Für viele war „Souveräne Cloud“ das IT-Schlagwort des Jahres 2025. Wird 2026 das Jahr sein, in dem sich die souveräne Cloud vom Gesprächsthema zur weit verbreiteten Anwendung entwickelt? Im Folgenden werden drei Prognosen gewagt, wie sich der europäische Markt für souveräne Cloud-Dienste im kommenden Jahr entwickeln wird.
1. Ungeachtet aller Aufmerksamkeit werden im Jahr 2026 US-amerikanische Hyperscaler den europäischen Markt für Cloud-Infrastrukturdienste dominieren.
Seit der Einführung des S3-Angebots von AWS in Europa im Jahr 2007 nutzen die Europäer US-amerikanische Public-Cloud-Services. Im Jahr 2025 hielten drei US-Cloud-Anbieter 70 Prozent des europäischen Marktes für Cloud-Infrastrukturdienste, während europäische Anbieter lediglich einen Anteil von 15 Prozent erreichten.
Gleichzeitig besteht eine hohe Nachfrage nach europäischen souveränen Cloud-Lösungen. Eine aktuelle Umfrage unter CIOs und IT-Verantwortlichen in Westeuropa zeigt, dass 60 Prozent den Einsatz lokaler Cloud-Anbieter weiter ausbauen wollen. Der gesamte europäische Markt für souveräne Cloud-Dienste von derzeit gut 20 Mrd. EUR Jahresumsatz wird bis zum Jahr 2031 voraussichtlich auf über 100 Mrd. EUR wachsen.
Trotz der steigenden Nachfrage nach europäischen souveränen Cloud-Diensten ist kurzfristig nicht mit einem deutlichen Rückgang des Marktanteils der US-Hyperscaler zu rechnen. Dies ist teilweise auf die Kosten und die Komplexität eines Wechsels zurückzuführen. Die Übertragung von Daten von einem Cloud-Dienst auf einen anderen ist aufgrund großer Datenmengen und proprietärer Datenformate häufig technisch anspruchsvoll. Seit September 2025 verpflichtet der EU Data Act die Cloud-Anbieter dazu, einen Anbieterwechsel zu unterstützen, unter anderem durch den Abbau technischer Hürden. Es bleibt abzuwarten, ob diese neuen Verpflichtungen es den Kunden im Jahr 2026 leichter machen, den Cloud-Anbieter zu wechseln.
Cloud-Kunden können beim Anbieterwechsel zudem auf organisatorische Hürden stoßen, da Geschäftsprozesse auf vertrauten, branchenüblichen Softwareanwendungen basieren. Viele europäische Kunden würden vermutlich gern eine europäische Cloud nutzen, sofern sie weiterhin mit Microsoft Word, PowerPoint und Excel arbeiten können. Ein vollständiger Wechsel zu einem reinen Euro-Stack mit ausschließlich europäischer oder Open-Source-Software könnte hingegen den Geschäftsbetrieb unterbrechen. Zudem werden europäische Kunden Zugang zu den neuesten KI-Diensten erwarten, von denen viele von US-Unternehmen bereitgestellt werden.
Partnerschaften zwischen US-amerikanischen und europäischen Anbietern können hier Abhilfe schaffen, indem sie Zugang zu US-Software bieten, die auf von europäischen Anbietern betriebenen Servern läuft, wie etwa bei S3NS und Bleu in Frankreich sowie Delos und Sovereign OpenAI in Deutschland. Trotz der Investitionen europäischer Anbieter in KI-Infrastruktur im Jahr 2026 bleiben US-Hyperscaler gut aufgestellt, um Cloud-Infrastruktur für das Training und die Inferenz von KI-Modellen bereitzustellen. Während der französische Anbieter Mistral in eigene Infrastruktur investiert, unterhält er zugleich eine Partnerschaft mit Microsoft zur Nutzung von deren GPUs.
Schließlich möchten nicht alle europäischen Organisationen europäische Clouds nutzen. Viele gehen möglicherweise davon aus, dass US-Nachrichtendienste an der Art der von ihnen verarbeiteten Daten schlichtweg kein Interesse haben. Ebenso halten sie es möglicherweise für unwahrscheinlich, dass die USA tatsächlich Sanktionen verhängen würden, die ihren Zugang zur Cloud behindern. In der Folge bewerten sie das Risiko der Nutzung von US-Cloud-Anbietern als vertretbar gering, insbesondere im Vergleich zu den Kosten eines Wechsels und den Vorteilen des Zugangs zu US-Cloud-Software und -Servern. Aus all diesen Gründen dürfte der Marktanteil der US-Hyperscaler am europäischen Cloud-Services-Markt im Jahr 2026 weitgehend stabil bleiben; jeder Wechsel zu europäischen Alternativen wird Zeit benötigen.
2. Mit zunehmenden geopolitischen Spannungen werden Europäer auch 2026 weiter darüber diskutieren, was unter der „souveränen Cloud“ zu verstehen ist.
Der Begriff „Souveräne Cloud“ ist bislang nicht offiziell definiert. Im Oktober 2025 legte der IT-Dienst der Europäischen Kommission (DGIT) einen Rahmen zur Bestimmung von souveränen Clouds vor. Dieser umfasste eine 8-Punkte-Definition sowie eine wissenschaftlich wirkende Formel, um jedem Service einen konkreten Souveränitätsgrad zuzuweisen. Unklar ist jedoch, wie diese Kriterien auf unterschiedliche Cloud-Modelle angewendet werden, etwa auf die oben genannten EU-US-Partnerschaften oder auf die eigenen souveränen Cloud-Angebote der Hyperscaler. Unabhängig davon ist der Rahmen der Kommission für die öffentliche Beschaffung durch EU-Institutionen vorgesehen, nicht jedoch für den breiteren privaten Sektor.
Im Jahr 2020 erarbeitete ENISA, die europäische Agentur für Cybersicherheit, im Rahmen des Cybersecurity Act einen Entwurf für ein Cloud-Zertifizierungssystem („EUCS“), das breiter eingesetzt werden könnte. Im Jahr 2024 deutete eine an die Öffentlichkeit gelangte Fassung darauf hin, dass die höchste Sicherheitsstufe des Schemas Kriterien für eine souveräne Cloud vorsehen würde. Doch Stand Ende 2025 ist die Entwicklung des Schemas weiterhin unsicher und in anhaltenden Diskussionen festgefahren. Im Juni 2025 forderte das Europäische Parlament die Europäische Kommission auf, den Begriff „Souveräne Cloud“ in ihrem geplanten Vorschlag für einen Cloud and AI Development Act („CADA“) zu definieren, dessen Veröffentlichung für die erste Hälfte des Jahres 2026 erwartet wird. Dies dürfte auch im Rahmen der Verhandlungen zwischen dem Europäischen Parlament und dem Rat der Europäischen Union zu weiteren Debatten führen.
Im Kern spiegelt die Hängepartie eine grundlegende Meinungsverschiedenheit darüber wider, welche Ziele eine europäische souveräne Cloud erreichen soll. Einerseits befürworten einige einen risikobasierten Ansatz. Dieser zielt darauf ab, das Risiko eines Zugriffs oder einer Einflussnahme durch ausländische Staaten durch wirksame technische und organisatorische Maßnahmen wie Verschlüsselung oder lokale Back-ups zu reduzieren. Solche Maßnahmen können unabhängig von der Nationalität des Cloud-Anbieters angewendet werden. Demgegenüber plädieren andere für einen strikten Ansatz, der ausschließlich europäische Cloud-Anbieter als Teil eines „Euro-Stack“ vorsieht. Dies steht im Einklang mit dem industriepolitischen Ziel der Europäischen Union, den europäischen Cloud-Sektor zu stärken und eine lokale industrielle Basis zu unterstützen, was weitreichende wirtschaftliche Vorteile mit sich bringen kann. Ein stärkerer europäischer Cloud-Sektor könnte wiederum die strategische Autonomie Europas stärken, indem er die Abhängigkeit von den USA verringert und die Fähigkeit Europas verbessert, auf der internationalen Bühne eigenständig zu handeln.
Die Mitgliedstaaten sind in dieser Frage gespalten: Die nordischen Länder, die baltischen Staaten und die Niederlande scheinen eine risikomindernde Strategie zu bevorzugen, während Frankreich die strikt europäische Option nachdrücklich unterstützt. Diese tieferen politischen Gräben dürften 2026 kaum überwunden werden; stattdessen werden die EU-Institutionen versuchen, sie mit Kompromisslösungen zu überbrücken. In der Zwischenzeit könnten die Mitgliedstaaten insbesondere in datenintensiven und stark regulierten Bereichen wie Finanzdienstleistungen, Gesundheitswesen sowie in anderen kritischen nationalen Infrastrukturen eine eigene nationale Politik verfolgen.
3. Während die politischen Entscheidungsträger zögern, werden europäische Organisationen 2026 mit unterschiedlichen souveränen Cloud-Lösungen experimentieren.
Organisationen des öffentlichen Sektors werden bei der Einführung von Alternativen zu den US-Hyperscalern eine Vorreiterrolle einnehmen. Der Internationale Strafgerichtshof in Den Haag ist hierfür ein anschauliches Beispiel. Im Jahr 2025 verhängte die US-Regierung Sanktionen gegen Staatsanwälte und Richter des Internationalen Strafgerichtshofs, wodurch die betroffenen Personen faktisch daran gehindert wurden, Microsoft-Cloud-Dienste zu nutzen. Als Reaktion darauf wird der Internationale Strafgerichtshof den Wechsel von Microsoft zu OpenDesk vollziehen, einer Open-Source-Office-Suite, die mit Förderung der deutschen Bundesregierung entwickelt wurde. Das dänische Ministerium für Digitalisierung experimentiert Berichten zufolge ebenfalls mit Open-Source-Alternativen. Dies ist nachvollziehbar, da öffentliche Einrichtungen ihre Unabhängigkeit von ausländischen Staaten wahren müssen. Angesichts der aktuellen geopolitischen Spannungen rund um Grönland wird die dänische Regierung die Risiken technologischer Abhängigkeiten von Diensteanbietern aus den USA besser kontrollieren wollen.
Ähnliche Entwicklungen zeichnen sich auch im deutschen Bundesland Schleswig-Holstein, in der französischen Stadt Lyon sowie bei den österreichischen Streitkräften und dem Wirtschaftsministerium ab. Je stärker die geopolitischen Turbulenzen ausfallen, desto mehr werden öffentliche Stellen in Europa bestrebt sein, ihre Unabhängigkeit abzusichern. Gleiches gilt für europäische Betreiber kritischer nationaler Infrastrukturen sowie für Organisationen, die in sensiblen Bereichen Spitzenforschung betreiben, die für ausländische Staaten von Interesse sein könnten. Mehrere niederländische Universitäten experimentieren ebenfalls mit europäischen Alternativen, um ihre Daten vor dem Zugriff ausländischer Staaten zu schützen.
Einige befürchten jedoch, dass es zu den US-Hyperscalern keine realistischen europäischen Alternativen gibt. Miguel De Bruycker, Direktor des Centre for Cybersecurity in Belgien, beklagte kürzlich, dass es „unmöglich“ sei, Daten vollständig in Europa zu speichern, da US-Unternehmen die digitale Infrastruktur dominieren. Ein Teil der Herausforderung besteht darin, dass US-Hyperscaler umfassende Pakete verwalteter Dienste anbieten, die von Zugriffs- und Identitätssystemen sowie Sicherheitsmaßnahmen wie Protokollierung und Monitoring bis hin zu relationalen Datenbanken alles abdecken. Demgegenüber konzentrierten sich viele europäische Anbieter traditionell auf die Bereitstellung von Cloud-Infrastruktur für Speicherung und Rechenleistung, ohne zusätzliche verwaltete Dienste anzubieten. Wie Bert Hubert es formulierte, besteht der Unterschied darin, ob den Kunden Holz oder ein fertiges Möbelstück angeboten wird. Während Holz den Kunden mehr Kontrolle bietet, ist ein fertiges Möbelstück deutlich praktischer. Und jeder Kunde, der an den Komfort eines fertigen Möbelstücks gewöhnt ist, wird kaum zur Holzbearbeitung übergehen.
Jedoch eröffnet diese Herausforderung für das Jahr 2026 auch Chancen. Europäische Cloud-Anbieter wie T-Systems und OVHcloud sind Partnerschaften mit Broadcom eingegangen, um dessen VMware-Software-Stack für moderne Cloud-Dienste bereitzustellen, die auf Infrastruktur in europäischer Hand betrieben werden. Darüber hinaus können europäische Unternehmen wie Sopra Steria und Schwarz Digits als souveräne Systemintegratoren agieren und europäische Organisationen dabei unterstützen, europäische Cloud-Infrastruktur zu vollständig funktionsfähigen IT-Systemen auszubauen. Alternativ können europäische Kunden, die bereits US-Clouds nutzen, zu europäischen Anbietern von souveräner Middleware wechseln, wie Arqit oder eXate, die Daten während der Nutzung vor dem Zugriff durch US-Cloud-Anbieter schützen, indem sie fortschrittliche Verschlüsselung, vertrauliche Datenverarbeitung und Maßnahmen zur Pseudonymisierung kombinieren.
Nicht zuletzt bietet die NATO eine interessante Alternative. Die 32 Mitglieder des Bündnisses benötigen eine moderne, Cloud-basierte Infrastruktur, um Informationen auszutauschen und gegenüber Gegnern einen taktischen Vorsprung zu wahren. Gleichzeitig können europäische Streitkräfte angesichts des Risikos eines Zugriffs oder einer Einflussnahme durch die US-Regierung vertrauliche Informationen nicht einfach in einer US-Cloud verarbeiten. Im November 2025 entschied sich die NATO für den Einsatz der Google Distributed Cloud in einer Konfiguration ohne Verbindung zum öffentlichen Internet oder zu anderen externen Netzwerken (Air-Gap). Dies stellt eine Google-Cloud-Softwareumgebung bereit, die auf der isolierten Infrastruktur der NATO betrieben wird und vom Google-Netz getrennt ist. Vereinfacht gesagt: Google stellt die Software bereit, die NATO betreibt die Hardware. Vergleichbar dazu bietet Broadcom „VMware Private AI“ an: einen Software-Stack, den eine europäische Organisation auf eigener Infrastruktur betreiben und für KI-Inferenz mit einem beliebigen KI-Modell nutzen kann. IBM kündigte kürzlich das Angebot „Sovereign Core“ an, das eine ähnliche Lösung auf Basis der Infrastruktur des Kunden bereitstellt.
Solche „Inhouse-Lösungen“ werden nicht für alle europäischen Organisationen geeignet sein, da der Kunde die eigene Hardware sicher verwalten muss, was technisches Know-how und Investitionsausgaben voraussetzt. Tatsächlich könnte ein Purist hinterfragen, ob es sich hierbei überhaupt um einen „Cloud“-Dienst handelt. Kurz gesagt könnten solche Lösungen für technisch versierte und gut ausgestattete Organisationen, einschließlich großer Unternehmen und öffentlicher Einrichtungen, geeignet sein, während sie für kleinere Organisationen weniger passend wären, da sie stattdessen auf lokale souveräne Cloud-Anbieter angewiesen sein könnten. Dies verdeutlicht jedoch, wie eine Vielzahl unterschiedlicher Cloud-Modelle entsteht, um die europäische Nachfrage nach souveränen Clouds zu bedienen.
Diese Experimente mit europäischen souveränen Cloud-Lösungen werden im Jahr 2026 aufmerksam beobachtet werden. Idealerweise wird ein vielfältiges Cloud-Ökosystem entstehen, da unterschiedliche Organisationen verschiedene Modelle übernehmen, wie in Abbildung 2 unten dargestellt. Dies könnte die Gesamtresilienz verbessern, da Europa seine Abhängigkeit nicht mehr nur auf drei Hyperscaler konzentrieren würde. Zudem würde dies europäischen Organisationen beim Einsatz von Cloud-Technologie mehr Flexibilität verschaffen und gleichzeitig die Möglichkeit ausländischer Staaten verringern, europäische Bürger auszuspähen oder europäischen Einrichtungen damit zu drohen, den Cloud-Zugang per Sofortabschaltung zu entziehen. Und dies wäre ein vielversprechendes Ergebnis für 2027 und die folgenden Jahre.
Johan David Michels forscht im Rahmen des Cloud Legal Project am Centre for Commercial Law Studies, Queen Mary University of London zum Cloud-Computing-Recht. Er hat kürzlich einen Artikel zur souveränen Cloud-Politik für das Virginia Journal of Law and Technology mitverfasst und ausführlich zu damit zusammenhängenden Fragen der DSGVO-Compliance publiziert. Das Cloud Legal Project wird durch die großzügige finanzielle Unterstützung von Microsoft ermöglicht. Der Autor bedankt sich außerdem bei Broadcom für die Bereitstellung von Forschungsgeldern, unter anderem zur Durchführung einer Reihe von Experteninterviews und zur Erstellung eines unabhängigen Berichts über die souveräne Cloud. Die Verantwortung für die geäußerten Ansichten liegt vollständig beim Autor und diese spiegeln nicht notwendigerweise die Auffassungen von Broadcom wider.