Build, Buy oder Partner: die Rechnung davor
Eva Mickler
7 Min. Lesezeit Die teuerste Build-vs-Buy-Entscheidung ist die, die niemand bewusst getroffen hat. In ...
Zum Beitrag
⏱ 9 Min. Lesezeit
61 Prozent der europäischen CIOs planen, mehr Workloads zu lokalen Anbietern zu verlagern. Mit dem produktiven Start der Delos Cloud Anfang 2026, dem europäischen Data Act und Gaia-X als Interoperabilitäts-Framework wird digitale Souveränität vom Buzzword zur konkreten Architekturentscheidung. Ein Fahrplan für CIOs, die zwischen Innovation und Kontrolle navigieren müssen.
Das Wichtigste in Kürze
- 🏛 Delos Cloud startet 2026 produktiv und liefert Microsoft-Dienste unter deutschem Recht mit BSI-Kontrolle der Telemetrie.
- 📊 61 % der europäischen CIOs wollen laut Gartner mehr Workloads zu regionalen Anbietern verschieben.
- ⚖ EU Data Act + NIS2 machen Datenlokalisierung und Exit-Strategien 2026 zur Pflicht.
- 🌍 Gaia-X setzt auf Interoperabilität statt eigene Infrastruktur und vermeidet so den nächsten Lock-in.
- ✅ Fünf-Stufen-Fahrplan für CIOs: Klassifizieren, bewerten, migrieren, vertraglich absichern, kontinuierlich prüfen.
Das Unbehagen wächst: Warum Hyperscaler-Abhängigkeit zum Vorstandsthema wird
2024 war das Jahr, in dem Cloud-Abhängigkeit vom IT-Problem zum strategischen Risiko wurde. Der US-amerikanische CLOUD Act, geopolitische Spannungen und der Fall des EU-US Data Privacy Framework durch immer neue rechtliche Angriffe haben die Debatte beschleunigt. Was früher ein Compliance-Detail war, liegt heute als Tagesordnungspunkt im Aufsichtsrat.
Die Zahlen sprechen deutlich: Eine Gartner-Studie unter 214 europäischen CIOs zeigt, dass 61 Prozent Workloads zu lokalen oder regionalen Anbietern verlagern wollen. 53 Prozent planen aktiv, die Nutzung globaler Hyperscaler einzuschränken. 44 Prozent haben damit bereits begonnen.
Hinter diesen Zahlen steckt ein konkretes Problem: Wer seine geschäftskritische IT auf einer Plattform betreibt, die dem US-amerikanischen Recht unterliegt, hat im Ernstfall wenig Kontrolle. Und der Ernstfall ist längst kein theoretisches Szenario mehr.
61 % der europäischen CIOs
planen laut Gartner, mehr Workloads zu lokalen oder regionalen Cloud-Anbietern zu verlagern – ein klares Signal gegen unkontrollierte Hyperscaler-Abhängigkeit.
Delos Cloud: Microsofts deutscher Sonderweg
Anfang 2026 hat die Delos Cloud GmbH ihr zweites Operations Center in der Region Leipzig in Betrieb genommen. Damit ist die georedundante Infrastruktur für den produktiven Betrieb vollständig aufgebaut. Das Versprechen: Microsoft Azure und Microsoft 365 unter deutschem Recht, betrieben von sicherheitsüberprüfetem Personal, mit Telemetriedaten unter BSI-Kontrolle.
„Die europäische Cloud-Strategie muss über reine Datenlokalität hinausgehen. Echte Souveränität bedeutet operative Kontrolle, transparente Lieferketten und die Fähigkeit, den Anbieter zu wechseln.“
Gaia-X AISBL, Architektur-Whitepaper 2025
Delos ist ein Joint Venture von Microsoft, SAP und Arvato Systems. Die Konstruktion soll das zentrale Dilemma lösen: Unternehmen und Behörden wollen die Innovationskraft eines Hyperscalers nutzen, ohne dabei die Kontrolle über ihre Daten abzugeben. Der Aufpreis gegenüber der regulären Azure-Cloud liegt laut Computerwoche bei 10 bis 20 Prozent.
Kritiker wie netzpolitik.org sehen darin allerdings einen Etikettenschwindel: Die zugrunde liegende Technologie bleibe amerikanisch, die Abhängigkeit von Microsofts Produktzyklus bestehe weiterhin, und ein echtes Exit-Szenario sei nicht vorgesehen. Die Souveränität ende dort, wo Microsoft entscheide, ein Feature abzukündigen oder die Preise anzuheben.
Die Gegenposition: Warum rein europäische Alternativen (noch) nicht reichen
Wer Delos ablehnt, muss eine unbeqüme Wahrheit akzeptieren: Europäische Cloud-Anbieter decken Stand heute nicht das Funktionsspektrum ab, das Unternehmen für ihre digitale Infrastruktur brauchen. OVHcloud, IONOS und die Open Telekom Cloud bieten solide IaaS-Dienste. Aber ein vollständiges Ökosystem mit Produktivitäts-Suite, KI-Services und Enterprise-Integrationen? Das liefern aktuell nur die amerikanischen Hyperscaler.
Genau hier liegt der strategische Wert von Delos: nicht als Endlösung, sondern als Übergangsmodell. Unternehmen gewinnen Zeit, um ihre Multi-Cloud-Strategie aufzubaün, während regulatorische Anforderungen bereits heute erfüllt werden. Die Frage ist nicht Delos oder Europa, sondern: Wie schnell schaffen europäische Anbieter den Funktionslückenschluss?
Gaia-X: Vom gescheiterten Grossprojekt zum Interoperabilitäts-Standard
Gaia-X hat eine schwierige Geschichte. Gestartet 2019 als deutsch-französisches Leuchtturmprojekt für eine europäische Cloud-Infrastruktur, wurde es schnell zum Symbol für überambitionierte Industriepolitik. Zu viele Stakeholder, zu wenig konkreter Output, zu viel Bürokratie.
2026 sieht die Bilanz differenzierter aus. Gaia-X hat seinen Fokus verschoben: weg vom Aufbau eigener Infrastruktur, hin zu Interoperabilitäts-Standards und Vertraünsrahmen. Die Gaia-X Digital Clearing Houses (GXDCH) zertifizieren Cloud-Dienste nach einheitlichen Kriterien. Das klingt weniger spektakulär als eine europäische Supercloud, ist aber strategisch klüger.
Denn das eigentliche Problem der Cloud-Abhängigkeit ist nicht die Infrastruktur selbst. Es ist der Lock-in durch proprietäre APIs, Datenformate und Integrationen. Wer nach Gaia-X-Standards baut, kann Workloads zwischen Anbietern verschieben, ohne jedes Mal die halbe Architektur neu zu schreiben. Souveränität entsteht nicht durch eigene Hardware, sondern durch Wahlfreiheit.
10-20 % Aufpreis
kostet die Delos Cloud gegenüber der regulären Microsoft Azure Cloud – der Preis für deutsche Datenhaltung und BSI-kontrollierte Telemetrie.
EU Data Act und NIS2: Der regulatorische Druck steigt
Neben der strategischen Debatte verschärft sich der regulatorische Rahmen. Der EU Data Act, seit September 2025 vollständig anwendbar, verpflichtet Cloud-Anbieter zu echten Wechselmöglichkeiten. Switching Charges müssen transparent offengelegt werden, und ab 2027 dürfen für Anbieterwechsel keine Gebühren mehr erhoben werden.
Parallel dazu hat NIS2 die Anforderungen an die Cybersecurity kritischer Infrastrukturen verschärft. Unternehmen müssen nachweisen, dass ihre Cloud-Dienstleister angemessene Sicherheitsstandards einhalten. Für CIOs bedeutet das: Die Cloud-Provider-Wahl ist nicht mehr nur eine technische Entscheidung, sondern eine Compliance-Pflicht mit persönlicher Haftung der Geschäftsführung.
Prof. Dr. Luise Hölscher, als Staatssekretärin im Bundesfinanzministerium neue Vorsitzende des IT-Planungsrats, hat das Signal klar gesetzt: weg vom Konsenssuchen zwischen Bund und Ländern, hin zur operativen Umsetzung. Die Deutsche Verwaltungscloud soll 2026 skalieren und beweisen, dass souveräne Betriebsmodelle im Alltag funktionieren.
Fünf-Stufen-Fahrplan: So navigieren CIOs die Souveränitäts-Agenda
Digitale Souveränität lässt sich nicht mit einem einzigen Migrationsprojekt erreichen. Es ist ein kontinuierlicher Prozess, der strategische Planung und operative Disziplin erfordert. Dieser Fünf-Stufen-Fahrplan gibt CIOs eine konkrete Orientierung.
Stufe 1: Datenklassifizierung durchführen. Nicht alle Daten sind gleich schützenswert. CIOs sollten ein dreistufiges Modell etablieren: öffentlich, geschäftlich vertraulich, regulatorisch kritisch. Nur die dritte Kategorie erfordert zwingend eine souveräne Cloud-Lösung. Alles andere kann nach Kosten-Nutzen-Abwägung verteilt werden.
Stufe 2: Lock-in-Analyse bestehender Workloads. Wo liegen proprietäre Abhängigkeiten? Welche Dienste nutzen anbieterspezifische APIs ohne Portabilität? Diese Analyse ist die Grundlage für jede Exit-Strategie und sollte mindestens jährlich aktualisiert werden.
Stufe 3: Multi-Cloud-Architektur aufbauen. Die Zielarchitektur verteilt Workloads bewusst: Hyperscaler für KI-Services und globale Skalierung, souveräne Anbieter für regulatorisch kritische Daten, Open-Source-Plattformen wie OpenStack oder Kubernetes als Portabilitätsschicht. Container-Orchestrierung mit Kubernetes macht Workloads grundsätzlich verschiebbar.
Stufe 4: Vertragliche Exit-Klauseln verankern. Der EU Data Act gibt CIOs Rückenwind, aber die Umsetzung muss im Vertrag stehen. Maximale Kündigungsfristen, definierte Datenexportformate, Übergangszeiträume und Kostentransparenz gehören in jeden Cloud-Vertrag. Wer das heute versäumt, zahlt morgen den Preis.
Stufe 5: Kontinuierliches Souveränitäts-Monitoring. Regulatorische Anforderungen ändern sich, Anbieter ändern ihre Bedingungen, neue Optionen entstehen. Ein jährliches Cloud-Souveränitäts-Review sollte fester Bestandteil der IT-Governance werden.
Was CIOs jetzt tun sollten
Die Frage ist nicht, ob digitale Souveränität relevant wird. Das ist sie bereits. Die Frage ist, ob CIOs das Thema proaktiv gestalten oder reaktiv getrieben werden. Delos Cloud zeigt, dass souveräne Betriebsmodelle auf Hyperscaler-Basis möglich sind, auch wenn sie kein Allheilmittel darstellen. Gaia-X liefert den Interoperabilitätsrahmen, der Lock-in langfristig reduziert. Und der regulatorische Druck durch Data Act und NIS2 macht Handeln alternativlos.
CIOs, die jetzt mit der Datenklassifizierung beginnen und ihre Multi-Cloud-Strategie strukturieren, verschaffen sich einen strategischen Vorsprung. Wer wartet, bis die Regulierung erzwingt, was die Strategie längst hätte liefern sollen, wird teuer nachrüsten.
Der kluge Weg liegt in der Mitte: Hyperscaler-Innovation nutzen, wo sie Mehrwert schafft. Souveräne Alternativen aufbauen, wo Kontrolle entscheidend ist. Und die vertragliche Flexibilität sichern, um in drei Jahren die Optionen zu haben, die man heute plant.
Häufig gestellte Fragen zur digitalen Souveränität
Was genau ist die Delos Cloud?
Die Delos Cloud ist ein Joint Venture von Microsoft, SAP und Arvato Systems. Sie bietet Microsoft Azure und Microsoft 365 unter deutschem Recht an. Alle Kundendaten bleiben auf deutschem Boden, Telemetriedaten werden vom BSI kontrolliert, und der Betrieb erfolgt durch sicherheitsüberprüfte Mitarbeiter nach deutschen IT-Sicherheitsstandards.
Wie unterscheidet sich Gaia-X von einer eigenen europäischen Cloud?
Gaia-X baut keine eigene Cloud-Infrastruktur auf. Stattdessen definiert es Interoperabilitäts-Standards und Vertraünsrahmen, nach denen Cloud-Dienste zertifiziert werden. Das Ziel: Workloads zwischen verschiedenen Anbietern verschiebbar machen und Lock-in reduzieren.
Müssen alle Unternehmensdaten in eine souveräne Cloud?
Nein. Entscheidend ist die Klassifizierung: Nur regulatorisch kritische und hochvertrauliche Daten erfordern zwingend eine souveräne Lösung. Öffentliche und weniger sensible Daten können nach Kosten-Nutzen-Abwägung weiterhin auf globalen Plattformen liegen.
Was kostet der Wechsel zu einer souveränen Cloud?
Die Delos Cloud ist 10 bis 20 Prozent teurer als die reguläre Azure-Cloud. Dazu kommen Migrationskosten, die je nach Komplexität der bestehenden Infrastruktur variieren. Der EU Data Act begrenzt Switching Charges und verbietet sie ab 2027 vollständig.
Welche Rolle spielt NIS2 bei der Cloud-Strategie?
NIS2 verschärft die Cybersecurity-Anforderungen für kritische Infrastrukturen. Unternehmen müssen nachweisen, dass ihre Cloud-Dienstleister angemessene Sicherheitsstandards einhalten. Die Geschäftsführung haftet persönlich für die Einhaltung.
Was bedeutet „digitale Souveränität“ konkret für einen deutschen Mittelständler?
Kontrolle über drei Bereiche: Wo liegen Ihre Daten (Datenlokalität), wer kann darauf zugreifen (Zugriffshoheit), und können Sie den Anbieter wechseln (Portabilität). Der EU Data Act ab September 2025 gibt Ihnen erstmals rechtliche Hebel dafür.
Ist Gaia-X gescheitert oder lohnt sich das noch?
Gaia-X als Infrastruktur-Alternative zu AWS/Azure ist gescheitert. Aber als Framework für Daten-Souveränität und Interoperabilität liefert es Wert: Labels, Compliance-Checks, federated Catalogüs. Pragmatische Empfehlung: Gaia-X-Label als Beschaffungskriterium nutzen, nicht als Plattform.
Weiterführende Lektüre
- → CIO-Agenda 2026 (Digital Chiefs)
- → Board-Reporting: 5 IT-Kennzahlen (Digital Chiefs)
- → NIS2 in Deutschland (SecurityToday)
Mehr aus dem MBF Media Netzwerk
- → Kubernetes Cluster-Governance (cloudmagazin)
- → Daten-Governance im Mittelstand (MyBusinessFuture)
Quelle Titelbild: panumas nikhomkhai / Pexels
Häufige Fragen
Was ist wichtig bei Das Unbehagen wächst: Warum Hyperscaler-Abhängigkeit zum Vorstandsthema wird?
2024 war das Jahr, in dem Cloud-Abhängigkeit vom IT-Problem zum strategischen Risiko wurde. Der US-amerikanische CLOUD Act, geopolitische Spannungen und der Fall des EU-US Data Privacy Framework durch immer neue rechtliche Angriffe haben die Debatte beschleunigt.
Was ist wichtig bei Delos Cloud: Microsofts deutscher Sonderweg?
Anfang 2026 hat die Delos Cloud GmbH ihr zweites Operations Center in der Region Leipzig in Betrieb genommen. Damit ist die georedundante Infrastruktur für den produktiven Betrieb vollständig aufgebaut.
Was ist wichtig bei Die Gegenposition: Warum rein europäische Alternativen (noch) nicht reichen?
Wer Delos ablehnt, muss eine unbeqüme Wahrheit akzeptieren: Europäische Cloud-Anbieter decken Stand heute nicht das Funktionsspektrum ab, das Unternehmen für ihre digitale Infrastruktur brauchen. OVHcloud, IONOS und die Open Telekom Cloud bieten solide IaaS-Dienste.
Was ist wichtig bei Gaia-X: Vom gescheiterten Grossprojekt zum Interoperabilitäts-Standard?
Gaia-X hat eine schwierige Geschichte. Gestartet 2019 als deutsch-französisches Leuchtturmprojekt für eine europäische Cloud-Infrastruktur, wurde es schnell zum Symbol für überambitionierte Industriepolitik.
Was ist wichtig bei EU Data Act und NIS2: Der regulatorische Druck steigt?
Neben der strategischen Debatte verschärft sich der regulatorische Rahmen. Der EU Data Act , seit September 2025 vollständig anwendbar, verpflichtet Cloud-Anbieter zu echten Wechselmöglichkeiten.