Whitepaper...

Whitepaper „Souverän in 30 Tagen“: Der einfache Wechsel in die digitale Unabhängigkeit

Geschrieben von Sebastian Deck
30. Juni 2026

Der Wechsel war noch nie so einfach. Und so notwendig: Die Abhängigkeit von einem US-Cloud-Stack kann ein mittelständisches Unternehmen mit 100 bis 300 Mitarbeitenden über die Jahre mehrere hunderttausend Euro kosten. Das eigentlich Teure an dieser Abhängigkeit steht dabei selten in der Lizenzrechnung: Es ist die persönliche Haftung der Geschäftsführung, die mit jedem ungeprüften Jahr wächst.

Die EU-Kommission hat ihr European Technological Sovereignty Package vorgestellt. Zentrales Instrument ist der Cloud and AI Development Act (CADA) – ergänzt durch einen überarbeiteten Chips Act 2.0, eine Open-Source-Strategie und eine Roadmap zur Digitalisierung der Energieinfrastruktur. Das erklärte Ziel: Europas Abhängigkeit von nicht-europäischen Anbietern bei Halbleitern, Künstlicher Intelligenz (KI), Cloud-Infrastruktur und grundlegenden Softwarekomponenten strukturell verringern

Das ist überfällig. Aber es reicht noch nicht.

Warum jetzt? Drei Risiken kommen zusammen

Die geopolitischen Verwerfungen der vergangenen Monate haben eine Frage in die Vorstands- und Geschäftsführungsetagen zurückgeholt, die dort längst hätte sein sollen: Wer kontrolliert eigentlich die Daten, auf denen unser Geschäft läuft? Drei Entwicklungen verstärken sich gerade gegenseitig.

1. Extraterritorialer Datenzugriff bleibt ungelöst

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Anbieter zur Herausgabe von Daten, die sich in ihrer Kontrolle befinden – unabhängig vom physischen Speicherort. Ein Rechtsgutachten im Auftrag des Bundesinnenministeriums kam im Dezember 2025 zum selben Schluss: Entscheidend ist die Kontrolle über die Daten, nicht der Serverstandort. Auch „European Sovereign Cloud“-Angebote unterbrechen diese Zugriffskette nicht, solange die Muttergesellschaft US-Recht unterliegt – das bestätigte ein leitender Vertreter eines US-Hyperscalers im Juni 2025 vor dem französischen Senat unter Eid. Das Europäische Parlament hat in seiner Entschließung vom 22. Januar 2026 die digitale Abhängigkeit Europas ausdrücklich als strategisches Risiko benannt.

2. Politisch motivierte Dienstsperren sind Realität

Extraterritoriale Sanktionen können den Zugang zu zentralen IT-Diensten unterbrechen. Im Mai 2025 war der Chefankläger des Internationalen Strafgerichtshofs (IStGH) zeitweise von seinem Cloud-Konto eines US-Anbieters abgeschnitten. Im Oktober 2025 zog der Gerichtshof die Konsequenz und stellte rund 1.800 Arbeitsplätze auf die deutsche Open-Source-Lösung openDesk um. Dass dieser Weg auch für eine ganze Verwaltung praktikabel ist, zeigt Dänemark.

3. Lizenzkosten steigen immer weiter, der Lock-in wächst mit

 Microsoft hebt zum 1. Juli 2026 die Listenpreise für Microsoft 365 im Geschäftskundenbereich an – Business Basic etwa um 16,7 Prozent. Parallel entfallen einzelne Standalone-Lizenzpläne, Unternehmen werden in größere Suite-Bundles geführt. Damit steigen die laufenden Kosten und die Bindung an proprietäre Ökosysteme gleichzeitig. Erfahrungsgemäß bemerkt man diese schleichende Abhängigkeit erst, wenn man sie verlassen möchte.

Haftung wird Chefsache: die Business Judgement Rule

§ 93 Aktiengesetz (AktG) und § 43 GmbH-Gesetz (GmbHG) verpflichten Geschäftsleiter zur Sorgfalt eines ordentlichen Kaufmanns. Die Business Judgement Rule schützt unternehmerische Entscheidungen nur dann, wenn sie auf angemessener Informationsgrundlage und nach dokumentierter Risikoabwägung getroffen wurden. Bekannte strukturelle Risiken – extraterritoriale Zugriffsgesetze, dokumentierte Sicherheitsbedenken, wirtschaftliche Abhängigkeiten – müssen also aktiv bewertet und protokolliert werden. Was den Haftungsdruck auslöst, ist erfahrungsgemäß die über Jahre dokumentierte Risikoignoranz, weniger das einzelne Ereignis.

Die NIS2-Richtlinie (Network and Information Security 2) verschärft die Lage zusätzlich: Cybersicherheit ist seit der nationalen Umsetzung ausdrücklich Top-Management-Verantwortung. Für besonders wichtige Einrichtungen drohen Bußgelder von mindestens 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wie sich Cloud-Souveränität inzwischen sogar messbar prüfen lässt, haben wir hier eingeordnet: „BSI macht Cloud-Souveränität messbar – was die neuen C3A-Kriterien für Unternehmen bedeuten“.

Was Abhängigkeit kostet – und was der Wechsel spart

Das Whitepaper macht das Risiko rechenbar. Ein Expected-Loss-Modell (erwarteter Verlust = Eintrittswahrscheinlichkeit × Schadenshöhe) für ein mittelständisches Unternehmen in einer regulierten Branche addiert sich über drei Jahre auf rund 660.000 Euro: aus Drittstaaten-Datenzugriff, Sanktions- und Dienstsperrenrisiko, Lizenzeskalation und möglichen DSGVO-Bußgeldern bei Drittstaatentransfers. Reputationsschäden, steigende D&O-Prämien und erhöhte Aufsichtsprüfungen sind dabei noch gar nicht eingerechnet.

Dem steht eine überraschend nüchterne Kostenseite gegenüber. Im 3-Jahres-Vergleich liegt der SecureCloud-Stack inklusive einmaliger Migration zwischen 31 Prozent (bei 50 Nutzern) und 37 Prozent (bei 300 Nutzern) unter einer vergleichbaren Premium-Suite am Hyperscaler-Markt. Sicherheits- und Compliance-Funktionen, die dort häufig als kostenpflichtige Add-ons gebucht werden, sind hier standardmäßig enthalten. Damit wird der Wechsel auf eine europäische Cloud neben dem Souveränitätsgewinn zunehmend auch wirtschaftlich zum rationalen Schritt.

Es war noch nie so einfach: Der 30-Tage-Wechselplan

Moderne API-basierte Übernahmen, strukturierte Rechteübertragungen und paralleler Betrieb machen den Umstieg planbar. Das Whitepaper beschreibt ihn in vier Phasen plus Starttag:

Tag 0 – Start. Projektkanal aufsetzen, externe Kommunikationsräume definieren, Projektvereinbarung digital signieren, das Bestandssystem vollständig sichern. Der Wechsel ist ab dem ersten Tag ein strukturierter Prozess.

Phase 1 (Tag 1–7) – Analyse und Risikoassessment. Bestandsaufnahme der Systemlandschaft, Datenvolumina, Schutzbedarfe, geschäftskritische Prozesse. Ergebnis: eine belastbare Entscheidungsgrundlage im Sinne der Business Judgement Rule.

Phase 2 (Tag 8–14) – Pilotmigration. Ein definierter Bereich wird vollständig migriert, reale Zugriffsszenarien werden simuliert, Fehler im kontrollierten Umfeld identifiziert.

Phase 3 (Tag 15–21) – Vollmigration. Automatisierte Übernahme großer Datenvolumina bei parallelem Betrieb alter und neuer Systeme, mit Integritäts- und Hash-Validierung. Der laufende Geschäftsbetrieb bleibt stabil.

Phase 4 (Tag 22–30) – Go-Live. Produktivsetzung, Schulungen, dedizierter Support, Monitoring, Backup-Validierung und ein Abschlussbericht für Vorstand und Compliance.

Souveräne Infrastruktur als Grundlage – SecureCloud unterstützt den Wechsel aktiv

SecureCloud betreibt seine Plattform zu 100 Prozent in Deutschland auf eigener Hardware bei der noris network AG, BSI C5 und ISO 27001 zertifiziert, ohne US-Mutterkonzern und ohne Drittstaatenzugriff. SecureShare, SecureWork, SecureSign und SecureMail sind genau für die Anwendungsfälle ausgelegt, die mit souveräner Infrastruktur, offenen Standards und dokumentierter Exit-Fähigkeit jetzt zum unternehmerischen Standard werden: Kanzleien, Steuerberatungen, Kliniken, Banken und Finanzdienstleister, Behörden und Industrie.

Dass Bundestag, Schleswig-Holstein, Dänemark, der Internationale Strafgerichtshof und die Bundeswehr diesen Weg eingeschlagen haben, ist für uns die längst überfällige Bestätigung, dass Datenhoheit unternehmerische Grundsorgfalt ist. Der Maßstab, der heute für Behörden und kritische Infrastrukturen gilt, wird in den nächsten Quartalen unweigerlich auf den gesamten regulierten Mittelstand ausstrahlen.

Fazit: Jetzt handeln statt reagieren

Extraterritoriale Zugriffsgesetze bestehen fort, geopolitische Unsicherheiten nehmen zu, Lizenzkosten steigen, regulatorische Anforderungen werden strenger. Gleichzeitig war der Handlungsspielraum nie größer: Noch nie war ein strukturierter Wechsel technisch so planbar, juristisch so begründbar und wirtschaftlich so nachvollziehbar wie heute. Gartner erwartet, dass Europa 2027 erstmals mehr in souveräne Cloud-Infrastruktur investiert als Nordamerika – ein Anstieg von 6,9 auf 23,1 Milliarden US-Dollar. Dass auch Deutschland beim Aufbau ernst macht, zeigen der „Deutschland-Stack und C3A“.

Für Unternehmen mit sensiblen Daten gehört das Thema klar in die Kategorie Risikomanagement. Souveränität entsteht durch Handeln – und wer heute anfängt, ist in 30 Tagen unabhängig.

Das vollständige Whitepaper „Souverän in 30 Tagen“ – mit juristischer Einordnung, Expected-Loss-Modell, 3-Jahres-Kostenvergleich und detailliertem Migrationsfahrplan – gibt es hier kostenlos zum Download: 

 

 

Interessiert Sie die souveräne Cloud?

Hier geht's zur kostenlosen Testphase

Picture of Sebastian Deck

Sebastian Deck

Sebastian Deck ist Chief Marketing Officer (CMO) von SecureCloud und verantwortet Markenstrategie, Kommunikation und Marketing. Er verfügt über langjährige Erfahrung im Aufbau und in der Führung internationaler Marketingteams in Beratungs-, FinTech- und Technologieunternehmen. Bei SecureCloud verantwortet er die Markenpositionierung, Thought Leadership sowie die Lead-Generierung und steuert Go-to-Market-Initiativen und Kampagnen, um SecureCloud als führenden Anbieter für Cyber-Security und sichere Cloud-Lösungen zu positionieren.

Verwandte Artikel

KI trifft...
In eigener Sache

KI trifft Cloud-Speicher: SecureCloud launcht MCP-Server für nahtlose KI-Integration

Der SecureCloud MCP-Server verbindet KI-Assistenten mit dem Dateispeicher – sprachliche Dateiverwaltung, 1:1-Berechtigungen, Audit....

In eigener Sache

SecureCloud ist „Service Champion 2026“

„Service Champion 2026“: SecureCloud erhält Auszeichnung auf Basis einer datengestützten Analyse von Weiterempfehlungen, Web-Auftritt...

Sichere Cloud jetzt...
In eigener Sache

Sichere Cloud jetzt auch für die Hosentasche: Die SecureCloud-App für iOS ist da

Die neue SecureCloud-App für iPhone und iPad: Dateien verwalten, Dokumente scannen, offline arbeiten – DSGVO-konform und mit...