Souveränität wird zum Beschaffungskriterium
Wie europäische Unternehmen ihre Cloud- und KI-Architektur neu ordnen
Die europäische Cloud-Infrastruktur befindet sich an einem kritischen Wendepunkt. Während in den vergangenen Jahren Debatten über digitale Souveränität primär auf politischer Ebene und in strategischen Whitepapers geführt wurden, diktiert das Thema im Jahr 2026 zunehmend die konkrete IT-Beschaffung in Unternehmen und Behörden. Angetrieben von wegweisenden Großausschreibungen und verschärften regulatorischen Rahmenbedingungen verschiebt sich der Fokus von der bloßen Datenlokalisierung hin zur vollständigen technologischen und rechtlichen Kontrolle.
Impuls aus der EU
Wie tiefgreifend der Wandel ist, verdeutlicht die im April 2026 von der Europäischen Kommission abgeschlossene Großausschreibung für souveräne Cloud-Dienste. Das Vergabevolumen von bis zu 180 Millionen Euro über eine Laufzeit von sechs Jahren ging gezielt an ein Konsortium europäischer Anbieter – darunter STACKIT, Scaleway, Post Telecom (mit OVHcloud) und Proximus.
Bemerkenswert an dieser Vergabe ist die erstmalige harte Anwendung des Cloud Sovereignty Frameworks. Anbieter wurden anhand von acht messbaren Souveränitätsdimensionen bewertet. Den höchsten Stellenwert nahm mit 20 Prozent die Souveränität der Lieferkette ein, gefolgt von operativer, technologischer und strategischer Unabhängigkeit (je 15 Prozent). Diese Ausschreibung fungiert als neuer Marktstandard für den Enterprise-Sektor: Sie definiert messbar, was „souverän“ bedeutet, und zwingt globale Anbieter zur Anpassung, während europäische Provider eine Validierung ihrer Architektur erhalten.
Eigentümerschaft versus Geografie
Für IT-Verantwortliche verschärft sich damit eine Kernfrage: Wo liegen die Daten und wer kontrolliert die physische wie logische Infrastruktur? Die Europäische Kommission prognostiziert, dass bis 2028 rund 91 Prozent aller Enterprise-Workloads in die Cloud migriert sein werden. Gleichzeitig wächst das Bewusstsein, dass die Speicherung von Daten auf europäischen Servern allein keinen hinreichenden Schutz vor extraterritorialem Zugriff bietet.
Zwar reagieren US-amerikanische Hyperscaler auf den Druck – wie die Inbetriebnahme der AWS European Sovereign Cloud in Brandenburg im Januar 2026 zeigt –, doch die rechtliche Grauzone bleibt bestehen. Branchenexperten wie Dr. Andreas Nauerz, Chief Product Officer beim deutschen Cloud-Anbieter IONOS, betonen, dass Souveränität maßgeblich durch die Eigentümerstruktur und den Hauptsitz des Anbieters bestimmt wird. Solange Mutterkonzerne ausländischen Gesetzen wie dem US CLOUD Act unterliegen, kollidiert dies potenziell mit den strengen europäischen Compliance-Vorgaben. Wahre Souveränität erfordere daher die technologische Kontrolle über den gesamten Cloud-Stack, offene Standards und eine echte Interoperabilität, um einen Vendor Lock-in zu verhindern.
Regulatorischer Druck durch DORA und NIS-2
Diese Differenzierung ist für regulierte Branchen längst keine theoretische Abwägung mehr. Mit dem seit Januar 2025 vollständig anzuwendenden Digital Operational Resilience Act (DORA) für den Finanzsektor und der fortschreitenden Durchsetzung der NIS-2-Richtlinie für kritische Infrastrukturen und den Gesundheitsbereich sind IT-Architekturentscheidungen direkt an Haftungsfragen gekoppelt. Unternehmen in diesen Sektoren müssen nachweisen, dass ihre geschäftskritischen Workloads resilient gegenüber geopolitischen Risiken und ausländischen Jurisdiktionen sind.
Zusätzlich zeigt sich in der Praxis eine strukturelle Hürde: Laut aktuellen Marktstudien kämpfen über 70 Prozent der Unternehmen in Deutschland mit der Modernisierung von geschäftskritischen Legacy-Systemen. Diese Altsysteme lassen sich nicht ohne Weiteres in hochgradig standardisierte Public-Cloud-Umgebungen migrieren, was den Druck erhöht, flexible, lokal kontrollierte Hybrid-Modelle aufzubauen.
KI-Inferenz im Fokus
Besonders dynamisch entwickelt sich die Souveränitätsdebatte im Kontext von Enterprise-KI-Strategien. Hier reicht es nicht mehr aus, zu klären, wo Rohdaten gespeichert oder KI-Modelle trainiert werden. Der kritische Faktor ist die Inferenz – also das Ausführen der Modelle im Produktivbetrieb.
Wenn Unternehmen ihre KI-Inferenz auf Infrastrukturen konsolidieren, die außerhalb der europäischen Jurisdiktion liegen, riskieren sie eine schleichende, technologische Abhängigkeit. Da KI-Modelle zunehmend tiefer in Kernprozesse von Unternehmen integriert werden, schließt sich das Zeitfenster für den Aufbau souveräner Rechenkapazitäten (Sovereign Compute) rapide. Wer Souveränität nicht von Anfang an in das Fundament seiner KI-Architektur einplant, steht später vor massiven und teuren Migrationsproblemen.
Komplexität im Hybrid-Betrieb als Angriffsfläche
Die Realität in den Rechenzentren der Großunternehmen ist meist eine hybride Multi-Cloud-Landschaft. Workloads werden aus Gründen der Flexibilität und Redundanz über verschiedene Anbieter und On-Premises-Infrastrukturen verteilt.
Aus Cybersecurity-Sicht schafft dieser pragmatische Ansatz jedoch erhebliche Risiken. Wie Richard Werner, Cybersecurity Platform Lead Europe bei TrendAI (Trend Micro), anmerkt, verändert die Jurisdiktion des Cloud-Anbieters die fundamentale Natur von Cyber-Bedrohungen zwar kaum, die resultierende architektonische Komplexität tut es hingegen sehr wohl. Fragmentiertes Monitoring, inkonsistente Identitäts- und Zugriffskontrollen (IAM) sowie Fehlkonfigurationen an den Schnittstellen der verschiedenen Plattformen bilden die häufigsten Einfallstore für Angreifer.
Der Enterprise-Markt fordert daher zunehmend konsolidierte Plattformlösungen wie TrendAI Vision One, die Cyber-Risiken über heterogene Umgebungen hinweg – von Public Clouds über souveräne Plattformen bis hin zu Air-Gapped-Systemen (vollständig isolierten Netzwerken) – vereinheitlicht steuern können.
Fazit und Ausblick
Das Jahr 2026 markiert das Ende der reinen Absichtsbekundungen für digitale Souveränität in Europa. Getrieben von harten regulatorischen Daumenschrauben wie DORA und wegweisenden Ausschreibungen der öffentlichen Hand ist das Thema fest in den Anforderungskatalogen der Enterprise-Einkäufer verankert.
Die GITEX AI EUROPE in Berlin wird Ende Juni als globaler Gradmesser dienen, der zeigt, welche Anbieter in der Lage sind, skalierbare, marktreife und rechtssichere Alternativen zu liefern, die den neuen architektonischen Ansprüchen genügen.
Als Medienpartner bietet Computing Ihnen kostenfreie Besuchertickets (Code: TECHFOMO )oder 50% Rabatt auf die Konferenztickets (Code: MEDIAGE50). IT-Verantwortlich können kostenlos am VIP Exclusive Connection Programme auf der GITEX AI EUROPE teilnehmen. Melden Sie sich gleich an.