Uneingelöstes Versprechen auf digitale SouveränitätEuropäischer Bezahldienst Wero nutzt Amazon-Server

Wero verspricht mehr digitale Unabhängigkeit und will eine europäische Alternative zu US-Bezahldiensten sein. Doch der Dienst nutzt ausgerechnet Cloud-Infrastruktur der Amazon-Tochter AWS. Das ist auch ein Sicherheitsrisiko für die dort hinterlegten Daten.

- - in Datenschutz - 6 Ergänzungen
Zwei Hände halten Handy hoch, auf denen bunte Grafiken zu sehen sind
Farbenfroh und digital souverän – so präsentiert sich Wero. – Alle Rechte vorbehalten Screenshot wero-wallet.eu

Direkt Geld an Freunde und Bekannte überweisen, jederzeit und in Sekundenschnelle. Das verspricht Wero. Der neue Bezahldienst startete im Juli 2024 und will sich als europäische Alternative zu US-Bezahldiensten wie Visa, Mastercard und PayPal etablieren.

Hinter dem Angebot steht die European Payments Initiative (EPI), ein Zusammenschluss europäischer Banken und Finanzdienstleistungsunternehmen. In Deutschland machen unter anderem die Deutsche Bank, die Postbank, die ING, die GLS, die Sparkassen sowie Volks- und Raiffeisenbanken mit.

Auf der Wero-Website präsentiert sich der Dienst farbenfroh als „DIE starke und unabhängige europäische Lösung beim digitalen Bezahlen“. Mehr als 50 Millionen Menschen nutzen Wero bereits. Auch im Online- und im Einzelhandel soll der Dienst eine Alternative zur US-Konkurrenz bieten.

Auf Anfrage von netzpolitik.org muss EPI allerdings einräumen, dass Wero seine Dienste teilweise über das US-Unternehmen Amazon Web Services abwickelt. Das aber widerspricht nicht nur dem selbst gestellten Anspruch der digitalen Unabhängigkeit, sondern die bei AWS hinterlegten Daten sind auch potenziell dem Zugriff von US-Behörden ausgesetzt.

Cloud „made in Europe“

Nach eigenen Angaben greift EPI „auf eine Kombination aus europäischen und internationalen Technologieanbietern“ zurück, darunter auch „Managed-Infrastructure- und Software-Services von AWS“. Zugleich betont die Initiative, dass sie „die volle Kontrolle über deren Architektur, Sicherheitsmodell und Betrieb“ habe und mehrstufige Sicherheitsmaßnahmen anwende, „darunter Verschlüsselung während der Übertragung und im Ruhezustand“. Doch diese Kontrolle stößt an rechtliche Grenzen.

Mit Beginn von Trumps zweiter Amtszeit gewann in der EU die Debatte um die „digitale Souveränität“ an Fahrt. Einige US-Tech-Konzerne passten daraufhin ihre Angebote an.

So auch AWS. Das Unternehmen ist ein US-amerikanischer Cloud-Anbieter und Tochterunternehmen des Online-Versandhändlers Amazon.com. Zu Beginn dieses Jahres hat es die „AWS European Sovereign Cloud“ in Betrieb genommen. Das Versprechen steckt im Produktnamen: Die Daten der Kunden sollen hier nicht in Übersee, sondern innerhalb der EU gespeichert werden.

Nach eigenen Angaben will AWS seine Kunden so dabei unterstützen, „ihre sich wandelnden Souveränitätsanforderungen zu erfüllen“ – inklusive rechtlicher Schutzmaßnahmen, „die dem Bedarf von Behörden und Unternehmen in Europa gerecht werden“.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

US-Behörden könnten Zugriff auf Daten erhalten

EPI hat unter anderem „aus Sicherheitsgründen“ nicht sagen wollen, welche Infrastruktur- und Plattformanbieter Wero im Detail nutzt. Doch selbst wenn der Dienst Daten in der „AWS European Sovereign Cloud“ speichert, bliebe das Souveränitätsversprechen uneingelöst. Vor allem aber wären die Daten dann wohl nicht vor dem Zugriff US-amerikanischer Behörden sicher.

Dafür sorgt der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, aus dem Jahr 2018. Das Gesetz verpflichtet US-Tech-Anbieter unter bestimmten Bedingungen dazu, Daten gegenüber US-Behörden offenzulegen – auch wenn sich diese außerhalb der Vereinigten Staaten befinden. Schließt ein Unternehmen den Zugriff technisch aus, kann dies Geldbußen oder strafrechtliche Konsequenzen nach sich ziehen.

Zu diesem Schluss kommt ein Gutachten der Universität Köln aus dem März 2025, welches das Bundesinnenministerium (BMI) in Auftrag gegeben hatte. Es wurde im Rahmen einer Anfrage nach dem Informationsfreiheitsgesetz auf FragdenStaat veröffentlicht. Ein Sprecher des Ministeriums bestätigte nach der Veröffentlichung gegenüber Tagesspiegel Background, dass die Nutzung von US-Clouddiensten ein „erhebliches Risiko des Datenabflusses“ bedeute.

Das Risiko „extraterritorialer Zugriffsanfragen“

AWS bestreitet, jemals außerhalb der USA gespeicherten Kundeninhalte gegenüber der US-Regierung offengelegt zu haben, wenn es Anfragen erhalten hat, die sich auf den CLOUD Act bezogen – zumindest für die vergangenen sechs Jahre, „seit wir 2020 mit der statistischen Erfassung begonnen haben“.

Das ist keine Gewähr dafür, dass es nicht doch noch dazu kommt. Zumal Jeff Bezos, Gründer von Amazon und heute geschäftsführender Vorsitzender des Verwaltungsrats, inzwischen als „Fanboy“ von Präsident Donald Trump gilt.

Dieses Risikos ist sich offenbar auch EPI bewusst.“Potenzielle extraterritoriale Zugriffsanfragen“ sehe die Initiative „als relevantes rechtliches und geopolitisches Risiko“. Sie verfüge „bereits über Notfall- und Ausstiegspläne für kritische Technologiedienstleistungen“.

Außerdem verfolgt die Initiative nach eigenen Angaben das Ziel, künftig mit mehr europäischen Anbietern zusammenarbeiten und „dabei die für eine kritische Zahlungsinfrastruktur erforderliche Sicherheit, Ausfallsicherheit und Skalierbarkeit zu gewährleisten“.

Welche europäischen Dienstleister das sind, verrät EPI nicht. Ebenso bleibt die Frage offen, wann Wero sein Versprechen nach digitaler Unabhängigkeit einlösen wird.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Daniel ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den "Blättern". 2014 erschien von ihm das Buch "Amazon – Das Buch als Beute"; 2016 erhielt er den Alternativen Medienpreis in der Rubrik "Medienkritik". Er gehört dem Board of Trustees von Eurozine und dem Kuratorium der Stiftung Warentest an.

Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr).

Veröffentlicht 21.04.2026 um 11:38
Kategorie
Schlagworte
Weitere Artikel
Auf den Punkt

Auf den PunktDie Sache mit dem digitalen Euro ist kompliziert.

Liebe Leser:innen, der digitale Euro ist ein Thema, bei dem viele eine Meinung haben und einige auch ganz schön große Ängste. Gibt es dann kein Bargeld mehr? (Spoiler: nein) Ist das ein Überwachungsinstrument? Oder doch eine Emanzipation von US-Finanzunternehmen? Es ist kompliziert, sowohl auf einer technischen Ebene als auch politisch. Deshalb bin ich froh, dass […]

Lesen Sie diesen Artikel: Die Sache mit dem digitalen Euro ist kompliziert.

6 Ergänzungen

  1. Wie man bei Signal – die auch auf AWS laufen – lernen kann, es ist durchaus möglich sich weitgenug von der Platform zu isolieren.

    Das die Banken, als früherer Großbetreiber von eigenen Rechenzentren, jetzt bei AWS einkaufen (die an Stabilität und AUCH bei Preis zu wünschen übrig lassen) ist hier die eigentliche Geschichte.

    Antworten

    1. Tja, anscheinend möchte man das Risiko von Infrastruktur-Investitionen eher vermeiden.

      Was für die Etablierung unabhängiger Infrastruktur natürlich ein Problem wäre, aber es geht halt primär um Profit.

      Antworten

    2. Volle Zustimmung!
      Bei einem Zahlungsdienstleister gehe ich davon aus, dass er die Daten sicher verschlüsselt, bevor er sie auf irgendeinem Server ablegt. Falls nicht, wäre das allerdings ein dramatischer Verstoß gegen die Regeln der Kunst und ein kompletter Show Stopper.
      WENN die Daten sicher verschlüsselt sind, wie bei Signal oder Bitwarden (bei beiden durch regelmäßige Audits nachgewiesen), dann dürfte der Server von mir aus auch bei König Donald im Schlafgemach stehen. Einziges verbleibendes Problem ist die Verfügbarkeit, nicht nur technisch: ER könnte jederzeit willkürlich den Stecker ziehen. Dagegen müssen wir (Europäer) etwas tun.

      Antworten

  2. Der Umstand, dass EPI die Daten strikt verschlüsselt in der Cloud verarbeitet, hätte im Artikel gerne noch erwähnt werden können, auch wenn das natürlich selbstverständlich ist.

    Wir hatten die Fragen von Daniel u.a. mit folgender Aussage beantwortet:
    Die Kunden- und Transaktionsdaten von Wero werden ausschließlich innerhalb der Europäischen Union gehostet, wobei sich die primären Rechenzentren in Deutschland und Frankreich befinden. EPI wendet mehrstufige Sicherheitsmaßnahmen an, darunter Verschlüsselung während der Übertragung und im Ruhezustand, strenge rollenbasierte Zugriffskontrollen, das Prinzip der geringsten Berechtigungen, Protokollierung von Prüfvorgängen sowie regelmäßige interne und externe Kontrollen.

    Antworten

  3. Also ich habe bisher auch noch nicht gesehen das Wero eine
    open source Lösung bzw. App anbietet, sondern wieder nur über den google play store verfügbar ist.
    Also schon ein weiterer Haken der Unabhängigkeit verhindert
    Schade, hatte mich auch zu früh gefreut.

    Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.