Was ist eine souveräne Cloud? Ein EU-Leitfaden

Wenige Begriffe der Unternehmens-IT wurden so sehr strapaziert wie die souveräne Cloud. Sie erscheint auf Anbieterfolien, in Regierungsstrategien und in Marketing-Mails ausgerechnet jener Hyperscaler, deren Dominanz den Begriff überhaupt erst hervorgebracht hat. Irgendwo zwischen dem ernsthaften rechtlichen Konzept und dem Schlagwort geht die Bedeutung verloren. Dieser Leitfaden versucht, sie wiederherzustellen — zu definieren, was eine souveräne Cloud wirklich ist, was nur danach aussieht und warum immer mehr europäische Organisationen neu überdenken, wo ihre Daten und ihre Systeme liegen.

Die Kurzfassung: Souveränität ist keine Funktion, die man einschaltet. Es geht darum, wer am Ende Ihre Daten und die verarbeitende Infrastruktur kontrolliert — rechtlich, betrieblich und technisch. Betrachtet man es durch diese Linse, lösen sich viele Marketingversprechen in Luft auf.

Drei Ebenen der Souveränität

Es lohnt sich, Souveränität in drei eigenständige Ebenen zu trennen, denn ein Anbieter kann die eine erfüllen und an einer anderen still scheitern.

Datensouveränität

Das ist die Ebene, die die meisten zuerst meinen: Ihre Daten werden in einer definierten Jurisdiktion gespeichert und verarbeitet — etwa in Deutschland oder der EU — und unterliegen ausschließlich dem Recht dieser Jurisdiktion. Sie ist eng mit der Datenresidenz verknüpft, doch Residenz allein ist noch keine Souveränität. Wo die Bytes liegen, ist notwendig, aber nicht hinreichend.

Betriebliche Souveränität

Hier geht es darum, wer auf die Systeme zugreifen und sie administrieren kann. Können sich Support-Mitarbeitende in einem anderen Land anmelden? Wer hält die Verschlüsselungsschlüssel? Können die Mitarbeitenden des Anbieters unter einer ausländischen Rechtsanordnung zum Handeln gezwungen werden? Eine Cloud kann Daten in Frankfurt speichern und dennoch von einem Team betrieben werden, das einer Nicht-EU-Jurisdiktion unterliegt — was genau die Souveränität untergräbt, die die Datenresidenz eigentlich liefern sollte.

Technische Souveränität

Hier geht es darum, einen Lock-in zu vermeiden, der so tief reicht, dass man nicht mehr gehen kann. Beruht die Plattform auf proprietären APIs und Formaten, die ein einzelner Anbieter kontrolliert, ist Ihre Unabhängigkeit nur theoretisch. Offene Standards — OpenStack-APIs, gängige Hypervisoren, portable Datenformate — machen Souveränität dauerhaft statt nur vorgespielt.

Warum Residenz allein nicht genügt

Das häufigste Missverständnis lautet, dass die Speicherung von Daten in einer EU-Region gleich Souveränität sei. Das ist sie nicht. Der Grund ist extraterritoriales Recht. Gesetze wie der US-amerikanische CLOUD Act können US-Unternehmen zwingen, Daten herauszugeben, die sie kontrollieren — unabhängig davon, wo auf der Welt diese Daten physisch liegen. Ein Rechenzentrum in Frankfurt, betrieben von einer US-eigenen Gesellschaft, liegt im Prinzip weiterhin in Reichweite dieses Rechtsmechanismus.

Das ist der Kern der europäischen Sorge. Es ist keine anti-amerikanische Haltung, sondern die Erkenntnis, dass rechtliche Kontrolle der unternehmerischen Kontrolle folgt — und unternehmerische Kontrolle macht nicht an Rechenzentrumsmauern halt. Echte Souveränität verlangt, dass die betreibende Gesellschaft fest in Ihrer eigenen Rechtsordnung sitzt, ohne ausländische Muttergesellschaft, die zur Herausgabe von Schlüsseln oder Daten gezwungen werden kann.

Was den Wandel antreibt

Mehrere Kräfte haben Souveränität von einer Nischenanforderung des öffentlichen Sektors zu einem Thema für die Vorstandsetage gemacht.

Regulierung ist der konkreteste Treiber. Die DSGVO setzte die Grundlinie für den Schutz personenbezogener Daten; Branchenregeln wie DORA für den Finanzsektor und die NIS2-Richtlinie für kritische Infrastruktur heben die Messlatte weiter an; und nationale Rahmenwerke wie der BSI-C5-Katalog in Deutschland geben Organisationen einen konkreten Maßstab. Für regulierte Branchen und öffentliche Stellen ist Souveränität zunehmend nicht mehr optional.

Geopolitik ist der zweite Treiber. Die letzten Jahre haben Organisationen sehr deutlich vor Augen geführt, dass Lieferketten, Software und Cloud-Dienste in Handelsstreitigkeiten, Sanktionen und sich verschiebende Bündnisse verwickelt werden können. Der Wunsch, kritische Systeme von dieser Volatilität zu isolieren, ist rationales Risikomanagement.

Der dritte ist eine harte wirtschaftliche Lektion. Die Übernahme von VMware durch Broadcom zeigte, wie schnell sich Kosten und Bedingungen ändern können, wenn eine kritische Plattform von einem fernen Anbieter kontrolliert wird. Souveränität bedeutet in diesem Sinne auch strategische und wirtschaftliche Unabhängigkeit — nicht Entscheidungen ausgeliefert zu sein, die weit außerhalb des eigenen Einflusses fallen.

GAIA-X und der europäische Rahmen

Keine Betrachtung europäischer Souveränität ist ohne GAIA-X vollständig, die Initiative für eine föderierte, interoperable Dateninfrastruktur auf Basis europäischer Werte: Transparenz, Offenheit, Datenschutz und Portabilität. Es lohnt sich zu verstehen, was GAIA-X ist und was nicht. Es ist keine Cloud, die man kaufen kann; es ist ein Satz von Regeln, Standards und ein Zertifizierungsrahmen, der konforme Anbieter interoperieren lässt und dabei bestimmte Souveränitätseigenschaften garantiert.

Die praktische Lehre lautet, dass GAIA-X dieselben Prinzipien bestärkt, zu denen dieser Artikel immer wieder zurückkehrt: offene Standards statt Lock-in, Transparenz statt undurchsichtiger Kontrolle und rechtliche Klarheit darüber, wer Ihre Daten anfassen darf. Anbieter, die an diesen Prinzipien ausgerichtet sind, geben Ihnen ein Fundament, das portabel und prüfbar ist statt ein geschlossener Garten.

Die Rolle von Open Source

Open Source ist keine Randnotiz in der Souveränitätsgeschichte — es ist strukturell. Wenn die Plattform unter Ihrer Cloud offen ist (OpenStack für die Cloud-Ebene, KVM für die Virtualisierung, Ceph für Speicher, Linux durchgängig), gewinnen Sie etwas, das proprietäre Stacks nicht bieten können: die Fähigkeit, hineinzuschauen, dieselbe Software überall zu betreiben und ohne Erlaubnis eines Anbieters zu migrieren.

Das macht technische Souveränität aus einem Slogan zu einer Eigenschaft, die Sie prüfen können. Sollten Sie Ihre Workloads jemals zu einem anderen Anbieter oder ins eigene Haus verlagern müssen, machen offene APIs und Standardformate daraus ein Projekt statt einer Unmöglichkeit. Das Fehlen eines einzelnen kontrollierenden Anbieters ist genau der Punkt.

Wie man einen Anbieter für souveräne Cloud bewertet

Wenn Sie Anbieter prüfen, durchschneiden einige gezielte Fragen das Marketing rasch.

Wo werden die Daten physisch gespeichert, und lässt sich das vertraglich garantieren? Wem gehört die betreibende Gesellschaft, und welcher Jurisdiktion unterliegt sie? Wer kann technisch auf die Systeme zugreifen, von wo aus, und wer hält die Verschlüsselungsschlüssel? Beruht die Plattform auf offenen Standards, die Ihnen den Weggang erlauben, oder auf proprietären, die das nicht tun? Welche Zertifizierungen — ISO 27001, BSI C5 — hält der Anbieter, und in welchem Umfang? Ehrliche Anbieter beantworten das direkt; ausweichende Antworten sind selbst eine Antwort.

Souveränität in der Praxis

Wie sieht es aus, wenn diese Prinzipien tatsächlich umgesetzt werden? Es sieht aus wie Infrastruktur, die von einer europäischen Gesellschaft auf europäischem Boden auf offener Grundlage von Menschen betrieben wird, die europäischem Recht unterliegen. Auf dieses Modell ist clouditiv ausgerichtet: eine souveräne, OpenStack-basierte Private Cloud als verwaltete Plattform für europäische — insbesondere deutsche — Organisationen, mit Daten, die in Deutschland bleiben, und einem Betrieb, der an ISO 27001 und BSI C5 ausgerichtet ist. Die Plattform läuft auf OpenStack 2025.2, Ubuntu 24.04 LTS, KVM und Ceph, und das Mutterunternehmen SETUP Protokolltester GmbH bringt mehr als drei Jahrzehnte Telekom- und Netzwerk-Expertise ein. Es geht nicht um die Marke — sondern darum, dass Architektur und Rechtsstruktur beide mit dem übereinstimmen, was Souveränität wirklich verlangt.

Den Lärm durchschneiden

Die souveräne Cloud ist eine echte und wichtige Idee, eingewickelt in jede Menge Marketing. Schneidet man den Lärm weg, bleibt ein einfacher Test: Kann irgendjemand außerhalb Ihrer Rechtsordnung gezwungen werden, auf Ihre Daten und Systeme zuzugreifen, sie zurückzuhalten oder zu kontrollieren? Lautet die ehrliche Antwort nein — über alle drei Ebenen aus Daten, Betrieb und Technik hinweg —, dann haben Sie Souveränität. Lautet die Antwort irgendetwas anderes, haben Sie bestenfalls Datenresidenz. Für europäische Organisationen, die abwägen, wohin sie ihre wichtigsten Workloads legen, wird diese Unterscheidung zu einer der prägenden Infrastrukturentscheidungen des Jahrzehnts.