8 Min. Lesezeit

82 Prozent der deutschen Unternehmen wollen keine technische Abhängigkeit von US-Cloud-Anbietern mehr. Gleichzeitig sind 78 Prozent in der Praxis noch abhängig. Die Lücke zwischen Wunsch und Realität ist die zentrale Herausforderung für Vorstände in 2026. Denn digitale Souveränität ist kein IT-Thema mehr. Es ist eine Vorstandsentscheidung mit geopolitischen, regulatorischen und wirtschaftlichen Dimensionen. GAIA-X liefert das Framework. Sovereign Cloud Stack den technischen Unterbau. Und die Schwarz Gruppe investiert 11 Milliarden Euro in STACKIT. Aber der US CLOUD Act steht weiterhin im Raum. Für Boards die jetzt nicht handeln, wird die Abhängigkeit zum strategischen Risiko.

Warum digitale Souveränität jetzt strategisches Thema ist

78 Prozent der europäischen Führungskräfte sagen laut einer aktuellen Erhebung, dass ihre Unternehmensleitung stärker besorgt über digitale Souveränität ist als vor einem Jahr. In Deutschland sind es 81 Prozent. Das ist keine abstrakte Debatte mehr. Es sind konkrete Vorstandsentscheidungen über Cloud-Strategie, Datenhoheit und regulatorische Compliance.

Drei Treiber haben das Thema auf die strategische Agenda gebracht. Erstens: Der US CLOUD Act erlaubt es US-Behörden, Daten von US-Unternehmen anzufordern, egal wo auf der Welt diese Daten gespeichert sind. Für europäische Unternehmen die AWS, Azure oder Google Cloud nutzen, entsteht ein direkter Rechtskonflikt mit der DSGVO. Das EU-US Data Privacy Framework bietet eine temporäre Brücke, aber der fundamentale Konflikt bleibt ungelöst.

Zweitens: Die geopolitische Lage hat sich verändert. Die US-Handelspolitik unter wechselnden Administrationen zeigt, dass politische Abhängigkeiten wirtschaftliche Konsequenzen haben. 50 Prozent der deutschen Unternehmen sagen laut Bitkom, dass die US-Regierungspolitik sie zwingt, ihre Cloud-Strategie zu überdenken.

Drittens: Die Regulierung macht Souveränität zur Pflicht. Der EU Data Act (in Kraft seit September 2025), DORA für den Finanzsektor und NIS2 für kritische Infrastruktur schaffen einen regulatorischen Rahmen, in dem Datenhoheit nicht mehr optional ist. Bundes-CIO Dr. Markus Richter bringt es auf den Punkt: „Digitale Souveränität ist absolut essenziell.“

GAIA-X: Vom Konzept zur Implementierung

GAIA-X hat eine Phase hinter sich, in der der größte Output Papier war. Das hat sich geändert. Im November 2025 veröffentlichte die Initiative das Trust Framework 3.0 „Danube“, das föderierte Vertrauensstrukturen über Domänen und Geographien hinweg ermöglicht. Über 15 europäische Data Spaces sind operativ und bauen auf GAIA-X-Standards auf. Cloud Temple wurde als erstes Unternehmen mit dem GAIA-X Label Level 3 zertifiziert, der höchsten Stufe.

CEO Ulrich Ahle formuliert es sinngemäß: GAIA-X ist vom Konzept zur Implementierung übergegangen. Vertrauen, Interoperabilität und Innovation sind keine theoretischen Säulen mehr, sondern die operative Grundlage real funktionierender digitaler Ökosysteme.

Für Vorstände ist GAIA-X kein Produkt das man kauft, sondern ein Framework das Interoperabilität sicherstellt. Wer seinen Cloud-Provider wechseln will, braucht standardisierte Schnittstellen. GAIA-X liefert genau das: gemeinsame Standards die den Lock-in zu einem einzelnen Anbieter verhindern. Der Sovereign Cloud Stack (SCS), unterstützt von 24 Unternehmen und als Compliance-Standard der „Germany Stack“ Initiative definiert, bietet den technischen Unterbau dafür.

Die europäische Cloud-Landschaft: Wer investiert

Die Marktanteile sind ernüchternd: Europäische Provider halten laut Synergy Research nur 15 Prozent des europäischen Cloud-Marktes. AWS, Microsoft und Google kontrollieren 70 Prozent. Aber die Investitionsdynamik verschiebt sich.

STACKIT (Schwarz Gruppe): Der Lidl-Mutterkonzern investiert 11 Milliarden Euro in seine Cloud-Sparte. In Lübbenau entsteht eines der größten europäischen Rechenzentren mit bis zu 100.000 GPUs. Schwarz Digits (die Digitalsparte, zu der STACKIT gehört) erwirtschaftet rund 1,9 Milliarden Euro Jahresumsatz. Die Partnerschaft mit Google ist bemerkenswert: Google Workspace wird in von Schwarz betriebenen Rechenzentren gehostet, mit deutscher Datenresidenz. Das Modell: US-Software ja, aber auf europäischer Infrastruktur unter europäischer Kontrolle.

Deutsche Telekom / T Cloud: Über 4.000 Unternehmenskunden nutzen T Cloud Public, darunter DAX-Konzerne. Im November 2025 wurde die Industrial AI Cloud in München angekündigt: über eine Milliarde Euro Investment mit bis zu 10.000 GPUs, betrieben ausschließlich von europäischem Personal. Die Telekom plant, die Feature-Lücke zu US-Anbietern bis Ende 2026 zu schließen.

AWS European Sovereign Cloud: Auch die US-Anbieter reagieren. Am 15. Januar 2026 startete die AWS European Sovereign Cloud in Brandenburg: 7,8 Milliarden Euro Investment, eine eigene deutsche GmbH (AWS European Sovereign Cloud GmbH) mit EU-Geschäftsführern und physisch und logisch von der globalen AWS-Infrastruktur getrennt. Das ist ein Zugeständnis an den europäischen Souveränitätsdruck. Ob es ausreicht, ist eine offene Frage: Die Muttergesellschaft bleibt US-amerikanisch und der CLOUD Act gilt weiterhin.

Der EU Data Act: Warum Wechseln einfacher wird

Der EU Data Act ist seit September 2025 vollständig anwendbar und verändert die Machtverhältnisse zwischen Cloud-Anbietern und Kunden fundamental. Kapitel VI regelt das Cloud-Switching: Kunden können Cloud-Verträge mit zwei Monaten Kündigungsfrist jederzeit beenden. Bis Januar 2027 dürfen nur noch direkte Switching-Kosten berechnet werden. Ab Januar 2027: keine Wechselgebühren mehr. IaaS-Anbieter müssen „funktionale Äquivalenz“ beim Übergang sicherstellen. Andere Anbieter müssen kostenlose und offene Schnittstellen für den Wechsel bereitstellen.

Für Vorstände die über Cloud-Souveränität diskutieren, verändert der Data Act die Kalkulation: Der Lock-in, bisher das stärkste Argument gegen einen Wechsel („wir können nicht weg, die Migrationskosten wären zu hoch“), wird ab 2027 deutlich schwächer. Wer heute eine Multi-Cloud-Strategie oder eine Migration zu einem europäischen Anbieter plant, weiß, dass die Exit-Kosten regulatorisch begrenzt werden.

Wer bereits wechselt

Die Bewegung ist real, auch wenn sie langsam ist. Airbus hat im Dezember 2025 eine Ausschreibung für die Migration missionskritischer Systeme auf eine souveräne europäische Cloud veröffentlicht: über 50 Millionen Euro, ein Zehn-Jahres-Vertrag, Start Anfang Januar 2026. Schleswig-Holstein hat 40.000 E-Mail-Konten von Microsoft Exchange/Outlook auf Open-Xchange/Thunderbird migriert. Die Bundeswehr hat im April 2025 einen Sieben-Jahres-Vertrag mit ZenDiS für openDesk (als Ersatz für Microsoft 365) geschlossen. Mehrere Bundesländer haben die Migration weg von Microsoft 365 in Regierungsbehörden angeordnet.

Im privaten Sektor ist die Bewegung differenzierter. Die Bitkom-Daten zeigen: 100 Prozent würden einen deutschen Anbieter bevorzugen wenn die Funktionalität stimmt. 61 Prozent akzeptieren einen EU-Anbieter. Nur 6 Prozent bevorzugen einen US-Provider. Aber Präferenz ist nicht Realität: Die Feature-Lücke zwischen AWS/Azure/Google und europäischen Alternativen bleibt erheblich, besonders bei KI-Services, Managed Databases und globaler Skalierung.

BSI C5: Das deutsche Gütesiegel für Cloud-Sicherheit

Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI entwickelt sich vom Nischenstandard zum branchenübergreifenden Maßstab. Über 60 Anbieter sind bereits C5-attestiert, darunter AWS, Microsoft, Cisco, Deepl und Doctolib. Seit Juli 2025 ist die C5-Typ-2-Attestierung im Gesundheitswesen verpflichtend. Eine neue Version C5:2025 ist im Community Draft und wird ab 2027 für Assessments verpflichtend.

Für den Standort Deutschland ist C5 ein Exportschlager: Ein Cloud-Sicherheitsstandard der strenger ist als SOC 2 und branchenübergreifend anwendbar wird. Europäische Anbieter die C5 vorweisen können, haben einen Vertrauensvorteil gegenüber nicht-attestierten Wettbewerbern, auch gegenüber US-Anbietern die C5 nicht als Priorität behandeln.

Die ehrliche Gegenposition: Souveränität hat einen Preis

Digitale Souveränität klingt gut. Aber sie kostet. Europäische Cloud-Anbieter sind teurer als AWS und Azure. Die Feature-Lücke ist real: Wer KI-Workloads auf GPU-Clustern braucht, findet bei STACKIT oder T Cloud (noch) nicht dasselbe Angebot wie bei AWS SageMaker oder Azure OpenAI. Und die Migration einer gewachsenen Multi-Service-Landschaft von AWS auf einen europäischen Anbieter ist ein Projekt das Monate bis Jahre dauert und Millionen kostet, selbst wenn der Data Act die Switching-Gebühren abschafft.

Dazu kommt ein konzeptionelles Problem: Data Residency (Daten in Deutschland speichern) ist nicht Data Sovereignty (Kontrolle über die Daten haben). Wenn AWS eine europäische GmbH gründet und Daten in Brandenburg speichert, aber die Muttergesellschaft in Seattle sitzt, gilt der CLOUD Act weiterhin. Die AWS European Sovereign Cloud ist ein Fortschritt, aber keine vollständige Lösung des Jurisdiktionskonflikts.

Und die 15 Prozent Marktanteil europäischer Anbieter steigen seit 2022 nicht mehr. Der absolute Markt wächst zwar (36 Milliarden Euro in H1 2025, +24 Prozent), aber europäische Anbieter wachsen nur proportional mit, nicht überproportional. Das heißt: Trotz aller Souveränitätsdebatten gewinnen die US-Hyperscaler weiter Marktanteile. Die Frage ist ob die Sovereign-Cloud-Investitionen (STACKIT 11 Mrd., AWS Sovereign 7,8 Mrd., DT 1+ Mrd.) das Kräfteverhältnis nachhaltig verschieben oder nur den Status quo zementieren.

Was Vorstände jetzt entscheiden müssen

1. Cloud-Strategie an Souveränitäts-Levels koppeln. Nicht alle Daten brauchen den gleichen Souveränitätsgrad. Öffentliche Websites und nicht-kritische SaaS können auf US-Clouds bleiben. Personaldaten, Finanzdaten und IP-kritische Workloads gehören auf europäische oder souveräne Infrastruktur. Die Klassifizierung der Daten nach Schutzbedarf ist die Grundlage jeder Entscheidung.

2. Multi-Cloud als strategisches Prinzip verankern. Abhängigkeit von einem einzigen Anbieter ist das größte Risiko. Multi-Cloud (bewusst zwei bis drei Provider nutzen) reduziert den Lock-in und schafft Verhandlungsmacht. GAIA-X und der Sovereign Cloud Stack liefern die Interoperabilitätsstandards die das möglich machen.

3. EU Data Act als Exit-Option nutzen. Ab Januar 2027 gibt es keine Wechselgebühren mehr. Vorstände die bis dahin eine Exit-Strategie vorbereitet haben, können sie ohne finanzielle Penalty umsetzen. Wer bis dahin keine hat, sitzt im gleichen Lock-in wie vorher, nur ohne die Ausrede „es ist zu teuer“.

4. C5-Attestierung von Cloud-Anbietern verlangen. Jeder Cloud-Anbieter der für das Unternehmen arbeitet, sollte eine C5-Attestierung vorweisen oder einen Zeitplan dafür haben. Ab 2027 wird C5 branchenübergreifend zum Standard. Wer jetzt Verträge ohne C5-Klausel unterschreibt, muss nachverhandeln.

Fazit

Digitale Souveränität ist vom Wunschdenken zum strategisches Thema geworden. 82 Prozent der deutschen Unternehmen wollen die Abhängigkeit lösen, 78 Prozent stecken noch drin. GAIA-X liefert das Framework, Sovereign Cloud Stack die Technik und Milliarden-Investitionen von STACKIT, Telekom und AWS die Infrastruktur. Der EU Data Act und der CLOUD Act verschärfen die Dringlichkeit. Gartner prognostiziert, dass Europa bei den Sovereign-Cloud-Ausgaben 2027 Nordamerika überholen wird. Für Vorstände ist die Botschaft klar: Cloud-Strategie ist keine IT-Entscheidung mehr. Es ist eine Frage der unternehmerischen Unabhängigkeit. Und die beantwortet man nicht nächstes Jahr sondern jetzt.

Häufige Fragen

Weiterführende Lektüre

CIO Reboot: 245 Milliarden und die Frage wohin das Geld fließt (Digital Chiefs) Mehr dazu im Beitrag zu Digitale Souveränität.

Board Governance: Digitale Kompetenz im Aufsichtsrat (Digital Chiefs)

Zero Trust als Standortfaktor (SecurityToday)

Reboot Germany: 735 Milliarden Investitionen (MyBusinessFuture)

Quelle Titelbild: Pexels / Christina Morillo (px:1181467)