Datensouveränität: Warum europäische Unternehmen jetzt handeln müssen
Cloud & DevOps
Als Microsoft im Mai 2025 das E-Mail-Konto des Chefanklägers des Internationalen Strafgerichtshofs (IStGH) sperrte, war das für viele IT-Verantwortliche in Europa ein Weckruf (heise online). Der Hintergrund: US-Präsident Trump hatte im Februar 2025 Sanktionen gegen den IStGH verhängt. Microsoft setzte diese um, woraufhin der Chefankläger auf den Schweizer E-Mail-Anbieter Proton wechseln musste.
Die Open Source Business Alliance (OSBA) bezeichnete das Vorgehen als beispiellos und forderte dringend europäische Alternativen.
Was wie ein geopolitisches Einzelereignis klingt, offenbart ein strukturelles Problem, das europäische Unternehmen jeder Größe betrifft: Wer kritische Geschäftsprozesse und Daten auf US-Cloud-Infrastruktur betreibt, gibt ein Stück Kontrolle ab, ob bewusst oder nicht.
Was bedeutet Datensouveränität?
Datensouveränität (oft auch als digitale Souveränität bezeichnet) beschreibt die Fähigkeit, die volle Kontrolle über die eigenen Daten, Systeme und digitalen Prozesse zu behalten. Das umfasst nicht nur den physischen Speicherort der Daten, sondern auch die Frage, welchem Recht der Cloud-Anbieter unterliegt, wer Zugriff auf die Infrastruktur hat und wie transparent Betrieb und Governance geregelt sind.
Konkret geht es um drei Dimensionen:
Datenhoheit: Wo werden meine Daten gespeichert und verarbeitet? Wer kann darauf zugreifen? Bleiben meine Daten in Österreich oder zumindest in der EU?
Technologische Souveränität: Bin ich von proprietären Services eines einzelnen Anbieters abhängig? Wie aufwendig wäre ein Anbieterwechsel?
Operative Souveränität: Wer betreibt die Infrastruktur tatsächlich? Welcher Jurisdiktion unterliegt der Betreiber?
Warum reicht „Rechenzentrum in der EU" nicht aus?
Viele Unternehmen wiegen sich in falscher Sicherheit, weil ihr US-Cloud-Anbieter Rechenzentren in Europa betreibt. Der physische Standort allein löst das Problem aber nicht.
Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, auf behördliche Anforderung Kundendaten herauszugeben, selbst wenn diese in Rechenzentren außerhalb der USA gespeichert sind. Im Juli 2025 hat der Chefjustiziar von Microsoft Frankreich vor einem Senatsausschuss eingeräumt, dass Microsoft nicht garantieren kann, dass Daten europäischer Kunden nicht an die US-Regierung weitergegeben werden (Golem, Dr. Datenschutz).
Das bedeutet: Solange der Cloud-Anbieter ein US-Unternehmen ist, besteht ein Restrisiko, und zwar unabhängig davon, wo das Rechenzentrum steht. Für Unternehmen, die personenbezogene Daten verarbeiten, in regulierten Branchen tätig sind oder kritische Infrastruktur betreiben, ist das ein ernstzunehmendes Compliance- und Geschäftsrisiko.
Die Treiber: DSGVO, NIS2 und geopolitische Realität
Drei Entwicklungen machen das Thema Datensouveränität gerade jetzt besonders dringlich:
Regulatorischer Druck: Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten. Die NIS2-Richtlinie verschärft die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen und deren Zulieferer. Unternehmen, die diese Anforderungen nicht einhalten, riskieren empfindliche Strafen.
Geopolitische Unsicherheit: Die Ereignisse rund um den IStGH haben gezeigt, dass politische Entscheidungen in den USA direkte Auswirkungen auf europäische IT-Infrastruktur haben können. Sanktionen, Exportbeschränkungen oder politische Konflikte können im Extremfall dazu führen, dass Cloud-Dienste von heute auf morgen eingeschränkt werden.
Wachsende Abhängigkeit: US-Hyperscaler kontrollieren nach wie vor rund 70 Prozent des europäischen Cloud-Marktes (Fortune Business Insights). Je tiefer Unternehmen in proprietäre Services investieren, desto schwieriger und teurer wird ein späterer Wechsel, auch bekannt als Vendor Lock-in. Eine Bitkom-Umfrage bestätigt den Trend: Immer mehr Unternehmen im DACH-Raum wenden sich bewusst von US-Anbietern ab.
Was können KMUs und Startups konkret tun?
Die gute Nachricht: Datensouveränität ist kein Privileg von Großkonzernen. Gerade für KMUs und Startups gibt es heute praxistaugliche Wege, digitale Unabhängigkeit zu erreichen, ohne auf moderne Cloud-Technologie verzichten zu müssen.
Europäische Cloud-Anbieter evaluieren: Der Markt an europäischen Alternativen wächst. Anbieter wie Exoscale, Hetzner, OVHcloud, Scaleway, oder STACKIT bieten souveräne Infrastruktur mit Datenstandort in der EU, teilweise mit Rechenzentren direkt in Österreich. Diese Anbieter unterliegen ausschließlich europäischem Recht.
Auf Open-Source-Standards setzen: Wer seine Infrastruktur auf offenen Standards aufbaut, vermeidet den gefürchteten Vendor Lock-in. Containerisierte Anwendungen lassen sich bei Bedarf zwischen verschiedenen Cloud-Anbietern verschieben, ohne die gesamte Architektur neu bauen zu müssen.
Migrations-Aufwand realistisch einschätzen: Eine Migration von AWS, Azure oder GCP zu einem europäischen Anbieter ist kein Hexenwerk, vorausgesetzt man hat nicht zu stark auf proprietäre Managed Services gesetzt. Standardisierte Container-Workloads lassen sich meist mit überschaubarem Aufwand verschieben. Wir haben genau das bei einer Healthcare-Anwendung durchgeführt und unsere Erfahrungen aus der Migration von AWS zu Exoscale dokumentiert.
Compliance von Anfang an mitdenken: Gerade für Unternehmen im Gesundheitswesen, in der Finanzbranche oder im öffentlichen Sektor ist eine souveräne Cloud-Infrastruktur nicht nur ein Wettbewerbsvorteil, sondern zunehmend eine regulatorische Notwendigkeit.
Datensouveränität als Chance
Das Thema Datensouveränität wird oft als Last dargestellt, als zusätzliche Anforderung, die Kosten verursacht und Komplexität erzeugt. Ich sehe das anders: Wer jetzt auf eine souveräne Infrastruktur setzt, gewinnt nicht nur Compliance-Sicherheit, sondern auch Vertrauen bei Kunden und Partnern. Gerade im DACH-Raum wird Datenschutz als Qualitätsmerkmal wahrgenommen.
Für uns bei agsolutions ist Datensouveränität deshalb ein zentrales Thema. Wir setzen auf europäische Infrastruktur und betreiben die Anwendungen unserer Kunden auf Exoscale, einem europäischen Cloud-Anbieter mit Rechenzentren unter anderem in Wien. In Kombination mit Kubernetes, Infrastructure as Code und automatisierten CI/CD-Pipelines entsteht eine Plattform, die modern, skalierbar und souverän ist.
Wenn Sie sich fragen, ob eine souveräne Cloud-Lösung für Ihr Unternehmen in Frage kommt, werfen Sie einen Blick auf unser Angebot zur Souveränen EU-Cloud & DevOps mit Exoscale. Wir bieten einen kostenlosen Workshop, in dem wir gemeinsam Ihre Ausgangslage analysieren und konkrete Empfehlungen erarbeiten.
