Mittelständische Anbieter sind in einer schlechteren Lage. Snowflake, Databricks und MongoDB stehen vor einem anderen Problem: Sie besitzen keine physischen Rechenzentren. Sie mieten Kapazitäten von Hyperscalern, und wenn die souveränen Knoten dieser Hyperscaler noch nicht konform sind, ist es die darüber liegende SaaS-Schicht auch nicht. Es ist ein Kettenversagen in Zeitlupe.