Zur Startseite gehen
0,00 €*
Kategorien

Digitale Souveränität in der Praxis

#Cloud Repatriation
Artikelreihe Zwischen Cloud und On-Prem: Digitale Souveränität neu denken

Teil III: Digitale Souveränität in der Praxis

Was Unternehmen konkret tun müssen, um Kontrolle über Daten, Systeme und Infrastruktur zurückzugewinnen.

Digitale Souveränität war lange vor allem im öffentlichen Sektor ein Thema. Inzwischen gewinnt sie auch in der Privatwirtschaft an Bedeutung – besonders dort, wo sensible Daten verarbeitet, regulatorische Anforderungen erfüllt oder technologische Abhängigkeiten reduziert werden müssen.

Dieser Artikel beleuchtet, was digitale Souveränität konkret bedeutet, welche rechtlichen und technischen Rahmenbedingungen relevant sind – und wie sich souveräne IT-Architekturen heute realistisch umsetzen lassen.

Inhaltsverzeichnis

Vom politischen Ideal zur operativen Herausforderung

Lange war das Thema digitale Souveränität vor allem im öffentlichen Sektor verankert. Behörden, Verwaltungen und öffentlich finanzierte IT-Projekte beschäftigten sich früh mit Fragen der Datenhoheit, Zugriffsrechte und Rechtsräume – häufig getrieben durch Vergaberichtlinien, Datenschutzvorgaben oder politische Erwartungen.

Für viele privatwirtschaftliche Unternehmen hingegen stand das Thema zunächst nicht im Vordergrund. Hier dominierten Kriterien wie Skalierbarkeit, Time-to-Market und Betriebsaufwand. Die Wahl eines globalen Hyperscalers war häufig pragmatisch begründet – regulatorische Risiken oder juristische Abhängigkeiten spielten oft eine untergeordnete Rolle.

Das ändert sich.

Mit dem zunehmenden Einsatz sensibler Daten, der Integration von KI-Systemen, wachsenden Anforderungen an Nachvollziehbarkeit und der Diskussion um extraterritoriale Zugriffe (etwa durch den CLOUD Act) gewinnt digitale Souveränität auch für Unternehmen aus Forschung, Industrie, Gesundheitswesen oder Finanzbranche an Bedeutung.

Infrastrukturentscheidungen lassen sich heute nicht mehr ausschließlich entlang von Performance und Kosten treffen.

Jurisdiktion, Betriebshoheit und Kontrollierbarkeit werden zu festen Parametern – nicht nur im Risikomanagement, sondern auch in der strategischen IT-Planung.

Rechtlicher Druck: CLOUD Act, EUCS, GAIA-X

Der CLOUD Act – eine transatlantische Sollbruchstelle

Der CLOUD Act verpflichtet seit 2018 US-Technologieunternehmen, gespeicherte Daten auch dann offenzulegen, wenn sich diese außerhalb der USA befinden – etwa in europäischen Rechenzentren.

Das bedeutet: Der physische Speicherort schützt nicht vor dem Zugriff durch US-Behörden, sofern das Unternehmen dem US-Recht unterliegt.

Für viele Organisationen ist das ein grundlegendes Problem – nicht nur in der Theorie. Denn sobald sensible oder personenbezogene Daten betroffen sind, kollidiert diese Zugriffsmöglichkeit mit europäischen Datenschutzstandards. Das rechtliche Risiko ist schwer kalkulierbar – und im Ernstfall nicht kontrollierbar.

EUCS & EU Cloud Rulebook – neue Spielregeln für Anbieter

Als Reaktion darauf arbeitet die EU mit Hochdruck an einem Zertifizierungssystem für Cloud-Dienste: dem EUCS (EU Cloud Services Scheme).

Ziel ist es, ein einheitliches Sicherheitsniveau für Cloud-Angebote zu schaffen – und dabei auch Anforderungen an Rechtsraum, Betrieb und Kontrolle einzubeziehen.

Die höchste Vertrauensstufe (Level 3) sieht unter anderem vor:

  • Betrieb ausschließlich in der EU
  • Administration durch EU-Personal
  • Keine Unterwerfung unter außereuropäische Rechtsordnungen

Für viele US-basierte Anbieter ist diese Stufe kaum erreichbar, da sie strukturell an Mutterkonzerne in den USA gebunden sind.

Selbst die Gründung europäischer Tochtergesellschaften reicht nicht immer aus, um vollständige rechtliche Trennung sicherzustellen.

GAIA-X – europäische Standards statt Monolithen

Parallel zur Regulierung verfolgt die Initiative GAIA-X einen anderen Ansatz: Sie will kein Anbieter sein, sondern ein Rahmen für ein föderiertes, interoperables und nachvollziehbares Cloud-Ökosystem.

Statt Monolithen zu schaffen, sollen Anbieter, Betreiber und Nutzer gemeinsame Standards entwickeln – etwa für:

  • Transparenz von Abhängigkeiten
  • Portabilität von Daten und Workloads
  • Vertrauenswürdige Identitäten und Zertifizierungen

Die ersten GAIA-X-Label wurden vergeben, Werkzeuge wie der Cloud Data Engine zur Prüfung von Diensten existieren, und vor allem in Forschungs- und Verwaltungsprojekten gilt GAIA-X zunehmend als Anforderung.

Ergänzung: EU Data Act – neue Pflichten zur Interoperabilität

Mit dem EU Data Act, der 2024 verabschiedet wurde, adressiert die EU zusätzlich die Portabilität und Nutzbarkeit von Daten – auch in Cloud-Infrastrukturen. Anbieter werden verpflichtet, Datenübertragbarkeit und einen einfachen Wechsel von Cloud-Diensten zu ermöglichen.

Für IT-Strategien bedeutet das: Technologische Souveränität ist künftig nicht nur eine Option, sondern wird zunehmend rechtlich eingefordert – auch mit Blick auf Interoperabilität und Lock-in-Prävention.

Souveränität heißt: Kontrolle über Daten, Recht und Betrieb

Digitale Souveränität ist kein Zustand, der einmal erreicht und dann sichergestellt ist. Sie ergibt sich aus mehreren Faktoren – und muss aktiv gestaltet werden. Drei Ebenen sind dabei entscheidend:

1. Juristische Kontrolle: In welchem Rechtsraum gelten welche Regeln?

  • Unterliegt die Datenverarbeitung ausschließlich europäischem Recht?
  • Besteht Zugriffspotenzial durch Drittstaaten – direkt oder über Anbieterbeziehungen?
  • Können Compliance- und Audit-Anforderungen zweifelsfrei erfüllt werden?

Gerade in regulierten Branchen ist es entscheidend, wo Daten verarbeitet werden – und wer im Ernstfall rechtlich oder technisch Zugriff hätte.

2. Technologische Kontrolle: Wie transparent und unabhängig ist die Infrastruktur?

  • Ist der Software-Stack nachvollziehbar, dokumentiert und auditierbar?
  • Bestehen Abhängigkeiten von proprietären APIs, Lizenzmodellen oder Plattformmechanismen?
  • Lässt sich das System modular weiterentwickeln – oder ist es an einen Anbieter gebunden?

Transparente, offene Technologien reduzieren Risiken – nicht nur rechtlich, sondern auch im Betrieb und bei der Weiterentwicklung.

3. Operative Kontrolle: Wer verwaltet, betreibt und sichert die Systeme?

  • Erfolgt der Betrieb durch internes Personal – oder durch externe Dienstleister mit globalem Zugriff?
  • Bestehen Schutzmechanismen wie Mandantentrennung, Schlüsselhoheit oder Datenlokalisierung?
  • Wie nachvollziehbar und dokumentiert sind administrative Zugriffe und Prozesse?

Souveränität bedeutet nicht, alles selbst zu betreiben – aber sie erfordert die Fähigkeit, Betrieb und Verantwortung gezielt zu steuern und nachvollziehbar abzusichern.

Technologische Hebel für souveräne Architekturen

Digitale Souveränität lässt sich nicht allein durch Richtlinien oder Absichtserklärungen erreichen – sie erfordert konkrete technische Entscheidungen. Zwei Wege haben sich in der Praxis bewährt: On-Premise-Infrastrukturen mit vollständiger Betriebshoheit und Cloud-Modelle mit gezielter rechtlicher und operativer Absicherung.

On-Premise: maximale Kontrolle, maximale Verantwortung

Der klassische Weg zur digitalen Souveränität bleibt der Eigenbetrieb. On-Premise-Infrastrukturen bieten:

  • Volle Kontrolle über Datenflüsse, Speicherorte und administrative Zugriffe
  • Keine externe Abhängigkeit von nicht-europäischen Rechtsräumen
  • Hohe Integrationsfähigkeit mit bestehenden Sicherheits-, Netzwerk- oder Legacy-Systemen

Der Preis dieser Kontrolle ist klar: Die Verantwortung für Betrieb, Wartung, physische Sicherheit und Compliance liegt vollständig beim Betreiber. Das macht On-Prem insbesondere dort attraktiv, wo regulatorische Vorgaben strikt sind, sensible Daten verarbeitet werden oder der Betrieb langfristig planbar ist.

Souveräne Cloud-Angebote: Absicherung ohne vollständigen Eigenbetrieb

Für viele Organisationen ist ein vollständiger Eigenbetrieb nicht realistisch – sei es aus Ressourcengründen oder wegen begrenzter Skalierungsfähigkeit. Hier bieten souveräne Cloud-Angebote eine Alternative.

Typische Ansätze:

  • Europäische Anbieter wie IONOS, Swisscom oder die Open Telekom Cloud
  • Spezialisierte Partnerschaften, z. B. die „Sovereign Cloud“ von Google in Zusammenarbeit mit T-Systems
  • Selbstbetriebene Open-Source-Stacks auf Basis von Kubernetes, OpenStack oder Nextcloud

Auch große Hyperscaler reagieren: Microsoft hat mit der „EU Data Boundary“ angekündigt, dass Kundendaten von EU-Nutzer:innen ausschließlich in der EU verarbeitet und nur durch EU-Personal verwaltet werden sollen. Ob diese Zusage im Konfliktfall juristisch belastbar ist, bleibt allerdings offen.

Wichtig ist: Souveränität in der Cloud bedeutet nicht, alle Vorteile der Skalierung aufzugeben – sondern, die Bedingungen der Nutzung aktiv zu gestalten.

Fallbeispiel: croit GmbH – Souveränität durch Open-Source-Storage-Infrastruktur

Wir begleiten vor allem Projekte, bei denen On-Premise-Infrastrukturen strategisch gewollt und technisch notwendig sind. Die Gründe dafür sind unterschiedlich – häufig geht es um regulatorische Anforderungen, Integrationstiefe, Performance oder langfristige Betriebshoheit.

Ein konkretes Beispiel: das Projekt mit der croit GmbH.

Ziel war der Aufbau einer souveränen, leistungsfähigen Speicherarchitektur für datenintensive Kunden – darunter Universitäten, Forschungseinrichtungen und Unternehmen mit besonders hohen Anforderungen an Datenhoheit, Skalierbarkeit und Offenheit.

Die technische Umsetzung erfolgte auf Basis der Open-Source-Technologien Ceph und DAOS – ergänzt durch hochperformante Server- und Storage-Plattformen von Memorysolution. Zum Einsatz kamen unter anderem:

  • Supermicro-Server mit AMD EPYC-CPUs, Intel Xeon Scalable Gen 3 und Optane Persistent Memory
  • NVMe-Drives mit bis zu 30,72 TB pro Node
  • Über 200 individuell konfigurierte Systeme aus der Mustang-Systems-Serie
  • Weitere 120 Systeme für begleitende Co-Location- und Hochschulprojekte

Das Ergebnis: Eine skalierbare, vollständig herstellerunabhängige Speicherumgebung mit über 6 TB/s Bandbreite im IO500-Benchmark – dokumentierbar, auditierbar, modular erweiterbar.

zur vollständigen Case Study

Fazit: Souveränität ist kein Selbstzweck – sondern ein strategischer Vorteil

Digitale Souveränität bedeutet nicht, sich gegen Innovation oder moderne Technologien zu entscheiden – sondern bewusst festzulegen, unter welchen Bedingungen sie eingesetzt werden.

Gerade in datenintensiven, sicherheitsrelevanten oder forschungskritischen Umgebungen gewinnt die Frage nach Betriebshoheit, Datenkontrolle und rechtlicher Absicherung an Gewicht. Wer hier auf offene Systeme, nachvollziehbare Architekturen und klar definierte Betriebsmodelle setzt, schafft langfristige Unabhängigkeit – ohne auf Skalierbarkeit oder Leistungsfähigkeit verzichten zu müssen.

Ausblick auf Teil 4

Im nächsten Artikel geht es um die technologische Umsetzung hybrider Infrastrukturen: Wie lassen sich Cloud und On-Prem sinnvoll verbinden? Und wie entstehen Architekturen, die digitale Souveränität, Performance und betriebliche Effizienz gemeinsam abbilden?

Sie möchten Ihre IT-Architektur souverän und zukunftssicher aufstellen – ohne auf Performance und Innovationsfähigkeit zu verzichten?

Wir beraten Sie technologiekompetent, anbieterunabhängig und mit Erfahrung aus zahlreichen On-Prem- und Hybridprojekten in sensiblen IT-Umgebungen.

Zurück
Vorherige News Nächste News