MQ-Illustrations - stock.adobe.c

Feature

Datensouveränität – die wichtigsten Daten bleiben zu Hause

Datensouveränität ist für viele Anwender ein Top-Thema. Die hybride Cloud, fußend auf euro-päischen Cloud-Providern, plus einer Private Cloud, könnte sich hier als Königsweg erweisen.

von
  • Ariane Rüdiger
Zuletzt aktualisiert:16 Okt. 2025

Datensouveränität ist für viele Unternehmen ein erstrebenswertes Ziel, für manche Organisationen der kritischen Infrastruktur, ein Muss. Um sie zu erreichen, sind Alternativen zu den großen Hyperscalern nötig. Auf diesem Gebiet tut sich etwas.

Der aktuelle Report State of the Database Landscape 2025 von Redgate offenbart, dass Anwender der Cloud als Aufbewahrungsort für ihre Daten kritischer sehen als bisher. Zum ersten Mal seit Jahren sinkt der Anteil der Anwender, die ihre Daten respektive Datenbanken vor allem oder ausschließlich in der Cloud hosten: Von 2013 noch 18 Prozent auf 13 Prozent 2024. Der Anteil der User, die alle ihre Daten in die Cloud schieben, sank von 18 auf 17 Prozent. Auch der Anteil derjenigen, die Daten grundsätzlich auf eigenen Vor-Ort-Ressourcen lagern, haben zugenommen: Von 12 Prozent (2023) auf 16 Prozent.

In Hinblick auf Cloud-Datenspeicherung zieht die hybride Strategie eindeutig davon. 46 Prozent bevorzugten 2024 eine Kombination aus On-Premises- und Cloud-Speicherung. Und damit ganze zehn Prozent mehr als im Jahr 2023.

Offensichtliche Gründe sprechen gegen Cloud-Vollauslagerung

Folgende Gründe, das Cloud-Engagement zu reduzieren, offenbart der Redgate-Bericht: 39 Prozent wollen ihre Kosten besser managen, 26 Prozent nennen Datenschutz und Sicherheit, weitere 16 Prozent regulatorische Compliance, die in der EU eine große Überschneidung mit dem Datenschutzthema aufweist. Und: 32 Prozent benennen die Datensicherheit als eine der wichtigen Herausforderungen bei der Nutzung der Cloud.

Abbildung 1: Die Hybrid Cloud wird noch mehr als bisher Leitinfrastruktur, insbesondere gegenüber Cloud-Only-Ansätzen. (Quelle: Redgate)
Abbildung 1: Die Hybrid Cloud wird noch mehr als bisher Leitinfrastruktur, insbesondere gegenüber Cloud-Only-Ansätzen. (Quelle: Redgate)

Das ist angesichts der politischen Veränderungen jenseits des Atlantiks kaum verwunderlich. War schon vor Trump dank der US-amerikanischen Gesetze, die im Ernstfall jedes US-Unternehmen zur Herausgabe von Kundendaten zwingen könnten, Vorsicht angebracht, scheint dies nun angesichts des erratischen Rechtsverständnisses der Trump-Regierung erst recht so zu sein. So verkündete Microsoft jüngst ganz offen, man könne nicht vollständig garantieren, keine Daten deutscher und europäischer Kunden an die US-Regierung herausgeben zu müssen.

Europäische Provider: Sicherere Alternativen

Auf die US-Hyperscaler muss jedoch niemand warten, der sich in Deutschland eine sichere und datensouveräne Infrastruktur aufbauen möchte. Inzwischen gibt es nämlich hierzulande und in Europa diverse Cloud Service Provider, die nach hiesigem Recht funktionieren. Sie heißen beispielsweise Ionos, Hetzner, Stackit, OVH oder Scaleway, um nur einige zu nennen.

Für hochsicherheitsbedürftige Daten reicht selbst das noch nicht. Wer möchte schon auch nur das geringste Risiko eingehen, dass die eigenen Entwürfe für Zukunftsprodukte in fremde Hände gelangen? Hier muss eine On-Premises-Cloud her. Die gibt es inzwischen auch mit dem bequemen und transparenten On-Demand-Abrechnungsverfahren plus Management. Angebote wie HPE Greenlake oder deren Pendants von anderen Herstellern machen das möglich, ohne die Datenhoheit zu beeinträchtigen.

EU-Cloud: Open Source und sichere Datenräume

Industrieunternehmen können zukünftig hinsichtlich ihrer Datensouveränität auch von politisch-industriell vorangebrachten Initiativen wie EU Cloud oder Gaia-X profitieren. Allerdings sind gerade bei Gaia-X auch große US-Provider im Boot. Die Regie liegt aber in Europa, und man muss ja kein Angebot eines solchen Providers wählen.

EU Cloud ist ein Projekt mit viel europäischer Industriebeteiligung. Dabei sind unter anderem Atos, Orange, Siemens, Telefónica, die Telekom und Tiscali. Eine offene Referenzarchitektur (ORA) dafür entwickelt seit Herbst 2023 SAP. Ziel ist, die Daten möglichst weit an den Netzwerkrand, sprich: in die Nähe der Anwender zu verschieben, Datensicherheit zu garantieren und möglichst viel quelloffene Software zu verwenden, die geteilt und – möglichst in Europa - gemeinsam weiterentwickelt wird. Das Ganze fördert die EU mit 1,2 Milliarden Euro.

Gaia-X: Der schlafende Riese erwacht

Um Gaia-X ist es nach anfänglichem großem Bohei relativ still geworden. Dabei werkelt man aber im Hintergrund fleißig weiter. Inzwischen gibt es bereits mehrere Gaia-X-Digital Clearinghouses (GXDCH), die dafür sorgen, dass die bestehenden Standards und Regeln von Gaia-X durch die Services unter diesem Label eingehalten werden.

Abbildung 2: Gaia-X bietet Anwendern zertifizierter Dienste unterschiedliche Sicherheitsniveaus mit steigender Qualität. (Quelle: Gaia-X)
Abbildung 2: Gaia-X bietet Anwendern zertifizierter Dienste unterschiedliche Sicherheitsniveaus mit steigender Qualität. (Quelle: Gaia-X)

Erst am 15. Mai 2025 ist ein neues Architekturpapier veröffentlicht worden (25.5). Dessen oberstes Ziel ist die Datensouveränität aller Beteiligten, kombiniert mit der Möglichkeit, möglichst viele vorhandene Daten zum gemeinsamen Nutzen legal zu analysieren. Im November 2025 trifft sich die Gaia-X-Gemeinde in Portugal zum Europakongress, und man darf gespannt auf die Praxisbeispiele sein, die dort präsentiert werden.

Und es kommt frischer Wind auf: CISPE (Cloud Infrastructure Service Provider Europe), der Verband der europäischen Cloud-Provider gab am 18. Juli 2025 bekannt, dass Provider schon bis November des laufenden Jahres bis zu 3000 mit den Vertrauensregeln des Gaia-X-Verbunds konforme Services zur Verfügung stehen sollen. Sie können den Gaia-X-Leveln 1, 2 oder 3 entsprechen. Sie werden dann nach Zertifizierung durch eine neutrale Instanz in den CISPE-Servicekatalog eingepflegt.

3000 neue zertifizierte Services bis November 2025

Die drei Level bedeuten mehr als bloße Gaia-X-Konformität (Details zu Gaia Levels finden Sie hier.). Letztere verlangt eine Erklärung, was die Dienstleistung oder das Produkt ist. Sie muss mit einer geprüften Methode signiert sein, etwa mit eIDAS. Weiter müssen Service oder Produkt automatisiert durch ein GXDCH (Gaia-X Data Clearing House) validiert und Eigenschaften, der sich nicht voll automatisch validieren lassen, überprüft werden.

Abbildung 3: Kosten sind der wichtigste Grund, die Cloud kritisch zu sehen. Sicherheitsbeden-ken treten inzwischen dahinter zurück. (Quelle: Redgate)
Abbildung 3: Kosten sind der wichtigste Grund, die Cloud kritisch zu sehen. Sicherheitsbeden-ken treten inzwischen dahinter zurück. (Quelle: Redgate)

Das Gaia-X Label Level 1 umfasst zusätzliche europaweit gültige Regeln zum Schutz persönlicher Daten. Label Level 2 darüber hinaus weitere Cybersicherheits-Kriterien. Der Service muss eine Option für die Datenspeicherung ausschließlich in Europa bieten. Label Level 3 obendrein, dass der Serviceprovider seine Zentrale in Europa hat und Kundendaten ausschließlich in Europa geteilt und verarbeitet werden. Unter diesen Bedingungen dürfen auch Provider, die nicht CISPE-Mitglieder sind, Services zum Katalog anmelden. Alle Dienste, die eine Label-Zertifizierung erfüllen, erhalten ein spezielles Logo.

Im Katalog werden sich ab Herbst sicher auch diverse Datenspeicherdienste finden lassen, die das Maß an Datensouveränität garantieren, das sich deutsche Kunden wünschen.

Erfahren Sie mehr über Cloud Storage