Thought Leadership
„Souveräne Cloud“ ist einer der meistverwendeten Begriffe in der Unternehmens-IT geworden. Fast alle großen Anbieter haben mit viel Aufwand versucht, ihre eigene Definition dem Markt aufzudrücken und zu versprechen, dass die Daten „lokal gespeichert“ oder „in Europa gesichert“ sind.
Die entscheidende Frage bleibt jedoch: Was bedeutet echte Cloud-Souveränität eigentlich? Für Regierungen, Regulierungsbehörden und Unternehmen, die mit sensiblen Daten arbeiten, ist es von entscheidender Bedeutung, zwischen dem, was als souverän vermarktet wird, und dem, was tatsächlich souverän ist, zu unterscheiden.
Die Dominanz der US-amerikanischen Hyperscaler in Europa macht diese Herausforderung noch dringlicher. Amazon Web Services, Microsoft Azure und Google Cloud kontrollieren zusammen mehr als zwei Drittel des Cloud-Computing-Marktes in Europa, was Zweifel hinsichtlich der gerichtlichen Kontrolle und Stichhaltigkeit der sogenannten europäischen Cloud-Angebote aufkommen lässt. Angesichts der steigenden Nachfrage nach Souveränität und Resilienz stellt sich die Frage, wie Europa ein ausgewogeneres und unabhängigeres Cloud-Ökosystem aufbauen kann.
Definition echter Souveränität
Bei einer souveränen Cloud geht es nicht nur um den Ort, wo sich Daten physisch befinden, sondern auch darum, wer die rechtliche Kontrolle über sie hat. Damit gehen auch Abhängigkeiten von Technologie, Lieferketten und Anbietern einher, die die Handlungsfreiheit im Sinne der Souveränität ermöglichen oder einschränken können.
Der Datenspeicherort beantwortet die Frage nach dem „wo?“, die Souveränität befasst sich mit den Fragen nach dem „wer?“ und „bis zu welchem Punkt?“. Diese Unterscheidung ist entscheidend, wenn man die verschiedenen Aspekte der Souveränität betrachtet.
Nehmen wir zum Beispiel die Frage der rechtlichen Zuständigkeit bei Gesetzen wie dem US CLOUD Act und Section 702 des Foreign Intelligence Surveillance Act (FISA). Beide Gesetze erlauben es US-Gerichten und -Behörden, von Unternehmen mit Hauptsitz in den USA zu verlangen, dass sie über Durchsuchungsbefehle oder andere Verfahren Datenzugang bei Ermittlungen gewähren, selbst wenn diese im Ausland gehostet werden.
In der Praxis bedeutet dies, dass eine europäische Bank, eine Krankenkasse oder eine Regierungsbehörde, die sich auf einen amerikanischen Cloud-Betreiber verlassen, kaum feststellen kann, ob die Daten einiger ihrer europäischen Kunden an US-Strafverfolgungs- oder Geheimdienste weitergegeben wurden, selbst wenn sich die Daten außerhalb der USA befanden. Für Organisationen, die mit sensiblen Informationen betraut sind, ist diese Gefährdung nicht nur theoretischer Natur. Es handelt sich um ein akutes Compliance- und Vertraulichkeitsproblem.
Echte Souveränität erfordert mehr als nur lokales Hosting. Für sie muss sowohl die Infrastruktur als auch die Gerichtsbarkeit zum rechtlichen Umfeld des Kunden passen. Außerdem erfordert sie Interoperabilität und Portabilität zwischen Cloud-Umgebungen, damit Unternehmen wählen können, wo und wie ihre Workloads ausgeführt werden, ohne an einen einzigen Anbieter gefesselt zu sein. Sie muss auch für Transparenz hinsichtlich der zugrunde liegenden Technologie und Lieferketten sorgen und in der Lage sein, Risiken zu managen und Entscheidungen zu treffen, die Abhängigkeiten oder Konzentrationen reduzieren.
Die offenen Fragen
Aus diesem Grund gibt es noch viele Fragen zu den souveränen Angeboten globaler Hyperscaler. Alle Anbieter haben Initiativen gestartet, die eine verstärkte europäische Kontrolle oder lokale Partnerschaften betonen. Da die Muttergesellschaften jedoch weiterhin dem US-Recht unterliegen, befürchten die Kunden ein rechtliches Schlupfloch.
Einfach ausgedrückt: Eine souveräne Hülle um nicht-souveräne Fundamente löst das Problem nicht zuverlässig. Kunden können zwar größere Sicherheiten hinsichtlich des Datenstandorts oder der betrieblichen Unabhängigkeit erhalten, aber solange die Hoster rechtlich nicht von ausländischen Rechtsräumen abgeschirmt sind, wird der Anspruch auf Souveränität nur teilweise erfüllt. Bei kritischen Workloads, wie denen im öffentlichen Sektor, in regulierten Branchen und bei KI-Anwendungen, birgt die Nutzung von US-kontrollierten Clouds operative und Compliance-Risiken, die sich durch lokales Hosting allein nicht vollständig beheben lassen.
Warum das Thema gerade jetzt wichtig ist
Das rasante Marktwachstum erfordert dringend mehr Klarheit. Der weltweite Markt für souveräne Clouds wird voraussichtlich von 154,69 Milliarden US-Dollar im Jahr 2025 auf 823,91 Milliarden US-Dollar im Jahr 2032 wachsen. Allein Europa hatte 2024 einen Anteil von rund 37 % am globalen Markt. Dieses Wachstum spiegelt die steigende Nachfrage nach sicheren, vertrauenswürdigen Umgebungen wider, insbesondere in Europa, wo Regulierungsrahmen wie DORA, die DSGVO und der Data Act den Schwerpunkt auf lokale Kontrolle, Risikomanagement, Transparenz in der Lieferkette und Konzentrationsrisiken legen.
Die Europäische Union hat beispielsweise die digitale Souveränität zu einer strategischen Priorität erklärt. Länder wie Deutschland und Großbritannien prüfen Rahmenbedingungen, damit ihre kritischen Datenbestände nicht Gegenstand von Rechtsansprüchen aus dem Ausland werden können. Die Richtung ist klar: Souveränität darf nicht nur angenommen, sondern muss definiert und durchgesetzt werden.
Klare Standards und stärkere Ökosysteme
Was heute fehlt, ist ein einheitlicher Rahmen, der definiert, was eine souveräne Cloud ausmacht. Die EU-Mitgliedsstaaten haben Cloud-Zertifizierungssysteme wie C5 in Deutschland und SecNumCloud in Frankreich geschaffen, die Souveränitätskriterien enthalten. Die DGIT, der IT-Dienst der Europäischen Kommission, hat im Zusammenhang mit der Beschaffung einen bemerkenswerten Versuch unternommen, Souveränität in Form einer Anforderungsskala zu definieren. All diese Versuche sind zwar zu begrüßen, zeigen aber auch die Fragmentierung des EU-Marktes. Kunden müssen sich oft mit konkurrierenden Vorgaben und komplexer Fachsprache auseinandersetzen, ohne über klare Vergleichsstandards zu verfügen. Eine souveräne Cloud sollte garantieren, dass Daten ausschließlich innerhalb des Rechtsraums des Kunden kontrolliert, abgerufen und verwaltet werden.
Das bedeutet aber nicht, auf globale Innovationen zu verzichten. Es muss lokale Anbieter in die Lage versetzen, souveräne Dienste ohne Kompromisse anbieten zu können. Deutsche Cloud-Dienstleister wie IONOS, plusserver oder noris network sind gut positioniert, um diese Rolle zu füllen. Dadurch, dass sie lokale Rechts- und Compliance-Bedingungen einhalten und lokal investieren, können sie Unternehmen echte Kontrolle über ihre Daten geben. Oft lässt sich diese Kontrolle durch private Cloud-Umgebungen realisieren, in denen sich Infrastruktur, Governance und operative Befugnisse direkt auf die Souveränitätsanforderungen abstimmen lassen.
Technologieanbieter spielen eine wichtige Rolle in diesem Ökosystem. Durch die Bereitstellung von Plattformen, Infrastruktursoftware und Interoperabilitätsrahmen können sie lokale Anbieter stärken, ohne selbst als Betreiber aufzutreten. Diese Unterscheidung ist wichtig: Sie verhindert eine Verflechtung mit ausländischen Rechtsvorgaben und fördert gleichzeitig ein Umfeld, in dem Souveränität von vornherein integriert ist, statt sie nachträglich sicherzustellen.
Eine von Grund auf souveräne Zukunft
Mit den aktuellen Marktentwicklungen verlagert sich der Fokus von der Frage, ob es eine souveräne Cloud gibt, hin zu der Frage, ob sie Anforderungen der Kunden gerecht wird. Lokale Hosting- und Compliance-Ansprüche müssen bezüglich des rechtlichen Zugriffs überprüft werden. Cloud-Dienste müssen von Grund auf für Souveränität konzipiert sein, mit Governance-Strukturen, die auf die zu schützenden Daten abgestimmt sind.
Letztendlich geht es bei der Debatte über die souveräne Cloud um mehr als nur um Technologie. Sie spiegelt umfassendere Fragen nach Vertrauen, Unabhängigkeit, Know-how-Aufbau, Wirtschaftswachstum, Widerstandsfähigkeit und Kontrolle in der digitalen Wirtschaft wider. Für Unternehmen und Regierungen gleichermaßen wird es entscheidend sein, den Hype zu durchbrechen, um sicherzustellen, dass Souveränität real und keine Rhetorik ist.
Autor: Martin Hosken, Field CTO – Cloud Providers, Broadcom
