Die drei Säulen
Was ist Cloud-Souveränität?
Cloud-Souveränität beschreibt die Fähigkeit eines Unternehmens, volle Kontrolle über seine Cloud-Infrastruktur zu behalten. Sie umfasst drei Dimensionen: Daten, Betrieb und Software.
Datensouveränität
Volle Kontrolle darüber, wo Daten gespeichert und verarbeitet werden und wer Zugriff hat. Einhaltung europäischer Datenschutzgesetze (DSGVO, Schrems II) ohne Kompromisse.
Operative Souveränität
Kontrolle über Betrieb, Personal und Support. Infrastruktur wird ausschließlich durch EU-Ansässige betrieben — ohne Abhängigkeit von außereuropäischen Akteuren.
Software-Souveränität
Keine Abhängigkeit von einzelnem Anbieter. Vermeidung von Vendor-Lock-in durch offene Standards, Interoperabilität und Datenportabilität.
Regulatorischer Druck
Warum jetzt handeln?
Die europäische Regulierungswelle ist in vollem Gange. Sieben Regulierungen, die Ihre Cloud-Strategie betreffen — von DSGVO bis BSI C5.
DSGVO
Bußgelder bis 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR. Datenhaltung und -verarbeitung in der EU werden zur Pflicht. Verschärfte Durchsetzung durch nationale Behörden.
Schrems II
Privacy Shield für ungültig erklärt. Standardvertragsklauseln allein reichen nicht — Unternehmen müssen zusätzliche technische Maßnahmen gegen Drittstaatenzugriff nachweisen.
NIS2
Rund 30.000 Unternehmen in Deutschland betroffen. Persönliche Geschäftsführerhaftung bei Verstößen gegen Cybersicherheitspflichten. Meldepflicht innerhalb von 24 Stunden.
DORA
Digital Operational Resilience Act für den Finanzsektor. Strenge Anforderungen an ICT-Risikomanagement und Drittanbieter-Überwachung. Vollständig anwendbar.
EU Data Act
Neue Regeln für Cloud-Wechsel und Interoperabilität. Anbieter müssen Datenportabilität ohne zusätzliche Kosten ermöglichen.
EU AI Act
Volle Anwendung. Datenhaltungspflichten für KI-Systeme. Hochrisiko-KI erfordert nachweisbare Datensouveränität und transparente Verarbeitung.
BSI C5
Cloud-Sicherheitsstandard des BSI mit zwei Prüfungsstufen (Basis und erweitert). Voraussetzung für Cloud-Nutzung im öffentlichen Sektor und zunehmend in regulierten Branchen.
Handlungsdruck
Kosten des Nicht-Handelns
Wer Cloud-Souveränität ignoriert, riskiert Bußgelder, persönliche Haftung und Reputationsschäden.
DSGVO-Bußgelder
oder bis zu 20 Mio. EUR — je nachdem, welcher Betrag höher ist. Verschärfte Durchsetzung seit 2018.
Geschäftsführerhaftung (NIS2)
Geschäftsführer haften persönlich bei Verstößen gegen Cybersicherheitspflichten. Meldepflicht innerhalb von 24 Stunden.
DORA-Sanktionen
Finanzaufsicht kann bei unzureichendem ICT-Risikomanagement Sanktionen bis zum Lizenzentzug verhängen.
Schrems II — Datentransfers
Ohne zusätzliche technische Maßnahmen können Datentransfers in die USA untersagt werden. Privacy Shield ist ungültig.
EU AI Act
Hochrisiko-KI ohne nachweisbare Datensouveränität darf nicht betrieben werden. Datenhaltungspflichten werden bindend.
Reputationsschaden
Datenschutzvorfälle zerstören Kundenvertrauen. Die Kosten für Reputationsverlust übersteigen oft die Bußgelder.
AWS European Sovereign Cloud
Die souveräne AWS-Partition
Die AWS European Sovereign Cloud (ESC) ist seit 14. Januar 2026 in Brandenburg verfügbar — eine physisch und logisch getrennte Partition mit eigenem Kontrollplane.
Seit 14. Januar 2026 generally available — Standort Brandenburg, Deutschland
Physisch und logisch getrennte Partition mit eigenem Kontrollplane — kein US-Kontrollplane
Betrieb ausschließlich durch EU-Bürger in der EU
Gleiche AWS-API-Kompatibilität wie Standard-Regionen (EC2, S3, RDS, Lambda, Bedrock u.a.)
Geschäftsführer: Stéphane Israël (seit Okt. 2025, EU-Bürger), Stefan Hoechbauer (seit Jan. 2026, VP Germany)
Sovereign Reference Framework (ESC-SRF) — jedes Kriterium bindend, unabhängige Auditierung 2026
Kein US CLOUD Act Zugriff — technische und rechtliche Isolation durch Nitro-Hardware
Auch bei Unterbrechung der Konnektivität mit Rest der Welt betriebsfähig. Erweiterung in weitere EU-Länder geplant.
Vergleich
Standard AWS vs. ESC vs. On-Premises
Wie unterscheiden sich die drei Optionen für europäische Unternehmen?
| Kriterium | Standard AWS (EU-Region) | AWS ESC | On-Premises |
|---|---|---|---|
| Datenresidenz EU | Daten in EU, Kontrollplane global | Vollständig in EU — inkl. Kontrollplane | Vollständig lokal |
| Partition | Globale Partition (aws) | Eigene Partition (aws-eu-sov) | Nicht zutreffend |
| Betrieb durch | Globales AWS-Personal | Ausschließlich EU-Bürger in der EU | Eigenes Personal |
| US CLOUD Act | Potenziell anwendbar | Technisch und rechtlich isoliert | Nicht anwendbar |
| IAM / Route53 | Laufen in den USA | Laufen in der EU | Eigene Identity-Lösung |
| Service-Palette | Volle Palette | Volle Palette, API-kompatibel | Stark begrenzt |
| Skalierbarkeit | Elastisch | Elastisch | Hardware-gebunden |
| Investitionskosten | OpEx (Pay-as-you-go) | OpEx (Pay-as-you-go) | Hohe CapEx vorab |
| BSI C5 | Verfügbar | Geplant + ESC-SRF Audit | Eigenverantwortlich |
| Resilienz | Multi-AZ, Multi-Region | Multi-AZ, auch bei Konnektivitätsverlust | Eigene Redundanz nötig |
Ihre Vorteile
Vorteile der ESC
Daten bleiben in der EU
Daten verlassen die EU zu keinem Zeitpunkt — weder bei Speicherung noch bei Verarbeitung.
Kein US CLOUD Act
Technische und rechtliche Isolation verhindert Zugriffe durch außereuropäische Behörden.
BSI C5 Zertifizierung
BSI C5 Zertifizierung ist geplant und unterstreicht die Sicherheitsstandards der Plattform.
Volle Service-Palette
EC2, S3, RDS, Lambda, Bedrock und weitere Dienste — keine Einschränkungen bei Innovation.
Security-Stack
Technische Maßnahmen auf AWS
Von Verschlüsselung bis Audit — die Werkzeuge für souveräne Cloud-Infrastruktur.
AWS KMS mit Customer Managed Keys
Verschlüsselung unter eigener Kontrolle. Sie bestimmen, wer Schlüssel nutzen darf — nicht der Cloud-Anbieter.
AWS CloudHSM
FIPS 140-2 Level 3 zertifizierte Hardware-Sicherheitsmodule. Schlüssel verlassen niemals die HSM-Hardware.
Control Tower + SCPs
Automatisierte Guardrails über alle Accounts. Service Control Policies verhindern unerlaubte Aktionen organisationsweit.
AWS Config Rules
Kontinuierliche Compliance-Überwachung. Automatische Erkennung und Meldung von Konfigurationsabweichungen.
AWS CloudTrail
Lückenlose Audit-Logs aller API-Aufrufe. Jede Aktion in Ihrem AWS-Account wird revisionssicher protokolliert.
Security Hub, GuardDuty, Macie
Zentrales Security-Posture-Management, intelligente Bedrohungserkennung und automatische Erkennung sensibler Daten.
Regulierung trifft Lösung
Welche AWS-Services helfen bei welcher Regulierung?
| Regulierung | Anforderung | AWS-Services |
|---|---|---|
| DSGVO | Datenresidenz, Verschlüsselung, Zugriffskontrolle | KMS (CMK), Macie, CloudTrail, ESC-Partition |
| Schrems II | Technische Schutzmaßnahmen gegen Drittstaatenzugriff | ESC-Partition, KMS (CMK), CloudHSM |
| NIS2 | Cybersicherheit, Incident Response, Meldepflicht | GuardDuty, Security Hub, CloudTrail, Config Rules |
| DORA | ICT-Risikomanagement, Drittanbieter-Überwachung | Control Tower, SCPs, CloudTrail, Security Hub |
| EU Data Act | Datenportabilität, Interoperabilität | S3, offene APIs, Standardformate |
| EU AI Act | Datenhaltung, Transparenz, Nachweisbarkeit | CloudTrail, S3 (Versionierung), KMS, Config Rules |
| BSI C5 | Cloud-Sicherheitsstandard (Basis + erweitert) | Security Hub, Config Rules, CloudTrail, Control Tower |
Relevanz
Für wen ist Cloud-Souveränität relevant?
Finanzdienstleister
DORA-Pflicht seit Jan. 2025
Gesundheitswesen
Patientendaten, DSGVO Art. 9
Öffentlicher Sektor
BSI C5, VS-NfD-Anforderungen
Kritische Infrastruktur
NIS2-Pflichten, 24h Meldepflicht
Unternehmen mit KI-Strategie
EU AI Act ab Aug. 2026
Whitepaper — Vogel IT Medien
Souveräne Cloud-Strategien für Deutschland
Wie europäische Unternehmen digitale Souveränität mit der AWS European Sovereign Cloud strategisch umsetzen — von Regulatorik über Architektur bis zur Migration. Veröffentlicht auf cloudcomputing-insider.de (Vogel IT Medien).
Häufige Fragen
FAQ
-
Cloud-Souveränität beschreibt die Fähigkeit, volle Kontrolle über Daten, Infrastruktur und Software in der Cloud zu behalten — einschließlich der Frage, wo Daten gespeichert werden, wer Zugriff hat und welche Gesetze gelten. Sie umfasst drei Dimensionen: Datensouveränität, operative Souveränität und Software-Souveränität.
-
Die AWS European Sovereign Cloud ist eine physisch und logisch getrennte Cloud-Partition, seit dem 14. Januar 2026 in Brandenburg (Deutschland) verfügbar. Sie wird ausschließlich von EU-Bürgern in der EU betrieben und verfügt über ein eigenes Kontrollplane ohne Verbindung zu US-Systemen.
-
Eine AWS Partition ist ein komplett physisch und logisch isolierter Management-Stack — eigene Hardware, eigene Rechenzentren, eigener Software-Stack, keine Verbindungen zu anderen Partitions. Bestehende Partitions: aws (kommerziell), aws-cn (China), aws-us-gov (GovCloud) und aws-eu-sov (ESC). In Standard-AWS laufen IAM und Route53 nur in den USA — in der ESC nicht.
-
In Standard-AWS-Regionen laufen IAM und Route53 in den USA und der Betrieb erfolgt durch globales Personal. Die ESC hat ein eigenes Kontrollplane in der EU, wird ausschließlich von EU-Bürgern betrieben, und der US CLOUD Act ist technisch sowie rechtlich nicht anwendbar. Daten verlassen die EU zu keinem Zeitpunkt.
-
Sieben zentrale Regulierungen: DSGVO (seit 2018, Bußgelder bis 4 % Jahresumsatz), Schrems II (EuGH 2020, Privacy Shield ungültig), NIS2 (seit Okt. 2024, ~30.000 Unternehmen in DE, Geschäftsführerhaftung), DORA (seit Jan. 2025, Finanzsektor), EU Data Act (ab Sept. 2025, Datenportabilität), EU AI Act (ab Aug. 2026, KI-Datenhaltung) und BSI C5 (Cloud-Sicherheitsstandard).
-
AWS hat noch keine detaillierte Preisstruktur veröffentlicht, die einen direkten Vergleich ermöglicht. Aufgrund der zusätzlichen Isolierung und Compliance-Anforderungen sind moderate Aufschläge gegenüber Standard-Regionen zu erwarten. Die ESC nutzt das gleiche Pay-as-you-go-Modell (OpEx statt CapEx).