Digitale Souveränität in der Cloud: Europas Weg aus der technologischen Abhängigkeit

Kurzfassung

Jörg von der Heydt, Regional Director DACH bei Bitdefender, erörtert im Interview die Notwendigkeit digitaler Souveränität in Europa. Deutschland und die EU sind technologisch von nicht-europäischen Anbietern und Rechtssystemen abhängig – ein Risiko, das durch geopolitische Krisen (Corona, Ukraine, Iran) verschärft wird. Bitdefender positioniert sich als europäischer Cybersecurity-Partner mit Partnerschaften zu europäischen Cloud-Providern wie Secunet (Deutschland) und OVH-cloud (Frankreich). Zentrale Anforderungen sind Datenkontrolle, Unabhängigkeit von ausländischen Rechtssystemen und EU-zertifizierte Cloud-Infrastruktur.

Personen

• Jörg von der Heydt (Regional Director DACH, Bitdefender)

Themen

• Digitale Souveränität
• Cloud Security
• EU-Technologieunabhängigkeit
• Cybersecurity-Infrastruktur

Clarus Lead

Die europäische Abhängigkeit von US-amerikanischen Cloud-Anbietern und deren Rechtssystemen wird zum strategischen Risiko für kritische Infrastrukturen. Der Fall des französischen Richters Nicolas Gillou am Internationalen Strafgerichtshof – der von digitalen Prozessen ausgesperrt wurde – verdeutlicht die Vulnerabilität. Während technische Lösungen für digitale Souveränität existieren, verzögern gewachsene Abhängigkeiten und Fachkräftemangel deren Umsetzung erheblich. Für Entscheider relevant: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits Souveränitätsanforderungen als verbindlich eingestuft.

Detaillierte Zusammenfassung

Die zentrale Herausforderung liegt nicht beim Speicherort, sondern bei der rechtlichen Unabhängigkeit von Cloud-Providern. Der US-amerikanische Cloud Act ermöglicht Datenzugriffe selbst auf Servern in Deutschland, sofern der Provider eine Tochtergesellschaft eines US-Unternehmens ist. Rechtliche Souveränität erfordert daher einen Cloud-Partner mit Gerichtsstand im europäischen Rechtsraum – eine Bedingung, die nach von der Heydts Darstellung nur begrenzt erfüllt wird.

Bitdefender hat diese Anforderungen mit zwei Modellen gelöst: In Deutschland betreibt die BSI-zertifizierte Public-Cloud von Secunet die zentrale Cybersecurity-Plattform; Frankreich nutzt OVH-cloud. Kundendaten verlassen in beiden Fällen die jeweilige nationale Cloud nicht. Dies ist besonders für E-Mail-Security kritisch, da dieser Kanal für Social Engineering und Phishing-Angriffe zentral ist.

Ein zweiter Engpass ist Personalbestand. Der massive Fachkräftemangel in Cybersecurity macht souveräne Lösungen in der Praxis zur Ausnahme statt zur Regel. Die Lösung liegt nach von der Heydt in KI-Unterstützung für Sicherheitsanalysten: automatisierte Bedrohungserkennung und Priorisierung ermöglichen präventive statt rein reaktive Abwehr. Entscheidend ist dabei, dass sicherheitskritische Leistungen unter europäischem Rechtsrahmen operieren – unabhängig vom physischen Ort der Mitarbeitenden.

Kernaussagen

• Europäische Cloud-Souveränität scheitert weniger an Technologie als an rechtlicher Unabhängigkeit und Personalressourcen
• Der US Cloud Act hebelt lokales Hosting aus; erforderlich ist ein Cloud-Provider mit europäischem Gerichtsstand
• Cybersecurity-Plattformen sind zentrale Infrastruktur-Glieder: Ausfälle (z.B. Mail-Security-Gateway) lähmen Kommunikation
• KI und europäische Cloud-Partner (Secunet, OVH-cloud) sind Hebel zur Überwindung des Fachkräftemangels

Kritische Fragen

1. Evidenz/Datenqualität: Wie dokumentiert Bitdefender die technische Datenisolation in der Secunet-Cloud? Welche unabhängigen Audits bestätigen, dass Kundendaten nicht zu US-Systemen übertragen werden?

2. Interessenkonflikte: Bitdefender bewirbt europäische Cloud-Partner, mit denen es kommerziell verflochten ist – wie wird Unabhängigkeit bei der Partnerauswahl sichergestellt?

3. Kausalität/Alternativen: Der Fachkräftemangel wird als Haupthindernis benannt. Sind technische Souveränität und Personalmangel kausal verknüpft, oder sind dies getrennte Probleme mit unterschiedlichen Lösungsansätzen?

4. Umsetzbarkeit/Risiken: BSI-Zertifizierung ist erwähnt – gelten diese Standards für alle europäischen Cloud-Provider, oder bestehen Lücken bei kleineren Anbietern?

5. Compliance/Rechtssicherheit: Reicht EU-Rechtsrahmen aus, wenn Daten physisch in Deutschland/Frankreich liegen, aber über internationale Netze übertragen werden (Border-Crossing-Szenarien)?

6. Souveränität-Washing: Der Interview-Partner warnt vor „Sovereignty Washing". Nach welchen Kriterien lässt sich echte Souveränität von Marketing-Claims unterscheiden?

Quellenverzeichnis

Primärquelle: Interview Digitale Souveränität: Wer kontrolliert die Cloud? – https://www.it-daily.net/it-sicherheit/cloud-security/digitale-souveraenitaet-cloud (04.05.2026)

Verifizierungsstatus: ✓ 04.05.2026

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 04.05.2026