Der Rahmen für Cloud- und Betriebsentscheidungen hat sich seit der Gründung von cc.systems vor 5 Jahren spürbar verändert. Geopolitische Spannungen und die Abhängigkeit europäischer Organisationen, vor allem von US-amerikanischen Cloud-Anbietern, rücken stärker ins Bewusstsein. Währenddessen beschleunigt sich die technologische Innovation weiter.

Microsoft erklärte zum Beispiel in einer Anhörung vor dem französischen Staat im Juni ‘25, das Unternehmen könne nicht garantieren, dass Daten europäischer Behörden nicht an US-Stellen übermittelt werden. Der US Cloud Act verpflichtet Microsoft unter bestimmten Umständen zur Kooperation (siehe: OpenCloud). Ein kurzer Blick in die Microsoft-Biotope unserer Verwaltung, Kliniken oder anderer Industriezweige macht das kollektive Stirnrunzeln deutscher Datenschutzverantwortlicher verständlich. Solange zentrale digitale Dienste bei ausländischen Cloud-Anbietern laufen, darf bezweifelt werden, dass kritische Infrastrukturen wirklich souverän sind.

Europa steuert dagegen und versucht vor allem die Marktmacht der großen US-amerikanischen Plattformanbieter stärker zu regulieren. Ziel sind faire Wettbewerbsbedingungen und das Verringern einer einseitigen Konzentration zentraler digitaler Infrastrukturen. So berechtigt uns diese Maßnahmen erscheinen, bergen sie neues Konfliktpotenzial. Im Rahmen des Digital Markets Act leitete die Europäische Kommission am 18. November 2025 zwei Prüfverfahren gegen Amazon Web Services und Microsoft Azure ein. Ein Amazon-Sprecher erwiderte darauf, dass “die Einstufung großer Cloud-Anbieter als ‘Gatekeeper’ das Risiko einer Behinderung von Innovationen oder höherer Kosten für europäische Unternehmen nicht wert sei” (siehe: Reuters).

Der Digital Markets Act ist nur ein Teil einer umfassenden regulatorischen Entwicklung in Europa. Weitere europäische Gesetzgebungen, wie der EU Cybersecurity Act (2019), der EU Data Act (September 2025) oder der EU AI Act (ab 2026) verändern die Voraussetzungen spürbar. Sie stärken zwar das Ziel, mehr Kontrolle über Daten und kritische Infrastruktur zu erlangen, erhöhen aber auch die Komplexität und den Handlungsdruck auf Organisationen und Unternehmen.

Für Organisation und Unternehmen ist es alles andere als trivial zu verstehen, wann welche Anforderungen gelten und wie sie sich auf bestehende Cloud-Verträge auswirken. Geschweige denn, welche Cloud-Dienste zulässig bleiben. Zwischen Souveränitätsversprechen der Anbieter, Gesetzestexten, Initiativen und aktuellen Entwicklungen den Überblick zu behalten ist eine Herausforderung, der wir uns gemeinsam stellen müssen. 

Vor diesem Hintergrund verschieben sich die Sichtweisen vieler IT-Verantwortlicher in Westeuropa. Eine von Gartner kürzlich veröffentlichte Umfrage veranschaulicht, dass angesichts geopolitischer Spannungen die Sorge vor Abhängigkeiten wächst. Gartner prognostiziert, dass bis 2030 über 75 Prozent der Unternehmen außerhalb der USA eine digitale Souveränitäts-Strategie verfolgen werden, gekoppelt an den Betrieb ihrer Anwendungen bei souveränen Cloud-Providern (siehe: Gartner).

Beim Umsetzen der regulatorischen Bemühungen hinkt Europa jedoch spürbar hinterher. Das EU-Cloud-Zertifizierungssystem (EUCS) verzögert sich weiterhin. Es soll einen EU-weiten Sicherheitsstandard für Cloud-Anbieter etablieren, doch die Mitgliedstaaten können sich nicht auf gemeinsame Kriterien einigen (siehe: EUISS). Während politisch Souveränität gefordert wird, kommen  europäische Cloud-Angebote technologisch bei weitem nicht an die Schlagkraft der US-Hyperscaler heran. Das Ergebnis: Cloud-Souveränität wird zu einer strategischen Abwägung.

Betrachtet man die Ausgangslage in ihrer Gesamtheit, ist es unglaublich schwierig, strategisch und ökonomisch richtige Entscheidungen zu treffen. Gerade deshalb muss unser Anspruch sein, eine klare Vorstellung aller relevanten Aspekte zu gewinnen.

In den vergangenen Jahren haben wir auf Basis diverser Migrationsprojekte einen Prozess entwickelt, dabei werden technologische Abhängigkeiten, wirtschaftliche Rahmenbedingungen und Aspekte digitaler Souveränität von Beginn an mitgedacht.

Wir bewegen uns weiterhin in den bekannten Migrationsphasen: Assess, Plan, Deploy und Optimize. Das ist nicht neu. Was wir allerdings in den letzten Jahren immer klarer sehen: wenn digitale Souveränität nicht schon in den Schritten "Assess" und "Plan" mitgedacht wird, sind später Weichen gestellt, die nur schwer geändert werden können.

Deshalb nutzen wir in Zusammenarbeit mit unseren Partnern die Assess-Phase, um ein Souveränitätsprofil zu ermitteln. Wie diese Phase bei uns konkret aussieht und welche Fragen sich hier zum Thema digitale Souveränität stellen, haben wir im nächsten Abschnitt zusammengefasst – inklusive eines kurzen interaktiven Souveränitäts-Selbst-Checks.

Es reicht nicht nur zu dokumentieren, welche Komponenten (Server, Datenbanken, Anwendungen, etc.) existieren. Entscheiden ist der Zweck, dem sie dienen und wie kritisch sie für das Gesamtsystem sind. Deshalb erarbeiten wir zuerst ein möglichst vollständiges Bild der bestehenden Infrastruktur und der fachlichen und inhaltlichen Zusammenhänge bzw. bei Neuprojekten, der geplanten Zielumgebung.

Zur Inventarisierung kombinieren wir technische Lösungen mit strukturierten Interviews mit Entwickler:innen und Produktverantwortlichen. Zum Einsatz kommen automatische Discovery-Tools und detaillierte Reviews von evtl. bestehenden Infrastructure-as-Code (IaC) Artefakten. Wenn wir die Businesslogik und das “Warum” verstehen, können wir sicherstellen, dass Wissenslücken das gesamte Konzept nicht am Ende hinfällig machen.

Anschließend fließen rechtliche und regulatorische Anforderungen sowie strategische Fragen rund um digitale Souveränität in die Betrachtung ein. 

Ein erster Schritt in diese Richtung ist der kleine, hier eingefügte “Souveränitäts-Selbst-Check”. Beantworte einfach fünf Fragen, dann kannst du bereits einschätzen, welche Relevanz das Thema für dein eigenes Projekt hat und welche Cloud-Optionen realistisch erscheinen.

Die vollständige Dokumentation des Gesamtsystems und des Souveränitätsprofils ist die Basis, um realistische Cloud- und Plattform-Optionen einzugrenzen. Daraufhin überführen wir die bestehende bzw. angedachte Architektur konzeptionell in mehrere gangbare Zielarchitekturen.

So gleichen wir die Anforderungen der einzelnen Systemkomponenten mit den Angeboten der ausgewählten Cloud-Anbietern ab und prüfen die technische Machbarkeit. Wir können durch unsere Erfahrung mit unterschiedlichen Service-Providern schnell einschätzen, welche Optionen tragfähig sind und wo funktionale oder regulatorische Grenzen liegen. Die zu erwartenden Betriebs- und Migrationskosten (Total Cost of Ownership (TCO)-Analyse) werden dabei ebenfalls transparent. Strategisch sinnvolle Lösungen, die dazu technisch realistisch sind, werden dadurch früh erkannt.

Nach der Entscheidung für einen Cloud-Anbieter wird eine Systemkomponente ausgewählt, deren Migration repräsentativ ist, aber gut beherrschbar. Sie dient als Pilotprojekt für die gewählte Zielarchitektur – unabhängig, ob diese auf souveränen Plattformen, hybriden Modellen oder Hyperscalern basiert. 

Dieses Vorgehen ist die Grundlage für den Einstieg in die Plan-Phase. Anhand der Pilot-Komponente wird ein Migrationsfall beschrieben, durch den sich Architekturentscheidungen, Aufwände und organisatorische Abläufe realistisch planen lassen. Die Vorteile der neuen Infrastruktur werden so früh greifbar und technische wie organisatorische Erfahrungen können strukturiert in die Planung der weiteren Schritte einfließen.

Mit Abschluss des Assessments ist die fachliche und strategische Grundlage geschaffen, um in die konkrete Planung überzugehen. Wie diese Plan-Phase im Detail aussieht, beschreibe ich in einem der nächsten Beiträge.

Digitale Souveränität ist kein isoliertes “Technikthema”, sondern Teil einer übergeordneten Architektur- und Betriebsstrategie. Ein Plattformwechsel allein wird der Tragweite der Herausforderung nicht gerecht. Informierte Entscheidungen über Abhängigkeiten, Risiken, Kosten und regulatorische Rahmenbedingungen sind erforderlich.

Besonders für öffentliche Einrichtungen, das Gesundheitswesen und andere regulierte Bereiche ist digitale Souveränität von zentraler Bedeutung. Es geht nicht nur um Effizienz oder Modernisierung, sondern um den verlässlichen Betrieb sensibler digitaler Infrastrukturen unter klaren rechtlichen Rahmenbedingungen. 

Europäische Alternativen brauchen Zeit und das strategische Investment der europäischen Unternehmen, um sich entwickeln und behaupten zu können. Sie einzubeziehen hilft langfristig Wettbewerb, Innovationsfähigkeit und technologische Vielfalt zu stärken. 

Willst du deine eigene Ausgangslage einordnen, konkrete Optionen für deine Organisation diskutieren oder Rückmeldungen zu unserem Self-Assessment teilen, kontaktiere uns gerne.