Eure Daten, eure Cloud – souverän statt abhängig.
US-CLOUD-Act, wackelndes Datenabkommen, steigende Kosten: 2026 denken viele Unternehmen ihre Cloud-Strategie neu. Wir ordnen sachlich ein, welche Workloads wohin gehören – souveräne Cloud, EU-Anbieter, Hybrid oder pragmatisch Hyperscaler – und setzen den Wechsel technisch um.
Cloud-Souveränität heißt: Ihr kontrolliert, wo eure Daten liegen, welches Recht auf sie zugreifen kann und wie leicht ihr den Anbieter wechseln könnt. 2026 ist das Thema im Mainstream angekommen – AWS hat im Januar seine European Sovereign Cloud mit erster Region in Brandenburg gestartet, die EU hat mit dem Cloud Sovereignty Framework ein Bewertungsraster (SEAL-0 bis SEAL-4) geschaffen, und im Juni folgte der Vorschlag für einen Cloud and AI Development Act. Gleichzeitig wächst die Skepsis: Microsofts Frankreich-Chefjurist musste 2025 vor dem französischen Senat einräumen, dass er einen US-Behördenzugriff auf europäische Daten nicht ausschließen kann.
Die gute Nachricht: Für typische Mittelstands-Workloads – Web-Anwendungen, Datenbanken, Storage, Kubernetes, sogar KI-Inferenz – decken europäische Anbieter wie STACKIT, IONOS, Hetzner, OVHcloud oder Exoscale den Bedarf heute praktisch vollständig ab, oft deutlich günstiger als die Hyperscaler. Die ehrliche Antwort ist aber selten „alles raus aus der US-Cloud", sondern eine saubere Einordnung pro Workload. Genau dafür ist diese Seite da.
Was an den Risiken wirklich dran ist
Sachlich statt Panik: die drei realen Risikofelder bei US-Cloud-Abhängigkeit – und ihre ehrliche Einordnung.
US CLOUD Act
Das US-Gesetz von 2018 verpflichtet Anbieter unter US-Jurisdiktion, Daten auf richterliche Anordnung herauszugeben – egal, ob sie in Frankfurt oder Virginia liegen. Es ist ein Strafverfolgungsinstrument mit richterlicher Kontrolle, kein Massenüberwachungsgesetz – aber Microsofts Frankreich-Chefjurist bestätigte 2025 unter Eid: garantieren, dass EU-Daten nie herausgegeben werden, kann er nicht.
Schrems-III-Risiko
Das EU-US Data Privacy Framework gilt – noch. Die Latombe-Klage wurde im September 2025 abgewiesen, die Berufung läuft aber vor dem EuGH (C-703/25 P), noyb kündigt eine breitere Klage an, und die US-Kontrollinstanz PCLOB ist seit Januar 2025 ohne Quorum. Kippt das Abkommen, stehen US-Transfers wieder ohne einfache Rechtsgrundlage da – zum dritten Mal.
Vendor-Lock-in & Kosten
Proprietäre Dienste und teurer Daten-Abfluss (Egress: bei AWS ~0,09 $/GB) machen den Wechsel schwer. Der EU Data Act entschärft das: Wechselentgelte sind ab dem 12. Januar 2027 ganz verboten. Den laufenden Betriebs-Egress betrifft das aber nicht – Architektur-Entscheidungen bleiben der größere Hebel.
„Sovereignty Washing"
Auch US-Hyperscaler werben jetzt mit „souveränen" Angeboten – etwa Microsofts EU Data Boundary oder AWS' European Sovereign Cloud (eigene Partition, EU-Personal, ~15 % Aufpreis). Ob diese Konstrukte einer CLOUD-Act-Anordnung wirklich standhalten, ist juristisch ungeklärt, solange die Muttergesellschaft in den USA sitzt. Das EU-Framework (SEAL-Stufen) hilft beim nüchternen Vergleich.
Sensible Daten mit Sonderregeln
Für manche Daten ist die Frage längst entschieden: Gesundheits- und Sozialdaten brauchen nach § 393 SGB V Verarbeitung in DE/EU/EWR/Schweiz plus C5-Testat, Berufsgeheimnisträger (§ 203 StGB) müssen Dienstleister sorgfältig binden, und Verschlusssachen (VS-NfD) gehören nur in BSI-zugelassene Umgebungen.
Verschlüsselung ist kein Freifahrtschein
„Bring Your Own Key" klingt sicher, schützt aber nicht vor Herausgabeanordnungen – der Provider behält technischen Zugriff auf den Schlüssel. Wirksam sind nur externes Schlüsselmanagement (HYOK) oder clientseitige Verschlüsselung, bei der der Anbieter nie den Klartext sieht.
Die vier Wege – und für wen sie passen
Es gibt nicht die eine richtige Cloud. Es gibt vier Grundmuster – und die Entscheidung fällt pro Workload, nicht pauschal.
Souveräne Cloud
AWS European Sovereign Cloud · T-Systems Sovereign Cloud · (Delos: nur Verwaltung)
Eigene, von der Welt-Infrastruktur getrennte Partitionen mit EU-Personal und EU-Governance. AWS' ESC (seit Januar 2026, Region Brandenburg) bietet ~90 Dienste zum ~15 % Aufpreis. Komfort der Hyperscaler-Welt mit deutlich besserer Souveränitäts-Story – deren CLOUD-Act-Festigkeit aber juristisch ungeklärt bleibt.
Für wen: Unternehmen mit hohen Compliance-Anforderungen, die Hyperscaler-Dienste brauchen und den Aufpreis tragen.
On-Prem / Self-Hosting
Eigene Server · Colocation · air-gapped Setups
Maximale Kontrolle, keine fremde Jurisdiktion – dafür tragt ihr Betrieb, Sicherheit und Verfügbarkeit selbst. Mit moderner Open-Source-Basis (Kubernetes, Nextcloud & Co.) realistischer als sein Ruf, aber nur mit echtem Ops-Know-how oder einem Partner.
Für wen: Hochsensible Workloads (Verschlusssachen, Kernforschung, kritische IP) bei vorhandenem Betriebs-Know-how.
EU-Anbieter
STACKIT · IONOS · Hetzner · OVHcloud · Scaleway · Exoscale · Open Telekom Cloud
Europäische Eigentümer, EU-Rechenzentren, außerhalb der US-Jurisdiktion – OVHcloud trägt als einer von nur fünf Anbietern das höchste Gaia-X-Label (Level 3). Für Web-Apps, Datenbanken, S3-Storage, Kubernetes und KI-Inferenz heute voll praktikabel und oft drastisch günstiger (Hetzner: ~14× Compute-Wert gegenüber AWS, 20 TB Traffic inklusive).
Für wen: Der Standard-Weg für die meisten Mittelstands-Workloads – DSGVO-sicher ohne Konstrukte, mit einfachen Preismodellen.
Hybrid / Hyperscaler-EU-Region
Sensibles bei EU-Anbietern + Spezialdienste bei AWS/Azure/GCP (EU-Region, HYOK)
Der pragmatische Mittelweg: unkritische oder Spezialdienst-lastige Workloads in der EU-Region eines Hyperscalers (mit DPF/SCCs, externem Schlüsselmanagement und Exit-Plan), sensible Daten bei EU-Anbietern oder im eigenen Haus.
Für wen: Teams, die globale Skalierung oder Managed-AI-Dienste brauchen, aber Risiken gezielt eingrenzen wollen.
Fünf kurze Fragen zu einer konkreten Anwendung – danach bekommt ihr eine erste Einordnung, welcher der vier Wege passt. Keine Anmeldung, keine Rechtsberatung.
Verarbeitet die Anwendung hochsensible Daten – etwa Gesundheits-/Sozialdaten, Berufsgeheimnisse oder Verschlusssachen?
Souveräne Cloud – getrennte EU-Partition mit Managed-Komfort
Hochsensible Daten plus wenig eigenes Betriebs-Know-how: Eine souveräne Cloud (z. B. AWS European Sovereign Cloud, T-Systems Sovereign Cloud) liefert EU-Governance und EU-Personal, ohne dass ihr selbst betreiben müsst. Bei Sozial-/Gesundheitsdaten gilt zusätzlich § 393 SGB V (DE/EU + C5).
On-Prem / Self-Hosting – maximale Kontrolle
Hochsensible Daten plus eigenes Ops-Know-how: Eigenbetrieb (eigene Server, Colocation, ggf. air-gapped) nimmt die fremde Jurisdiktion komplett aus dem Spiel. Verschlusssachen (VS-NfD) gehören ohnehin nur in BSI-zugelassene Umgebungen.
Europäischer Anbieter – der unkomplizierte Standard-Weg
Für diese Anwendung braucht ihr keinen Hyperscaler: EU-Anbieter wie STACKIT, IONOS, Hetzner, OVHcloud oder Exoscale liefern Web-Apps, Datenbanken, Storage, Kubernetes und KI-Inferenz DSGVO-sicher, ohne CLOUD-Act-Konstrukte – und meist deutlich günstiger.
Hybrid – sensibel nach EU, Spezialdienste gezielt beim Hyperscaler
Ihr seid reguliert und braucht trotzdem Spezialdienste: Trennt die Architektur. Sensible Daten und Kernsysteme zu EU-Anbietern oder ins eigene Haus; die Spezialdienste in einer Hyperscaler-EU-Region mit externem Schlüsselmanagement (HYOK), sauberem Drittparteirisiko-Management (NIS2/DORA) und Exit-Plan.
Hyperscaler-EU-Region – pragmatisch mit Schutzmaßnahmen
Für diese Anwendung ist die EU-Region eines Hyperscalers vertretbar: DPF/SCCs als Rechtsgrundlage, Verschlüsselung mit externem Schlüsselmanagement, Egress-Kosten im Blick und ein dokumentierter Exit-Plan – dann nutzt ihr die Spezialdienste, ohne euch auszuliefern.
Erste Orientierung pro Workload, keine Rechts- oder Architekturberatung – die finale Entscheidung braucht einen Blick auf eure konkrete Anwendung.
Die wirksamsten Hebel für 20–30 % weniger Cloud-Kosten – als Checkliste zum Abhaken, kostenlos als PDF.
So gehen wir den Wechsel an
Inventur
Wir erfassen eure Workloads, Datenkategorien und Abhängigkeiten – und klassifizieren, was souverän muss, was EU reicht und was pragmatisch bleiben darf.
Zielbild
Pro Workload der passende Weg: EU-Anbieter, souveräne Cloud, Hybrid oder Eigenbetrieb – mit ehrlicher Kosten- und Aufwandsschätzung statt Ideologie.
Migration
Wir bauen portabel (Container, Infrastructure-as-Code, S3-kompatibler Storage) und migrieren schrittweise – beginnend mit unkritischen Workloads.
Betrieb & Kosten
FinOps-Routine, Monitoring und Exit-Fähigkeit gehören zum Setup. So bleibt die neue Umgebung günstig – und ihr bleibt wechselfähig.
FAQ
Müssen wir komplett raus aus der US-Cloud?
Meist nein. Die ehrliche Antwort ist eine Einordnung pro Workload: Hochsensibles gehört in souveräne oder eigene Umgebungen, vieles läuft bei EU-Anbietern besser und günstiger, und für einzelne Spezialdienste kann eine Hyperscaler-EU-Region mit Schutzmaßnahmen (externes Schlüsselmanagement, Exit-Plan) vertretbar bleiben.
Was ist der CLOUD Act – und betrifft er auch Daten in Frankfurt?
Der US CLOUD Act (2018) verpflichtet Anbieter unter US-Jurisdiktion, Daten auf richterliche Anordnung herauszugeben – unabhängig vom Speicherort, also auch aus deutschen Rechenzentren von US-Anbietern. Er ist ein Strafverfolgungsinstrument mit richterlicher Kontrolle, kein Massenüberwachungsgesetz; öffentlich dokumentierte Fälle gegen europäische Geschäftskunden sind nicht bekannt. Das Restrisiko und die Abhängigkeit bleiben trotzdem real.
Gilt das EU-US-Datenabkommen (DPF) noch?
Ja, Stand Juni 2026 gilt das Data Privacy Framework. Aber: Die Berufung im Latombe-Verfahren läuft vor dem EuGH, noyb kündigt eine breitere Klage an, und die US-Kontrollinstanz PCLOB ist seit Januar 2025 nicht arbeitsfähig. Ein drittes „Schrems"-Urteil ist ein reales Szenario – wer heute Architektur plant, sollte es einpreisen.
Sind die „souveränen" Angebote der US-Hyperscaler echt souverän?
Teilweise. AWS' European Sovereign Cloud (seit Januar 2026) ist eine echte, getrennte EU-Partition mit EU-Personal – aber die Muttergesellschaft bleibt amerikanisch, und ob das Konstrukt einer CLOUD-Act-Anordnung standhält, ist juristisch ungeklärt. Microsofts Chefjurist in Frankreich konnte genau das 2025 nicht garantieren. Das EU Cloud Sovereignty Framework (SEAL-Stufen) hilft, Angebote nüchtern zu vergleichen.
Können EU-Anbieter technisch mithalten?
Für typische Mittelstands-Workloads ja: Web-Anwendungen, Datenbanken, S3-Storage, Kubernetes und KI-Inferenz (z. B. IONOS AI Model Hub, STACKIT AI Serving) sind voll abgedeckt – oft deutlich günstiger. Die Grenzen liegen bei sehr speziellen Managed-Diensten und beim Training großer KI-Modelle; dafür gibt es den Hybrid-Weg.
Was kostet der Wechsel – und was spart er?
Das hängt vom Workload ab. Portabel gebaute Anwendungen (Container, IaC) wechseln günstig; verwachsene Architekturen brauchen einen Schnitt. Auf der Kostenseite ist das Potenzial real: EU-Anbieter sind oft drastisch günstiger (Beispiel Egress: bei Hetzner sind 20 TB inklusive, bei AWS kostet 1 TB ~90 $), und systematisches FinOps spart erfahrungsgemäß 20–30 % – unabhängig vom Anbieter. Ab Januar 2027 verbietet der EU Data Act zudem Wechselentgelte.
Souverän werden – ohne Ideologie, mit Plan.
Wir ordnen eure Workloads ein, rechnen ehrlich und setzen die Migration technisch um – portabel, sicher und günstiger als vorher.
Erstgespräch buchen