Sovereign Cloud — Europäische Datenhoheit
Warum Datenhoheit plötzlich alle interessiert
Lange war Cloud gleich Cloud. Man wählte den Anbieter mit dem besten Preis-Leistungs-Verhältnis, akzeptierte die Nutzungsbedingungen und lagerte seine Daten aus. Ob die Server in Frankfurt, Dublin oder Virginia stehen, war für die meisten Unternehmen zweitrangig.
Diese Zeiten sind vorbei. Geopolitische Spannungen, der CLOUD Act der USA, Schrems-II und die wachsende Regulierung durch DSGVO und NIS2 haben eine Debatte angestoßen, die unter dem Stichwort “Sovereign Cloud” oder “Souveräne Cloud” geführt wird.
Im Kern geht es um eine einfache Frage: Wer hat die Kontrolle über meine Daten? Und die Antwort sollte sein: Sie selbst — und zwar nach europäischem Recht.
Was bedeutet Sovereign Cloud?
Der Begriff “Sovereign Cloud” beschreibt Cloud-Infrastruktur, die drei grundlegende Anforderungen erfüllt:
1. Datensouveränität
Daten werden ausschließlich in der EU gespeichert und verarbeitet. Es gibt keine Möglichkeit für außereuropäische Behörden, auf diese Daten zuzugreifen — auch nicht über Umwege wie den US CLOUD Act, der amerikanische Cloud-Anbieter verpflichtet, Daten auf Anforderung an US-Behörden herauszugeben, unabhängig vom Speicherort.
2. Operative Souveränität
Der Betrieb der Cloud-Infrastruktur wird von Unternehmen mit Sitz in der EU durchgeführt, die ausschließlich europäischem Recht unterliegen. Das schließt Zugriffe durch Personal außerhalb der EU aus.
3. Technologische Souveränität
Die zugrunde liegende Technologie ist nicht von außereuropäischen Anbietern abhängig. Das ist die strengste Anforderung und in der Praxis am schwierigsten zu erfüllen, da nahezu alle Hyperscaler (AWS, Azure, GCP) ihren Sitz in den USA haben.
Warum ist das für Unternehmen relevant?
Regulatorische Anforderungen
Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten. Der EuGH hat mit dem Schrems-II-Urteil die bisherige Rechtsgrundlage für Datentransfers in die USA für ungültig erklärt. Zwar gibt es mit dem EU-US Data Privacy Framework einen neuen Angemessenheitsbeschluss, aber seine langfristige Stabilität ist unsicher — ein “Schrems III” ist nicht unwahrscheinlich.
Für Unternehmen in regulierten Branchen (Finanzdienstleistungen, Gesundheitswesen, öffentliche Verwaltung) gehen die Anforderungen über die DSGVO hinaus. DORA (Digital Operational Resilience Act) für den Finanzsektor und das NISG (NIS-Gesetz) stellen zusätzliche Anforderungen an die Cloud-Nutzung.
Geschäftskontinuität
Geopolitische Risiken sind real. Sanktionen, Handelsstreitigkeiten oder politische Entscheidungen können den Zugang zu Cloud-Diensten einschränken. Unternehmen, die ihre gesamte IT auf einen außereuropäischen Anbieter gesetzt haben, tragen ein Klumpenrisiko.
Kundenvertrauen
Insbesondere im B2B-Bereich fragen Kunden zunehmend, wo und wie ihre Daten verarbeitet werden. Eine nachweisbare europäische Datenhoheit kann ein Differenzierungsmerkmal sein.
Die Anbieter-Landschaft
Europäische Sovereign-Cloud-Anbieter
IONOS Cloud (Deutschland): Der Cloud-Arm von United Internet bietet IaaS und PaaS mit Rechenzentren ausschließlich in Deutschland. Zertifiziert nach ISO 27001, C5 und BSI-IT-Grundschutz.
OVHcloud (Frankreich): Europas größter Cloud-Anbieter mit eigenen Rechenzentren in Frankreich, Deutschland und anderen EU-Ländern. Bietet eine breite Palette von IaaS- bis PaaS-Diensten.
Exoscale (Schweiz/Österreich): Spezialisiert auf europäische Kunden mit Rechenzentren in Wien, Zürich, Frankfurt und anderen europäischen Standorten. Besonders stark bei Container- und Kubernetes-Workloads.
STACKIT (Deutschland): Die Cloud-Plattform der Schwarz-Gruppe (Lidl/Kaufmann) mit Rechenzentren in Deutschland. Positioniert sich als Alternative zu den Hyperscalern für den Mittelstand.
A1 Digital (Österreich): Die Digitaltochter der A1 Telekom Austria bietet Cloud-Dienste mit Fokus auf den österreichischen Markt.
Sovereign-Cloud-Angebote der Hyperscaler
Die großen US-Anbieter haben auf die Nachfrage reagiert und bieten eigene Sovereign-Cloud-Lösungen an:
Microsoft Azure Confidential Computing und EU Data Boundary: Daten werden in EU-Regionen verarbeitet und nicht außerhalb der EU transferiert. Seit 2024 gibt es eine eigene Azure-Region in Österreich.
AWS European Sovereign Cloud: Eine physisch und logisch getrennte Cloud-Infrastruktur innerhalb der EU, betrieben von EU-ansässigem Personal.
Google Distributed Cloud: Ermöglicht den Betrieb von Google-Cloud-Diensten in kundeneigenen Rechenzentren oder bei europäischen Partnern.
Kritische Einordnung: Diese Angebote adressieren die Datensouveränität und teilweise die operative Souveränität. Die technologische Souveränität bleibt eingeschränkt, da die Technologie letztlich von US-Unternehmen stammt und kontrolliert wird.
GAIA-X: Der europäische Rahmen
GAIA-X ist eine europäische Initiative, die keine eigene Cloud aufbaut, sondern Standards und Regeln für ein vertrauenswürdiges Cloud-Ökosystem definiert. Die Kernidee: Ein gemeinsamer Rahmen, in dem verschiedene Cloud-Anbieter interoperabel zusammenarbeiten und transparente Regeln einhalten.
Die Ziele von GAIA-X:
- Interoperabilität: Einfacher Wechsel zwischen Cloud-Anbietern
- Transparenz: Klare Regeln, wo und wie Daten verarbeitet werden
- Vertrauen: Zertifizierungen und Labels für souveräne Cloud-Dienste
- Dezentralität: Kein einzelner Kontrollpunkt, sondern ein föderiertes Ökosystem
In der Praxis schreitet GAIA-X langsamer voran als erhofft. Die politischen und technischen Herausforderungen sind erheblich. Aber die grundlegende Idee — Standards für souveräne Cloud-Nutzung — ist richtig und wird langfristig Wirkung zeigen.
Praktische Empfehlungen für Unternehmen
1. Datenklassifizierung als Grundlage
Nicht alle Daten brauchen eine Sovereign Cloud. Klassifizieren Sie Ihre Daten:
- Öffentlich: Kann überall gehostet werden
- Intern: EU-Rechenzentrum ausreichend, Hyperscaler mit EU-Region ist akzeptabel
- Vertraulich: Sovereign Cloud empfohlen, europäischer Anbieter bevorzugt
- Streng vertraulich: Sovereign Cloud mit Verschlüsselung und kundeneigenen Schlüsseln, möglicherweise Private Cloud oder On-Premise
2. Multi-Cloud als Strategie
Setzen Sie nicht alles auf eine Karte. Eine Multi-Cloud-Strategie, die einen Hyperscaler für Standard-Workloads mit einem europäischen Anbieter für sensible Daten kombiniert, bietet die beste Balance aus Funktionalität, Kosten und Souveränität.
3. Exit-Strategie planen
Vendor Lock-in ist das größte Risiko bei der Cloud-Nutzung. Nutzen Sie offene Standards (Container, Kubernetes, Terraform) und vermeiden Sie proprietäre Dienste, die einen Anbieterwechsel unmöglich machen.
4. Verträge prüfen
Prüfen Sie die Verträge Ihrer Cloud-Anbieter auf:
- Datenstandort und Datenverarbeitung
- Subunternehmer und deren Standorte
- Rechte bei Behördenanfragen
- Vertragliches Recht auf Herausgabe und Löschung der Daten
- Kündigungsfristen und Migrationshilfe
5. Zertifizierungen beachten
Relevante Zertifizierungen für Cloud-Anbieter im DACH-Raum:
- ISO 27001: Informationssicherheits-Managementsystem
- C5 (BSI): Cloud Computing Compliance Criteria Catalogue
- SOC 2: Service Organization Controls
- TISAX: Für die Automobilindustrie
- BSI-IT-Grundschutz: Für den öffentlichen Sektor in Deutschland
Kosten im Vergleich
Sovereign-Cloud-Lösungen sind typischerweise 15 bis 40 Prozent teurer als vergleichbare Angebote der Hyperscaler. Das liegt an kleineren Skaleneffekten, höheren Compliance-Kosten und dem begrenzteren Dienstleistungsumfang.
Für ein typisches KMU mit mittelgroßer Cloud-Infrastruktur bedeutet das Mehrkosten von 300 bis 1.500 Euro pro Monat. Ob das gerechtfertigt ist, hängt von der Risikoabwägung ab: Was kostet es, wenn ein Datenschutzvorfall eintritt oder ein regulatorisches Audit Mängel aufdeckt?
Der Blick nach vorn: Wohin entwickelt sich der Markt?
Der europäische Sovereign-Cloud-Markt befindet sich in einer dynamischen Phase. Mehrere Entwicklungen werden die nächsten Jahre prägen:
Konsolidierung: Aktuell gibt es zahlreiche kleine und mittelgroße europäische Cloud-Anbieter. Es ist zu erwarten, dass der Markt sich konsolidiert und einige wenige starke europäische Alternativen zu den Hyperscalern entstehen.
Hybrid-Modelle: Die Zukunft liegt wahrscheinlich nicht in einem reinen Entweder-oder, sondern in intelligenten Hybrid-Ansätzen. Hyperscaler für Standard-Workloads, europäische Anbieter für sensible Daten — gesteuert durch automatisierte Richtlinien, die Daten automatisch dem richtigen Speicherort zuordnen.
Regulierung als Treiber: Die EU arbeitet an weiteren regulatorischen Rahmenwerken, die die Nachfrage nach souveränen Cloud-Lösungen weiter verstärken werden. Unternehmen, die sich jetzt vorbereiten, vermeiden spätere teure Umstellungen.
KI und Datenhoheit: Mit dem EU AI Act stellt sich die Frage der Datensouveränität auch für KI-Anwendungen. Wo werden die Daten verarbeitet, die zum Training und Betrieb von KI-Modellen genutzt werden? Sovereign Cloud wird auch hier zur zentralen Infrastruktur.
Fazit
Sovereign Cloud ist kein Marketing-Buzzword, sondern eine strategische Notwendigkeit für Unternehmen, die regulatorische Anforderungen erfüllen und die Kontrolle über ihre Daten behalten wollen. Gleichzeitig ist es kein Alles-oder-Nichts: Eine pragmatische Strategie, die verschiedene Cloud-Anbieter für verschiedene Datenklassen kombiniert, liefert oft das beste Ergebnis.
Der europäische Cloud-Markt entwickelt sich dynamisch. Die Angebote werden reifer, die Preise wettbewerbsfähiger und die regulatorischen Anforderungen klarer. Wer heute die Grundlagen legt — Datenklassifizierung, Multi-Cloud-Architektur, offene Standards — ist für die Zukunft gut aufgestellt.
Bei IT-Trail beraten wir Unternehmen bei der Wahl der richtigen Cloud-Strategie — mit einem klaren Fokus auf Datenschutz, Souveränität und Wirtschaftlichkeit.
Sie möchten eine souveräne Cloud-Strategie für Ihr Unternehmen entwickeln? IT-Trail GmbH unterstützt Sie von der Strategie bis zur Umsetzung. Vereinbaren Sie ein kostenloses Erstgespräch und lassen Sie uns gemeinsam Ihre Möglichkeiten besprechen.