Fünfzig Millionen Menschen zahlen inzwischen mit Wero, dem selbsternannten europäischen Gegenentwurf zu PayPal und Kreditkarte. Kaum jemand von ihnen weiß, dass die eigenen Zahlungsdaten dabei über Server von Amazon laufen.
Getragen wird Wero von einem guten Dutzend europäischer Banken: Sparkassen, Volks- und Raiffeisenbanken, Deutsche Bank, Postbank, Commerzbank, ING, N26. Ich habe mir für diesen Artikel vier Projekte angeschaut, die alle mit europäischer digitaler Souveränität werben: Wero, das Social-Media-Projekt W Social, die Bluesky-Alternative EuroSky und die Bürosoftware Euro-Office. Das Ergebnis hat mich überrascht, und zwar andersherum, als ich es erwartet hätte. Am amerikanischen Tropf hängt ausgerechnet der große, bankennahe Platzhirsch mit der größten Reichweite. Die drei kleineren Projekte haben ihre Hausaufgaben gemacht.
Was der US Cloud Act mit deinem Wero-Konto zu tun hat
Stell dir vor, du mietest ein Schließfach bei einer deutschen Bank. Die Bank sitzt in Frankfurt, das Schließfach steht im Keller in Frankfurt, aber die Firma, die die Schließfächer technisch verwaltet und den Zweitschlüssel besitzt, hat ihren Hauptsitz in Seattle. Ein amerikanisches Gericht kann diese Firma anweisen, den Schlüssel herauszugeben. Die Firma muss sich daran halten, egal wo dein Schließfach physisch steht und egal, ob du selbst je einen Fuß in die USA gesetzt hast.
Genau das regelt der US Cloud Act aus dem Jahr 2018: Er verpflichtet amerikanische Unternehmen, US-Behörden auf Anfrage Zugriff auf gespeicherte Daten zu gewähren, unabhängig vom Serverstandort. Das gilt auch für die europäischen Tochterfirmen von AWS, Microsoft oder Google, solange die Mutterfirma amerikanisch ist. AWS, kurz für Amazon Web Services, ist dabei der Cloud-Ableger von Amazon, also die Sparte, die anderen Unternehmen Serverkapazität und Software-Infrastruktur vermietet, auf der wiederum deren eigene Dienste laufen.
Für Wero heißt das konkret: EPI, die European Payments Initiative, die Wero betreibt, bestätigte gegenüber netzpolitik.org, dass der Dienst auf einer Kombination aus europäischen und internationalen Technologieanbietern läuft, darunter Managed-Infrastructure- und Software-Services von AWS. Die eigentlichen Kunden- und Transaktionsdaten liegen ausschließlich in der EU, konkret in Rechenzentren in Deutschland und Frankreich, aber eben auf AWS-Infrastruktur. EPI selbst bezeichnet mögliche extraterritoriale Zugriffsanfragen als relevantes rechtliches und geopolitisches Risiko, wie netzpolitik.org berichtete. Diesen Befund liefert ausgerechnet ein Gutachten, das die Universität Köln im März 2025 im Auftrag des Bundesinnenministeriums erstellt hat: US-Cloud-Nutzung bedeutet demnach ein erhebliches Risiko des Datenabflusses. Die Bundesregierung hat sich diesen Zweifel also selbst bestellt.
Wero: fünfzig Millionen Nutzer*innen, ein amerikanischer Vermieter
EPI kündigte an, schrittweise aus AWS auszusteigen, wegen erheblicher Risiken, wie es hieß. Nur: Bis heute, Stand dieser Recherche im Juli 2026, nennt EPI weder ein Datum noch einen europäischen Ersatzanbieter. Nach eigener Aussage verweigert die Initiative Angaben zu möglichen Alternativen aus Sicherheitsgründen. Ein Kandidat, der zum gesuchten Profil passen würde, ist STACKIT, die Cloud-Sparte der Schwarz-Gruppe, zu der auch Lidl gehört, mit vier Rechenzentren in Deutschland und Österreich und expliziter Werbung mit Cloud-Act-Freiheit. Bestätigt als Wero-Nachfolger ist STACKIT bislang nicht, nur als naheliegender Name im Gespräch.
Ursprünglich war die Entscheidung für AWS pragmatisch: Wero war von Anfang an auf Millionen Nutzer*innen ausgelegt, und eine europäische Cloud-Infrastruktur in dieser Größenordnung existierte damals schlicht nicht. Das erklärt die Entscheidung. Es entschuldigt sie aber nicht rückwirkend für einen Dienst, der sich explizit als sichere europäische Alternative vermarktet.
In der Praxis kommt Wero ohnehin langsamer voran als geplant. Beim Onlinehandel setzen viele Händler laut teltarif.de weiterhin auf PayPal und Co., N26 hat erst im Dezember 2025 eine Mitgliedschaftsvereinbarung unterschrieben, die Integration für Deutschland, Frankreich und die Niederlande soll erst in der zweiten Jahreshälfte 2026 folgen. Der Kuketz-Blog bewertete Wero im Dezember 2025, also noch vor der AWS-Enthüllung, insgesamt positiv, kritisierte aber bereits den Smartphone-Zwang: Ohne Handy läuft bei Wero nichts, eine Nutzung über Browser oder Desktop ist nicht vorgesehen.
Wero ist deswegen nicht automatisch ein schlechter Dienst, nur ein Bezahldienst mit einem Widerspruch zwischen Werbeversprechen und tatsächlicher Infrastruktur: getragen von den größten Namen europäischer Banken, aber bis heute technisch abhängig von einem US-Konzern, dessen Mutterkonzern dem US Cloud Act unterliegt.
Die Gegenprobe: EuroSky zeigt, dass es auch anders geht
Jetzt der Teil, der eigentlich die Ausgangsthese hätte bestätigen sollen, und der stattdessen die eigentliche Geschichte liefert. Ich habe drei weitere Projekte geprüft, die sich ebenfalls Souveränität auf die Fahnen schreiben. Bei allen dreien stimmt das Werbeversprechen.
EuroSky ist der europäische Ableger des Bluesky-Netzwerks. Betrieben wird es von der Stichting Modal, einer gemeinnützigen Organisation niederländischen Rechts mit Sitz in Den Haag. Die Server stehen bei Hetzner im Rechenzentrum Falkenstein, in Deutschland, ausdrücklich beworben als Gegensatz zu den in den USA stehenden Bluesky-Servern.
Technisch basiert EuroSky wie Bluesky selbst auf dem AT-Protokoll, einem offenen Standard, der es verschiedenen Apps erlaubt, sich zu einem gemeinsamen Netzwerk zusammenzuschließen, ungefähr so, wie E-Mail-Anbieter unterschiedlicher Herkunft trotzdem miteinander Nachrichten austauschen können. Weil das Protokoll dezentral aufgebaut ist, macht sich EuroSky nach eigener Darstellung nicht von der Firma Bluesky Social abhängig. Seit Juni 2026 betreibt das Projekt einen eigenen Identitätsverzeichnis-Mirror, einen eigenen Datenstrom-Dienst und mit der App mu.social eine eigene, unabhängig entwickelte Anwendung. Zusätzlich arbeitet EuroSky an einer Brücke zum Mastodon-Protokoll ActivityPub.
EuroSky wirbt entsprechend selbstbewusst: Die Daten unterlägen der DSGVO und europäischem Recht und seien damit der US-Gerichtsbarkeit entzogen. Eine Einschränkung nennt das Projekt in der eigenen FAQ selbst: Alle Daten im AT-Protokoll sind grundsätzlich öffentlich und weltweit einsehbar, das gilt für EuroSky wie für Bluesky gleichermaßen. Souveränität heißt hier also Hosting und Rechtsrahmen, nicht Anonymität der veröffentlichten Inhalte. Finanziert wird die dahinterstehende Modal Foundation über eine Mischung aus privaten Beiträgen, institutionellen Zuschüssen und genossenschaftlichen Modellen, die eigene FAQ nennt die langfristige Finanzierung ausdrücklich als noch ungeklärt. Das ist der einzige Wermutstropfen bei einem ansonsten sauberen Fall.
Euro-Office: die Bürosoftware für Verwaltungen, die es wirklich europäisch macht
Euro-Office richtet sich nicht in erster Linie an Privatpersonen, sondern an öffentliche Verwaltung, Bildungseinrichtungen und regulierte Branchen, die eine Alternative zu Microsoft 365 oder Google Workspace suchen. Getragen wird das Projekt von einem Konsortium aus IONOS, Nextcloud, Eurostack, XWiki, OpenProject, Soverin, Abilian, BTactic, OpenXchange und Office.eu.
Version 1.0 erschien am 9. Juni 2026 auf GitHub, quelloffen, jeder kann den Code einsehen und prüfen. Die Integration läuft bereits in Nextcloud Hub 26 Spring und in IONOS Managed Nextcloud, eine XWiki-Anbindung ist für das vierte Quartal 2026 geplant, das niederländische Office.eu bindet die Software separat an. Bei der IONOS-Variante liegen die Nextcloud-Server ausschließlich in TÜV-zertifizierten Rechenzentren in Deutschland, unter deutschem Datenschutzrecht.
Nextcloud-Chef Frank Karlitschek brachte das Ziel in einer Pressemitteilung auf den Punkt: Oberste Priorität sei eine Version gewesen, mit der Menschen tatsächlich arbeiten können. Der politische Rahmen passt dazu: Frankreich hat im April 2026 im Zuge seiner eigenen Souveränitätsstrategie den Umstieg von Windows auf Linux in der Verwaltung angekündigt. Euro-Office richtet sich damit an genau die Institutionen, die aus guten Gründen nicht länger von US-Konzernen abhängig sein wollen, und liefert ihnen dafür ein Werkzeug, das man tatsächlich prüfen kann, statt es nur zu glauben.
W Social: europäisch gehostet, aber weit weg von makellos
W Social ist eine schwedische Social-Media-Plattform, gegründet von der früheren eBay-Managerin Anna Zeiter und dem schwedischen Unternehmer Ingmar Rentzhog, finanziert von rund 80 privaten europäischen Investor*innen aus dem Umfeld von Spotify, Ericsson und dem früheren schwedischen Minister Pär Nuder. Bewusst ohne EU-Staatsförderung, die eigenen Governance-Regeln schließen Investitionen von Nicht-EU-Firmen aus.
Technisch setzt W Social wie EuroSky auf das AT-Protokoll, gehostet wird bei UpCloud, einem finnischen Cloud-Anbieter, tatsächlich europäische Infrastruktur für die eigentliche Datenhaltung. Hier wird es aber kompliziert: Im AT-Protokoll-Netzwerk ist W Social technisch nur ein sogenannter Personal Data Server, ein Speicherort für deine eigenen Beiträge, der über das Protokoll mit dem gesamten Netzwerk verbunden ist, zu dem auch das US-Unternehmen Bluesky Social gehört. Nutzer*innen von W Social können Inhalte von Bluesky ansehen, abonnieren und mit ihnen interagieren. Deine eigenen Daten liegen in Finnland, technisch bist du trotzdem mit amerikanischer Infrastruktur verzahnt.
Die öffentliche Betaphase läuft seit dem 17. Juni 2026, die Vollversion ist für Januar 2027 angekündigt, über 50.000 Interessent*innen aus 180 Ländern stehen auf der Warteliste. Wie viele Accounts davon bislang aktiv sind, lässt sich kaum seriös beziffern. In Kommentaren unter einem netzpolitik-Artikel war von weniger als 4.000 Accounts die Rede, keine offizielle Zahl, nur ein Stimmungsbild aus der Kommentarspalte.
Ein paar Dinge trüben das Bild zusätzlich. Anders als Mastodon, Bluesky und EuroSky ist W Social closed source, niemand kann den Code unabhängig prüfen. netzpolitik.org nannte das ein Glaubwürdigkeitsproblem für eine Plattform, die sich über Souveränität und Vertrauen definiert. Wer aktiv mitmachen will, muss sich über die Begleit-App W Identity per Personalausweis oder Reisepass und Selfie verifizieren. W Social versichert, die Ausweisdaten blieben auf dem Gerät, übertragen werde nur ein verschlüsseltes Token. Sicherheitsforscher*innen mahnen trotzdem zur Vorsicht und verweisen auf frühere Vorfälle bei vergleichbaren Verifizierungs-Apps, etwa bei der App Tea, wo trotz Löschversprechen jahrealte Ausweisfotos in offen zugänglichen Datenbanken landeten. Dieser Einzelfall ist keine belastbare Prognose für W Social, aber ein guter Grund, bei biometrischer Datenerhebung skeptisch zu bleiben.
Für zusätzliche Kritik sorgte ein Interview, in dem Gründerin Anna Zeiter laut Einordnung von netzpolitik.org erklärte, AfD-Chefin Alice Weidel sei auf der Plattform willkommen und Sperrlisten wie bei Bluesky werde es nicht geben. netzpolitik.org wertete das als Verzicht auf ein Werkzeug gegen Hassrede, ohne dass eine gleichwertige Filtermöglichkeit nachgeliefert wurde. Dazu kommt ein Geschäftsmodell aus Werbung und Micropayments für Medienartikel, das schon vor dem Vollstart angekündigt wurde, aber bislang wenig transparent bleibt.
Europäisches Hosting allein macht aus W Social noch keinen sauberen Fall, es zeigt vor allem, dass Souveränität mehr Fragen aufwirft als nur die nach dem Serverstandort.
Woran du selbst erkennst, ob europäisch draufsteht, wo auch europäisch drin ist
Vier Fragen reichen meistens, um ein Souveränitätsversprechen zu prüfen, bevor du dich auf einen neuen Dienst einlässt.
Erstens die Rechtsform: Wer betreibt den Dienst, unter welchem Recht, und sitzt das Unternehmen oder die Organisation tatsächlich in der EU, wie bei der niederländischen Stiftung hinter EuroSky, oder nur formal, während die Konzernmutter in den USA sitzt? Zweitens der Hosting-Anbieter: Wird offen benannt, wo die Server stehen und wer sie betreibt, so wie EuroSky mit Hetzner oder Euro-Office mit IONOS das ganz selbstverständlich tun? Ein Anbieter, der bei dieser Frage ausweicht oder nur vage von europäischen Rechenzentren spricht, hat meistens einen Grund dafür. Drittens der Open-Source-Status: Kannst du oder kann irgendjemand den Code einsehen und prüfen, wie bei EuroSky und Euro-Office, oder musst du der Werbeaussage einfach glauben, wie bei W Social? Viertens der Umgang mit Verifizierungsdaten: Welche persönlichen oder gar biometrischen Informationen verlangt der Dienst, und wie genau, nicht nur wie werblich, wird beschrieben, was damit passiert?
Bei Wero fällt vor allem die zweite Frage durch, trotz einwandfreier Rechtsform und trotz Ankündigung, das irgendwann zu ändern. Bei W Social fallen die dritte und vierte Frage durch, trotz sauberem Hosting. Kein einziges der vier Projekte besteht den Test in allen Punkten mit Bestnote, aber EuroSky und Euro-Office kommen dem gemeinsam am nächsten.
Was heißt das für dich ganz praktisch, wenn du auf einen dieser Dienste verzichten willst, bis die offenen Fragen geklärt sind? Für Zahlungen am Ladentisch bleibt die klassische Girocard eine Option ganz ohne US-Cloud-Bezug, auch wenn sie den Funktionsumfang von Wero nicht komplett ersetzt. Wer auf Bluesky wegen des amerikanischen Mutterunternehmens im Hintergrund verzichten möchte, ist mit EuroSky konsequenter bedient als mit W Social, gerade wegen der AT-Protokoll-Verzahnung, die ich oben beschrieben habe. Und wer eine Alternative zu Instagram oder TikTok sucht, ohne dabei Ausweis und Selfie hochzuladen, findet sie bei Mastodon und Pixelfed: dezentral organisiert, ausweisfrei, dafür ohne die Anti-Bot-Mechanismen, die Verifizierungspflichten eigentlich versprechen.
Souveränität ist keine Startseite, sondern eine Dauerprüfung
Digitale Souveränität ist eine Entscheidung, die bei jeder einzelnen technischen Komponente neu getroffen werden muss, beim Hosting-Anbieter, bei der Lizenz, bei der Verifizierungsmethode, nicht einmalig auf der Startseite verkündet und dann nie wieder geprüft. Wero zeigt, wie leicht dieses Versprechen im laufenden Betrieb aufweicht, sobald Größe und Tempo wichtiger werden als die eigene Ankündigung. EuroSky und Euro-Office zeigen im selben Atemzug, dass es dafür keine technische Notwendigkeit gibt.
Wenn du für dich, dein Unternehmen oder deinen Verein prüfen willst, ob eine als souverän beworbene Alternative das auch wirklich ist, oder wenn du direkt auf nachweislich europäische Werkzeuge umsteigen willst, begleite ich dich dabei. Genau solche Prüfungen, Rechtsform, Hosting, Lizenz, Datenumgang, gehören zu meiner täglichen Beratungsarbeit.
Reden wir über eure digitale Souveränität.
Schreib mir eine E-Mail: Kurz beschreiben, was du vorhast oder was dich beschäftigt. Ich melde mich in der Regel innerhalb eines Werktages. hallo@chrislo.de
Kein Kontaktformular, keine Pflichtfelder, keine Datenspur. Einfach schreiben.