Wie souverän kann ein souveräner Arbeitsplatz in Deutschland sein?

Digitale Souveränität ist mittlerweile keine Werbe-Floskel mehr - sie ist für viele deutsche Mittelständler zu einer strategischen Pflicht geworden. Aber wie souverän lässt sich ein digitaler Arbeitsplatz in Deutschland heute tatsächlich realisieren? In diesem Beitrag versuche ich den aktuellen Markt mal zusammenzufassen, stelle die Unterschiede zu US-Anbietern heraus und gebe eine konkrete Handlungsempfehlung für mittelständische Unternehmen.

Was heißt hier „Souverän“?

Kurz: ein souveräner Arbeitsplatz stellt sicher, dass die Verfügbarkeit, die Kontrolle über Daten, ganz besonders die rechtliche Zuständigkeit und die Entscheidungsmacht über Verarbeitung und Nutzung der Daten beim jeweiligen Unternehmen bleiben, ohne versteckte Zugriffe durch Dritte, ohne unklare Datentransfers in Drittstaaten und mit transparenter Technik (z. B. Auditierbarkeit, Open-Source-Optionen oder vertragliche Garantien). Das hört sich natürlich erstmal einfach an, doch die Probleme stecken wie immer im Detail.

Welche Angebote gibt es aktuell in Europa / Deutschland?

Europa und Deutschland haben in den vergangenen Jahren ein relativ gutes Ökosystem aufgebaut, von einzelnen, spezialisierten Plattformen bis zu großen Telekom-Dienstleistern:

• Microsoft / Azure Local & Microsoft 365 Local: Microsoft hat 2025 „Microsoft 365 Local“ und Sovereign-Cloud-Lösungen angekündigt, die Microsoft-365-Funktionen in lokalen oder souveränen Azure-Umgebungen bereitstellen sollen. Ein klares Signal, dass auch Hyperscaler auf Nachfrage nach „souveränen“ Varianten reagieren. Allerdings ist das eher ein Lippenbekenntnis, denn schaut man mal unter die Haube der Angebote, bleibt nicht mehr viel von der eigentlich gewünschten Souveränität übrig. Das gilt übrigens auch für die Angebote von AWS, Oracle oder Google.
• Carrier & Systemintegratoren (z. B. T-Systems, Schwarz Gruppe): Große deutsche Integratoren bieten Managed-Digital-Workplace-Lösungen mit lokalem Hosting, deutschsprachigen Support und DSGVO-Konformität an. Das ist besonders wichtig für Behörden und regulierte Branchen. Aber auch hier sind oft Schnittstellen und Angebote der großen Hyperscaler inkludiert, was die "Souveränität" zumindest mal in Frage stellt.
• Europäische Cloud-Provider (z.B. OVHcloud, Hetzner, previder): Diese Anbieter setzen aktiv auf Souveränität und „cloud made in EU“. Die Argumente dabei sind besondere Qualifikationen wie DSGVO-Konformität und EU-angepasste Vertragsklauseln. Kooperationen innerhalb der EU stärken zudem auch die regionale Infrastruktur.
• Open-Source-Plattformen (Nextcloud u. a.): Nextcloud und ähnliche Projekte ermöglichen komplette Kontrolle über Collaboration, Filesharing und Co. in eigenen Rechenzentren oder bei lokalen Hostern, besonders attraktiv, wenn Transparenz & Auditierbarkeit zentral sind. Aber wie sich zeigt nicht immer ausreichend für den Mittelstand und auch noch nicht mit den Angeboten der US-Konkurrenz vergleichbar.
• Gaia-X & federierte Initiativen: Gaia-X bleibt dabei der organisatorische Rahmen, um Interoperabilität, transparente Regeln und eine vertrauenswürdige europäische Dateninfrastruktur voranzutreiben, die ist dann relevant wenn es zu einer Anbieter- bzw. Partnerauswahl kommt. Auf der Website von Gaia-X heißt es da auch zu ihrer Mission: „Schaffung eines De-facto-Standards zur Ermöglichung von föderierten und vertrauenswürdigen Daten- und Infrastruktur-Ökosystemen durch die Entwicklung einer Reihe von Spezifikationen, Regeln, Richtlinien und eines Verifizierungsrahmens.“

Wie unterscheiden sich diese Angebote?

• Hyperscaler vs. regionale Anbieter: US-Hyperscaler (AWS, Google Cloud, klassische Microsoft Cloud-Services) dominieren technisch und in der Skalierbarkeit, bieten aber oft global verteilte Kontrollknoten und Standards, die aus europäischer Perspektive immer wieder Fragen zur Exterritorialität (z. B. US-Rechtszugriff) aufwerfen. Europäische Anbieter und lokale Integratoren betonen dagegen lokale Datenhaltung, spezifische Vertragsklauseln und Qualifizierungen (z. B. SecNumCloud) als Gegenstück. Aber Achtung, der bloße Unternehmenssitz in der EU macht aus einem US Unternehmen noch keinen regionalen Anbieter. Siehe auch „Die Illusion digitaler Souveränität“.
• Feature-Parity vs. Souveränitätsgarantie: US-Angebote liefern häufig weiterentwickelte Features (AI-Funktionen, integrierte Plattform-Ökosysteme etc.). Europäische/souveräne Lösungen gleichen Funktionalität zunehmend an, setzen aber mehr auf Transparenz (Open Source / Audit) und explizite Rechts- bzw. Datenschutzgarantien. Microsofts Schritt zu M365 Local ist ein erstes Beispiel für die Vermischung beider Welten. Aber leider schützt dieser Ansatz weder die Daten noch europäische Unternehmen vor Vendor-Lock-in oder Entscheidungen der US-Regierung.
• Ökosystem & Integrationen: US-Plattformen bieten große Drittanbieter-Ökosysteme, was Innovation und Integrationsgeschwindigkeit erhöht. Souveräne Anbieter bieten weniger Plug-and-play, dafür aber bessere Kontrolle und oft geringeres Risiko politisch motivierter Zugriffsmöglichkeiten.

Realistische Grenzen der Souveränität

• Technische und wirtschaftliche Abwägung: Vollständige lokale Eigenbetriebslösungen (on-prem + selbst verwaltete Anwendungen) bieten maximale Kontrolle, aber sie verlangen auch lokales Fachpersonal und können die Innovationsgeschwindigkeit bremsen. Hybride Ansätze dagegen sind oft der praktikablere Mittelweg, wenn auch mit dem Nachteil des Verlusts von Souveränität.
• Lieferketten & Komponenten: Souveränität endet nicht beim Rechenzentrum. Hardware-Komponenten, Firmware, Software-Abhängigkeiten und Cloud-APIs können erneut externe Risiken mit sich bringen und zum Verlust von Souveränität führen. Komplett „hardware-souverän“ zu sein ist ein sehr aufwendiges Unterfangen und meiner Meinung nach, Stand heute, nahezu unmöglich.
• Rechtliche Grauzonen: Gesetzeslagen (z. B. Anfragen nach Daten durch ausländische Behörden) und internationale Abkommen können hier trotzdem noch Einfluss haben. Entsprechende vertragliche Zusicherungen und technische Maßnahmen (komplette Verschlüsselung sowie Key-Ownership) mildern das Problem ein wenig, können es aber nicht vollständig lösen.

Handlungsempfehlung für ein mittelständisches deutsches Unternehmen (konkret & pragmatisch)

Wie könnte ein Projekt zur Einführung eines souveränen, digitalen Arbeitsplatz ablaufen.

1. Datenklassifizierung & Risikoanalyse (erste 4 - 6 Wochen) Definition, welche Daten kritisch bzw. sensitiv sind (Kunden-, HR-, IP-Daten). Aber auch Daten die z.B. nicht unter Datenschutzgesetze fallen (interlectual properties wie z.B. Formeln oder Pläne) sind hier einzubeziehen. Ohne eine vernünftige Klassifizierung der vorhandenen Daten ist jeder Souveränitäts-Plan blind.
2. Priorisieren: Hybrid statt Full-On-Prem Sensible Workloads (z. B. Produktentwicklung, HR-Daten) möglichst lokal oder bei einem europäischen, eventuell Gaia-X-kompatiblen, Anbieter betreiben; Standard-Kollaboration kann dann auch in zertifizierten Cloud-Services laufen (Hinweis hier, verschlüsseln, verschlüsseln, verschlüsseln).
3. Lieferanten-Due-Diligence Prüfen von Vertragsklauseln (Datenlokation, Unterauftragsverarbeiter), Zertifikate (ISO 27001, Tisax), Audit-Reportzugang und Rechtszuständigkeit von Lieferanten und Partnern. Bevorzugen Sie Anbieter mit klarer „no-extraterritorial-access“ Kommunikation oder der Möglichkeit Verschlüsselung mit eigener Hoheit über die Schlüssel.
4. Technik: Verschlüsselung + Key-Ownership Setzen Sie auf Ende-zu-Ende und serverseitige Verschlüsselung, wobei die privaten Schlüssel immer unter der eigenen Kontrolle bleiben müssen. So bleibt die letzte Zugriffskontrolle bei Ihnen, selbst wenn die Infrastruktur auslagert ist und eventuell kompromittiert wird.
5. Pilotprojekt (3-6 Monate) Durchführen einer Pilot-Installation mit z. B. Nextcloud (für Dateien und Collaboration) sowie einem souveränen Cloud-Hoster (z.B regionaler oder europäischer Rechenzentrums-Partner) für sensible Workloads. Vergleichen der verfügbaren Features mit einem ähnlichen Angebot eines US-Hyperscaler (z. B. Microsoft 365 Local Preview / Windows 365 Link).
6. Governance & Incident-Response Implementieren von klaren Rollen (Data Owner), regelmäßigen Audits und einem Incident-Response-Plan gleich zu Beginn des Projekts. Binden Sie Rechts-/Compliance-Ressourcen früh ein. Es ist auch immer eine gute Idee, einen gesunden Querschnitt der Mitarbeiter sowie eventuell vorhandene Betriebsräte möglichst früh in das Projekt zu involvieren.
7. Kosten vs. Risiko abwägen Erstellen einer Total Cost of Ownership-Betrachtung inkl. Personal- und Innovationskosten. Manchmal ist die beste Lösung eine Mischung aus souveränen Komponenten für kritische Daten und effizienten Public-Cloud-Diensten für nicht-kritische Workloads. Und, Souveränität zu jedem Preis ist unklug, letztendlich muss der Betrieb auch wirtschaftlich bleiben.
8. Roadmap & Lieferantenstrategie (12–24 Monate) Planen einer schrittweisen Migration, beobachten Sie dabei immer auch die Gaia-X-Zertifizierungen und die Entwicklung souveräner Angebote aus Deutschland und Europa, verlieren Sie dabei aber nicht die Angebote aus den USA aus dem Auge. Flexibilität ist hier eine strategische Stärke und nichts ändert sich schneller als die Cloud-Angebote.

Fazit, wie souverän ist denn möglich?

Ein vollständig abgekapselter, souveräner Arbeitsplatz ist technisch möglich, aber teuer und innovationshemmend. Außerdem sind für den Betrieb lokale Experten erforderlich, die auch nicht so einfach zu finden sind. Die aktuelle Realität in Deutschland/Europa bietet jedoch praktikable und robuste Alternativen. Eine Kombination aus regionalen Cloud-Anbietern, deutschen Integratoren, Open-Source-Lösungen (z. B. Nextcloud) und den „neuen“ souveränen Angebote großer Anbieter (z. B. Microsoft 365 Local) kann vielleicht eine Lösung sein. Für mittelständische Unternehmen ist ein hybrider, aber risikobehafteter Ansatz meist der beste Weg kritische Daten souverän zu halten, Standard-Services effizient nutzen und durch technische Maßnahmen (Verschlüsselung), vertragliche Garantien und Governance-Prozesse die tatsächliche Kontrolle durch das Unternehmen sicherstellen.

Sie wissen nicht, wie Sie anfangen sollen? Kein Problem, sprechen Sie uns einfach an.