Die 4 Stufen der Cloud-Souveränität: ein praktischer Leitfaden für europäische CEOs und CTOs

Im Juni 2025 erklärte der Rechtsleiter von Microsoft France vor dem französischen Senat unter Eid, dass er nicht garantieren könne, dass europäische Daten nicht an US-Behörden weitergegeben würden. Für Datenschutzexperten war das keine Überraschung. Aber es war das erste Mal, dass ein Hyperscaler-Manager dies so deutlich, offiziell und in einer parlamentarischen Anhörung sagte.

Der Grund ist ein US-Gesetz namens CLOUD Act. Es wurde 2018 verabschiedet und erlaubt amerikanischen Strafverfolgungsbehörden, jedes US-Unternehmen zur Herausgabe von Daten zu zwingen, unabhängig davon, wo diese physisch gespeichert sind. Ein Server in Frankfurt hilft nicht, wenn das Unternehmen, das ihn betreibt, seinen Hauptsitz in Seattle hat.

Für europäische CTOs und Gründer entsteht dadurch ein Problem. Der Großteil Ihres Stacks läuft wahrscheinlich auf US-eigener Infrastruktur. Und „wir hosten Ihre Daten in der EU“ ist eine häufige Beruhigung seitens der Anbieter. Aber Hosting-Standort und rechtliche Zuständigkeit sind zwei verschiedene Dinge.

Die gute Nachricht: Es gibt echte Optionen auf jeder Stufe des Spektrums. Hier erfahren Sie, wie Sie diese einordnen können.

Die vier Stufen der Cloud-Souveränität

Nicht jedes europäische Hosting bietet den gleichen Schutz. Wir haben vier Stufen identifiziert, von der niedrigsten bis zur höchsten Souveränität, jeweils mit klaren Kompromissen.

Stufe 1: EU-gehostet, US-Eigentum

Was das bedeutet. Eine Standard-Region von AWS, Azure oder Google Cloud mit Standort in Europa. Ihre Daten liegen in Frankfurt, Dublin oder Paris. Das Unternehmen, das die Infrastruktur betreibt, ist amerikanisch.

Beispiele. AWS eu-central-1, Azure West Europe, Google Cloud europe-west1.

CLOUD-Act-Risiko: hoch. Die US-Regierung kann direkt einen Durchsuchungsbeschluss an die Muttergesellschaft stellen. Microsoft bestätigte dies unter Eid. Keine vertraglichen Garantien ändern die rechtliche Realität. Auch Standard-Verschlüsselung (BYOK) hilft nicht: Wenn der Anbieter die Schlüssel besitzt oder auf die Daten im Klartext zugreifen kann, kann er zur Herausgabe gezwungen werden.

Geeignet für. Nicht-sensible Arbeitslasten, öffentlich zugängliche Websites, Entwicklungsumgebungen. Alle Daten, bei denen eine Veröffentlichung durch eine Datenpanne vertretbar wäre.

Stufe 2: US-Sovereign-Cloud-Partitionen

Was das bedeutet. Eine separate Cloud-Umgebung, betrieben von einer europäischen Tochtergesellschaft eines US-Unternehmens, mit dedizierter Infrastruktur und EU-ansässigem Personal. Physisch und logisch isoliert von den globalen Regionen des Anbieters.

Beispiele. AWS European Sovereign Cloud (gestartet im Januar 2026 in Brandenburg, Deutschland, mit 7,8 Milliarden Euro zugesagtem Investment). Betrieben von einer deutschen GmbH, verwaltet von EU-Bürgern, mit eigenem Security Operations Center.

CLOUD-Act-Risiko: mittel-hoch. Die europäische Tochtergesellschaft ist eine eigenständige juristische Person, gehört aber weiterhin zu 100 Prozent der US-Muttergesellschaft. Ob ein CLOUD-Act-Beschluss durch diese Struktur hindurchgreifen kann, wurde gerichtlich noch nicht geklärt. AWS argumentiert, dass die Nitro-Verschlüsselung Kundendaten selbst für eigene Mitarbeitende unzugänglich macht. Das ist eine starke technische Schutzmaßnahme, aber die Rechtsfrage bleibt offen.

Geeignet für. Regulierte Arbeitslasten, bei denen Sie den vollen Umfang der AWS-/Azure-Dienste benötigen, aber stärkere Souveränitätskontrollen als eine Standardregion wünschen. Kunden des öffentlichen Sektors, die EU-ansässigen Betrieb voraussetzen.

Stufe 3: EU-betriebene Joint Ventures mit US-Technologie

Was das bedeutet. Ein europäisches Unternehmen betreibt die Cloud-Infrastruktur eigenständig und nutzt lizenzierte Technologie eines US-Hyperscalers. Das US-Unternehmen hält keine Beteiligung (oder nur eine Minderheitsbeteiligung) und hat keine operative Kontrolle.

Drei Projekte, die Sie kennen sollten:

Bleu ist ein Joint Venture von Orange und Capgemini in Frankreich. Es betreibt Microsoft Azure und Microsoft 365 für den französischen Markt. Microsoft hält keine Beteiligung an Bleu und hat keinen Zugang zum Betrieb. Bleu strebt die SecNumCloud-3.2-Zertifizierung der französischen ANSSI an, die vollständige Qualifizierung wird für 2026 erwartet.

S3NS ist ein Joint Venture von Thales (Mehrheitsaktionär) und Google Cloud (ca. 20 Prozent). Es bietet Google-Cloud-Dienste an, die ausschließlich von französischem Personal auf dedizierter Infrastruktur betrieben werden. S3NS erhielt im Dezember 2025 die SecNumCloud-3.2-Zertifizierung und war damit das erste Hyperscaler-basierte Angebot mit dieser Qualifizierung.

Delos Cloud ist eine deutsche Partnerschaft zwischen SAP und Arvato Systems (Bertelsmann). Sie betreibt Microsoft Azure und M365 für den deutschen öffentlichen Sektor, mit Compliance-Anpassungen an BSI-Standards.

CLOUD-Act-Risiko: geringer. Da das betreibende Unternehmen europäisch ist und der US-Anbieter keine Kontrollmehrheit besitzt, kann ein CLOUD-Act-Beschluss nicht direkt an dieses zugestellt werden. Das ist eine wesentliche rechtliche Verbesserung gegenüber den Stufen 1 und 2.

Aber es gibt einen Haken. Diese Joint Ventures sind auf den US-Partner für Software-Updates, Patches und die zugrunde liegende Technologie angewiesen. Sollte die US-Regierung Exportbeschränkungen erlassen oder der Anbieter die Zusammenarbeit beenden, könnte der Dienst innerhalb von Tagen oder Wochen ausfallen. Das ist in der Praxis bereits vorgekommen: Als der IStGH im Mai 2025 nach US-Sanktionen von seinem Microsoft-Konto ausgesperrt wurde, zeigte das, wie operative Abhängigkeit von einem US-Anbieter einen politischen Single Point of Failure erzeugt.

Geeignet für. Sensible und regulierte Arbeitslasten, die unternehmenstaugliche US-Software (Microsoft 365, Google Workspace, Azure AI) mit der stärksten verfügbaren rechtlichen Abschirmung vom CLOUD Act benötigen. Finanzdienstleistungen unter DORA, Gesundheitswesen, öffentliche Verwaltung.

Stufe 4: EU-Eigentum und EU-Entwicklung

Was das bedeutet. Europäische Unternehmen, die ihre eigene Infrastruktur besitzen, ihren eigenen Code schreiben und ausschließlich europäischem Recht unterliegen. Kein US-Mutterkonzern, keine US-Technologieabhängigkeit, kein CLOUD-Act-Risiko.

Beispiele. Es gibt ein wachsendes Ökosystem EU-nativer Anbieter, jeder mit unterschiedlichen Stärken:

Für IaaS und Cloud Computing: OVHcloud (französisch, börsennotiert, 43 Rechenzentren, S3-kompatibler Speicher, SecNumCloud-qualifiziert), IONOS (deutsch, 6,3 Millionen Kunden, Managed Databases), Scaleway (französisch, Iliad-Gruppe, starkes Managed-Database-Angebot), Hetzner (deutsch, inhabergeführt, hervorragendes Preis-Leistungs-Verhältnis) und 3DS Outscale (französisch, Tochter von Dassault Systèmes, erster Anbieter mit SecNumCloud-3.2-Qualifizierung).

Für breiteres EU-Hosting: Open Telekom Cloud (Deutsche Telekom, unternehmensorientiert), Aruba Cloud (italienisch, 5 eigene Campus-Standorte, 16 Millionen Nutzer), UpCloud (finnisch, 99,999 Prozent SLA) und Clever Cloud (französische PaaS, sekundengenaue Abrechnung).

Das vollständige Verzeichnis europäischer Cloud-Anbieter finden Sie auf unserer Website.

CLOUD-Act-Risiko: keines. Diese Unternehmen sind in der EU eingetragen, im Besitz von EU-Organisationen und unterliegen ausschließlich europäischem Recht. Ein US-Durchsuchungsbeschluss hat keinen rechtlichen Weg, sie zu erreichen.

Der Kompromiss ist real. Europäische Anbieter können noch nicht die Breite an Managed Services bieten, die AWS, Azure oder Google anbieten. Wenn Sie über 200 Managed Services, proprietäre KI-Modelle oder ein globales CDN mit 300 PoPs benötigen, wird ein Stufe-4-Anbieter nicht alles abdecken. Die Lücke wird kleiner: OVHcloud hat gerade die Marke von 1 Milliarde Euro Jahresumsatz überschritten und europäische Anbieter wachsen schnell. Aber es ist ehrlich zu sagen, dass die Feature-Parität noch nicht für jeden Anwendungsfall gegeben ist.

Geeignet für. Jede Arbeitslast mit personenbezogenen Daten von EU-Bürgern, Gesundheitsdaten, Rechtsdokumenten, Finanzdaten, Regierungsaufträgen oder allen Bereichen, in denen regulatorische Compliance (DSGVO, NIS2, DORA) oder Reputationsrisiken ein CLOUD-Act-Risiko inakzeptabel machen.

So nutzen Sie dieses Framework

Sie müssen nicht Ihren gesamten Stack über Nacht auf Stufe 4 migrieren. Das ist weder praktikabel noch notwendig.

Beginnen Sie damit, Ihre Arbeitslasten nach Sensibilität zu klassifizieren. Legen Sie Ihre sensibelsten Daten (Kunden-PII, Gesundheitsdaten, Finanzdaten, Rechtsdokumente) auf Stufe-3- oder Stufe-4-Infrastruktur. Weniger sensible Arbeitslasten (öffentliche Websites, Entwicklungs-/Staging-Umgebungen, Analytics) können dort bleiben, wo das beste Tool verfügbar ist, selbst wenn das Stufe 1 bedeutet.

Die wichtigste Erkenntnis: Souveränität ist ein Spektrum, keine Ja-oder-Nein-Entscheidung. Entscheidend ist, für jede Arbeitslast eine bewusste Wahl zu treffen, statt bei „wir hosten in der EU“ stehenzubleiben, ohne zu verstehen, was das tatsächlich schützt.

Einen umfassenderen Blick auf europäische SaaS-Alternativen in jeder Kategorie bietet unser Leitfaden zum Aufbau eines europäischen SaaS-Stacks. Und wenn Sie den regulatorischen Kontext hinter diesen Entscheidungen verstehen möchten, geht unser Artikel über digitale Souveränität tiefer ins Thema.

Das europäische Cloud-Ökosystem ist kleiner als das amerikanische. Aber es ist real, es wächst, und es ist die einzige Option, die Ihnen volle Rechtssicherheit bietet. Jedes Tool, das Sie evaluieren, ist eine Entscheidung. Treffen Sie sie bewusst.