Jeder baut jetzt KI-Agenten. Wer kontrolliert sie?
Bernhard Liebl
6 Min. Lesezeit Microsoft hat mit Agent 365 eine zentrale Steuerungsebene für KI-Agenten allgemein ...
Zum Beitrag
Mehr aus dem MBF Media Netzwerk
3 Min. Lesezeit
Wenn die nächste geopolitische Krise kommt – und sie wird kommen – entscheidet die Frage, wo Unternehmensdaten liegen und wem die Infrastruktur gehört, über mehr als Compliance. Sie entscheidet über Handlungsfähigkeit.
Das Wichtigste in Kürze
- Europäische Sovereign-Cloud-Initiativen wie Gaia-X und die EU Cloud Rulebook definieren neue Standards für Datensouveränität.
- Über 60 Prozent der europäischen Unternehmensdaten liegen bei US-Hyperscalern – ein strategisches Risiko nach Schrems II.
- Deutsche Anbieter wie T-Systems, SAP und IONOS positionieren sich als souveräne Alternativen mit lokalem Rechtsrahmen.
- Sovereign Cloud bedeutet nicht Abschottung, sondern kontrollierte Interoperabilität mit globalen Plattformen.
- Für C-Level-Entscheider ist die Frage nicht ob, sondern wie schnell sie eine Multi-Cloud-Strategie mit souveräner Komponente aufbauen.
Europas Antwort auf diese Erkenntnis ist die Sovereign Cloud: eine Infrastruktur, die europäischem Recht unterliegt, von europäischen Anbietern betrieben wird und trotzdem mit globalen Plattformen interoperabel bleibt. Der Weg dorthin ist steiniger als die politischen Sonntagsreden vermuten lassen – aber die Alternative ist strategische Abhängigkeit.
Das Problem: Digitale Abhängigkeit als Geschäftsrisiko
Die Zahlen sind ernüchternd. Über 60 Prozent aller europäischen Unternehmensdaten liegen bei AWS, Microsoft Azure oder Google Cloud. Drei US-Unternehmen kontrollieren die digitale Infrastruktur eines ganzen Kontinents. Was passiert, wenn sich die politischen Rahmenbedingungen ändern?
Das Schrems-II-Urteil des EuGH hat gezeigt, dass transatlantische Datenabkommen auf tönernen Füßen stehen. Das EU-US Data Privacy Framework könnte jederzeit wieder gekippt werden. Und der US CLOUD Act gibt amerikanischen Behörden Zugriff auf Daten, die auf US-Servern liegen – unabhängig vom physischen Standort.
Für europäische Unternehmen bedeutet das: Jede strategische Entscheidung, die auf der Annahme stabiler US-Cloud-Verfügbarkeit basiert, trägt ein geopolitisches Risiko, das in keiner Bilanz auftaucht.
Gaia-X, EU Cloud Rulebook und die Realität
Gaia-X wurde 2019 als europäisches Leuchtturmprojekt für Cloud-Souveränität gestartet. Sechs Jahre später ist die Bilanz gemischt. Die Architektur steht, die Standards sind definiert, aber die praktische Umsetzung hinkt den Ambitionen hinterher.
Relevanter für den Unternehmensalltag ist das EU Cloud Rulebook, das konkrete Anforderungen an Datenlokalisierung, Portabilität und Interoperabilität definiert. In Kombination mit dem Data Act, der ab September 2025 gilt, entsteht ein regulatorisches Framework, das Cloud-Entscheidungen unmittelbar beeinflusst.
Die Botschaft für CIOs: Sovereign Cloud ist kein abstraktes Konzept mehr, sondern wird über regulatorische Anforderungen zur operativen Realität. Wer heute eine Cloud-Strategie ohne souveräne Komponente plant, plant an der Regulierung vorbei.
Deutsche Anbieter im Aufwind
Die Lücke zwischen politischem Anspruch und technischer Realität schließt sich – wenn auch langsam. T-Systems bietet mit der Open Telekom Cloud eine Sovereign-Cloud-Lösung, die vollständig unter deutschem Recht operiert. SAP hat mit der Sovereign Cloud Edition eine Variante für regulierte Branchen lanciert. Und IONOS investiert massiv in GPU-Cluster für KI-Workloads auf europäischer Infrastruktur.
Der Vorteil dieser Anbieter ist nicht Technologie – die Hyperscaler sind technisch überlegen. Der Vorteil ist der Rechtsrahmen. Deutsche Anbieter unterliegen nicht dem US CLOUD Act, können vertragliche Datenlokalisierung garantieren und bieten Support in deutscher Sprache durch Teams mit Sicherheitsüberprüfung.
Für Branchen wie Finanzdienstleistungen, Gesundheitswesen, öffentliche Verwaltung und kritische Infrastruktur wird diese Kombination zum entscheidenden Differenzierungsmerkmal.
Multi-Cloud mit souveräner Komponente: Der pragmatische Weg
Die ehrliche Antwort auf die Souveränitätsfrage ist nicht Entweder-oder, sondern Sowohl-als-auch. Kein europäisches Unternehmen wird kurzfristig auf AWS oder Azure verzichten – die Abhängigkeiten sind zu tief, die Migrationskosten zu hoch, die Funktionspalette der Hyperscaler zu breit.
Der pragmatische Ansatz ist eine tiered Multi-Cloud-Strategie: Sensible Daten und regulierte Workloads laufen auf souveräner Infrastruktur. Standardisierte Anwendungen und globale Services bleiben bei den Hyperscalern. Die Kunst liegt in der Architektur der Schnittstellen.
Drei Schritte für den Einstieg: Erstens eine Datenklassifikation durchführen – welche Daten sind souveränitätsrelevant? Zweitens Workloads identifizieren, die ohne große Refactoring-Kosten migriert werden können. Drittens einen Proof of Concept mit einem europäischen Anbieter starten, bevor die Regulierung den Zeitdruck erhöht.
Häufige Fragen
Was genau bedeutet Sovereign Cloud?
Eine Cloud-Infrastruktur, die vollständig unter der Jurisdiktion eines Landes oder Rechtsraums operiert – einschließlich Datenhaltung, Betrieb, Personal und Zugangskontrollen. Für europäische Unternehmen bedeutet das: kein Zugriff durch außereuropäische Behörden ohne europäische Rechtsgrundlage.
Ist Sovereign Cloud teurer als AWS oder Azure?
In der Regel ja, typischerweise 15 bis 30 Prozent mehr für vergleichbare Compute-Ressourcen. Allerdings relativiert sich der Preisunterschied, wenn man Compliance-Kosten, Risikoprämien und potenzielle Bußgelder einrechnet. Für regulierte Branchen ist die Frage nicht der Preis, sondern die Verfügbarkeit einer konformen Lösung.
Können Hyperscaler nicht selbst souveräne Regionen anbieten?
Ja, und sie tun es – Microsoft mit Azure Confidential Cloud, Google mit Sovereign Controls, AWS mit European Sovereign Cloud. Allerdings bleibt die Frage des US CLOUD Act: Solange der Betreiber ein US-Unternehmen ist, können US-Behörden potenziell Zugriff verlangen. Europäische Unternehmen müssen diese Restrisiken bewerten.
Was passiert mit bestehenden Cloud-Verträgen?
Bestehende Verträge bleiben gültig. Die Empfehlung ist, bei der nächsten Vertragsverlängerung Exit-Klauseln und Datenportabilität zu verhandeln. Der Data Act gibt Unternehmen ab September 2025 zusätzliche Rechte bei Cloud-Wechseln, einschließlich reduzierter Wechselgebühren.
Wie starte ich eine Sovereign-Cloud-Strategie?
Mit einer Datenklassifikation: Welche Daten unterliegen regulatorischen Anforderungen? Diese Daten priorisieren. Dann einen Proof of Concept mit einem europäischen Anbieter für einen konkreten Use Case durchführen. Parallel die Multi-Cloud-Architektur so gestalten, dass Workload-Portabilität kein nachträglicher Umbau wird.
Quelle des Titelbildes: Unsplash / Christian Lue
Weiterlesen
- Plattformökonomie für den Mittelstand: Vom Produkt zum digitalen Ökosystem
- Fehlende Datensouveränität als Gefahr für den Wirtschaftsstandort Europa – kann Open-Source-KI den Weg in eine unabhängige Zukunft ebnen?
- KMPG Cloud-Monitor: Ein Großteil der IT-Budgets fließt meist in die Cloud
Mehr zum Thema: Weitere Artikel auf cloudmagazin
Quelle Titelbild: Redaktion