Bezahldienst Wero: Wegen Amazon-Servern nicht ganz souverän

Der Bezahldienst Wero soll die europäische Antwort auf US-Amerikanische Bezahldienste werden. Doch eine Anfrage von netzpolitik.org offenbart die Nutzung von Amazon-AWS-Servern im Rahmen der zugrunde liegenden Infrastruktur. Doch im Zweifelsfall muss Amazon auch in Europa gehostete Daten an US-Behörden abgeben.

Wero … was?

Wero – ein Neologismus aus „We“ und „Euro“ – soll als Zahlungsdienst die Nachfolge mehrerer nationaler Zahlungssysteme wie Giropay antreten. Unter dem Dach der European Payments Initiative (EPI), einem Zusammenschluss mehrerer europäischer Banken, soll ein gemeinsames, unkompliziertes, sicheres und souveränes Zahlungssystem auf Basis von Echtzeitüberweisungen etabliert werden.

Primär soll – direkt aus der Handy-App des Nutzers – das private Senden von Geld zwischen zwei Konten möglich sein. Daneben soll auch der Einkauf im Online-Handel und an Ladenkassen möglich sein. Auch Käuferschutz und Ratenzahlungen sind geplant. Der offizielle Startschuss im Online-Handel fiel im November 2025. Während aktuell die Anzahl der teilnehmenden Händler noch begrenzt ist, sollen im Laufe des Jahres 2026 mehrere namhafte Geschäfte dazustoßen.

Mit europäischem Datenschutz ... oder doch nicht?

Gerade durch den Verzicht auf außereuropäische Dienstleister sollen Datenschutzstandards nach europäischem Recht eingehalten und Zahlungen direkt zwischen europäischen Banken abgewickelt werden. Doch eine Anfrage von netzpolitik.org eröffnet Zweifel an der Umsetzung der Ziele.

Und das Beste: ganz ohne Drittanbieter und Zwischenschritte, weil sich für wero europäische Banken und Finanzinstitute erstmals direkt zusammenschließen.

Wero

Die Antwort seitens der EPI offenbart, dass Dienste zum Teil über die aus den USA stammende Amazon Web Services abgewickelt werden. Das wirft nicht nur die Frage nach der Unabhängigkeit von Drittanbietern auf, sondern auch nach der Datensicherheit im Hinblick auf Datenabgriff durch US-Behörden.

So berichtet netzpolitik.org auf Grundlage der Antwort der EPI, dass diese auf „europäische und internationale Technologieanbieter“ zurückgreift. Das betreffe auch „Managed-Infrastructure- und Software-Services von AWS“.

Dabei soll dennoch die Kontrolle über das Sicherheitsmodell und den Betrieb bei Wero liegen und auch Maßnahmen wie Verschlüsselung für Sicherheit sorgen. Auch AWS selbst als Cloud-Anbieter bietet im Rahmen der AWS European Sovereign Cloud rein in der EU gespeicherte Daten an.

Datenzugriff durch US-Behörden?

Als US-amerikanisches Unternehmen unterliegt AWS dem seit 2018 bestehenden Cloud Act und muss daher US-Behörden Zugriff auf Daten gewähren, auch wenn diese nicht in den USA gespeichert werden. Selbst wenn die Sicherheitsmaßnahmen der EPI ausreichen, um den Datenabfluss zu verhindern, stellt sich weiterhin die Frage nach der Souveränität. Laut dem Bericht von netzpolitik.org hat die EPI bereits „Notfall- und Ausstiegspläne für kritische Technologiedienstleistungen“. Das Problem scheint den Verantwortlichen entsprechend bewusst zu sein.