Der Weg in die souveräne Public Cloud

Immer mehr Unternehmen denken darüber nach Services in eine Cloud zu verlagern. Meist ist hier die Rede von einer Public Cloud.

Unter einer Public Cloud versteht man eine Cloud-Computing-Umgebung, die von einem externen Anbieter betrieben wird und über das öffentliche Internet zugänglich ist. Im Gegensatz dazu ist eine Private Cloud Umgebung, die exklusiv für eine Organisation betrieben wird – entweder im eigenen Rechenzentrum oder bei einem dedizierten Anbieter. Wenn man eine Kombination aus Private Cloud und Public Cloud nutzt, spricht von einer Hybrid Cloud.

Für Unternehmen im deutschen Finanzsektor ist die Auswahl eines Cloud-Anbieters mit besonderen Herausforderungen verbunden. Diese ergeben sich vor allem aus strengen regulatorischen Anforderungen, hohen Sicherheitsstandards und der Komplexität bestehender IT-Infrastrukturen. Hier sind die wichtigsten Punkte:

• Datenschutz & Recht (DE/EU): Auftragsverarbeitungsvertrag, DSGVO, BDSG, EU‑Code of Conduct, internationale Transfers
• US-Recht & CLOUD Act: US-Zugriff auf EU-Daten, Konflikte mit DSGVO und DORA
• DORA: Der maßgebliche regulatorische Rahmen für Cloud-Nutzung im Finanzwesen. Das auslagernde Finanzinstitut bleibt vollständig verantwortlich.

Neben regulatorischen und technischen Anforderungen gibt es noch weitere Aspekte bei einer Public Cloud Migration zu beachten.

Der Migrationsaufwand wird oft unterschätzt. Eine vollständige Migration kann Jahre dauern und sehr hohe finanzielle Kosten verursachen, da während der Migrationsphase typischerweise doppelte Kosten für die bestehende und die künftige Betriebsumgebung anfallen.

Im Rahmen der Public Cloud Migration ist weiterhin ein erheblicher Wissensaufbau mit entsprechenden hohen Investitionen erforderlich.

Mitarbeitern sollten im Rahmen der Migration eine Job Perspektive geboten werden, da sich in einem neuen Betriebsmodell Tätigkeiten verändern oder ganz wegfallen können. Dadurch wird die Motivation der Mitarbeiter gestärkt, aktiv an einer erfolgreichen Migration mitzuwirken.

Im Zielmodell Public Cloud sind weiterhin technologische Besonderheiten und Limitationen zu berücksichtigen. Wir nennen einige Beispiele:

Eine Public Cloud ist kein Garant für 100 % Verfügbarkeit, wie beispielsweise der Ausfall von AWS vom 20.10.2025 zeigt.

Der gebotene Leistungsumfang von Anbietern ist oft ähnlich, aber nicht deckungsgleich. Auf einer abstrakten Betrachtungsebene erscheinen zum Beispiel Azure Blobstore und AWS S3 Storage identisch, bei einer genaueren Betrachtung ergeben sich aber signifikante Unterschiede.

Aus technologischer Sicht ist weiter zu beachten, dass im eigenen Rechenzentrum alle gewünschten Versionen von Produkten und Komponenten nutzbar sind, die am Markt verfügbar sind. In der Public Cloud dagegen bestehen Einschränkungen auf das Angebot des Betreibers.

Zuletzt ist anzumerken, dass eine genaue Analyse erforderlich ist, welche und wieviel Abhängigkeiten zu Anbietern eingegangen werden möchten. Beispielsweise wurden Mitarbeitern vom Internationalen Strafgerichtshof im Frühjahr 2025 E-Mail-Konten von Microsoft, aufgrund von US-Sanktionen, gesperrt.

Empfohlene Vorgehensweise für Finanzunternehmen:

1. Risikobasierte Cloud-Strategie entwickeln
2. Interne Richtlinien und Prozesse definieren unter Berücksichtigung regulatorischer Anforderungen
3. Cloud-Anbieter sorgfältig prüfen (z.B. rechtlicher Rahmen, Zertifizierungen, Standort, Exit-Möglichkeiten)
4. Verträge mit Prüfungsrechten und Sicherheitsgarantien ausstatten
5. Kontinuierliche Überwachung und Audits etablieren
6. DORA-Compliance sicherstellen

Souveräne Cloud

Der Begriff „souveräne Cloud“ bezeichnet eine Cloud-Infrastruktur, die speziell darauf ausgelegt ist, die rechtlichen, sicherheitsbezogenen und betrieblichen Anforderungen eines bestimmten Landes oder Wirtschaftsraums zu erfüllen. Ziel ist es, die digitale Souveränität zu wahren – also die Kontrolle über Daten, Systeme und Prozesse zu behalten, insbesondere gegenüber ausländischen Gerichtsbarkeiten.

Merkmale einer souveränen Cloud in der EU:

• Europäisches Eigentum und europäische Gerichtsbarkeit
• Datenresidenz ausschließlich in der EU
• Daten unterliegen den Gesetzen des Landes, in dem sie erhoben oder gespeichert werden
• Kein Zugriff durch ausländische Behörden oder Anbieter (z.  US Cloud Act)
• Einhaltung lokaler Vorschriften wie DSGVO, IT-SiG 2.0, NIS-2, DORA etc.
• Vermeidung von Vendor Lock-in und Kontrolle über eingesetzte Technologien
• Optionen für eigene Schlüssel

Diese Cloud-Modelle sind besonders relevant für:

• Öffentliche Verwaltungen
• Kritische Infrastrukturen (Gesundheit, Energie, Finanzen)
• Unternehmen mit hohen Datenschutzanforderungen.

Im Cloud Sovereignty Framework der Europäischen Kommission wird das Bewertungssystem Sovereignty Effectiveness Assurance Level (SEAL) beschrieben mit dem die EU misst, wie souverän ein Cloud‑Service wirklich ist.

Das Modell hat 5 Stufen, die den Souveränitätsgrad widerspiegeln:

• SEAL‑0: Keine Souveränität
  Service, Technologie und Betrieb sind unter voller Kontrolle von nicht EU-Anbietern, rechtlich außerhalb der EU
• SEAL‑1: Juristische Souveränität
  EU‑Recht gilt, aber externe Kontrolle möglich
• SEAL‑2: Datensouveränität
  Anwendbares und durchsetzbares EU-Recht, wobei wesentliche nicht-EU-Abhängigkeiten bestehen bleiben
• SEAL‑3: Digitale Resilienz
  Anwendbares und durchsetzbares EU-Recht, mit EU-Akteure, die bedeutenden, aber nicht vollständigen Einfluss haben.
• SEAL‑4:  Volle digitale Souveränität
  Technologie und Betrieb unter voller EU-Kontrolle, nur Gegenstand des EU-Rechts, ohne kritische Nicht-EU-Abhängigkeiten.

Derzeit gibt es keine SEAL-4 Cloud. Nicht einmal das eigene Rechenzentrum eines Unternehmens entspricht SEAL-4. Sehr wahrscheinlich kommt ein Großteil der Software und Hardware von US-Unternehmen, insbesondere auch Patches für OpenSource Software.

Ein US‑Hyperscaler mit EU‑Region kann nur unter SEAL‑1 oder SEAL‑2 fallen, weil er weiterhin unter US‑Gesetze wie den CLOUD Act fällt.

Die „perfekte Souveränität“ gibt es also derzeit nicht.

Folgende Leitfragen unterstützen mit dieser Situation umzugehen:

• Welche Daten sollen welchen Grad an Souveränität haben?
• Wieviel Aufwand darf bezüglich Budgets und Personal betrieben werden?
• Welche Services sollten in der Cloud selbst betrieben werden und bei wo kann sich auf fertige Services vom Dienstleister verlassen werden? Was kann dies für Folgen haben?
• Ist es von Vorteil mehrere Public Cloud Anbieter zu nutzen?

Nicht-europäische Anbieter mit souveränen Cloud-Angeboten für Deutschland

Große US-amerikanische Hyperscaler haben auf die Anforderungen in Europa reagiert und bieten spezifische souveräne Cloud-Lösungen an.

Microsoft – Sovereign Azure

• Sovereign Private Cloud: Datenverarbeitung vollständig unter Kontrolle des Kunden, auch physisch vom Internet und anderen externen Netzwerken getrennt ist möglich.
• Microsoft 365 Local: Lokale Bereitstellung von Office-Diensten wie Exchange und SharePoint.
• Zusammenarbeit mit lokalen Partnern in Deutschland.
• Ziel: Kein Zugriff durch Microsoft selbst auf Kundendaten.

Amazon Web Services (AWS)

• AWS bietet in Deutschland Rechenzentren an und arbeitet an souveränen Cloud-Modellen.
• Noch nicht vollständig „souverän“ im Sinne der EU-Definition, aber mit zunehmender Anpassung an europäische Anforderungen.
• Fokus auf DSGVO-Konformität und Datenresidenz.

Google Cloud

• Google bietet ebenfalls Dienste mit Datenresidenz in Deutschland.
• Partnerschaften mit lokalen Unternehmen zur Erhöhung der Souveränität.
• Sovereign Controls und Verschlüsselungstechnologien zur Minimierung des Zugriffs durch Google selbst.

Diese Anbieter reagieren auf die Kritik am US CLOUD Act, der theoretisch Zugriff auf Daten weltweit erlaubt, wenn sie von US-Unternehmen verwaltet werden. Daher sind technische und rechtliche Maßnahmen zur Wahrung der Souveränität entscheidend und genau zu prüfen.

Trotz dieser Maßnahmen besteht eine Abhängigkeit in Form der Betriebssoftware. Wenn das US Unternehmen kein Update mehr für das Rechenzentrum am Standort Deutschland liefert, kann dort schnell ein Betriebsproblem entstehen.

Europäische Anbieter mit souveränen Cloud-Angeboten

Inzwischen haben sich in Europa diverse konkurrenzfähige Anbieter entwickelt.

Mit STACKIT hat die Schwarz Gruppe einen Hyperscaler entwickelt der 100 % deutsches Eigentum ist und die Rechenzentren ausschließlich in Deutschland betreibt. Der Schwerpunkt liegt bei der öffentlichen Verwaltung, KRITIS und große Industrieunternehmen.

Weitere Merkmale sind

• Vollständige juristische und operative Souveränität
• Fokus auf Enterprise & kritische Infrastrukturen
• DSGVO-, NIS2-, BSI‑C5‑konform
• Moderne IaaS/PaaS‑Dienste (Kubernetes, Object Storage, DBaaS)
• Architektur mit offenen und weltweiten Industriestandards

Aus Frankreich kommt mit OVHcloud eine große europäische Cloud die Mitglied bei Gaia‑X ist.

Weitere Merkmale sind

• EU‑weit verteilte Rechenzentren
• Keine US‑Tochter, damitkein Cloud‑Act‑Risiko
• Gute IaaS/PaaS‑Abdeckung

Die Deutsche Telekom betreibt mit Open Telekom Cloud eine stark im Public Sector verankerte Cloud.

Weitere Merkmale sind

• Betrieb ausschließlich durch EU‑Personal
• Deutsche & EU‑Rechenzentren
• BSI C5, ISO 27001, DSGVO
• Hybrid‑ und Multi‑Cloud‑Strategien möglich
• Kombination aus Souveränität + Konzernstabilität

Fazit

Der Artikel soll nicht vor der Nutzung einer Public Cloud abschrecken, sondern sensibilisieren. Unternehmen mit sensiblen Daten nutzen Dienste in einer Public Cloud und inzwischen gibt es auch in Deutschland ernst zu nehmende Anbieter unabhängiger Services. Gerne begleiten wir Sie bei der Auswahl geeigneter Anbieter und bei der Cloud Journey.

---

Über den Autor

Andreas Dvorak ist bei der Be – Shaping the Future als Senior Technical Analyst beschäftigt und bringt langjährige Erfahrung im Bereich von Betrieb, Automatisierung und Monitoring von On-Premises und Cloud Umgebungen mit.