Blog

Smart, sicher, souverän: Europäische Cloud-Alternativen

Die Wahl des Cloud-Providers ist heute zunehmend eine strategische Entscheidung. Nicht allein aus technischer Sicht, auch aus geopolitischer und wirtschaftlicher Perspektive stellt sich die Frage nach dem richtigen Cloud-Anbieter heute mit neuer Intensität.

Denn so volatil wie derzeit war die weltpolitische Lage lange nicht mehr. Kriegerische Konflikte, bröckelnde Bündnisse, sich verschiebende Interessen und Machtverhältnisse sorgen auf einem globalisierten Markt für Verunsicherung – auch im Hinblick auf Planbarkeit, Rechtssicherheit und Datenschutz.

Grund genug für europäische Unternehmen, die ausschließliche Nutzung von US-amerikanischen Hyperscalern wie AWS, Microsoft Azure oder Google Cloud zu hinterfragen und europäische Alternativen zumindest zu prüfen.

Zunächst sei gesagt, dass es lange sehr gute Gründe gab und auch weiterhin gibt, auf die Marktführer in Sachen Cloud zu setzten – von der großen Skalierbarkeit über die technische Exzellenz bis hin zu den auf den EU-Markt zugeschnittenen hohen Security-Maßnahmen. Darum werden wir unsere Expertise in diesen Technologien auch weiterhin ganz bewusst anbieten.

Gleichwohl macht sich die geopolitische Zeitenwende auch im digitalen Raum bemerkbar, weshalb es für Unternehmen von Fall zu Fall geraten sein kann, den Umzug in eine europäische Cloud zu wagen.

In der Politik angekommen

In der Politik ist das Thema schon lange angekommen. Initiativen wie Gaia-X sollen schon seit 2019 eine leistungsfähige, föderierte Dateninfrastruktur in Europa etablieren.

Auch die deutsche Bundesregierung hat 2021 eine Strategie zur Stärkung der digitalen Souveränität veröffentlicht, um die Abhängigkeit von internationalen Technologieriesen zu verringern. Die jüngsten Entwicklungen, von geopolitischen Umbrüchen bis zu strengeren Datenschutzanforderungen, verleihen diesen Vorhaben zusätzliche Relevanz.

Immer mehr Organisationen aus Wirtschaft und Gesellschaft setzen demnach heute auf Multi-Cloud-Konzepte mit bevorzugt europäischen bzw. inländischen Cloud-Dienstleistern und Open-Source-Lösungen.

Vergleiche zum Thema etwa diese Berichte von Xpert und von PWC.

Darum nehmen auch wir als renommierter Digitalisierungspartner zunehmend souveräne europäische Cloud-Alternativen in den Fokus: Sie unterliegen ausschließlich EU-Recht  und versprechen höchste Datensicherheit und Compliance nach europäischen Maßstäben (eine Übersicht gibt es z. B. hier).

Das sind die wichtigsten Gründe dafür:

Porträtfoto von Dr. Andreas Witsch

Dr. Andreas Witsch

Business Development

Jule Witte

Jule Witte

Presse & Kommunikation
presse@micromata.de

Digitale Souveränität und Datenschutz

Insbesondere zwei US-Gesetze geben Grund zur Vor- und Weitsicht:

  • Der US CLOUD Act erlaubt es US-Behörden, auf die Daten von US-Anbietern zuzugreifen, auch wenn diese ihre Server nicht auf US-amerikanischem Boden betreiben.
  • Der FISA 702 (Foreign Intelligence Surveillance Act) erlaubt es darüber hinaus den US-Geheimdiensten, die Kommunikation von Nicht-US-Bürger:innen im Ausland gezielt zu überwachen, wenn diese im Zusammenhang mit einer Bedrohung der nationalen Sicherheit stehen oder auch nur zu stehen scheinen.

Beide Gesetze befinden sich nicht erst seit gestern im Widerspruch zum deutschen DSGVO, machen aber spätestens jetzt, wo die transatlantische Freundschaft herausgefordert scheint, eine risiko-sensible Neubewertung ratsam.

Siehe dazu auch hier.

Rechtssicherheit und Compliance

Europäische Cloud-Anbieter fallen unter europäisches Recht, was schon ganz grundsätzlich für eine klare, zuverlässige Rechtsgrundlage und hohe Datenschutz- und Compliance-Standards sorgt. Unternehmen können sich darauf verlassen, dass ihre Daten vor unbefugtem Zugriff durch Dritte geschützt sind und lokal verarbeitet werden.

Europäische Unabhängigkeit

Die Wahl eines europäischen Cloud-Anbieters hat einige positive Effekte zufolge: Sie fördert einen gesunden globalen Wettbewerb und trägt zu einer Stärkung der Innovationskraft in Europa bei. Digitale Schlüsseltechnologien nach Europa zu holen, hilft außerdem, die einseitige Abhängigkeit von US-amerikanischen Anbietern zu verringern sowie die europäische Integration und das europäische Wachstum zu fördern.

Und in der Tat: In Europa hat sich inzwischen eine vielversprechende Auswahl an Cloud-Anbietern etabliert, die als souveräne Alternativen zu AWS, Azure & Co. gelten können. Insbesondere deutsche Unternehmen spielen hier eine große Rolle. Zu den wichtigsten europäischen Cloud-Providern zählen u.a. IONOS Cloud (Deutschland), die Open Telekom Cloud der Deutschen Telekom (Deutschland), plusserver mit pluscloud (Deutschland), STACKIT (Deutschland), OVHcloud (Frankreich), Scaleway (Frankreich) sowie Hetzner Cloud (Deutschland). Diese europäischen Cloud-Champions bieten viele ähnliche Services wie die US-Hyperscaler und rücken durch den Ruf nach digitaler Souveränität verstärkt ins Rampenlicht.

Im Folgenden stellen wir führende Cloud-Anbieter aus Europa vor, vergleichen sie hinsichtlich ihres Cloud-Typs (Public/Private) und wichtiger Dienste und zeigen mit besonderem Augenmerk auf Sicherheit, Compliance und Netzwerk-Isolierung ihre spezifischen Stärken auf.

Die folgende Liste wird aus Gründen des Umfangs nicht auf Smartphones angezeigt.

Anbieter (Land)Cloud-TypWichtige ServicesStärken (Security/Compliance)Schwächen/Lücken
IONOS Cloud (DE)Public Cloud oder auch Bare Metal
• Virtuelle Maschinen • Volumen & Object Storage
• Virtuelle Netze (VDC)
• Managed Kubernetes
• Managed DB (z. B. MySQL, PostgreSQL)		• RZ in Deutschland
• Konform mit GDPR und EU-DSGVO
• Zertifiziert nach BSI C5 und ISO 27001
• BSI Cloud Security
• Leicht bedienbare Data-Center-Design-Konsole und API-Automatisierung (Terraform etc.)
• Support und Verträge nach deutschem Recht
• Auftrags- verarbeitung gemäß Art. 28 DSGVO		• Begrenzte globale Präsenz (Schwerpunkt EU)
• Etwas geringere Vielfalt an Spezialdiensten im Vergleich zu Hyperscalern (z. B. keine eigenen AI- /Big-Data-Services)
• Weniger Third-Party-Ökosystem als bei US-Anbietern
Open Telekom Cloud (DE)• Public Cloud
• Private Cloud		• Virtuelle Maschinen (OpenStack-basiert)
• Object Storage (S3-kompatibel)
• Relationale DB (MySQL, PostgreSQL als Managed RDS),
• Managed Kubernetes (Cloud Container Engine)
• Serverless Container
• Runtime, Big Data & AI Tools
• Enterpris Grade Security & Compliance
• BSI-C5-zertifizier
• Hohe Sicherheitsstandards
• 100 % deutsche RZ
• Ökostrom
• Strenge EU-Datentreue
• Open Source / OpenStack
• kein Vendor-Lock-in
• VPC-Netzwerke zur Kundenisolierung
• Starkes Telekom-Backing (Zuverlässigkeit, Vertrauenswürdigkeit) 		• Weniger globale Reichweite (v. a. EU-Regionen)
• Nicht so breite Palette an spezialisierten PaaS/FaaS-Services wie AWS und Azure
• Cloud-Management teils komplexer (OpenStack-Know-how nötig)
• Mehr Hyperscaler als Development-Ökosystem
plusserver* (DE) *Anmerkung: plusserver bietet mit pluscloud open (OpenStack-basiert) eine offene Public Cloud sowie mit pluscloud powered by VMware eine isolierte Private-Cloud-Lösung auf dedizierter VMware-Infrastruktur• Public und Private Cloud:
• „pluscloud open“ = Public OpenStack
• „pluscloud VMware“ = dedizierte Private Cloud		• Virtuelle Maschinen (OpenStack oder VMware)
• S3 Object Storage
• Managed Kubernetes (auf OpenStack)
• Managed Datenbanken (MySQL, PostgreSQL, MariaDB etc.)
• Managed Open Source-Services (z. B. Keycloak IAM, CouchDB)		• Ausschließlich deutsche BSI-geprüfte RZ
• Volle DSGVO-Konformität
• Zertifizierungen: BSI C5 (Cloud-Controls) und ISAE 3402
• Gaia-X-Gründungsmitglied
• Security & Isolation: auf Wunsch dedizierte Private-Cloud-Ressourcen für physische Isolation (VMware)
• Public-Cloud-Mandantentrennung • Virtualisierung/VPC • Network-Firewall-Service
• Support & Flexibilität
• Individuelle Beratung
• Integration von Private + Public
• Skalierung begrenzt im Vergleich zu Hyperscalern (für globale Hochlast evtl. weniger geeignet)
• Weniger Eigenentwicklungs-Services (z. B. keine eigenen Serverless Functions oder globale CDN-Infrastruktur)
• Stärker auf DACH-Markt fokussiert, internationale Services/Regionen kaum vorhanden
STACKIT (DE)• Public Cloud
• Fokussiert auf Enterprise & Public Sector
• Colocation optional		• Virtuelle Maschinen (inkl. GPU)
• Object Storage
• Netzwerkisolierung via virtuelle Netzwerke/Security Groups
• Managed Kubernetes (STACKIT Kubernetes Engine)
• Cloud Foundry PaaS
• Managed DB (PostgreSQL, MongoDB, MariaDB, MS SQL, Redis etc.)
• Managed Messaging (RabbitMQ) Logging/Monitoring
• Datenhaltung exklusiv in DE/AT
• Volle Kontrolle über Zugriffe (Schwarz-Gruppe als Betreiber unterliegt nur EU-Recht)
• Lösung speziell für kritische Infrastrukturen (Public Sector Cloud)
• Verschlüsselung und Confidential Computing (verifizierbar geschützte Workloads)
• Strenge Compliance, Ausrichtung an BSI
• Umfangreiches Service-Portfolio ähnlich Hyperscalern (DB, K8s, Middleware) innerhalb souveränem Rahmen
• Rückendeckung eines großen deutschen Konzerns (Schwarz/Lidl)
• Ziel: erster europäischer Hyperscaler		• Skalierung begrenzt im Vergleich zu Hyperscalern
• Weniger Services (z. B. keine eigenen Serverless Functions oder globale CDN-Infrastruktur)
• Stärker auf DACH-Markt fokussiert
• Noch jung am Markt: geringere Erfahrung und weniger Referenzkunden
• Einige hochspezialisierte Dienste fehlen noch (z. B. große Auswahl an KI-Services, globale CDN)
• Derzeit noch wenige RZ, Expansion läuft
OVHcloud (FR)• Public Cloud
• Hosted Private
Cloud
• Bare Metal Server 		• Virtuelle Instanzen (versch. Leistungsklassen)
• Block- & Object Storage
• Managed Kubernetes Service
• Managed Datenbanken (MySQL, PostgreSQL u. a.)
• Big-Data-Plattformen
• AI/ML-Infrastruktur
• Bare Metal on-demand
• vRack (privates Netzwerk über mehrere Server)		• Größter europäischer Cloud-Anbieter nach Skalierung
• RZ in vielen EU-Ländern, dazu globale Präsenz (u. a. Kanada, APAC) für internationale Anforderungen
• Open Source & Offenheit: OpenStack und offene Standards
• Einfacher Wechsel dank Reversibilität (kein Lock-in, OpenStack-APIs)
• Datenschutz & Transparenz: vollständig EU-rechtlicher Rahmen
• SecNumCloud-zertifizierte Umgebungen (Frankreich) und BSI C5 Attestierungen für deutsche Kunden
• Klare Preismodelle & Kostentransparenz
• Hybrid-Möglichkeiten: Kombination aus Public Cloud und dedizierten Servern
• Starke Netzwerkisolierung nach Bedarf
• Direct Connect und vRack für private Verbindungen zwischen Ressourcen		• Vergangene Reliability-Vorfälle: 2021 führte ein Rechenzentrumsbrand zu Ausfällen – seither Verbesserungen bei Backup/Brandschutz, aber Lesson Learned bzgl. Disaster Recovery erforderlich
• Spezialfunktionen limitiert: Nicht so breite Palette an hochskalierenden Managed Services wie AWS (z. B. wenige serverless oder proprietäre Analytics-Tools)
• Support teils regional begrenzt (franz. Unternehmen; allerdings international ausgebaut)
Scaleway (FR)• Public Cloud
• Zusätzlich dedizierte Server & Colocation verfügbar		• Virtuelle Instanzen (inkl. ARM-Instances)
• Object Storage (S3 API)
• Private Networks (VPC)
• Managed Kubernetes
• Kapsule Managed DB (PostgreSQL, MySQL, Redis, MongoDB)
• Load Balancer
• Serverless Functions (beta)
• IoT-Hub		• Innovationsführer in EU-Cloud: früh mit neuen Technologien (z.B. ARM-Cloud-Server) am Markt
• Einfache Bedienung und DevOps-Tools (CLI, Terraform)
• Wettbewerbsfähige Preise, insbesondere für Storage/Traffic (EU-Anbieter oft günstiger als US-Hyperscaler)
• Abrechnung fair und kalkulierbar
• European Sovereignty: betrieben von der französischen Telekom (Iliad)
• Datenstandorte in Frankreich (Paris) und polnisches RZ in Planung
• Alle unter EU-Datenschutz
• Hybrid-Flexibilität: Kombination aus Cloud-VMs und klassischen dedizierten Servern, inkl. privater Netzwerke zur Isolierung. Strom zu 100 % aus erneuerbaren Quellen		• Begrenzte Regionenauswahl: Hauptregion Paris, sekundär Amsterdam, weniger geografische Vielfalt als große Clouds
• Kleineres Service-Portfolio: Einige hochskalierbare Services fehlen oder sind noch in Beta (z. B. begrenzte KI-Angebote, begrenztes serverless-Angebot
• Marktauftritt weniger auf Enterprise fokussiert als deutsche Wettbewerber (Scaleway zielt v. a. auf Startups, für Großunternehmen evtl. Support- und Compliance-Themen prüfen)
Hetzner Cloud (DE)• Public Cloud
• Separates Bare Metal Server-Portfolio		• Virtuelle Instanzen (inkl. ARM-Instances)
• Object Storage (S3 API)
• Private Networks (VPC)
• Managed Kubernetes
• Kapsule Managed DB (PostgreSQL, MySQL, Redis, MongoDB)
• Load Balancer
• Serverless Functions (beta)
• IoT-Hub
• Virtuelle Cloud-Server (sehr günstige VPS)
• Block Storage
• Objekt-Speicher
• Private Netzwerke (isolierte vSwitches)
• Load Balancer
• Zwar kein eigenes Managed DBaaS oder Kubernetes, K8s kann jedoch selbst installiert werden
• Kostenführer: sehr preisgünstig im Vergleich, teils massives Einsparpotential gegenüber AWS & Co. (bis zu 90 %)
• Ideal für Preis/Leistungs-orientierte Workloads
• Solide Grund-Compliance: ISO/IEC 27001-zertifizierte RZ in DE und Finnland
• DSGVO-konform
• Einfacher Abschluss von Verarbeitungsverträgen online
• 100 % Ökostrom in den RZ
• Einfache Netzwerksicherheit: Unterstützung für private Netzsegmente, Sicherheitsgruppen und Firewalls
• Kunden können Workloads auch auf dedizierte Server ausweichen für vollständige physische Isolation
• Freundlich im Development: Schnelle VM-Bereitstellung, gut dokumentierte API und Terraform-Provider
• Ideal für agile Projekte, Test/Dev-Umgebungen		• Limitierte Managed Services, keine nativen Managed Kubernetes- oder Datenbank-Services verfügbar (Stand 2024)
• Weniger Enterprise-Features
• Fokus auf Self-Service
• Eingeschränkte Support-Level und Managed-Angebote für komplexe Enterprise-Setups
• Globale Architektur (mit z. B. Multi-Region-Failover) noch nicht mit Hyperscalern vergleichbar

Fazit

Europäische Cloud-Anbieter haben in den letzten Jahren kräftig aufgeholt. Angesichts wachsender Bedenken über Datenhoheit und Compliance bieten sie heute valide Alternativen zu den US-Hyperscalern, insbesondere für sensible Daten und kritische Infrastrukturen. Die vorgestellten Plattformen wie IONOS, Open Telekom Cloud, STACKIT & Co. stellen Kern-Services wie Rechenleistung, Speicher, Managed Kubernetes oder Datenbanken bereit und kombinieren dies mit strengen europäischen Sicherheitsstandards. Besonders deutsche Anbieter punkten mit umfassender Compliance (BSI C5, ISO-Zertifizierungen) und ermöglichen eine Netzwerk- und Datenisolierung, die den hohen Anforderungen hiesiger Unternehmen gerecht wird.

Gleichzeitig müssen wir realistisch festhalten, dass die europäischen Clouds (noch) nicht jeden Spezialdienst der US-Größen abdecken. Unternehmen sollten daher abwägen, welche Anforderungen prioritär sind: Geht es vor allem um Sicherheit, Datenschutz und Kontrolle über die Daten, sind souveräne Clouds eine exzellente Wahl. Für sehr spezifische Dienste oder eine globale Präsenz kann weiterhin eine Kombination mit internationalen Anbietern sinnvoll sein. In vielen Fällen zeichnet sich ein Multi-Cloud-Ansatz ab, in dem weniger kritische Workloads bei einem Hyperscaler laufen, während vertrauliche Daten und Anwendungen in einer europäischen Cloud verbleiben.

Für Manager bedeutet dies: Es gibt heute eine echte Auswahl an europäischen Cloud-Partnern, mit denen sich Innovationsfähigkeit und Flexibilität der Cloud nutzen lassen, ohne die digitale Souveränität aus der Hand zu geben. Die Entscheidung sollte anhand der eigenen Compliance-Vorgaben, dem benötigten Service-Portfolio und der Risikobewertung getroffen werden. Europas Cloud-Alternativen zeigen jedenfalls, dass Unabhängigkeit und Cloud-Komfort kein Widerspruch sein müssen – und sie werden ihre Angebote in Zukunft weiter ausbauen, um noch breitere Anwendungsfälle abzudecken. Der Trend hin zu souveränen Clouds steht erst am Anfang, doch er ist unumkehrbar. Mit jedem neuen Service und jeder Zertifizierung wird die europäische Cloud-Landschaft attraktiver und macht es einfacher, die Kontrolle über Daten und IT-Prozesse in europäischer Hand zu behalten.

Quellen zu den Informationen über die einzelnen Cloud-Dienstleister: