In den Führungsetagen europäischer Unternehmen herrscht spürbare Nervosität. Mit dem jüngst von der EU-Kommission auf den Weg gebrachten „Cloud and AI Development Act“ (CADA) und der heißen Phase der NIS2-Umsetzung im Herbst stellen sich IT-Verantwortliche quer durch alle Branchen eine kritische Frage: Stehen wir mittelfristig vor dem erzwungenen Abschied von Microsoft Azure, AWS und Google Cloud?
Die klare Antwort vorweg: Ein pauschales Verbot für die Privatwirtschaft zeichnet sich keineswegs ab. Die regulatorische Realität ist jedoch deutlich differenzierter und erzwingt ab sofort eine scharfe Zweiteilung der IT-Infrastruktur-Strategie.
1. Das „Tech-Sovereignty-Paket“: Wo der Wind wirklich herweht
Die Europäische Union verfolgt mit ihren aktuellen Initiativen zur Technologiesouveränität ein klares Ziel: Die massive Abhängigkeit von US-Hyperscalern – die derzeit rund 70 % des europäischen Marktes kontrollieren – soll systematisch reduziert werden.
Die regulatorische Daumenschraube zieht jedoch primär dort an, wo es um den Staat und vitale Funktionen geht. Der neue CADA sieht ein strenges, vierstufiges Bewertungssystem (den sogenannten Sovereignty Score) vor. Für den öffentlichen Sektor, das Gesundheitswesen, die Justiz und hochkritische staatliche Kerninfrastrukturen wird ein Umstieg auf rein europäische Betreiber mittelfristig unumgänglich werden. Der Staat agiert hier künftig als „Ankermieter“ für europäische Cloud-Alternativen.
2. Die Privatwirtschaft: Kein Verbot, aber das Ende der „Sorglos-Ära“
Für die kommerzielle Wirtschaft, inklusive des stark regulierten Finanz- und Versicherungswesens (das ohnehin unter der strengen DORA-Verordnung agiert), gibt es kein Nutzungsverbot. Ein solcher Schritt würde die europäische Wirtschaft digital handlungsunfähig machen, da adäquate europäische Alternativen in dieser Skalierung fehlen.
Der indirekte Druck über die Lieferkette (Supply Chain Security): Unter NIS2 und DORA müssen Unternehmen die Cybersicherheit ihrer gesamten Dienstleister lückenlos nachweisen. Ein unverschlüsselter US-Cloud-Dienst mutiert im IT-Audit schnell zum Dauerrisiko, da der US CLOUD Act amerikanischen Behörden theoretisch Zugriff gewährt – selbst wenn die Server in Frankfurt oder Wien stehen.
3. Die Antwort der Hyperscaler: „Sovereign Clouds“
Die großen US-Anbieter reagieren strategisch agil. Sie rollen mit Hochdruck dedizierte europäische „Sovereign Cloud“-Zweige aus. Über eigenständige europäische Partnerunternehmen (wie Orange in Frankreich oder SAP in Deutschland) und eine strikte, lokale Schlüsselverwaltung (Hold Your Own Key) versuchen sie, den US CLOUD Act rechtlich auszuhebeln. Das Betriebspersonal, die Datenresidenz und die Hoheit über die Verschlüsselung bleiben damit komplett in der EU.
Fazit für Entscheider
Ein überstürzter Cloud-Ausstieg ist für Unternehmen nicht notwendig. Notwendig ist hingegen der Übergang zu einer souveränen Hybrid-Architektur. Unternehmen müssen ihre Datenströme klassifizieren: Unkritische Prozesse verbleiben in der globalen Cloud; sensible Kundendaten und Kernprozesse hingegen müssen auf europäische Sovereign-Zweige migriert oder so verschlüsselt werden, dass der US-Anbieter selbst keinen Zugriff mehr darauf hat. Die Ära des blinden Vertrauens in die Standard-Cloud ist vorbei.