Zum Inhalt springen
Insights

Souveränes Hosting Guide

EU-souveränes Hosting: Der komplette Guide für deutsche KMU, die sich von US-Hyperscalern lösen.

Zuletzt aktualisiert: 2026-06-23

Amazon, Microsoft und Google kontrollieren 70% des europäischen Cloud-Marktes – europäische Anbieter halten nur noch 15%. Synergy Research: European Cloud Providers Hold 15% Market Share Für deutsche Mittelständler wird diese Abhängigkeit zum strategischen Risiko: Der US CLOUD Act, verschärfte EU-Regulierung und geopolitische Spannungen machen die Anbieterwahl zur strategischen Entscheidung. Dieser Guide zeigt, was Souveränität wirklich bedeutet, welche EU-Anbieter in Frage kommen und wie Sie die Migration planen.

78%
der CIOs priorisieren digitale Souveränität (Lünendonk-Studie 2025)
70%
des EU-Cloud-Markts werden von US-Hyperscalern kontrolliert
83%
der Unternehmen halten einseitige Zugangsbeschränkungen für realistisch
100 Mrd. €
prognostiziertes Volumen des EU-Sovereign-Cloud-Marktes bis 2031

Was „souverän" wirklich bedeutet

Viele Unternehmen verwechseln Datenresidenz mit Datensouveränität. Ein AWS-Server in Frankfurt speichert Daten zwar physisch in Deutschland, aber Amazon als US-Unternehmen unterliegt dem CLOUD Act – und muss auf Anfrage von US-Behörden Daten herausgeben, unabhängig vom Speicherort. Igor's Lab: BMI-Gutachten bestätigt Risiken für Datensouveränität

Echte Souveränität erfordert drei Kriterien:

  1. Rechtliche Souveränität: Der Anbieter unterliegt ausschließlich EU-Recht – keine US-Muttergesellschaft, keine CLOUD-Act-Exposition
  2. Datenresidenz: Daten werden physisch in der EU gespeichert und verarbeitet
  3. Operationelle Unabhängigkeit: Betrieb und Support erfolgen durch EU-Personal, ohne Zugriff durch Drittstaaten

Ein Rechenzentrum in Frankfurt bei einem US-Anbieter erfüllt nur Kriterium 2. Für die DSGVO-Konformität und NIS2-Lieferkettensicherheit reicht das nicht aus.

Das CLOUD-Act-Problem

Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben – unabhängig vom physischen Speicherort. Microsofts eigener Rechtsberater gab 2025 vor dem französischen Senat zu: „Nein, ich kann nicht garantieren, dass Daten nicht an US-Behörden weitergegeben werden." The Register: Microsoft Cannot Guarantee Data Sovereignty

Eine detaillierte Analyse der rechtlichen Implikationen finden Sie in unserem Artikel US CLOUD Act: Warum AWS Frankfurt keine Datensouveränität garantiert.

EU-souveräne Cloud-Anbieter im Vergleich

Fünf EU-Anbieter erfüllen die drei Souveränitätskriterien. Alle sind in der EU ansässig, haben keine US-Muttergesellschaft und unterliegen damit nicht dem US CLOUD Act: Gart Solutions: EU Cloud Provider Guide (2026)

Hetzner (Deutschland) – Headquarter in Gunzenhausen, Bayern. Rechenzentren in Nürnberg, Falkenstein und Helsinki. Bekannt für aggressives Preis-Leistungs-Verhältnis und eine entwicklerfreundliche API. NVMe-SSD-Cloud-Server mit AMD EPYC CPUs.

IONOS (Deutschland) – mehrheitlich Teil der börsennotierten United Internet AG. Eigene Rechenzentren in mehreren Ländern, u.a. Deutschland, Frankreich, Großbritannien, Spanien und den USA, ISO-27001-zertifiziert.

OVHcloud (Frankreich) – größter in Europa ansässiger Cloud-Infrastruktur-Anbieter mit über 1 Milliarde EUR Jahresumsatz (Geschäftsjahr 2025: 1.084,6 Mio. EUR). Breites Service-Spektrum von VPS bis Bare Metal. OVHcloud: Geschäftsergebnis FY2025 (Umsatz 1.084,6 Mio. EUR)

Open Telekom Cloud (Deutschland) – Betrieben von T-Systems (Deutsche Telekom). BSI C5-zertifiziert, OpenStack-basiert. Hochverfügbarkeitszonen in Deutschland und den Niederlanden. Open Telekom Cloud

STACKIT (Deutschland) – Cloud-Plattform der Schwarz-Gruppe (Lidl/Kaufland). Rechenzentren in Deutschland und Österreich, starke DSGVO-Positionierung. STACKIT: Die souveräne Cloud

KriteriumHetznerAWS Frankfurt
EigentümerHetzner GmbH, Gunzenhausen (DE)Amazon.com Inc., Seattle (US)
CLOUD ActKeine ExpositionVoll exponiert
BSI C5In VorbereitungZertifiziert
DSGVONativ konform – nur EU-RechtRechtskonflikt mit US-Recht
Kosten (vergleichbarer Server)Bruchteil der AWS-KostenHyperscaler-Niveau
Vendor Lock-inGering – Standard-APIsHoch – proprietäre Services
RechenzentrenNürnberg, Falkenstein, HelsinkiFrankfurt (US-Betreiber)

Kostenvorteil EU-souveräner Anbieter

Souveräne Alternativen gelten als teuer – das stimmt nicht. EU-Anbieter wie Hetzner bieten vergleichbare Rechenleistung zu einem Bruchteil der Hyperscaler-Preise; den detaillierten Kostenvergleich für eine konkrete Konfiguration zeigt unser Artikel Hetzner vs. AWS.

Der Preisvorteil entsteht durch schlankere Organisationsstrukturen, geringere Margen und den Verzicht auf ein globales Marketing-Budget. Natürlich fehlen bei EU-Anbietern einige der hochgradig verwalteten Services (wie AWS Lambda oder DynamoDB) – aber für die meisten Workloads sind Standard-Container, PostgreSQL und Object Storage völlig ausreichend. DEV.to: Best European Cloud Hosting Providers 2025

BSI C5: Der deutsche Cloud-Sicherheitsstandard

Das Cloud Computing Compliance Criteria Catalogue (C5:2020) des BSI umfasst 121 Kriterien in 17 Themenbereichen und gilt als maßgeblicher Standard für Cloud-Sicherheit in Deutschland. Behörden und regulierte Branchen (Banken, Versicherungen, Gesundheitswesen) verlangen zunehmend C5-Konformität als Vertragsvoraussetzung. BSI: C5 Kriterienkatalog

Die aktualisierte Version C5:2025 wird voraussichtlich 2026 finalisiert und bringt erweiterte Anforderungen für Supply-Chain-Sicherheit, KI-spezifische Cloud-Dienste und Zero-Trust-Architekturen. Schellman: Updates to BSI C5 Standard

Gaia-X und europäische Cloud-Standards

Gaia-X stellt keine eigene Cloud bereit. Es definiert Standards und Interoperabilitätsregeln für europäische Cloud-Dienste. Das Gaia-X Trust Framework 3.0 („Danube Release") ermöglicht es Organisationen, branchenspezifische Compliance-Anforderungen als Erweiterungen hinzuzufügen, ohne die technische Interoperabilität zu opfern. InfoQ: Gaia-X Trust Framework 3.0 – Danube Release

Allerdings steht Gaia-X in der Kritik: Nachdem US-Hyperscaler wie Microsoft, Google und AWS in die Initiative aufgenommen wurden, sehen Kritiker den ursprünglichen Souveränitätszweck als verwässert an. Für Unternehmen bleibt die pragmatische Empfehlung: Gaia-X-Standards als Orientierung nutzen, aber die Anbieterwahl anhand der drei Souveränitätskriterien (Recht, Residenz, Betrieb) treffen.

Migration: Was Sie erwartet

Phase 1 – Assessment (Monat 1–2): Bestandsaufnahme aller Cloud-Dienste, Datenflüsse und Abhängigkeiten. CLOUD-Act-Exposition bewerten. Zielarchitektur definieren.

Phase 2 – Planung (Monat 2–3): Migrationsreihenfolge festlegen, Fallback-Strategie planen, Datenmigrationstools auswählen. Kosten-Nutzen-Analyse der Zielinfrastruktur.

Phase 3 – Migration (Monat 3–12): Schrittweise Migration mit parallelem Betrieb. Containerisierte Workloads (Docker/Kubernetes) lassen sich am einfachsten migrieren. Datenbankmigration erfordert besondere Sorgfalt.

Phase 4 – Validierung (Monat 12–14): Performance-Tests, Security-Audit, Compliance-Prüfung. Alten Anbieter erst nach erfolgreicher Validierung kündigen.

Seit dem 12. September 2025 verpflichtet der EU Data Act Cloud-Anbieter, den Wechsel technisch zu erleichtern und Barrieren abzubauen – ein wichtiger Hebel für Unternehmen, die migrieren wollen. Europäische Kommission: Data Act (Cloud-Switching seit 12.09.2025)

Praktische Schritte für KMU

  1. CLOUD-Act-Audit durchführen: Prüfen Sie, ob Ihr aktueller Cloud-Anbieter oder dessen Muttergesellschaft US-Jurisdiktion unterliegt
  2. Datenkategorisierung: Klassifizieren Sie Daten nach Sensitivität – nicht alles muss sofort migriert werden
  3. Exit-Strategie dokumentieren: Viele Mittelständler haben keine – ein Risiko unter den NIS2-Lieferketten- und Notfallmanagement-Pflichten
  4. Containerisierung vorantreiben: Docker und Kubernetes machen den Wechsel des Cloud-Anbieters deutlich einfacher
  5. Infrastructure as Code: Terraform-basierte Infrastruktur ist anbieterunabhängig reproduzierbar
  6. Pilotprojekt starten: Migrieren Sie zunächst eine nicht-kritische Anwendung, um Erfahrung zu sammeln

Im kostenlosen Erstgespräch klären wir Ausgangslage und Ziel; die Analyse prüft anschließend Ihre Cloud-Infrastruktur auf CLOUD-Act-Exposition. Die vollständige Migration und Härtung auf Hetzner liefern wir für €6.000 pro Monat über 6 Monate (€36.000 gesamt) – mit einer funktionierenden App als Ergebnis, inklusive Containerisierung und Terraform-Setup.

Häufig gestellte Fragen

Was bedeutet souveränes Hosting?
Echte Souveränität erfordert drei Kriterien: Der Anbieter unterliegt ausschließlich EU-Recht (keine US-Muttergesellschaft), Daten werden physisch in der EU gespeichert, und Betrieb und Support erfolgen durch EU-Personal ohne Drittstaaten-Zugriff.
Ist Hetzner eine echte Alternative zu AWS?
Für die meisten Workloads ja. Hetzner bietet vergleichbare Rechenleistung zu einem Bruchteil der AWS-Preise. Standard-Container, PostgreSQL und Object Storage decken die Anforderungen der meisten SaaS-Plattformen ab.
Welche EU-Cloud-Anbieter gibt es?
Hetzner (Deutschland), IONOS (Deutschland), OVHcloud (Frankreich), Open Telekom Cloud (Deutsche Telekom), STACKIT (Schwarz-Gruppe) und Scaleway (Frankreich). Alle sind in der EU ansässig, haben keine US-Muttergesellschaft und unterliegen damit nicht dem US CLOUD Act.
Wie lange dauert eine Cloud-Migration?
Typischerweise 6 bis 18 Monate. 82% der gescheiterten Migrationen scheitern an unzureichender Planung. Containerisierte Workloads lassen sich am einfachsten migrieren. Der EU Data Act verpflichtet Cloud-Anbieter seit September 2025, den Wechsel technisch zu erleichtern.
Was ist BSI C5?
Der Cloud Computing Compliance Criteria Catalogue (C5:2020) des BSI umfasst 121 Kriterien in 17 Themenbereichen und gilt als maßgeblicher Standard für Cloud-Sicherheit in Deutschland. Behörden und regulierte Branchen verlangen zunehmend C5-Konformität.
Warum sollte ich jetzt migrieren?
NIS2 verlangt eine Lieferketten-Risikobewertung, der EU Data Act erleichtert seit September 2025 den Anbieterwechsel, und die US-Überwachungsbefugnis FISA 702 stand im April 2026 zur Neugenehmigung an. Die regulatorische Richtung geht eindeutig weg von US-Abhängigkeiten.

Quellen

Bereit loszulegen?

Buchen Sie ein kostenloses Erstgespräch. Wir hören zu und sagen Ihnen ehrlich, was Ihr Projekt braucht.