Die AWS European Sovereign Cloud - eine echte europäische Alternative zur AWS Cloud?

Am 15. Januar 2026 hat AWS die European Sovereign Cloud (EUSC) gelauncht, mit einer ersten Region in Deutschland (Brandenburg). Bei der EUSC handelt es sich um eine eigene, vollständig in der EU betriebene AWS Cloud für Workloads mit erhöhten Souveränitätsanforderungen. Sie bietet Datenresidenz und betriebliche Autonomie in der EU. Der Betrieb erfolgt ausschließlich durch EU-Personal ohne Zugriff durch den US-Mutterkonzern. Eine vollständige Loslösung vom US-Unternehmen ist sie aber nicht, denn die Betreibergesellschaft gehört letztlich weiter zum Amazon-Konzern, der nach eigenen Angaben rund 7,8 Milliarden EUR in das Vorhaben investiert.

Wer sich für eine souveräne Cloud interessiert, sollte deshalb zuerst klären, worum es konkret geht. Für regulierte Branchen kann die Kombination reizvoll sein, eine der fortschrittlichsten Cloud-Plattformen der Welt zu nutzen und zugleich erhöhte Datensouveränität zu haben. Als eines der ersten deutschen Unternehmen hat die SCHUFA angekündigt, die EUSC einsetzen zu wollen, und begründet es genau mit dem Spannungsfeld von Innovationskraft und Souveränität. Weiterer Zuspruch kommt aus dem Gesundheitsbereich mit der Uniklinik Essen, die die EUSC als mögliche Grundlage zur Verarbeitung von Gesundheitsdaten durch KI sieht, sowie von Diehl Metering, das darauf eine Metering-Datenplattform für Kunden im öffentlichen Sektor aufbaut, die deren Souveränitätsanforderungen erfüllt und zugleich effizient skaliert.

Was genau ist die AWS European Sovereign Cloud?

Eines ist sie sicher: gewöhnungsbedürftig benannt. Aber Spaß beiseite, die EUSC ist nicht einfach eine weitere AWS-Region wie eu-central-1 in Frankfurt. Sie ist eine komplett getrennte eigene AWS-Partition mit dem Namen aws-eusc. ARNs beginnen also mit arn:aws-eusc: statt mit arn:aws:. Partitionen sind nichts Neues, AWS GovCloud (US) und AWS China sind bereits so aufgestellt. Aktuell gibt es nur eine Region, die aus zwei Availability Zones besteht. Weitere Standorte in Belgien, den Niederlanden und Portugal sind als Local Zones angekündigt.

Praktisch bedeutet die Partitionstrennung: separater Root-Account, eigenes IAM, keine direkten Cross-Partition-Aufrufe zur globalen Partition - außer natürlich über die API, aber dann mit entsprechenden Credentials. Wer EUSC nutzt, arbeitet also effektiv in einer zweiten AWS-Welt, die mit der bekannten nur die APIs teilt - aber das ist ja auch der Sinn der Sache.

Die EUSC startet mit einer reduzierten Service-Auswahl. Vieles, was in eu-central-1 selbstverständlich ist, fehlt aktuell noch. Genau deshalb habe ich eusc.dev gebaut: einen Tracker, der den aktuellen Service-Stand sichtbar macht und News und Veränderungen aggregiert. Natürlich habe ich so viel wie möglich davon in die EUSC deployt - mit CDK. Mangels CloudFront musste aber ein kleiner Teil dann doch noch in die globale Partition. Ziel ist, sobald CloudFront verfügbar ist, den Tracker komplett in eusc-de-east-1 laufen zu haben.

Was bedeutet Souveränität überhaupt?

Souveränität ist aktuell ein vielgenutztes Buzzword, stark befeuert durch eine zunehmende Skepsis einiger gegenüber den USA. Aber abgesehen von politischen Spannungen und neuer europäischer Emanzipation hat das auch technische Folgen, die ich in diesem und den folgenden Abschnitten beleuchte.

Datensouveränität

Alle (Kunden)Daten inklusive Metadaten verbleiben in der EUSC-Partition und damit in der EU. Es gibt keine Server außerhalb der EU und auch keine Verbindung zur "normalen" AWS-Cloud. Auch die KMS-Schlüssel zur Verschlüsselung liegen in der europäischen Partition und schützen vor Zugriff von außerhalb.

Operative Souveränität

Betrieb, Support und Patching werden ausschließlich durch in der EU ansässiges Personal ausgeführt. Remote-Zugriffe aus Nicht-EU-Standorten in die laufenden Systeme sind ausgeschlossen. Auch hier keine Verbindung zur globalen AWS-Cloud.

Technische Souveränität

Die EUSC hat eine eigene Control Plane und ist so ausgelegt, dass sie komplett ohne Verbindung zu Nicht-EU-Systemen läuft. Updates und neue Services werden über EU-interne Wege ausgerollt. Klar, der Quellcode und die Entwicklung der Services finden in erster Linie in den USA statt, aber da muss man sich einfach ehrlich machen: das ist zumindest im Moment auch der klare Vorteil, da die Innovationskraft dort meiner Meinung nach stärker ist und ein großer Vorsprung besteht, der hier erst mal aufgeholt werden müsste. Sollte es zu einer kompletten Abtrennung kommen, ist sichergestellt, dass die europäischen Betreibergesellschaften Zugriff auf den Quellcode der Services bekommen und hier eine theoretische eigene Weiterentwicklung stattfinden könnte. Ob das ein realistisches Szenario ist, ist allerdings fraglich.

Rechtliche Souveränität

Der Betreiber der AWS European Sovereign Cloud ist eine deutsche Gesellschaft, die vollständig zu Amazon gehört und unter deutschem und EU-Recht agiert. Grundsätzlich können also Entscheidungen basierend auf europäischen Interessen getroffen werden. Dennoch bleibt die Gesellschaft an Amazon als US-Konzern angegliedert. Viel diskutiert werden in diesem Zusammenhang zwei US-Regelungen: der CLOUD Act, der richterlich genehmigte Datenanfragen im Rahmen von Strafverfahren erlaubt, sowie FISA Section 702, bei der es um nachrichtendienstlichen Zugriff geht. Ob sich diesbezüglich Vorteile ergeben, ist unklar.

Service-Verfügbarkeit zum Start

Die AWS European Sovereign Cloud bietet aktuell knapp über 100 Services. Das ist weniger als in eu-central-1 oder anderen Regionen der globalen AWS-Cloud. Auch die aktuell verfügbaren zwei Availability Zones sind für Ausfallsicherheit gerade so ausreichend - Standard sind drei AZs.

Die Auswahl der Services und verfügbaren Features wird von AWS nach und nach aufgebaut, und es gibt eine grobe Roadmap. IAM Identity Center, das zum Start fehlte, war für Multi-Account-Setups ein echter Blocker. Inzwischen ist es aber verfügbar. So kommen stetig neue Features und Services hinzu.

Die spürbarste Lücke ist aktuell CloudFront. Aber auch bei API Gateway fehlt beispielsweise die beliebte HTTP-API-Variante, und im AI-Bereich ist Bedrock zwar vorhanden, aber sowohl funktional als auch bei den verfügbaren Modellen stark eingeschränkt. Ich denke aber, AWS wird hier liefern, und mit steigender Verbreitung wird sich auch dieser Prozess beschleunigen. AWS ist seit jeher stark von Kundenfeedback getrieben.

Architektur-Implikationen

CloudFormation ist in der AWS European Sovereign Cloud verfügbar, allerdings auch hier mit Einschränkungen. Bootstrap und Deployment mit CDK funktionieren wie gewohnt. Worauf man achten sollte: ARNs nicht hart verdrahten, denn der Partition-Präfix lautet hier aws-eusc und nicht aws. Ob bestehende Stacks funktionieren, hängt aber eben von genutzten Features und Services ab. Was mir beispielsweise relativ früh auf die Füße gefallen ist: Das TableV2-Konstrukt für DynamoDB im CDK erstellt immer eine Global Table, auch wenn es keine Replica gibt. Mangels Verfügbarkeit von DynamoDB Global Tables in der EUSC knallt das aber natürlich in CloudFormation.

Wichtig ist auch anzuerkennen, dass Authentifizierung an der Partitionsgrenze endet. Die EUSC hat ihre eigene IAM-Instanz und Rollen oder Resource-Based-Policies funktionieren nicht übergreifend. Wer also übergangsweise beide Partitionen verbinden will, muss Auth auf Anwendungsebene lösen.

Es lohnt sich hier aber durchaus, eigene Experimente zu fahren. Die wichtigsten Bausteine für Serverless-Anwendungen sind verfügbar, und aus meiner Sicht lassen sich durchaus echte Workloads betreiben.

Wann die EUSC infrage kommt

Die EUSC ist aus meiner Sicht kein neuer Default, nur weil man ein deutsches Unternehmen ist. Die Region eu-central-1 ist, was Zertifizierungen und Themen wie DSGVO angeht, super aufgestellt mit BSI C5 und ISO 27001. Die European Cloud ist eine Wahl für erhöhte Anforderungen an Datenresidenz und für Fälle, in denen operative Autonomie in der EU eine harte Vorgabe ist. Das ist typischerweise im Public Sector oder in regulierten Branchen mit entsprechend klassifizierten Daten der Fall. In diesen Fällen ist die Partitionstrennung genau das gewünschte Merkmal, und fehlende Funktionalitäten haben bei der Entscheidung einfach kein oder nur geringes Gewicht.

Das Ganze kommt aktuell preislich noch mit einem Premium gegenüber eu-central-1. Stichproben über mehrere Services (Lambda, DynamoDB, API Gateway, EventBridge) haben rund 15% Aufschlag gegenüber Frankfurt ergeben.

Kurz: Wo Souveränität eine Vorgabe ist, ist die EUSC eine echte Chance, diese erhöhten Anforderungen mit den Features einer Cloud auf höchstem technischen Niveau zu verbinden.

Ausblick

Der Service-Umfang wächst kontinuierlich. CloudFront ist für Q4 2026 angekündigt, und mit den geplanten Local Zones in Belgien, den Niederlanden und Portugal wird die EUSC breiter aufgestellt. Die größten Defizite liegen weiterhin im AI-Bereich: Bei Bedrock fehlen zentrale Bausteine wie Knowledge Bases für RAG und Bedrock Agents, beide bisher ohne konkretes Datum. Auch die Modellauswahl ist begrenzt und umfasst im Wesentlichen Amazon Nova. Wer auf dem Laufenden bleiben will, schaut ab und zu auf eusc.dev vorbei 😉