Technologie / IT

Cloud-Souveränität in Europa: Warum Unternehmen jetzt handeln sollten – und wie!

Gastbeitrag von Sebastian Scheube, Partner bei Wavestone & Christian Brockhausen, Associate Partner bei Wavestone aktualisiert

Das Thema „Digitale Souveränität“ ist im unternehmerischen Alltag angekommen. Die Diskussion um sichere und unabhängige Cloud-Lösungen beschäftigt viele. Die Fragen und Herausforderungen, die sich dabei stellen, berühren den Kern der digitalen Zukunft in Europa: Wie können Unternehmen und öffentliche Stellen ihre Daten, Anwendungen und Prozesse sicher, regelkonform und resilient betreiben? Vor dem Hintergrund der offensichtlichen Abhängigkeit von US-Hyperscalern und der Verschärfung der geopolitischen Spannungen ist deutlich geworden: Digitale Souveränität ist kein Luxus, sondern eine strategische sowie compliance-relevante Notwendigkeit.

Eine Lage, die zum Handeln zwingt

Derzeit ist die Abhängigkeit in der europäischen Wirtschaft sehr hoch: Über 70 Prozent des europäischen Cloud-Marktes entfallen auf die großen Hyperscaler Amazon Web Services, Microsoft und Google. Nahezu alle Unternehmen haben in irgendeiner Form eine Verflechtung mit diesen Anbietern und sind für ihre Geschäftstätigkeit auf deren Services angewiesen.

Unproblematisch war diese Situation noch nie. Nun wird sie zur realen Gefahr. Die politischen Beziehungen zwischen den USA und der Europäischen Union sind so angespannt und fragil wie seit Jahrzehnten nicht. Die digitale Souveränität droht zur Verhandlungsmasse im Machtkampf zu werden.

Die drei größten Risiken:

  1. Compliance: Das Thema Datenschutz ist ein Problem. Aktuell basieren Datentransfers in die USA auf dem sogenannten Data Privacy Framework, das zwischen der EU und der Biden-Regierung vereinbart wurde. Dieses Abkommen steht auf der Kippe, in Washington gilt es als unnötige Selbstbeschränkung. Ein Wegfall hätte weitreichende Folgen, da Datentransfers in die USA nicht mehr automatisch datenschutzrechtlich abgesichert wären. Hinzu kommt der US Cloud Act, der amerikanischen Behörden den Zugriff auf Daten erlaubt, auch wenn diese in der EU gespeichert sind. Für Unternehmen bestehen reale und potenziell große Compliance-Risiken.
  2. Zölle: Der Handelskonflikt zwischen den USA und der EU bietet signifikante Risikopotenziale. Sollte der Konflikt wieder aufflammen oder sich erneut zuspitzen, könnten beispielsweise digitale Dienstleistungen oder Datentransfers mit Zöllen belegt werden. Das würde die Kosten für viele Unternehmen signifikant erhöhen.
  3. Funktionalität: Hyperscaler bestimmen mit ihren Roadmaps, Schnittstellen und Preismodellen die Spielregeln. Wer sich einmal tief integriert hat, kommt nur schwer wieder heraus – ein klassischer Vendor Lock-in. Das Problem ist nicht neu, könnte sich jedoch weiter verschärfen. Es ist nicht ausgeschlossen, dass die US-Regierung die Abhängigkeit als Druckmittel nutzt und gewisse Funktionalitäten einschränkt oder mindestens damit droht.

Unternehmen müssen sich dieser Risiken bewusst sein und ihre digitale Infrastruktur entsprechend auf den Prüfstand stellen.

Abwarten ist keine Lösung

Das Problem hört jedoch mit der Analyse nicht auf. Selbst wenn ein Unternehmen den Handlungsbedarf erkannt hat, ist ein einfacher Wechsel von einem amerikanischen zu einem europäischen Anbieter kaum machbar. Zum einen ist die technische Komplexität enorm. In vielen Organisationen haben sich längst neue Legacy-Systeme innerhalb der Clouds gebildet. Jede vollständige Migration wäre nicht nur ein massiver und risikoreicher Kraftakt, sondern auch mit enormen Kosten verbunden.

Zudem gehört zur Wahrheit auch: In Europa fehlt es bislang an ernsthaften Konkurrenten. Zwar gibt es einige interessante europäische Cloud-Anbieter, aber eine vollwertige, technologisch ausgereifte Komplettlösung, die mit der Leistungsbreite und -tiefe der US-Hyperscaler mithalten kann, existiert hier bislang nicht. Der Reifegrad der großen US-Anbieter ist schlicht sehr hoch, und das Ergebnis von jahrzehntelanger Entwicklung und Milliardeninvestitionen. Diese Lücke lässt sich nicht kurzfristig schließen.

Dennoch ist keine Reaktion auf jeden Fall die falsche Reaktion. Noch ist der Worst Case zwar nicht eingetreten, aber die Eintrittswahrscheinlichkeit von mindestens einem der skizzierten Szenarien ist hoch. Die Unsicherheit, wie damit umzugehen wäre, ist es ebenso. Oft ist unklar, wer im Unternehmen eigentlich zuständig ist: IT, Datenschutz, Compliance? Letztlich kann die Frage, wie mit der Situation umgegangen wird, nur auf Leitungsebene getroffen werden. Grundlage dafür ist eine fundierte Risikoabwägung: Welche Systeme sind betroffen? Was passiert, wenn sie kurzfristig nicht mehr rechtskonform oder gar nicht betrieben werden können?

Die Roadmap zu mehr Souveränität:

  1. Risikobasierte Bestandsaufnahme: Welche geschäftskritischen Daten und Workloads liegen aktuell bei Hyperscalern und welche regulatorischen und damit compliance- und geschäftsrelevanten Risiken sind damit verbunden?
  2. Pilotprojekte starten: Nicht alles sofort migrieren, sondern mit klar abgegrenzten Projekten prüfen, welche souveränen Cloud-Angebote praktikabel sind.
  3. Hybrid-Modelle nutzen: Sensible Daten in souveränen oder Private-Cloud-Umgebungen speichern, weniger kritische Workloads weiterhin in der Public Cloud betreiben. Das schafft Flexibilität und Kostenvorteile ohne Kontrollverlust. Auch alle Anwendungen, die neu eingeführt werden, sollten direkt in einer souveränen Cloud betrieben werden.
  4. Compliance sicherstellen: DSGVO, AI Act und sicherheitsrelevante Regulatorik wie DORA gehören fest in die Cloud-Strategie integriert – technisch wie organisatorisch.
  5. Kontinuierlich optimieren: Cloud-Souveränität ist kein Zustand, sondern ein Prozess. Governance, Monitoring und Kostenoptimierung müssen dauerhaft auf der Agenda stehen.

Mehr als Compliance: Zukunftsfähigkeit sichern

In dieser komplexen Gemengelage ist es wichtig, rechtliche Anforderungen, technologische Entwicklungen und geopolitische Risiken gleichermaßen zu berücksichtigen. Für Unternehmen bedeutet das, eine Cloud-Strategie zu entwickeln und umzusetzen, die langfristig Souveränität, Sicherheit und Resilienz gewährleistet. Dabei geht es nicht nur um Compliance, sondern um echte Zukunftsfähigkeit. Cloud-Souveränität ist kein Schlagwort, sondern eine Voraussetzung für unternehmerische Handlungsfähigkeit in einer zunehmend komplexen Welt. Sie schützt vor geopolitischen Risiken, sichert die Einhaltung von Datenschutzstandards und schafft Raum für Innovation.