Seit Monaten prüfen europäische Unternehmen ihre Abhängigkeit von US-Cloud-Anbietern so kritisch wie nie. Geopolitische Unsicherheit, wechselnde US-Regierungslinien und wachsende Compliance-Anforderungen haben eine Frage in die Chefetagen getragen, die lange als technisches Detail galt: Wer hat eigentlich Zugriff auf unsere Daten und nach welchem Recht? Viele IT-Verantwortliche beantworten sie mit einem gefährlichen Halbwissen: „Unsere Server stehen in Frankfurt, also sind wir auf der sicheren Seite.“ Genau dieser Satz ist einer der hartnäckigsten Irrtümer der aktuellen Souveränitätsdebatte.
Denn Datensouveränität entscheidet sich nicht am Standort der Festplatte, sondern an der Rechtsordnung, der ein Anbieter unterliegt. Ein US-Konzern bleibt US-Recht unterworfen, auch mit einem Rechenzentrum in Deutschland. Aus unserer Sicht bei der PTA IT-Beratung ist das der eigentliche Kern des Themas: nicht die Frage, ob Daten in der Cloud liegen, sondern wer im Ernstfall darauf zugreifen darf und ob ein Unternehmen diesen Zugriff kontrollieren kann.
Der Bedarf ist messbar. Laut dem Cloud Report 2025 des Digitalverbands Bitkom halten 78 Prozent der deutschen Unternehmen das Land für zu abhängig von US-Cloud-Anbietern, 82 Prozent wünschen sich europäische oder deutsche Hyperscaler. Praktisch alle würden einen Anbieter aus Deutschland bevorzugen. Tatsächlich beziehen die meisten ihre Cloud-Leistungen aber weiter aus den USA. Eine zweite Bitkom-Studie zeigt die strukturelle Tiefe der Abhängigkeit: 96 Prozent der Firmen importieren digitale Technologien, und nur noch gut ein Drittel (38 Prozent) bringt den USA als Lieferant volles Vertrauen entgegen. Die Lücke zwischen Wunsch und Wirklichkeit ist genau der Raum, in dem Datensouveränität zur strategischen Aufgabe wird.
Was Datensouveränität wirklich bedeutet
Digitale Souveränität und Datensouveränität werden oft synonym verwendet, meinen aber Unterschiedliches. Digitale Souveränität ist der Oberbegriff: die Fähigkeit eines Unternehmens – oder Staates –, selbstbestimmt über Technologien, Infrastrukturen und Anbieter zu entscheiden, statt in einseitige Abhängigkeiten zu geraten. Datensouveränität ist der konkrete, datenbezogene Kern davon: die vollständige Kontrolle darüber, wer unter welchen rechtlichen Bedingungen auf die eigenen Daten zugreifen kann.
Der entscheidende Punkt: Kontrolle ist kein rein technisches, sondern zuerst ein rechtliches Konzept. Wo Daten physisch liegen, ist zweitrangig, wenn der Anbieter durch seine Konzernstruktur der Jurisdiktion eines Drittstaats unterliegt. Echte Datensouveränität entsteht erst, wenn rechtliche, technische und organisatorische Ebene zusammenspielen.
| Ebene | Worum es geht | Was Unternehmen prüfen sollten |
| Rechtlich (Jurisdiktion) | Welchem nationalen Recht unterliegt der Anbieter? | Unternehmenssitz und Konzernstruktur, nicht nur den Serverstandort. |
| Standort (Hosting) | Wo werden Daten gespeichert und verarbeitet? | Rechenzentren in Deutschland oder der EU, Verträge nach EU-Recht. |
| Technisch (Schutz) | Wer besitzt die Schlüssel zu den Daten? | Verschlüsselung, bei der der Anbieter selbst keinen Zugriff auf die Klartext-Daten hat. |
| Organisatorisch (Nachweis) | Ist Souveränität belegbar? | Zertifizierungen wie ISO 27001 oder BSI C5, dokumentierte Prozesse, Exit-Strategie. |
Wer diese vier Ebenen zusammendenkt, verlässt die reine Standortfrage und kommt zu einer belastbaren Strategie. Wie sich das für ein konkretes Unternehmen in eine umsetzbare, EU-konforme Cloud-Strategie übersetzen lässt – von der Ist-Analyse bis zur Anbieterauswahl – zeigt unsere Leistungsseite zu digitale Souveränität.
Drei verbreitete Irrtümer und warum sie teuer werden können
- „Ein deutscher Serverstandort schützt vor fremdem Zugriff.“ Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, angeforderte Daten an US-Behörden herauszugeben, unabhängig davon, ob die Server in Virginia oder in Frankfurt stehen. Maßgeblich ist die Jurisdiktion des Anbieters, nicht der Standort der Hardware. Das steht im direkten Konflikt zu Artikel 48 DSGVO, der eine Herausgabe an Drittstaatsbehörden ohne völkerrechtliches Abkommen untersagt.
- „Eine EU-Tochtergesellschaft löst das Problem.“ Solange die Muttergesellschaft US-Recht unterliegt, greift der CLOUD Act auch auf die europäische Tochter durch. Eine formale EU-Präsenz ändert an der konzernrechtlichen Zugriffskette wenig. Entscheidend ist, wer das Unternehmen kontrolliert.
- „Verschlüsselung durch den Anbieter genügt.“ Verschlüsselt der Anbieter selbst und verwahrt auch die Schlüssel, kann er die Daten im Ernstfall entschlüsseln und damit herausgeben. Souverän wird die Architektur erst, wenn die Schlüssel ausschließlich beim Unternehmen selbst liegen. Was der Anbieter technisch nicht lesen kann, kann er auch nicht offenlegen.
Rückenwind aus Brüssel: der EU Data Act
Ein oft übersehener Hebel ist die Regulierung selbst. Der EU Data Act (Verordnung (EU) 2023/2854) ist seit dem 12. September 2025 unionsweit anwendbar und zielt ausdrücklich darauf, Lock-in-Effekte bei Cloud-Diensten abzubauen. Anbieter müssen den Wechsel technisch und vertraglich erleichtern, offene Schnittstellen bereitstellen und Kündigungsfristen auf maximal zwei Monate begrenzen; Wechselgebühren werden bis Januar 2027 vollständig abgeschafft. Für Unternehmen bedeutet das: Der Ausstieg aus einer Abhängigkeit wird planbarer und günstiger. Datensouveränität rückt vom Wunsch in den Bereich des wirtschaftlich Machbaren.
Genau hier zahlt sich eine herstellerunabhängige Beratung aus, die nicht ein einzelnes Produkt verkauft, sondern aus einem breiten Technologie- und Partnernetzwerk die jeweils passende, kontrollierbare Lösung zusammenstellt statt Kunden in eine neue Abhängigkeit zu führen.
Wo Datensouveränität zur Pflicht wird
In vielen Branchen ist Souveränität längst keine Kür mehr, sondern regulatorische Vorgabe. Wo personenbezogene oder geschäftskritische Daten verarbeitet werden, wie etwa in der Versicherungsbranche, in der Energiewirtschaft oder im Bereich Life Science, verschärfen Regelwerke wie NIS-2, DORA und das BDSG die Anforderungen an Datenzugriff und Nachweisführung zusätzlich. Im Gesundheitswesen und im öffentlichen Sektor ist eine souveräne Infrastruktur vielfach gesetzlich vorgeschrieben. Der gemeinsame Nenner: Wer hier auf eine Cloud ohne klare Jurisdiktion setzt, riskiert nicht nur Bußgelder, sondern den Verlust der Datenkontrolle im entscheidenden Moment.
Ausblick: von der Standortfrage zur Architekturentscheidung
Die Debatte um Datensouveränität verschiebt sich gerade grundlegend. Sie ist keine reine Standort- oder Vertragsfrage mehr, sondern eine Architekturentscheidung: Souveränität muss in Rechtswahl, Verschlüsselung und Wechselfähigkeit von Anfang an eingebaut sein, statt nachträglich aufgesetzt zu werden. Der geopolitische Druck, die neue Regulierung und der wachsende Reifegrad europäischer Alternativen wirken dabei in dieselbe Richtung. Für Unternehmen heißt das: Die Frage ist nicht mehr, ob Datensouveränität auf die Agenda gehört, sondern wie konsequent sie in der eigenen IT verankert wird.
Sie wollen wissen, wie souverän Ihre aktuelle Cloud-Strategie wirklich ist? In einem Beratungsgespräch ordnen wir Ihre Ausgangslage ein, zeigen konkrete Handlungsfelder auf und skizzieren mögliche nächste Schritte.
Häufig gestellte Fragen (FAQs)
Reicht ein Rechenzentrum in Deutschland aus, um vor dem US CLOUD Act geschützt zu sein?
Nein. Der CLOUD Act knüpft an die Jurisdiktion des Anbieters an, nicht an den Serverstandort. Unterliegt ein Anbieter US-Recht, etwa als US-Konzern oder dessen Tochter, können US-Behörden die Herausgabe von Daten verlangen, auch wenn diese in einem deutschen Rechenzentrum liegen. Entscheidend sind Unternehmenssitz und Konzernstruktur, nicht der physische Ort der Server.
Woran erkenne ich einen Anbieter mit souveränem Datenhosting in Deutschland oder der EU?
An mehreren Kriterien zusammen: einem Anbieter, der ausschließlich europäischem Recht unterliegt, Rechenzentren in Deutschland oder der EU, Verträgen nach EU-Recht, anerkannten Zertifizierungen wie ISO 27001 oder BSI C5 sowie einer Verschlüsselung, bei der die Schlüssel beim Kunden verbleiben. Ein einzelnes Merkmal wie etwa nur der Standort genügt nicht.
Was bedeutet DSGVO- bzw. BDSG-konformes Hosting?
Dies bedeutet, dass personenbezogene Daten so verarbeitet werden, dass sie den Anforderungen der DSGVO und des Bundesdatenschutzgesetzes entsprechen, insbesondere ohne rechtlich unzulässigen Zugriff durch Drittstaatsbehörden. In der Praxis heißt das: ein Anbieter außerhalb fremder Jurisdiktion, klare vertragliche Grundlagen und technische Schutzmaßnahmen, die einen unbefugten Zugriff auch faktisch verhindern.
Was ist der Unterschied zwischen digitaler Souveränität und Datensouveränität?
Digitale Souveränität ist der Oberbegriff für die selbstbestimmte Kontrolle über Technologien, Anbieter und Infrastrukturen. Datensouveränität ist der datenbezogene Kern davon: die Kontrolle darüber, wer unter welchem Recht auf die eigenen Daten zugreifen kann. Datensouveränität ist damit ein zentraler Baustein digitaler Souveränität.
Kurz-Glossar
- Datensouveränität: Die vollständige Kontrolle eines Unternehmens darüber, wer unter welchen rechtlichen Bedingungen auf seine Daten zugreifen kann.
- Digitale Souveränität: Die Fähigkeit, selbstbestimmt über Technologien, Anbieter und Infrastrukturen zu entscheiden, statt in einseitige Abhängigkeiten zu geraten.
- US CLOUD Act: US-Gesetz von 2018, das US-Anbieter zur Herausgabe von Daten an US-Behörden unabhängig vom Speicherort verpflichtet.
- EU Data Act: Seit 12. September 2025 anwendbare EU-Verordnung, die den Cloud-Wechsel erleichtert und Lock-in-Effekte abbaut.
- Vendor Lock-in: Die technische, vertragliche oder wirtschaftliche Abhängigkeit von einem einzelnen Anbieter, die einen Wechsel erschwert.
Quellenverzeichnis
¹ Bitkom (2025): Cloud Report 2025 – 78 % halten Deutschland für zu abhängig von US-Cloud-Anbietern, 82 % wünschen sich europäische/deutsche Hyperscaler. Presseinformation „Wirtschaft ruft nach einer deutschen Cloud“, Berlin, 11.06.2025. Verfügbar unter: bitkom.org/Presse/Presseinformation/Wirtschaft-ruft-nach-deutscher-Cloud
² Bitkom (2025): Studienbericht „Digitale Souveränität 2025″ – 96 % der Unternehmen importieren digitale Technologien; nur noch 38 % Vertrauen in die USA als Lieferant. Verfügbar unter: bitkom.org/Studienberichte/2025/Digitale-Souveraenitaet
³ US CLOUD Act (2018): Clarifying Lawful Overseas Use of Data Act – Herausgabepflicht US-amerikanischer Anbieter unabhängig vom Speicherort; Konflikt mit Art. 48 DSGVO. Verfügbar unter: congress.gov/bill/115th-congress/house-bill/4943
⁴ EU Data Act: Verordnung (EU) 2023/2854 – Erleichterung des Cloud-Wechsels, Abbau von Lock-in-Effekten; anwendbar seit 12.09.2025. Verfügbar unter: eur-lex.europa.eu/eli/reg/2023/2854/oj

