Souveränes Hosting Guide

Amazon, Microsoft und Google kontrollieren 70% des europäischen Cloud-Marktes — europäische Anbieter halten nur noch 15%. Synergy Research: European Cloud Providers Hold 15% Market Share Für deutsche Mittelständler wird diese Abhängigkeit zum strategischen Risiko: Der US CLOUD Act, verschärfte EU-Regulierung und geopolitische Spannungen machen souveräne Infrastruktur zur wirtschaftlichen Notwendigkeit. Dieser Guide zeigt Ihnen, was Souveränität wirklich bedeutet, welche EU-Anbieter in Frage kommen und wie Sie die Migration planen.

78%

der CIOs priorisieren digitale Souveränität (Lünendonk-Studie 2025)

70%

des EU-Cloud-Markts werden von US-Hyperscalern kontrolliert

83%

der Unternehmen halten einseitige Zugangsbeschränkungen für realistisch

100 Mrd. €

prognostiziertes Volumen des EU-Sovereign-Cloud-Marktes bis 2031

Was „souverän" wirklich bedeutet

Viele Unternehmen verwechseln Datenresidenz mit Datensouveränität. Ein AWS-Server in Frankfurt speichert Daten zwar physisch in Deutschland, aber Amazon als US-Unternehmen unterliegt dem CLOUD Act — und muss auf Anfrage von US-Behörden Daten herausgeben, unabhängig vom Speicherort. Igor's Lab: BMI-Gutachten bestätigt Risiken für Datensouveränität

Echte Souveränität erfordert drei Kriterien:

Rechtliche Souveränität: Der Anbieter unterliegt ausschließlich EU-Recht — keine US-Muttergesellschaft, keine CLOUD-Act-Exposition
Datenresidenz: Daten werden physisch in der EU gespeichert und verarbeitet
Operationelle Unabhängigkeit: Betrieb und Support erfolgen durch EU-Personal, ohne Zugriff durch Drittstaaten

Ein Rechenzentrum in Frankfurt bei einem US-Anbieter erfüllt nur Kriterium 2. Für die DSGVO-Konformität und NIS2-Lieferkettensicherheit reicht das nicht aus.

Das CLOUD-Act-Problem

Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben — unabhängig vom physischen Speicherort. Microsofts eigener Rechtsberater gab 2025 vor dem französischen Senat zu: „Nein, ich kann nicht garantieren, dass Daten nicht an US-Behörden weitergegeben werden." The Register: Microsoft Cannot Guarantee Data Sovereignty

Eine detaillierte Analyse der rechtlichen Implikationen finden Sie in unserem Artikel US CLOUD Act: Warum AWS Frankfurt keine Datensouveränität garantiert.

EU-souveräne Cloud-Anbieter im Vergleich

Die europäische Cloud-Landschaft bietet mehrere ernstzunehmende Alternativen. Alle folgenden Anbieter sind zu 100% in EU-Eigentum und unterliegen keiner US-Jurisdiktion: Gart Solutions: EU Cloud Provider Guide (2026)

Hetzner (Deutschland) — Headquarter in Gunzenhausen, Bayern. Rechenzentren in Nürnberg, Falkenstein und Helsinki. Bekannt für aggressives Preis-Leistungs-Verhältnis und eine entwicklerfreundliche API. NVMe-SSD-Cloud-Server mit AMD EPYC CPUs.

IONOS (Deutschland) — Teil der United Internet AG. Rechenzentren in Deutschland, Großbritannien und Spanien. Enterprise-Grade-Infrastruktur mit starkem Fokus auf Compliance und Managed Services.

OVHcloud (Frankreich) — Europas größter Cloud-Anbieter mit über 1 Milliarde EUR Jahresumsatz. Breites Service-Spektrum von VPS bis Bare Metal. SoftwareSeni: EU-Native Cloud Providers Compared

Open Telekom Cloud (Deutschland) — Betrieben von T-Systems (Deutsche Telekom). BSI C5-zertifiziert, OpenStack-basiert. Hochverfügbarkeitszonen in Deutschland und den Niederlanden. Open Telekom Cloud

STACKIT (Deutschland) — Cloud-Plattform der Schwarz-Gruppe (Lidl/Kaufland). Rechenzentren ausschließlich in Deutschland und Österreich. Starke DSGVO-Positionierung. STACKIT: Die souveräne Cloud

Kriterium	Hetzner	AWS Frankfurt
Eigentümer	Hetzner GmbH, Gunzenhausen (DE)	Amazon.com Inc., Seattle (US)
CLOUD Act	Keine Exposition	Voll exponiert
BSI C5	In Vorbereitung	Zertifiziert
DSGVO	Nativ konform — nur EU-Recht	Rechtskonflikt mit US-Recht
4 vCPU / 16 GB RAM	~24 EUR/Monat	~130 EUR/Monat
Vendor Lock-in	Gering — Standard-APIs	Hoch — proprietäre Services
Rechenzentren	Nürnberg, Falkenstein, Helsinki	Frankfurt (US-Betreiber)

Kostenvorteil EU-souveräner Anbieter

Ein weit verbreitetes Missverständnis ist, dass souveräne Alternativen teurer sind. Das Gegenteil ist der Fall: EU-Anbieter wie Hetzner bieten vergleichbare Rechenleistung zu einem Bruchteil der Hyperscaler-Preise — ein 4-vCPU-Server mit 16 GB RAM kostet bei Hetzner etwa 24 EUR/Monat, bei AWS über 130 EUR/Monat.

Der Preisvorteil entsteht durch schlankere Organisationsstrukturen, geringere Margen und den Verzicht auf ein globales Marketing-Budget. Natürlich fehlen bei EU-Anbietern einige der hochgradig verwalteten Services (wie AWS Lambda oder DynamoDB) — aber für die meisten Workloads sind Standard-Container, PostgreSQL und Object Storage völlig ausreichend. DEV.to: Best European Cloud Hosting Providers 2025

BSI C5: Der deutsche Cloud-Sicherheitsstandard

Das Cloud Computing Compliance Criteria Catalogue (C5) des BSI umfasst 121 Pflichtkontrollen in 17 Sicherheitsdomänen und ist der Goldstandard für Cloud-Sicherheit in Deutschland. Behörden und regulierte Branchen (Banken, Versicherungen, Gesundheitswesen) verlangen zunehmend C5-Konformität als Vertragsvoraussetzung. BSI: C5 Kriterienkatalog

Die aktualisierte Version C5:2025 wird voraussichtlich 2026 finalisiert und bringt erweiterte Anforderungen für Supply-Chain-Sicherheit, KI-spezifische Cloud-Dienste und Zero-Trust-Architekturen. Schellman: Updates to BSI C5 Standard

Gaia-X und europäische Cloud-Standards

Gaia-X ist kein Cloud-Anbieter, sondern ein Framework für Standards und Interoperabilität europäischer Cloud-Dienste. Das Gaia-X Trust Framework 3.0 („Danube Release") ermöglicht es Organisationen, branchenspezifische Compliance-Anforderungen als Erweiterungen hinzuzufügen, ohne die technische Interoperabilität zu opfern. InfoQ: Gaia-X Trust Framework 3.0 — Danube Release

Allerdings steht Gaia-X in der Kritik: Nachdem US-Hyperscaler wie Microsoft, Google und AWS in die Initiative aufgenommen wurden, sehen Kritiker den ursprünglichen Souveränitätszweck als verwässert an. Für Unternehmen bleibt die pragmatische Empfehlung: Gaia-X-Standards als Orientierung nutzen, aber die Anbieterwahl anhand der drei Souveränitätskriterien (Recht, Residenz, Betrieb) treffen.

Migration: Was Sie erwartet

Phase 1 — Assessment (Monat 1–2): Bestandsaufnahme aller Cloud-Dienste, Datenflüsse und Abhängigkeiten. CLOUD-Act-Exposition bewerten. Zielarchitektur definieren.

Phase 2 — Planung (Monat 2–3): Migrationsreihenfolge festlegen, Fallback-Strategie planen, Datenmigrationstools auswählen. Kosten-Nutzen-Analyse der Zielinfrastruktur.

Phase 3 — Migration (Monat 3–12): Schrittweise Migration mit parallelem Betrieb. Containerisierte Workloads (Docker/Kubernetes) lassen sich am einfachsten migrieren. Datenbankmigration erfordert besondere Sorgfalt.

Phase 4 — Validierung (Monat 12–14): Performance-Tests, Security-Audit, Compliance-Prüfung. Alten Anbieter erst nach erfolgreicher Validierung kündigen.

Seit September 2025 verpflichtet der EU Data Act Cloud-Anbieter, den Wechsel technisch zu erleichtern und Barrieren abzubauen — ein wichtiger Hebel für Unternehmen, die migrieren wollen. MyBusinessFuture: Exit US Cloud — What SMEs Must Check

Praktische Schritte für KMU

CLOUD-Act-Audit durchführen: Prüfen Sie, ob Ihr aktueller Cloud-Anbieter oder dessen Muttergesellschaft US-Jurisdiktion unterliegt
Datenkategorisierung: Klassifizieren Sie Daten nach Sensitivität — nicht alles muss sofort migriert werden
Exit-Strategie dokumentieren: 43% der Mittelständler haben keine — das ist ein Compliance-Risiko unter NIS2
Containerisierung vorantreiben: Docker und Kubernetes machen den Wechsel des Cloud-Anbieters deutlich einfacher
Infrastructure as Code: Terraform-basierte Infrastruktur ist anbieterunabhängig reproduzierbar
Pilotprojekt starten: Migrieren Sie zunächst eine nicht-kritische Anwendung, um Erfahrung zu sammeln

In einem kostenlosen Erstgespräch prüfen wir Ihre Cloud-Infrastruktur auf CLOUD-Act-Exposition. Ab €5.000+ migrieren und härten wir Ihre Plattform auf Hetzner — mit einer funktionierenden App als Ergebnis, inklusive Containerisierung und Terraform-Setup.

Erstgespräch buchen→