Immer mehr Unternehmen achten bei der Wahl ihres Cloud-Anbieters auf das Herkunftsland – aus gutem Grund. Denn Datenschutz, digitale Souveränität und geopolitische Risiken machen die juristische und technische Kontrolle über Daten gewissermaßen zur Pflicht.
Cloud-Dienste sind unverzichtbar für die Digitalisierung in Europa. Fast alle Unternehmen nutzen sie – sei es zur Datensicherung, Kollaboration oder für KI-Anwendungen. Doch mit der steigenden Relevanz wächst auch das Bewusstsein für einen oft unterschätzten Aspekt: das Herkunftsland des Cloud-Anbieters. Im Jahr 2025 hat sich die geopolitische und regulatorische Lage derart zugespitzt, dass diese Frage geschäftskritisch geworden ist. Die nationale Herkunft von Cloud-Diensten beeinflusst heute maßgeblich, wie Unternehmen Datenschutz gewährleisten, rechtlichen Anforderungen gerecht werden, Risiken minimieren und das Vertrauen von Kunden und Partnern erhalten.
Datenschutz und politische Risiken: Warum Herkunft rechtlich zählt
Ein wesentlicher Treiber für die Fokussierung auf die Anbieterherkunft ist die europäische Datenschutzgrundverordnung (DSGVO). Sie stellt klare Anforderungen an den Schutz personenbezogener Daten und an die Weitergabe dieser Daten in Drittstaaten. Seit dem EuGH-Urteil „Schrems II“ ist der Datentransfer in Länder außerhalb der EU nur noch unter strengen Bedingungen zulässig. Besonders US-amerikanische Anbieter geraten dabei in den Fokus, da sie durch den Cloud Act verpflichtet sind, US-Behörden auf Anordnung Zugriff auf gespeicherte Daten zu gewähren – auch wenn sich diese Daten physisch auf Servern innerhalb Europas befinden. Das sorgt für erhebliche rechtliche Unsicherheit.
Auch chinesische Anbieter unterliegen vergleichbaren Zugriffsgesetzen, was sie aus Compliance-Sicht kaum attraktiv macht. Demgegenüber bieten europäische Anbieter klare Rechtsverhältnisse, unterliegen ausschließlich europäischem Recht und agieren transparent gegenüber Datenschutzbehörden. Für Unternehmen wird diese Rechtssicherheit zum wichtigen Auswahlkriterium.
Hinzu kommen strategische Risiken, die mit einer starken Konzentration des Cloud-Markts verbunden sind. Drei US-Anbieter – Amazon Web Services (AWS), Microsoft Azure und Google Cloud – kontrollieren zusammen über 70 Prozent des europäischen Cloud-Markts. Diese Marktmacht birgt erhebliche Abhängigkeiten. Unternehmen, die sich stark auf einen dieser Anbieter einlassen, geraten in einen sogenannten Vendor Lock-in: Ein Wechsel des Anbieters ist technisch wie wirtschaftlich aufwendig.
Gleichzeitig besteht ein permanentes Risiko durch Lizenzänderungen, Preisanpassungen oder sogar politische Entscheidungen, die dazu führen könnten, dass Dienste eingeschränkt oder ganz entzogen werden. Das Szenario wurde übrigens im Rahmen internationaler Sanktionen bereits Realität, als Cloud-Dienste in bestimmten Regionen abgeschaltet wurden.
Vor diesem Hintergrund erkennen viele Unternehmen, dass sie ihre kritische Infrastruktur auf zu wenigen, nicht-europäischen Schultern ruhen lassen. Dadurch gewinnen Multi-Cloud-Strategien zunehmend an Popularität: Die Kombination aus großen globalen Cloud-Plattformen und europäischen Alternativen soll Flexibilität, Ausfallsicherheit und regulatorische Kontrolle miteinander verbinden.
Oder anders ausgedrückt: Der Druck wächst, souverän zu handeln und sich nicht in rechtliche oder politische Abhängigkeiten zu begeben.
Vertrauen und Kundenanforderungen: Herkunft als Wettbewerbsvorteil
Neben juristischen und sicherheitspolitischen Argumenten spielt auch Vertrauen eine entscheidende Rolle. Verbraucher und Geschäftspartner legen zunehmend Wert darauf, dass Daten transparent, gesetzeskonform und nachvollziehbar verarbeitet werden.
Ein Cloud-Anbieter mit Sitz in der EU genießt in dieser Hinsicht einen deutlichen Vertrauensvorsprung. Das belegen auch aktuelle Studien: Für zwei Drittel der Unternehmen ist die Herkunft des Cloud-Dienstes ein wichtiges oder sehr wichtiges Kriterium bei der Auswahl. Mehr als 90 Prozent halten Vertrauen in Datenschutz und Compliance für geschäftsentscheidend. Besonders in stark regulierten Branchen wie dem Gesundheitswesen, der Finanzwirtschaft oder bei öffentlichen Auftraggebern ist ein europäischer Anbieter oftmals nicht nur die bevorzugte, sondern die einzig akzeptable Option.
Diese Entwicklung bleibt nicht ohne Auswirkungen auf den Markt. Immer mehr europäische Anbieter positionieren sich mit dem Versprechen von Datenschutz, Datenhoheit und technischer Souveränität. Unternehmen wie OVHcloud, IONOS, T-Systems oder Scaleway bieten Hosting ausschließlich in der EU an, unterliegen europäischem Recht und verpflichten sich zu höchster Transparenz. Damit sprechen sie gezielt Unternehmen an, die regulatorische Anforderungen erfüllen und gleichzeitig ihre digitale Unabhängigkeit bewahren möchten.
Parallel dazu reagieren auch die großen US-Anbieter: Amazon hat angekündigt, mit der „European Sovereign Cloud“ eine technisch und organisatorisch vom Hauptangebot getrennte Infrastruktur bereitzustellen – mit Rechenzentren in Deutschland, administriert von EU-Personal. Microsoft, Google und Oracle bieten ebenfalls „EU-bound“-Modelle an oder kooperieren mit lokalen Partnern, um den europäischen Markt nicht zu verlieren.
Neue Wege zur digitalen Souveränität
Und dann wären da noch Initiativen wie Gaia-X, die für noch mehr Dynamik sorgen. Das Projekt, initiiert von Deutschland und Frankreich, hat das Ziel, eine vernetzte, sichere und interoperable Dateninfrastruktur in Europa zu schaffen. Auch wenn konkrete Ergebnisse noch ausstehen, hat Gaia-X den Diskurs entscheidend geprägt: Digitale Souveränität, Transparenz, Interoperabilität und Datenschutz werden zur Voraussetzung für zukunftsfähige Cloud-Angebote. Zertifizierungen wie das französische SecNumCloud oder das deutsche C5-Label setzen verbindliche Standards für Anbieter, die sich als souverän und vertrauenswürdig positionieren wollen.
All das macht deutlich, dass Cloud-Computing heute mehr als eine technische Frage ist. Es geht um Kontrolle, Risikobewertung und langfristigen Unternehmensstrategien.
