Sovereign Cloud ist seit dem US Cloud Act und den Schrems-Urteilen ein Dauerthema in deutschen IT-Abteilungen. Marketingbroschüren versprechen Datenhoheit, vollständige EU-Kontrolle und Unabhängigkeit von US-Hyperscalern. In der Praxis sind die Versprechen oft weicher als das Werbeprospekt vermuten lässt. Dieser Beitrag ordnet ein, was Sovereign Cloud im Jahr 2026 tatsächlich bedeutet, welche Anbieter mit ihrer Substanz die Sprache der Folien halten und wann sich der Wechsel weg vom Hyperscaler für einen Mittelständler rechnet.
Was Sovereign Cloud bedeutet, und was nicht
Eine einheitliche Definition existiert nicht. Im weitesten Sinn bezeichnet Sovereign Cloud eine Cloud-Infrastruktur, bei der eine Organisation rechtlich, technisch und operativ die Kontrolle über ihre Daten behält, ohne dass ein nicht-europäischer Staat Zugriffsrechte geltend machen kann. Die EU-Cloud-Strategie der Europäischen Kommission und das Projekt Gaia-X haben den Begriff geprägt, ohne ihn verbindlich festzuschreiben.
In der Praxis kursieren mindestens drei Lesarten. Erstens: Cloud-Dienste, die in europäischen Rechenzentren betrieben werden, deren Mutterkonzerne aber in den USA sitzen. Microsoft, AWS und Google fallen darunter mit ihren EU-Regionen. Zweitens: Cloud-Dienste europäischer Anbieter, die unabhängig von US-Konzernen operieren. OVHcloud, IONOS, Open Telekom Cloud, Hetzner und STACKIT gehören dazu. Drittens: rechtlich abgeschottete Joint Ventures wie Microsoft Cloud for Sovereignty oder Google Cloud Sovereign Solutions, die zwar Hyperscaler-Technologie nutzen, aber durch europäische Betreibergesellschaften laufen.
Wer Sovereign Cloud bewertet, muss diese Unterschiede sauber trennen. Eine AWS-EU-Region ist keine Sovereign Cloud im engeren Sinn, sondern eine in der EU lokalisierte Hyperscaler-Region. Der Cloud Act bleibt darauf anwendbar, weil die Muttergesellschaft US-amerikanisch ist.
Warum das Thema gerade jetzt brennt
Mehrere Entwicklungen drücken auf die Tube. Der EuGH hat mit Schrems II das Privacy Shield gekippt, die Standardvertragsklauseln stehen unter dauerhafter Prüfung, und das EU-US Data Privacy Framework von 2023 wird in juristischen Kreisen bereits als kommendes Schrems-III-Verfahren gehandelt. Wer heute auf eine US-Hyperscaler-Region setzt, plant rechtlich auf Sand.
Hinzu kommen sektorale Regulierungen. Die NIS-2-Richtlinie verlangt für wesentliche und wichtige Einrichtungen eine nachweisbare Kontrolle über Lieferketten und Cloud-Abhängigkeiten, auch wenn sie Sovereign Cloud nicht explizit fordert. Wir haben das in unserem Beitrag NIS-2 Compliance: Pflichten für den Mittelstand ausführlich aufgeschlüsselt. DORA verschärft die Anforderungen für Finanzdienstleister zusätzlich. Wer im öffentlichen Sektor verkauft, kommt am BSI-C5-Katalog und seit kurzem auch an EUCS-Vorgaben kaum vorbei.
Der dritte Treiber ist wirtschaftspolitisch. Die Bundesregierung und die EU-Kommission fördern aktiv den Aufbau europäischer Cloud-Alternativen. STACKIT der Schwarz-Gruppe, IONOS Cloud, Open Telekom Cloud und das Gaia-X-Ökosystem bekommen sichtbar Rückenwind. Wer bei Ausschreibungen im öffentlichen Sektor mitspielt, wird inzwischen aktiv gefragt, ob er Sovereign-Cloud-Optionen anbieten kann.
Die drei Souveränitäts-Stufen pragmatisch erklärt
Statt eine binäre Souveränitätsfrage zu stellen, ist es nützlicher, in Stufen zu denken.
Stufe 1 ist Datenresidenz. Die Daten liegen in einem EU-Rechenzentrum, werden dort verarbeitet und nicht ausgeleitet. Diese Stufe erfüllen alle großen Hyperscaler in ihren EU-Regionen. Sie löst praktische Datenschutzfragen, schützt aber nicht vor extraterritorialen Zugriffen durch den Cloud Act.
Stufe 2 ist operative Souveränität. Die Plattform wird durch europäische Mitarbeitende administriert, US-Konzernpersonal hat keinen technischen Zugriff. Microsoft Cloud for Sovereignty mit der Variante “EU Data Boundary plus Confidential Computing” zielt in diese Richtung, ebenso Google Sovereign Solutions in Kooperation mit T-Systems oder Thales. Diese Stufe reduziert das Cloud-Act-Risiko erheblich, eliminiert es aber nicht vollständig.
Stufe 3 ist juristische und unternehmerische Souveränität. Der Cloud-Betreiber ist in der EU domiziliert, hat keine US-Eigentümer und unterliegt ausschließlich europäischem Recht. OVHcloud, IONOS, Open Telekom Cloud, STACKIT und Hetzner Cloud erfüllen diese Anforderung. Die technische Tiefe reicht bei diesen Anbietern allerdings nicht an die großen Hyperscaler heran. Wer auf SageMaker, Vertex AI oder Azure OpenAI angewiesen ist, findet in dieser Stufe keinen vollständigen Ersatz.
Welche Stufe ein Mittelständler braucht, hängt von der Datenkategorie ab. Für klassische Office-Workloads und CRM-Daten reicht Stufe 1 in vielen Fällen. Sobald Patientendaten, Personalakten, sicherheitsrelevante Forschungsdaten oder Daten kritischer Infrastruktur ins Spiel kommen, beginnt der Druck Richtung Stufe 2 oder 3. Eine saubere Datenklassifizierung ist die Voraussetzung jeder Sovereign-Cloud-Strategie.
Anbieter-Landschaft 2026 im Realitätscheck
Die deutsche und europäische Anbieter-Landschaft hat sich in den vergangenen drei Jahren deutlich professionalisiert. Trotzdem lohnt sich ein nüchterner Blick auf die Stärken und Lücken.
STACKIT der Schwarz-Gruppe bietet inzwischen Compute, Storage, Kubernetes-as-a-Service, Postgres und Object Storage in zwei deutschen Regionen. Die Konzern-Anbindung sorgt für Stabilität, die Roadmap zieht spürbar an. Wer Lidl oder Kaufland als Referenz akzeptiert, hat ein belastbares Bild.
Open Telekom Cloud baut auf OpenStack auf, verfügt über BSI-C5-Testat und ist in der öffentlichen Verwaltung etabliert. Die Bedienoberflächen sind funktional, aber nicht auf dem Niveau eines Azure-Portals. Wer aus der Hyperscaler-Welt kommt, muss Umlernen einplanen.
IONOS Cloud richtet sich stärker an KMU. Das Preis-Leistungs-Verhältnis ist attraktiv, der Funktionsumfang reicht für klassische LAMP- oder Container-Workloads. KI- oder Datenplattformen baut man hier weiterhin selbst.
Hetzner Cloud ist preislich kaum zu schlagen, juristisch sauber in Deutschland verankert und für eigenbetriebene Workloads sehr beliebt. Was fehlt, sind Managed Services in der Tiefe, etwa Managed Datenbanken mit Multi-AZ oder vergleichbare Sicherheits- und Compliance-Zertifizierungen wie bei den größeren Anbietern.
OVHcloud aus Frankreich ist der einzige europäische Anbieter mit nennenswerter Größe, hat aber 2021 einen schweren Rechenzentrumsbrand erlebt. Die Konsequenzen daraus sind sichtbar in den heutigen Notfallkonzepten, sollten aber bei jeder Architektur mitgedacht werden.
Bei den Sovereign-Varianten der Hyperscaler bleibt die Frage offen, wie weit “EU-betrieben” tatsächlich trägt. Microsoft Cloud for Sovereignty in Partnerschaft mit Capgemini und Orange ist ein ernsthafter Anlauf, aber der Mutterkonzern bleibt US-amerikanisch. Wer auf Stufe 3 abzielt, ist hier nicht am Ziel.
Eine ergänzende Option ist der Eigenbetrieb auf Sovereign-Infrastruktur, etwa eine OpenStack-Plattform bei einem deutschen Anbieter oder klassisches Hosting im eigenen Rack. Welche Anwendungen sich dafür eignen und ab wann der Eigenbetrieb wirtschaftlich wird, haben wir in Self-Hosted statt SaaS durchgerechnet.
Wann sich der Wechsel rechnet, und wann nicht
Sovereign Cloud ist nicht kostenlos. Die Migration von einer AWS-Region auf STACKIT oder IONOS kostet je nach Workload zwischen 30 und 200 Personentagen, die laufenden Lizenzen sind selten günstiger, der Funktionsumfang ist meist eingeschränkter. Ein Wechsel um seiner selbst willen lohnt sich nicht.
Drei Konstellationen rechtfertigen den Aufwand. Erstens: regulatorischer Druck. Wer im öffentlichen Sektor, im Gesundheitswesen oder in der kritischen Infrastruktur arbeitet, hat zunehmend klare Vorgaben. Die Migration wird dann zur Pflicht, nicht zur Wahl. Zweitens: Datenklassen mit Schutzbedarf “hoch” oder “sehr hoch”. Patientendaten, Personalakten mit Gesundheitsbezug, sicherheitsrelevante Forschungsdaten oder Steuerdaten mit Drittlandbezug rechtfertigen den Sovereign-Pfad. Drittens: strategisches Anti-Lock-in. Wer langfristig technologisch unabhängig bleiben will, baut sich mit einer Sovereign-Cloud-Architektur einen Hebel auf, der über die unmittelbare Wirtschaftlichkeit hinaus zählt. Ein souveräner Arbeitsplatz wie der in unserem Beitrag OpenDesk: Souveräner Arbeitsplatz auf OS-Basis beschriebene zahlt auf dieselbe Strategie ein.
Wer keine dieser drei Konstellationen erfüllt, sollte realistisch prüfen, ob Stufe 1 (EU-Region eines Hyperscalers) plus saubere AVV, Verschlüsselung und Schlüsselverwaltung beim Kunden nicht schon ausreichend ist. Diese Variante ist in der Regel zwei bis drei Größenordnungen günstiger als ein kompletter Anbieterwechsel und löst die meisten praktischen Datenschutzfragen.
Fazit
Sovereign Cloud ist 2026 kein Marketingthema mehr, sondern eine ernstzunehmende Entscheidung mit regulatorischem, technischem und wirtschaftlichem Gewicht. Wer im öffentlichen Sektor, im Gesundheitswesen oder in der kritischen Infrastruktur arbeitet, kommt an einer Stufe-2- oder Stufe-3-Architektur kaum vorbei. Für klassische Mittelständler bleibt eine differenzierte Bewertung sinnvoll: Datenklassen sauber kategorisieren, Workloads priorisieren, dann gezielt die Workloads mit hohem Schutzbedarf auf europäische Anbieter ziehen. Ein kompletter Hyperscaler-Exit ist selten der rationale Weg.
EverBright IT begleitet Mittelständler bei der Bewertung von Sovereign-Cloud-Optionen, von der Datenklassifizierung über die Anbieterauswahl bis zur konkreten Migration. Mehr zu unserer Cloud-Beratung oder direkt Kontakt aufnehmen.
Häufige Fragen
Was unterscheidet Sovereign Cloud von einer EU-Region eines Hyperscalers?
Eine EU-Region erfüllt Datenresidenz, also die Speicherung und Verarbeitung in Europa. Eine Sovereign Cloud geht weiter und stellt sicher, dass der Anbieter selbst rechtlich nicht unter den US Cloud Act fällt. Eine AWS-EU-Region ist also keine Sovereign Cloud im engeren Sinn, weil die Muttergesellschaft in den USA sitzt und damit US-Behörden Zugriff verlangen können.
Müssen alle Unternehmen jetzt auf Sovereign Cloud wechseln?
Nein. Eine vollständige Migration ist nur bei wenigen Konstellationen wirtschaftlich sinnvoll, etwa bei regulatorischem Druck im öffentlichen Sektor oder im Gesundheitswesen, bei Datenkategorien mit Schutzbedarf “hoch” oder strategischen Anti-Lock-in-Zielen. Für klassische Office- und CRM-Workloads reicht in den meisten Fällen eine Hyperscaler-EU-Region mit sauberer AVV und kundenseitiger Schlüsselverwaltung.
Welche europäischen Anbieter sind für KMU realistisch?
STACKIT, IONOS Cloud, Open Telekom Cloud und Hetzner Cloud sind die meistgenannten Optionen. STACKIT und Open Telekom Cloud sind eher für Enterprise-Workloads ausgelegt, IONOS und Hetzner für kleinere und mittlere Setups. Wer KI-Workloads betreibt, muss sich klar darüber sein, dass die Funktionstiefe nicht an Azure OpenAI oder Vertex AI heranreicht. Eigenbetrieb von Modellen auf souveräner Infrastruktur ist machbar, aber aufwändiger.
Wie aufwändig ist eine Migration aus AWS oder Azure heraus?
Eine realistische Größenordnung liegt zwischen 30 und 200 Personentagen pro Workload, abhängig von genutzten Managed Services. Eigenbetriebene Container und virtuelle Maschinen sind leicht portierbar, proprietäre Services wie DynamoDB, SageMaker oder Azure Cognitive Services brauchen einen Architekturumbau. Eine ehrliche Bewertung pro Workload vor der Migration verhindert böse Überraschungen.
Gibt es Zertifizierungen, die Sovereign Cloud nachweisen?
Es gibt mehrere Frameworks. BSI-C5 ist im deutschen Markt etabliert und prüft Cloud-Sicherheit und Compliance. EUCS ist das kommende EU-weite Schema mit drei Schutzstufen, einschließlich einer Sovereign-Stufe. Gaia-X liefert Label und Kriterien für Datenökosysteme. Ein BSI-C5-Testat mit “Substantiellem Vertrauensniveau” plus eine ehrliche Stufe-3-Bewertung des Anbieters ist eine pragmatische Mindestanforderung für sensible Workloads.
