Wero will der europäische Gegenentwurf zu PayPal, Visa und Mastercard sein. Auf der Website ist von einer europäischen Lösung die Rede, auf der EPI-Seite sogar von einem Angebot, das für Europa gebaut wurde. Genau deshalb ist die heutige Recherche von netzpolitik.org mehr als ein Detail aus der Infrastruktur. Der Bericht legt offen, dass hinter dem Bezahldienst zumindest teilweise Amazon Web Services steckt. EPI räumt das laut netzpolitik.org auf Anfrage selbst ein. Damit steht ausgerechnet bei einem Projekt, das politische und wirtschaftliche Unabhängigkeit verkörpern soll, wieder ein US-Cloudkonzern im Maschinenraum.
Das ist nicht bloß eine Imagefrage. Bei digitalen Bezahldiensten geht es nicht um irgendeine Website, sondern um sensible Abläufe rund um Konten, Zahlungsströme, Erreichbarkeitsdaten und Transaktionskontexte. Wero bewirbt schnelles Bezahlen zwischen Privatpersonen und im Handel, also gerade jene Prozesse, bei denen Vertrauen, Nachvollziehbarkeit und Zugriffskontrolle besonders wichtig sind. Wenn ein solcher Dienst europäische Souveränität verspricht, muss die technische und rechtliche Architektur dieses Versprechen auch tragen.
Das Problem liegt im Widerspruch zwischen Botschaft und Betriebsmodell
Wie netzpolitik.org berichtet, verweist EPI auf eine Kombination aus europäischen und internationalen Technologieanbietern und nennt dabei auch Managed-Infrastructure- und Software-Services von AWS. Gleichzeitig betont die Initiative, sie behalte die volle Kontrolle über Architektur, Sicherheitsmodell und Betrieb. Genau an dieser Stelle wird der Datenschutzkonflikt sichtbar. Kontrolle im technischen Betrieb ist nicht dasselbe wie Unabhängigkeit im rechtlichen Sinn.
Auf den eigenen Seiten setzt Wero stark auf die Erzählung vom europäischen Bezahlen. Dort heißt es, der Dienst sei „Made in Europe“, EPI beschreibt das Projekt als Lösung, die für Europa aufgebaut werde. AWS wiederum wirbt auf seiner eigenen Seite mit digitaler Souveränität und einer „European Sovereign Cloud“ für Behörden und Unternehmen in Europa. Das klingt zunächst beruhigend, löst das Grundproblem aber nicht automatisch. Denn die Frage ist nicht nur, wo Server stehen oder welche Sicherheitsfunktionen vorhanden sind. Die eigentliche Frage lautet, welchem Rechtsraum kritische Dienstleister unterliegen und welche Zugriffsrisiken daraus folgen können.
Genau deshalb ist der CLOUD Act hier mehr als ein theoretischer Nebensatz. Ein vom Bundesinnenministerium beauftragtes und über FragDenStaat öffentlich gewordenes Rechtsgutachten beschreibt ein erhebliches Risiko weltweiter Datenzugriffe durch US-Behörden, wenn US-Cloudanbieter eingesetzt werden. netzpolitik.org verweist zusätzlich darauf, dass das BMI dieses Risiko nach der Veröffentlichung des Gutachtens selbst als erheblich eingeordnet hat. Für ein Zahlungssystem, das sich als europäische Antwort auf außereuropäische Plattformmacht positioniert, ist das ein harter Zielkonflikt.
Bei Zahlungsinfrastruktur wird Datenschutz schnell zur Governance-Frage
Der Wero-Fall ist auch deshalb relevant, weil er zeigt, wie schnell Datenschutz aus der Compliance-Ecke herausrutscht. Hier geht es nicht nur um eine Datenschutzerklärung oder eine juristische Standardprüfung. Es geht um die Architektur kritischer digitaler Infrastruktur. Wer Bezahlprozesse organisiert, verwaltet nicht nur Technik, sondern Vertrauen. Schon die Möglichkeit extraterritorialer Zugriffe verändert die Risikolage, selbst dann, wenn tatsächlich noch kein konkreter Datenabfluss belegt ist.
EPI scheint diesen Punkt selbst zu sehen. Laut netzpolitik.org bewertet die Initiative potenzielle extraterritoriale Zugriffsanfragen als relevantes rechtliches und geopolitisches Risiko und spricht von Notfall- und Ausstiegsplänen. Das ist bemerkenswert, weil darin implizit bereits anerkannt wird, dass der Konflikt nicht wegdefiniert werden kann. Wer Exit-Pläne braucht, weiß, dass Abhängigkeiten bestehen. Genau diese Einsicht macht den heutigen Fall berichtenswert.
Für Unternehmen ist das eine sehr praktische Lehre. Viele Teams sprechen inzwischen von Souveränität, Resilienz oder europäischer Datenhaltung, meinen damit aber vor allem Hosting-Standorte und Vertragsklauseln. Der Wero-Fall zeigt, dass das zu kurz greift. Entscheidend ist nicht nur, wo Daten liegen, sondern welche Konzerne an Betrieb, Management und Zugriffspfaden beteiligt sind, welche Rechtsordnungen im Hintergrund wirken und wie glaubwürdig die Exit-Optionen tatsächlich sind. Wer große Versprechen zu Unabhängigkeit oder Datenschutz macht, sollte diese Aussagen daher immer bis auf die Ebene der Dienstleisterkette prüfen.
Die eigentliche Lehre trifft weit mehr als nur Wero
Die Geschichte ist deshalb größer als ein einzelner Bezahldienst. Viele europäische Anbieter werben derzeit offensiv mit digitaler Souveränität, gerade im Cloud-, KI- und Plattformumfeld. Solange im Hintergrund trotzdem wieder dieselben außereuropäischen Hyperscaler stehen, bleibt oft ein Spannungsverhältnis zwischen Marketing, Technik und Recht. Das muss nicht automatisch unzulässig sein. Es wird aber dann zum Datenschutzthema, wenn Kundinnen, Kunden und Geschäftspartner aus den Aussagen ein Sicherheits- und Unabhängigkeitsniveau ableiten, das operativ nur teilweise eingelöst wird.
Wero ist damit ein gutes Frühwarnsignal. Nicht, weil der Dienst bereits als Datenschutzverstoß feststeht, sondern weil er exemplarisch vorführt, wie eng Datenschutz, Beschaffung, Geopolitik und Infrastruktur inzwischen zusammenhängen. Für Unternehmen ist die praktische Konsequenz klar: Wer mit europäischer Souveränität wirbt, muss technische Architektur, Lieferkette und Rechtsrisiken zusammen denken. Sonst wird aus einem Vertrauensversprechen schnell ein Governance-Problem.
Bildquelle: Pexels
Quellen: netzpolitik.org, „Uneingelöstes Versprechen auf digitale Souveränität: Europäischer Bezahldienst Wero nutzt Amazon-Server“; Wero-Website; EPI Company „About“; AWS-Seite zur europäischen digitalen Souveränität; über FragDenStaat veröffentlichtes BMI-Gutachten zum CLOUD-Act-Risiko.
