Europas IT steht vor einer neuen Grundsatzfrage
Digitale Souveränität ist kein abstraktes politisches Schlagwort mehr. Für Unternehmen wird sie zunehmend zu einer strategischen Frage: Wie abhängig ist die eigene IT von einzelnen Cloud-Anbietern, Plattformen und Rechtsräumen – und wie handlungsfähig bleibt das Unternehmen, wenn sich regulatorische, geopolitische oder wirtschaftliche Rahmenbedingungen verändern?
Der Druck wächst, weil Europa in zentralen digitalen Bereichen stark von Nicht-EU-Anbietern abhängig ist. Die EU-Kommission verweist darauf, dass die Europäische Union bei mehr als 80 Prozent wichtiger digitaler Produkte, Dienste, Infrastrukturen und geistigen Eigentums auf Drittstaaten angewiesen ist. Die Verringerung dieser Abhängigkeit sieht sie als Voraussetzung für wirtschaftliche Stärke, Sicherheit und langfristige Wettbewerbsfähigkeit.
US-Hyperscaler dominieren den Markt
Besonders sichtbar wird diese Abhängigkeit in der Cloud. Laut Synergy Research halten europäische Cloud-Anbieter nur rund 15 Prozent des europäischen Marktes. Amazon, Microsoft und Google kommen zusammen auf etwa 70 Prozent.
Für Unternehmen ist das zunächst nachvollziehbar. US-Hyperscaler bieten hohe Skalierbarkeit, breite Service-Portfolios, starke KI-Funktionen und globale Betriebsreife. Genau deshalb sind sie tief in Unternehmens-IT, Collaboration-Umgebungen, Datenplattformen und moderne Workloads integriert.
Das Problem liegt daher nicht in der Nutzung dieser Anbieter an sich. Das Risiko entsteht, wenn zentrale Geschäftsprozesse, sensible Daten und strategische Zukunftstechnologien ohne belastbare Ausweich-, Kontroll- und Exit-Optionen an wenige Plattformen gebunden sind.
Souveränität bedeutet mehr als Datenstandort
Cloud-Souveränität wird häufig auf die Frage reduziert, ob Daten in europäischen Rechenzentren gespeichert werden. Das greift zu kurz. Entscheidend ist nicht nur, wo Daten liegen, sondern auch, wer den Dienst kontrolliert, welchem Rechtsraum der Anbieter unterliegt, wer Zugriff auf Systeme und Schlüssel hat und wie transparent Datenflüsse und Unterauftragsverhältnisse geregelt sind.
Genau diese Fragen rücken zunehmend in den Fokus der Regulierung. Der Europäische Datenschutzbeauftragte stellte 2024 fest, dass die EU-Kommission bei der Nutzung von Microsoft 365 gegen Datenschutzregeln für EU-Institutionen verstoßen hatte. Beanstandet wurden unter anderem Themen rund um internationale Datentransfers und Zweckbindung. 2025 teilte der EDPS mit, dass die Kommission nach Durchsetzungsmaßnahmen Compliance nachgewiesen habe.
Für IT-Entscheider ist dieser Fall relevant, weil er zeigt: Selbst etablierte Standardlösungen müssen regelmäßig rechtlich, technisch und organisatorisch überprüft werden. Cloud-Nutzung ist nicht automatisch compliant, nur weil ein Anbieter marktführend ist oder europäische Rechenzentren nutzt.
Die EU macht Souveränität messbarer
Die Europäische Kommission reagiert inzwischen auch über die eigene Beschaffung. Im April 2026 vergab sie einen Sovereign-Cloud-Rahmen, über den EU-Institutionen, Einrichtungen und Agenturen über sechs Jahre Cloud-Dienste bis zu einem Volumen von 180 Millionen Euro beziehen können.
Dazu gehört ein Cloud Sovereignty Framework, das Souveränität nicht eindimensional betrachtet. Es bewertet unter anderem, wie stark ein Cloud-Angebot rechtlich, finanziell und industriell im europäischen Ökosystem verankert ist.
Damit wird Souveränität zunehmend zu einem konkreten Bewertungskriterium. Nicht jedes Angebot, das als „souverän“ vermarktet wird, erfüllt automatisch dieselben Anforderungen. Für Unternehmen bedeutet das: Cloud-Entscheidungen sollten künftig nicht nur nach Kosten, Performance und Funktionsumfang bewertet werden, sondern auch nach Kontrollfähigkeit, Rechtsraum, Transparenz und Wechselbarkeit.
Kein radikaler Ausstieg, sondern kontrollierte Abhängigkeit
Für die meisten Unternehmen wäre ein kurzfristiger Ausstieg aus US-Clouds weder realistisch noch sinnvoll. Die dominierenden Anbieter sind tief in bestehende IT-Landschaften integriert und liefern Funktionen, die europäische Alternativen nicht in jedem Bereich gleichwertig abdecken.
Auch aktuelle Presseberichte zeigen eher eine Verschiebung als einen harten Bruch. Thales und Google Cloud haben beispielsweise angekündigt, bis Ende 2026 eine souveräne Cloud-Plattform in Deutschland aufzubauen. Gleichzeitig wird in der Debatte kritisch diskutiert, ob europäische Souveränität vollständig erreichbar ist, wenn wesentliche Technologie weiterhin von US-Anbietern stammt.
Der realistische Weg liegt daher nicht in pauschaler Abkehr, sondern in bewusster Steuerung. Unternehmen müssen wissen, welche Workloads kritisch sind, welche Daten besonders schutzwürdig sind, wo Anbieterabhängigkeiten entstehen und welche Alternativen im Ernstfall verfügbar wären.
Was IT-Entscheider jetzt prüfen sollten
Für IT-Verantwortliche wird Cloud-Souveränität damit zu einer Managementaufgabe. Es reicht nicht mehr, Cloud-Strategien ausschließlich an Effizienz, Skalierbarkeit und Innovationsgeschwindigkeit auszurichten. Entscheidend ist auch, ob das Unternehmen langfristig handlungsfähig bleibt.
Dazu gehören klare Antworten auf zentrale Fragen: Welche Daten und Anwendungen sind geschäftskritisch? Welche Anbieter kontrollieren zentrale Infrastrukturkomponenten? Wie realistisch ist ein Anbieterwechsel? Wo bestehen rechtliche Risiken durch internationale Datentransfers? Und welche Workloads sollten bewusst europäisch, hybrid oder besonders abgesichert betrieben werden?
Die wichtigste Erkenntnis lautet: Digitale Souveränität bedeutet nicht Abschottung. Sie bedeutet Kontrolle, Transparenz und Wahlfreiheit. Unternehmen, die ihre Cloud-Abhängigkeiten heute aktiv bewerten, schaffen sich strategischen Spielraum. Unternehmen, die das Thema ignorieren, riskieren, dass aus technologischer Effizienz eine strukturelle Schwachstelle wird.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.