Können AWS Frankfurt, Azure Deutschland oder Google Cloud Region Frankfurt souverän sein?

Streng genommen nein. Eine Region in Frankfurt ändert nicht die Rechtsstellung der Mutterkonzerne, die US-amerikanisches Recht bleibt. Der CLOUD Act gilt weiterhin für Daten in Frankfurt, wenn die Betreibergesellschaft US-kontrolliert ist. Microsofts 'Delos Cloud' (mit SAP und Arvato) und AWS European Sovereign Cloud (Region Brandenburg, Eröffnung Ende 2025) versuchen, dies über dedizierte Entitäten zu umgehen — die BSI-Bewertung steht 2026 noch aus.

Ist eine souveräne Cloud wirklich teurer als AWS oder Azure?

Nicht so sehr wie oft angenommen. STACKIT, IONOS, Open Telekom Cloud und OVHcloud Frankfurt bieten oft vergleichbare oder günstigere Preise als Hyperscaler bei Standarddiensten (Compute, Storage, Netzwerk). Bei sehr spezifischen Managed Services (proprietäre ML/KI-Dienste, exotische Datenbanken) bleibt AWS/Azure breiter. Stark zertifizierte Angebote (KRITIS-Niveau) kosten 1,5x bis 3x eine Standard-Public-Cloud.

Souveräne Cloud im Unternehmen: Praxisleitfaden 2026

Q: Was ist BSI C5 und wie verhält es sich zu Souveränität?

BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik für sichere Cloud-Dienste. C5 ist orthogonal zur Souveränität — viele Hyperscaler haben C5-Testate, sind aber nicht souverän. Echte Souveränität verlangt zusätzlich BSI IT-Grundschutz konforme Architektur und KRITIS-Tauglichkeit.

Q: Welche souveräne Cloud für deutschen Mittelstand?

STACKIT für Mittelstand mit hohen Compliance-Anforderungen (Schwarz-Gruppe, Backbone der Lidl/Kaufland-Gruppe, ISO 27001, BSI C5). IONOS für klassische Workloads und Standortvorteil (Karlsruhe, Berlin). Open Telekom Cloud für regulierte Workloads und KRITIS-Sektoren. plusserver für VMware-Workloads und Managed Services. OVHcloud Frankfurt für GPU-/KI-Lasten und breitestes Katalog.

Q: Kann eine souveräne Cloud generative KI hosten?

Ja. OVHcloud Frankfurt bietet 2026 H100/H200-GPU-Instanzen und AI Endpoints mit Mistral und weiteren Open-Weight-Modellen. STACKIT hat angekündigt, GPU-Kapazität auszubauen. IONOS und Open Telekom Cloud bieten ebenfalls KI-fähige Instanzen. Für sensible Anwendungsfälle ist die Bereitstellung von Mistral via vLLM auf souveräner GPU-Infrastruktur die kontrollierteste Option.

Q: Wie lange dauert die Migration von AWS/Azure zu einer souveränen Cloud?

Variabel je nach Komplexität. Für Standarddienste (Compute, Storage, SQL-Datenbanken): 3 bis 9 Monate für eine mittelgroße Organisation, davon 2 bis 4 Monate Sondierung und 3 bis 6 Monate progressive Migration. Für Architekturen, die stark von proprietären Managed Services abhängen (DynamoDB, Lambda, Cosmos DB), ist Umschreibung erforderlich — rechnen Sie mit 6 bis 18 Monaten.

Schnelle Antwort: Was ist eine souveräne Cloud in Deutschland 2026?

Eine souveräne Cloud ist ein Cloud-Infrastrukturanbieter:

Nach europäischem oder deutschem Recht (Sitz, Steuerresidenz, mehrheitlich europäisches oder deutsches Kapital).
Nicht extraterritorialen Gesetzen unterworfen: weder dem US-CLOUD Act (der jedes US-Unternehmen verpflichtet, Daten herauszugeben, auch wenn diese außerhalb der USA gespeichert sind), noch FISA Section 702 (die Rechtsgrundlage, die US-Geheimdiensten Zugriff auf Daten von US-Unternehmen erlaubt).
Physisch in Deutschland oder der EU gehostet mit europäischem oder deutschem Betriebspersonal.
Nativ DSGVO-konform und kompatibel mit BDSG, BSI-Grundschutz, KRITIS-Anforderungen — kein Bedarf, ein vertragliches Konstrukt für Drittlandtransfers aufzubauen.

In Deutschland 2026 sind die Hauptakteure:

STACKIT — Cloud-Tochter der Schwarz-Gruppe (Lidl, Kaufland), Heilbronn, BSI C5 testiert, KRITIS-Ambition.
IONOS — Listed in Frankfurt, breite Angebotspalette, Karlsruhe und Berlin Datacenter, klassisches Mittelstandsklientel.
Open Telekom Cloud — T-Systems, OpenStack-basiert, KRITIS-Ausrichtung, Frankfurt, Magdeburg, Biere.
plusserver — Köln, Hamburg, München; VMware-stark, Managed Services für Mittelstand.
OVHcloud Frankfurt — französischer Marktführer mit großer Datacenter-Präsenz in Frankfurt und Limburg, breitestes Katalog inkl. GPU/KI.
Delos Cloud (SAP / Arvato / Microsoft) — angekündigte souveräne Cloud für die Bundesverwaltung, Betriebsstart und BSI-Qualifizierung 2026 noch in Verifikation.

Unterschied zu den ‘Hyperscalern’ (US-Riesen: AWS / Azure / GCP):

Diese Hyperscaler betreiben Regionen in Frankfurt, doch ihre Mutterkonzerne unterliegen US-Recht — und damit dem CLOUD Act. Server in Deutschland zu haben reicht juristisch nicht aus, um souverän zu sein. Microsofts Delos Cloud und Amazons AWS European Sovereign Cloud (Region Brandenburg, geplant 2025-2026) versuchen, dedizierte europäische Entitäten zu schaffen — die BSI-Qualifizierung steht 2026 noch aus, und die deutschen souveränen Anbieter (STACKIT, IONOS, T-Systems) bestreiten die Glaubwürdigkeit der Souveränitätsversprechen aktiv.

Für wen ist die souveräne Cloud?

Jede deutsche Organisation, die KRITIS-Anforderungen unterliegt (Energie, Wasser, Finanzen, Gesundheit, Telekommunikation, IT, Transport, Ernährung), öffentliche Verwaltung, regulierte Branchen (BaFin-Aufsicht, Krankenhausfinanzierungsgesetz) oder schlicht sensible Geschäftsdaten verarbeitet, kann 2026 ohne wesentliche funktionale Einbußen auf eine souveräne Cloud migrieren. Organisationen, die bei Hyperscalern bleiben, tun dies aus technischem Lock-in (proprietäre Managed Services), nicht aus Kosten- oder Qualitätsgründen.

Der Kontext 2026: Warum souveräne Cloud strategisch wird

Drei kumulierte Verschiebungen machen Cloud-Souveränität in Deutschland 2026 unausweichlich.

Verschiebung 1 — CLOUD Act aktiv genutzt. US-Behörden haben den CLOUD Act mehrfach gegen europäische Daten eingesetzt, teilweise über geheime Anordnungen. Für deutsche Organisationen hat sich dieses Risiko, lange theoretisch, materialisiert. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat in mehreren Stellungnahmen seit 2024 die CLOUD-Act-Exposition als materielles DSGVO-Risiko nach Art. 44 DSGVO und Art. 48 DSGVO eingestuft.

Verschiebung 2 — Trump 2.0 und transatlantische Spannungen. Der geopolitische Kontext 2025-2026 hat zahlreiche CIOs in DAX-Konzernen und im Bundesbereich zu Multicloud-Portabilitätsstrategien mit verstärkten EU-only-Fallback-Anforderungen bewogen. Die Bundesregierung hat im Rahmen des IT-Konsolidierungsprogramms und der Digitalstrategie 2026 ihre Präferenz für souveräne Lösungen formalisiert. Siehe auch unseren Leitfaden Digitale Souveränität.

Verschiebung 3 — Technische Reife europäischer Akteure. STACKIT, IONOS, T-Systems und OVHcloud haben zwischen 2023 und 2026 massiv investiert und bieten nun Kataloge, die mit Hyperscalern bei Standarddiensten weitgehend vergleichbar sind. Die technische Migrationsfriktion ist deutlich gesunken. Das BSI hat die C5-Anforderungen aktualisiert, was die Bewertung erleichtert.

Konkret: Die Wahl einer souveränen Cloud 2026 ist kein “prinzipieller Sacrifice” mehr — es ist zu einer rationalen Kosten-Risiko-Funktionalitätsabwägung geworden.

Die 4 Dimensionen einer wirklich souveränen Cloud

Um ein Cloud-Angebot zu bewerten, nicht beim Label “europäisch” oder “Made in Germany” stehen bleiben. Vier Dimensionen sind unabhängig zu prüfen.

1. Rechtliche Souveränität

Wichtigstes Kriterium. Eine souveräne Cloud muss sein:

Gesellschaft nach europäischem oder deutschem Recht (Sitz, Steuerresidenz)
Mehrheitlich europäisches oder deutsches Kapital (100 % deutsche Tochtergesellschaften von US-Konzernen genügen nicht)
Vertragliche Zusicherung der Immunität gegen extraterritoriale Anordnungen

Genau das unterscheidet STACKIT / IONOS / T-Systems (souverän) von AWS Frankfurt / Azure Germany (nicht souverän trotz Hosting in Deutschland).

2. Physische Souveränität

Die Infrastruktur (Rechenzentren, Server, Netzwerk) muss in Deutschland oder der EU stehen. Die Betreiber (Techniker, Administratoren) müssen europäischer Rechtshoheit unterliegen. Für KRITIS-Workloads müssen sie deutsche Staatsangehörige mit entsprechender Sicherheitsüberprüfung sein.

3. Software-Souveränität

Die Organisation muss reversibilisieren können: Daten, Konfigurationen, Snapshots zurückholen und in unter 30 Tagen anderswo redeployen. Ohne diese Fähigkeit bleibt rechtliche Souveränität theoretisch. Das Bundeskartellamt prüft seit 2024 aktiv Egress-Gebühren und Lock-in-Praktiken — ein Punkt für Anbieter mit transparenter Reversibilität.

4. Wirtschaftliche Souveränität

Der Anbieter darf nicht von mehrheitlich außereuropäischem Kapital oder finanzieller Unterstützung abhängen. Eine deutsche Cloud-Start-up, das von einem US-Fonds gekauft wird, verliert teilweise seinen souveränen Charakter. Eigentumsstabilität über Handelsregister und Frankfurter Börsenmeldungen verfolgen.

Kartografie der deutschen souveränen Cloud-Anbieter 2026

STACKIT (Schwarz-Gruppe)

Typ: Cloud-Tochter der Schwarz IT, der Lidl- und Kaufland-Mutter-IT
Kapital: 100 % deutsch (Schwarz-Gruppe), Sitz Heilbronn
Katalog: Compute, Object Storage, Managed Kubernetes, PostgreSQL/Redis, OpenStack-basiert
Zertifizierungen: BSI C5 testiert, ISO 27001, KRITIS-Ambition
Stärke: stabile finanzielle Verankerung im größten europäischen Handelskonzern, deutsche Datacenter-Standorte (Heilbronn, Berlin), zunehmende externe Kundschaft
Limit: Katalog noch enger als AWS, weniger Managed Services für IT-Dev-Use-Cases

IONOS Cloud

Typ: börsennotiert (Frankfurt), historisch United Internet, deutsche Wurzeln
Kapital: mehrheitlich deutsch, Frankfurt-listed
Katalog: VPS, Managed Kubernetes, PostgreSQL, Object Storage, Backup-as-a-Service, AI Model Hub
Zertifizierungen: ISO 27001, ISO 27017/27018, BSI C5 in Vorbereitung
Stärke: Standortvorteil (Karlsruhe, Berlin), Mittelstandsfähigkeit, MyDefender-Backup
Limit: weniger spezialisiert auf KRITIS-Sektoren

Open Telekom Cloud (T-Systems)

Typ: T-Systems-Cloud, OpenStack-basiert, Anlehnung an Huawei-Stack-Komponenten (kontroverser Punkt)
Kapital: 100 % Deutsche Telekom (deutsch)
Katalog: Compute, Storage, KI, Big Data, Security Services
Zertifizierungen: BSI C5, ISO 27001, TÜV, KRITIS-tauglich, BSI-Grundschutz konform
Stärke: tiefe Verankerung in regulierten Sektoren und Bundesverwaltung, Frankfurt + Magdeburg + Biere Datacenter
Limit: historische Diskussion um Huawei-Komponenten — 2024-2026 Migration auf alternative Hardware-Stacks angekündigt

plusserver

Typ: deutscher Managed-Service-Provider, fokus VMware und Managed Hosting
Kapital: deutsch (Private-Equity-Hintergrund — auf Stabilität prüfen)
Katalog: pluscloud open (OpenStack), VMware Cloud, Managed Backup, Managed Database
Zertifizierungen: ISO 27001, BSI C5, IT-Grundschutz
Stärke: VMware-Migrationen, deutsche Datacenter (Köln, Hamburg, München)
Limit: kleiner als STACKIT/IONOS, stark VMware-zentriert

OVHcloud Frankfurt

Typ: französischer europäischer Marktführer mit massiver deutscher Präsenz
Kapital: mehrheitlich französisch (Familie Klaba), Euronext Paris
Katalog: Bare Metal, Public Cloud, Hosted Private Cloud, Storage, Datenbanken, GPU (H100, MI300), AI Endpoints, HDS für Gesundheit
Zertifizierungen: ISO 27001/27017/27018, HDS, SecNumCloud (FR-Regionen), Cyber Essentials, BSI C5 in Vorbereitung für DE-Regionen
Stärke: Frankfurt + Limburg Datacenter, größtes Sortiment in der europäischen souveränen Cloud, GPU-Verfügbarkeit
Limit: rechtliche Heimatbasis Frankreich (für deutsche Souveränitätspuristen ein Punkt — bleibt aber EU-Recht und CLOUD-Act-immun)

Delos Cloud (SAP / Arvato / Microsoft)

Typ: angekündigte deutsche souveräne Cloud für Bundesverwaltung, Microsoft-Stack auf SAP/Arvato-Infrastruktur
Status 2026: BSI-Qualifizierung in Verifikation, Betriebsstart angekündigt für 2026-2027
Souveränitätskritik: Microsoft-Software bleibt der Kern, dedicated Schlüsselverwaltung und deutsche Operationen sollen Schutz bieten — die deutschen souveränen Anbieter (STACKIT, T-Systems) bestreiten die Substanz der Souveränität

Hyperscaler-”Sovereign”-Initiativen 2026

AWS European Sovereign Cloud (Region Brandenburg, angekündigt für Ende 2025-2026): dedizierte europäische juristische Entität, EU-kontrollierte Operationen. BSI-Bewertung steht aus. Erfahrene deutsche Compliance-Verantwortliche bleiben skeptisch.

Microsoft Azure Local + Delos Cloud: zwei parallele Initiativen — Azure Local für hybride On-Premise-Souveränität, Delos für reine Bundesverwaltungs-Workloads. Sovereignty-Anspruch wird von BfDI und unabhängigen Sicherheitsanalysten kritisch begleitet.

Google Cloud + T-Systems (sovereign solutions): Partnerstack mit T-Systems-vermittelter Schlüsselverwaltung. Souveränitätsanspruch schwächer als STACKIT oder T-Systems pur.

Für ultra-sensible deutsche Daten — KRITIS-Sektoren, Bundes- und Landesverwaltung, Verteidigungslieferkette — bleiben STACKIT, IONOS, Open Telekom Cloud und plusserver die unstrittigen Optionen. OVHcloud Frankfurt für Workloads, die EU-rechtliche Souveränität verlangen, aber ohne deutsche Spezialanforderungen.

Deutsche Zertifizierungen und Compliance

Die deutsche Regulierungslandschaft kombiniert mehrere Schichten, die zusammen evaluiert werden müssen.

BSI C5 (Cloud Computing Compliance Criteria Catalogue): der Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik. C5-Testat ist Mindesterwartung für jeden ernsthaften Cloud-Anbieter in Deutschland.

BSI IT-Grundschutz: methodischer Rahmen für Informationssicherheit, vom BSI publiziert. Erforderlich für Bundes- und Landesbehörden.

KRITIS-Verordnung (BSI-KritisV): Auflagen für Betreiber kritischer Infrastrukturen. Sektoren-spezifisch (Energie, Wasser, Finanzen, Gesundheit, IT, Telekommunikation, Transport, Ernährung). NIS2-Umsetzung verschärft die Anforderungen 2024-2026.

TISAX: Branchenspezifische Sicherheitsanforderung für die Automobilindustrie. Wichtig für Lieferanten von VW, BMW, Mercedes, Bosch.

ISO 27001: international, Mindesterwartung.

HDS (Frankreich) bzw. KHZG-konform (Deutschland): für Gesundheitsdaten. In Deutschland ist KHZG (Krankenhauszukunftsgesetz) und Anforderungen aus dem PDSG der primäre Rahmen für Krankenhaus-IT.

Deutschland hat keinen direkten Äquivalent zu Frankreichs SecNumCloud (eine kombinierte Souveränitäts- und Sicherheitsqualifikation in einem Schritt). Die nächste Entsprechung ist die Kombination BSI C5 + IT-Grundschutz + KRITIS-Tauglichkeitsnachweis + sektorale Auflagen (BaFin, KHZG, TISAX). Diese Zusammensetzung bietet Flexibilität, verlangt aber höhere Sorgfaltspflicht bei der Beschaffung: ein Anbieter kann ein BSI-C5-Testat und ISO 27001 haben — und dennoch CLOUD-Act-exponiert bleiben, wenn die Konzernmutter oder Betreibergesellschaft US-kontrolliert ist.

Branchen-spezifische Anwendungsfälle in Deutschland

Banken, Versicherungen, Asset Management. Aufsicht durch BaFin und Bundesbank. Die MaRisk und VAIT/BAIT verlangen ausgeprägte Auslagerungs-Governance; CLOUD-Act-Exposition wird als Konzentrationsrisiko der Auslagerung behandelt. WIIT, Open Telekom Cloud und IONOS sind übliche Wahl für den Resilienzanteil; OVHcloud Frankfurt für GPU/AI-Workloads.

Krankenhäuser und Gesundheitssektor. Krankenhauszukunftsgesetz (KHZG), PDSG, KBV/KZV-Anforderungen. Pseudonymisierte Forschungsdaten und ePA-bezogene Workloads sind hochsensibel. STACKIT und Open Telekom Cloud haben eigens dafür ausgelegte Angebote, OVHcloud Frankfurt mit HDS-Zertifizierung für FR-Komponenten.

Automobilindustrie und Lieferkette. TISAX-konformität, Werkschutz, OEM-Anforderungen. plusserver, OVHcloud Frankfurt und IONOS sind häufig im Einsatz.

Energie, Wasser, Telekommunikation, KRITIS-Sektoren. Anforderungen aus BSI-KritisV und NIS2-Umsetzung. Open Telekom Cloud, STACKIT und Engineering-Partner mit BSI-Tauglichkeitsnachweis sind die Kandidaten der Wahl.

Öffentliche Hand (Bund, Länder, Kommunen). IT-Konsolidierung des Bundes, ITZBund, Dataport, KRZN/AKDB als zentrale IT-Dienstleister. Delos Cloud im Aufbau für Bundesverwaltung; STACKIT und Open Telekom Cloud bereits etabliert für Länder und Kommunen.

Bundesregierung, Länder und souveräne Cloud-Beschaffung

Die deutsche Verwaltungsstruktur fügt der Cloud-Beschaffungsdiskussion eine zusätzliche Komplexitätsschicht hinzu. Bund, 16 Länder und über 11.000 Kommunen treffen ihre Cloud-Entscheidungen teilweise unabhängig, teilweise koordiniert.

Bund: ITZBund (Informationstechnikzentrum Bund) ist der zentrale IT-Dienstleister. IT-Konsolidierung Bund 2025 forciert Migration auf wenige Plattformen. Delos Cloud wurde explizit als künftige Standard-Cloud für Microsoft-basierte Bundes-Workloads positioniert — vorbehaltlich BSI-Qualifizierung. Open Telekom Cloud bedient parallel Workloads, die nicht in den Microsoft-Stack fallen.

Länder: Dataport (für 6 norddeutsche Bundesländer), KRZN, AKDB (Bayern) und weitere zentrale IT-Dienstleister haben jeweils eigene Cloud-Strategien. STACKIT und IONOS gewinnen hier zunehmend Marktanteile gegenüber AWS Frankfurt-Optionen, getrieben von den BfDI-Hinweisen seit 2024.

Kommunen: stark fragmentiert. Komm.ONE (Baden-Württemberg), KDO (Niedersachsen) und weitere kommunale IT-Genossenschaften treffen die Entscheidungen. Der Trend 2026: Migration weg von hybriden Hyperscaler-Setups hin zu STACKIT, IONOS oder Open Telekom Cloud, mit Open Telekom Cloud führend bei KRITIS-relevanten Workloads.

EU-Ebene: GAIA-X-Initiative bleibt ein strategisches Rahmenwerk, dessen technische Umsetzung 2026 noch in fortgesetzter Iteration ist. Gaia-X-konforme Anbieter sind oft Anbieter mit bestehender BSI-C5-Testierung (STACKIT, IONOS, Open Telekom Cloud, OVHcloud).

Für deutsche Unternehmen, die Aufträge der öffentlichen Hand bedienen oder bedienen wollen, ist die Wahl eines souveränen Cloud-Anbieters zunehmend Voraussetzung statt Wettbewerbsvorteil. Die Vergaberichtlinien werden 2025-2026 entsprechend angepasst.

Souveräne Cloud und KI: Der 2026er Einsatz

Mit der KI-Explosion in Unternehmen ist die Frage “Können wir ernsthafte KI auf einer souveränen Cloud machen?” 2026 zentral geworden.

Antwort: ja, ohne wesentliche funktionale Einbußen:

OVHcloud Frankfurt AI Endpoints: managed KI-Dienste mit Mistral, Llama und anderen Open-Weight-Modellen, in Frankfurt gehostet.
STACKIT GPU-Roadmap: Ausbau der GPU-Kapazität für KI-Workloads angekündigt 2026.
IONOS AI Model Hub: Open-Weight-Modelle auf deutscher Infrastruktur.
Mistral on-premise auf STACKIT / IONOS / OVHcloud: eigenes Mistral via vLLM auf souveränen GPU-Instanzen deployen. Maximale Kontrolle, keine CLOUD-Act-Exposition. Siehe unseren Leitfaden lokale LLM im Unternehmen.

Das Argument “Man braucht zwingend AWS / Azure für KI 2026” hält nicht mehr. Es ist ein Argument der Trägheit, nicht der Fähigkeit.

Für Krankenhäuser, Banken oder KRITIS-Operatoren führt der DSGVO-konforme KI-Leitfaden durch DSFA-Erwartungen und BSI-Hinweise.

Kostenrealität auf dem deutschen Markt 2026

Öffentliche Benchmarks aus deutschen Beschaffungsprogrammen zeigen konsistent, dass auf Standard-Compute und -Storage souveräne deutsche Anbieter (STACKIT, IONOS, Open Telekom Cloud, OVHcloud Frankfurt) innerhalb von 0 bis 15 Prozent der Hyperscaler-Preise liegen — häufig darunter. Auf GPU-Compute (H100 stündlich) sind OVHcloud Frankfurt und IONOS in der Regel günstiger als AWS Frankfurt oder Azure Germany On-Demand-Preise, manchmal um 30 bis 50 Prozent — eine grundlegende Verschiebung der KI-Ökonomie 2026 gegenüber 2023.

Wo Hyperscaler einen klaren Kostenvorteil behalten, ist bei Serverless-Funktionen mit sehr geringem Volumen (Lambda-Free-Tier-Muster) und bei Managed-Datenbanken für hochfrequente, geringe Volumen-Lesemuster (DynamoDB On-Demand). Für Batch-Workloads, Steady-State-Compute oder GPU-intensive Lasten gewinnen souveräne Optionen 2026 nun sowohl bei Kosten als auch bei Jurisdiktion.

Egress-Kosten sind oft der stille Killer von Migrationsplänen. Hyperscaler-Egress-Gebühren aus Frankfurt-Regionen zu deutschen souveränen Zielen sind seit 2024 ein Untersuchungsschwerpunkt des Bundeskartellamts — Erstattungen oder Verzichte bei harten Verhandlungen erwartbar, aber im Migrationsbudget einplanen.

Migration zu einer souveränen Cloud: pragmatische Roadmap

Schritt 1 — Bestandsaufnahme (2-4 Wochen). Inventar der Workloads, der genutzten Managed Services, spezifischer Abhängigkeiten (DynamoDB, Lambda, Cosmos DB usw.). Ohne dieses Inventar ist die Migration nicht zu beziffern.

Schritt 2 — Segmentierung nach Kritikalität und Komplexität (2 Wochen). Drei typische Lose:

Los 1: Standard-Compute / -Storage / -Netzwerk → direkte Migration möglich
Los 2: Managed Services mit souveränen Äquivalenten → moderate Anpassung
Los 3: Proprietäre Services ohne Äquivalent → Umschreibung nötig

Schritt 3 — Los 1 migrieren (3-6 Monate). Umgebungsweiser Ansatz (Test → Abnahme → Prod), mit Hyperscaler- und souveräner Cloud-Koexistenz während des Übergangs.

Schritt 4 — Los 2 anpassen (3-9 Monate je nach Komplexität). Migration der Managed Datenbanken zu souveränen Äquivalenten. Anpassung der Monitoring-Tools, der CI/CD.

Schritt 5 — Los 3 umschreiben (gemäß Geschäftsprioritäten). Komponenten, die stark von proprietären Services abhängen. Häufig die Gelegenheit für ein breiteres architektonisches Refactoring.

Schritt 6 — Verbleibende Hyperscaler-Ressourcen abschalten. Sicherstellen, dass keine versteckten Abhängigkeiten verbleiben, bevor Konten geschlossen werden (Egress-Gebühren und vertragliche Kündigungsfristen einplanen).

Für eine deutsche Organisation, die diese Transition ohne interne Expertise beschleunigen will, begleitet DPLIANCE über unsere maßgeschneiderten KI-Lösungen auf den KI- und Datenebenen.

Was wir nicht versprechen

Drei wiederkehrende Antipatterns, die wir bei DPLIANCE vermeiden, wenn wir eine souveräne Cloud-Strategie definieren.

„Alles auf STACKIT verschieben — fertig.” Falsch für die Mehrheit der deutschen Organisationen. Architekturen, die stark von proprietären AWS-Managed-Services (DynamoDB, Lambda, EventBridge) abhängen, erfordern Umschreibung, keine einfache Migration. Die richtige Segmentierung: Los 1 (Standard-Compute/Storage) in direkter Migration, Los 2 (Managed Services mit Äquivalent) in Anpassung, Los 3 (proprietäre Services) in progressiver Umschreibung. Rechnen Sie mit 12-24 Monaten für Großkonzerne.

„Delos Cloud ist genauso souverän wie STACKIT.” Diskutabel. Delos Cloud (Microsoft + SAP + Arvato) und AWS European Sovereign Cloud sind dedizierte deutsche oder europäische juristische Entitäten, die amerikanischen Software-Stack betreiben. Strikte rechtliche Souveränität nach DSGVO Art. 44 / 48 und CLOUD-Act-Analyse bleibt von BfDI und unabhängigen Sicherheitsanalysten umstritten. Für ultra-sensible Daten bleiben STACKIT, IONOS oder Open Telekom Cloud die unstrittigen Optionen.

„Souveräne Cloud kostet dreimal mehr.” Falsch für Standarddienste. STACKIT, IONOS und OVHcloud Frankfurt sind oft konkurrenzfähig oder günstiger als Hyperscaler bei Compute / Storage / Netzwerk / GPU H100. Der Aufschlag zeigt sich bei exotischen Managed Services (DynamoDB, Cosmos DB, sehr spezifische ML-Services). Stark zertifizierte Angebote (KRITIS-Niveau) sind teurer (1,5x bis 3x Standard-Public-Cloud) — aber das ist eine andere Anforderungsklasse.

DPLIANCE ist Software-Editor. Wenn wir eine maßgeschneiderte KI-Lösung für eine Organisation entwerfen, die zur souveränen Cloud migriert, übernehmen wir die KI-Architektur (Mistral, on-premise oder via HDS-Partner für Gesundheit), die Integration ins Ziel-IS und die Dokumentation für die Compliance.

FAQ

Was ist eine souveräne Cloud im deutschen Kontext?

Eine souveräne Cloud ist ein Cloud-Infrastrukturanbieter, dessen Rechtsraum, Eigentum und Betrieb unter europäischer oder deutscher Kontrolle bleiben, ohne Unterworfenheit unter extraterritoriale Gesetze (US-CLOUD Act, FISA Section 702). In Deutschland 2026: STACKIT, IONOS, Open Telekom Cloud, plusserver, OVHcloud Frankfurt, Delos Cloud (in Verifikation).

Was ist BSI C5 und wie verhält es sich zu Souveränität?

BSI C5 ist der Anforderungskatalog des BSI für sichere Cloud-Dienste — orthogonal zur Souveränität. Echte deutsche Souveränität verlangt zusätzlich BSI IT-Grundschutz und KRITIS-Tauglichkeit.

Können AWS Frankfurt, Azure Deutschland oder Google Cloud Frankfurt souverän sein?

Streng genommen nein. Eine Region in Frankfurt ändert nicht die Rechtsstellung der Mutterkonzerne, die US-amerikanisches Recht bleibt. Microsofts Delos Cloud und AWS European Sovereign Cloud (Region Brandenburg) versuchen, dies zu umgehen — die BSI-Bewertung steht 2026 noch aus.

Ist eine souveräne Cloud wirklich teurer?

Nicht so sehr wie oft angenommen. STACKIT, IONOS, Open Telekom Cloud und OVHcloud Frankfurt bieten oft vergleichbare oder günstigere Preise als Hyperscaler bei Standarddiensten.

Welche souveräne Cloud für deutschen Mittelstand?

STACKIT für Mittelstand mit hohen Compliance-Anforderungen, IONOS für klassische Workloads, Open Telekom Cloud für KRITIS-Sektoren, plusserver für VMware-Workloads, OVHcloud Frankfurt für GPU-/KI-Lasten.

Kann eine souveräne Cloud generative KI hosten?

Ja. OVHcloud Frankfurt bietet H100/H200-GPU-Instanzen und AI Endpoints. Für sensible Anwendungsfälle ist Mistral via vLLM auf souveränen GPU-Instanzen die kontrollierteste Option. Siehe unseren Leitfaden lokale LLM im Unternehmen.

Wie lange dauert die Migration von AWS / Azure zu einer souveränen Cloud?

Variabel. Für Standarddienste: 3 bis 9 Monate. Für Architekturen mit starker Abhängigkeit von proprietären Managed Services: 6 bis 18 Monate.

Quellen: BSI C5 Anforderungskatalog (bsi.bund.de); BfDI Hinweise zu Cloud-Diensten unter DSGVO; STACKIT, IONOS, Open Telekom Cloud, plusserver, OVHcloud, Delos Cloud Dokumentation; DSGVO (VO (EU) 2016/679); BDSG; KRITIS-Verordnung; US CLOUD Act (Pub.L. 115-141); FISA Section 702; Bundeskartellamt Cloud-Marktuntersuchung.

Um eine Migration zur souveränen Cloud zu rahmen — Anbieterauswahl, Migrationsplan, KI-Integration — siehe unseren Leitfaden Datenhosting in Europa, unseren Leitfaden lokale LLM im Unternehmen, oder kontaktieren Sie uns über unsere maßgeschneiderten KI-Lösungen.