Leo Rohmann - stock.adobe.com

Feature

Sovereign-Cloud-Angebote: Was IT-Entscheider wissen müssen

US-Hyperscaler bieten mehr Kontrolle über Daten, aber keine vollständige Souveränität. Warum rechtliche Zugriffsmöglichkeiten ein strukturelles Risiko bleiben.

Ulrike Rieß-Marchive
von
Zuletzt aktualisiert: 16 Apr. 2026

Digitale Souveränität ist vom politischen Schlagwort zu einem operativen Architekturthema geworden. Kaum ein Bereich der IT-Strategie wird derzeit intensiver diskutiert als die Frage, wie unabhängig Organisationen von globalen Cloud-Anbietern tatsächlich sein können.

Die Realität ist dabei komplexer als viele Marketingversprechen suggerieren. Große US-Hyperscaler haben in den vergangenen Jahren erhebliche technische Maßnahmen eingeführt, um Kontrolle, Transparenz und Compliance zu verbessern. Gleichzeitig bleiben strukturelle Grenzen bestehen, die nicht technisch lösbar sind.

Für IT-Entscheider bedeutet das: Moderne Cloud-Architekturen können Risiken deutlich reduzieren. Sie können sie jedoch nicht vollständig eliminieren – insbesondere dann nicht, wenn rechtliche Zugriffsmöglichkeiten durch ausländische Behörden bestehen.

Das strukturelle Problem ist kein Anbieterproblem

Die Diskussion über Cloud-Souveränität wird häufig auf einzelne Produkte oder Anbieter reduziert. Tatsächlich handelt es sich jedoch um ein systemisches Thema.

Alle großen US-Hyperscaler unterliegen amerikanischem Recht. Dazu gehören unter anderem Gesetze wie der CLOUD Act oder andere Sicherheits- und Strafverfolgungsgesetze, die Unternehmen unter bestimmten Bedingungen verpflichten können, Daten herauszugeben.

Wichtig ist dabei eine nüchterne Feststellung: Diese Zugriffsmöglichkeiten sind kein versteckter Mechanismus und keine technische Hintertür. Sie sind eine rechtliche Verpflichtung für amerikanische IT- und Cloud-Anbieter.

Das bedeutet, dass nicht der Speicherort der Daten im Konfliktfall entscheidend ist, sondern die Gerichtsbarkeit des jeweiligen Unternehmens.

Was sich technisch verbessert hat

Die aktuellen Cloud-Plattformen bieten heute deutlich mehr Kontrollmechanismen als noch vor wenigen Jahren. Viele dieser Funktionen sind direkte Reaktionen auf regulatorische Anforderungen und Sicherheitsbedenken von Kunden.

Typische Maßnahmen umfassen:

  • regionale Datenverarbeitung und Datenspeicherung
  • kundenseitig verwaltete Verschlüsselungsschlüssel
  • detaillierte Protokollierung administrativer Zugriffe
  • isolierte Netzwerk- und Betriebsumgebungen
  • lokale Betriebs- und Support-Strukturen
  • flexible Deployment-Modelle bis hin zu Edge- oder Offline-Systemen

Diese Funktionen sind real und wirksam. Sie erhöhen die operative Kontrolle über Daten und Systeme erheblich.

Was sie nicht leisten können, ist ebenso entscheidend, denn diese Maßnahmen ändern nicht die rechtliche Zuständigkeit des Anbieters.

Der entscheidende Unterschied: Kontrolle ist nicht Souveränität

In der Praxis werden drei Begriffe häufig synonym verwendet: Datenresidenz – Kontrolle – Souveränität. Diese beschreiben jedoch unterschiedliche Ebenen und IT-Entscheider müssen die Unterschiede kennen.

Datenresidenz bedeutet, dass Daten in einer bestimmten Region gespeichert werden. Kontrolle beschreibt, wer Systeme betreibt und administriert. Souveränität hingegen ist eine juristische Kategorie. Sie bestimmt, welches Recht im Konfliktfall gilt.

Diese Unterscheidung ist zentral, weil sie die Grenze dessen markiert, was eine technische Architektur überhaupt leisten kann. Ein Rechenzentrum kann isoliert werden. Eine Gerichtsbarkeit kann es nicht.

Warum rechtliche Zugriffsmöglichkeiten bleiben

Viele Organisationen gehen davon aus, dass Daten vollständig geschützt sind, wenn sie:

  • in Europa gespeichert werden
  • verschlüsselt sind
  • von lokalen Teams betrieben werden

Diese Annahmen sind aber nur teilweise korrekt. US-Gesetze beispielsweise können Unternehmen verpflichten, Daten bereitzustellen, auch wenn diese außerhalb der USA gespeichert sind. Die konkrete Anwendung hängt von vielen Faktoren ab, etwa der Art der Daten, der Zuständigkeit eines Gerichts und internationalen Abkommen.

Für IT-Strategien ist jedoch nicht entscheidend, wie häufig oder ob solche Zugriffe stattfinden. Entscheidend ist, dass sie rechtlich möglich sind.

Was das für Risiko- und Governance-Entscheidungen bedeutet

Cloud-Souveränität ist kein binärer Zustand und auch kein Feature. Sie ist ein Risikoprofil. Organisationen müssen daher nicht entscheiden, ob eine Cloud souverän ist oder nicht. Sie müssen entscheiden, welches Risiko für ihre Daten akzeptabel ist.

Typische Abwägungen sind:

  • regulatorische Anforderungen
  • Sensibilität der Daten
  • betriebliche Effizienz
  • Innovationsgeschwindigkeit
  • Kosten und Skalierbarkeit
  • Abhängigkeit von einzelnen Plattformen

Diese Faktoren stehen in einem direkten Spannungsverhältnis. Mehr Kontrolle bedeutet häufig:

  • höhere Kosten
  • mehr Komplexität
  • geringere Flexibilität

Das eigentliche Risiko: ein falsches Sicherheitsgefühl

Eines der größten Risiken in der aktuellen Debatte ist nicht nur mangelnde Sicherheit beziehungsweise wirklich umfassende souveräne Kontrolle. Es ist eine falsche Interpretation des Begriffs Souveränität.

US CLOUD Act: Die wichtigsten Fakten im Überblick

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist seit 23. März 2018 in Kraft und soll den Zugriff von amerikanischen Strafverfolgungsbehörden auf elektronische Daten bei internationalen Ermittlungen erleichtern.

US-Gerichte können Unternehmen verpflichten, Daten herauszugeben — unabhängig davon, wo diese gespeichert sind.

Der CLOUD Act betrifft:

  • Cloud-Provider
  • E-Mail-Dienste
  • SaaS-Anbieter
  • Kommunikationsplattformen
  • Hosting-Provider

Der CLOUD Act verpflichtet US-Unternehmen, Daten bereitzustellen, auch wenn diese in einem europäischen Rechenzentrum gespeichert sind. Das heißt, Daten In Europa sind nicht automatisch geschützt.

Der CLOUD Act erlaubt keinen freien Zugriff auf Daten.

Erforderlich hierfür sind:

  • Gerichtsbeschluss
  • Vorliegen eines Ermittlungsverfahrens
  • rechtliche Begründung

Das Gesetz schafft also keine automatische Hintertür, sondern definiert eine rechtliche Zugriffsmöglichkeit.

Cloud-Anbieter können versuchen:

  • einen Antrag juristisch anzufechten
  • Konflikte mit ausländischem Recht geltend zu machen

Am Ende entscheidet jedoch ein US-Gericht über die Verpflichtung zur Datenherausgabe.

Das Gesetz erlaubt sogenannte Executive Agreements. Diese Vereinbarungen ermöglichen es Partnerstaaten, Daten direkt bei US-Unternehmen anzufordern — ohne den klassischen diplomatischen Weg über Rechtshilfeverfahren.

Der CLOUD Act ist kein Sicherheitsproblem im technischen Sinn. Er ist ein Governance- und Risiko-Thema. Er betrifft insbesondere:

  • kritische Infrastrukturen
  • öffentliche Verwaltung
  • regulierte Branchen
  • Unternehmen mit sensiblen Daten

Selbst bei vollständiger Datenlokalisierung kann eine rechtliche Zugriffspflicht bestehen.

Wenn Organisationen davon ausgehen, dass technische Maßnahmen vollständige rechtliche Unabhängigkeit garantieren, entsteht eine gefährliche Lücke zwischen Erwartung und Realität. Diese Lücke zeigt sich oft erst im Krisenfall, zum Beispiel bei einer behördlichen Anfrage bei einem regulatorischen Audit oder wenn geopolitischen Spannungen auftreten. Ein bekanntes Restrisiko ist beherrschbar. Ein unterschätztes Risiko ist es nicht.

Warum Unternehmen dennoch bewusst auf Hyperscaler setzen

Die Nutzung globaler Cloud-Plattformen ist selten das Ergebnis von Unwissenheit. Sie ist meist eine rationale Entscheidung. Hyperscaler bieten Eigenschaften, die in vielen Organisationen schwer oder gar nicht selbst zu realisieren sind. Dazu gehören unter anderem:

  • hohe Verfügbarkeit
  • globale Skalierbarkeit
  • integrierte Sicherheitsfunktionen
  • schnelle Innovationszyklen
  • standardisierte Plattformdienste
  • wirtschaftliche Effizienz

Diese Vorteile sind messbar und operativ relevant. Für viele Organisationen überwiegen sie oft die verbleibenden Souveränitätsrisiken. Allerdings können IT-Entscheider das Thema pragmatisch operationalisieren. Eine sinnvolle Strategie besteht darin, Cloud-Souveränität nicht abstrakt zu definieren, sondern konkret zu prüfen. Hierbei können vier Kernfragen für jede Cloud-Architektur helfen, Risiken zu erkennen.

1. Wo liegen die Daten?

Prüfen Sie die geografische Residenz und Replikationsstandorte des Anbieters.

2. Wer betreibt die Systeme?

Stellen Sie fest, welche Mitarbeiter Zugriff auf die Daten haben, wie die Zugriffspfade aussehen und welche Support-Strukturen bestehen.

3. Wer kontrolliert die Schlüssel?

Überprüfen Sie wer wie viel technische Kontrolle über Verschlüsselung und Zugriffe hat.

4. Welches Recht gilt im Konfliktfall?

Stellen Sie sicher, dass Sie wissen, wo die Jurisdiktion des Anbieters liegt.

Die ersten drei Fragen sind technisch lösbar, die vierte ist es nicht.

Was ein souveränes Cloud-Design heute realistisch bedeutet

In der Praxis besteht Souveränität nicht aus einem einzelnen Feature, sondern aus einem Architektur- und Governance-Modell.

Typische Elemente sind:

  • klare Datenklassifizierung
  • segmentierte Workloads
  • hybride Deployment-Strategien
  • definierte Exit-Strategien
  • regelmäßige Risiko- und Compliance-Reviews

Diese Maßnahmen erhöhen die Kontrolle über Systeme - unabhängig vom Anbieter.

Fazit

Die aktuellen Cloud-Plattformen der großen US-Hyperscaler bieten deutlich mehr Kontrolle über Daten und Systeme als noch vor wenigen Jahren. Sie ermöglichen Compliance, Transparenz und flexible Betriebsmodelle. Was sie nicht leisten können, ist vollständige rechtliche Souveränität. Nicht wegen technischer Grenzen, sondern wegen der rechtlichen Rahmenbedingungen, denen die Anbieter unterliegen.

Für IT-Entscheider besteht die Herausforderung daher nicht darin, den Anbieter mit den besten Souveränitätsversprechen zu finden, sondern darin, die eigenen Abhängigkeiten transparent zu machen - und bewusst zu steuern.

Erfahren Sie mehr über Cloud Computing