Architektur & SouveränitätFortgeschritten
Was ist eine Sovereign Cloud?
Definition, Abgrenzung zu EU-Cloud und Bewertung produktiver Anbieter im deutschen Markt

Definition: Was ist eine Sovereign Cloud?
Eine Sovereign Cloud (deutsch: souveräne Cloud) ist eine Cloud-Infrastruktur, die unter ausschließlich europäischer Jurisdiktion betrieben wird und in der Daten, Betrieb und Vertragslage rechtlich vor dem Zugriff aus Drittstaaten geschützt sind. Der Begriff hat in den letzten Jahren an Schärfe gewonnen, weil die ursprüngliche Vorstellung von Cloud-Souveränität — Server stehen in der EU — sich juristisch als zu schwach erwiesen hat.
Eine Sovereign Cloud unterscheidet sich von einer einfachen EU-Cloud durch drei zusätzliche Bedingungen: Der Betreiber unterliegt nicht nur formal, sondern auch faktisch europäischer Rechtsprechung; alle Subprocessor sind ebenfalls in der EU ansässig; und Verschlüsselungs-Schlüssel können vom Kunden selbst gehalten werden. Erst diese Trias schließt extraterritoriale Zugriffsregime wie den US CLOUD Act oder FISA Section 702 zuverlässig aus.
Im deutschen und europäischen Markt hat sich der Begriff seit etwa 2022 etabliert, getrieben von der DSGVO, dem Schrems-II-Urteil und dem zunehmend regulierten KI-Umfeld.
Sovereign Cloud vs. EU-Cloud
Der Marketing-Begriff EU-Cloud ist deutlich älter und unverbindlicher als der Sovereign-Cloud-Begriff. EU-Cloud bedeutet typischerweise: Daten werden in einem europäischen Rechenzentrum gespeichert. Diese Aussage sagt nichts über den Anbieter selbst — eine US-Tochtergesellschaft mit Servern in Frankfurt erfüllt sie ebenso wie ein rein europäischer Anbieter.
Sovereign Cloud verlangt mehr. Die Bundesdatenschutzbeauftragte hat in mehreren Stellungnahmen klargestellt, dass eine echte Cloud-Souveränität die Anbieter-Jurisdiktion einschließen muss. Ein US-Konzern mit deutscher Niederlassung fällt weiterhin unter US-Recht — der CLOUD Act greift unabhängig vom Server-Standort. Microsoft hat 2024 mit der EU Data Boundary einen Versuch unternommen, Datenresidenz technisch zu garantieren, ohne aber den Jurisdiktions-Konflikt zu lösen. AWS European Sovereign Cloud (geplant ab 2026) und Google Sovereign Cloud verfolgen ähnliche Ansätze.
Praktisch heißt das: EU-Cloud ist ein notwendiges, aber nicht hinreichendes Kriterium. Sovereign Cloud verlangt Eigentümer-Struktur, Vertragsgerichtsstand und Schlüsselhoheit zusätzlich. Die Begriffe nicht zu vermischen ist die erste Disziplin in der Beschaffung.
Drei Souveränitäts-Schichten
Eine Sovereign Cloud erfüllt drei Schichten gleichzeitig — und nur die Kombination aller drei trägt im Audit.
Erstens die physische Schicht: Speicher, Compute und alle Replikate liegen in EU-Rechenzentren. Bei Multi-Region-Setups muss die Replikations-Topologie explizit auf EU-Regionen beschränkt sein. Backups, Disaster-Recovery-Snapshots und Logs werden routinemäßig in nicht-EU-Regionen kopiert, wenn sie nicht ausdrücklich konfiguriert werden.
Zweitens die betriebliche Schicht: Der Betreiber ist eine juristische Person nach EU-Recht ohne US-Mutter. Die Subprocessor-Kette darf keine US-Anbieter enthalten — auch nicht im Backend für Identity, Logging oder Monitoring. Service-Level-Vereinbarungen werden im Konfliktfall nach EU-Recht ausgelegt, mit Vertragsgerichtsstand in der EU.
Drittens die rechtliche Schicht: Verschlüsselungs-Schlüssel liegen ausschließlich in der Kontrolle des Kunden, idealerweise in einem Hardware Security Module (HSM) unter eigener oder europäischer Hoheit. Bring Your Own Key (BYOK) und Hold Your Own Key (HYOK) sind die technischen Mechanismen — der Betreiber kann die Daten ohne Kundenkooperation nicht entschlüsseln, auch wenn er behördlich dazu aufgefordert würde.
Fehlt eine Schicht, ist der Stack nicht souverän — sondern nur konform mit Datenresidenz im engeren Sinn.
Anbieter-Landschaft 2026
Im deutschen Markt erfüllen mehrere Anbieter die Sovereign-Cloud-Kriterien produktiv. Stackit ist die Cloud-Sparte der Schwarz-Gruppe (Lidl, Kaufland) und betreibt zwei Rechenzentren in Deutschland mit BSI-C5-Zertifizierung. IONOS Cloud, Tochter der United Internet AG, deckt klassische IaaS- und PaaS-Workloads ab und hat sich gezielt als souveräne Alternative positioniert. Open Telekom Cloud Sovereign, betrieben von T-Systems, ist eine separate Variante des OTC-Stacks ohne US-Subprocessor. Daneben existieren spezialisierte Landes-Rechenzentren mit GPU-Erweiterungen — etwa das ITZBund oder einzelne Bundesland-Initiativen für Verwaltungs-KI.
Auf europäischer Ebene ergänzen OVHcloud (Frankreich, börsennotiert), Scaleway (ebenfalls französisch, Iliad-Gruppe), Hetzner (Deutschland, traditioneller Hosting-Anbieter mit Cloud-Erweiterung) und einige skandinavische Anbieter wie UpCloud das Bild.
Vor Auswahl ist ein Bewertungs-Raster sinnvoll. Die wichtigsten Prüfpunkte: Eigentümer-Struktur (Mutter, Schwestern, Joint Ventures), vollständige Subprocessor-Liste, Vertragsgerichtsstand, Audit-Recht des Kunden, BSI-C5-Zertifizierung als Minimum, plus zusätzliche Souveränitäts-Klauseln im Vertrag. Eine GmbH als US-Subsidiary fällt durch — auch wenn sie in München sitzt.
Einsatz-Szenarien und Limitationen
Sovereign Cloud ist nicht für jeden Workload zwingend. Ein Schutzbedarfs-Konzept entscheidet, welche Anwendungen souverän laufen müssen und welche nicht. Hochrisiko-Anwendungen nach EU AI Act, personenbezogene Verwaltungs-Workloads, geschäftskritische Daten unter Vertraulichkeitspflicht und alle DSGVO-Verarbeitungen mit hohem Schutzbedarf gehören in eine Sovereign Cloud. Marketing-Inhalte, öffentliche Daten, Entwickler-Sandboxes ohne Personenbezug können auch auf Hyperscalern bleiben.
Limitationen sind real. Sovereign-Cloud-Anbieter sind in Service-Breite und Innovationsgeschwindigkeit den Hyperscalern unterlegen — managed Datenbanken, vorgefertigte ML-Services und globale Netze stehen nicht im gleichen Umfang zur Verfügung. Das ist akzeptabel, wenn die Workload-Anforderungen sich auf Standard-Bausteine reduzieren lassen. Für stark managed-getriebene Architekturen kann der Wechsel zu einer Sovereign Cloud Engineering-Aufwand bedeuten.
In der Praxis hat sich ein Multi-Cloud-Modell durchgesetzt: Sovereign Cloud für regulierte und vertrauliche Workloads, Hyperscaler für unkritische und innovations-getriebene Anwendungen. Die Trennlinie pro Workload-Klasse wird einmal definiert und in der Routing-Konfiguration verankert.
Häufige Fragen zu Sovereign Cloud
Was unterscheidet Sovereign Cloud von EU-Cloud?
EU-Cloud bedeutet meist nur EU-Speicherort. Sovereign Cloud verlangt zusätzlich EU-Jurisdiktion des Betreibers, vollständig europäische Subprocessor-Kette und Verschlüsselungs-Schlüssel in eigener Hand. Eine US-Tochter mit deutschen Servern erfüllt EU-Cloud, nicht aber Sovereign Cloud — der CLOUD Act greift weiterhin. Sovereign Cloud ist deshalb der relevante Maßstab für Hochrisiko-KI nach EU AI Act und für sensible DSGVO-Workloads.
Welche Anbieter erfüllen volle Cloud-Souveränität?
Anbieter mit ausschließlich europäischer Eigentümer-Struktur und EU-Jurisdiktion. In Deutschland: Stackit (Schwarz-Gruppe), IONOS Cloud (United Internet), Open Telekom Cloud Sovereign (T-Systems), Hetzner sowie Landes-Rechenzentren. Auf EU-Ebene: OVHcloud (Frankreich), Scaleway (Iliad-Gruppe), UpCloud (Finnland). Wichtig vor Auswahl: vollständige Eigentümer-Struktur prüfen, Subprocessor-Liste verlangen, BSI-C5-Zertifizierung plus Souveränitäts-Klauseln im Vertrag verankern.
Ist eine Sovereign Cloud teurer als ein Hyperscaler?
In der Regel ja — typisch 10 bis 30 Prozent mehr für vergleichbare IaaS-Bausteine, weil die Skalen-Vorteile geringer sind. Bei spezialisierten Diensten (managed Datenbanken, ML-Services) kann der Aufpreis deutlich höher ausfallen oder das Angebot fehlt ganz. Compliance-Risiken bei Hyperscaler-Nutzung — etwa CLOUD-Act-Vorfälle oder DSGVO-Bußgelder — können die Differenz aber leicht aufzehren. Pro Workload-Klasse zu entscheiden ist meist günstiger als pauschal eines von beiden.
Sind Hochrisiko-KI-Workloads ohne Sovereign Cloud möglich?
Theoretisch ja, praktisch kaum. EU AI Act Artikel 14 verlangt menschliche Aufsicht mit echter Eingriffsbefugnis, Artikel 12 fordert auditierbares Logging über die gesamte System-Lebensdauer. Auf Closed-API-Modellen großer US-Anbieter ohne Audit-Recht sind diese Pflichten nicht zuverlässig erfüllbar. Zusammen mit Schrems II und CLOUD Act ergibt sich faktisch: Hochrisiko-KI gehört in eine Sovereign Cloud, idealerweise mit Open-Weight-Modellen für volle Reproduzierbarkeit.
Wie wird Cloud-Souveränität vertraglich abgesichert?
Über fünf Klauseln im Cloud-Service-Vertrag und im Auftragsverarbeitungs-Vertrag. Erstens explizite Eigentümer-Klausel: keine US-Mutter, keine US-Beteiligung über bestimmte Schwellen. Zweitens vollständige Subprocessor-Liste mit 30-tägigem Vorlauf bei Änderungen. Drittens Standort-Garantie für Primär-Speicherung, Backups und Disaster-Recovery. Viertens Vertragsgerichtsstand in der EU. Fünftens Audit-Recht für Sie oder beauftragte Dritte. Plus BSI-C5- oder ISO-27001-Zertifizierung als Minimum-Sicherheits-Niveau.