Die Gestaltung des Cloudmarkts gilt als zentrale Stellschraube digitaler Souveränität. Gewachsene Abhängigkeiten und begrenzter Wettbewerb erschweren es Unternehmen und Behörden, ihre Cloudinfrastrukturen nach realen Anforderungen auszurichten. Die Folgen sind: steigende Kosten, gebremste Innovationsprozesse und unsichere IT-Strukturen.
Beim ersten Roundtable des Online-Magazins CyberSecurityQuarterly begrüßte Herausgeber und Moderator Prof. Dr. Thomas Wegerich als Experten Dr. Carolin Kemper, Postdoctoral Researcher „Technology and Regulation“ beim Hasso-Plattner-Institut in Potsdam, Prof. Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht und Berater der Bundesregierung sowie Research Director des cyberintelligence.institute, Dr. Hauke Hansen, Fachanwalt für Informationstechnologierecht sowie Urheber- und Medienrecht und Partner bei FPS, sowie Maximilian Sachse, Wirtschaftsredakteur der Frankfurter Allgemeinen Zeitung. Gemeinsam mit Vertretern aus Behörden und Unternehmen mit Schwerpunkt auf Digitalisierung, IT-Infrastruktur, Wettbewerb und digitaler Sicherheit diskutierten sie am 21.05.2026 im F.A.Z. Tower darüber, wo aus politischer, wirtschaftlicher und wettbewerbsrechtlicher Sicht derzeit besonderer Handlungsbedarf besteht (siehe hierzu auch den Beitrag von Kipker/Kemper).
Kriterien für IT-Sicherheit und digitale Souveränität
In der ersten Keynote erläuterte Dr. Carolin Kemper, welche technischen und organisatorischen Anforderungen eine sichere, resiliente und souveräne Cloudinfrastruktur erfüllen muss. Im Zentrum stand das Zusammenspiel von IT-Sicherheit, Personal- und Notfallplanung als Kernelemente eines übergreifenden Risikomanagements. Kemper analysierte den risikobasierten Regulierungsansatz, der in der europäischen Gesetzgebung, z.B. NIS2-Richtlinie und Cyber Resilience Act (CRA), angelegt ist. Sie hob hervor, dass dieser Ansatz das Compliancerisiko systematisch auf die Cloudanbieter überträgt, was Anbieter zu proaktivem Sicherheitsmanagement verpflichte. Große Unternehmen mit mächtigen Rechtsabteilungen, gutem Behördenzugang und großer Bußgeldtoleranz könnten diese regulatorische Unbestimmtheit einfacher absorbieren als KMUs.
Kemper plädierte dafür, digitale Souveränität als konkreten strukturellen Standortfaktor zu verstehen, der offene Standards, Interoperabilität und die Möglichkeit zum Anbieterwechsel einschließe. Als regulatorisches Referenzdokument verwies sie auf die Publikation des Bundesamts für Sicherheit in der Informationstechnik (BSI) „Criteria enabling Cloud Computing Autonomy“ (C3A), die konkrete Kriterien für souveräne Cloudnutzung im behördlichen und unternehmerischen Kontext formuliert. Bei der Anbieterauswahl empfahl sie, auf offene Standards zu setzen und systematische Abhängigkeiten zu vermeiden, die etwa durch Lock-in-Preisstrategien entstehen. So schließen z.B. vermeintlich attraktive Abomodelle die Nutzung alternativer Dienste aus oder schränken Wechselmöglichkeiten durch langfristige Vertragsbindung und technische Rahmenbedingungen ein. Digitale Souveränität bedeute, „selbstbestimmt zu handeln und die Hoheit über die eigenen Prozesse und Systeme zu haben“, unterstrich Kemper. Daten auf deutschen oder europäischen Servern zu lagern reiche dafür nicht aus.
Marktbezogene Barrieren und kartellrechtliche Herausforderungen
Die zweite Keynote eröffnete Prof. Dr. Dennis-Kenji Kipker mit der These, dass Cloudpolitik „keine Spezialfrage der IT“ sei, sondern darüber entscheide, „ob Europa digitale Wertschöpfung, Sicherheit und Innovationsfähigkeit selbst gestalten kann – oder ob zentrale Zukunftsmärkte dauerhaft von wenigen Plattformen vorstrukturiert werden“. Die Frage, an welchem Ort Daten gespeichert werden, trete dabei in den Hintergrund. Wichtiger sei, wie die gesamte digitale Wertschöpfung organisiert werde, auch im Hinblick auf künstliche Intelligenz und Cybersecurity. Der Cloudmarkt sei heute ein Systemmarkt, in dem sich Marktanteile und Skalenvorteile bei wenigen großen Anbietern konzentrieren.
Trotz des dynamischen Wachstums im Cloudsegment betrachtet Kipker dies als strukturelles Problem für den europäischen Wettbewerb. Das bereits von Kemper beschriebene Phänomen des „Lock-in“, bei dem Nutzer von einem Anbieter abhängig sind und Alternativen nur mit erheblichem Aufwand eingesetzt werden können, entstehe nicht allein durch technische Hürden. Das Zusammenspiel von Daten, Lizenzen, Produktbündeln, proprietären Schnittstellen und eingefahrenen Gewohnheiten erhöhe Kosten, verenge die Auswahl und schwäche alternative Anbieter systematisch. Das Kartellrecht müsse den Cloudmarkt durch Interoperabilität, Portabilität und faire Lizenzpraktiken offenhalten, um echten Wettbewerb zu ermöglichen.
Für die öffentliche Verwaltung betonte Kipker, dass digitale Souveränität mit unabhängiger Beschaffung, Exitfähigkeit und überprüfbaren Anforderungen an bestehende Abhängigkeiten beginne. Für KMUs entscheide sich Cloudfreiheit an konkreten Vertragsbedingungen, realen Migrationskosten und der Frage, ob Innovation ohne Plattformzwang möglich bleibt.
Ein offener Cloudmarkt sei die eigentliche Infrastrukturfrage hinter KI, Datenräumen, Forschung, Industrie 4.0 und Cybersecurity. Die aktuellen Weichenstellungen hätten daher Konsequenzen für die gesamte Digitalisierung Europas.
Podiumsdiskussion: Wege zu einem offenen und fairen Cloudmarkt
Die anschließende Podiumsdiskussion, an der neben Kemper und Kipker auch Hansen und Sachse ihre Positionen einbrachten, vertiefte die aufgeworfenen Fragen mit Blick auf vier Zielbereiche: Wettbewerb und Marktstrukturen, öffentliche Hand und digitale Souveränität, Wirtschaft und Wachstum sowie Europas digitale Zukunft.
DMA und Geopolitik: Regulierung unter Druck
Bei den von der EU-Kommission durchgeführten Marktuntersuchungen zu der Frage, ob Amazon Web Services (AWS) und Microsoft Azure als Gatekeeper im Sinne des Digital Markets Act (DMA) einzustufen seien, zeigte sich Hansen gespalten. Die Grundidee des DMA, proaktiv zu regulieren statt nachträglich zu reagieren, sei richtig. Zugleich stoße die Kommission auf die geopolitische Realität, dass US-Präsident Trump Druck über Zölle ausübt und die Amerikaner nun mit am Regulierungstisch sitzen. Kipker warnte davor, die Debatte auf USA versus Europa zu verengen. Es gehe darum, Abhängigkeiten und Risiken zu erkennen und resiliente Strukturen aufzubauen. Kemper ergänzte um eine rechtswissenschaftliche Einschränkung: Der DMA definiert Gatekeeper als Gateway zwischen Business-Usern und End-Usern. Das Konzept passt für klassische Plattformen wie den Amazon Marketplace, greift bei Cloudinfrastruktur aber nicht vollständig, weil Cloud primär Ressourcen bereitstellt. Für Clouddienste gibt es im DMA daher zwar allgemeine, aber keine spezifischen Pflichten. Interoperabilität und Datenportabilität für Cloud sind eher im Data Act geregelt.
Souveränität im Alltag: Praxisdilemma und Alternativen
Sachse betonte, dass europäische Cloudanbieter technisch durchaus konkurrenzfähig seien, aber an Funktions- und Toolvielfalt nicht mit AWS oder Azure mithalten könnten. Kipker forderte daher ein Register souveräner Alternativprodukte, um KMUs und Kommunen auf verfügbare Alternativen hinzuweisen, denn der Alltagsdruck lasse keine Zeit für eigene Marktrecherche.
Viele Mandanten im Mittelstand hätten laut Hansen weder Zeit noch Ressourcen, sich mit der Frage der digitalen Souveränität zu befassen. Ein geschlossenes Ökosystem wie Microsoft sei für sie vor allem bequem und verlässlich. Selbst wenn der Wille zur Veränderung vorhanden sei, komme man aufgrund der Trägheit der Beschaffungsstrukturen nicht ohne Weiteres aus eingefahrenen Routinen heraus. IT-Migrationsprojekte gelten als Risiko ohne politischen Gewinn: Im besten Fall geht nichts schief.
Sachse plädierte dafür, dass der Staat als Ankerkunde Vertrauen in Alternativen schaffen könne. Wenn eine Behörde erfolgreich auf eine europäische Lösung umstellt, strahle das in den Privatmarkt aus. Als Positivbeispiel wurde Schleswig-Holstein mehrfach genannt, das einen weitgehend erfolgreichen Open-Source-Umstieg vollzogen hat, auch weil Microsoft dort über keine Lobbydruckmittel verfügt, weder Rechenzentren noch Standorte. Anders verlief es in München: Nach einem zunächst erfolgversprechenden Linux-Projekt kehrte die Stadt vollständig ins Microsoft-Ökosystem zurück. In der Open-Source-Community ist dieser Vorgang bis heute nicht abschließend erklärt; Kipker führt ihn auf Lobbyarbeit und Investitionsdruck zurück. Kemper brachte einen pragmatischen Ansatz ein: Man müsse bei bestehenden Hyperscalern auf offenen Standards bestehen, so dass eine Migration zu einem anderen Anbieter prinzipiell möglich bleibt.
Sanktionen, Souveränität und das Scheitern von GAIA-X
Ob Regulierung mit Bußgeldern der richtige Hebel sei, um Unternehmen zur Souveränität zu bewegen, blieb in der Diskussion offen. Hansen verwies auf die Wirkung persönlicher Haftung: So wie die Datenschutz-Grundverordnung (DSGVO) nach 2018 plötzlich Chefsache wurde, könnten Sanktionen auch hier Bewegung erzeugen. In wirtschaftlich schwierigen Zeiten sei das politisch allerdings heikel, weil es als Überregulierung wahrgenommen werde.
Kemper differenzierte: Für IT-Sicherheit und Datenschutz sei ein Regulierungseingriff als grundrechtlich fundiertes Ziel gut begründbar. Bei digitaler Souveränität als politischem Konstrukt sei das weniger klar. Sinnvoller sei es, faire Marktbedingungen bei den Cloudanbietern selbst durchzusetzen. Kipker ergänzte, dass die NIS2-Umsetzung zeige, wie Sanktionsdrohungen allein nicht reichen: Von den rund 30.000 betroffenen Unternehmen hatte sich zum Meldestichtag nur etwa die Hälfte beim BSI registriert, das zudem nicht genug Personal zur Durchsetzung hat.
Warum GAIA-X als „Cloud-Airbus“ gescheitert sei, beantworteten alle Diskutanten ähnlich: Das politisch zusammengestellte Konsortium konnte keine gemeinsame Vision entwickeln. Deutsche und französische Akteure hatten unterschiedliche Vorstellungen, etablierte europäische Cloudanbieter sahen keinen Anreiz, sich selbst Konkurrenz zu machen. Am Ende verlagerte sich das Projekt von einem gemeinsamen Cloud-Provider auf Datenräume und Standardsetzung, mit kaum messbarer Marktdurchdringung. Sachse fragte, ob das europäische „Airbus-Denken“, alles perfekt und groß oder gar nicht, selbst das Problem sei, und plädierte dafür, bestehenden europäischen Anbietern gute Rahmenbedingungen zu geben, statt erneut komplizierte Konsortien zu gründen.
Ausblick: Was die nächsten fünf Jahre entscheiden
Der abschließende Blick in die „Glaskugel“ zeichnete ein deutliches Bild: Digitale Souveränität ist kein Selbstzweck – sie ist die Voraussetzung dafür, dass Europa in einer zunehmend fragmentierten Welt handlungsfähig bleibt. Die Diskutanten waren sich einig, dass Wechselfreiheit keine technische Frage ist, sondern eine Frage der Selbstbestimmung – ob von Azure zu AWS oder zu Nextcloud. Gefordert sind technisch sinnvolle Lösungen, marktwirtschaftlich entwickelte europäische Alternativen ohne politisch erzwungene Konsortien und transparente Beschaffungsmöglichkeiten für alle: öffentliche Hand, Privatwirtschaft und Einzelverbraucher. Damit Cloudsouveränität das wird, was sie sein sollte: eine wirtschaftliche Entscheidung, keine politische Notlösung.
