3 Min. Lesezeit

Das Wichtigste in Kürze

• Sovereign Cloud garantiert: Datenresidenz in Europa, europäisches Recht, kein Zugriff durch außereuropäische Behörden
• Gaia-X bleibt Framework – operative Angebote kommen von T-Systems (Open Telekom Cloud), OVHcloud, IONOS und Stackit
• US CLOUD Act und FISA 702 ermöglichen Zugriff auf Daten bei US-Providern – unabhängig vom Serverstandort
• Microsoft, Google und Oracle bieten „Sovereign“-Varianten an – mit eingeschränktem Feature-Set
• Kosten: 15-40 Prozent Aufpreis gegenüber Standard-Cloud für echte Souveränität

---

Digitale Souveränität ist das beherrschende Thema der europäischen Cloud-Politik. Der Kern: Europäische Daten sollen unter europäischem Recht verarbeitet werden – ohne Zugriffsmöglichkeit durch außereuropäische Behörden. Die technologische und wirtschaftliche Umsetzung ist allerdings komplexer als die politische Forderung. Ein Realitätscheck.

Das CLOUD-Act-Problem

Der US CLOUD Act (2018) verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben – unabhängig davon, wo die Server stehen. Ein deutsches Unternehmen, das seine Daten bei AWS Frankfurt speichert, ist rechtlich nicht geschützt, wenn die US-Regierung Zugriff fordert. AWS als US-Unternehmen muss kooperieren.

FISA Section 702 verschärft das Problem: US-Geheimdienste können ohne richterliche Anordnung auf Kommunikationsdaten von Nicht-US-Bürgern zugreifen. Für europäische Unternehmen, die DSGVO-konform arbeiten müssen, ist das ein unlösbarer Rechtskonflikt – es sei denn, sie nutzen einen nicht-amerikanischen Provider.

Gaia-X: Vision und Realität

Gaia-X wurde 2019 als europäisches Cloud-Ökosystem lanciert – mit dem Anspruch, eine Alternative zu AWS, Azure und GCP zu schaffen. Die Realität 2024: Gaia-X ist kein Cloud-Provider, sondern ein Regelwerk und Zertifizierungsrahmen. Es definiert Standards für Interoperabilität, Datensouveränität und Transparenz.

Die operativen Angebote kommen von Anbietern, die Gaia-X-konform arbeiten: T-Systems (Open Telekom Cloud), OVHcloud, IONOS Cloud und Stackit (Schwarz-Gruppe). Keiner davon bietet das Feature-Set eines Hyperscalers – aber alle bieten garantierte Datenresidenz und europäisches Recht.

Sovereign-Varianten der Hyperscaler

Microsoft, Google und Oracle haben reagiert: Microsoft Cloud for Sovereignty, Google Sovereign Cloud und Oracle EU Sovereign Cloud bieten europäische Datenresidenz mit eingeschränktem Feature-Set. Die Einschränkung: Bestimmte Dienste sind nicht verfügbar, Updates kommen verzögert, und der Support-Zugriff durch nicht-europäisches Personal kann eingeschränkt werden.

Die Gretchenfrage: Genügt eine „Sovereign“-Variante eines US-Providers, oder muss der Provider selbst europäisch sein? Rechtlich ist die Lage unklar. Das Schrems-II-Urteil des EuGH hat das Privacy-Shield-Abkommen für ungültig erklärt – Standard Contractual Clauses (SCCs) sind der aktuelle Behelf, aber nicht unangreifbar.

Pragmatische Empfehlung

Für die meisten Unternehmen: Hybridansatz. Nicht-sensible Workloads auf dem Hyperscaler der Wahl (AWS, Azure, GCP) – die Features und die Skalierung sind ungeschlagen. Hochsensible Daten (Gesundheit, Finanzen, öffentlicher Sektor) auf einem europäischen Provider oder einer Sovereign-Variante.

Die Kosten-Realität: Echte Souveränität hat einen Preis. 15-40 Prozent Aufpreis gegenüber Standard-Cloud, eingeschränktes Ökosystem und weniger Managed Services. Für regulierte Branchen ist das alternativlos. Für ein E-Commerce-Startup ist es unnötig.

Häufige Fragen

Ist die Open Telekom Cloud eine echte Alternative zu AWS?

Für IaaS-Workloads (VMs, Storage, Networking) ja – das Feature-Set ist solide. Für moderne Cloud-Native-Dienste (Serverless, ML-Plattformen, Managed Kubernetes) ist der Abstand zu den Hyperscalern noch signifikant. Für KRITIS-Betreiber und den öffentlichen Sektor ist sie eine ernsthafte Option.

Reicht eine Sovereign-Cloud-Variante von Microsoft?

Für viele Use Cases ja – insbesondere wenn M365-Integration wichtig ist. Die rechtliche Absicherung ist besser als bei der Standard-Cloud, aber nicht perfekt: Microsoft bleibt ein US-Unternehmen. Für maximale Souveränität ist ein europäischer Provider nötig.

Was kostet der Wechsel zu einem Sovereign-Provider?

Die direkten Migrationskosten sind überschaubar (IaaS-Workloads: wenige Tausend Euro). Die versteckten Kosten liegen in verlorenen Managed Services: Was auf AWS ein API-Call ist, muss auf einem europäischen Provider möglicherweise selbst betrieben werden.

Wie steht es um Gaia-X?

Gaia-X ist kein Cloud-Provider, sondern ein Regelwerk für digitale Souveränität. Die Kritik: zu langsam, zu bürokratisch, zu wenig operative Ergebnisse. Der Wert liegt langfristig in der Standardisierung – kurzfristig sind die operativen Angebote der Gaia-X-Mitglieder relevanter.

Betrifft der CLOUD Act auch SaaS-Dienste?

Ja. Jeder US-Dienst unterliegt dem CLOUD Act – Salesforce, ServiceNow, Slack, Google Workspace. Wer DSGVO-sensible Daten in US-SaaS verarbeitet, hat ein Compliance-Risiko. Europäische Alternativen (Nextcloud, Open-Xchange, Stackfield) existieren, haben aber kleinere Ökosysteme.

Quelle des Titelbildes: Pexels / Paolo Boaretto

Lesetipps der Redaktion

• Lenovo ThinkCentre M75q Tiny Gen 5: Enterprise-Mini-PC mit AMD PRO und 5 Watt Idle für Edge und Kiosk
• Serverless KI ist überbewertet – hier ist was stattdessen zählt
• QNAP TS-464: 4-Bay-NAS mit Docker, HDMI und PCIe-Slot – was Synology in dieser Klasse nicht bietet

Mehr aus dem MBF Media Netzwerk

SecurityToday | MyBusinessFuture | Digital Chiefs