„Souveräne Cloud“. Zwei Wörter, die man in Ausschüssen mit ernster Miene ausspricht, die aber nichts bedeuten, solange man sie nicht näher betrachtet. Die meisten Führungskräfte, die sie verwenden, glauben, sie würden eine Flaggenfarbe kaufen. Sie kaufen einen Vertrag, der einem Recht unterliegt und von jemandem betrieben wird. Der Rest ist nur Augenwischerei.
Lassen wir die Worte für sich sprechen. Ohne jemandem Vorwürfe zu machen und ohne großes Theater.
Was das Wort in erster Linie bezeichnet
Das Wort „Cloud“ stammt nicht aus einer poetischen Metapher. Es geht auf eine Zeichnung zurück. Seit den 1970er- und 1980er-Jahren stellen Netzwerkingenieure den Teil der Infrastruktur, den sie nicht kontrollieren, durch eine kleine Wolke dar: zunächst das Weitverkehrsnetz des Telekommunikationsbetreibers, das WAN, später dann das gesamte Internet. Eine grafische Konvention, nichts weiter. Was Sie beherrschen, zeichnen Sie als Kästchen und Kabel. Was Sie nicht beherrschen, zeichnen Sie als Wolke. Der Begriff hat sich vom Schema auf den Markt verlagert, doch die ursprüngliche Idee bleibt zutreffend: Die Cloud ist der Teil der IT, der sich Ihrer direkten Kontrolle entzieht.
Daraus ergibt sich eine Reihe von Vorurteilen, die es zu widerlegen gilt. iCloud ist kein Cloud-Computing: Es handelt sich um einen Dienst zur Dateisynchronisation zwischen Apple-Geräten. Google Drive ebenfalls nicht: Es ist Online-Speicher. „Alles, was sich nicht in unseren Rechenzentren befindet“, ist keine Definition. „In Frankreich gehostet“ ebenfalls nicht. Diese Vereinfachungen verwechseln eine Nutzung durch die breite Öffentlichkeit oder einen Standort mit einem bestimmten Bereitstellungsmodell.
Dieses Modell wurde 2011 vom NIST in der Veröffentlichung SP 800-145 festgelegt und dient seitdem weltweit als Referenz. Fünf kumulative Kriterien definieren Cloud Computing: Self-Service auf Abruf (der Kunde stellt seine Ressourcen selbst bereit, ohne menschliches Eingreifen des Anbieters), Breitband-Netzwerkzugang (die Ressourcen sind über das Netzwerk mittels Standardmechanismen verfügbar), die gemeinsame Nutzung von Ressourcen (derselbe physische Bestand dient mehreren Kunden, die den genauen Speicherort ihrer Daten nicht kennen), schnelle Skalierbarkeit (die Kapazität lässt sich nahezu in Echtzeit erhöhen oder verringern) und die nutzungsabhängige Abrechnung (die Nutzung wird gemessen und nach Verbrauch abgerechnet). Ein Dienst, der diese fünf Kriterien nicht erfüllt, ist streng genommen keine Cloud: Es handelt sich um dediziertes Hosting oder Outsourcing.
Deloitte fasst den Wandel mit einem Satz zusammen: Die Cloud ist die Umwandlung der IT in eine öffentliche Dienstleistung nach dem Vorbild der Stromversorgung. Sie erzeugen Ihren Strom nicht selbst, sondern beziehen ihn aus dem Netz und bezahlen den vom Zähler erfassten Verbrauch. Die Cloud wendet diese Logik auf Rechenleistung und Speicherung an. Es ist sinnvoll, diese Perspektive im Hinterkopf zu behalten: Was Sie erwerben, ist keine Maschine, sondern ein Anschluss.
Eine Cloud ist kein Ort, sondern ein Vertrag
Man stellt sich die Cloud als einen Ort vor, als eine Wolke, irgendwo da oben. Sie ist das Gegenteil eines Ortes. Von bedarfsweise gemieteter Rechenkapazität, die nach Nutzung abgerechnet und von einem Dritten verwaltet wird. Drei Ebenen, von der rohesten bis zur fertigsten. Die Infrastruktur (IaaS): Sie mieten Rechner und Speicherplatz. Die Plattform (PaaS): Sie mieten die Mittel, um Ihre Anwendungen auszuführen, ohne sich um die Server kümmern zu müssen. Die Software (SaaS): Sie mieten die fertige Anwendung, Ihr E-Mail-System, Ihr CRM.
Auf jeder Ebene delegieren Sie mehr. Auf jeder Ebene hat jemand anderes die Schlüssel zu Ihren Daten. Die entscheidende Frage lautet nicht „Wo befinden sich meine Daten?“, sondern „Wer hat Zugriff darauf und auf welcher Rechtsgrundlage?“.
Was sich hinter dem Begriff „Cloud“ verbirgt, wenn von OVH und AWS die Rede ist
Die Übersicht von Deloitte bietet einen einfachen Anhaltspunkt. Cloud-Dienste zu erwerben bedeutet nicht, eine Maschine zu kaufen, sondern einen Anschluss zu erwerben. Sie besitzen das Kraftwerk nicht, sondern schließen einen Stecker an und beziehen den Strom, den Sie benötigen. Die Rechnung richtet sich nach dem Zählerstand: Sie zahlen genau den Betrag, den Ihr Verbrauch ergibt – nicht mehr und nicht weniger. Die wichtige Frage stellt sich unmittelbar danach: Erfüllt alles, was der Markt unter dem Begriff „Cloud“ zusammenfasst, tatsächlich alle fünf Kriterien der NIST-Definition, oder handelt es sich manchmal um etwas anderes, das man umbenannt hat, um dem Trend zu folgen?
AWS beantwortet diese Frage auf die klarste Weise. Der 2006 gestartete Dienst hat eine globale Infrastruktur aufgebaut, die alle fünf Kriterien Punkt für Punkt erfüllt. Vollständiger Self-Service: eine Konsole, APIs, Terraform – Sie stellen Ressourcen bereit, ohne mit jemandem sprechen zu müssen. Universeller Netzwerkzugang: Die Ressource kann von jedem verbundenen Endgerät aus genutzt werden. Globale Ressourcenbündelung: Dutzende von Regionen, Millionen von Kunden auf einer gemeinsamen Plattform. Elastizität im Millisekundenbereich: Sie können die Auslastung ohne Vorankündigung erhöhen oder verringern. Abrechnung im Sekundentakt: Der Zähler erfasst jede Sekunde, jede Anfrage und jedes übertragene Gigabyte. Auf dieser Basis verwandeln Hunderte von Managed Services, die alle miteinander kompatibel sind, die IT in eine Dienstleistung, die so transparent ist wie der Strom aus dem Netz. Dies ist die groß angelegte Umsetzung des Deloitte-Modells.
OVH, das 2021 zu OVHcloud wurde, erzählt eine andere Geschichte. Das Unternehmen wurde 1999 als Anbieter von dedizierten Servern gegründet und wuchs durch den Verkauf von Rechenleistung zum besten Marktpreis. Das Modell funktioniert mit dedizierten Servern, Shared Hosting und VPS: Man mietet eine Maschine oder einen Teil davon, behält sie und zahlt eine monatliche Miete. Als der Markt zum Modell der elastischen Anbindung überging, fügte das Unternehmen dem bestehenden Katalog einfach den Begriff „Cloud“ hinzu.
Ein Teil dieses Katalogs erfüllt jedoch nicht alle fünf Kriterien. Ein dedizierter Server ist nicht elastisch: Es handelt sich um eine feste Maschine, die monatlich gemietet wird, nicht um eine Ressource, die sich je nach Bedarf vergrößert oder verkleinert. Bestimmte VPS werden nicht nach Echtzeit-Nutzung abgerechnet, sondern pauschal. Bestimmte Dienste bieten nicht den vollständigen Self-Service, der das Modell ausmacht. Dies ist kein Werturteil, sondern die NIST-Definition, die Zeile für Zeile angewendet wird. Ein Großteil dieser Angebote fällt unter das Hosting, nicht unter die Cloud im engeren Sinne.
Die Umbenennung in OVHcloud spiegelt dies aus kommerzieller Sicht wider: Man fügt das Wort „Cloud“ einem heterogenen Angebot hinzu, um im aktuellen Diskurs zu bleiben. OVH bleibt ein wichtiger Akteur auf dem Markt für kostengünstiges Hosting in großem Maßstab, und dieser Markt hat seine eigene Berechtigung. Doch die Vermischung dieses Hosting-Angebots mit der industrialisierten Cloud verzerrt die Sichtweise, da dadurch zwei Produkte auf eine Stufe gestellt werden, die nicht nach derselben Logik funktionieren.
Dieser Unterschied ist keineswegs zufällig: Er spiegelt zwei industrielle Kontexte wider, die nicht über dieselben Ressourcen verfügten. AWS entsteht in einem Land mit 330 Millionen Einwohnern, auf einem homogenen Binnenmarkt, auf dem ein einmal bereitgestelltes Angebot von Anfang an einen riesigen Kundenstamm anspricht. Risikokapital fließt dort in unbegrenztem Umfang und ist bereit, jahrelange Verluste zu finanzieren, um eine weltweite Infrastruktur aufzubauen. Und der Bund fungiert als wichtigster Referenzkunde – von Verträgen mit dem Pentagon bis hin zu denen mit der CIA –, was einen riesigen Absatzmarkt und eine Garantie für Glaubwürdigkeit gewährleistet. OVH wächst in einem Umfeld heran, in dem keine dieser drei Voraussetzungen gegeben ist: ein nach Sprachen und nationalen Rechtsordnungen fragmentierter Markt, knappes und zurückhaltendes Risikokapital sowie öffentliche Aufträge, die nicht von selbst an einen aufstrebenden lokalen Akteur vergeben werden. Es ist keine Frage von Talent oder Ehrgeiz, sondern eine Frage struktureller Mittel. Man baut nicht dasselbe mit denselben Händen, wenn der Boden unter den Füßen nicht derselbe ist.
Diese Ungleichheit bei den Ausgangsbedingungen ist selbst ein Aspekt der digitalen Souveränität – und der am häufigsten vergessene. Wenn in Frankreich oder Europa von einer souveränen Cloud die Rede ist, werden die verfügbaren Optionen durch das begrenzt, was dieser industrielle Kontext bisher ermöglicht hat. Ein Land, das über keinen eigenen Hyperscaler verfügt, kann nicht dieselbe Diskussion über Souveränität führen wie ein Land, das einen solchen besitzt: Ihm fehlt der Grundbaustein. Aus diesem Grund führt der Vergleich zwischen OVH und AWS, um daraus Schlussfolgerungen zur Souveränität zu ziehen, zu verzerrten Überlegungen. Die beiden Akteure wachsen nicht auf demselben Boden. Die Fragen der Abhängigkeit, der Portabilität und des anwendbaren Rechts stellen sich nicht in derselben Weise, je nachdem, ob man einen Hosting-Anbieter betrachtet, der aus budgetären Zwängen heraus entstanden ist, oder ein industrielles Versorgungsunternehmen, das aus einem Machtprojekt hervorgegangen ist und sich auf Kapital, einen Markt und einen Staat stützt, die dies gewollt haben.
Die Folge wird deutlich, sobald man einen Vergleich anstellt. Wenn man OVH und AWS unter dem Gesichtspunkt der „Cloud-Souveränität“ gegenüberstellt, vergleicht man oft zwei unterschiedliche Dinge. Die Fragen der Reversibilität, der Abhängigkeit und des anwendbaren Rechts stellen sich nicht in derselben Weise, je nachdem, ob man einen dedizierten Server mietet oder einen elastischen Anschluss abonniert. Bei einem dedizierten Server hängt die Reversibilität vor allem von der Portabilität Ihrer Daten und Ihrer Konfiguration ab. Bei einer elastischen Verbindung hängt sie davon ab, inwieweit Sie auf proprietäre Managed Services angewiesen sind, was ein ganz anderes Problem darstellt.
Man muss zunächst wissen, wovon man spricht, bevor man die Frage stellt. Die korrekte Bezeichnung des Gegenstands – Hosting oder Cloud – ist kein rein lexikalisches Detail: Sie ist die Voraussetzung dafür, die richtige Frage nach der Souveränität zu stellen, nämlich jene, die dem Produkt entspricht, das man tatsächlich in den Händen hält.
Die eigentliche Frage ist nicht die Flagge, sondern das Gesetz
Das ist der Punkt, den das Marketing umgeht. Ein Dienst kann eine französische Flagge zeigen, Server in Frankreich haben, ein Team in Paris beschäftigen und dennoch dem Recht eines anderen Landes unterliegen. Der 2018 verabschiedete US-amerikanische CLOUD Act ermächtigt die US-Behörden, Daten von einem Unternehmen zu verlangen, das ihrer Gerichtsbarkeit unterliegt, unabhängig davon, wo diese Daten physisch gespeichert sind. Der Standort bietet keinen Schutz. Die rechtliche Zugehörigkeit des Betreibers hingegen schon.
Eine souveräne Cloud im eigentlichen Sinne ist ein Dienst, auf den kein ausländisches Recht Zugriff hat. Kein Logo. Eine Eigenschaft, die sich überprüfen lässt: Welchem Recht unterliegt der Betreiber, wer kann ihn zwingen, und was geschieht an dem Tag, an dem ihm der Zugang gesperrt wird?
Das einzige verlässliche Kriterium
In Frankreich gilt nur ein einziger Maßstab. Die von der ANSSI erteilte SecNumCloud-Zertifizierung. Die CNIL sagt es ganz offen: Dies ist bislang das einzige Kriterium, das sie anerkennt, um eine Cloud als souverän zu bezeichnen, da es genau auf die Unangreifbarkeit gegenüber extraterritorialen Gesetzen abzielt. Eine Qualifizierung, keine Zertifizierung: ein Sicherheitsgütesiegel, das sich auf die staatliche Doktrin „Cloud im Zentrum“ stützt und anschließend auf das SREN-Gesetz, dessen Artikel 31 vorschreibt, dass staatliche Cloud-Projekte über einen Dienst verfügen müssen, der gegen diese Gesetze immun ist.
Die Qualifizierung bleibt das von der CNIL anerkannte Kriterium, doch sie allein garantiert noch keine Souveränität: Sie ist die notwendige, aber nicht die hinreichende Voraussetzung dafür. Dafür gibt es zwei Gründe. Erstens deckt der qualifizierte Umfang möglicherweise nicht alle tatsächlich genutzten Dienste ab: Ein Angebot kann auf der Infrastrukturebene (IaaS) qualifiziert sein, ohne dies auf der Plattformebene (PaaS) zu sein, und eine Organisation, die beide nutzt, deckt somit nur einen Teil ihrer Nutzung ab. Zweitens sagt die Zertifizierung weder etwas über die operative Qualität im Tagesgeschäft noch über die tatsächliche Rückverlagerbarkeit aus, die sich erst bei einem tatsächlichen Ausstieg überprüfen lässt. AWS verfügt über eine Infrastruktur in Frankreich, deren Standardangebot bislang keine SecNumCloud-Zertifizierung aufweist: ein Beweis dafür, dass der Standort allein nicht ausreicht und dass die Zertifizierung genau das ist, was die physische Präsenz auf dem Staatsgebiet niemals garantiert.
Das Ökosystem nimmt rasch Gestalt an und entwickelt sich auf überraschende Weise weiter. „Bleu“, ein von Capgemini und Orange getragenes Projekt, strebt die Qualifizierung an, indem es Microsoft-Azure-Technologien einbindet, die von der globalen Infrastruktur des Konzerns isoliert sind. S3NS, ein Joint Venture von Thales und Google, erhielt seine Zertifizierung im Dezember 2025 als erstes Unternehmen, das Infrastruktur und Plattform aus einer Hand abdeckt. Angebote, die auf der Technologie der Giganten basieren, die man eigentlich vermeiden wollte, wurden angepasst, um den gesetzlichen Anforderungen zu entsprechen. Die Realität ist verschlungener als die öffentlichen Debatten. Im März 2026 veröffentlichten die ANSSI und ihr deutsches Pendant gemeinsame Souveränitätskriterien – ein Zeichen dafür, dass die europäische Ebene nach Jahren der Blockade beim EUCS-Konzept endlich nach einer gemeinsamen Grundlage sucht.
Strukturell folgen S3NS und Bleu demselben Modell. Es handelt sich um Joint Ventures zwischen einem französischen Akteur und einem amerikanischen Hyperscaler: Capgemini und Orange auf der einen Seite sowie Microsoft Azure auf der anderen Seite bei Bleu, Thales auf der einen Seite sowie Google Cloud auf der anderen Seite bei S3NS. Ihre Aufgabe lässt sich in einem Satz zusammenfassen: den Betrieb einer isolierten und nach SecNumCloud zertifizierten Instanz des Stacks ihres amerikanischen Partners. Die Hülle ist französisch, der Umfang ist abgeschottet, doch der Code, die Algorithmen und die Dienste stammen weiterhin von Microsoft und Google.
Daraus ergibt sich der zentrale Konflikt. Die Erfüllung der SecNumCloud-Anforderungen löst das rechtliche Problem: Die Daten verlassen den zertifizierten Bereich nicht, und es gilt französisches Recht ohne Einmischung ausländischer Rechtsvorschriften. Die technologische und industrielle Abhängigkeit bleibt jedoch vollständig bestehen. Sollte Microsoft oder Google die zugrunde liegende Technologie einstellen, die Partnerschaft beenden oder seine Bedingungen ändern, schützt die rechtliche Souveränität die Betriebskontinuität nicht. Dies ist kein Konstruktionsfehler dieser Angebote: Es handelt sich um einen strukturellen Spannungszustand zwischen zwei Auslegungen des Begriffs „Souveränität“, die man leicht verwechselt.
Die Frage, die sich für Führungskräfte stellt, lässt sich somit präzise formulieren. Die rechtliche und regulatorische Souveränität – SecNumCloud und Unempfindlichkeit gegenüber extraterritorialen Gesetzen – deckt eine sehr reale Risikokategorie ab. Die industrielle Souveränität – die Beherrschung des Technologie-Stacks und die Möglichkeit, den Anbieter zu wechseln, ohne alles neu schreiben zu müssen – deckt eine andere, ebenso reale Kategorie ab. Beide sind nicht gegenseitig austauschbar. Ein SecNumCloud-Vertrag verringert das rechtliche Risiko: Er garantiert weder Reversibilität noch technologische Unabhängigkeit. Zu wissen, welche der beiden man erwirbt und welche noch aufgebaut werden muss – das ist die Entscheidung.
Wie man heute darauf reagiert
Der Geschäftsführer muss weder Jurist noch Ingenieur werden. Er muss vier Fragen stellen und schriftliche Antworten einfordern. Welchem Recht unterliegt der Vertrag? Welche Daten werden weitergegeben und wohin? Ist der Dienst qualifiziert, und für welchen genauen Umfang? Was passiert, wenn der Anbieter verschwindet oder der Zugang gesperrt wird – das nennt man Reversibilität.
Souveränität ist weder die Farbe eines Logos noch die Nationalität eines Aktionärs. Es handelt sich um ein Bündel von Eigenschaften, die Zeile für Zeile überprüft werden. Solange von Flaggen die Rede ist, geht es um Kommunikation. An dem Tag, an dem von anwendbarem Recht, Qualifizierung und Reversibilität die Rede ist, spricht man endlich über das eigentliche Thema.
Quellen
- ANSSI, SecNumCloud-Zertifizierung und Leitlinie „Cloud im Mittelpunkt“, cyber.gouv.fr
- CNIL, Interview zur souveränen Cloud, Le Journal des Entreprises, Mai 2026
- Observatoire SecNumCloud, CyberTaskForce, Dezember 2025
- OVHcloud, Rückblick und Ergebnisse des Geschäftsjahres 2025
- CLOUD Act (USA, 2018); SREN-Gesetz, Artikel 31