Cloud-Souveränität wird Vorstandssache: Was das EU-Tech-Sovereignty-Paket für DACH-Boards heißt
Tobias Massow
6 Min. Lesezeit Die EU hat am 27. Mai ihr Tech-Sovereignty-Paket vorgelegt. Es schlägt vor, die Nutzung ...
Zum Beitrag
6 Min. Lesezeit
Die EU hat am 27. Mai ihr Tech-Sovereignty-Paket vorgelegt. Es schlägt vor, die Nutzung von US-Cloud-Anbietern für sensible Behördendaten in allen 27 Mitgliedstaaten einzuschränken. Drei US-Konzerne kontrollieren rund 70 Prozent des europäischen Cloud-Markts. Damit wird eine Frage, die jahrelang im IT-Einkauf hing, zur Vorstandsangelegenheit: Wessen Recht greift auf unsere Daten zu, und was passiert, wenn die Geopolitik kippt.
Das Wichtigste in Kürze
- Die EU zieht Sourcing-Grenzen. Das Tech-Sovereignty-Paket will US-Cloud bei sensiblen Behördendaten einschränken.
- Drei Anbieter, 70 Prozent Markt. Die Konzentration auf AWS, Azure und Google Cloud ist selbst zum Risiko geworden.
- Der CLOUD Act überschreibt Verträge. US-Recht kann Datenherausgabe erzwingen, unabhängig vom Serverstandort.
Verwandt:Warum Boards Verteidigbarkeit verlangen / Wie der Kapitalmarkt Governance bewertet
Warum das jetzt Vorstandssache ist
Was ist der CLOUD Act? Der CLOUD Act ist ein US-Gesetz, das amerikanische Unternehmen verpflichten kann, Daten herauszugeben, die sie verwahren, unabhängig davon, wo die Server stehen. Ein Anbieter in US-Eigentum kann sich dieser Pflicht nicht durch eine vertragliche Zusage zur Datenresidenz entziehen, weil das Gesetz die Zusage überlagert.
Lange galt die Cloud-Wahl als Beschaffungsentscheidung: Welcher Anbieter bietet welche Leistung zu welchem Preis. Diese Sicht ist überholt. Mit dem EU-Paket und der wachsenden Aufmerksamkeit für den CLOUD Act wird die Frage zur strategischen Risikoabwägung, die Vorstand, Rechtsabteilung und Compliance gemeinsam tragen. Es geht um operative Resilienz, geopolitische Abhängigkeit und die Frage, was passiert, wenn der Zugriff aus politischen Gründen eingeschränkt wird.
Die jüngsten Ereignisse machen das greifbar. Es gab Berichte über einen souveränen Microsoft-Dienst in Frankfurt, der zeitweise nicht mehr funktionierte, und über exponierte Cloud-Schlüssel einer US-Behörde. Solche Vorfälle sind keine abstrakte Sorge mehr, sondern konkrete Belege dafür, dass die Abhängigkeit von wenigen Anbietern eine eigene Risikoklasse ist. Ein Vorstand, der das nicht bewertet hat, hat eine Lücke in der Risikobilanz.
70 %
des europäischen Cloud-Markts entfallen auf drei US-Anbieter. Diese Konzentration ist selbst zum strategischen Risiko geworden.
Quelle: EU-Marktanalysen zum Tech-Sovereignty-Paket, Mai 2026
Was Souveränität praktisch bedeutet
Souveränität ist nicht gleich Datenresidenz. Ein Rechenzentrum in Frankfurt erfüllt die Residenz, aber wenn der Betreiber in US-Eigentum ist, bleibt die Exposition gegenüber dem CLOUD Act bestehen. Echte Souveränität verlangt, dass weder der Betrieb noch der rechtliche Zugriff an einer fremden Jurisdiktion hängen. Diese Unterscheidung gehört in jede Vorstandsdiskussion, weil sie über Schein und Substanz entscheidet.
Die EU hat selbst ein Signal gesetzt. Im April vergab die Kommission einen Vertrag über bis zu 180 Millionen Euro über sechs Jahre an vier europäische Anbieter, und zwar erstmals mit expliziten Souveränitäts-Kriterien in der Vergabe. Das ist mehr als Symbolik. Es etabliert Souveränität als Beschaffungsstandard und schafft einen Markt für Anbieter, die diese Kriterien erfüllen.
Scheinbare Souveränität
- Server in der EU, Betreiber in US-Eigentum
- Datenresidenz per Vertrag zugesagt
- CLOUD-Act-Exposition bleibt bestehen
Belastbare Souveränität
- Betrieb und Eigentum in EU-Jurisdiktion
- Kein fremdrechtlicher Zugriffshebel
- Souveränität als Vergabe-Kriterium verankert
Was DACH-Vorstände jetzt tun sollten
Der erste Schritt ist eine ehrliche Bestandsaufnahme der Abhängigkeit. Welche kritischen Prozesse laufen auf welchem Anbieter, welche Daten liegen wo, und welcher Jurisdiktion unterliegt der Betreiber tatsächlich. Diese Karte fehlt in vielen Häusern, weil die Cloud-Wahl historisch dezentral und nach Funktion getroffen wurde, nicht nach geopolitischem Risiko.
Der zweite Schritt ist keine Hauruck-Migration. Niemandem ist gedient, der über Nacht alles aus der US-Cloud zieht. Sinnvoll ist eine Abstufung: Welche Workloads sind unkritisch und bleiben, wo sie sind, welche sind sensibel genug, dass die Souveränitäts-Frage zwingend wird. Diese Priorisierung ist eine Vorstandsentscheidung, weil sie Risiko gegen Kosten und Aufwand abwägt, und das ist keine reine IT-Frage.
Ein Server in Frankfurt beweist nichts, wenn ein fremdes Gesetz auf seine Daten zugreifen kann. Souveränität entscheidet sich an der Jurisdiktion, nicht an der Postleitzahl.
Was bleibt, ist die Einordnung als Pflichtaufgabe, nicht als Kür. Die Richtung der Regulierung ist gesetzt, die Marktkonzentration ist real, und die Vorfälle der vergangenen Wochen zeigen, dass das Risiko nicht theoretisch ist. Ein Vorstand muss diese Bewertung nicht heute abschließen. Er muss aber zeigen können, dass er sie begonnen hat. Wer beim nächsten Audit oder bei der nächsten geopolitischen Verwerfung keine Antwort hat, hat die Frage zu lange im Einkauf liegen lassen.
Häufige Fragen
Reicht ein EU-Rechenzentrum für Datensouveränität?
Nein. Ein Standort in der EU erfüllt die Datenresidenz, aber wenn der Betreiber in US-Eigentum ist, bleibt die Exposition gegenüber dem CLOUD Act bestehen. Souveränität verlangt, dass auch der rechtliche Zugriff an die EU-Jurisdiktion gebunden ist.
Was schlägt das EU-Tech-Sovereignty-Paket vor?
Es schlägt vor, die Nutzung von US-Cloud-Anbietern für sensible Behördendaten in den Mitgliedstaaten einzuschränken. Hintergrund ist die hohe Marktkonzentration: Drei US-Anbieter halten rund 70 Prozent des europäischen Cloud-Markts.
Sollten Unternehmen jetzt aus der US-Cloud migrieren?
Nicht pauschal. Sinnvoll ist eine Abstufung nach Sensibilität: Unkritische Workloads bleiben, sensible werden auf die Souveränitäts-Frage geprüft. Eine Hauruck-Migration schafft mehr Risiko als sie löst.
Warum ist das eine Vorstandsfrage?
Weil es um operative Resilienz, geopolitische Abhängigkeit und regulatorische Kontinuität geht, nicht um Leistung und Preis. Diese Abwägung tragen Vorstand, Recht und Compliance gemeinsam, nicht der Einkauf allein.
Gibt es belastbare Alternativen?
Der Markt entsteht. Die EU-Kommission hat im April erstmals einen Cloud-Vertrag mit expliziten Souveränitäts-Kriterien an europäische Anbieter vergeben. Das etabliert einen Standard und schafft Nachfrage für souveräne Angebote.
Mehr aus dem MBF Media Netzwerk
cloudmagazin
mybusinessfuture
securitytoday
Bildquelle: KI-generiert (Mai 2026), C2PA-Zertifikat im Bild hinterlegt