Cloud-Dienste sind für viele Unternehmen das Fundament der digitalen Infrastruktur. Gleichzeitig verschiebt sich damit auch die Kontrolle über kritische Geschäftsprozesse und sensible Daten. Die Enthüllungen von Edward Snowden (2013), wechselnde politische Verhältnisse in den USA und zunehmende geopolitische Spannungen haben das Bewusstsein dafür geschärft, dass technische Abhängigkeiten auch politische Risiken bergen können.
Wer Cloud-Dienste nutzt, delegiert nicht nur Technik, sondern auch Verantwortung und damit ein Stück Entscheidungshoheit. Souveränität bedeutet deshalb nicht allein, Daten zu schützen, sondern die Fähigkeit zu bewahren, eigenständige Entscheidungen über deren Nutzung, Speicherung und Verarbeitung zu treffen.
Gleichzeitig steht diese Kontrolle oft im Spannungsfeld zu wirtschaftlichen Überlegungen: Europäische Cloud-Alternativen bieten mehr Souveränität, aber häufig weniger Services, geringere Skalierung und höhere Kosten als die etablierten Hyperscaler. Man muss sich im klaren sein, dass Souveränität auf einem ganzen Spektrum von Kontrollebenen basiert. Sie beginnt mit der rechtlichen Struktur, setzt sich in der technischen Architektur fort und muss in Governance-Prozessen gelebt werden. Es gibt keine "absolut souveräne Cloud" jedes Modell ist eine Abwägung zwischen Risikominimierung, Funktionsumfang und wirtschaftlichen Überlegungen.
Dieser Artikel beleuchtet, welche Modelle die Hyperscaler AWS, Microsoft und Google für Europa anbieten, und wie sich diese im Vergleich zu europäischen Cloud-Anbietern STACKIT, IONOS Cloud und Open Telekom Cloud (OTC) einordnen.
Inhalt
- Die zentralen Risikobereiche
- Modelle der Hyperscaler
- Die Antwort der Europäer: Souveränität durch Eigentum
- Souveränität als Risikoentscheidung
- Fazit: Souveränität ist keine binäre Eigenschaft
- Ausblick: Cloud-Services in der Praxis
Die zentralen Risikobereiche
Für europäische Unternehmen ist die Nutzung internationaler Cloud-Plattformen juristisch herausfordernd. Seit den Schrems II-Entscheidungen des EuGH (2020) und verschärften geopolitischen Spannungen haben sich die rechtlichen Anforderungen weiter konkretisiert. Vier zentrale Risikobereiche bestimmen den Handlungsrahmen:
- US CLOUD Act: US-Behörden können von US-Unternehmen verlangen, Daten herauszugeben, unabhängig davon, wo diese gespeichert sind. Das EU-US Data Privacy Framework mildert diese Problematik nur teilweise ab.
-
Exportkontrollen und Sanktionen: Politische oder wirtschaftliche Maßnahmen können zur Einschränkung oder Abschaltung von Diensten führen. Die jüngsten Entwicklungen bei Technologie-Sanktionen zeigen die praktische Relevanz dieses Risikos.
-
EU-Datenschutz und -souveränität: DSGVO, Data Governance Act und Data Act definieren Pflichten zur Datenlokalisierung, -weitergabe und -kontrolle. Die NIS2-Richtlinie verschärft zusätzlich die Cybersecurity-Anforderungen für kritische Infrastrukturen.
-
Kritische Abhängigkeiten: Der Cyber Resilience Act und strategische Autonomie-Initiativen der EU rücken die Kontrolle über digitale Lieferketten in den Fokus.
Diese vier Faktoren bestimmen mit, ob eine Cloud-Architektur für Unternehmen strategisch sinnvoll und nachhaltig ist. Wie gehen die unterschiedlichen Anbieter mit diesen Herausforderungen um?
Modelle der Hyperscaler
AWS – European Sovereign Cloud
AWS baut eine vollständig eigenständige Cloud-Infrastruktur innerhalb der EU auf (analog zu bestehenden isolierten Clouds für China oder das US-Militär). Die „AWS European Sovereign Cloud" soll ab 2025 durch eine europäische Tochtergesellschaft betrieben werden, mit ausschließlich EU-residentem Personal und eigenständigen Metadaten-, Identity- und Sicherheitsdiensten.
Das Ziel ist, die Cloud unabhängig von globalen Netzen betreiben zu können, auch im Fall geopolitischer Spannungen oder Exportkontrollen. AWS beschreibt diese Fähigkeit mit „operate indefinitely".
Dennoch bleibt die Muttergesellschaft in den USA. Ein Zugriff nach dem CLOUD Act bleibt rechtlich möglich, auch wenn er organisatorisch und technisch erschwert wird. Juristisch handelt es sich um ein „Schutzschild", nicht um Immunität.
Microsoft – Cloud for Sovereignty und EU Data Boundary
Microsoft verfolgt einen evolutionären Ansatz. Statt einer separaten Cloud-Struktur werden Governance- und Kontrollmechanismen in die bestehende Azure-Infrastruktur integriert.
Die „EU Data Boundary" ist seit Januar 2023 für Microsoft 365 und seit Oktober 2024 für Azure aktiv und stellt sicher, dass Kundendaten nur innerhalb der EU verarbeitet werden. Zusätzlich verpflichtet sich Microsoft, Zugriffsanfragen von Nicht-EU-Behörden rechtlich anzufechten. Ergänzend entstehen nationale Partnerlösungen wie Delos Cloud in Deutschland und Bleu in Frankreich, die unter europäischem Recht betrieben werden.
Der Ansatz ist juristisch pragmatisch, technisch aber nicht entkoppelt. Die Steuer- und Verwaltungsebene bleibt Teil der globalen Azure-Struktur. Damit reduziert Microsoft das Risiko, eliminiert es aber nicht.
Google Cloud – Sovereign Solutions mit lokalen Partnern
Google verfolgt einen partnerschaftlichen Ansatz über Joint Ventures mit europäischen Unternehmen. Das prominenteste Beispiel ist S3NS in Frankreich, ein Joint Venture mit Thales, das speziell für französische Behörden und kritische Infrastrukturen konzipiert wurde.
Bei S3NS betreibt Thales die Infrastruktur und trägt die rechtliche Verantwortung, während Google Technologie und Services bereitstellt. Der Betrieb erfolgt unter französischem Recht, der direkte Zugriff von Google ist vertraglich ausgeschlossen. Dieses Modell bietet hohe rechtliche Klarheit, ist aber auf spezifische Zielgruppen und Märkte beschränkt und weniger umfassend als die Ansätze von AWS oder Microsoft.
Die Antwort der Europäer: Souveränität durch Eigentum
Die Sovereign-Cloud-Initiativen der US-Hyperscaler versuchen, rechtliche und technische Barrieren zu errichten, bleiben aber letztlich Tochtergesellschaften amerikanischer Konzerne. Europäische Anbieter gehen einen fundamentaleren Weg: Sie setzen auf vollständiges Eigentum und EU-Rechtshoheit von Grund auf.
STACKIT
STACKIT ist ein deutsches Unternehmen der Schwarz Gruppe, das den Cloud-Betrieb in deutschen Rechenzentren bei vollständiger Kontrolle im EU-Rechtsraum übernimmt. Als Teil eines der größten europäischen Einzelhandelskonzerne verfügt STACKIT über die nötige Kapitalausstattung für den Aufbau einer souveränen Cloud-Infrastruktur. Damit entstehen keine Abhängigkeiten von US-Gesetzen.
IONOS Cloud
IONOS SE ist eine Europäische Aktiengesellschaft mit Sitz in Montabaur, Deutschland. Das Unternehmen betreibt eigene Rechenzentren in Deutschland, Frankreich und Spanien und kontrolliert die gesamte technische Infrastruktur selbst. Damit ergibt sich keine extraterritoriale Zugriffspflicht nach US-amerikanischem Recht.
Open Telekom Cloud (OTC)
Die Open Telekom Cloud wird von der Deutsche Telekom AG auf Huawei OpenStack betrieben, wobei die Deutsche Telekom die rechtliche und operative Kontrolle behält. Die Rechenzentren befinden sich in Deutschland und unterliegen deutschem sowie EU-Recht. Trotz der technischen Partnerschaft mit Huawei bleibt die Datenhoheit bei einem deutschen Unternehmen, was Zugriffe nach dem CLOUD Act ausschließt.
Chancen und Grenzen
Das direkte Risiko des CLOUD Act entfällt bei diesen Unternehmen, da alle Betriebs- und Datenprozesse ausschließlich EU-Recht unterliegen. Indirekte Risiken durch Drittanbieter-Software oder internationale Rechtshilfeersuchen können jedoch weiterhin bestehen.
Der Kompromiss liegt im funktionalen Umfang: weniger spezialisierte PaaS- und KI-Dienste, eingeschränkte globale Skalierung und geringere Ökosystem-Integration im Vergleich zu den US-Hyperscalern.
Souveränität als Risikoentscheidung
Es gibt keine absolut souveräne Cloud. Jedes Modell ist eine Abwägung zwischen Risiko, Funktionalität und Kosten. Die Wahl des passenden Ansatzes hängt davon ab, welche Bedrohungen ein Unternehmen prioritär mitigieren will:
|
Schutzziel |
Passendes Modell |
Rest-Risiko |
|---|---|---|
|
Schutz vor US-Zugriff (CLOUD Act) |
Europäische Anbieter (IONOS, STACKIT, OTC) |
Minimal – keine US-Jurisdiktion |
|
Schutz vor Exportkontrollen/Sanktionen |
AWS European Sovereign Cloud |
Mittel – Abhängigkeit von US-Technologie bleibt |
|
Höchste Service- und Innovationsbreite |
Hyperscaler mit EU-Compliance-Layern |
Hoch – juristische Unsicherheit bei geopolitischen Spannungen |
Unternehmen müssen definieren, gegen welches Risiko sie sich schützen wollen:
-
Juristischer Zugriff – Behördenanfragen, Gerichtsbeschlüsse, Rechtshilfeersuchen
-
Politische Einflussnahme – Exportkontrollen, Sanktionen, diplomatische Spannungen
-
Technologische Abhängigkeit – Vendor Lock-in, kritische Infrastrukturkomponenten, Lieferketten
-
Wirtschaftliche Risiken – Preisgestaltung, Marktmacht, strategische Geschäftsentscheidungen
Die Auswahl einer Cloud-Lösung ist damit ein strategisches Element der Gesamtarchitektur. Sie gehört in dieselbe Risikoanalyse wie Availability Zones, Backup-Strategien oder Disaster Recovery – und sollte entsprechend systematisch bewertet werden.
Fazit: Souveränität ist keine binäre Eigenschaft
Souveränität entsteht nicht durch Zertifikate oder Standortversprechen, sondern durch die Kontrolle über Eigentum und Betrieb. US-Hyperscaler können diese Kontrolle durch technische und organisatorische Maßnahmen simulieren, aber aufgrund ihrer Unternehmensstruktur nicht vollständig garantieren. Europäische Anbieter hingegen bieten mehr Rechtssicherheit durch EU-Eigentum, haben aber funktionale Einschränkungen.
Unternehmen müssen entscheiden, welche Bedrohung sie tatsächlich mitigieren möchten:
-
Wer den Zugriff durch ausländische Behörden ausschließen will, kommt an europäischen Anbietern nicht vorbei.
-
Wer sich gegen Exportkontrollen oder politische Spannungen absichern möchte, kann auf souveräne Modelle der Hyperscaler oder hybride Modelle setzen.
-
Wer Innovation und globale Skalierung priorisiert, muss unvermeidlich ein höheres Restrisiko akzeptieren.
In der Praxis setzen viele Unternehmen mit einem hybriden Ansatz auf Multi-Cloud-Architekturen, die kritische Geschäftsdaten und personenbezogene Informationen in EU-Clouds und Analytics, KI-Workloads und globale Services bei Hyperscalern verorten. Das löst das Souveränitätsproblem nicht, sondern verlagert es auf die Architekturebene. Ohne klare Datenklassifizierung (z.B. "public", "internal", "confidential", "restricted") und definierte Schnittstellen entsteht mehr Komplexität als Sicherheit. Zusätzliche Herausforderungen sind hier erhöhte Betriebskosten durch mehrere Plattformen, Datentransfers, Komplexeres Identity & Access Management, schwierigere Governance und Compliance-Nachweise und das Risiko von Shadow IT bei unklaren Zuständigkeiten.
Die zentrale Erkenntnis: Souveränität ist keine binäre Eigenschaft, sondern ein Spektrum von Kontrollebenen. Sie beginnt mit der rechtlichen Struktur, setzt sich in der technischen Architektur fort und muss in Governance-Prozessen gelebt werden.
Die Wahl der Cloud-Strategie ist damit eine fundamentale Geschäftsentscheidung, die rechtliche, technische und wirtschaftliche Dimensionen gleichermaßen umfasst. Sie gehört in die Vorstandsetage, nicht nur in die IT-Abteilung.
Ausblick: Cloud-Services in der Praxis
Die Compliance-Grundlagen sind gelegt, aber wie steht es um die praktische Umsetzung? Im zweiten Teil unserer Serie „EU Sovereign Cloud" analysieren wir den konkreten Featureumfang von IONOS, STACKIT und Open Telekom Cloud im Vergleich zu Microsoft Azure. Wir bewerten die Portierbarkeit gängiger Cloud-Services und zeigen auf, wo europäische Anbieter mithalten können und wo kritische Lücken entstehen.
Haben Sie Fragen oder benötigen Unterstützung?
Stehen Sie aktuell vor der Herausforderung, den für Ihr Unternehmen optimalen Weg zu definieren und Ihre digitale Souveränität zu sichern? Als erfahrener Partner unterstützen wir Sie dabei, diese Komplexität zu durchdringen, die richtigen Entscheidungen zu treffen und Ihre individuelle Cloud-Strategie erfolgreich umzusetzen.
Die Autoren
|
Rüdiger Heins
Rüdiger bringt als Senior Software Architect bei iteratec über 15 Jahre branchenübergreifende Erfahrung aus Games, Industrie, E‑Commerce und Logistik mit. Er ist ein Experte für Cloud-Computing und Cloud Transformation auf AWS und Azure. Zusätzlich ist er spezialisiert auf Individualsoftwareentwicklung, IT-Modernisierung und Cyber Security. Rüdiger teilt sein Wissen zudem aktiv durch Vorträge, beispielsweise zu API Gateways & OAuth, SecureCodeBox, kontinuierlichen Pentests und Applikationsmonitoring. |
|
Yves Schubert Yves Schubert arbeitet als Senior Software Architect bei iteratec. In dieser Funktion ist er in vielen Projekten als Fullstack-Entwickler tätig, gibt zum Ausgleich aber auch Trainings und Vorlesungen in den Bereichen DevOps, Qualitätssicherung und Backendentwicklung. In der Praxis wendet er die Prinzipien des Software Craftsmanship an. |
|
Stefan Hönick |
|
Christopher Tröger Christopher ist Senior Lead Software Architect bei iteratec und spezialisiert auf Cloud-Architektur sowie Cloud-Transformation mit Fokus auf Microsoft Azure (Certified Azure Solution Architect) und STACKIT. Er entwickelt skalierbare Cloud-native Lösungen für Unternehmenskunden und treibt intern moderne Cloud-Strategien und Best Practices voran. |
Weitere Artikel
- Dezember 2025
- November 2025
- Oktober 2025
- August 2025
- Juli 2025
- Juni 2025
- Mai 2025
- April 2025
- März 2025
- Februar 2025
- Januar 2025
- Oktober 2024
- September 2024
- August 2024
- Juli 2024
- Juni 2024
- Mai 2024
- April 2024
- März 2024
- Februar 2024
- Januar 2024
- Dezember 2023
- November 2023
- September 2023
- August 2023
- Juli 2023
- Juni 2023
- Mai 2023
- April 2023
- Februar 2023
- Dezember 2022
- November 2022
- Mai 2022
- April 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- Dezember 2020
- Oktober 2020
- September 2020
iteratec
iteratec ist der Partner für alle, die zu den Gewinner:innen der digitalen Transformation gehören wollen. Mit individuellen, überlegenen Lösungen eröffnen wir unseren Kunden technologische wie unternehmerische Potenziale. Denn: Wenn Scheitern keine Option ist, sind wir der Partner, der den Unterschied macht. So haben wir seit 1996 mehr als 1.000 Projekte zum Erfolg geführt und eine Kundenzufriedenheit von 97%.
