Oracle investiert Milliarden in Frankfurt. Ein starkes Signal? Ja. Aber nicht unbedingt das richtige. Denn wer die Infrastruktur kontrolliert, kontrolliert auch die Daten. Und Europas Unternehmen brauchen endlich mehr als nur vermeintliche Autonomie.
Digitale Souveränität bedeutet auch Herausforderung. Trotz Investitionen in europäische Rechenzentren bleibt die Datenkontrolle durch den US Cloud Act problematisch. Der EU Data Act versucht, die Souveränität zu stärken, stößt jedoch an Grenzen, wenn Anbieter US-Recht unterliegen.
Cloud-Infrastrukturen sind längst zum Rückgrat der digitalen Wirtschaft geworden – und das nicht nur für Großkonzerne, sondern zunehmend auch für mittelständische Unternehmen. In diesem Kontext gewinnt der Begriff der digitalen Souveränität (Digital Sovereignty) an Bedeutung: Damit ist die Fähigkeit gemeint, Daten und digitale Prozesse rechtlich, technisch und operativ unter eigener Kontrolle zu halten – unabhängig von außereuropäischen Einflüssen.
Für einige Branchenbeobachter ist das ein Zeichen dafür, dass globale Hyperscaler die Bedürfnisse europäischer Unternehmen zunehmend ernst nehmen und sich in Richtung „Sovereign Cloud“ bewegen.
Doch reicht das aus?
Als CEO eines europäischen Cloud-Anbieters freue ich mich zwar über jede Investition in moderne Infrastruktur, sehe aber auch die Kehrseite: Hinter vielen dieser Vorhaben stehen US-Konzerne – und damit ein vollkommen anderes Verständnis von Kontrolle, Zugriff und rechtlicher Zuständigkeit.
Ich sehe jedoch auch die Kehrseite: Hinter vielen dieser Vorhaben stehen US-Konzerne – und damit ein vollkommen anderes Verständnis von Kontrolle, Zugriff und rechtlicher Zuständigkeit. In solchen Fällen wird der Begriff der digitalen Souveränität auf eine rein infrastrukturelle Ebene reduziert – und damit seiner eigentlichen Bedeutung beraubt. Denn digitale Souveränität endet eben nicht am Zaun des Rechenzentrums.
Cloud ist geopolitisch geworden
Spätestens seit dem US CLOUD Act ist klar: Wer Daten in der Cloud speichert, überträgt nicht nur Informationen, sondern auch Verantwortung – und im schlimmsten Fall sogar Kontrolle. Denn der Cloud Act erlaubt es US-Behörden, bei US-Anbietern auf Daten zuzugreifen, selbst wenn diese Daten in Rechenzentren außerhalb der USA gespeichert sind. Hinzu kommt: Unternehmen dürfen oft nicht einmal darüber informieren, wenn dieser Zugriff erfolgt. Transparenz? Fehlanzeige.
Das bedeutet also: Selbst, wenn die Infrastruktur physisch in Frankfurt steht, kann sie rechtlich gesehen in Washington liegen. Eine europäische Hülle schützt nicht vor amerikanischem Zugriff – solange der Anbieter US-Recht unterliegt.
In der Praxis kann selbst bei korrektem Umgang mit Datenschutz und Compliance-Vorgaben eine rechtliche Unsicherheit entstehen, die zur Falle werden kann. Denn es geht nicht mehr nur um „Compliance Risk“, sondern um „Jurisdictional Risk“: das Risiko, dass sich unterschiedliche Rechtsräume widersprechen und ein Unternehmen zwischen den Systemen zerrieben wird.
Der Unterschied zwischen Standort und Gerichtsbarkeit
Bei ihren Cloud-Entscheidungen orientieren sich viele Unternehmen an technischen Kriterien: Verfügbarkeit, Skalierbarkeit und Preis. Dabei wird immer häufiger auf „Sovereign Cloud“-Angebote verwiesen, bei denen europäische Standorte, lokale Mitarbeiter und Datenschutz-Labels im Vordergrund stehen. Doch eine andere Frage ist entscheidend: Welcher Gerichtsbarkeit unterliegt der Anbieter?
Denn der physische Standort bedeutet noch lange nicht rechtliche Unabhängigkeit. Wer seine Daten in ein von den USA kontrolliertes System gibt, kann sich auch mit DSGVO und EU Data Act nicht sicher fühlen.
Ein anschauliches Beispiel ist Microsoft 365: Obwohl der Anbieter europäische Rechenzentren nutzt, unterliegt er weiterhin US-Gesetzen. Auch europäische Initiativen wie Gaia-X zeigen, wie schwierig es ist, echte digitale Eigenständigkeit mit globalen Partnern umzusetzen – ganz zu schweigen vom Aufbau eines nachhaltigen europäischen Cloud-Ökosystems.
Ungleiche Voraussetzungen bei EU Data Act vs. Cloud Act
Mit dem neuen EU Data Act geht Europa einen wichtigen Schritt in Richtung echter digitaler Souveränität.
Cloud-Anbieter sollen den Wechsel zu anderen Diensten vereinfachen.
Egress-Gebühren werden bis 2027 verboten.
Interoperabilität soll gestärkt und Lock-in verhindert werden.
Der Zugriff von Drittstaaten auf EU-Daten wird klarer geregelt.
Der Data Act ergänzt die DSGVO um eine wichtige Komponente: die Kontrolle über nicht personenbezogene Daten und deren technische Nutzbarkeit. Damit wird auch die Abhängigkeit von bestimmten Plattformen adressiert. Unternehmen erhalten somit den klaren Auftrag, ihre Provider-Wahl strategisch zu hinterfragen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Doch auch der beste EU-Rechtsrahmen hat Grenzen, nämlich dann, wenn ein Anbieter dem US-Recht unterliegt. Genau hier liegt das Problem vieler sogenannter „souveräner“ Clouds.
Unternehmen brauchen Strategie für Resilienz
Gerade angesichts globaler Unsicherheiten – von geopolitischen Spannungen bis zu möglichen Wahlausgängen in den USA – ist es für Unternehmen in Europa unerlässlich, ihre Cloud-Strategie neu zu bewerten.
Denn: Die Cloud ist kein neutraler Raum. Wer sie nutzt, muss die Regeln ihres Betriebs verstehen. Benötigt wird dabei keine blinde Skepsis gegenüber US-Anbietern, sondern ein realistischer Blick auf die eigene Risikolage.
Fünf Fragen, die sich Unternehmen stellen sollten:
Welche Daten sind geschäftskritisch – und wo liegen sie aktuell?
Welche rechtliche Kontrolle hat mein Cloud-Anbieter über diese Daten?
Was passiert im Krisenfall – wer kann eingreifen, wer darf zugreifen?
Wie einfach kann ich wechseln – technologisch, vertraglich, praktisch?
Habe ich eine Exit-Strategie, die nicht nur auf dem Papier funktioniert?
Für Unternehmen in regulierten Branchen – etwa aus dem Finanzwesen, dem Gesundheitswesen oder dem Bereich kritischer Infrastrukturen – ist es höchste Zeit, ihre Cloud-Strategie nicht nur operativ, sondern auch rechtlich und politisch abzusichern.
Digitale Souveränität ist kein Zustand, sondern eine Haltung
Digitale Souveränität beginnt immer mit der Frage: Wem vertraue ich meine Daten an und welches Recht gilt im Ernstfall?
Die Milliarden-Investition von Oracle zeigt, dass die Cloud längst nicht mehr nur eine Frage der Infrastruktur ist, sondern auch eine geopolitische Dimension hat. Wer die Infrastruktur kontrolliert, kontrolliert auch Geschäftsmodelle, Innovationszyklen und zunehmend auch KI-Anwendungen.
Europa braucht starke, eigenständige Alternativen. Nämlich Anbieter, die nicht nur in Europa arbeiten, sondern auch europäischem Recht unterliegen. Denn nur, wer Kontrolle, Transparenz und Souveränität ganzheitlich denkt, kann im Ernstfall wirklich unabhängig agieren.
* Der Autor Arno Schäfer ist CEO des Cloud-Anbieters UpCloud und verfügt über mehr als 18 Jahre Führungserfahrung im digitalen Technologiesektor. Sein Schwerpunkt liegt auf der Entwicklung und Umsetzung von Geschäftsstrategien in disruptiven B2B-SaaS-Märkten sowie der erfolgreichen Neuausrichtung von Unternehmen.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/df/fa/dffa6a55b202c1f0a15862734e0cbeca/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/0d/260d4ace38f8375d654c966e8b4ec1f2/0128861157v1.jpeg "Die Cloud-Branche steht 2026 vor entscheidenden Umbrüchen. Welche Trends sind für Cloud-Landschaften zu erwarten? (Bild: © FATEMA3.0 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/ac/67ac72eb8ec04/stackit-logo-rgb-regular-petrol-mz-big.png "stackit-logo-rgb-regular-petrol-mz-big (STACKIT)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ea/ae/eaae758b721df60fd20bb5e7a90fcbfe/0126128843v1.jpeg "Es gibt wohl auch eine Illusion der souveränen Cloud: Europäische Unternehmen stehen vor strategischen Herausforderungen durch den US CLOUD Act und wachsende Risiken im transatlantischen Datenschutz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/a1/e4a1821fc900c2d243fec0cae9f5a423/0124892291v1.jpeg "Symbolbild: Datensouveränität „made in Finland“. Die Rückeroberung der Datenhoheit ist ein Kraftakt – Upcloud will ihn meistern. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/05/0f05dbbb4344c52b8893fbb312292898/0124725090v1.jpeg "Digitale Souveränität in der Cloud (Bild: IONOS / GettyImages)")
:quality(80)/p7i.vogel.de/wcms/11/24/1124a5bd967f3fd44e1fcc8ad93a9b10/0128048486v1.jpeg "Google, seit 2006 in München, baut die historische Arnulfpost, den sogenannten „Postpalast“, seit 2019 zur neuen Zentrale um – nur ein Teil milliardenschwerer Investitionen in Deutschland. (Bild: Google Cloud)")