Inhalt in Kürze
- Sovereign Cloud ist 2026 keine Theorie mehr. STACKIT (Schwarz-Gruppe), IONOS Cloud und T-Systems Open Telekom Cloud sind produktionsreif und bedienen regulierte Branchen wie Kanzleien, Banken und das Gesundheitswesen.
- Geopolitik ist der eigentliche Treiber. Der CLOUD Act (US-Behördenzugriff auf US-Konzerne, egal wo Server stehen), die zweite Trump-Administration und die wachsende Sanktionsrhetorik gegen die EU machen US-Hyperscaler für sensible Daten zum politischen Risiko.
- Es ist kein Entweder-Oder. Multi-Cloud mit souveränen Inseln für hochsensible Workloads (Strafverteidigung, Patientendaten, M&A-Beratung) und EU-Data-Boundary-Microsoft-365 für Office-Standardarbeit ist die typische 2026er-Architektur.
- Compliance-Kosten sinken, Betriebskosten steigen. Sovereign-Cloud-Compute ist 15 bis 40 % teurer als US-Hyperscaler, dafür entfallen DSGVO-Risikoanalysen und Audit-Aufschläge. Im TCO oft Gleichstand.
Warum Sie diesen Artikel jetzt lesen
Im Januar 2025 ist Donald Trump zum zweiten Mal US-Präsident geworden. Seitdem haben sich die Spielregeln für transatlantischen Datenverkehr verschoben. Sanktionsdrohungen gegen EU-Mitgliedsstaaten, eine härtere Auslegung des CLOUD Act und die offene Diskussion über digitale Druckmittel haben in deutschen Geschäftsführerbüros etwas ausgelöst, das es so seit Snowden nicht mehr gab: ernsthafte Sorge um die Verfügbarkeit der eigenen Cloud-Daten.
Wir bekommen seit Frühjahr 2025 vermehrt Anrufe aus Hamburger Kanzleien, Steuerbüros, Versicherungsmaklern und Krankenhäusern. Die Frage ist immer dieselbe: „Wir haben alles in Microsoft 365 — wie kommen wir da raus, wenn wir müssten?” Dieser Artikel beantwortet, was 2026 möglich, sinnvoll und finanzierbar ist.
Was bedeutet Sovereign Cloud konkret? Die vier Kriterien
Der Begriff „Sovereign Cloud” wird vom Marketing vieler Anbieter inflationär verwendet. Die ernsthafte Definition orientiert sich an vier Kriterien, die alle gleichzeitig erfüllt sein müssen. Anbieter, die nur drei davon abdecken, sind „eingeschränkt souverän” — was in regulierten Branchen oft schon der Disqualifikator ist.
1. Datenstandort: EU-Boundary, keine Replikation in Drittstaaten
Daten dürfen weder im Ruhezustand noch bei der Übertragung das EU-Rechtsgebiet verlassen. Das schließt Backup-Replikate, Telemetriedaten und Support-Snapshots ein. Praxisrelevant: Auch Diagnosedaten, die Cloud-Anbieter routinemäßig zur Fehleranalyse einsammeln, müssen in der EU bleiben — was bei Standard-AWS- oder Azure-Verträgen nicht garantiert ist.
2. Betreiber-Souveränität: keine US-Mutter, keine US-Holding
Der Betreiber muss eine juristische Person nach EU-Recht sein. Eine EU-Tochter eines US-Konzerns reicht nicht — der CLOUD Act gilt für die Mutter und damit faktisch für die Tochter. Die EU-Kommission hat 2023 in ihrem Data Act-Begleitpapier klar herausgearbeitet, dass „functional sovereignty” ohne „corporate sovereignty” nicht möglich ist.
3. Personal-Souveränität: EU-Bürger mit Sicherheitsüberprüfung
Operations-, Support- und Wartungspersonal müssen EU-Bürger sein oder über eine vergleichbare Sicherheitsüberprüfung verfügen. Das schließt Offshore-Support aus Indien, den Philippinen oder den USA aus. STACKIT, IONOS und T-Systems erfüllen das durch ihre rein deutsche bzw. EU-Belegschaft. Hyperscaler wie AWS adressieren das in ihren angekündigten Sovereign-Cloud-Konstrukten durch separate Personaleinheiten.
4. Schlüsselhoheit: BYOK, idealerweise HYOK
Der Kunde behält die Schlüsselverwaltung — entweder durch „Bring Your Own Key” (BYOK, der Cloud-Anbieter speichert den Schlüssel temporär für die Entschlüsselung) oder „Hold Your Own Key” (HYOK, der Schlüssel verlässt nie das Kunden-HSM, der Cloud-Anbieter sieht nur verschlüsselte Daten). HYOK ist die stärkere Variante und für hochsensible Workloads (Strafverteidigung, Krankenhausdaten) faktisch Pflicht.
Datenstandort EU allein ist NICHT Souveränität. Wer 2026 nur auf „unsere Daten liegen in Frankfurt" abstellt, hat das Problem nicht verstanden. Der CLOUD Act knüpft an die Konzernzugehörigkeit, nicht an den Serverstandort. Microsoft, AWS und Google können zur Datenherausgabe gezwungen werden, egal wo die Festplatten stehen.
Warum gerade jetzt? Geopolitische Treiber 2026
Sovereign Cloud ist kein neues Thema. Die Diskussion läuft seit Snowden 2013. Was 2026 anders ist: Fünf Treiber wirken gleichzeitig.
Treiber 1: CLOUD Act und Trump 2.0
Der Clarifying Lawful Overseas Use of Data Act von 2018 erlaubt US-Behörden die Herausgabe von Daten, die unter Kontrolle eines US-Unternehmens stehen — unabhängig vom Speicherort. Die zweite Trump-Administration hat seit Januar 2025 mehrfach erklärt, ökonomische und digitale Druckmittel gegen die EU einzusetzen, falls handelspolitische Forderungen nicht erfüllt werden. Was vor 2025 noch als theoretisches Restrisiko galt, ist 2026 politische Realität.
Treiber 2: NIS-2
Die EU-Richtlinie NIS-2 ist seit Oktober 2024 in Kraft, das deutsche NIS2UmsuCG voraussichtlich 2026. Über 30.000 Unternehmen in Deutschland sind betroffen — KMU ab 50 Mitarbeitern in wesentlichen Sektoren (Energie, Gesundheit, Finanzen, Verwaltung, kritische Lieferketten). NIS-2 verlangt explizit eine Risikobewertung von Cloud-Diensten in der Lieferkette. Wer hier nur „Azure macht das schon” sagt, riskiert Bußgelder bis 10 Millionen Euro.
Treiber 3: DORA
Der Digital Operational Resilience Act ist seit Januar 2025 vollständig anwendbar. Für Banken, Versicherungen, Zahlungsdienstleister und Wertpapierhäuser gilt: Kritische IKT-Drittanbieter (= Cloud-Provider) müssen einem strengen Aufsichtsregime unterliegen. Die ESMA und die EZB führen seit 2025 Listen kritischer Drittanbieter, deren Ausfall die Finanzstabilität gefährden würde. Wer als Bank seinen kompletten Core-Banking-Stack bei einem einzigen US-Hyperscaler hat, wird vom Aufseher zur Diversifizierung gezwungen.
Treiber 4: EU AI Act
Der EU AI Act tritt schrittweise in Kraft, vollständig ab August 2026. Hochrisiko-KI-Systeme (HR-Recruiting, Kreditscoring, medizinische Diagnostik, Strafverfolgung) müssen Trainingsdaten dokumentieren, Modell-Audits zulassen und Datensouveränität gewährleisten. Wer mit Mandantendaten ein KI-Modell trainiert, sollte das nicht auf einem US-Hyperscaler tun, dessen Trainingsdaten-Pipeline man nicht vollständig kontrolliert.
Treiber 5: Verfügbarkeit als geopolitisches Risiko
Im April 2025 wurden mehrere ukrainische Cloud-Workloads auf US-Hyperscalern temporär eingeschränkt — nach einer politischen Entscheidung der US-Administration. Das war ein Weckruf für europäische Unternehmen: Cloud-Dienste sind keine neutralen Infrastruktur-Commodities mehr, sondern unterliegen der Außenpolitik des Heimatlands ihres Anbieters.
Die sechs wichtigsten Sovereign-Cloud-Anbieter 2026
Wir haben die sechs für deutsche Mittelständler relevanten Anbieter verglichen. Die Bewertung basiert auf den vier Souveränitätskriterien, dem aktuellen C5-Testat-Status und der Service-Tiefe (Wie viele Managed Services neben reinem Compute?).
| Anbieter | Mutterkonzern | Standort | C5-Testat | Service-Tiefe | Compute-Preis ab |
|---|---|---|---|---|---|
| STACKIT | Schwarz-Gruppe (DE) | DE (Heilbronn, Berlin) | C5:2020 Typ 2 | Mittel — IaaS, PaaS, KI | ca. 0,02 €/vCPU/h |
| IONOS Cloud | United Internet (DE) | DE (mehrere Standorte) | C5:2020 Typ 2 | Mittel — IaaS, S3-kompatibel | ca. 0,015 €/vCPU/h |
| T-Systems Open Telekom Cloud | Deutsche Telekom (DE) | DE (Biere, Magdeburg) | C5:2020 Typ 2 | Hoch — IaaS, PaaS, KI, K8s | ca. 0,02 €/vCPU/h |
| OVHcloud | OVH Groupe (FR) | FR/DE/PL | C5:2020 Typ 1 | Hoch — IaaS, Bare Metal, K8s | ca. 0,012 €/vCPU/h |
| Plusserver SovereignStack | Plusserver (DE) | DE | C5:2020 Typ 2 | Mittel — IaaS, OpenStack | ca. 0,02 €/vCPU/h |
| Microsoft Cloud for Sovereignty | Microsoft (US) | DE/FR/NL | C5:2020 Typ 2 | Sehr hoch — Azure-Vollportfolio | ca. 0,025 €/vCPU/h |
Preise sind Listenpreise Stand Mai 2026, Volumenrabatte und Reserved Instances nicht eingerechnet. Quellen: Anbieter-Preislisten (stackit.de, ionos.de/cloud, open-telekom-cloud.com).
STACKIT — der ambitionierte Newcomer
STACKIT ist die Cloud-Marke der Schwarz-Gruppe (Lidl, Kaufland) und wurde 2020 als interne IT für den Handelskonzern aufgesetzt. Seit 2022 verkauft STACKIT auch an externe Kunden — und der Markt nimmt das ernst. Im Februar 2025 hat SAP angekündigt, STACKIT als Sovereign-Cloud-Option für seine Kunden zu integrieren. Das ist ein starkes Signal.
Vorteile: Rein deutscher Betreiber, vollständig in Heilbronn und Berlin gehostet, C5:2020 Typ 2 testiert, GPU-Cluster für KI-Workloads (NVIDIA H100). Schwächen: Service-Portfolio noch schmaler als bei US-Hyperscalern, keine globale Multi-Region-Verfügbarkeit (nur DE).
IONOS Cloud — der Preis-Pragmatiker
IONOS Cloud gehört zu United Internet (1&1, GMX, WEB.DE) und ist der preislich aggressivste Sovereign-Anbieter. Die IONOS Compute Engine startet bei rund 0,015 € pro vCPU-Stunde — günstiger als AWS EC2 in vergleichbaren Konfigurationen. IONOS war einer der treibenden Mitgründer der Gaia-X-Initiative und positioniert sich konsequent als europäischer Hyperscaler-Herausforderer.
Vorteile: Sehr kompetitive Preise, deutsche Rechenzentren, C5-Testat, S3-kompatibler Object-Storage. Schwächen: Managed-Services-Portfolio noch im Aufbau, kein vollumfängliches Kubernetes-Managed-Angebot wie bei AWS oder Azure.
T-Systems Open Telekom Cloud — der reife Allrounder
Die Open Telekom Cloud ist die OpenStack-basierte Public Cloud der Deutschen Telekom. Sie wurde 2016 gestartet und ist damit der dienstälteste deutsche Sovereign-Anbieter. Standorte: Biere und Magdeburg, vollständig in Deutschland. Die Service-Tiefe ist die höchste unter den deutschen Anbietern — von IaaS über Managed Kubernetes (CCE), Object Storage, Datenbanken bis zu KI-Plattformen.
Vorteile: Reife Plattform, breites Service-Portfolio, BSI-zertifiziert (C5:2020 Typ 2), explizit für regulierte Branchen positioniert. Schwächen: Bedienkomfort der Konsole hinter Azure/AWS, gelegentlich höhere Latenzen gegenüber den US-Hyperscalern bei spezifischen Diensten.
OVHcloud — die französische Alternative
OVHcloud aus Roubaix ist der einzige nicht-deutsche Anbieter in unserer Liste, der für deutsche Mittelständler eine ernsthafte Option ist. OVHcloud erfüllt die SecNumCloud-Zertifizierung der ANSSI (französische Cybersecurity-Behörde) — ein Standard, der in Teilen strenger ist als das BSI-C5-Testat. Standorte auch in Deutschland (Saarlouis, Frankfurt).
Vorteile: Aggressive Preise, breites Bare-Metal-Angebot (Hardware-Souveränität), SecNumCloud-zertifiziert, Kubernetes-Managed verfügbar. Schwächen: Frankreich-Sitz für deutsche Kunden mit DSGVO-Auftragsverarbeitung etwas komplexer, Brand-Erfahrung 2021 (Datacenter-Feuer in Straßburg) belastet die Reputation.
Plusserver SovereignStack — der Compliance-Spezialist
Plusserver ist ein Kölner Managed-Service-Provider, der mit „SovereignStack” eine OpenStack-basierte Sovereign-Cloud anbietet. Plusserver positioniert sich gezielt für hochregulierte Branchen — Banken, Versicherungen, kommunale IT — und ist mit BSI-IT-Grundschutz und C5-Testat ausgestattet.
Vorteile: Tiefe Compliance-Expertise, Managed-Service-Pakete inklusive, kombinierbar mit dediziertem Private-Cloud-Hosting. Schwächen: Kein Self-Service-Hyperscaler-Erlebnis, Preise liegen wegen Managed-Service-Anteil höher.
Microsoft Cloud for Sovereignty — der US-Hybrid
Microsoft Cloud for Sovereignty ist Microsofts Antwort auf die Souveränitätsdebatte. Es ist kein eigener Cloud-Stack, sondern ein erweitertes Compliance-Framework auf Azure mit zusätzlichen Kontroll-Optionen: Sovereign Landing Zones, Customer Lockbox (kein Microsoft-Support-Zugriff ohne explizite Freigabe), Confidential Computing (Verschlüsselung im RAM während der Verarbeitung), regionale Service-Boundaries.
Wichtig: Microsoft Cloud for Sovereignty löst das CLOUD-Act-Problem nicht. Microsoft ist und bleibt ein US-Konzern. Was sich verbessert: Transparenz, Audit-Möglichkeiten und technische Kontrolle. Für viele Mittelständler, die schon tief in Microsoft 365 sind, ist es der pragmatische Mittelweg.
US-Hyperscaler mit Sovereign-Features
Neben Microsoft Cloud for Sovereignty positionieren sich auch AWS und Google mit Souveränitäts-Angeboten.
Azure mit EU Data Boundary
Die EU Data Boundary für Microsoft 365 und Azure ist seit März 2024 vollständig aktiv. Daten der Kerndienste werden ausschließlich in der EU verarbeitet, gespeichert und repliziert. Das umfasst Microsoft 365 (Exchange, SharePoint, Teams, OneDrive), Azure-Kernservices und Power Platform. Diagnose- und Telemetriedaten waren der letzte Baustein und wurden Anfang 2025 final umgestellt.
Die EU Data Boundary ist ein echter Fortschritt — aber sie löst das Konzern-Problem nicht. Microsoft bleibt US-Mutter. Für viele Mittelständler reicht das. Für Strafverteidiger, Krankenhäuser und Banken meist nicht.
AWS European Sovereign Cloud
AWS hat im Oktober 2023 die AWS European Sovereign Cloud angekündigt. Erster Standort: Brandenburg. Geplant ist eine vollständig eigene Cloud-Region mit ausschließlich EU-ansässigem Personal, einer separaten europäischen Tochtergesellschaft und einer Governance-Struktur, die unabhängig von AWS USA operieren soll. Ursprünglich war der Start für Ende 2025 angekündigt, aktuelle AWS-Verlautbarungen sprechen jedoch von 2026.
Bis zur tatsächlichen Verfügbarkeit, einem belastbaren C5-Testat und ersten Referenzkunden würden wir niemandem raten, jetzt schon darauf zu planen. Ankündigungen sind keine Verträge.
Google Sovereign Cloud (S3NS)
Google bietet in Frankreich mit S3NS eine Joint-Venture-Sovereign-Cloud zusammen mit Thales an, in Deutschland gibt es mit T-Systems eine vergleichbare Partnerschaft („Sovereign Controls for Workspace”). Für deutsche Mittelständler 2026 spielt Google in der Souveränitäts-Debatte eine deutlich kleinere Rolle als Microsoft — schlicht weil weniger KMU Google Workspace einsetzen.
Praxis im Mittelstand: Wann lohnt Sovereign Cloud?
Nicht jeder Mittelständler muss in die Sovereign Cloud. Wir sehen drei Profile.
Profil A: Standardarbeit ohne Hochsensibilität
Eine Hamburger Spedition mit 80 Mitarbeitern. Office-Dokumente, E-Mail, ERP, etwas CAD. Keine besonders sensiblen Kunden- oder Lieferantendaten. Für dieses Profil reicht Microsoft 365 mit EU Data Boundary — Sovereign Cloud wäre Overengineering. Wir raten zur sauberen Compliance-Dokumentation (Auftragsverarbeitung, TIA — Transfer Impact Assessment) und gut.
Profil B: Regulierte Branche mit gemischten Workloads
Eine Hamburger Steuerkanzlei mit 25 Mitarbeitern, DATEV-Anbindung, M&A-Beratung. Hier empfehlen wir eine Multi-Cloud-Architektur: Microsoft 365 mit EU Data Boundary für Standard-Office-Arbeit (alle Mitarbeiter), eine Sovereign-Insel (z.B. IONOS oder STACKIT) für hochsensible M&A-Dokumente. Das ist 2026 technisch sauber lösbar — Microsoft Purview und Information Protection kennzeichnen Dokumente nach Sensitivität, der File-Share zur Sovereign-Cloud läuft über klassisches SMB oder Object Storage.
Profil C: Hochreguliert, Mandantengeheimnis, Patientendaten
Eine Hamburger Strafrechtskanzlei oder ein medizinisches Versorgungszentrum mit 60 Mitarbeitern. Hier raten wir zur konsequenten Sovereign-Cloud-First-Strategie: STACKIT, IONOS oder T-Systems Open Telekom Cloud als primäre Cloud, kein Microsoft 365 für mandanten- oder patientenbezogene Daten. Office-Arbeit dann mit ONLYOFFICE oder Collabora, gehostet in der Sovereign-Cloud. Das ist 2026 produktionsreif machbar — wir haben in Hamburg bereits drei Kanzleien so aufgesetzt.
Wir beginnen immer so, dass wir mit dem Geschäftsführer eine Cyber-Risikoanalyse machen. Da guckt man zum Beispiel: Wie ist das Backup aufgestellt? Bei Sovereign Cloud ist es genau das Gleiche. Die Frage ist nicht „Wollen Sie souverän sein?", sondern „Wo genau in Ihrem Geschäft entsteht das Risiko, wenn ein US-Anbieter morgen den Stecker zieht?". Wenn wir das beantwortet haben, ist die Architektur eigentlich offensichtlich.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Migration: Schritt-für-Schritt-Plan
Wer aus einer reinen US-Hyperscaler-Architektur in eine teil- oder vollsouveräne Cloud will, sollte das geordnet angehen. Wir arbeiten dabei mit einem fünfstufigen Vorgehensmodell.
- Schritt 1: Datenklassifizierung. Welche Daten sind tatsächlich souveränitätskritisch? Nicht alles ist gleich sensibel. Mandantendaten einer Strafverteidigung sind kritischer als der Buchhaltungs-Export einer Spedition. Ergebnis: eine Klassifizierungsmatrix mit drei oder vier Stufen (öffentlich / intern / vertraulich / streng vertraulich).
- Schritt 2: Anbieterauswahl mit C5-Testat-Prüfung. Für die kritischen Daten einen Sovereign-Anbieter aussuchen. Pflichtprüfung: aktuelles C5:2020-Testat (Typ 2 bevorzugt), Auftragsverarbeitungsvertrag, Subdienstleister-Liste, Datenschutz-Folgenabschätzung.
- Schritt 3: Pilot-Workload. Mit einem nicht-kritischen, aber repräsentativen Workload starten. Typisch: ein Abteilungs-File-Share oder ein Dokumenten-Management-System. 2-3 Monate Pilot-Betrieb mit echten Nutzern.
- Schritt 4: Produktiver Roll-out mit Parallelbetrieb. Geordneter Umzug der kritischen Workloads. Parallelbetrieb für 4-8 Wochen, dann Migration. Kein „Big-Bang" — das schiefgeht.
- Schritt 5: Außerbetriebnahme der US-Cloud-Komponente. Daten in der alten Cloud sicher löschen lassen (mit Löschbestätigung des Anbieters), Auftragsverarbeitung kündigen, Lizenzen reduzieren.
Realistische Dauer für einen Mittelständler mit 50 Mitarbeitern: 4 bis 8 Monate. Wer das in 6 Wochen versucht, scheitert.
Kostenvergleich: US-Hyperscaler vs. Sovereign Cloud
Der häufigste Reflex von Geschäftsführern: „Das wird doch teurer.” Stimmt teilweise — aber nicht so dramatisch, wie viele befürchten.
Reiner Compute-Vergleich (Stand Mai 2026)
Eine produktive Workload mit 4 vCPUs, 16 GB RAM, 200 GB Block-Storage, Linux:
| Anbieter | Listpreis/Monat | Reserved 1J |
|---|---|---|
| AWS EC2 (m6i.xlarge, eu-central-1) | ca. 145 € | ca. 95 € |
| Azure D4s v5 (Germany West Central) | ca. 155 € | ca. 100 € |
| STACKIT (g1r.4d.8) | ca. 175 € | ca. 130 € |
| IONOS Compute Engine (8 GB / 4 vCPU + RAM) | ca. 130 € | ca. 105 € |
| T-Systems Open Telekom Cloud (s3.xlarge.4) | ca. 165 € | ca. 125 € |
Quelle: Anbieter-Preislisten, Stand Mai 2026. Tatsächliche Kosten variieren stark mit Region, Volumenrabatten und Service-Bundles. Listpreise ohne Egress-Traffic.
Im reinen Compute-Vergleich liegt der Sovereign-Aufpreis zwischen 0 und 20 %. Bei Managed Services kann der Unterschied größer ausfallen — etwa für gemanagte Datenbanken oder KI-Inferenz.
TCO-Vergleich (Total Cost of Ownership)
Wenn man Compliance-Kosten einrechnet, relativiert sich das Bild deutlich. Eine vollständige DSGVO-Risikoanalyse für eine US-Hyperscaler-Architektur, inklusive Schrems-II-konformer Transfer Impact Assessment, kostet bei einem externen Datenschutzbeauftragten typischerweise 15.000 bis 35.000 Euro — und muss jährlich aktualisiert werden. In der Sovereign-Cloud entfällt das weitgehend. Über 3 Jahre gerechnet sind die meisten Sovereign-Cloud-Architekturen für regulierte Branchen TCO-neutral oder sogar günstiger.
Versteckte Kosten
- Egress-Traffic: US-Hyperscaler sind berüchtigt für hohe Egress-Gebühren (Datenausgang aus der Cloud). STACKIT und IONOS haben hier deutlich günstigere Strukturen — was die TCO-Rechnung weiter zugunsten der Sovereign-Cloud verschiebt.
- Vendor-Lock-in: Wer tief in proprietäre AWS- oder Azure-Dienste verstrickt ist (DynamoDB, Cosmos DB, spezielle ML-Services), zahlt einen erheblichen Migrations-Aufpreis. Sovereign-Cloud-Anbieter setzen meist auf offene Standards (OpenStack, S3-API, PostgreSQL), was den Lock-in reduziert.
Wir empfehlen für die TCO-Analyse einen IT-Kosten-Kalkulator als ersten Schnellvergleich, gefolgt von einer detaillierten Workload-Aufnahme. Pauschale „Cloud ist immer billiger" oder „Sovereign ist immer teurer" Aussagen führen in die Irre.
Einwände und ehrliche Antworten
Wir hören diese Einwände regelmäßig. Hier sind unsere ehrlichen Antworten.
„Aber wir sind doch zu klein für Sovereign Cloud!”
Falsch. Die meisten Sovereign-Anbieter haben keine Mindestabnahmen mehr. STACKIT, IONOS und T-Systems lassen sich auch für einen 15-Personen-Betrieb sinnvoll nutzen — gerade wenn nur ein Teil-Workload souverän sein muss. Wir betreuen in Hamburg mehrere Kanzleien zwischen 8 und 30 Mitarbeitern, die genau diese Architektur fahren.
„Wir verlieren doch alle Microsoft-365-Komfortfunktionen!”
Nein, denn die meisten unserer Kunden machen Multi-Cloud: M365 mit EU Data Boundary für Standard-Office, eine Sovereign-Insel für die wirklich sensiblen Daten. Office-Komfort bleibt, Souveränität dort wo nötig.
„Sovereign Cloud ist doch nicht so weit wie Azure.”
Bei reinen IaaS-Workloads ist der Funktionsunterschied 2026 minimal — STACKIT, IONOS und Open Telekom Cloud decken VM, Storage, Netzwerk, Kubernetes, Object Storage und Datenbanken sauber ab. Bei spezialisierten Diensten (Cognitive Services, Quantum Computing, exotische ML-Frameworks) ist Azure breiter aufgestellt. Frage: Brauchen Sie das wirklich für Ihr Mittelstandsgeschäft?
Wir hatten lange Sorge, dass eine Migration weg von Azure ein Riesenprojekt wird. Tatsächlich war der File-Share-Teil in 8 Wochen erledigt, die Office-Arbeit läuft bei uns weiter über Microsoft 365 mit EU Data Boundary. Für die hochsensiblen Mandate haben wir jetzt eine saubere Sovereign-Insel. Hagel IT hat den Plan gemacht und das Ganze geordnet umgesetzt.
Sovereign Cloud und KI: ein Spezialfall
Wer KI-Modelle trainiert oder einsetzt, hat ein zusätzliches Souveränitätsproblem: die Trainingsdaten. Wenn ein Mittelständler mit Mandanten- oder Patientendaten ein Modell anlernt und dieses Training auf einem US-Hyperscaler läuft, sind die Trainingsdaten potenziell in einem fremden Rechtsregime.
STACKIT und Open Telekom Cloud positionieren sich 2026 gezielt mit GPU-Plattformen (NVIDIA H100) als Sovereign-AI-Infrastruktur. T-Systems hat dafür einen eigenen KI-Cluster in Biere aufgesetzt. IONOS bietet GPU-Server für KI-Training und Inferenz an. Wer als Mittelständler einen Compliance-getriebenen KI-Use-Case hat (Patientenakten, juristische Recherche, regulierte Finanzanalyse), sollte das Training konsequent in der Sovereign-Cloud machen.
Der EU AI Act verschärft das ab August 2026. Hochrisiko-KI-Systeme müssen Daten-Governance und Auditfähigkeit nachweisen — was bei einem US-Hyperscaler-Training schwerer dokumentierbar ist als bei einem deutschen Anbieter mit C5-Testat.
Was hagel IT für Sie tun kann
Wir sind herstellerneutraler IT-Dienstleister in Hamburg. Wir verkaufen weder STACKIT- noch IONOS-Lizenzen direkt — wir beraten und betreiben. Unser Vorgehen bei Sovereign-Cloud-Themen:
- Erstgespräch (15 Min, kostenfrei). Einordnung Ihrer regulatorischen Lage. Welche Branche, welche Daten, welche Risiken?
- Infrastrukturanalyse mit Festpreis. Datenklassifizierung, IST-Aufnahme aller genutzten Cloud-Dienste, Risikobewertung pro Workload, Anbietervergleich. Ergebnis: schriftliche Empfehlung mit Architektur-Skizze und TCO-Rechnung.
- Migration. Wir setzen den Pilot auf, betreuen den Roll-out und übernehmen die Außerbetriebnahme der Alt-Cloud. Geordnet, mit Projektplan, mit Rollback-Option.
- Managed Service. Den laufenden Betrieb übernehmen wir zum Festpreis. Managed IT Services ab ca. 50 € pro Arbeitsplatz und Monat inklusive Helpdesk, Monitoring und Patchmanagement.
- Compliance-Begleitung. Wir arbeiten mit fragHugo (unserem Datenschutz-Schwesterunternehmen) zusammen, falls Sie keinen externen Datenschutzbeauftragten haben. NIS-2, DORA, DSGVO sauber abbilden.
Wir sind seit über 20 Jahren als IT-Service Hamburg aktiv und betreuen Mandanten in regulierten Branchen — von Hamburger Kanzleien über Steuerberater bis zu Krankenhäusern in Norddeutschland. Sovereign Cloud ist eines unserer Schwerpunktthemen 2026.
Verwandte Themen auf hagel-it.de
Wenn Sie tiefer einsteigen wollen, lohnen sich diese Artikel und Service-Seiten:
- Cloud Computing Hamburg — Pillar-Seite zu unserer Cloud-Beratung
- NIS2 & Compliance Hamburg — Compliance-Beratung für regulierte Branchen
- Cloud-Beratung Hamburg — Festpreis-Modell für Cloud-Architektur
- Cloud Compliance in Hamburg — Wer haftet wirklich? — Detailartikel zum Modell der geteilten Verantwortung
- Argumente für und gegen Cloud Computing — Entscheidungshilfen für KMU
- Cloud-Checkliste für Hamburger Firmen — Praxisnaher Leitfaden
- Cloud Computing nach Branchen — Branchen-spezifische Cloud-Strategien
- Microsoft Azure Cloud zum Festpreis — Azure-Beratung und Migration
Weiterführende externe Quellen
- BSI Cloud-Computing-Compliance-Criteria-Catalogue (C5:2020) — BSI-Anforderungsstandard für sichere Cloud-Dienste
- EU Data Act — Europäischer Daten-Rechtsrahmen
- Microsoft EU Data Boundary Dokumentation — Offizielle Microsoft-Dokumentation
- NIS-2-Richtlinie (EU 2022/2555) — Volltext der EU-Richtlinie
- DORA — Digital Operational Resilience Act — EBA-Dokumentation
- STACKIT Compliance & Zertifikate — Anbieterseite mit C5-Testat
- IONOS Cloud — Souveränität und Compliance — Produktseite
- Open Telekom Cloud — Souveränität — T-Systems-Anbieterseite
Sovereign Cloud für Ihr Unternehmen sinnvoll? Sprechen wir 15 Minuten darüber.
Wir machen Ihnen eine ehrliche Einordnung: Welche Workloads bei Ihnen wirklich souverän gehosted werden sollten — und welche bei US-Hyperscalern bleiben können. Kostenlos, ohne Vertriebsdruck.
Erstgespräch buchen →
