9 Min. Lesezeit

90 Prozent der deutschen Unternehmen nutzen Cloud-Services. 78 Prozent sagen gleichzeitig: Wir sind zu abhängig von US-Anbietern. Diese kognitive Dissonanz prägt die Cloud-Strategien im Mittelstand wie kein anderes Thema. 2026 wird das Jahr, in dem sich entscheidet, ob europäische digitale Souveränität vom politischen Leitmotiv zur operativen Realität wird. Die Infrastruktur dafür entsteht gerade.

Das Wichtigste in Kürze

• AWS European Sovereign Cloud live: Seit Januar 2026 in Brandenburg verfügbar, 7,8 Milliarden Euro Investition, rund 90 Services zum Start
• Markt explodiert: Europäische Sovereign-Cloud-Ausgaben steigen laut Gartner von 6,9 Milliarden USD (2025) auf 12,6 Milliarden USD (2026), plus 83 Prozent
• Alle Hyperscaler ziehen mit: Microsoft Sovereign Public Cloud, Google Sovereign Cloud Hub München, Delos Cloud (T-Systems/SAP) im Produktivbetrieb
• Deutsche Alternativen wachsen: STACKIT baut sich zum deutschen Hyperscaler aus, OVHcloud betreibt die Infrastruktur für den digitalen Euro der EZB
• EUCS blockiert: Die EU-Cloud-Zertifizierung steckt seit über vier Jahren fest. BSI C5 bleibt der de-facto-Standard in Deutschland

Der Markt kippt: Souveränität wird zur Milliarden-Frage

Was vor drei Jahren noch als politische Forderung abgetan wurde, ist 2026 ein Markt mit konkreten Zahlen. Gartner beziffert die globalen Sovereign-Cloud-IaaS-Ausgaben auf 80 Milliarden US-Dollar für 2026, ein Plus von 35,6 Prozent gegenüber dem Vorjahr. Der europäische Anteil wächst dabei am schnellsten: von 6,9 Milliarden USD (2025) auf 12,6 Milliarden USD (2026) und prognostizierte 23,1 Milliarden USD bis 2027.

Was diese Zahlen bedeuten: Europa wird voraussichtlich 2027 Nordamerika bei den Sovereign-Cloud-Ausgaben überholen. Der Kontinent investiert nicht mehr nur in Cloud, er investiert in eine andere Art von Cloud.

Die Treiber sind bekannt: NIS-2-Richtlinie, DORA (Digital Operational Resilience Act) für den Finanzsektor, das Lieferkettengesetz und nicht zuletzt die geopolitische Unsicherheit seit dem Amtsantritt der zweiten Trump-Administration. Der Bitkom Cloud Report 2025 macht die Stimmungslage in Zahlen greifbar: Die Hälfte aller befragten Unternehmen gibt an, ihre Cloud-Strategie wegen der neuen US-Regierung zu rekalibrieren. Und auf die Frage, welchen Anbieter sie bevorzugen, sagen 100 Prozent: einen deutschen. Nur 6 Prozent bevorzugen einen US-Anbieter.

„Entscheider – nicht nur CIOs, sondern das gesamte C-Level – fragen sich, ob sie sich noch auf digitale Infrastruktur von US-Anbietern verlassen können.“

René Buest, Senior Director Analyst bei Gartner, Februar 2026

AWS European Sovereign Cloud: Der Hyperscaler wird europäisch

Am 15. Januar 2026 ging die AWS European Sovereign Cloud in Brandenburg live. Das Konzept unterscheidet sich grundlegend von den bisherigen AWS-Regionen in Europa: eigene Infrastruktur, eigene Governance, eigenes Personal. Organisatorisch, technisch und rechtlich getrennt von den globalen AWS-Regionen.

AWS hat dafür eine eigenständige europäische Organisation gegründet: eine neue Muttergesellschaft plus drei Tochtergesellschaften, alle nach deutschem Recht registriert. Alle operativen Mitarbeiter sind EU-Angehörige mit Wohnsitz in der EU. An der Spitze stehen Stephane Israel als Managing Director (seit Oktober 2025) und Stefan Hoechbauer (seit Januar 2026).

Die Investitionssumme: 7,8 Milliarden Euro über mehrere Jahre. Zum Start sind rund 90 der über 240 AWS-Dienste verfügbar, das Portfolio wird schrittweise erweitert. Geplant sind weitere Regionen in den Niederlanden, Belgien und Portugal.

Für Unternehmen ändert sich damit die Grundlage der Cloud-Diskussion: Die Frage ist nicht mehr „Kann ein US-Hyperscaler souverän sein?“, sondern „Reicht mir diese Form der Souveränität?“. Denn eines bleibt: AWS als Unternehmen ist und bleibt amerikanisch. Die European Sovereign Cloud adressiert die operative und rechtliche Souveränität, nicht die wirtschaftliche Abhängigkeit von einem einzelnen Anbieter. IT-Entscheider müssen diese Unterscheidung verstehen, bevor sie Verträge unterschreiben.

„Europa braucht Zugang zur robustesten Cloud- und KI-Technologie. Kunden wollen das Beste aus beiden Welten: das volle AWS-Portfolio nutzen und gleichzeitig ihre strengen Souveränitätsanforderungen erfüllen.“

Stephane Israel, Managing Director AWS European Sovereign Cloud, Januar 2026 (sinngemäß übersetzt)

Microsoft, Google, Delos: Die Wettbewerber ziehen nach

AWS ist nicht allein. Microsoft hat seine Sovereign Public Cloud für alle europäischen Regionen angekündigt, inklusive Customer-controlled Encryption, einem europäischen Aufsichtsrat und einem Data Guardian für europäische Operationen. Für hochsensible Workloads bietet Azure Local seit Dezember 2025 eine On-Premises-Option mit Sovereign-Kontrollen.

Delos Cloud, das Gemeinschaftsprojekt von T-Systems, SAP und Microsoft, ist seit Januar 2026 im Produktivbetrieb. Das Modell: T-Systems betreibt Microsoft-Technologie in deutschen Rechenzentren als Treuhänder, vollständig getrennt von Microsofts globalem Netz. Der Preis dafür: 10 bis 20 Prozent mehr als Microsofts Public Cloud. Bemerkenswert: Delos und Microsoft haben ein Abkommen unterzeichnet, das Betriebskontinuität sicherstellt, falls US-Sanktionen europäische Cloud-Dienste einschränken sollten.

Google Cloud hat im November 2025 einen Sovereign Cloud Hub in München eröffnet, kombiniert mit einem Security & Privacy Engineering Hub. Mit T-Systems, Thales, der Schwarz Group und weiteren europäischen Partnern baut Google ein Netzwerk auf, das verschiedene Souveränitätsstufen abdeckt: von Data Boundary (Daten bleiben in Europa) über Dedicated Cloud (dedizierte Infrastruktur mit europäischem Betrieb) bis zur vollständig isolierten Air-Gapped-Variante für die sensibelsten Workloads.

Was bei allen drei Hyperscalern auffällt: Souveränität wird nicht als einzelnes Produkt verkauft, sondern als Spektrum. Je nach Workload-Sensitivität und regulatorischen Anforderungen können Unternehmen das passende Kontrollniveau wählen. Das ist ein fundamentaler Unterschied zu den frühen Debatten, als „Sovereign Cloud“ ein binäres Konzept war: entweder komplett europäisch oder gar nicht.

Die europäische Alternative: STACKIT, OVHcloud und der Traum vom eigenen Hyperscaler

Parallel zu den souveränen Angeboten der US-Hyperscaler wachsen europäische Alternativen. STACKIT, die Cloud-Plattform der Schwarz Group (Lidl/Kaufland), wird seit Mai 2025 zum „deutschen Hyperscaler“ ausgebaut: vier Rechenzentren in Deutschland und Österreich, ein fünftes in Lübbenau im Bau, BSI C5 und ISO 27001 zertifiziert, auf OpenStack basierend.

OVHcloud betreibt mit der SecNumCloud-Zertifizierung (die strenge französische ANSSI-Zertifizierung) eine der wenigen europäischen Cloud-Plattformen auf höchstem Sicherheitsniveau. Ein besonderer Vertrauensbeweis: Die Europäische Zentralbank hat OVHcloud als Infrastruktur-Anbieter für den digitalen Euro ausgewählt. Und mit IONOS (BSI C5-zertifiziert seit 2023) steht eine weitere vollständig europäische Alternative bereit, die besonders im Mittelstand Fuß fasst.

Die ehrliche Einordnung: Keiner dieser europäischen Anbieter kann heute das Serviceportfolio eines AWS oder Azure ersetzen. Wer 200+ Managed Services auf Enterprise-Niveau braucht, kommt an den Hyperscalern nicht vorbei. Aber für definierte Workloads, insbesondere IaaS, Kubernetes, Storage und Datenbanken, sind STACKIT, OVHcloud und IONOS technisch ausgereift und regulatorisch im Vorteil.

EUCS: Vier Jahre Diskussion, null Ergebnis

Während der Markt Fakten schafft, steckt die Regulierung fest. Das EU Cloud Certification Scheme (EUCS), das seit Dezember 2020 diskutiert wird, ist bis heute nicht verabschiedet. Der Kern des Streits: Sollen US-Hyperscaler die höchste Zertifizierungsstufe („High“) erhalten können, oder setzt diese eine europäische Mehrheitseigentümerschaft voraus?

Einige EU-Mitgliedstaaten und die Hyperscaler selbst blockieren die Souveränitätsanforderung. Die Folge ist ein regulatorisches Vakuum: Unternehmen, die jetzt Cloud-Entscheidungen für die nächsten fünf bis zehn Jahre treffen, haben keinen verbindlichen europäischen Zertifizierungsrahmen als Orientierung.

In Deutschland füllt das BSI diese Lücke. Der Cloud Computing Compliance Criteria Catalogue (C5) mit seinen 121 Kontrollen in 17 Domänen ist seit Juli 2025 obligatorisch für den Healthcare-Sektor und Teile der öffentlichen Verwaltung. Das C5:2025-Update bringt neue Anforderungen für Container-Management, Supply-Chain-Risikomanagement und Post-Quanten-Kryptographie. AWS, Microsoft, Google, SAP, STACKIT, OVHcloud und IONOS sind bereits C5-attestiert.

GAIA-X: Ambition trifft Realität

Und dann ist da noch GAIA-X, das ambitionierteste europäische Cloud-Projekt. Die ehrliche Bilanz nach fünf Jahren: Die praktische Wirkung ist hinter den ursprünglichen Versprechen zurückgeblieben. Mit dem Trust Framework 3.0 und über 180 Dataspaces in Aufbau hat GAIA-X durchaus Substanz geschaffen, vor allem für sektorübergreifende Datenökosysteme in Mobilität, Energie und Gesundheit.

Die Aufnahme von AWS, Google und Microsoft als Mitglieder hat allerdings die Frage aufgeworfen, ob GAIA-X seinem ursprünglichen Ziel, europäische Unabhängigkeit, noch glaubwürdig dient. Für die konkrete Frage „Welche Cloud soll ich nutzen?“ liefert GAIA-X bis heute keine operativ relevante Antwort. Der Wert liegt eher im Ökosystem: Trust-Frameworks für branchenübergreifende Dataspaces, die künftig für Lieferketten, Mobilität und Gesundheitsdaten relevant werden könnten.

Ein weiteres Vorzeigeprojekt verdient Erwähnung: SAP und OpenAI haben im März 2026 „OpenAI für Deutschland“ angekündigt, einen souveränen KI-Service für Behörden, Verwaltung und Forschungseinrichtungen. Das zeigt: Die Souveränitätsdiskussion greift längst über Cloud-Infrastruktur hinaus auf KI-Services über.

Was IT-Entscheider jetzt tun sollten

Die Sovereign-Cloud-Landschaft ist 2026 so vielfältig wie nie. Das schafft Optionen, aber auch Komplexität. Fünf Handlungsempfehlungen:

Workloads klassifizieren. Nicht jeder Workload braucht eine souveräne Umgebung. Die Frage ist nicht „Sovereign oder nicht?“, sondern „Für welche Daten und Prozesse brauche ich welches Kontrollniveau?“

BSI C5 als Minimum setzen. Solange EUCS nicht verabschiedet ist, bleibt C5 der belastbarste Orientierungsrahmen in Deutschland. Anbieter ohne C5-Attestierung sollten für regulierte Workloads nicht in die engere Auswahl kommen.

Hybrid-Szenarien einplanen. Die souveräne Cloud wird die Public Cloud nicht ersetzen, sondern ergänzen. Multi-Cloud-Architekturen mit differenzierten Compliance-Zonen werden zum Standard.

Exit-Strategien vertraglich absichern. Delos zeigt mit seiner Business-Kontinuitätsklausel, wie sich geopolitische Risiken vertraglich abfedern lassen. Solche Klauseln sollten in jedem Cloud-Vertrag stehen.

Europäische Alternativen evaluieren. STACKIT, OVHcloud und IONOS haben technisch aufgeholt. Für unkritische und mittlere Workloads sind sie eine ernstzunehmende Option, die Abhängigkeiten reduziert.

Fazit: Souveränität ist kein Produkt, sondern eine Architekturentscheidung

Die gute Nachricht für IT-Entscheider: Die Zeit, in der Souveränität ein Kompromiss war, in der man zwischen Innovation und Kontrolle wählen musste, geht zu Ende. 2026 gibt es erstmals ein echtes Angebot auf beiden Seiten: US-Hyperscaler mit europäischer Governance und europäische Anbieter mit wachsendem Serviceportfolio.

Die weniger gute Nachricht: Es gibt keine Universallösung. Digitale Souveränität ist keine Checkbox, sondern eine Architekturentscheidung, die sich durch die gesamte IT-Strategie zieht. Wer sie ernst nimmt, muss Workloads klassifizieren, Verträge prüfen, Exit-Szenarien durchspielen und Multi-Cloud-Kompetenz aufbauen. Die Infrastruktur ist bereit. Die Frage ist, ob die Unternehmen es auch sind.

Häufige Fragen

Was unterscheidet die AWS European Sovereign Cloud von einer normalen AWS-Region in Europa?

Die European Sovereign Cloud ist organisatorisch, technisch und rechtlich getrennt von den globalen AWS-Regionen. Eigene Muttergesellschaft nach deutschem Recht, eigenes Personal (nur EU-Angehörige), eigene Infrastruktur. Bei einer normalen AWS-Region in Frankfurt läuft die Governance über die US-Muttergesellschaft.

Ist eine souveräne Cloud teurer als die normale Public Cloud?

Ja, in der Regel schon. Delos Cloud (T-Systems/SAP/Microsoft) kostet laut Berichten 10 bis 20 Prozent mehr als Microsofts Public Cloud. Der Aufpreis spiegelt den Mehraufwand für separate Infrastruktur, europäisches Personal und Governance-Strukturen wider. Für regulierte Workloads ist dieser Aufpreis oft günstiger als die Alternative: eigene On-Premises-Infrastruktur.

Braucht mein Unternehmen eine souveräne Cloud?

Nicht pauschal. Entscheidend ist die Datenklassifizierung: Personenbezogene Daten, Geschäftsgeheimnisse und regulierte Workloads (KRITIS, Gesundheit, Finanzdienstleistungen) profitieren von souveränen Umgebungen. Standard-Workloads wie Webhosting, Entwicklungsumgebungen oder unkritische SaaS-Anwendungen können weiterhin in regulären Cloud-Regionen laufen.

Was ist der Unterschied zwischen BSI C5 und EUCS?

BSI C5 ist ein deutsches Prüfschema mit 121 Kontrollen, das bereits operativ angewendet wird und seit Juli 2025 für bestimmte Branchen verpflichtend ist. EUCS soll der europäische Standard werden, ist aber seit über vier Jahren nicht verabschiedet. Bis EUCS in Kraft tritt, bleibt C5 der relevanteste Orientierungsrahmen für deutsche Unternehmen.

Welche europäischen Cloud-Anbieter sind Alternativen zu AWS, Microsoft und Google?

STACKIT (Schwarz Group) baut sich zum deutschen Hyperscaler aus, ist BSI C5 und ISO 27001 zertifiziert und basiert auf OpenStack. OVHcloud bietet mit SecNumCloud das höchste französische Sicherheitsniveau und wurde von der EZB für den digitalen Euro ausgewählt. IONOS ist seit 2023 BSI C5-zertifiziert. Für spezifische Workloads sind diese Anbieter technisch ausgereift.

 

Quelle Titelbild: Unsplash / ALEXANDRE LALLEMAND