Digitale Souveränität: Warum Cloud-Exit-Strategien ein Muss sind

Interview mit Dr. Julia Pergande, Managing Principal bei der microfin Unternehmensberatung

Frau Dr. Pergande, viele Unternehmen setzen heute auf Sovereign-Cloud-Angebote der großen US-Hyperscaler. Sie versprechen Autonomie und digitale Souveränität – aber wie realistisch ist das?

Das ist ein sehr wichtiges Thema. Die US-Hyperscaler werben zwar mit Autonomie, aber rechtlich können sie diese nicht garantieren. Das liegt vor allem an US-Gesetzen wie dem Patriot Act, dem Cloud Act und der Executive Order 12333. Diese erlauben US-Behörden grundsätzlich den Zugriff auf Daten, auch wenn diese in Europa gespeichert sind – sofern die Muttergesellschaft in den USA sitzt. Das bedeutet: Auch europäische Daten sind nicht wirklich sicher vor US-Behörden.

Das klingt nach einer echten rechtlichen Abhängigkeit. Was bedeutet das konkret für Unternehmen?

Unternehmen müssen sich bewusst machen, dass sie mit US-Anbietern immer auch rechtlich an die USA gebunden sind. Die US-Behörden können Daten von Personen außerhalb der USA anfordern – und umgekehrt: Europäische Behörden können US-Anbieter dazu verpflichten, Daten europäischer Bürger herauszugeben. Das führt zu einem rechtlichen Dilemma, das viele Unternehmen unterschätzen.

Neben der rechtlichen Abhängigkeit gibt es ja auch strukturelle Risiken. Wie sehen die aus?

Ja, das ist ein weiterer Punkt. Die US-Hyperscaler haben faktisch Monopole auf dem Markt. Sie bestimmen die Preise, die Verfügbarkeit und die technischen Standards. Das kann zu erhöhten Lizenzkosten und Risiken führen – etwa wenn ein Anbieter eine Software nur noch in der Cloud anbietet und das Preismodell entsprechend ändert. Außerdem gibt es das Risiko sogenannter “Kill Switches”, also Hintertüren in proprietären Softwarelösungen, die nicht öffentlich zugänglich sind. Deshalb setzen viele Sovereign-Cloud-Anbieter bewusst auf Open Source, um diese Risiken auszuschließen.

Gibt es denn auch hybride Modelle, bei denen europäische Anbieter US-Technologien nutzen?

Ja, das gibt es – manche nennen das “Sovereignity light”. Hier werden US-Produkte in abgesicherten Umgebungen eingesetzt, etwa für SAP-Lösungen. Aber auch hier bleibt die Abhängigkeit bestehen: Wenn die US-Anbieter Sicherheits-Updates nicht rechtzeitig liefern, kann die Lösung für einige Tage unbrauchbar werden. Das bedeutet: Unternehmen können zwar auf ihre Daten zugreifen, aber ohne Updates ist die Betriebssicherheit gefährdet – und das kann schnell zu Cyberangriffen führen.

Wie sieht es mit Portabilität und Exit-Strategien aus? Viele Unternehmen planen das inzwischen schon.

Der Mindset ist vor allem in der Finanzbranche schon weit verbreitet – durch DORA und den Data Act werden explizit Exit-Strategien und getestete Konzepte gefordert. Unternehmen müssen also schon in der Designphase überlegen, wie sie im Ernstfall aus einer Cloud-Lösung aussteigen können. Dazu gehören Tabletop-Tests, Notfallressourcen und klare Rollen. Auch der Data Act verpflichtet Cloud-Anbieter, den Wechsel zu anderen Anbietern oder On-premise-Lösungen zu ermöglichen.

Alternative Public-Cloud-Anbieter in Europa

Sprechen wir über mögliche Lösungen für das Dilemma digitale Souveränität: Sie haben eine aktuelle Marktübersicht zur europäischen Public-Cloud-Landschaft erstellt.  Wie stellt sie sich heute dar? Wer sind die relevanten Anbieter. Und worin unterscheiden sie sich von Hyperscalern in Angebotstiefe, Betriebsmodellen und Compliance?

Die europäische Public-Cloud-Landschaft ist heute deutlich vielfältiger und reifer als noch vor wenigen Jahren. Es hat sich ein Markt entwickelt, der zwar in der Breite nicht mit den US-Hyperscalern konkurrieren kann, aber in spezifischen Bereichen – insbesondere rund um Compliance, Daten- und digitale Souveränität sowie sektorale Anforderungen – überzeugende Alternativen bietet.

In der von uns im September 2025 veröffentlichten Marktübersicht, werden Anbieter wie OVHcloud, Open Telekom Cloud, Stackit, Scaleway, Cleura, Exoscale und andere analysiert, die sich gezielt auf europäische Anforderungen ausrichten. Sie unterscheiden sich von den Hyperscalern vor allem in folgenden Punkten:

• Betriebsmodell: Viele setzen auf Rechenzentren ausschließlich in der EU, überwiegend mit eigener Infrastruktur, eigenen Mitarbeitenden mit EU-Staatsbürgerschaft sowie soliden Basisdiensten und ohne Abhängigkeit von US-Mutterkonzernen.
• Rechtsraum: Die Anbieter unterliegen europäischem Recht und bieten – anders als viele "Sovereign Cloud"-Konzepte der US-Anbieter – keine Hintertüren über den Cloud Act.
• Transparenz und Compliance: Europäische Anbieter kommunizieren ihre Datenschutz- und Sicherheitsarchitekturen oft klarer, bieten Auditunterstützung, Exit-Klauseln und zum Teil größeren Spielraum bei der Vertragsgestaltung.
• Service-Tiefe: In der Breite an PaaS-, ML- oder Edge-Services sind sie den Hyperscalern noch unterlegen, bieten weniger „out-of-the-box Integration“ – in bestimmten Kernfunktionen jedoch absolut konkurrenzfähig.
   

Ziel unserer Marktübersicht war es, diesen Markt systematisch zu erfassen und strukturiert vergleichbar zu machen – insbesondere für regulierte Unternehmen, die vor konkreten Sourcing-Entscheidungen stehen.

Digitale Souveränität – was diese für Unternehmen bedeutet

Was bedeutet “digitale Souveränität” für Unternehmen ganz konkret – und wie machen Sie sie messbar? Welche Dimensionen und Metriken nutzen Sie?

“Digitale Souveränität” beschreibt “die Fähigkeit eines Unternehmens, digitale Infrastrukturen und Dienste selbstständig, selbstbestimmt und sicher zu gestalten, zu betreiben und weiterzuentwickeln – ohne Abhängigkeiten von einzelnen Anbietern oder Drittstaaten" (in Anlehnung an Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (Zendis),Whitepaper Souveränitäts-Washing bei Cloud-Diensten erkennen). Wir übersetzen ”Digitale Souveränität" in bewertbare Kriterien, die Unternehmen direkt in ihre Auswahlprozesse übernehmen können. In unserer Methodik betrachten wir unter anderem folgende Dimensionen:

• Souveränität & Compliance: Welche Datenkategorien mit welcher Schutzbedürftigkeit und welchen Anforderungen an Drittstaatenexposition gemäß DSGVO, eigene Schlüssel und Auditrechte umfasst der Workload?
• Resilienz & Portabilität: Muss ich providerunabhängig bleiben (DORA-Konzentrationsrisiko), Exit testen können oder RTO/RPO konservativ einhalten?
• Passfähigkeit: Welche Anforderungen an Latenz-/Edge, Netzfunktionen, Kompatibilität und Berechtigungsmanagement hat mein Workload?
• Innovation: Welche PaaS/AI-Tiefe, Ökosystem-Integrationen und Time-to-Value brauche ich?
• Wirtschaftlichkeit: Welchen TCO inkl. Egress bzw. Exit-Kosten, Betriebsaufwand und Lizenzen möchte ich mir leisten?
   

Diese Kriterien haben wir in der Marktübersicht in einer vergleichbaren Struktur pro Anbieter dargestellt – inklusive qualitativer Reifegradeinschätzung und Praxisbezug für die Anwendung im Cloud-Sourcing.

Wie beeinflussen DSGVO, NIS-2, DORA und branchenspezifische Vorgaben wie KRITIS die Anbieterwahl? Reichen “Sovereign Cloud”-Angebote der Hyperscaler aus, um die Risiken des Cloud Act und europäische Zertifizierungen abzudecken?

DSGVO, NIS-2, DORA und Orientierungshilfen im Finanzdienstleistungsumfeld geben den Startschuss für eine höhere digitale Souveränität. Die genannten Vorgaben führen im Grundsatz zur Erkenntnis, dass Unternehmen mehr Souveränität benötigen – damit rücken Souveränitätsmaßnahmen in den Fokus aufsichtsrechtlicher Prüfungen. Das hat unmittelbare Auswirkungen auf die Anbieterwahl:

Für Unternehmen mit kritischen Infrastrukturen oder in regulierten Branchen ist es heute nicht mehr ausreichend, sich auf rein technische Sicherheitsfunktionen zu verlassen. 
Viele “Sovereign Cloud”-Angebote der Hyperscaler sind aufgrund proprietärer Services stark von den US-Plattformen abhängig – sie versprechen Autonomie, können diese aber rechtlich nicht garantieren, da der Zugriff durch US-Behörden wie der Cloud Act weiterhin möglich ist.
Zertifizierungen wie C5, ISO 27001 oder EUCS (geplant) sind wichtige Nachweise, aber kein Ersatz für eine rechtliche und strategische Bewertung des Anbietermodells.

Digitale Souveränität: Passende Angebote aus Europa

Workloads und Use Cases: Für welche Szenarien sind europäische Public-Cloud-Angebote heute erste Wahl, und wo haben Hyperscaler weiterhin Vorteile?

Europäische Anbieter sind heute eine starke Wahl für klassische IaaS- und Standard-PaaS-Szenarien, bei denen Compliance, Datenschutz und Governance im Vordergrund stehen. Dazu zählen:

• Anwendungen im Finanzsektor mit hohen Prüfanforderungen
• Datenschutzsensible Prozesse im öffentlichen Sektor
• Interne Verwaltungs- und ERP-Systeme
• Digitalisierungsinitiativen mit Fokus auf EU-Förderfähigkeit, wie EuroStack

Hyperscaler bieten nach wie vor folgende Vorteile:

• Global skalierende ApplikationenKI-/ML-Services und innovative Managed Services
• Edge-Computing und Low-Latency-Anwendungen
• Komplexe Multi-Region-Setups
   

Für Workloads ohne spezifische Anforderungen an die digitale Souveränität sind Lösungen von Hyperscalern nach wie vor gut geeignet, weil sie in der Regel günstiger sind.
In der Praxis ist also oft eine hybride oder Multi-Cloud-Strategie sinnvoll, bei der Kritisches souverän und Innovatives performant platziert wird.

Welche Architekturprinzipien empfehlen Sie, um Abhängigkeiten zu minimieren?

Vendor-Lock-in ist keine neue Gefahr – aber in der Cloud ist er oft schwerer zu erkennen. Unsere Empfehlungen basieren auf drei Prinzipien:

• Technologische Portabilität: Nutzt offene Standards wie Kubernetes, Terraform, OpenAPI etc.
• Prozessuale Klarheit: Definiert Exit-Szenarien und Governance-Strukturen frühzeitig.
• Vertragliche Absicherung: Sichert Exit-Rechte und Datenexporte ausreichend ab.
   

Multi-Cloud kann funktionieren – aber nur mit einem hohen Maß an Standardisierung, Automatisierung und Governance. Wir empfehlen daher, Exit-Strategien schon in der Designphase zu definieren – idealerweise mit Proof-of-Concepts in Testumgebungen.

Wie schlagen sich europäische Anbieter in Bezug auf Wirtschaftlichkeit und Steuerung im TCO-Vergleich?

Viele Unternehmen unterschätzen die wahren Kosten der Cloud – insbesondere bei großen Hyperscalern. In unserer Beratungspraxis sehen wir regelmäßig übersehene Kostenpositionen:

• Egress Charges/ Netzwerkkosten (für Datenexporte)
• Support-Tiers
• Kosten für Security, Governance und Compliance-Prüfungen
• Schulungs- und Migrationskosten
   

Dabei ist wichtig zu betonen: Die Portfolios souveräner Anbieter und Hyperscaler sind grundsätzlich nicht direkt vergleichbar. Sovereign-Cloud-Angebote richten sich primär an Workloads mit höherem Compliance-Bedarf und geringerem Bedarf an Skaleneffekten, während Hyperscaler auf maximale Funktionstiefe, Innovationsgeschwindigkeit und globale Skalierung ausgelegt sind. In unserer Beratungspraxis empfehlen wir daher, Workloads individuell zu analysieren: Welche regulatorischen Anforderungen bestehen? Wie hoch ist der Bedarf an spezifischen Funktionen? Welche Kontroll- und Exit-Anforderungen sind relevant?

in Kostenvergleich zwischen Sovereign-Cloud und Hyperscaler ist daher nur eingeschränkt sinnvoll – ein TCO-Vergleich sollte sich immer auf konkrete Plattformen und definierte Nutzungsszenarien beziehen. Eine weitere Herausforderung liegt in der exakten Schätzung der benötigten Mengeneinheiten, etwa für Speicher, Datenverkehr oder Transaktionen – hier entstehen häufig Unsicherheiten in der Kostenprognose.

Zudem ist die Unterstützung souveräner Anbieter im Bereich FinOps noch nicht so weit entwickelt wie bei den Hyperscalern. Funktionen wie detaillierte Kosten- und Nutzungsreports, automatisierte Analyse-Tools oder die Nutzung von Spot-VMs zur Kostenoptimierung stehen derzeit vielfach noch nicht zur Verfügung.

Vielen Dank für die Einblicke, Frau Dr. Pergande. Das Fazit lautet demnach: Wer digitale Datensouveränität will, muss auf Open Source setzen und frühzeitig Exit-Strategien planen.

Genau. Die vollständige Autonomie ist mit US-Hyperscalern nicht möglich. Unternehmen sollten sich der Risiken bewusst sein und strategisch vorgehen – vor allem, wenn es um sensible Daten geht. Wer regulatorische Anforderungen ernst nimmt, sollte nicht nur auf Labels vertrauen, sondern auf echte Kontrollmöglichkeiten, Exit-Management, nachvollziehbare Betriebsmodelle und vollständige Datenkontrolle.