Souveräne europäische Clouds sind der einzige Weg zur Minimierung von Risiken

Eine souveräne Cloud stellt sicher, dass keine fremde Regierung und kein ausländisches Unternehmen Ihre IT-Infrastruktur beeinflussen, überwachen oder abschalten kann.

Autor: Gerald Dürr am 22 April 2026 Gerald Dürr's Blog

Inhaltsverzeichnis:

Die letzten Monate zeigen, wie ernst Regierungen und Institutionen dieses Thema nehmen. Der Schweizer Armeechef Thomas Süssli forderte im September 2025 eine eigene IT-Infrastruktur für sensible Daten und eine Strategie zum Austritt aus der Microsoft-Cloud. Dänemarks Digitalisierungsministerin Caroline Stage kündigte an, dass die Regierung von Microsoft Office auf LibreOffice umsteigen wird. Die französische Stadt Lyon wechselt zu Open-Source-Lösungen, um die Abhängigkeit von amerikanischer Software zu reduzieren. Der Internationale Strafgerichtshof in Den Haag ersetzt Microsoft Office durch die europäische Plattform OpenDesk.

Diese Bewegung betrifft nicht nur Behörden. CIOs, IT-Entscheidungsträger und Compliance-Verantwortliche in regulierten Branchen stehen vor denselben Fragen: Wie schütze ich meine Infrastruktur vor Cloud-Act-Risiken, Vendor Lock-in und den unklaren „souveränen” Partnerschaften der Hyperscaler?

Die Antwort liegt in europäischer Cloud-Infrastruktur unter europäischem Eigentum.

Dieser Artikel erklärt:

  • Die fünf Säulen der Cloud-Souveränität und was sie konkret bedeuten
  • Warum souveräne Clouds jetzt kritisch werden
  • Welche Cloud-Lösungen es gibt
  • Woran man eine echte souveräne Cloud erkennt — und warum europäisches Eigentum und europäische Jurisdiktion entscheidend sind

Safe Swiss Cloud bietet als zu 100 Prozent schweizerisches Unternehmen souveräne Cloud-Infrastruktur, die weder US- noch EU-Jurisdiktionen unterliegt – DSGVO-konform, aber politisch unabhängig.

Was ist eine souveräne Cloud?

Eine souveräne Cloud ist mehr als nur ein Rechenzentrum in Europa. Sie stellt sicher, dass keine fremde Regierung und kein ausländisches Unternehmen Ihre IT-Infrastruktur beeinflussen, ausspionieren oder abschalten kann – weder durch rechtlichen Zwang noch durch impliziten Druck.

Das Konzept lässt sich als selbstbestimmte Digitalisierung verstehen: Es verbindet die Leistungsfähigkeit moderner Cloud-Technologie mit der vollständigen Kontrolle über Daten, Systeme und Entscheidungen. Es geht nicht um Isolation, sondern um den Schutz vor externem Zugriff und politischem Druck auf Ihre digitale Infrastruktur.

Viele Anbieter werben mit „Datensouveränität“ und meinen damit nur, dass Daten in EU-Rechenzentren gespeichert werden. Doch echte Cloud-Souveränität umfasst deutlich mehr. Sie besteht aus fünf Säulen, die zusammen vollständige Kontrolle garantieren.

Die fünf Säulen der Cloud-Souveränität

1. Datensouveränität

Wo liegen Ihre Daten physisch? Wer hat Zugriff? Welche Gesetze gelten?

Datensouveränität bedeutet, dass Daten ausschließlich in Rechenzentren innerhalb einer definierten Jurisdiktion gespeichert und verarbeitet werden. DSGVO-Compliance erfordert beispielsweise, dass personenbezogene Daten von EU-Bürgern nach europäischen Datenschutzstandards behandelt werden. Doch ein sicherer Datenspeicherort allein reicht nicht: Auch der Zugriff muss kontrolliert sein. Der US Cloud Act erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen – unabhängig davon, wo die Daten physisch liegen.

2. Operative Souveränität

Wer betreibt Ihre Infrastruktur? Wo sitzen die Mitarbeiter?

Operative Souveränität bedeutet, dass die Personen, die Zugang zu Systemen haben, unter lokaler Rechtshoheit stehen. Ein deutsches Rechenzentrum, das von Mitarbeitern eines US-Mutterkonzerns betrieben wird, bietet keine operative Souveränität. Diese Mitarbeiter können rechtlich verpflichtet werden, Zugang zu gewähren – wie im Fall des Internationalen Strafgerichtshofs, wo der Chefankläger nach US-Sanktionen plötzlich von seinem Microsoft-Account ausgesperrt wurde.

3. Technologische Souveränität

Können Sie Ihre Systeme ohne massive Kosten wechseln?

Vendor Lock-in ist eines der größten Hindernisse für Cloud-Adoption in Europa. Technologische Souveränität bedeutet die Verwendung von offenen Standards und Schnittstellen, die Multi-Cloud-Strategien und Portabilität ermöglichen. Die EU-Kommission schätzt, dass offene Standards allein bei der öffentlichen Beschaffung bis zu 1,1 Milliarden Euro pro Jahr einsparen könnten. Workloads sollten ohne große Umbauten zwischen Plattformen migrierbar sein.

4. Rechtssouveränität

Welche Gesetze gelten für Ihre Daten? Gibt es Konflikte?

Rechtssouveränität bedeutet Klarheit darüber, welche rechtlichen Rahmenbedingungen gelten und dass keine konkurrierenden Jurisdiktionen existieren. Der Konflikt zwischen DSGVO und US Cloud Act ist hier zentral: US-Anbieter unterliegen beiden Rechtssystemen gleichzeitig. 2025 bestätigte Microsofts Chefjurist vor dem französischen Senat, dass er nicht garantieren könne, dass Microsoft niemals Kundendaten an US-Behörden weitergeben würde. Diese rechtliche Unsicherheit ist das Gegenteil von Rechtssouveränität.

5. Politische Souveränität

Sind Sie vor geopolitischen Entscheidungen geschützt?

Politische Souveränität bedeutet Schutz vor Serviceunterbrechungen durch geopolitische Spannungen. 2022 kollabierte die Amsterdam Trade Bank innerhalb von 24 Stunden, weil sie nach EU-Sanktionen gegen Russland den Zugang zu ihrer digitalen Infrastruktur verlor. Adobe sperrte 2025 russische und belarussische Nutzer aus Creative Cloud, wodurch Freelancer und Agenturen plötzlich nicht mehr auf ihre Arbeitsdateien zugreifen konnten. Geopolitische Risiken – von Handelskonflikten bis zu Sanktionen – können kritische Services ohne Vorwarnung unterbrechen.

Warum souveräne Clouds jetzt kritisch werden

Datenkontrolle war lange ein „Nice-to-have“ für Compliance-Abteilungen. Heute ist sie eine strategische Überlebensfrage.

Wirtschaftliche und politische Resilienz

Beim Weltwirtschaftsforum in Davos im Januar 2026 zog EU-Kommissionspräsidentin Ursula von der Leyen einen historischen Vergleich: Sie erinnerte an den Nixon-Schock von 1971, als die USA einseitig die Goldbindung des Dollars aufhoben und das Bretton-Woods-System über Nacht zusammenbrach. Damals war es eine Warnung, Abhängigkeiten von einer fremden Währung zu reduzieren. Heute, so von der Leyen, steht Europa vor einer ähnlichen Zäsur, und die Abhängigkeiten reichen weit tiefer.

Wie tief, zeigte sich im Mai 2025: Als die Trump-Regierung den Chefankläger des Internationalen Strafgerichtshofs in Den Haag sanktionierte, sperrte Microsoft sein E-Mail-Konto. Ein internationales Gericht mit 125 Mitgliedsstaaten konnte plötzlich nicht mehr kommunizieren, weil seine Infrastruktur auf amerikanischer Software lief. Der Ankläger musste auf den Schweizer Anbieter Proton Mail ausweichen. Sechs hochrangige Beamte verließen den Gerichtshof. Inzwischen hat der IStGH angekündigt, Microsoft Office durch die europäische Open-Source-Plattform openDesk zu ersetzen.

Politischer Druck ist dabei nur eines der Risiken. Auch Cyberangriffe und Lieferkettenbrüche zeigen, wie verwundbar zentrale IT-Infrastruktur geworden ist. Als im Februar 2024 der Zahlungsabwickler Change Healthcare durch Ransomware lahmgelegt wurde, brach ein Teil des US-Gesundheitssystems zusammen: 40 Prozent aller Krankenversicherungsanträge konnten nicht mehr verarbeitet werden. Als während der Pandemie Halbleiter knapp wurden, standen europäische Autofabriken still, weil ein modernes Fahrzeug 1.400 bis 1.500 Chips benötigt.

Es geht nicht um vollständige Autarkie – das würde Europa laut CEPA-Analyse rund 3,6 Billionen Euro kosten. Es geht um strategische Autonomie: die Fähigkeit, kritische Systeme auch dann weiterzubetreiben, wenn geopolitische Spannungen zunehmen, Sanktionen verhängt werden oder ein ausländischer Anbieter den Service einseitig einstellt.

Schutz von geistigem Eigentum

Während Compliance mediale Aufmerksamkeit erhält, geschieht der größte Schaden oft im Stillen: IBMs Cost of a Data Breach Report 2024 zeigt, dass der Diebstahl von geistigem Eigentum um 27 Prozent gestiegen ist. 43 Prozent aller Datenschutzverletzungen betrafen geistiges Eigentum – 2023 waren es noch 34 Prozent.

Besonders gefährdet ist die Fertigungsindustrie mit durchschnittlichen Breach-Kosten von 5 Millionen US-Dollar – der stärksten Kostensteigerung aller Branchen (plus 18 Prozent gegenüber dem Vorjahr) – und der am schnellsten wachsenden Angriffsfrequenz. Der Grund: Hersteller besitzen wertvolles geistiges Eigentum: Konstruktionspläne, Fertigungsrezepturen, Produktionsabläufe.

Was auf dem Spiel steht:

  • Fertigungsverfahren, die jahrelange Optimierung erforderten
  • Produktstrategien und F\&E-Daten vor Patentanmeldung
  • Marketingrezepte und Kundensegmentierung

Das Risiko beginnt mit Fehlkonfigurationen: Ein Report zum Jahr 2025 von Tenables zeigt, dass 9 Prozent aller öffentlich zugänglichen Cloud-Speicher sensible Daten enthalten.

Souveräne Clouds sind keine defensive Compliance-Maßnahme. Sie sind eine offensive Strategie zum Schutz dessen, was ein Unternehmen wertvoll macht.

Souveräne Cloud oder nicht? Lösungen im Überblick

Wie viel Kontrolle über Ihre Daten brauchen Sie? Nicht jedes Cloud-Modell, das mit Souveränität wirbt, erfüllt die oben genannten fünf Kriterien. Der entscheidende Test: Wer besitzt den Anbieter, wer betreibt die Infrastruktur, und welcher Jurisdiktion unterliegt er? Nur wenn Eigentum, Betrieb und Rechtsstandort in der Schweiz oder in Europa liegen, ist die Souveränität auch dann gewährleistet, wenn geopolitischer Druck entsteht.

Hier ist eine Einordnung der wichtigsten Cloud-Modelle — von maximaler Souveränität bis zu Hyperscaler-Lösungen. Nur die ersten beiden Optionen erfüllen alle fünf Kriterien echter Souveränität:

  1. Offene Clouds (Sovereign-Cloud-Stack-basiert): Das höchste Maß an Souveränität bieten Cloud-Lösungen auf Basis des Sovereign Cloud Stack (SCS). Die zentrale Philosophie: „Nur Open Source garantiert digitale Souveränität durch Interoperabilität, Transparenz und Unabhängigkeit von unrechtmäßigen Ansprüchen Dritter.“ Das sorgt für vollständige Unabhängigkeit von proprietären Technologien und echte Anbieter-Portabilität.
  2. Cloud-Anbieter in europäischem Besitz mit Rechenzentren in Europa: Der Vorteil: Europäisches Eigentum bedeutet, dass der US Cloud Act nicht greift. Die Einschränkung: Auch europäische Anbieter sind nicht immun gegen gerichtliche Anordnungen, wie oben diskutiert.

Die folgenden Modelle bieten Abstufungen von Datenschutz und Compliance, erfüllen aber nicht alle Kriterien echter Cloud-Souveränität:

  1. Hyperscaler mit Sovereign-Cloud-Optionen: Oracle verspricht für seine „EU Sovereign Cloud“ mehr als 150 Cloud-Services „zu denselben Preisen wie kommerzielle Cloud-Regionen“, betrieben durch „EU-ansässige juristische Einheiten“. Im Prinzip bieten diese Optionen Hyperscaler-Reichweite mit gewissen Souveränitätskontrollen – allerdings bleiben Fragen zur echten Unabhängigkeit.
  2. US-Technologie mit EU-Datenschutz: T-Systems mit Google Cloud garantiert ausschließliche Datenspeicherung in Deutschland mit „Compliance mit den Anforderungen deutscher Regulierungsbehörden“, während T-Systems Verschlüsselung und Identitätsmanagement kontrolliert. Dies ist ein Versuch, Hyperscaler-Innovation mit europäischer Kontrolle zu verbinden – es bleibt aber US-Technologie mit US-Eigentum.
  3. Hyperscaler ohne Zusatzkontrollen (AWS, Azure, GCP): Standard-Hyperscaler-Angebote bieten maximale Skalierbarkeit und globale Reichweite. Sie sind für Unternehmen ohne strenge Compliance-Anforderungen die pragmatischste Wahl.

Fazit: Kein echter Trade-off

Der Irrglaube, dass mehr Souveränität weniger Innovation bedeutet, hält sich hartnäckig. Europäische Cloud-Lösungen bieten heute vergleichbare Funktionalität und Preise – ohne die rechtlichen Risiken der US-Hyperscaler. Der einzige echte Vorteil der Hyperscaler: globale Infrastruktur-Präsenz. Für europäische Unternehmen gilt: Entscheidend ist nicht der Markenname, sondern wer den Anbieter besitzt und welcher Jurisdiktion er unterliegt.

Die europäische Alternative

Echte Cloud-Souveränität erfordert europäische Infrastruktur: Anbieter in europäischem Besitz, Rechenzentren in Europa und keine Abhängigkeit von außereuropäischen Jurisdiktionen. Nur so lässt sich sicherstellen, dass keine fremde Regierung Zugriff auf Daten erzwingen oder Services abschalten kann.

Innerhalb Europas nimmt die Schweiz eine besondere Stellung ein. Die EU hat die Schweiz als eines von zwölf Ländern mit äquivalentem Datenschutzniveau anerkannt. Das Schweizer Datenschutzgesetz (DSG) erfüllt die gleichen Standards wie die DSGVO. Gleichzeitig unterliegen Schweizer Cloud-Anbieter in Schweizer Besitz weder dem US Cloud Act noch der Jurisdiktion einer EU-Regierung. Europäische Datenschutzstandards, aber keine fremde Regierung, die Zugriff erzwingen kann, auch keine europäische.

Diese Kombination ist besonders relevant für:

  • DACH-Unternehmen, die gleichzeitig FINMA- oder BAFIN-Anforderungen und DSGVO erfüllen müssen
  • Forschungsorganisationen, die ihr geistiges Eigentum außerhalb der Reichweite von US-Zugriff halten wollen
  • Mittelständische Schweizer und europäische Unternehmen, die eine souveräne Cloud-Lösung suchen, ohne die Komplexität und Abhängigkeit der Hyperscaler

Safe Swiss Cloud steht seit 2013 für genau diese Positionierung: zu 100 Prozent Schweizer Eigentum, ISO-27001/27017/27018-zertifiziert, mit Kunden auf vier Kontinenten. Vollständige Datensouveränität, EU-äquivalenter Datenschutz, kein Zugriff durch fremde Regierungen. Für Unternehmen, die echte Kontrolle über ihre Daten suchen, ist das die konsequenteste europäische Antwort auf die Souveränitätsfrage.

Möchten Sie mehr erfahren?

Safe Swiss Cloud bietet kostenlose Briefings zu souveränen Cloud-Strategien für Ihr Unternehmen. Unsere Spezialisten beraten Sie zu Compliance-Anforderungen, Migrations-Szenarien und der richtigen Balance zwischen Innovation und Kontrolle.

Briefing anfragen

Fazit: Souveränität ist kein Luxus mehr

Heute ist Cloud-Souveränität eine strategische Notwendigkeit: Der Schweizer Armeechef fordert Strategien zum Ausstieg aus US-Clouds, Dänemark steigt auf Open Source um und Fertigungsunternehmen verlieren geistiges Eigentum durch Cloud-Breaches.

Die gute Nachricht: Europäische und souveräne Cloud-Lösungen bieten heute vergleichbare Funktionalität wie Hyperscaler, ohne deren rechtliche und politische Risiken. Für Unternehmen mit strengen Compliance-Anforderungen oder sensiblem geistigen Eigentum bietet die Schweiz dabei einen zusätzlichen Vorteil: volle EU-Datenschutzäquivalenz, kombiniert mit einer Jurisdiktion, die weder Washington noch Brüssel untersteht. Die Frage ist nicht mehr, ob, sondern wie viel Kontrolle Sie über Ihre digitale Infrastruktur brauchen.

Über den Autor

Gerald Dürr

Gerald Dürr

Director of Business Development

Gerald verfügt über umfassende Erfahrung in der Beratungsbranche und übernahm verschiedene Führungspositionen in der Finanzdienstleistungsbranche. Er hat für Beratungsunternehmen wie KPMG’s Corporate Finance Practice und FehrAdvice & Partners gearbeitet, wo er Unternehmen mit tiefgreifenden Erkenntnissen aus dem neu entstehenden Bereich der angewandten Verhaltensökonomie beriet. Gerald war Finanzmanager und Mitglied des Führungsteams eines in der Schweiz ansässigen Finanzdienstleistungsunternehmens.

Gerald hat einen Master-Abschluss in Wirtschaftswissenschaften und Betriebswirtschaftslehre.

Weitere Interessen: Familie und Sport

Schreiben Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

Hinweis:
Sie können beim Kommentieren folgende HTML Tags und Attribute verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>