Die Wahl des Cloud-Anbieters entscheidet maßgeblich darüber, wie gut sich Datensicherheit und Cloud-Compliance in der Praxis umsetzen lassen. Nicht jeder Cloud-Anbieter erfüllt die Anforderungen deutscher und europäischer Regulierung gleichermaßen. Eine strukturierte Bewertung verschiedener Angebote anhand klarer Kriterien schützt vor bösen Überraschungen. Checkliste: Fünf Auswahlkriterien für datensichere Cloud-Anbieter
Serverstandort in Deutschland oder der EU: Nur wenn Ihre Daten in Rechenzentren innerhalb der EU verarbeitet werden, ist die DSGVO-Konformität ohne zusätzliche Schutzmaßnahmen gewährleistet. Achten Sie darauf, dass der Anbieter den Datenstandort vertraglich zusichert.
Anerkannte Zertifizierungen: ISO 27001 bestätigt ein funktionierendes Informationssicherheits-Managementsystem. Das BSI-C5-Testat prüft darüber hinaus cloudspezifische Sicherheitsanforderungen und ist in regulierten Branchen gesetzliche Pflicht. Das Trusted-Cloud-Label kennzeichnet Cloud-Dienste, die unabhängig geprüfte Mindestanforderungen an Sicherheit, Transparenz und Rechtskonformität erfüllen.
Ende-zu-Ende-Verschlüsselung: Der Anbieter sollte Verschlüsselung sowohl bei der Übertragung als auch am Speicherort anbieten – idealerweise so, dass nur Sie den Schlüssel kontrollieren.
AVV-Bereitschaft: Ein seriöser Anbieter stellt einen DSGVO-konformen Auftragsverarbeitungsvertrag bereit, ohne dass Sie lange verhandeln müssen.
Durchgehende Incident Response: Im Ernstfall zählt Reaktionsgeschwindigkeit. Prüfen Sie, ob der Anbieter ein rund um die Uhr erreichbares Sicherheitsteam einsetzt und wie schnell er Vorfälle meldet.
Marktüberblick: Das sind die wichtigsten Anbieter
Den deutschen Cloud-Markt prägen globale Infrastruktur-Anbieter (Hyperscaler) und Anbieter wie Vodafone, die Managed-Cloud-Dienste anbieten. Um die europäische Forderung nach Datensouveränität zu erfüllen, bieten die meisten großen Cloud-Anbieter inzwischen sogenannte Sovereign-Cloud-Optionen an. Eine Sovereign Cloud ist eine Cloud-Umgebung, die sicherstellt, dass für die gespeicherten Daten ausschließlich europäische Gesetze gelten – und kein außereuropäischer Staat Zugriff erzwingen kann. Typische Mittel dafür: Die Infrastruktur ist physisch getrennt, europäisches Personal betreibt sie, und nur der Kunde kontrolliert die Verschlüsselungsschlüssel. Der Begriff „Sovereign Cloud“ ist bislang allerdings nicht einheitlich definiert, daher unterscheiden sich die Umsetzungen erheblich. Im Folgenden beschreiben wir die DSGVO-relevanten Eigenschaften der wichtigsten Anbieter auf dem deutschen Markt. Welcher für Ihr Unternehmen am besten geeignet ist, hängt von Ihren spezifischen Anforderungen ab.
Amazon Web Services (AWS)
AWS betreibt mehrere Rechenzentren in Frankfurt und bietet die AWS European Sovereign Cloud in Brandenburg – eine physisch und logisch getrennte Cloud-Region innerhalb der EU. Betrieb und Management übernimmt eine deutsche GmbH mit ausschließlich europäischem Personal. AWS verfügt über ein BSI-C5-Testat und die ISO-27001-Zertifizierung. Als US-Unternehmen unterliegt AWS grundsätzlich dem US CLOUD Act. Unabhängig vom Speicherort können US-Behörden also grundsätzlich Daten anfordern. AWS argumentiert, dass die organisatorische und technische Trennung diesen Zugriff praktisch verhindert. Ob diese Konstruktion im Ernstfall standhält, ist juristisch nicht abschließend geklärt.
Microsoft Azure
Microsoft betreibt Azure-Rechenzentren in Frankfurt und Berlin. Die Cloud-Plattform bietet eine umfangreiche Compliance-Dokumentation und die ISO-27001-Zertifizierung. Seit 2026 stellt Microsoft eine mehrstufige Sovereign Cloud bereit: Die Sovereign Public Cloud stellt in EU-Regionen sicher, dass Daten unter europäischer Hoheit bleiben – etwa durch kundeneigene Verschlüsselungsschlüssel und europäische Zugriffsfreigabe (Data Guardian). Über Azure Local lassen sich Workloads vollständig isoliert auf eigener Infrastruktur betreiben. Als US-Konzern unterliegt auch Microsoft allerdings dem CLOUD Act.
