Souveränes Hosting Guide

Amazon, Microsoft und Google kontrollieren 70% des europäischen Cloud-Marktes — europäische Anbieter halten nur noch 15%. Synergy Research: European Cloud Providers Hold 15% Market Share Für deutsche Mittelständler wird diese Abhängigkeit zum strategischen Risiko: Der US CLOUD Act, verschärfte EU-Regulierung und geopolitische Spannungen machen souveräne Infrastruktur zur wirtschaftlichen Notwendigkeit. Dieser Guide zeigt Ihnen, was Souveränität wirklich bedeutet, welche EU-Anbieter in Frage kommen und wie Sie die Migration planen.

78%

der CIOs priorisieren digitale Souveränität (Lünendonk-Studie 2025)

70%

des EU-Cloud-Markts werden von US-Hyperscalern kontrolliert

83%

der Unternehmen halten einseitige Zugangsbeschränkungen für realistisch

100 Mrd. €

prognostiziertes Volumen des EU-Sovereign-Cloud-Marktes bis 2031

Was „souverän" wirklich bedeutet

Viele Unternehmen verwechseln Datenresidenz mit Datensouveränität. Ein AWS-Server in Frankfurt speichert Daten zwar physisch in Deutschland, aber Amazon als US-Unternehmen unterliegt dem CLOUD Act — und muss auf Anfrage von US-Behörden Daten herausgeben, unabhängig vom Speicherort. Igor's Lab: BMI-Gutachten bestätigt Risiken für Datensouveränität

Echte Souveränität erfordert drei Kriterien:

Rechtliche Souveränität: Der Anbieter unterliegt ausschließlich EU-Recht — keine US-Muttergesellschaft, keine CLOUD-Act-Exposition
Datenresidenz: Daten werden physisch in der EU gespeichert und verarbeitet
Operationelle Unabhängigkeit: Betrieb und Support erfolgen durch EU-Personal, ohne Zugriff durch Drittstaaten

Ein Rechenzentrum in Frankfurt bei einem US-Anbieter erfüllt nur Kriterium 2. Für die DSGVO-Konformität und NIS2-Lieferkettensicherheit reicht das nicht aus.

Das CLOUD-Act-Problem

Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, Daten auf Anfrage von US-Behörden herauszugeben — unabhängig vom physischen Speicherort. Microsofts eigener Rechtsberater gab 2025 vor dem französischen Senat zu: „Nein, ich kann nicht garantieren, dass Daten nicht an US-Behörden weitergegeben werden." The Register: Microsoft Cannot Guarantee Data Sovereignty

Eine detaillierte Analyse der rechtlichen Implikationen finden Sie in unserem Artikel US CLOUD Act: Warum AWS Frankfurt keine Datensouveränität garantiert.

EU-souveräne Cloud-Anbieter im Vergleich

Die europäische Cloud-Landschaft bietet mehrere ernstzunehmende Alternativen. Alle folgenden Anbieter sind zu 100% in EU-Eigentum und unterliegen keiner US-Jurisdiktion: Gart Solutions: EU Cloud Provider Guide (2026)

Hetzner (Deutschland) — Headquarter in Gunzenhausen, Bayern. Rechenzentren in Nürnberg, Falkenstein und Helsinki. Bekannt für aggressives Preis-Leistungs-Verhältnis und eine entwicklerfreundliche API. NVMe-SSD-Cloud-Server mit AMD EPYC CPUs.

IONOS (Deutschland) — Teil der United Internet AG. Rechenzentren in Deutschland, Großbritannien und Spanien. Enterprise-Grade-Infrastruktur mit starkem Fokus auf Compliance und Managed Services.

OVHcloud (Frankreich) — Europas größter Cloud-Anbieter mit über 1 Milliarde EUR Jahresumsatz. Breites Service-Spektrum von VPS bis Bare Metal. SoftwareSeni: EU-Native Cloud Providers Compared

Open Telekom Cloud (Deutschland) — Betrieben von T-Systems (Deutsche Telekom). BSI C5-zertifiziert, OpenStack-basiert. Hochverfügbarkeitszonen in Deutschland und den Niederlanden. Open Telekom Cloud

STACKIT (Deutschland) — Cloud-Plattform der Schwarz-Gruppe (Lidl/Kaufland). Rechenzentren ausschließlich in Deutschland und Österreich. Starke DSGVO-Positionierung. STACKIT: Die souveräne Cloud

Kriterium	Hetzner	AWS Frankfurt
Eigentümer	Hetzner GmbH, Gunzenhausen (DE)	Amazon.com Inc., Seattle (US)
CLOUD Act	Keine Exposition	Voll exponiert
BSI C5	In Vorbereitung	Zertifiziert
DSGVO	Nativ konform — nur EU-Recht	Rechtskonflikt mit US-Recht
4 vCPU / 16 GB RAM	~24 EUR/Monat	~130 EUR/Monat
Vendor Lock-in	Gering — Standard-APIs	Hoch — proprietäre Services
Rechenzentren	Nürnberg, Falkenstein, Helsinki	Frankfurt (US-Betreiber)

Kostenvorteil EU-souveräner Anbieter

Ein weit verbreitetes Missverständnis ist, dass souveräne Alternativen teurer sind. Das Gegenteil ist der Fall: EU-Anbieter wie Hetzner bieten vergleichbare Rechenleistung zu einem Bruchteil der Hyperscaler-Preise — ein 4-vCPU-Server mit 16 GB RAM kostet bei Hetzner etwa 24 EUR/Monat, bei AWS über 130 EUR/Monat.

Der Preisvorteil entsteht durch schlankere Organisationsstrukturen, geringere Margen und den Verzicht auf ein globales Marketing-Budget. Natürlich fehlen bei EU-Anbietern einige der hochgradig verwalteten Services (wie AWS Lambda oder DynamoDB) — aber für die meisten Workloads sind Standard-Container, PostgreSQL und Object Storage völlig ausreichend. DEV.to: Best European Cloud Hosting Providers 2025

BSI C5: Der deutsche Cloud-Sicherheitsstandard

Das Cloud Computing Compliance Criteria Catalogue (C5) des BSI umfasst 121 Pflichtkontrollen in 17 Sicherheitsdomänen und ist der Goldstandard für Cloud-Sicherheit in Deutschland. Behörden und regulierte Branchen (Banken, Versicherungen, Gesundheitswesen) verlangen zunehmend C5-Konformität als Vertragsvoraussetzung. BSI: C5 Kriterienkatalog

Die aktualisierte Version C5:2025 wird voraussichtlich 2026 finalisiert und bringt erweiterte Anforderungen für Supply-Chain-Sicherheit, KI-spezifische Cloud-Dienste und Zero-Trust-Architekturen. Schellman: Updates to BSI C5 Standard

Gaia-X und europäische Cloud-Standards

Gaia-X ist kein Cloud-Anbieter, sondern ein Framework für Standards und Interoperabilität europäischer Cloud-Dienste. Das Gaia-X Trust Framework 3.0 („Danube Release") ermöglicht es Organisationen, branchenspezifische Compliance-Anforderungen als Erweiterungen hinzuzufügen, ohne die technische Interoperabilität zu opfern. InfoQ: Gaia-X Trust Framework 3.0 — Danube Release

Allerdings steht Gaia-X in der Kritik: Nachdem US-Hyperscaler wie Microsoft, Google und AWS in die Initiative aufgenommen wurden, sehen Kritiker den ursprünglichen Souveränitätszweck als verwässert an. Für Unternehmen bleibt die pragmatische Empfehlung: Gaia-X-Standards als Orientierung nutzen, aber die Anbieterwahl anhand der drei Souveränitätskriterien (Recht, Residenz, Betrieb) treffen.

Migration: Was Sie erwartet

Phase 1 — Assessment (Monat 1–2): Bestandsaufnahme aller Cloud-Dienste, Datenflüsse und Abhängigkeiten. CLOUD-Act-Exposition bewerten. Zielarchitektur definieren.

Phase 2 — Planung (Monat 2–3): Migrationsreihenfolge festlegen, Fallback-Strategie planen, Datenmigrationstools auswählen. Kosten-Nutzen-Analyse der Zielinfrastruktur.

Phase 3 — Migration (Monat 3–12): Schrittweise Migration mit parallelem Betrieb. Containerisierte Workloads (Docker/Kubernetes) lassen sich am einfachsten migrieren. Datenbankmigration erfordert besondere Sorgfalt.

Phase 4 — Validierung (Monat 12–14): Performance-Tests, Security-Audit, Compliance-Prüfung. Alten Anbieter erst nach erfolgreicher Validierung kündigen.

Seit September 2025 verpflichtet der EU Data Act Cloud-Anbieter, den Wechsel technisch zu erleichtern und Barrieren abzubauen — ein wichtiger Hebel für Unternehmen, die migrieren wollen. MyBusinessFuture: Exit US Cloud — What SMEs Must Check

Praktische Schritte für KMU

CLOUD-Act-Audit durchführen: Prüfen Sie, ob Ihr aktueller Cloud-Anbieter oder dessen Muttergesellschaft US-Jurisdiktion unterliegt
Datenkategorisierung: Klassifizieren Sie Daten nach Sensitivität — nicht alles muss sofort migriert werden
Exit-Strategie dokumentieren: 43% der Mittelständler haben keine — das ist ein Compliance-Risiko unter NIS2
Containerisierung vorantreiben: Docker und Kubernetes machen den Wechsel des Cloud-Anbieters deutlich einfacher
Infrastructure as Code: Terraform-basierte Infrastruktur ist anbieterunabhängig reproduzierbar
Pilotprojekt starten: Migrieren Sie zunächst eine nicht-kritische Anwendung, um Erfahrung zu sammeln

In einem kostenlosen Erstgespräch prüfen wir Ihre Cloud-Infrastruktur auf CLOUD-Act-Exposition. Ab €5.000+ migrieren und härten wir Ihre Plattform auf Hetzner — mit einer funktionierenden App als Ergebnis, inklusive Containerisierung und Terraform-Setup.

Häufig gestellte Fragen

Was bedeutet souveränes Hosting?

Echte Souveränität erfordert drei Kriterien: Der Anbieter unterliegt ausschließlich EU-Recht (keine US-Muttergesellschaft), Daten werden physisch in der EU gespeichert, und Betrieb und Support erfolgen durch EU-Personal ohne Drittstaaten-Zugriff.

Ist Hetzner eine echte Alternative zu AWS?

Für die meisten Workloads ja. Hetzner bietet vergleichbare Rechenleistung zu einem Bruchteil der AWS-Preise — ein 4-vCPU-Server mit 16 GB RAM kostet ~24 EUR/Monat vs. ~130 EUR/Monat bei AWS. Standard-Container, PostgreSQL und Object Storage decken die Anforderungen der meisten SaaS-Plattformen ab.

Welche EU-Cloud-Anbieter gibt es?

Hetzner (Deutschland), IONOS (Deutschland), OVHcloud (Frankreich), Open Telekom Cloud (Deutsche Telekom), STACKIT (Schwarz-Gruppe) und Scaleway (Frankreich). Alle sind zu 100% in EU-Eigentum und unterliegen keiner US-Jurisdiktion.

Wie lange dauert eine Cloud-Migration?

Typischerweise 6 bis 18 Monate. 82% der gescheiterten Migrationen scheitern an unzureichender Planung. Containerisierte Workloads lassen sich am einfachsten migrieren. Der EU Data Act verpflichtet Cloud-Anbieter seit September 2025, den Wechsel technisch zu erleichtern.

Was ist BSI C5?

Der Cloud Computing Compliance Criteria Catalogue des BSI umfasst 121 Pflichtkontrollen in 17 Sicherheitsdomänen und ist der Goldstandard für Cloud-Sicherheit in Deutschland. Behörden und regulierte Branchen verlangen zunehmend C5-Konformität.

Warum sollte ich jetzt migrieren?

NIS2 verlangt Lieferketten-Risikobewertung, der EU Data Act erleichtert den Anbieterwechsel, und FISA 702 läuft im April 2026 aus — was eine Schrems-III-Entscheidung auslösen könnte. Die regulatorische Richtung geht eindeutig weg von US-Abhängigkeiten.