Ihre Datenhoheit beginnt in der Cloud
Welches Maß an Souveränität braucht Ihr Business für welche Datenströme? Unsere Spezialistinnen zeigen Ihnen, wie Sie Cloud-Souveränität bedarfsgerecht, wirtschaftlich und zukunftssicher umsetzen.
V-Hub by Vodafone BusinessCloud & HostingCloudCloud‑Souveränität mit Augenmaß - Expert:innen zeigen, wie Unternehmen Cloud‑Souveränität, Compliance und Innovation sich strategisch vereinen
Cloud & Hosting
Cloud‑Souveränität mit Augenmaß
Expert:innen zeigen, wie Unternehmen Cloud‑Souveränität, Compliance und Innovation sich strategisch vereinen.
15.05.2026
7 Min.
Geopolitische Spannungen, strengere regulatorische Vorgaben und steigende Anforderungen an Datenschutz und Transparenz: Für viele Unternehmen ist die Cloud längst mehr als nur eine technologische Infrastrukturentscheidung.
Christian Nölgen, Mareike Gehrmann und Sarah Petrut erklären, warum das Thema Sovereign Cloud aktuell so stark an Bedeutung gewinnt, welche juristischen Herausforderungen Unternehmen beachten müssen und wie sich moderne Cloud-Strategien sicher und flexibel gestalten lassen.
Außerdem erfahren Sie in diesem Interview, auf welche weiteren Details es in Puncto Datensouveränität noch ankommt
Das Wichtigste in Kürze
- Cloud-Souveränität wird für Unternehmen zunehmend zum strategischen Thema – insbesondere durch strengere regulatorische Anforderungen, geopolitische Entwicklungen und steigende Anforderungen an Datenschutz und Transparenz.
- Mit Sovereign Clouds können Unternehmen Daten, Zugriffe und Betriebsprozesse besser kontrollieren und so Compliance- und Sicherheitsvorgaben einhalten.
- Neben DSGVO und NIS2 beeinflussen auch internationale Regelungen wie der US CLOUD Act die Cloud-Strategie vieler Unternehmen und erhöhen den Bedarf an souveränen Lösungen.
- In der Praxis verfolgen viele Unternehmen hybride Cloud‑Strategien, bei denen unterschiedliche Cloud‑Modelle – etwa Public Cloud und Sovereign Cloud – je nach Anforderungen kombiniert werden.
- Vodafone unterstützt Unternehmen mit modularen Sovereign-Cloud-Lösungen, hybriden Architekturen sowie Beratungs- und Managed-Services-Angeboten.
Die Expert:innen im Überblick
- Mareike Gehrmann (Partnerin und Fachanwältin für IT-Recht | Taylor Wessing Partnerschaftsgesellschaft mbB): Berät Unternehmen zu KI-Governance, Datenschutz, regulatorischen Anforderungen und digitalen Compliance-Strategien.
- Sarah Petrut (Senior Product Managerin Sovereign Cloud | Vodafone): Entwickelt souveräne Cloud-Strategien für Unternehmen mit hohen Anforderungen an Datenhoheit, Sicherheit und Regulierung.
- Christian Nölgen (Head of Digital Marketing and Products | Vodafone): Treibt bei Vodafone Business Innovationen rund um Cloud, Cyber Security und Software-as-a-Service-Lösungen voran.
Herr Nölgen, warum ist Cloud-Souveränität aktuell eines der zentralen Themen für Unternehmen?
Christian Nölgen: „Cloud-Souveränität ist aktuell ein zentrales Thema, weil geopolitische Spannungen und die Skepsis gegenüber außereuropäischen Hyperscalern zunehmen. Gleichzeitig steigen die Anforderungen an Transparenz, Kontrolle und regulatorische Sicherheit – insbesondere im deutschen Markt. Für viele Unternehmen wird damit klar: Cloud-Entscheidungen sind längst keine rein technologischen Fragen mehr, sondern strategische Weichenstellungen.“
Was genau versteht man unter einer „Sovereign Cloud“ – und woran erkennen Unternehmen, ob eine Cloud wirklich souverän ist?
Christian Nölgen: „Eine Sovereign Cloud steht für einen Ansatz, bei dem Unternehmen gezielt Kontrolle über Daten, Technologie und Betrieb behalten. Entscheidend ist dabei nicht ein starres Modell, sondern die Frage: Wie kritisch sind meine Daten und Anwendungen – und wie viel Souveränität brauche ich dafür? Je nach Einsatzszenario wird dieses Maß an Kontrolle dann gegen Faktoren wie Kosten und Skalierbarkeit abgewogen.“
Was bedeutet Cloud‑Souveränität aus juristischer Sicht, Frau Gehrmann – worauf sollten Unternehmen dabei besonders achten?
Mareike Gehrmann: „Aus juristischer Sicht geht es bei Cloud-Souveränität vor allem um die Fragen: Wer darf auf Daten zugreifen, wo werden sie gespeichert und welche Gesetze gelten? Unternehmen müssen sicherstellen, dass Datenschutzvorgaben eingehalten werden und sensible Informationen ausreichend geschützt sind. Wichtig ist außerdem zu prüfen, ob ausländische Behörden möglicherweise Zugriff auf Daten erhalten können.
Daneben spielen auch Verträge eine große Rolle: Unternehmen sollten wissen, wem die Daten gehören, wie sicher ein Anbieter arbeitet und ob ein Wechsel zu einem anderen Anbieter später möglich ist.“
Es heißt oft, Public Clouds seien per se nicht souverän. Wie würden Sie das aus Produktsicht einordnen – und wo liegen typische Missverständnisse in der Diskussion?
Sarah Petrut: „Klassische und souveräne Cloud-Modelle unterscheiden sich vor allem in ihrem Designfokus. Public Clouds sind auf Skalierung und Standardisierung ausgerichtet und bieten ein hohes Maß an technischer Sicherheit. Gleichzeitig sind Steuerungsmöglichkeiten bei Betriebsprozessen, Zugriffen und Transparenz oft begrenzt. Gerade diese Aspekte sind jedoch für die konkrete Umsetzung von Compliance-Anforderungen entscheidend.
Ein Beispiel: In Public Clouds kann in der Regel festgelegt werden, in welcher Region Daten gespeichert werden. Nicht immer vollständig kontrollierbar ist jedoch, wo sogenannte Metadaten verarbeitet werden – also technische Begleitinformationen wie Zugriffszeiten, Systemlogs oder Konfigurationsdaten. Diese können unter Umständen auch außerhalb der gewünschten Jurisdiktion verarbeitet werden.
Sovereign-Cloud-Modelle setzen genau an dieser Stelle an und erweitern das Standardmodell um zusätzliche Kontroll- und Nachweismechanismen. Sie stellen beispielsweise sicher, dass Zugriffe ausschließlich durch Personal innerhalb definierter Rechtsräume erfolgen und vollständig in Audit-Logs dokumentiert werden. Dadurch wird nicht nur die Einhaltung regulatorischer Anforderungen erleichtert, sondern auch die Nachweisführung gegenüber Aufsichtsbehörden deutlich vereinfacht.“
Danke für das Stichwort „Aufsichtsbehörden“: Welche gesetzlichen und regulatorischen Vorgaben müssen Unternehmen heute bei der Cloud-Nutzung beachten? Und welche Rolle spielt hier etwa die EU?
Mareike Gehrmann: „Auf europäischer Ebene kommt vor allem der DSGVO eine zentrale Bedeutung zu. Sie stellt Anforderungen an die rechtskonforme Verarbeitung personenbezogener Daten, an Transparenz über Datenflüsse sowie an Schutzmaßnahmen. Im Bereich der Cybersicherheit verschärft die NIS2-Richtlinie die Anforderungen an IT-Sicherheit, Governance und den Umgang mit Risiken entlang digitaler Lieferketten und betrifft damit unmittelbar auch die Nutzung von Cloud-Diensten.
Daneben beeinflussen drittstaatliche Gesetze wie der US CLOUD Act oder FISA in den USA die Cloud-Nutzung. Sie ermöglichen unter bestimmten Voraussetzungen Behördenzugriffe auf Daten – selbst dann, wenn diese Daten in Europa gespeichert werden. Dadurch steigt der Bedarf an souveränen Cloud-Lösungen mit klaren Regelungen zu Datenhoheit, Transparenz und Zugriffsschutz.“
Frau Petrut, wie sollten Unternehmen vorgehen, um die für sie passende Cloud-Strategie zu entwickeln? Was würden Sie empfehlen?
Sarah Petrut: „Eine passende Cloud-Strategie sollte immer auf Basis einer strukturierten Analyse der bestehenden IT-Landschaft entstehen. Dabei wird betrachtet, welche Anwendungen im Einsatz sind, welche Daten verarbeitet werden und welche regulatorischen Vorgaben gelten. Ergänzend spielen Aspekte wie Performance-Anforderungen, Systemabhängigkeiten und wirtschaftliche Effizienz eine zentrale Rolle. Ziel ist es, Workloads so zu platzieren, dass sie fachlich sinnvoll, compliant und möglichst kosteneffizient betrieben werden können.
Viele Anwendungen lassen sich problemlos in einer Public Cloud betreiben, während sensible oder regulierte Workloads in einer Sovereign Cloud angesiedelt werden müssen.
In der Praxis zeigt sich, dass es selten eine einheitliche Lösung gibt. Je nach Branche und regulatorischen Anforderungen kann die optimale Lösung unterschiedlich ausfallen und auch Abwägungen erfordern – etwa zwischen maximaler Skalierung und erhöhter Kontrolle über Daten und Prozesse. Entscheidend ist, die Anforderungen individuell zu bewerten und nicht pauschal einem Modell zu folgen.
Häufig sind das Ergebnis hybride Modelle, in denen unterschiedliche Cloud-Ansätze kombiniert werden. Dadurch können verschiedene Anforderungen parallel adressiert werden, ohne sich auf ein einzelnes Betriebsmodell festlegen zu müssen. Unternehmen gewinnen so zusätzliche Flexibilität.“
Welche juristischen Risiken sind bei der Cloud-Nutzung aus Unternehmenssicht besonders kritisch? Können Sie das für uns einordnen, Frau Gehrmann?
Mareike Gehrmann: „Aus Unternehmenssicht zählen insbesondere Kontrollverlust, regulatorische Abhängigkeiten und mangelnde Verfügbarkeit zu den kritischsten juristischen Risiken bei der Cloud-Nutzung. Häufig unterschätzt werden dabei Risiken rund um die System- und Datenverfügbarkeit: Denn der Ausfall von Cloud-Diensten kann nicht nur erhebliche wirtschaftliche Schäden verursachen, sondern unter Umständen auch meldepflichtige Sicherheitsvorfälle nach DSGVO oder NIS2 begründen.
Gleichzeitig gewinnen geopolitische und rechtliche Abhängigkeiten zunehmend an Bedeutung. Wichtig ist außerdem sicherzustellen, dass bei einem Anbieterwechsel die Mitnahme der Daten möglich ist – Stichwort Exit-Strategie.“
Danke für die Einordnung. Ein weiteres wichtiges Thema ist der Governance-Mechanismus. Ist er aus juristischer Sicht unverzichtbar für die Gestaltung souveräner Cloud-Modelle?
Mareike Gehrmann: „Aus juristischer Sicht ist ein wirksames Governance-Modell für souveräne Cloud-Lösungen nur gegeben, wenn Unternehmen jederzeit und nachweisbar Transparenz und Kontrolle über Datenverarbeitung, Zugriffe und Sicherheitsmaßnahmen haben.
Unverzichtbar sind dabei klare vertragliche Regelungen. Für Compliance und Vertrauen spielen zudem anerkannte Zertifizierungen und Nachweise eine zentrale Rolle, etwa ISO 27001, BSI-C5-Testate oder branchenspezifische Standards.
Entscheidend ist, dass Unternehmen regulatorische Anforderungen nicht nur formal erfüllen, sondern deren Einhaltung auch gegenüber Kunden, Aufsichtsbehörden und Auditoren belastbar dokumentieren können.“
Wie unterstützt Vodafone Unternehmen konkret bei dem Thema Cloud-Souveränität?
Sarah Petrut: „Vodafone bietet im Bereich Sovereign Cloud ein modulares Portfolio aus Cloud-Lösungen und Services. Ziel ist es, Unternehmen ganzheitlich zu unterstützen. Gemeinsam mit dem Kunden wird deshalb erarbeitet, wie Workloads sinnvoll verteilt werden, damit Governance, Betrieb und Auditierbarkeit verlässlich sichergestellt sind.
Die Basis dafür bildet ein breit aufgestelltes Infrastrukturangebot. Dazu zählen dedizierte, vollständig isolierte Cloud-Umgebungen ebenso wie hybride Lösungen. Vodafone kombiniert eigene Angebote mit denen führender Public-Cloud-Anbieter, um je nach Anwendungsfall eine passende Zielarchitektur bereitzustellen.
Wichtig ist, dass diese technische Basis gezielt und bedarfsgerecht eingesetzt wird. Dafür ist ein tiefgehendes Verständnis der jeweiligen IT-Landschaft notwendig. Vodafone hat deshalb Ende letzten Jahres Skaylink akquiriert, um diese Kompetenz gezielt zu erweitern. Skaylink bringt umfassende Erfahrung in der Analyse bestehender IT-Architekturen sowie in der darauf aufbauenden Beratung mit und ergänzt diese um Managed Services für den laufenden Betrieb.“
Vielen Dank für das Interview. Herr Nölgen, welche drei Empfehlungen würden Sie am Ende dieses Gesprächs Unternehmen beim Thema Sovereign Cloud mitgeben?
Christian Nölgen:
- Souveränität gezielt dort absichern, wo sie wirklich gefordert ist: „Nicht alle Daten und Workloads haben die gleichen Anforderungen. Unternehmen sollten klar differenzieren, welche Daten besonders schutz-, regulierungs- oder kontrollbedürftig sind – und für diese gezielt souveräne Cloud- oder Betriebsmodelle einsetzen.“
- Sicherheit und Compliance als strategische Enabler denken: „Sicherheits- und Compliance-Anforderungen sollten frühzeitig in Architektur- und Transformationsentscheidungen integriert werden. Richtig umgesetzt schaffen sie Vertrauen, Stabilität und Skalierbarkeit und bilden damit die Grundlage für Innovation und Wettbewerbsfähigkeit.“
- Auf flexible, hybride Cloud-Strategien setzen statt auf Einheitslösungen: „Moderne IT-Strategien leben vom richtigen Mix aus Public-, Hybrid- und souveränen Cloud-Ansätzen. Flexible Modelle ermöglichen es Unternehmen, regulatorische Anforderungen einzuhalten, ohne auf moderne Services, Automatisierung und Innovationsgeschwindigkeit zu verzichten.“
Unser Fazit: Souveränität mit Augenmaß
Sovereign Cloud ist für Unternehmen längst kein Nischenthema mehr. Vielmehr geht es darum, regulatorische Sicherheit, technologische Flexibilität und wirtschaftliche Anforderungen intelligent miteinander zu verbinden. Die Expert:innen sind sich einig: Zukunftsfähige Cloud-Strategien setzen nicht auf ein „Entweder-oder“, sondern auf einen bedarfsgerechten Mix verschiedener Cloud-Modelle.
Häufig gestellte Fragen (FAQ)
15.05.2026
# Tags:Cloud
Das könnte Sie auch interessieren:
Cloud & Hosting
On-Premises oder Cloud
Ihre Geschäftsdaten können Sie wahlweise auf dem eigenen Firmengelände (On-Premises) oder in einer Cloud speichern. Beide Optionen bieten unterschiedliche Vor- und Nachteile. Erfahren Sie, wo die Unterschiede liegen, und finden Sie heraus, welche Lösung zu Ihrem Unternehmen passt.
