Wenn Ihnen heutzutage eine „souveräne“ Cloud-Lösung angeboten wird, sollten Sie immer kritisch hinterfragen, wer wirklich die Kontrolle über Ihre Daten hat. Wahre Souveränität basiert auf einem agnostischen Ansatz in der Bereitstellung, Kontrolle und Transparenz – jenseits von Marketing-Versprechen und angepriesenen Eigenschaften.
Cloud Washing: Alte Services in frischem Gewand, aber nur dem Anschein nach lupenrein digital souverän.
Die Nachfrage und das Angebot an digitaler Souveränität stehen immer höher im Kurs. Wichtige Treiber sind Bedenken hinsichtlich Datenschutz, Einhaltung gesetzlicher Vorschriften und geopolitischer Risiken. Doch Vorsicht: Vor diesem Hintergrund hat sich auch eine neue Art von Zweideutigkeit entwickelt. Unter „Cloud Washing“ verstand man ursprünglich, ältere Bestandslösungen oder nicht cloudbasierte Software mit ein paar sprachlichen Kniffen irgendwie als „cloudbasiert“ zu branden, um vom Hype der Branche mit zu profitieren. Heute allerdings hat der Begriff eine nochmals deutlich heimtückischere Wendung genommen.
Anbieter bezeichnen Cloud-Dienste jetzt als „souverän“ oder sprechen von „Multicloud“, obwohl ihre Infrastruktur, das Routing der Daten und die administrativen Schichten weiterhin eng mit denselben Hyperscaler-Ökosystemen verbunden sind. Das ist letztlich Augenwischerei – und kann die eigentlichen Ziele wie Datenhoheit, Transparenz und Kontrolle gefährden.
All dies bedeutet nun nicht zwangsläufig, dass souveräne Infrastruktur in sämtlichen Anwendungsfällen erforderlich ist. Jedes Unternehmen hat seine ganz eigenen Auflagen und Sachzwänge und kann für bestimmte Workloads durchaus von einer internationalen Public Cloud profitieren. Wenn Souveränität jedoch ein entscheidendes Kriterium für Anwendungen ist, ist es wichtig, dass die gemachten Versprechen auch tatsächlich eingehalten werden.
Souveräne Cloud: Weit mehr als nur ein Schlagwort
Echte digitale Souveränität bedeutet:
Die Daten bleiben innerhalb der jeweiligen Landesgrenzen.
Die Kontrolle liegt bei Betreibern vor Ort, nicht dem Mutterkonzern.
Die Infrastruktur unterliegt keinem Zugriff durch ausländische Regierungen (beispielsweise mit Blick auf den US-CLOUD Act).
Aber Vorsicht: Nicht alles, was auf den ersten Blick glänzt, ist bei näherer Betrachtung auch wirklich “souverän”. Einige Lösungen und Angebote werden unter regionalen Marken oder EU-Partnerschaften vertrieben, bleiben aber im Hintergrund dennoch mit großen Marktteilnehmern außerhalb Europas verbunden.
Wie man Cloud Washing bei „souveränen“ Lösungen erkennt
Die Ansätze variieren und nicht alle sogenannten „souveränen“ Angebote erfüllen dieselben Anforderungen. Bevor eine als souverän vermarktete Cloud-Lösung eingeführt wird, muss deshalb überprüft werden, ob grundlegende Aspekte der Transparenz, Kontrolle und Unabhängigkeit eingehalten werden.
Interessenten sollten immer folgende Fragen stellen: Wo befinden sich die Daten physisch? Ist der Anbieter in der Lage, rechtliche Unabhängigkeit von ausländischen Gerichtsbarkeiten zu garantieren? Besteht eine echte operative Unabhängigkeit von Kontrollebenen oder APIs, die außerhalb Europas gehostet werden?
Die Antworten auf diese Fragen fallen eher vage aus oder der genaue Aufbau der Architektur bleibt intransparent? Dann sollte man die Behauptung, dass es sich um echte Datensouveränität handelt, zumindest mit Vorsicht genießen.
Bevor man sich für eine sogenannte souveräne Cloud-Lösung entscheidet, ist es unerlässlich, deren Architektur und die damit verbundenen Verantwortlichkeiten im Detail zu verstehen:
Kostentransparenz: Die Preisgestaltung von Hyperscalern ist komplex. Dies gilt insbesondere für datenintensive KI-Workloads, bei denen Gebühren und überdimensionierte Dienste die Kosten in die Höhe treiben können.
Kontrolle: Durch Rückverlagerung gewinnen Teams die Möglichkeit, Governance auf Hardware-Ebene durchzusetzen, einschließlich der Kontrolle über Colocation und vertrauliche Service Chains.
Resilienz und Ausfallsicherheit: Bei regionaler Infrastruktur geht es nicht nur um Fragen der Compliance, sondern auch um die Gewährleistung der Geschäftskontinuität angesichts geopolitischer Störungen oder sich verändernder Handelsallianzen.
Wichtig ist: Es geht dabei nicht darum, Public Clouds oder Hyperscaler-getriebene Innovationen generell abzulehnen, sondern vielmehr darum, sie mit Bedacht einzusetzen. Ein ausgereifter Ansatz bewahrt Flexibilität dort, wo sie sinnvoll und hilfreich ist, und identifiziert gleichzeitig Fälle, in denen Kontrolle, Vertrauen und Autonomie unverzichtbar sind – insbesondere bei vertraulichen oder strategisch wichtigen Daten.
Regulierung als Katalysator: Der EU AI Act
Der Drang nach echter Souveränität nimmt zu, denn der EU AI Act trägt dazu bei, die digitale Landschaft neu zu ordnen. Das Gesetz, das im August 2025 in Kraft getreten ist, führt strenge Verpflichtungen in Bezug auf Transparenz, Nachvollziehbarkeit und Dokumentation ein – insbesondere für risikoreiche KI-Systeme und -Modelle.
Diese Compliance-Anforderungen gehen über die Anwendungsebene hinaus und erstrecken sich auch auf die Infrastruktur: Wo werden die Modelle trainiert und gehostet? Wer kontrolliert die zugrunde liegenden Daten und die Überwachungsmechanismen? Kann der Anbieter vollständige rechtliche und operative Unabhängigkeit nachweisen?
Falls ein Cloud-Anbieter ausländischen Überwachungsgesetzen unterliegt oder wichtige Dienste über intransparente globale Regionen geleitet werden, ist die Compliance möglicherweise gefährdet – auch dann, wenn eigentlich „EU-Compliance“ versprochen wurde.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der neue KI-Verhaltenskodex der EU, der Mitte 2025 eingeführt wurde, bietet erste Orientierungshilfen. Viele Unternehmen verzichten allerdings auf Spekulationen und setzen lieber von Anfang an auf den Aufbau wirklich souveräner und autonomer Umgebungen.
„Cloud Washing“ kann nicht nur für sprachliche Unklarheiten sorgen, sondern auch Verantwortlichkeiten verschleiern. In einer Zeit, in der die KI-Governance ausgebaut wird und die Industriepolitik neu definiert wird, kann dies zu einem existenziellen Risiko werden.
Digitale Souveränität zurückzugewinnen bedeutet nicht, Public-Cloud-Angebote grundsätzlich abzulehnen. Aber es bedeutet, genau hinzusehen und zu wissen, worauf es ankommt – je nach Art der Daten, dem Anwendungsszenario und dem erforderlichen Level an Vertrauen. Es bedeutet, die Infrastruktur zu hinterfragen, falsche Gleichsetzungen zu vermeiden und resiliente Umgebungen aufzubauen – egal, ob in Public-, Private- oder Hybrid-Cloud-Infrastrukturen.
Sie müssen die Cloud nicht verlassen. Aber Sie sollten genau wissen, in was für einer Cloud Sie sich befinden – und wer die Schlüssel und Kontrollelemente dazu in den Händen hat.
* Der Autor Julian Hennig ist Principal Solutions Architect bei Mirantis und berät Kunden bei der Implementierung von Cloud-nativen Lösungen. Er verfügt über mehr als zehn Jahre Erfahrung in der Beratung und im Vertrieb in den Bereichen Distributed Systems, Container und Multicloud-Infrastrukturen.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/a7/08/a70864697c140742ad03eda65f774709/0129076511v2.jpeg "Nicht eindeutig definierbar: Der Begriff Neocloud beschreibt eine aufstrebende Cloud-Kategorie – wahlweise für KI-Workloads oder Cloud-Angebote mit speziellen Souveränitätsmerkmalen. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/7e/dd/7edd11607266db35090e96c821b207d2/0129230321v1.jpeg "S/4HANA-Migrationen erzeugen unter Zeitdruck oft Sicherheitslücken – ein Secure-by-Default-Ansatz mit klaren Abnahmekriterien verhindert, dass technische Abkürzungen dauerhaft im Produktivbetrieb bleiben. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/c2/ecc2e618bbf663c1b3e61af48af46f9a/0129309223v1.jpeg "Das Tool ordnet Organisationen einem von fünf „Sovereignty Effective Assurance Levels“ (SEAL 0–4) zu. (Bild: Suse)")
:quality(80)/p7i.vogel.de/wcms/a6/4b/a64ba7ed09d84b656d4d19e41a226168/0128867422v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/d5/e4d520bff2f353a1a8c319f63a013038/0129223590v1.jpeg "Proton Lumo erhält Projekte für die bessere Strukturierung. Die Arbeit mit Lumo und Projekten ist eingeschränkt auch kostenlos möglich.
(Bild: Joos - Proton)")
:quality(80)/p7i.vogel.de/wcms/af/f0/aff0894739bc8f807370a5c219cb5234/0129099772v1.jpeg "Skype wurde Anfang Mai 2025 eingestellt. Wer noch alte Daten retten will, sollte schnell aktiv werden. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/eb/46/eb46811e7e48f6c1163ecb80d782d9a8/0129257401v2.jpeg "Damit die Sozialversicherungen im Ernstfall nicht wieder zurück zu Umlaufmappen und Stempeln müssen, erproben sie derzeit Open-Source-Alternativen. (Bild: © Pulwey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/a7/d9a7e0f1283811ab353e9fa6ed69dc96/0129530831v1.jpeg "Fällt das Internet aus, könnten deutsche Unternehmen den Geschäftsbetrieb gerade einmal 20 Stunden aufrechterhalten – nur ein Beispiel für mangelndes Krisenmanagement. (Bild: frei lizenziert Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/dc/c6/dcc6af932e75758b342aba76fe6dedd2/0129440963v1.jpeg "Die XXV. Olympischen Winterspiele in Norditalien sind mehr als ein sportliches Großereignis – sie sind auch ein Feldexperiment für eine neue Ära der Konnektivität. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/03/88/038829b1082ea76328504b3fa08bb72c/0129532811v1.jpeg "Cloud Washing: Alte Services in frischem Gewand, aber nur dem Anschein nach lupenrein digital souverän. (Bild: frei lizenziert PlaNet)")
:quality(80)/p7i.vogel.de/wcms/9f/05/9f055e986816adb29696516d2469266e/0129568315v1.jpeg "Die aktuelle Parallels-Studie zeigt ein tiefgreifendes Umdenken in der Cloud-Strategie deutscher Unternehmen, die zunehmend Flexibilität und strategische Weitsicht priorisieren, während sie traditionelle Anbieterabhängigkeiten hinterfragen. (Bild: frei lizenziert Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/2c/c2/2cc2c02b96c9c4ad94a2ce050e0b0d65/0129603520v1.jpeg "Bis spätestens 6. März 2026 müssen sich von NIS2 betroffenen Unternehmen beim BSI registrieren. (Bild: frei lizenziert mcanden)")
:quality(80)/p7i.vogel.de/wcms/ec/7c/ec7c3216bada78af4c3f2cb8847500d4/0129520873v1.jpeg "Rolf Schumann (Co-CEO Schwarz Digits), BSI-Präsidentin Claudia Plattner und Christian Müller (Co-CEO Schwarz Digits) vereinbaren eine strategische Partnerschaft (v.li.n.re.). (Bild: Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/8c/3d8c014d709c0841c13d17aeabcdbf20/0129333190v1.jpeg "Strukturierte Evaluierungsframeworks machen generative KI messbar und ermöglichen den Übergang von Pilotprojekten zu skalierbaren, produktiven Anwendungen. (Bild: © JulsIst - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/a2/eea29f5fb2d0ce3080232778e9f37156/0129251685v1.jpeg "Damit KI die Produktivität wirklich steigert, müssen Unternehmen Qualifizierung, Datenzugang und Tools so aufstellen, dass alle Beschäftigten, also nicht nur Führungskräfte und Datenteams, profitieren. (Bild: © Nadezhda Buravleva - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/6b/146bedd726bce9bc6d69bbc2a4199ad8/0129226061v2.jpeg "Wenn KI nur im geschlossenen Unternehmensraum agiert, bleibt auch die Datenhoheit beim Unternehmen. Fujitsus neue Plattform soll dabei unterstützen. (Bild: Midjourney / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/68/6c/686cc778b54e4/flexera-no-tagline-rgb-full-color.png "flexera-no-tagline-rgb-full-color (Flexera Software GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0f/05/0f05dbbb4344c52b8893fbb312292898/0124725090v1.jpeg "Digitale Souveränität in der Cloud (Bild: IONOS / GettyImages)")
:quality(80)/p7i.vogel.de/wcms/14/f4/14f406cca660fb0830c15d36b4f5c63e/0126339665v1.jpeg "Digitale Souveränität: Das ZenDiS-Whitepaper warnt vor Abhängigkeiten durch proprietäre Systeme und US-Recht und erklärt, warum viele Cloud-Angebote nicht wirklich unabhängig sind. (Bild: © BonzEarthsnapper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/05/0f05dbbb4344c52b8893fbb312292898/0124725090v1.jpeg "Digitale Souveränität in der Cloud (Bild: IONOS / GettyImages)")