Digitale Souveränität nur Fassade? Bezahlsystem Wero hängt an US-Cloud-Diensten
Der Bezahldienst Wero nutzt für Teile seiner Infrastruktur Server von Amazon Web Services und widerspricht damit seinem Unabhängigkeitsversprechen.
Wero positioniert sich als europäische Alternative zu Visa, Mastercard und PayPal und wird von der European Payments Initiative mit großen Banken getragen, darunter Deutsche Bank, ING sowie Sparkassen und Genossenschaftsbanken. Gleichzeitig nutzt der Dienst teilweise Infrastruktur von Amazon Web Services aus den USA.
Kritik an digitaler Souveränität von Wero
Laut Angaben der Initiative kommen auch AWS-Managed-Services zum Einsatz, teils in europäischen Rechenzentren. Fachlich bleibt jedoch ein Restrisiko: Der US CLOUD Act kann Anbieter verpflichten, Daten an US-Behörden herauszugeben, auch wenn sie in der EU gespeichert sind.
Netzpolitik.org verweist darauf wie folgt:
EPI hat unter anderem „aus Sicherheitsgründen“ nicht sagen wollen, welche Infrastruktur- und Plattformanbieter Wero im Detail nutzt. Doch selbst wenn der Dienst Daten in der „AWS European Sovereign Cloud“ speichert, bliebe das Souveränitätsversprechen uneingelöst. Vor allem aber wären die Daten dann wohl nicht vor dem Zugriff US-amerikanischer Behörden sicher.
Dafür sorgt der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden. Schließt ein Unternehmen den Zugriff technisch aus, kann dies Geldbußen oder strafrechtliche Konsequenzen nach sich ziehen.
Zu diesem Schluss kommt ein Gutachten der Universität Köln aus dem März 2025, welches das Bundesinnenministerium (BMI) in Auftrag gegeben hatte. Es wurde im Rahmen einer Anfrage nach dem Informationsfreiheitsgesetz auf FragdenStaat veröffentlicht. Ein Sprecher des Ministeriums bestätigte nach der Veröffentlichung gegenüber Tagesspiegel Background, dass die Nutzung von US-Clouddiensten ein „erhebliches Risiko des Datenabflusses“ bedeute.
Ich halte den Anspruch nach digitaler Souveränität unter diesen Bedingungen für nur eingeschränkt erfüllt, da die Abhängigkeit von US-Infrastruktur strukturelle Unsicherheiten im Datenschutz und in der Kontrolle über sensible Zahlungsdaten offenlässt.
Wir brauchen in Europa unbedingt echte Alternativen zu AWS und Cloudflare. Sonst wird das nix mit der Unabhängigkeit.
Haben wir mit StackIT von der Schwarz Gruppe nicht schon sowas ähnliches?