Wer in der Cloud über Datenhoheit spricht, sollte nicht nur nach Eigentum fragen. Für IT-Entscheider entscheidet sich Kontrolle heute an anderen Punkten: Wer darf im Betrieb zugreifen? Welcher Rechtsraum greift im Konfliktfall? Wie unabhängig bleibt ein Anbieterwechsel? Genau diese Spannung beschreibt auch der aktuelle Golem-Beitrag: Zwischen Cloud-Versprechen, Technik, Recht und Politik wird aus der Eigentumsfrage vor allem eine Governance-Frage.
Datenresidenz ist nicht gleich Datenhoheit
Wie relevant der Rechtsraum bleibt, zeigt eine im Dezember 2025 bekannt gewordene Analyse für das Bundesinnenministerium. Laut heise kommen die Gutachter zu dem Schluss, dass US-Behörden weitreichenden Zugriff auch auf Daten haben können, die in europäischen Rechenzentren liegen. Maßgeblich sei nicht nur der Speicherort, sondern auch, wer die Kontrolle über die Daten ausübt.
Auch Microsoft hat die Debatte selbst verschärft. Einerseits meldete der Konzern im Februar 2025 den Abschluss seiner EU Data Boundary: Kundendaten, pseudonymisierte personenbezogene Daten und bestimmte Support-Daten für zentrale Cloud-Dienste können damit in der EU und den EFTA-Staaten gespeichert und verarbeitet werden. Andererseits sagte der Chefjustiziar von Microsoft Frankreich im Juli 2025 vor dem französischen Senat laut heise, Microsoft könne nicht garantieren, dass EU-Daten niemals an die US-Regierung weitergegeben werden. Das zeigt die Lücke zwischen Datenresidenz und juristisch unangreifbarer Souveränität.
EU setzt den Rahmen neu
Auch regulatorisch verschiebt sich der Fokus. Der Data Act gilt seit dem 12. September 2025 und soll den Wechsel zwischen Anbietern von Datenverarbeitungsdiensten erleichtern. Nach Angaben der EU-Kommission müssen Kunden schneller und reibungsloser wechseln können, ohne Daten oder Anwendungsfunktionen zu verlieren. Anbieter von Plattform- und Softwarediensten sollen dafür offene Schnittstellen bereitstellen und Daten in gängigen, maschinenlesbaren Formaten exportierbar machen.
Parallel dazu hat die EU-Kommission im Oktober 2025 ihr Cloud Sovereignty Framework veröffentlicht und einen Tender über bis zu 180 Millionen Euro für souveräne Cloud-Dienste gestartet. Das Framework bewertet Souveränität über acht konkrete Ziele hinweg, darunter strategische, rechtliche und operative Aspekte, technologische Offenheit, Lieferkettentransparenz, Sicherheit und die Einhaltung von EU-Recht. Die Kommission positioniert den Rahmen ausdrücklich als Referenz für Anbieter und als Impulsgeber für den Markt, vor allem im öffentlichen Sektor.
Anbieter reagieren mit souveränen Angeboten
Die großen Provider reagieren bereits. AWS hat seine European Sovereign Cloud im Januar 2026 allgemein verfügbar gemacht. Nach Angaben des Unternehmens ist die Infrastruktur physisch und logisch von anderen AWS-Regionen getrennt, vollständig in der EU angesiedelt und zunächst mit einer eigenständigen Region in Brandenburg gestartet. Weitere souveräne Local Zones in Belgien, den Niederlanden und Portugal sind angekündigt. AWS verweist zudem auf ein Betriebsmodell mit EU-ansässigem Personal und europäischen Rechtseinheiten. Auch politisch gewinnt das Thema an Schärfe. AP berichtete im Februar 2026, dass Frankreich bis 2027 US-Videokonferenzdienste wie Teams, Zoom, Webex und GoTo Meeting für 2,5 Millionen Staatsbedienstete durch die heimische Lösung Visio ersetzen will. Die Begründung: mehr Sicherheit, Vertraulichkeit und digitale Souveränität.
Was jetzt zählt
Für IT-Entscheider lautet die zentrale Frage damit nicht mehr nur, wo Daten liegen. Entscheidend ist, wer Zugriffe genehmigen kann, unter welchem Rechtsrahmen der Anbieter operiert, wie Support und Admin-Zugriffe organisiert sind und wie realistisch ein Wechsel ohne Reibungsverluste tatsächlich ist. Die aktuelle Entwicklung in Europa zeigt klar: Datenhoheit wird nicht über Marketingversprechen definiert, sondern über Jurisdiktion, technische Kontrollmechanismen und belastbare Exit-Szenarien.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.