zurück
#digitale-souveränität #cloud #mittelstand #eu #compliance 5 min

Digitale Souveränität: Warum der Mittelstand die Cloud-Frage nicht mehr aufschieben kann

US CLOUD Act, EU AI Act und Data Act machen 2026 zum Kipppunkt: Warum digitale Souveränität für den deutschen Mittelstand zur Chefsache wird — und welche pragmatischen ersten Schritte jetzt wirklich zählen.

English version available — read in English.

Inhaltsverzeichnis
  1. Was digitale Souveränität wirklich meint
  2. Der eigentliche Auslöser: Recht schlägt Serverstandort
  3. Warum ausgerechnet 2026 der Kipppunkt ist
  4. Der Rückenwind: Europa baut Alternativen
  5. Souveränität ist ein Spektrum, kein Schalter
  6. Pragmatische erste Schritte
  7. Fazit

Bislang war „digitale Souveränität” ein Begriff für Konferenzbühnen und Sonntagsreden. 2026 ist er auf dem Schreibtisch der Geschäftsführung gelandet — und zwar nicht wegen einer neuen Technologie, sondern wegen einer Verkettung aus Geopolitik, Recht und harten Fristen. Für den deutschen Mittelstand ist die Frage, wo und unter wessen Rechtsordnung die eigenen Daten liegen, keine reine IT-Entscheidung mehr. Sie ist Risikomanagement.

Was digitale Souveränität wirklich meint

Digitale Souveränität bedeutet, die Kontrolle über die eigenen Daten, die eingesetzte Software und die genutzte Infrastruktur zu behalten — auch dann, wenn sich politische oder wirtschaftliche Rahmenbedingungen ändern. Sinnvoll ist es, drei Ebenen zu unterscheiden:

  • Datensouveränität — Wo liegen die Daten physisch, und welche Rechtsordnung darf darauf zugreifen?
  • Operative Souveränität — Wer betreibt die Systeme tatsächlich, und wer hat administrativen Zugriff?
  • Technische Souveränität — Wie tief hängt der Betrieb an proprietären Diensten eines einzelnen Anbieters, und wäre ein Wechsel realistisch machbar?

Wichtig ist, was Souveränität nicht meint: Es geht nicht um Autarkie oder darum, alles selbst zu betreiben. Es geht um bewusste Kontrolle und Handlungsfähigkeit.

Der eigentliche Auslöser: Recht schlägt Serverstandort

Der häufigste Denkfehler lautet: „Unsere Daten liegen in einem Rechenzentrum in Frankfurt, also sind sie EU-Recht unterworfen.” Das stimmt so nicht. Ein US-Anbieter unterliegt dem US CLOUD Act von 2018 — US-Behörden können die Herausgabe von Daten verlangen, unabhängig davon, in welchem Land diese gespeichert sind. Der Serverstandort „EU-Region” ändert nichts an der Rechtshoheit über den Konzern, der ihn betreibt.

Diese latente Abhängigkeit war lange ein theoretisches Risiko. Handelskonflikte, Zölle und eine unberechenbarere Geopolitik haben sie 2026 sehr konkret gemacht. Laut einer Lünendonk-Erhebung halten es 83 Prozent der Unternehmen für ein realistisches Szenario, dass ein Cloud-Anbieter den Zugang zu kritischen Diensten einseitig einschränken oder abschalten könnte — aber nur 57 Prozent haben überhaupt eine Exit-Strategie. Genau diese Lücke zwischen wahrgenommenem Risiko und tatsächlicher Vorbereitung ist das eigentliche Problem.

Warum ausgerechnet 2026 der Kipppunkt ist

Drei regulatorische Kräfte treffen in diesem Jahr aufeinander:

EU AI Act. Seit August 2025 gelten Pflichten für Allzweck-KI-Modelle, ab dem 2. August 2026 greift die Verordnung breiter. Die Bußgelder reichen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes — schärfer als die DSGVO. Über den sogenannten Digital Omnibus wurde ein Teil der Hochrisiko-Pflichten (Anhang III) voraussichtlich auf Dezember 2027 verschoben. Das verschafft Luft, ist aber keine Entwarnung.

EU Data Act. Voll anwendbar seit dem 12. September 2025 und für die Cloud-Frage besonders relevant: Die Verordnung zielt direkt auf Anbieter-Lock-in. Wechsel- und Datenausleitungsgebühren („Egress”) dürfen übergangsweise nur noch kostendeckend sein und fallen ab dem 12. Januar 2027 vollständig weg. Der Gesetzgeber macht den Anbieterwechsel bewusst billiger — ein Rückenwind, den viele noch nicht eingeplant haben.

NIS2. Die verschärften Anforderungen an Cybersicherheit und Lieferketten treffen auch viele mittelständische Betreiber wichtiger Dienste. Wer Sicherheit, Nachweispflichten und Zugriffskontrolle ernst nimmt, landet fast zwangsläufig bei der Frage, wer die Infrastruktur kontrolliert.

Zusammen sorgen Compliance, Vertragsrecht und Sicherheit dafür, dass die Cloud-Strategie zur bewussten Entscheidung wird — statt zur stillschweigenden Fortschreibung des Status quo.

Der Rückenwind: Europa baut Alternativen

Souveränität bleibt Theorie, solange es keine tragfähigen Alternativen gibt. Genau hier hat sich 2026 real etwas bewegt:

  • Die Deutsche Telekom hat gemeinsam mit Nvidia am 4. Februar 2026 in München-Tucherpark die Industrial AI Cloud eröffnet — rund eine Milliarde Euro privat finanziert, mit bis zu 10.000 Blackwell-GPUs und etwa 0,5 ExaFLOPS Rechenleistung. Ausdrücklich adressiert werden Konzerne, Mittelstand und Start-ups, und zwar als „souveräne” KI-Infrastruktur unter deutscher Kontrolle.
  • Anbieter wie Ionos, Schwarz Digits (StackIT) oder OVHcloud sowie Initiativen wie Gaia-X positionieren sich als europäische Optionen für Betrieb und Datenhaltung.
  • Der Bundesverband IT-Mittelstand (BITMi) arbeitet an einem European Sovereign Stack Standard, der Souveränität messbar machen soll. Das ist wichtiger, als es klingt: „Souverän” war bislang ein Marketing-Wort ohne belastbare Definition — ein Standard macht Versprechen überprüfbar.

Souveränität ist ein Spektrum, kein Schalter

Der entscheidende Punkt gegen jeden Alarmismus: Es geht nicht um „alles raus aus AWS oder Azure”. Souveränität ist ein Spektrum mit Stufen, und der Mittelstand muss selten die höchste erreichen:

  1. Datenlokalisierung — Daten liegen nachweislich in der EU.
  2. Schlüsselhoheit — Verschlüsselung mit eigenen Schlüsseln (BYOK/HYOK), die nicht beim Anbieter liegen.
  3. Operative Souveränität — Betrieb und Administration durch eine EU-Gesellschaft mit EU-Personal.
  4. Voll souveräner Stack — technisch unabhängig, ohne kritische Abhängigkeit von einem einzelnen Anbieter.

Kaum ein mittelständisches Unternehmen braucht Stufe 4 für alle Systeme. Aber jedes sollte wissen, auf welcher Stufe es heute steht — und ob es im Ernstfall handlungsfähig bliebe.

Pragmatische erste Schritte

Das lässt sich ohne Großprojekt angehen:

  1. Bestandsaufnahme. Welche Daten und Workloads liegen bei welchem Anbieter, unter welcher Rechtsordnung? Nach Sensibilität klassifizieren — nicht alles ist gleich kritisch.
  2. Exit-Strategie schließen. Für die geschäftskritischen Systeme dokumentieren, wie ein Wechsel realistisch ablaufen würde. Der Data Act macht das ab 2027 günstiger — Verträge jetzt auf Wechsel- und Egress-Klauseln prüfen.
  3. Schlüsselhoheit herstellen. Sensible Daten mit eigenen Schlüsseln verschlüsseln. Wer die Schlüssel hält, behält auch bei einem externen Betreiber die Kontrolle.
  4. Zweitanbieter für das Wichtigste. Nicht alles doppelt betreiben — aber die kritischen 10 bis 20 Prozent dürfen nicht an einem einzelnen Vertrag hängen.
  5. Verträge gegen Data Act und AI Act prüfen. Wechselrechte, Egress, Auftragsverarbeitung und KI-Nutzung gehören auf den Tisch, bevor eine Frist oder ein Bußgeldbescheid die Entscheidung erzwingt.

Fazit

Digitale Souveränität 2026 ist keine Panik-, sondern eine Portfolio-Frage. Ein Unternehmen versichert sein Gebäude auch, ohne einen Brand zu erwarten. Genauso geht es hier darum, die eigene Abhängigkeit zu kennen, zu bepreisen und handlungsfähig zu bleiben. Recht schlägt inzwischen Serverstandort, die Fristen stehen fest, und die europäischen Alternativen sind erwachsener geworden. Der mit Abstand teuerste Weg ist der, die Frage weiter aufzuschieben.


Quellen