Die Cloud ist in deutschen Unternehmen angekommen: 90 Prozent nutzen Cloud-Anwendungen, 47 Prozent aller IT-Anwendungen laufen mittlerweile aus der Cloud. Für 62 Prozent der Unternehmen wäre ein Betrieb ohne Cloud-Dienste nicht mehr möglich. Doch gleichzeitig wächst das Unbehagen: 78 Prozent der deutschen Unternehmen halten sich laut Bitkom für zu abhängig von US-Cloud-Anbietern. Und 50 Prozent der Cloud-Nutzer fühlen sich durch die Politik der aktuellen US-Regierung gezwungen, ihre Cloud-Strategie zu überdenken.
Diese Zahlen zeigen ein fundamentales Dilemma: Die Cloud ist unverzichtbar — aber die Frage, wem wir unsere Daten anvertrauen, ist drängender denn je. Cloud-Souveränität ist dabei kein abstraktes politisches Konzept. Sie ist eine konkrete Geschäftsentscheidung mit rechtlichen, technischen und wirtschaftlichen Konsequenzen.
Das Problem: CLOUD Act versus DSGVO
Um zu verstehen, warum Cloud-Souveränität so wichtig ist, muss man einen Blick auf die Rechtslage werfen. Und die ist alles andere als einfach.
Der US-amerikanische CLOUD Act von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage an US-Behörden herauszugeben — unabhängig davon, wo diese Daten physisch gespeichert sind. Ob Ihr Exchange-Postfach in Frankfurt steht oder in Dublin: Wenn der Anbieter ein US-Unternehmen ist, hat die US-Justiz potenziellen Zugriff.
Das steht in direktem Widerspruch zur DSGVO, die in Artikel 48 genau solche Datenübermittlungen an Drittstaaten ohne Rechtsgrundlage verbietet. Unternehmen, die US-Cloud-Dienste nutzen, stehen also zwischen zwei Rechtssystemen, die einander widersprechen.
Das Trans-Atlantic Data Privacy Framework wackelt
Das 2023 verabschiedete Trans-Atlantic Data Privacy Framework (TADPF) sollte dieses Problem lösen — als Nachfolger von Privacy Shield, das der EuGH 2020 im Schrems-II-Urteil für ungültig erklärte. Doch die Grundlage des TADPF ist fragil: Es basiert auf einer US-Exekutivanordnung, die jeder Präsident jederzeit widerrufen kann.
Im Februar 2025 hat die neue US-Regierung drei demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) entlassen — jenes Gremiums, das in der EU-Angemessenheitsentscheidung 31 Mal als zentrale Schutzmaßnahme für europäische Daten genannt wird. Ohne funktionsfähiges PCLOB fehlt eine tragende Säule des gesamten Rahmenwerks.
Gleichzeitig wurde im April 2024 FISA Section 702 mit erweitertem Anwendungsbereich verlängert: Jede Organisation, die Zugang zu Geräten hat, über die Kommunikation gespeichert oder übertragen wird, kann zur Kooperation mit US-Geheimdiensten verpflichtet werden. Die Datenschutzorganisation noyb warnt bereits, dass US-Cloud-Dienste in der EU bald als rechtswidrig gelten könnten.
Und mit der am 31. Oktober 2025 beim EuGH eingereichten Klage von Philippe Latombe steht möglicherweise ein „Schrems III" bevor — ein erneutes Urteil, das das TADPF kippen könnte.
Was bedeutet Cloud-Souveränität eigentlich?
Cloud-Souveränität wird oft mit Datenstandort gleichgesetzt: „Unsere Daten liegen in Deutschland — also sind wir sicher." Doch das greift zu kurz. Echte digitale Souveränität umfasst drei Dimensionen:
- Datensouveränität: Wer hat Zugriff auf Ihre Daten? Welchem Rechtssystem unterliegt der Anbieter? Können Sie jederzeit kontrollieren, wer Ihre Daten einsieht, verarbeitet oder weitergibt?
- Technische Souveränität: Wie abhängig sind Sie von einem einzelnen Anbieter? Können Sie Ihre Workloads bei Bedarf zu einem anderen Provider migrieren — oder sind Sie durch proprietäre Formate und APIs eingesperrt?
- Operative Souveränität: Wer betreibt die Infrastruktur? Unterliegt das Betriebspersonal dem europäischen Recht? Wer hat physischen Zugang zu den Rechenzentren?
Microsofts EU Data Boundary, im Februar 2025 abgeschlossen, ist ein gutes Beispiel: Kundendaten für Microsoft 365, Dynamics 365 und Azure werden innerhalb der EU gespeichert und verarbeitet. Das ist ein wichtiger Fortschritt bei der Datensouveränität — löst aber das grundlegende CLOUD-Act-Problem nicht, weil Microsoft als US-Mutterkonzern weiterhin dem US-Recht unterliegt.
Warum das Thema gerade jetzt brennt
Drei Entwicklungen machen Cloud-Souveränität 2026 zum Pflichtthema für den Mittelstand:
1. Die Regulierungswelle
Mit NIS-2 (seit Dezember 2025 in Kraft), DORA (seit Januar 2025 für den Finanzsektor) und dem EU AI Act (vollständig ab August 2026) stellen drei EU-Verordnungen gleichzeitig erhöhte Anforderungen an die IT-Sicherheit und Datenhaltung. Alle drei betonen die Verantwortung für die gesamte Lieferkette — und Cloud-Anbieter sind Teil dieser Kette. Unternehmen, die unter NIS-2 fallen, müssen nachweisen können, dass ihre Cloud-Dienste den Sicherheitsanforderungen entsprechen. Rund 29.500 Unternehmen in Deutschland sind betroffen.
2. Der geopolitische Wandel
Die politischen Verwerfungen zwischen den USA und Europa machen Abhängigkeiten von US-Technologiekonzernen zu einem geschäftskritischen Risiko. Laut Gartner werden bis 2030 über 75 Prozent aller Unternehmen außerhalb der USA eine explizite Strategie für digitale Souveränität haben. Der deutsche Koalitionsvertrag 2025 spricht von einer „Deutschen Verwaltungscloud" und will Komponenten nicht vertrauenswürdiger Anbieter in kritischer Infrastruktur gesetzlich ausschließen.
3. Die wirtschaftliche Realität
Cloud-Souveränität ist nicht nur eine Frage der Regulierung — sie ist auch eine Frage der Kosten. 86 Prozent der CIOs planen laut einer Barclays-Umfrage, Workloads aus der Public Cloud zurückzuholen — der höchste jemals gemessene Wert. Der Grund: Unkontrollierte Cloud-Kosten. Studien zeigen, dass durchschnittlich 21 Prozent der Cloud-Ausgaben verschwendet werden. Unternehmen wie 37signals haben durch Cloud-Repatriierung über eine Million Dollar pro Jahr eingespart.
Europäische Alternativen: Wo stehen wir?
US-Hyperscaler — AWS (31 %), Microsoft Azure (25 %) und Google Cloud (11 %) — kontrollieren rund 70 Prozent des europäischen Cloud-Markts. Europäische Anbieter halten stabil bei etwa 15 Prozent. Doch das Angebot wächst:
- IONOS und T-Systems/Open Telekom Cloud: Werden von Analysten als „Leader" im deutschen Markt eingestuft. Bieten vollwertige IaaS- und PaaS-Dienste mit deutscher Datenhoheit und BSI-C5-Zertifizierung.
- STACKIT (Schwarz-Gruppe): Die Cloud-Plattform des Lidl-Mutterkonzerns positioniert sich als souveräne Alternative, besonders für den Handel und die Logistik.
- OVHcloud: Europas größter unabhängiger Cloud-Anbieter mit Rechenzentren in Frankreich und Deutschland.
- Hetzner: Stark im Preis-Leistungs-Verhältnis, wachsende Beliebtheit bei technisch versierten Teams.
Die ehrliche Einschätzung: Für Standard-Rechenleistung und Speicher sind europäische Anbieter absolut konkurrenzfähig. Die Lücke zu den Hyperscalern liegt vor allem bei proprietären PaaS-Diensten und KI-Services — also bei den Diensten, die auch die stärkste Abhängigkeit erzeugen.
Interessant: AWS hat im Januar 2026 die AWS European Sovereign Cloud in Deutschland gestartet — physisch und logisch getrennt von anderen AWS-Regionen, betrieben von EU-Bürgern, mit 7,8 Milliarden Euro Investition. Ein starkes Signal, aber: Die US-Muttergesellschaft Amazon bleibt dem CLOUD Act unterworfen.
BSI C5: Der Qualitätsstandard für souveräne Cloud
Wer Cloud-Souveränität ernst meint, sollte auf den BSI C5-Kriterienkatalog achten — den Cloud Computing Compliance Criteria Catalogue des Bundesamts für Sicherheit in der Informationstechnik. Er umfasst 121 Prüfkriterien in 17 Bereichen und ist in zwei Stufen unterteilt:
- Typ I: Bestätigung der Sicherheitsarchitektur zu einem Stichtag
- Typ II: Nachweis der operativen Wirksamkeit über einen Zeitraum — der aussagekräftigere Standard
Seit Juli 2025 ist die BSI-C5-Typ-II-Zertifizierung für Cloud-Dienste im Gesundheitswesen verpflichtend (Digitalisierungsgesetz). Mit NIS-2 wird C5 auch für andere regulierte Branchen zunehmend zum Pflichtstandard. Alle großen Anbieter — sowohl europäische als auch US-Hyperscaler — verfügen mittlerweile über C5-Typ-II-Testate. Der Unterschied: Bei europäischen Anbietern kommt die C5-Zertifizierung ohne das CLOUD-Act-Risiko.
Der pragmatische Weg: Datenklassifizierung statt Alles-oder-nichts
Die Lösung liegt nicht darin, alle US-Cloud-Dienste von heute auf morgen abzuschalten — das wäre weder realistisch noch wirtschaftlich sinnvoll. 65 Prozent der deutschen Unternehmen würden für eine deutsche Cloud-Lösung weder Funktionseinbußen noch höhere Kosten akzeptieren. Der Schlüssel liegt in einem risikobasierten Ansatz.
Schritt 1: Daten klassifizieren
Nicht alle Daten sind gleich schützenswert. Klassifizieren Sie Ihre Daten in vier Stufen:
- Öffentlich: Marketing-Material, Website-Inhalte — können überall liegen
- Intern: Allgemeine Geschäftsdokumente — Standard-Cloud-Schutz ausreichend
- Vertraulich: Kundendaten, Verträge, Finanzdaten — EU-Datenhaltung erforderlich
- Streng vertraulich: Geschäftsgeheimnisse, Forschungsdaten, besondere personenbezogene Daten — souveräne Cloud oder On-Premises
Schritt 2: Workloads zuordnen
Auf Basis der Klassifizierung entscheiden Sie, welche Workloads wo laufen:
- Hyperscaler (Azure, AWS, Google): Für unkritische Workloads, Entwicklungsumgebungen und Dienste, bei denen proprietäre KI- und PaaS-Features echten Mehrwert bieten
- Europäische Cloud (IONOS, OTC, STACKIT): Für regulierte und vertrauliche Workloads, insbesondere bei NIS-2- oder DORA-Pflichten
- On-Premises / Private Cloud: Für streng vertrauliche Daten und Workloads mit besonderen Latenz- oder Compliance-Anforderungen
Schritt 3: Hybrid-Strategie umsetzen
Gartner prognostiziert, dass 40 Prozent der Unternehmen 2026 Hybrid-Compute-Architekturen für geschäftskritische Workloads einsetzen — gegenüber 8 Prozent zuvor. Die Hybrid Cloud ist kein Kompromiss, sondern die strategisch richtige Antwort: Sie kombiniert die Innovationskraft der Hyperscaler mit der Kontrolle souveräner Infrastruktur.
Wichtig dabei: Vermeiden Sie proprietäre Lock-ins. Setzen Sie wo möglich auf offene Standards, Container-Technologien und standardisierte APIs, die einen Anbieterwechsel ermöglichen. Technische Souveränität bedeutet, die Wahl zu haben — auch wenn man sie nicht sofort nutzt.
Was Sie jetzt konkret tun sollten
Cloud-Souveränität ist kein Projekt mit Abschlussdatum — sie ist eine strategische Haltung, die sich durch alle IT-Entscheidungen zieht. Für den Einstieg empfehlen wir fünf konkrete Maßnahmen:
- Bestandsaufnahme: Wo liegen Ihre Daten heute? Welche Cloud-Dienste nutzen Sie — auch Schatten-IT einberechnen. Welchem Recht unterliegen Ihre Anbieter?
- Datenklassifizierung durchführen: Bewerten Sie jede Datenklasse nach Schutzbedarf und ordnen Sie sie der passenden Infrastruktur zu.
- Verträge prüfen: Enthalten Ihre Cloud-Verträge Klauseln zu Datenzugriff durch Drittstaaten? Gibt es Ausstiegsklauseln und Datenportabilität?
- BSI C5 als Kriterium aufnehmen: Bei der nächsten Anbieterauswahl sollte eine C5-Typ-II-Zertifizierung auf der Anforderungsliste stehen — besonders wenn Sie unter NIS-2 oder DORA fallen.
- Exit-Strategie entwickeln: Wie schnell könnten Sie Ihre kritischen Workloads zu einem anderen Anbieter migrieren? Wenn die Antwort „Monate" oder „wissen wir nicht" lautet, besteht Handlungsbedarf.
Fazit: Souveränität heißt nicht Isolation — sondern bewusste Kontrolle
Cloud-Souveränität bedeutet nicht, sich von der Welt abzuschotten oder auf Innovation zu verzichten. Es bedeutet, bewusst zu entscheiden, welche Daten wo liegen, wer darauf Zugriff hat und wie schnell man den Anbieter wechseln kann. Der weltweite Markt für souveräne Cloud-Infrastruktur wächst auf 80 Milliarden Dollar in 2026 — ein Zeichen, dass dies kein Nischenthema mehr ist, sondern die neue Normalität.
Die gute Nachricht: Sie müssen nicht alles auf einmal umstellen. Beginnen Sie mit der Bestandsaufnahme, klassifizieren Sie Ihre Daten und treffen Sie bewusste Entscheidungen für jeden Workload. Unternehmen, die das jetzt tun, stehen bei der nächsten regulatorischen Verschärfung — oder beim nächsten geopolitischen Beben — auf der sicheren Seite.
Wir bei Flexhub IT Solutions unterstützen Sie dabei: von der Bestandsaufnahme Ihrer Cloud-Landschaft über die Datenklassifizierung bis zur Umsetzung einer Hybrid-Cloud-Strategie, die zu Ihrem Unternehmen passt. Sprechen Sie uns an.
