Digital Business & Future 26.03.2026

Raus aus der US-Cloud: Was der Mittelstand prüfen muss

4 Min. Lesezeit

Die geopolitische Lage zwingt den Mittelstand zum Handeln. Trumps Strafzölle, der CLOUD Act und der seit September 2025 vollständig anwendbare EU Data Act erzeugen eine Wechselwelle weg von US-Cloud-Anbietern. Laut einer Lünendonk-Studie ist digitale Souveränität für 78 Prozent der befragten CIOs zur Top-Priorität geworden. Gleichzeitig haben 43 Prozent der mittelständischen Unternehmen noch keine Exit-Strategie für ihre US-Cloud-Abhängigkeiten. Der Zeitpunkt zum Handeln ist jetzt, denn ein Cloud-Wechsel dauert sechs bis achtzehn Monate.

Das Wichtigste in Kürze

78 Prozent der CIOs priorisieren digitale Souveränität: Geopolitische Spannungen, Trumps Strafzölle und der CLOUD Act treiben die Entkopplung von US-Anbietern (Lünendonk-Studie, 2025).
43 Prozent ohne Exit-Strategie: Fast jeder zweite Mittelständler hat keine dokumentierte Ausstiegsoption für seine US-Cloud-Abhängigkeiten. Das wird zum Risiko.
EU Data Act vs. CLOUD Act ungelöst: Seit September 2025 vollständig anwendbar, aber der Rechtskonflikt mit dem US CLOUD Act besteht weiter. Europäische Daten auf US-Servern bleiben angreifbar.
Europäische Alternativen reifen: STACKIT (Schwarz Gruppe), Open Telekom Cloud, Hetzner und OVHcloud bieten zunehmend konkurrenzfähige Infrastruktur mit EU-Rechtsrahmen.
6 bis 18 Monate für einen Cloud-Wechsel: Migration ist kein Sprint. Wer 2026 nicht mit der Planung beginnt, handelt 2028 unter regulatorischem und politischem Druck.

Warum die Souveränitätsfrage 2026 eskaliert

Die Debatte um Cloud-Souveränität ist nicht neu. Was sich 2026 geändert hat, ist die Dringlichkeit. Drei Entwicklungen kommen gleichzeitig zusammen und machen Abwarten zur riskanten Strategie.

Erstens: Der EU Data Act ist seit September 2025 vollständig anwendbar. Er gibt europäischen Unternehmen das Recht auf Datenportabilität und verpflichtet Cloud-Anbieter, den Wechsel zu einem anderen Provider technisch zu ermöglichen. Das reduziert das Lock-in-Risiko, ersetzt aber nicht die strategische Entscheidung, ob ein Wechsel sinnvoll ist.

Zweitens: Der US CLOUD Act von 2018 erlaubt US-Behörden weiterhin den Zugriff auf Daten, die von US-Unternehmen gespeichert werden, unabhängig vom Serverstandort. Ein EU-Rechenzentrum schützt nicht vor einem US-Gerichtsbeschluss, solange der Betreiber ein US-Unternehmen ist. Microsoft, Amazon und Google sind US-Unternehmen. Dieses Risiko besteht seit acht Jahren, wird aber durch die geopolitische Lage 2026 greifbarer.

Drittens: Die Trump-Administration hat 2025 und 2026 Strafzölle auf EU-Produkte verhängt und mit weiteren Maßnahmen gedroht. In diesem Klima wächst das Bewusstsein, dass digitale Abhängigkeiten auch politische Abhängigkeiten sind. Die EU-Kommission hat im März 2026 eine Initiative für souveräne Cloud- und KI-Infrastruktur angekündigt, die europäische Alternativen stärken soll.

Hinzu kommt ein konkreter wirtschaftlicher Faktor: Die EU-Kommission schätzt, dass europäische Unternehmen jährlich über 100 Milliarden Euro für Cloud-Dienste von US-Anbietern ausgeben. Geld, das zum Großteil in die USA fließt und dort Innovationskapazitäten finanziert. Europäische Cloud-Anbieter können dieses Kapital nicht für eigene Forschung und Entwicklung nutzen. Der strategische Nachteil verstärkt sich selbst.

Für den Mittelstand bedeutet das eine unbequeme Wahrheit: Die günstigsten und funktional besten Cloud-Dienste kommen aktuell aus den USA. Aber die Kosten eines Datenschutzvorfalls oder eines erzwungenen Anbieterwechsels unter Zeitdruck übersteigen die Preisdifferenz um ein Vielfaches. Vorausschauendes Handeln ist billiger als Krisenmanagement.

„Digitale Souveränität wird durch hohe Abhängigkeiten von IT- und Cloud-Providern sowie geopolitische Risiken zur Top-Priorität.“
– Lünendonk-Studie Digitale Souveränität, 2025

Was der Mittelstand wirklich von der Cloud abhängt

Die meisten mittelständischen Unternehmen nutzen nicht eine Cloud, sondern drei bis fünf Cloud-Dienste gleichzeitig: Microsoft 365 für Produktivität, AWS oder Azure für Infrastruktur, Salesforce für CRM, vielleicht noch SAP in der Cloud für ERP. Jeder dieser Dienste läuft bei einem US-Anbieter.

Die Abhängigkeit ist dabei nicht gleichmäßig verteilt. Microsoft 365 zu ersetzen, betrifft jeden Mitarbeiter und ist ein Change-Management-Projekt von zwölf bis achtzehn Monaten. Einen AWS-S3-Bucket zu einem europäischen Objektspeicher zu migrieren, dauert dagegen Tage. Die strategische Frage ist also nicht ob, sondern wo ein Wechsel den größten Souveränitätsgewinn bei vertretbarem Aufwand bringt.

Eine pragmatische Priorisierung: Hochsensible Daten wie Finanzdaten, Personaldaten und geistiges Eigentum zuerst zu europäischen Anbietern migrieren. Produktivitätstools wie E-Mail und Office können als letztes umgestellt werden, weil der Aufwand am höchsten und das CLOUD-Act-Risiko dort am geringsten ist. Niemand wird wegen Excel-Tabellen einen Gerichtsbeschluss erwirken.

Ein häufig übersehener Aspekt: Auch scheinbar harmlose Cloud-Dienste erzeugen Abhängigkeiten. Wer seine gesamte Unternehmenskommunikation über Microsoft Teams führt, seine Dokumente in SharePoint ablegt und seine Identitäten über Azure AD verwaltet, hat eine Single-Source-of-Failure geschaffen. Wenn Microsoft entscheidet, die Lizenzstruktur zu ändern, den Dienst in bestimmten Regionen einzuschränken oder die API-Kompatibilität zu brechen, hat das Unternehmen wenig Verhandlungsmasse.

78 %

der CIOs sehen digitale Souveränität als Top-Priorität

Quelle: Lünendonk-Studie Digitale Souveränität, 2025

Europäische Alternativen: Was der Markt bietet

Der europäische Cloud-Markt hat sich in den letzten zwei Jahren deutlich weiterentwickelt. STACKIT (Schwarz-Gruppe), Open Telekom Cloud (T-Systems), Hetzner Cloud, OVHcloud und IONOS Cloud bieten IaaS- und PaaS-Dienste, die für die meisten Mittelstandsanwendungen ausreichen. Die Lücke zu AWS und Azure besteht vor allem bei Managed Services, KI-Plattformen und dem Ökosystem an Drittanbieter-Integrationen.

Für SAP-Workloads bieten SAP selbst (mit der Sovereign Cloud über Bleu in Frankreich und geplant in Deutschland) sowie T-Systems zertifizierte Sovereign-Cloud-Lösungen an. Für Kubernetes-basierte Anwendungen sind Hetzner und IONOS preislich attraktiv und technisch ausgereift. Für hochregulierte Branchen wie Finanzdienstleistungen oder Gesundheitswesen gibt es spezialisierte Anbieter wie plusserver (BSI C5-zertifiziert) oder Ionos (ISO 27001).

Die ehrliche Einschätzung: Ein vollständiger Wechsel weg von allen US-Cloud-Diensten ist für die meisten Mittelständler weder realistisch noch nötig. Das Ziel ist nicht Autarkie, sondern Wahlfreiheit. Wer seine kritischsten Daten auf europäischer Infrastruktur betreibt und für den Rest eine dokumentierte Risikoabwägung hat, ist strategisch gut aufgestellt.

Was ein Cloud-Wechsel wirklich kostet

Die Kosten eines Cloud-Wechsels werden systematisch unterschätzt. Die reinen Infrastrukturkosten (Compute, Storage, Netzwerk) sind bei europäischen Anbietern oft vergleichbar oder sogar günstiger als bei den US-Hyperscalern. Die versteckten Kosten liegen woanders.

Erstens Migrationsaufwand: Datenbanken, Applikationen und Schnittstellen müssen angepasst werden. Je stärker eine Anwendung proprietäre Cloud-Dienste nutzt (AWS Lambda, Azure Functions, Google BigQuery), desto aufwändiger die Migration. Zweitens Schulung: Teams, die seit Jahren mit AWS arbeiten, brauchen Zeit und Training für neue Plattformen. Drittens Parallelkosten: Während der Migration laufen beide Umgebungen parallel, was die Cloud-Ausgaben temporär verdoppelt.

Als Richtwert: Eine Migration von zehn produktiven Workloads von AWS zu einem europäischen IaaS-Anbieter kostet typischerweise 80.000 bis 200.000 Euro und dauert sechs bis zwölf Monate. Für komplexe Umgebungen mit Managed Services und KI-Plattformen kann es deutlich mehr sein.

Ein Rechenbeispiel: Ein mittelständischer Maschinenbauer mit 300 Mitarbeitern betreibt seine ERP-Umgebung auf AWS, nutzt Microsoft 365 für Produktivität und speichert Konstruktionsdaten in einem S3-Bucket. Die Migration der ERP-Umgebung auf Open Telekom Cloud kostet geschätzt 120.000 Euro und dauert neun Monate. Die Migration der Konstruktionsdaten auf Hetzner Storage dauert zwei Tage und kostet unter 1.000 Euro. Microsoft 365 zu ersetzen ist dagegen ein Zwei-Jahres-Projekt. Die Priorisierung ist klar: Daten zuerst, Infrastruktur als zweites, Produktivitätstools zuletzt.

Die Entscheidung sollte deshalb nicht überstürzt, aber zeitnah getroffen werden. Je länger die Abhängigkeit wächst, desto teurer wird der spätere Wechsel.

Checkliste: Fünf Schritte zur Cloud-Souveränität

1. Cloud-Inventar erstellen. Welche Daten liegen wo? Welche Dienste nutzen welchen Anbieter? Besonders wichtig: personenbezogene Daten und Geschäftsgeheimnisse identifizieren.

2. Risikobewertung durchführen. Für jeden Cloud-Dienst: Was passiert bei einem CLOUD-Act-Zugriff? Was bei Sanktionen oder Handelskonflikten? Das Ergebnis ist eine priorisierte Liste der kritischsten Abhängigkeiten.

3. Exit-Strategie dokumentieren. Für jeden kritischen Cloud-Dienst einen Plan B definieren: Welcher alternative Anbieter kommt in Frage? Wie lange dauert die Migration? Was kostet sie?

4. Pilotprojekt starten. Einen unkritischen Workload auf eine europäische Plattform migrieren. Erfahrungen sammeln, Kosten und Aufwand validieren, bevor größere Migrationen folgen.

5. Vertragsklauseln prüfen. Bestehende Cloud-Verträge auf Kündigungsfristen, Datenportabilität und Datenschutzklauseln prüfen. Der EU Data Act stärkt hier die Position des Kunden.

6. Notfallplan erstellen. Was passiert, wenn ein US-Cloud-Anbieter kurzfristig nicht mehr verfügbar ist, sei es durch Sanktionen, technische Ausfälle oder Vertragskündigungen? Ein dokumentierter Notfallplan mit konkreten Ausweichszenarien ist Teil einer verantwortungsvollen Daten-Governance.

Fazit

Die Frage ist nicht mehr, ob der Mittelstand seine Cloud-Strategie überdenken muss. Die Frage ist, wie schnell. Der EU Data Act gibt Unternehmen neue Rechte. Die geopolitische Lage gibt ihnen neue Gründe. Und der wachsende europäische Cloud-Markt gibt ihnen erstmals echte Alternativen.

Wer jetzt mit einer strukturierten Risikoanalyse beginnt und seine kritischsten Daten priorisiert, vermeidet den Zeitdruck, unter dem andere in zwei Jahren handeln werden. Cloud-Souveränität ist kein Projekt mit Deadline. Sie ist eine strategische Haltung, die sich mit jedem migrierten Workload auszahlt.

Häufige Fragen

Muss ich komplett weg von US-Cloud-Anbietern?

Nein. Das Ziel ist nicht Autarkie, sondern Wahlfreiheit. Kritische Daten auf europäischer Infrastruktur, für den Rest eine dokumentierte Risikoabwägung. Ein hybrides Modell ist für die meisten Mittelständler der pragmatischste Weg.

Schützt ein EU-Rechenzentrum vor dem CLOUD Act?

Nein. Der CLOUD Act gilt für US-Unternehmen unabhängig vom Serverstandort. Ein AWS-Rechenzentrum in Frankfurt unterliegt US-Jurisdiktion. Nur ein nicht-US-Anbieter mit Sitz und Infrastruktur in der EU ist CLOUD-Act-frei.

Was kostet ein Cloud-Wechsel?

Richtwert: 80.000 bis 200.000 Euro für zehn produktive Workloads, sechs bis zwölf Monate Projektlaufzeit. Die Kosten variieren stark je nach Komplexität und Nutzung proprietärer Dienste.

Gibt es europäische Alternativen zu Microsoft 365?

Ja, etwa Nextcloud (Dateimanagement), Open-Xchange (E-Mail), OnlyOffice oder Collabora (Office-Suite). Die funktionale Parität zu Microsoft 365 ist allerdings noch nicht vollständig erreicht, besonders bei Teams und SharePoint.

Was bedeutet der EU Data Act für Cloud-Kunden?

Er gibt Unternehmen das Recht auf Datenportabilität und verpflichtet Cloud-Anbieter, den Anbieterwechsel technisch zu ermöglichen. Wechselgebühren werden ab 2027 verboten. Das stärkt die Verhandlungsposition erheblich.

Welche europäischen Cloud-Anbieter sind BSI C5-zertifiziert?

Unter anderem plusserver, STACKIT, T-Systems Open Telekom Cloud und SAP. Die BSI C5-Testate sind öffentlich einsehbar und gelten als der strengste Cloud-Sicherheitsstandard in Europa.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin – Cloud, SaaS und IT-Infrastruktur für Entscheider
Digital Chiefs – Leadership, Transformation und C-Level-Perspektiven
SecurityToday – Cybersecurity, Compliance und Datenschutz

Weiterführende Lektüre

Cyber Resilience Act: Was Hersteller jetzt tun müssen

AI Act ab August 2026: Hochrisiko-KI im Mittelstand

Exit, Nachfolge oder Übernahme: M&A im Mittelstand 2026

Quelle Titelbild: Anete Lusina / Pexels

Auch verfügbar in

Français Español English

MyBusinessFuture / Evernine Media GmbH

Benedikt Langer befasst sich als Redakteur für MyBusinessFuture vor allem mit zukunftsweisenden Business- und Tech-Themen – von Künstlicher Intelligenz über Cybersecurity bis hin zu Mobilität, Energie- und Verkehrsinfrastruktur sowie resilienten Industrie-Ökosystemen.

Davos: Nachhaltigkeit durch Digitalisierung

Das 50. Jubiläum des Weltwirtschaftsforum in Davos Ende Januar 2020 soll ganz im Zeichen von Nachhaltigkeit ... »

Engineering & Industry 23.09.2020

PwC: E-Auto-Kosten für Hersteller vs. Verbrenner-Vergleich

E-Autos sind neu, voller Technik und zukunftsweisend, jedoch immer noch sehr teuer. Das liegt unter ... »

Unsere Experten & Partner