Amazon, Microsoft und Google kontrollieren 70% des europäischen Cloud-Marktes – europäische Anbieter halten nur noch 15%. Synergy Research: European Cloud Providers Hold 15% Market Share Für deutsche Mittelständler wird diese Abhängigkeit zum strategischen Risiko: Der US CLOUD Act, verschärfte EU-Regulierung und geopolitische Spannungen machen die Anbieterwahl zur strategischen Entscheidung. Dieser Guide zeigt, was Souveränität wirklich bedeutet, welche EU-Anbieter in Frage kommen und wie Sie die Migration planen.
Was „souverän" wirklich bedeutet
Viele Unternehmen verwechseln Datenresidenz mit Datensouveränität. Ein AWS-Server in Frankfurt speichert Daten zwar physisch in Deutschland, aber Amazon als US-Unternehmen unterliegt dem CLOUD Act – und muss auf Anfrage von US-Behörden Daten herausgeben, unabhängig vom Speicherort. Igor's Lab: BMI-Gutachten bestätigt Risiken für Datensouveränität
Echte Souveränität erfordert drei Kriterien:
- Rechtliche Souveränität: Der Anbieter unterliegt ausschließlich EU-Recht – keine US-Muttergesellschaft, keine CLOUD-Act-Exposition
- Datenresidenz: Daten werden physisch in der EU gespeichert und verarbeitet
- Operationelle Unabhängigkeit: Betrieb und Support erfolgen durch EU-Personal, ohne Zugriff durch Drittstaaten
Ein Rechenzentrum in Frankfurt bei einem US-Anbieter erfüllt nur Kriterium 2. Für die DSGVO-Konformität und NIS2-Lieferkettensicherheit reicht das nicht aus.
Das CLOUD-Act-Problem
Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben – unabhängig vom physischen Speicherort. Microsofts eigener Rechtsberater gab 2025 vor dem französischen Senat zu: „Nein, ich kann nicht garantieren, dass Daten nicht an US-Behörden weitergegeben werden." The Register: Microsoft Cannot Guarantee Data Sovereignty
Eine detaillierte Analyse der rechtlichen Implikationen finden Sie in unserem Artikel US CLOUD Act: Warum AWS Frankfurt keine Datensouveränität garantiert.
EU-souveräne Cloud-Anbieter im Vergleich
Fünf EU-Anbieter erfüllen die drei Souveränitätskriterien. Alle sind in der EU ansässig, haben keine US-Muttergesellschaft und unterliegen damit nicht dem US CLOUD Act: Gart Solutions: EU Cloud Provider Guide (2026)
Hetzner (Deutschland) – Headquarter in Gunzenhausen, Bayern. Rechenzentren in Nürnberg, Falkenstein und Helsinki. Bekannt für aggressives Preis-Leistungs-Verhältnis und eine entwicklerfreundliche API. NVMe-SSD-Cloud-Server mit AMD EPYC CPUs.
IONOS (Deutschland) – mehrheitlich Teil der börsennotierten United Internet AG. Eigene Rechenzentren in mehreren Ländern, u.a. Deutschland, Frankreich, Großbritannien, Spanien und den USA, ISO-27001-zertifiziert.
OVHcloud (Frankreich) – größter in Europa ansässiger Cloud-Infrastruktur-Anbieter mit über 1 Milliarde EUR Jahresumsatz (Geschäftsjahr 2025: 1.084,6 Mio. EUR). Breites Service-Spektrum von VPS bis Bare Metal. OVHcloud: Geschäftsergebnis FY2025 (Umsatz 1.084,6 Mio. EUR)
Open Telekom Cloud (Deutschland) – Betrieben von T-Systems (Deutsche Telekom). BSI C5-zertifiziert, OpenStack-basiert. Hochverfügbarkeitszonen in Deutschland und den Niederlanden. Open Telekom Cloud
STACKIT (Deutschland) – Cloud-Plattform der Schwarz-Gruppe (Lidl/Kaufland). Rechenzentren in Deutschland und Österreich, starke DSGVO-Positionierung. STACKIT: Die souveräne Cloud
| Kriterium | Hetzner | AWS Frankfurt |
|---|---|---|
| Eigentümer | Hetzner GmbH, Gunzenhausen (DE) | Amazon.com Inc., Seattle (US) |
| CLOUD Act | Keine Exposition | Voll exponiert |
| BSI C5 | In Vorbereitung | Zertifiziert |
| DSGVO | Nativ konform – nur EU-Recht | Rechtskonflikt mit US-Recht |
| Kosten (vergleichbarer Server) | Bruchteil der AWS-Kosten | Hyperscaler-Niveau |
| Vendor Lock-in | Gering – Standard-APIs | Hoch – proprietäre Services |
| Rechenzentren | Nürnberg, Falkenstein, Helsinki | Frankfurt (US-Betreiber) |
Kostenvorteil EU-souveräner Anbieter
Souveräne Alternativen gelten als teuer – das stimmt nicht. EU-Anbieter wie Hetzner bieten vergleichbare Rechenleistung zu einem Bruchteil der Hyperscaler-Preise; den detaillierten Kostenvergleich für eine konkrete Konfiguration zeigt unser Artikel Hetzner vs. AWS.
Der Preisvorteil entsteht durch schlankere Organisationsstrukturen, geringere Margen und den Verzicht auf ein globales Marketing-Budget. Natürlich fehlen bei EU-Anbietern einige der hochgradig verwalteten Services (wie AWS Lambda oder DynamoDB) – aber für die meisten Workloads sind Standard-Container, PostgreSQL und Object Storage völlig ausreichend. DEV.to: Best European Cloud Hosting Providers 2025
BSI C5: Der deutsche Cloud-Sicherheitsstandard
Das Cloud Computing Compliance Criteria Catalogue (C5:2020) des BSI umfasst 121 Kriterien in 17 Themenbereichen und gilt als maßgeblicher Standard für Cloud-Sicherheit in Deutschland. Behörden und regulierte Branchen (Banken, Versicherungen, Gesundheitswesen) verlangen zunehmend C5-Konformität als Vertragsvoraussetzung. BSI: C5 Kriterienkatalog
Die aktualisierte Version C5:2025 wird voraussichtlich 2026 finalisiert und bringt erweiterte Anforderungen für Supply-Chain-Sicherheit, KI-spezifische Cloud-Dienste und Zero-Trust-Architekturen. Schellman: Updates to BSI C5 Standard
Gaia-X und europäische Cloud-Standards
Gaia-X stellt keine eigene Cloud bereit. Es definiert Standards und Interoperabilitätsregeln für europäische Cloud-Dienste. Das Gaia-X Trust Framework 3.0 („Danube Release") ermöglicht es Organisationen, branchenspezifische Compliance-Anforderungen als Erweiterungen hinzuzufügen, ohne die technische Interoperabilität zu opfern. InfoQ: Gaia-X Trust Framework 3.0 – Danube Release
Allerdings steht Gaia-X in der Kritik: Nachdem US-Hyperscaler wie Microsoft, Google und AWS in die Initiative aufgenommen wurden, sehen Kritiker den ursprünglichen Souveränitätszweck als verwässert an. Für Unternehmen bleibt die pragmatische Empfehlung: Gaia-X-Standards als Orientierung nutzen, aber die Anbieterwahl anhand der drei Souveränitätskriterien (Recht, Residenz, Betrieb) treffen.
Migration: Was Sie erwartet
Phase 1 – Assessment (Monat 1–2): Bestandsaufnahme aller Cloud-Dienste, Datenflüsse und Abhängigkeiten. CLOUD-Act-Exposition bewerten. Zielarchitektur definieren.
Phase 2 – Planung (Monat 2–3): Migrationsreihenfolge festlegen, Fallback-Strategie planen, Datenmigrationstools auswählen. Kosten-Nutzen-Analyse der Zielinfrastruktur.
Phase 3 – Migration (Monat 3–12): Schrittweise Migration mit parallelem Betrieb. Containerisierte Workloads (Docker/Kubernetes) lassen sich am einfachsten migrieren. Datenbankmigration erfordert besondere Sorgfalt.
Phase 4 – Validierung (Monat 12–14): Performance-Tests, Security-Audit, Compliance-Prüfung. Alten Anbieter erst nach erfolgreicher Validierung kündigen.
Seit dem 12. September 2025 verpflichtet der EU Data Act Cloud-Anbieter, den Wechsel technisch zu erleichtern und Barrieren abzubauen – ein wichtiger Hebel für Unternehmen, die migrieren wollen. Europäische Kommission: Data Act (Cloud-Switching seit 12.09.2025)
Praktische Schritte für KMU
- CLOUD-Act-Audit durchführen: Prüfen Sie, ob Ihr aktueller Cloud-Anbieter oder dessen Muttergesellschaft US-Jurisdiktion unterliegt
- Datenkategorisierung: Klassifizieren Sie Daten nach Sensitivität – nicht alles muss sofort migriert werden
- Exit-Strategie dokumentieren: Viele Mittelständler haben keine – ein Risiko unter den NIS2-Lieferketten- und Notfallmanagement-Pflichten
- Containerisierung vorantreiben: Docker und Kubernetes machen den Wechsel des Cloud-Anbieters deutlich einfacher
- Infrastructure as Code: Terraform-basierte Infrastruktur ist anbieterunabhängig reproduzierbar
- Pilotprojekt starten: Migrieren Sie zunächst eine nicht-kritische Anwendung, um Erfahrung zu sammeln
Im kostenlosen Erstgespräch klären wir Ausgangslage und Ziel; die Analyse prüft anschließend Ihre Cloud-Infrastruktur auf CLOUD-Act-Exposition. Die vollständige Migration und Härtung auf Hetzner liefern wir für €6.000 pro Monat über 6 Monate (€36.000 gesamt) – mit einer funktionierenden App als Ergebnis, inklusive Containerisierung und Terraform-Setup.
Häufig gestellte Fragen
Was bedeutet souveränes Hosting?
Ist Hetzner eine echte Alternative zu AWS?
Welche EU-Cloud-Anbieter gibt es?
Wie lange dauert eine Cloud-Migration?
Was ist BSI C5?
Warum sollte ich jetzt migrieren?
Quellen
- Synergy Research: European Cloud Providers Hold 15% Market Share (2025)
- Igor's Lab: BMI-Gutachten bestätigt Risiken (2025)
- The Register: Microsoft Cannot Guarantee Data Sovereignty (2025)
- TWINSOFT: EU-Daten in Gefahr – BMI-Gutachten
- Gart Solutions: EU Cloud Provider Guide (2026)
- OVHcloud: Geschäftsergebnis FY2025 (Umsatz 1.084,6 Mio. EUR)
- Open Telekom Cloud – Deutsche Telekom
- STACKIT: Die souveräne Cloud der Schwarz-Gruppe
- DEV.to: Best European Cloud Hosting Providers 2025
- BSI: C5 Kriterienkatalog
- Schellman: Updates to BSI C5 Standard
- InfoQ: Gaia-X Trust Framework 3.0 – Danube Release (2026)
- Kansoft: Cloud Migration Challenges for SMEs 2026
- Europäische Kommission: Data Act (Cloud-Switching seit 12.09.2025)