Interview mit Annariina Komljenovic, EVP Strategic Alliances bei valantic
München, 28. Januar 2026: Am 15. Januar ist Amazon Web Services (AWS) mit ihrer neuen „European Sovereign Cloud“ gestartet. Strenge technische Kontrollen und rechtliche Schutzmaßnahmen sollen sicherstellen, dass die Anforderungen europäischer Regierungen und Unternehmen an EU-Datenresidenz, Schlüsselhoheit und streng kontrollierte administrative Zugriffe umfassend und nachweisbar erfüllt werden, einschließlich Metadaten und Supportzugriffen. Die neue Cloudlösung wird hingegen von CxOs und Marktbeobachtern kontrovers diskutiert. Annariina Komljenovic ordnet ein.
Annariina, Du bist EVP Strategic Alliances bei der Digitalisierungsberatung valantic und hast viele Jahre für AWS gearbeitet. Wie schätzt du die neue AWS European Sovereign Cloud ein?
Annariina Komljenovic: Fangen wir doch mit den Anforderungen der Gesetzgeber an: Die EU-Kommission hat erstmals messbare Kriterien definiert, die genau festlegen, was europäische Souveränität bedeutet. Das EU Cloud Sovereignty Framework formuliert acht Ziele (SOV-1 bis SOV-8), die konkrete Nachweise operativer Kontrolle verlangen. AWS setzt diese Vorgaben sichtbar um. Die Souveränitätsziele umfassen: strategische Souveränität, rechtliche Souveränität hinsichtlich Vertragsrahmen und Rechtsprechung, Daten- und AI-Souveränität, Sicherheit und Compliance. Das sind keine weichen Empfehlungen, das sind unmissverständliche Vorgaben. AWS setzt diese um. Punkt.
Mein Fazit: Cloud-Souveränität ist keine Marketing-Phrase mehr. Sie ist ein strukturiert bewertbares Set von Kriterien. Das ist der eigentliche Wendepunkt.
Trotzdem werden die Schlüsseltechnologien weiterhin von US-Anbietern kontrolliert, sind also streng genommen nicht europäisch souverän. In den sozialen Medien äußern einige CxOs deutscher Unternehmen offen ihre Bedenken.
Annariina Komljenovic: Ich verstehe die Bedenken, aber die Diskussion greift zu kurz. Vollständige technologische Unabhängigkeit ist weder realistisch noch notwendig. Entscheidend sind zwei Dinge: Kontrolle und Alternativen.
Die Verantwortlichkeiten sind klar verteilt. AWS sichert die Infrastruktur. Die Kunden halten die Schlüssel: Verschlüsselung, Schlüsselverwaltung, Zugriffskontrolle. Wer seine Schlüssel in europäischer Hoheit hält, hat faktisch die Kontrolle. Diese Schlüssel sind nach heutigem technischem Stand weder für die AWS Muttergesellschaft noch für zum Beispiel US Behörden dechiffrierbar.
In diesem Zusammenhang fällt auch die Einschätzung von Claudia Plattner, Präsidentin des BSI, des Bundesamtes für Sicherheit in der Informationstechnik (BSI), auf. Sie bewertet die neue AWS-Cloud positiv: „Die Zukunft der Hyperscaler in Europa sind daher Angebote wie die AWS European Sovereign Cloud. Als Cybersicherheitsbehörde Deutschlands freuen wir uns, dass wir zu deren Konzeption beitragen können. Wir werden die Umsetzung der Sicherheits- und Souveränitätsmerkmale eng begleiten.” (BSI website 15.01.2026) Das BSI ist ausdrücklich nicht dafür bekannt, US-Anbietern Gefälligkeitszeugnisse auszustellen.
AWS geht in einer Phase mit seinem neuen Cloud-Angebot auf den Markt, die stark von politischen Spannungen geprägt ist. Dennoch ein guter Zeitpunkt?
Annariina Komljenovic: Souveränität bedeutet Wahlfreiheit und Kontrolle, nicht Isolation. Europa braucht Zugang zu den besten Technologien und die Fähigkeit, Alternativen aufzubauen. Beides ausdrücklich in gleichem Maße.
Der europäische Markt ist attraktiv. US-Anbieter nehmen europäische Forderungen ernst, weil sie hier Geschäft machen wollen. Das ist Marktwirtschaft. NVIDIA und die Deutsche Telekom investieren über eine Milliarde Euro in eine souveräne Industrial AI Cloud in München. Google Cloud eröffnete im November 2025 seinen ersten European Sovereign Cloud Hub, einen Co-Creation-Space für Lösungen wie EU Data Boundaries, lokale Datenresidenz, Client-Side-Encryption und Air-Gapped-Varianten. Google arbeitet dabei mit Partnern wie T-Systems und der Schwarz Group, die Governance und Kontrolle sicherstellen. Google plant bis 2029 weitere 5,5 Milliarden. Workday hat seine EU Sovereign Cloud gestartet. Der Wettbewerb funktioniert.
Trotzdem gehört zur Wahrheit natürlich, dass für 61 Prozent der CIOs in Westeuropa geopolitische Risiken Einflussfaktoren für Providerentscheidungen sind. Exportkontrollen und politische Spannungen gehören heute zur Szenarienplanung. Das ist Realismus, keine Paranoia.
Was können europäische Institutionen, Organisationen und Unternehmen selbst tun, um ihre digitale Sicherheit und Souveränität zu stärken?
Annariina Komljenovic: Drei Dinge. Zunächst: Portfolio-Assessment durchführen. Workloads nach Risiko klassifizieren. Nicht alles ist gleich kritisch.
Zweitens: Multi-Cloud-Strategie konsequent umsetzen. Europäische Anbieter wie IONOS oder STACKIT sind auf bestimmten Gebieten absolut wettbewerbsfähig. Diese sollten in der Strategie berücksichtigt werden.
Drittens – und das wird systematisch unterschätzt: In Menschen investieren. Europa braucht Cloud-Architekten, Security-Experten, KI-Ingenieure. Die beste Souveränitätsstrategie scheitert, wenn die Organisation sie nicht umsetzen kann.
Das klingt nach einem langen Weg.
Annariina Komljenovic: Hundertprozentige Souveränität, also Autarkie, gibt es genauso wenig wie hundertprozentige Cybersicherheit. Wir leben nicht in einer Phantasiewelt. Das Ziel ist, Risiken systematisch zu minimieren und handlungsfähig zu bleiben.
Europa hat jetzt die regulatorische Orientierung. Was fehlt, ist die Umsetzungskompetenz. Meine Erfahrung aus hunderten Transformationsprojekten zeigt: 80 Prozent scheitern nicht an der Technologie, sondern an Menschen, Prozessen und Change-Management. Das gilt auch für Souveränität.
Wer Souveränität will, muss in Fähigkeiten investieren, nicht nur in Infrastruktur.
Annariina, vielen Dank für das Gespräch.
Turn your vision into reality: Female Digital Impact
