Die Bedeutung von Exit-Strategien in der Cloud erläutert Dr. Julia Pergande von Microfin im Gespräch. Außerdem erklärt sie, wie Regulierungen die Risiken mit Hyperscalern minimieren und was für einen Anbieterwechsel spricht, um die digitale Souveränität umzusetzen.
US-Hyperscaler und Datensouveränität: Trotz der Versprechen von Autonomie ermöglichen US-Gesetze wie der Cloud Act und die Executive Order 12333 US-Behörden den Zugriff auf in Europa gespeicherte Daten, was eine rechtliche Abhängigkeit und Sicherheitsrisiken für Unternehmen bedeutet.
Exit-Strategien als regulatorische Forderung: Neue gesetzliche Regelungen wie DORA und der Data Act verlangen von Unternehmen, Exit-Strategien für den Wechsel von Cloud-Anbietern zu planen und zu testen, um Abhängigkeiten von einzelnen Hyperscalern zu minimieren.
Europäische Cloud-Alternativen: Europäische Anbieter setzen auf Compliance, Transparenz und digitale Souveränität, bieten jedoch noch nicht die Innovations- und Service-Tiefe der Hyperscaler, wodurch häufig hybride Multi-Cloud-Modelle zum Einsatz kommen.
Frau Dr. Pergande, viele Unternehmen setzen heute auf Sovereign-Cloud-Angebote der großen US-Hyperscaler. Sie versprechen Autonomie und digitale Souveränität – aber wie realistisch ist das?
Dr. Julia Pergande: Das ist ein sehr wichtiges Thema. Die US-Hyperscaler werben zwar mit Autonomie, aber rechtlich können sie diese nicht garantieren. Das liegt vor allem an US-Gesetzen wie dem Patriot Act, dem Cloud Act und der Executive Order 12333. Diese erlauben US-Behörden grundsätzlich den Zugriff auf Daten, auch wenn diese in Europa gespeichert sind – sofern die Muttergesellschaft in den USA sitzt. Das bedeutet: Auch europäische Daten sind nicht wirklich sicher vor US-Behörden.
Das klingt nach einer echten rechtlichen Abhängigkeit. Was bedeutet das konkret für Unternehmen?
Unternehmen müssen sich bewusst machen, dass sie mit US-Anbietern immer auch rechtlich an die USA gebunden sind. Die US-Behörden können Daten von Personen außerhalb der USA anfordern – und umgekehrt: Europäische Behörden können US-Anbieter dazu verpflichten, Daten europäischer Bürger herauszugeben. Das führt zu einem rechtlichen Dilemma, das viele Unternehmen unterschätzen.
Die GESPRÄCHSPARTNERin
Dr. Julia Pergande ist Principal Consultant und Projektleiterin bei Microfin, eine deutsche Unternehmensberatung, die sich auf Finanzdienstleistungen und digitale Transformation spezialisiert hat. Julia Pergande unterstützt Unternehmen bei der Umsetzung von Governance-, Risiko- und Compliance-Projekten und entwickelt systematische Risikobewertungen zur Einhaltung rechtlicher Vorgaben.
(Bild: Microfin)
Neben der rechtlichen Abhängigkeit gibt es ja auch strukturelle Risiken. Wie sehen die aus?
Ja, das ist ein weiterer Punkt. Die US-Hyperscaler haben faktisch Monopole auf dem Markt. Sie bestimmen die Preise, die Verfügbarkeit und die technischen Standards. Das kann zu erhöhten Lizenzkosten und Risiken führen – etwa wenn ein Anbieter eine Software nur noch in der Cloud anbietet und das Preismodell entsprechend ändert. Außerdem gibt es das Risiko sogenannter „Kill Switches“, also Hintertüren in proprietären Softwarelösungen, die nicht öffentlich zugänglich sind. Deshalb setzen viele Sovereign-Cloud-Anbieter bewusst auf Open Source, um diese Risiken auszuschließen.
Gibt es denn auch hybride Modelle, bei denen europäische Anbieter US-Technologien nutzen?
Ja, das gibt es – manche nennen das „Sovereignity light“. Hier werden US-Produkte in abgesicherten Umgebungen eingesetzt, etwa für SAP-Lösungen. Aber auch hier bleibt die Abhängigkeit bestehen: Wenn die US-Anbieter Sicherheits-Updates nicht rechtzeitig liefern, kann die Lösung für einige Tage unbrauchbar werden. Das bedeutet: Unternehmen können zwar auf ihre Daten zugreifen, aber ohne Updates ist die Betriebssicherheit gefährdet – und das kann schnell zu Cyberangriffen führen.
Wie sieht es mit Portabilität und Exit-Strategien aus? Viele Unternehmen planen das inzwischen schon.
Der Mindset ist vor allem in der Finanzbranche schon weit verbreitet – durch DORA und den Data Act werden explizit Exit-Strategien und getestete Konzepte gefordert. Unternehmen müssen also schon in der Designphase überlegen, wie sie im Ernstfall aus einer Cloud-Lösung aussteigen können. Dazu gehören Tabletop-Tests, Notfallressourcen und klare Rollen. Auch der Data Act verpflichtet Cloud-Anbieter, den Wechsel zu anderen Anbietern oder On-premise-Lösungen zu ermöglichen.
Die Abhängigkeit von US-Anbietern ist rechtlich und strukturell problematisch. US-Gesetze wie der Patriot Act oder Cloud Act erlauben US-Behörden Zugriff auf Daten, auch wenn diese außerhalb der USA gespeichert sind, wenn die Anbieter US-Muttergesellschaften haben.
Dr. Julia Pergande
Alternative Public-Cloud-Anbieter in Europa
Sprechen wir über mögliche Lösungen für das Dilemma digitale Souveränität: Sie haben eine aktuelle Marktübersicht zur europäischen Public-Cloud-Landschaft erstellt. Wie stellt sie sich heute dar? Wer sind die relevanten Anbieter. Und worin unterscheiden sie sich von Hyperscalern in Angebotstiefe, Betriebsmodellen und Compliance?
Die europäische Public-Cloud-Landschaft ist heute deutlich vielfältiger und reifer als noch vor wenigen Jahren. Es hat sich ein Markt entwickelt, der zwar in der Breite nicht mit den US-Hyperscalern konkurrieren kann, aber in spezifischen Bereichen – insbesondere rund um Compliance, Daten- und digitale Souveränität sowie sektorale Anforderungen – überzeugende Alternativen bietet.
In der von microfin im September 2025 veröffentlichten Marktübersicht, die microfin werden Anbieter wie OVHcloud, Open Telekom Cloud, Stackit, Scaleway, Cleura, Exoscale und andere analysiert, die sich gezielt auf europäische Anforderungen ausrichten. Sie unterscheiden sich von den Hyperscalern vor allem in folgenden Punkten:
Betriebsmodell: Viele setzen auf Rechenzentren ausschließlich in der EU, überwiegend mit eigener Infrastruktur, eigenen Mitarbeitenden mit EU-Staatsbürgerschaft sowie soliden Basisdiensten und ohne Abhängigkeit von US-Mutterkonzernen.
Rechtsraum: Die Anbieter unterliegen europäischem Recht und bieten – anders als viele "Sovereign Cloud"-Konzepte der US-Anbieter – keine Hintertüren über den Cloud Act.
Transparenz und Compliance: Europäische Anbieter kommunizieren ihre Datenschutz- und Sicherheitsarchitekturen oft klarer, bieten Auditunterstützung, Exit-Klauseln und zum Teil größeren Spielraum bei der Vertragsgestaltung.
Service-Tiefe: In der Breite an PaaS-, ML- oder Edge-Services sind sie den Hyperscalern noch unterlegen, bieten weniger „out-of-the-box Integration“ – in bestimmten Kernfunktionen jedoch absolut konkurrenzfähig.
Ziel unserer Marktübersicht war es, diesen Markt systematisch zu erfassen und strukturiert vergleichbar zu machen – insbesondere für regulierte Unternehmen, die vor konkreten Sourcing-Entscheidungen stehen.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/fc/92/fc9219fe63a11cbd77472b28798c7e73/stackit-cybus-partnerschaft-16-9-727x409v1.jpeg "Stackit und Cybus vereinbaren eine strategische Partnerschaft für europäische Smart-Factory-Lösungen. (Bild: Cybus)")
:quality(80)/p7i.vogel.de/wcms/ed/a3/eda36bff4eab74b47f38ae9c2f5962f8/cloud-erp-mahat-adobestock-835645806-mitkiv1.jpeg "(Bild: © mahat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/06/cc06928e9d81a3ae02f66889f453bb00/aws-modell-20availability-20zone-16-9-1200x675v1.jpeg "Die AWS European Sovereign Cloud basiert auf dem Modell der AWS Availability Zone. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/3e/06/3e064c6104f3b0e5e74f8d5f06fbec86/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/43/5843c738a7f9e1643d5b6a125a538e5e/akamai-nocc-pano-16-9-1200x674v1.jpeg "Akamai betreibt ein eigenes Network Operations Command Center. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/77/167784e2707d79bd104241764b3c370d/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/9c/3a/9c3a866def18ca8aebbe659276a18b81/consense-release-2025-2-16-9-1400x787v1.jpeg "Praktische Funktionen und die KI-Integration in der ConSense Release 2025.2 optimiert die Arbeit mit QMS- und IMS-Systemen. (Bild: insta_photos)")
:quality(80)/p7i.vogel.de/wcms/f0/f0/f0f0feec71fb8ec1d2f3d343e327f829/ki-2rogan-adobestock-717342439-mitki-932x524v1.jpeg "(Bild: © 2rogan/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/22/dd/22dd3877ab935747f146a760d14315d6/ki-agent-thapana-studio-adobestock-1281084264-neu-1200x675v1.jpeg "(© Thapana_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/d4/77d4aa1f8a50822209edc6b443190333/telekonnekt-bild3-4128x2321v1.jpeg "Das Service-Team der Telekonnekt unterstützt Arztpraxen und Apotheken bei der Umstellung auf die neue Telematikinfrastruktur. (Bild: Stefan Prager)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/e4/67e4fb08c8409/cadfem-logo-152x152-1.jpeg "cadfem-logo-152x152-1 (CADFEM Germany GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ca/e9/cae95e4516e3d993350bd5ae46d0861f/adobestock-652588375-metamorworks-amazon-web-services-aws-digitale-souveraenitaet-999x562v1.jpeg "adobestock-652588375-metamorworks-amazon-web-services-aws-digitale-souveraenitaet-999x562v1 (Bild: © metamorworks/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/7a/da7ac01fba4454b30cdc36de35c255d8/adobestock-1484907352-sam-richter-gaia-x-digitale-souveraenitaet-1000x563v1.jpeg "adobestock-1484907352-sam-richter-gaia-x-digitale-souveraenitaet-1000x563v1 (Bild: © sam richter/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/d7/74d76b3d7f6121684220a4bfb043669c/eu-atmospheric-20stock-adobestock-1120624805-neu-1197x673v1.jpeg "eu-atmospheric-20stock-adobestock-1120624805-neu-1197x673v1 (Bild: © atmospheric-20stock/stock.adobe.com)")