Milliardeninvestitionen, Pressemitteilungen voller Souveränitätsversprechen, Politiker auf Bühnen neben Rechenzentrumsmodellen. Wer die Nachrichten der letzten zwei Jahre verfolgt hat, könnte denken, Europa habe seine digitale Abhängigkeit von US-Konzernen gerade in Rekordzeit überwunden. Die Realität ist komplizierter.
Amazon Web Services kündigte im Mai 2024 eine Investition von 7,8 Milliarden Euro in die AWS European Sovereign Cloud an. Die erste Region entsteht in Brandenburg, die Investitionen laufen bis 2040. Oracle betreibt seine EU Sovereign Cloud seit Mitte 2023 in Frankfurt und Madrid und erweiterte das Angebot Ende 2024 auf Software-as-a-Service-Anwendungen. Google eröffnete im November 2025 seinen ersten Sovereign Cloud Hub in München. Bereits im Februar 2025 hatte Google Cloud mit dem Bundesamt für Sicherheit in der Informationstechnik eine strategische Kooperationsvereinbarung für sichere und souveräne Cloud-Lösungen in der öffentlichen Verwaltung unterzeichnet.
Parallel dazu bauen europäische Anbieter aus. Die Schwarz Gruppe, Mutterkonzern von Lidl und Kaufland, errichtet über ihre IT-Sparte Schwarz Digits im brandenburgischen Lübbenau ein Rechenzentrum für rund 11 Milliarden Euro. Im Vollausbau soll es bis zu 100.000 Grafikprozessoren aufnehmen. Der erste Bauabschnitt beziehungsweise zentrale Teile des Projekts sollen bis Ende 2027 fertiggestellt werden. SAP kündigte an, über 20 Milliarden Euro in europäische digitale Resilienz zu investieren und führte im September 2025 „SAP Sovereign Cloud On-Site“ ein. Die Nachfrage ist definitiv da: Laut Bitkom Cloud Report 2025 wünschen sich 82 Prozent der deutschen Unternehmen starke heimische oder europäische Cloud-Anbieter.
Was aber wie ein Durchbruch wirkt, ist vor allem eines: eine teuer erkaufte Teilantwort auf ein Problem, das tiefer sitzt als jeder Serverstandort.
Wie souverän ist eine souveräne Cloud wirklich?
Der Begriff „Sovereign Cloud“ ist juristisch nicht einheitlich definiert. Anbieter verwenden ihn für sehr unterschiedliche Konstrukte, von physisch getrennten Rechenzentren über spezielle Betreibergesellschaften bis zu Datenspeicher-, Betriebs- und Kontrollversprechen. Was der Begriff nie automatisch bedeutet: vollständige Unabhängigkeit von außereuropäischem Recht.
Der US CLOUD Act von 2018 verpflichtet amerikanische Unternehmen unter bestimmten Voraussetzungen, US-Behörden Daten zugänglich zu machen. Entscheidend ist dabei nicht allein, wo Daten gespeichert werden, sondern auch, wer sie kontrolliert, wer technisch Zugriff nehmen kann und welchem Recht das kontrollierende Unternehmen unterliegt. Ein Rechenzentrum in Frankfurt schützt deshalb nicht automatisch vor Zugriffsrisiken, wenn es von einem US-Konzern betrieben wird oder maßgeblich auf dessen Technologie und Kontrollstrukturen basiert.
Ein vom Bundesinnenministerium beauftragtes Gutachten der Universität Köln, das Anfang Dezember 2025 nach einer IFG-Anfrage öffentlich wurde, bestätigt diese Grundlinie: Die reine Lokalisierung von Rechenzentren in der EU reicht nicht aus. Entscheidend ist die rechtliche und tatsächliche Kontrolle über das verarbeitende Unternehmen und die technische Infrastruktur.
Das stellt viele Sovereign-Cloud-Angebote vor ein strukturelles Problem. AWS European Sovereign Cloud, Google Sovereign Cloud Hub und Oracle EU Sovereign Cloud setzen auf spezielle europäische Betriebs-, Governance- und Lokalisierungsmodelle. Sie bieten damit gegenüber klassischen Public-Cloud-Angeboten zusätzlichen Schutz, etwa durch physisch getrennte Umgebungen, EU-Personal, lokale Betriebsmodelle und stärkere vertragliche Zusagen. Vollständige digitale Unabhängigkeit entsteht dadurch aber nicht automatisch, solange Konzernstruktur, Technologie, Kontrolle oder Supportprozesse weiter mit US-Anbietern verbunden bleiben.
Delos: Das Paradox der Verwaltungscloud
Nirgendwo zeigt sich die Spannung zwischen Souveränitätsanspruch und Wirklichkeit deutlicher als bei der Delos Cloud, der geplanten Verwaltungscloud für den deutschen öffentlichen Sektor.
Das Konstrukt: Die Delos Cloud GmbH, eine Tochtergesellschaft von SAP mit Sitz in Walldorf, betreibt die Plattform. Die Technologie darunter basiert auf Microsoft Azure und Microsoft 365. Arvato Systems übernimmt den operativen Betrieb. Im September 2024 wurden die finalen Verträge zwischen Delos Cloud, Microsoft und Arvato Systems unterzeichnet. Im September 2025 bestätigte die Bundesagentur für Arbeit als erster Pilotkunde ihre Beteiligung an einem Proof of Concept.
Kritik gibt es von mehreren Seiten. Open-Source-Vertreter*innen weisen darauf hin, dass Microsoft-Software im Kern des Angebots bleibt. Damit bestehe weiterhin das Risiko, dass Abhängigkeiten über Wartungsschnittstellen, Produktlogik oder Telemetrie bestehen bleiben. IT-Sicherheitsforscherin Bianca Kastl brachte die Kritik sinngemäß so auf den Punkt: Delos bilde Microsofts Rahmenbedingungen weitgehend nach, um als lokale und sichere Variante von Microsoft 365 lauffähig zu sein. Selbst Delos-Co-Chef Georges Welz räumte ein, dass das Angebot digitale Souveränität nur mit Ablaufdatum liefere.
Der strukturelle Hintergrund: Microsofts Office-Produktlinie wird zunehmend in Cloud-Modelle verschoben. Bundesbehörden, die weiter Microsoft-Software nutzen wollen, brauchen deshalb eine Lösung für diesen Migrationsdruck. Die Delos Cloud ist die aktuell geplante Antwort darauf. Digitale Unabhängigkeit und professionelles Abhängigkeitsmanagement sind dabei aber zwei verschiedene Dinge.
Wer in Europa wirklich liefern kann
Echte strukturelle Unabhängigkeit vom US-Recht bieten vor allem Anbieter, die unter europäischer Rechtspersönlichkeit operieren, ihre Infrastruktur in Europa betreiben und keine US-Konzernbindung haben. In Deutschland zählen dazu insbesondere IONOS und STACKIT.
IONOS, Tochter der United-Internet-Gruppe, steigerte seinen Gesamtumsatz im ersten Quartal 2025 um 19,7 Prozent auf 446 Millionen Euro. Das Segment Digital Solutions & Cloud wuchs um 7,3 Prozent auf 329,6 Millionen Euro. Das Unternehmen positioniert sich ausdrücklich über europäische Rechenzentren, Zertifizierungen und den Anspruch, Zugriff durch außereuropäische Behörden strukturell auszuschließen.
STACKIT, der Cloud-Ableger der Schwarz Gruppe, bietet seit 2022 Leistungen auch für externe Kunden an und nennt sein Ziel offen: ein führender europäischer Hyperscaler werden. CEO Bernd Wagner, zuvor bei Google Cloud Deutschland, formulierte die Abgrenzung gegenüber dem US-Markt deutlich: STACKIT wolle nicht in den USA investieren, weil das die eigene Positionierung gegenüber dem US CLOUD Act untergraben würde.
Was Souveränität tatsächlich kostet
Die wachsende Nachfrage nach souveränen Cloud-Angeboten ist real. Getrieben wird sie durch Regulierung, geopolitische Unsicherheit und den Wunsch vieler Unternehmen, kritische digitale Infrastruktur stärker unter europäische Kontrolle zu bringen.
Der EU Data Act gilt seit September 2025 und macht unter anderem Regeln für Datenportabilität und Cloud-Anbieterwechsel verbindlicher. DORA verpflichtet Finanzinstitute seit Januar 2025 zu stärkerem Risikomanagement und dokumentierten Exit-Strategien für kritische IKT-Dienstleister. NIS2 verschärft für viele Unternehmen die Anforderungen an Cybersicherheit, Lieferketten und das Risikomanagement bei externen IT-Dienstleistern.
Das Regelwerk drückt in die richtige Richtung. Aber die Kurzbotschaft, die der Markt gerade sendet, ist irreführend: Wer ein Rechenzentrum in Deutschland eröffnet oder eine deutsche Betreibergesellschaft gründet, hat noch keine digitale Souveränität hergestellt. Er hat die Adresse geändert. Die Frage nach Kontrolle, Technologie, Betriebsmodell, Schlüsselverwaltung, Supportzugriffen und Gerichtsbarkeit ist damit noch nicht beantwortet.
Echte Souveränität kostet mehr als Milliarden für Rechenzentren. Sie kostet den Abschied von Software, Diensten und Ökosystemen, in denen Organisationen seit Jahren zu Hause sind. Sie verlangt technische Alternativen, vertragliche Klarheit, europäische Kompetenz und die Bereitschaft, Bequemlichkeit gegen Kontrolle einzutauschen.

















