Banken, Versicherungen, das Gesundheitswesen und die öffentliche Hand sehen die Vorteile der Cloud, um die Produktivität zu steigern. Andererseits müssen sie die sensiblen Daten ihrer Kunden rechtlich und ethisch schützen. Ein Spannungsfeld.
Die souveräne Cloud: Ein Schritt zur digitalen Souveränität für Unternehmen mit sensiblen Daten, die volle Kontrolle über Datenverarbeitung, Transparenz bei Cloud-Aktivitäten und Offenheit der Anwendungen verspricht.
Banken und Versicherungen, das Gesundheitswesen und die öffentliche Hand stehen vor einem Dilemma. Einerseits wollen sie die Produktivitätsvorteile und Innovationspotenziale nutzen, die die Datenhaltung in der Cloud bietet. Andererseits sind sie als Institutionen, die mit sensiblen Daten der Kunden und Bürger arbeiten, rechtlich und ethisch verpflichtet, diese Daten zu schützen. Angesichts der aktuellen geopolitischen Entwicklungen und der damit verbundenen drohenden Aushöhlungen im internationalen Datenschutz ein klassischer Zielkonflikt. Die sogenannte „souveräne Cloud“ verspricht eine Lösung.
Das soll die souveräne Cloud speziell Unternehmen mit (hoch)sensiblen Daten bieten. Dazu können die Anwender bei dieser Cloud-Variante zum Beispiel selbst bestimmen, wo, wie und von wem ihre Daten verarbeitet werden. Drei Eigenschaften muss so eine Cloud aufweisen: Daten-, Betriebs- und Software-Souveränität. Sie sollen sicherstellen, dass die Daten vor unbefugten Zugriffen geschützt, die Cloud-Aktivitäten transparent und kontrollierbar, und die Cloud-Anwendungen und -Services quellcode-offen und austausch- beziehungsweise wechselbar sind. Nicht alle, aber immer mehr Anbieter versprechen in ihrem Sovereign-Design genau diese Möglichkeiten.
Was eine souveräne Cloud ausmacht
Teil dieses Versprechens (Daten-Souveränität) ist, dass das Unternehmen selbst in der Lage sein sollte zu bestimmen, an welchem Standort oder wenigstens in welcher Region die Daten in der Cloud gespeichert und verarbeitet werden – oder zumindest eine Option aus einer Liste an möglichen Datenresidenzen zu wählen. In bestimmten Modellen der Sovereign Cloud wird der Zugriff auf die Unternehmens-Daten vom eigentlichen Plattform-Anbieter entkoppelt und beispielsweise von einem Dritten in einer Partnerkonstellation überwacht und kontrolliert. Dieser übernimmt dann die Verantwortung für die sogenannten „Sovereign Controls“, die sich vor allem auf Identifikations- und Authentifizierungsrechte, Verschlüsselung sowie die Beobachtung möglicher Schutzverletzungen fokussieren.
Das souveräne Cloud-Konstrukt kann dabei so weit reichen, dass der Partner auch die seitens des Hyperscalers eingeräumte und vertraglich abgesicherte Befugnis hat, die Datenlokationen im Sinne der nutzenden Kunden zu auditieren. Zur Stärkung des Vertrauens in solche Konstellationen wählen US-amerikanische Hyperscaler vorzugsweise nationale IT-Dienstleister, die neben der erforderlichen technologischen Kompetenz auch über die notwendige Integritätsvermutung verfügen.
Betriebs-Souveränität heißt, dass die Unternehmen selbst bestimmen können, wie ihre Cloud-Aktivitäten durchgeführt und überwacht werden. Sie können sich dabei auf die Cloud-Anbieter selbst oder auch hier auf lokale Partner verlassen, die die Cloud-Umgebung betreiben und verwalten. Der Cloud-Anbieter stellt die eigentliche Plattform und die damit verbundenen Ressourcen und Services zur Verfügung und stellt deren regelmäßige Aktualisierung und Fehlerbehebung sicher, hat aber faktisch keine Ein- und Zugriffsmöglichkeit mehr auf die betriebliche Umgebung, die der Kunde nutzt. Dadurch können Unternehmen die operationelle Sicherheit und Transparenz gewährleisten, also die Einhaltung der technischen und organisatorischen Standards und Anforderungen. Außerdem können sie die Cloud-Leistung und -Verfügbarkeit steuern und optimieren, so dass sie den Geschäftszielen entsprechen.
Software-Souveränität bedeutet, dass die Unternehmen selbst bestimmen können, welche Cloud-Anwendungen und -Services sie nutzen und wechseln können. Diesem Prinzip folgend sollten sich Kunden einer souveränen Cloud dabei auf quellcode-offene Software verlassen können, die von verschiedenen Anbietern angeboten und weiterentwickelt wird, ganz unabhängig von dem Anbieter und Betreiber der zugrundeliegenden Plattform. Damit wird die Nutzung von Anwendungen auf der souveränen Cloud-Plattform flexibler und vermeidet bzw. reduziert mögliche Abhängigkeiten von Anbietern und Monopolisten. Zu beachten ist, dass nicht alle Angebote für eine souveräne Cloud die Nutzung von Open-Source beinhalten. Dieser Ansatz findet sich jedoch verstärkt in dieser Form der Cloud wieder.
Prädestiniert für Unternehmen mit hochsensiblen Daten
Diese Risiken sind besonders für Unternehmen relevant, die hochsensible Daten verarbeiten. Das sind Daten, die einen hohen Schutzbedarf haben, weil sie personenbezogen oder für die Geschäftstätigkeit oder die Sicherheit des Unternehmens von existenzieller Bedeutung sind. Beispiele für solche Daten sind Kunden-, Finanz-, Gesundheitsdaten oder Daten, die von Behörden genutzt werden, wie beispielsweise Bürger- und Steuerinformationen.
Diese Daten unterliegen strengen gesetzlichen und aufsichtlichen Vorgaben, wie etwa der europäischen Datenschutz-Grundverordnung (DSGVO). Flankierende Vorschriften wie ganz aktuell im Finanzsektor der Digital Operational Resilience Act (DORA) oder die Aufsichtsmitteilung zur Cloud-Nutzung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der Bundesbank nehmen das Unternehmen ebenfalls in puncto Datenschutz und -sicherheit in strenge Verantwortung. Im Kontext von NIS2 gilt Vergleichbares auch für nicht beaufsichtigte Unternehmen. Die Einhaltung dieser Vorgaben ist für die Unternehmen daher nicht nur eine Pflicht, sondern auch ein Wettbewerbsvorteil. Denn sie stärkt das Vertrauen der Kunden, Partner und Stakeholder in die Integrität und Zuverlässigkeit des Unternehmens.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die souveräne Cloud bietet die Cloud-typischen Vorteile, wie Skalierbarkeit, hohe Verfügbarkeit und infrastrukturelle Sicherheit, zusammen mit den oben genannten Kernfunktionen. Am Markt gibt es jedoch Sovereign Cloud-Angebote, die im Funktionsumfang gegenüber „offenen Clouds“ deutlich eingeschränkt sind. Das betrifft Funktionalitäten, die durch die spezifische Konfiguration einer Sovereign Cloud nicht möglich sind. Hierbei kommt es auf den Anbieter selbst und seine angebotenen Funktionen an. Beispielsweise kann es Beschränkungen für umfangreiche Datenanalyse-Funktionen oder auch künstliche Intelligenz geben, da aufgrund der Datenmasse hier häufig Daten global verarbeitet werden müssen und eine Anpassung der Funktionen auf eine spezifische Region nicht möglich ist. Wenn ein Unternehmen auf solche Anwendungen angewiesen ist, kommt ein Einsatz deshalb nicht in Frage.
Das Konzept der souveränen Cloud bietet sich also aktuell vor allem für Banken, Versicherungen, das Gesundheitswesen und den öffentlichen Bereich an. Allerdings ist das Konzept noch vergleichsweise jung – und mit steigenden Datenschutzrisiken durch internationale Irritationen könnte die zusätzliche Abschottung auch für weitere Branchen interessant und relevant werden.
* Über die Autoren Clarissa Bent ist, wie ihr Kollege und Co-Autor Stefan Wendt, bei der Microfin Unternehmensberatung tätig.
Bildquelle: Microfin Unternehmensberatung
Stefan Wendt ist Experte für IT-GRC (AI, Cloud & Outsourcing) und seit 2001 bei der Microfin Unternehmensberatung tätig.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/6c/976cff4c82dd3a99f7fdd0fe4704feea/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b8/72/b8720c1177be4bf2db25bde39b954649/0124666585v1.jpeg "Digitale Souveränität vs. proprietäre Monopolisten: Autonomie und Entscheidungshoheit privater, staatlicher und unternehmerischer Akteure sicherstellen. (Bild: © Monchisa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/d3/cbd3ac533d41a14001834860d0cb13dd/0127739585v1.jpeg "Sicherer KI-Einsatz für sensible Daten – von SLA-Checks über Geldwäscheprävention bis zur automatisierten medizinischen Dokumentation. (Bild: © Prajuab - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/5b/2e5bf1bfdaccfb01344ddd838fafaabc/0126125471v1.jpeg "Souveräne Clouds haben in Zukunft eine enorme Bedeutung für Europas Datensicherheit. Mit seiner Expertise in AWS unterstützt der hiesige Autor Unternehmen bei der Implementierung robuster und sicherer Cloud-Strategien. (Bild: © Daniel - stock.adobe.com)")