Gastbeitrag

Future{hacks}: Deine Cloud steht in Frankfurt. Reicht das wirklich?

Markus Kirchmaier11. März 2026, 08:00

Wenn Drohnen AWS-Rechenzentren treffen, ist „EU-Boden“ dann noch ein sicheres Argument oder schon eine Ausrede?

Stell dir vor, es ist der 28. Februar 2026, 7 Uhr morgens. In Teheran detonieren die ersten Bomben. Israel und die USA haben den Angriff gestartet – und der Iran schlägt zurück. Nicht nur gegen Militärstützpunkte: Raketen und Drohnen treffen Flughäfen, Häfen, Öltanker und Wohngebiete quer durch die Golfregion. Einen Tag später bestätigt AWS: Drei seiner Rechenzentren im Nahen Osten wurden durch Drohnenangriffe beschädigt – zwei Einrichtungen in den Vereinigten Arabischen Emiraten direkt getroffen, eine dritte in Bahrain durch einen Einschlag in unmittelbarer Nähe. Die iranischen Revolutionsgarden bekennen sich zu den Schlägen, mit der Begründung, Amazon unterstütze US-Militär- und Geheimdienstoperationen.

Digitale Infrastruktur ist Wirtschaftsinfrastruktur. Wer sie lahmlegt, trifft Banken, Lieferketten und Unternehmen gezielter als jede Raffinerie. Dein Frankfurter Rechenzentrum steht. Aber dein CDN, dein DNS-Resolver, dein Auth-Provider, das SaaS-Tool deiner Buchhaltung – wo laufen die, und auf welche AWS-Region sind deren Backends angewiesen?

Die wenigsten DACH-CTOs kennen diese Antwort.
Und genau das ist das Problem.

Genau hier bekommt die Erzählung, an die Europa sich seit Jahren klammert, Risse: dass Standort Kontrolle bedeutet. Die Frage, die dabei systematisch weggeschoben wird: Wer entscheidet im Ernstfall? Der Kunde oder der Anbieter? Solange das in keiner Ausschreibung steht, weiß es niemand.

Europas Zahlenlage ist ernüchternd und bekannt

Laut Bitkom Cloud Report 2025 nutzen 9 von 10 deutschen Unternehmen Cloud-Anwendungen, fast zwei Drittel geben an, ohne Cloud-Lösungen nicht mehr arbeitsfähig zu sein. Gleichzeitig: 53 Prozent der Cloud-Nutzer fühlen sich den Anbietern ausgeliefert, was Preise oder Vertragsgestaltung angeht.

Und der Wunsch nach Alternativen ist da: Mehr als drei Viertel der befragten Unternehmen halten Deutschland für zu abhängig von US-Cloud-Anbietern, und jedes zweite Unternehmen, das Cloud-Computing nutzt, sieht sich aufgrund der Politik der neuen US-Regierung gezwungen, die eigene Cloud-Strategie zu überdenken.

Der Wunsch ist also vorhanden. Die Konsequenz fehlt. Und das liegt nicht an technischer Rückständigkeit, sondern an einer Begriffsverwirrung, die sich tief in Ausschreibungen, Vergabeverfahren und Vorstandsentscheidungen eingenistet hat.

Drei Ebenen, die niemand auseinanderhält

Souveränität ist kein Begriff, er ist eine Fähigkeit. Und um ihn sauber zu führen, braucht es drei Ebenen:

Residency fragt: Wo liegen die Daten physisch? In welchem Rechtsraum, welcher Region? Das ist die Ebene, die in 90 Prozent aller Ausschreibungen gemeint ist, wenn das Wort „Souveränität“ fällt.

Operations fragt: Wer betreibt das System tatsächlich? Wer patcht, wer hat Admin-Rechte, wer sitzt im Support, wenn es brennt, wer kann Konfigurationen ändern?

Control fragt: Wer kann im Streitfall rechtlich oder organisatorisch zur Handlung gezwungen werden? Wer entscheidet über Prioritäten, Kommunikation und Eskalation, wenn die Lage kippt?

Europas Standardfehler ist einfach zu benennen: Es wird Residency eingekauft und über Control gesprochen. Wer diese drei Ebenen nicht explizit in Verträgen und Betriebsmodellen abbildet, kauft keine Souveränität – er kauft eine Standortklausel.

Für Einkäufer bedeutet das konkret: Residency ist mit einer Vertragszeile erledigt. Operations braucht Antworten auf Fragen wie: Wer hat Root-Zugriff auf produktive Systeme, und welche Staatsbürgerschaft müssen diese Personen haben? Kann der Anbieter einseitig Konfigurationen ändern, ohne Benachrichtigung? Wie wird der Support-Zugriff protokolliert? Control verlangt Szenarien: Was passiert, wenn euer Anbieter eine behördliche Anfrage aus den USA erhält? Wer kommuniziert in einer kritischen Störung nach außen, und welche Informationen darf der Anbieter zurückhalten?

Diese Fragen klingen nach Bürokratie. Sie sind der Unterschied zwischen Souveränität als Konzept und Souveränität als Fähigkeit.

Warum Beschaffung Standort liebt

Wer verstehen will, warum europäische Alternativen so langsam vorankommen, sollte weniger Ideologie und mehr Procurement-Realität studieren.

Standort ist ein Häkchen. Control ist ein Konflikt. Und Konflikte sind in Vergabeverfahren teuer: Sie machen Verfahren angreifbarer, langsamer, politischer. Also werden sie vermieden. Dazu gesellt sich die zweite Schicht: Zertifikate und Standards werden als Ersatz für Machtfragen verwendet. ISO 27001 belegt, dass Prozesse existieren. Es belegt nicht, wer im Ausnahmezustand den Finger am Schalter hat.

Und dann ist da noch der Grund, über den selten offen gesprochen wird: Mit einem bekannten Hyperscaler und einer Standortklausel bist du intern „safe“. Du musst weniger erklären, wirkst weniger riskant. Der Standardvendor ist nicht automatisch richtig – er ist politisch einfacher. In der Cloud kauft der öffentliche Sektor so oft nicht nur Infrastruktur: Er kauft Entlastung. Und nennt das Souveränität.

Das Bundesrechenzentrum (BRZ) in Wien macht vor, wie eine andere Logik aussieht. Dort gilt explizit: Eine Umstellung aller Applikationen auf eine Public Cloud, in der es keine nach österreichischem Recht geklärte Datenhaltung gibt, ist nicht möglich. Keine Beruhigungsformel, sondern eine Entscheidung mit operativer Konsequenz. Das BRZ betreibt eigene Rechenzentren, bestimmt selbst, welche Workloads in welche Cloud-Schicht wandern – und behält damit Control auf der dritten Ebene.

CLOUD Act: Ein Machtproblem, kein Rechtsproblem

Die CLOUD Act-Debatte leidet unter zwei Fehlern. Die erste Seite behauptet: „Die USA bekommen sowieso alles.“ Die zweite sagt: „Das ist reine Theorie, alles läuft rechtsstaatlich ab.“ Beide Seiten liegen falsch.

Was tatsächlich gilt: US-Behörden können von US-Unternehmen unter bestimmten richterlichen Voraussetzungen die Herausgabe von Daten verlangen, auch wenn diese außerhalb der USA gespeichert sind. Das ist keine Generalvollmacht, aber auch kein zahnloser Papiertiger wie ein paar Beispiele bereits gezeigt haben. Entscheidend ist die Machtarchitektur dahinter: Große Technologiekonzerne sind keine neutralen Infrastrukturanbieter. Sie sind politische Akteure mit Lobbying-Budget, Regulierungszugang und direktem Interesse an der Pflege ihrer Heimatmarktbeziehungen.

In einer Krise, in der US-politischer Druck, Sicherheitslogik und kommerzielle Interessen gleichzeitig steigen, ist die relevante Frage: “Würden die das durchsetzen, und wie schnell, und wer würde sich querstellen?” Wer darauf mit “das klärt schon das Gericht” antwortet, hat verstanden, dass es eine juristische Antwort gibt. Er hat nicht verstanden, dass es eine Machtantwort gibt – und dass die schneller kommt.

Für kritische und öffentliche Systeme reicht “EU-Standort” deshalb nicht.
Es ist Wegschauen mit Lizenz.

Unser Future{hacks} Fazit

Das Ereignis vom 1. März ist kein Argument für Panik. Es ist ein Argument für saubere Begriffe: Cloud ist Infrastruktur und Infrastruktur kann getroffen werden. In solchen Momenten zeigt sich, ob Souveränität eine Fähigkeit ist oder eine Zeile in der Ausschreibung.

Wer das ernst nimmt, stellt die nächste Ausschreibung anders auf: Residency als Mindeststandard, Nachweis europäischer Betriebsverantwortung auf Ebene Operations, konkrete Eskalations- und Kommunikationsrechte für den Krisenfall. Drei Punkte. Formulierbar auf einer Seite.

Die eine unbequeme Schlussfrage muss dennoch gestellt werden:
Wollen wir das wirklich prüfen, oder sind wir mit dem Gefühl der Sicherheit zufrieden?

Markus Kirchmaier ist Prokurist & Partner bei LEAN-CODERS und beschäftigt sich seit Jahren intensiv mit dem IT-Arbeitsmarkt sowie modernen IT-Systemen und technologischen Entwicklungen. Hier geht es zu den anderen Beiträgen aus der Future{hacks}-Reihe.