Thought Leadership
Lange galt Cloud-First als unumstrittenes Leitprinzip moderner IT-Strategie. Wer skalieren wollte, zog in die Cloud – schnell, flexibel und vermeintlich günstig.
Doch 2026 reicht dieses Prinzip nicht mehr aus. Regulatorische Anforderungen, geopolitische Verschiebungen und der breite Einsatz von KI in geschäftskritischen Prozessen haben die Spielregeln fundamental verändert. Souveränität ist kein Randthema mehr, das Rechtsabteilungen allein klären. Sie ist zur zentralen Architekturanforderung geworden und damit zur Aufgabe von IT-Teams, Architekten und IT-Entscheidern. Und der Anspruch an Souveränität steigt weiter: Je tiefer KI in Kernprozesse eingebettet wird, desto mehr verlagert sich die Souveränitätsfrage in den gesamten KI-Lebenszyklus.
EU Data Act, EU AI Act und DORA markieren eine Zäsur. Sie stellen Anforderungen, die primär technisch erfüllt werden müssen und die damit direkt in die Architektur eingreifen. Beispielsweise verpflichtet der EU Data Act Anbieter, Datenportabilität innerhalb von 30 Tagen sicherzustellen, und schafft Egress-Gebühren zwischen Anbietern bis Januar 2027 ab. Der EU AI Act schreibt unter anderem für Hochrisiko-Systeme dokumentierte Daten-Lineage und automatisches Logging über den gesamten Systemlebenszyklus vor. Wer öffentliche KI-APIs für kritische Anwendungsfälle nutzt, ohne die Herkunft der Infrastruktur nachweisen zu können, begeht damit einen dokumentierten Governance-Fehler. DORA ergänzt den Rahmen: Finanzunternehmen müssen getestete Exit-Strategien für kritische Workloads vorhalten – technisch erprobt und jederzeit aktivierbar.
Die Konsequenz ist eindeutig: Compliance beginnt mit der Architekturentscheidung: Konkret sind dafür vier Voraussetzungen notwendig: eine physisch isolierte Infrastruktur mit lokal autorisierten Mitarbeitenden, eine Cloud „Anywhere“- Plattform die technische Autonomie gewährleistet sowie eine einheitliche Governance-Schicht, die Sicherheitsrichtlinien und Lineage über alle Umgebungen hinweg durchsetzt. Die letzte Ebene der Architektur bildet die kryptografische Kontrolle, die sicherstellt, dass ausschließlich autorisierte Stellen innerhalb der definierten Jurisdiktion auf Daten zugreifen können.
Souveränität ist mehr als Datenresidenz
Was diese vier Ansätze im Einzelnen beinhalten, zeigt sich, sobald man Souveränität nicht als Rechtsbegriff, sondern als Architekturanforderung betrachtet. Wer Souveränität ernstnimmt, stößt schnell auf verschiedene Ebenen, die adressiert werden müssen. Am scheinbar einfachsten ist die Frage, wo Daten liegen und wer nach welchem Recht darauf zugreift. Grenzüberschreitende Transfers müssen nachvollziehbar bleiben und Zugriffe kontrolliert. Doch dies kratzt nur an der Oberfläche. Darunter liegt eine technische Realität, die viele Organisationen unterschätzen: Wer sich durch proprietäre Formate und geschlossene Plattformen festlegen lässt, verliert die Fähigkeit, Anbieter zu wechseln oder Workloads zu portieren – und damit einen wesentlichen Teil seiner Handlungsfreiheit.
Selbst wer das im Griff hat, muss noch eine dritte Ebene adressieren: Wer hat tatsächlich die Hände an den Systemen? Kritische Operationen dürfen nur lokal autorisierten Mitarbeitenden offenstehen, außerhalb der Reichweite fremder Rechtsprechung. Und schließlich, als vierte und 2026 drängendste Ebene: Souveränität in der KI-Landschaft. Wer kontrolliert Trainingsläufe, überwacht Inferenz-Pipelines und stellt sicher, dass proprietäre Modelle und sensible Eingabedaten das eigene System nicht verlassen? Erst wenn alle vier Ebenen zusammenspielen, entsteht echte Kontrolle – keine davon trägt allein.
KI-Souveränität: Kontrolle über den gesamten Lebenszyklus
Genau hier greifen Datenstrategie und KI-Architektur ineinander. Private AI bildet das Grundprinzip: KI-Systeme laufen in einer kontrollierten Umgebung, in der Datenschutz, Zugriffskontrolle und Governance über den gesamten Lebenszyklus gewährleistet sind. Trainingsdaten, Inferenz-Pipelines, Modelle und Zugriffe verbleiben innerhalb eines definierten souveränen Perimeters.
In der Praxis bedeutet das dreierlei. Erstens laufen Modelle in einer Umgebung, die das Unternehmen kontrolliert – ob On-Premises, in einer souveränen Cloud-Region oder hybrid. Zweitens bleibt die Modellwahl offen: Technologische Unabhängigkeit erfordert die Freiheit, das jeweils geeignetste Modell einzusetzen, ohne Anbieterbindung. Drittens bleibt Governance über den gesamten KI-Lebenszyklus gewährleistet, von Zugriffskontrollen über Lineage-Tracking bis zur lückenlosen Protokollierung jeder Inferenz. Wer dieses Fundament legt, kann KI-Workloads schneller skalieren, weil Compliance nicht nachträglich ergänzt werden muss, sondern von Anfang an im System verankert ist.
Kontrolle und Innovation schließen sich nicht aus
Das entscheidende Missverständnis in der Souveränitätsdebatte lautet: Wer Kontrolle will, muss auf Innovationsgeschwindigkeit verzichten. Dieses Entweder-oder löst sich auf, sobald Souveränität nicht als nachträgliche Einschränkung, sondern als Architekturprinzip von Anfang mit berücksichtigt wird.
Organisationen, die heute nach dem Prinzip Sovereignty-First bauen, können die Innovationsgeschwindigkeit von Cloud-Infrastrukturen nutzen und behalten gleichzeitig uneingeschränkte Kontrolle über Daten, Modelle, Inferenz-Pipelines und Betriebszugriffe. Wer Sovereignty-First als das versteht, was es ist – nicht eine Einschränkung globaler Möglichkeiten, sondern die Architekturentscheidung, die diese Möglichkeiten erst dauerhaft nutzbar macht – hat die Grundlage geschaffen, auf der sich Innovation, Kontrolle und Compliance nicht ausbremsen, sondern gegenseitig bedingen.
Autor: Steffen Märkl, Solutions Engineering Director CEMEA bei Cloudera
