85 Prozent der deutschen Unternehmen halten Deutschland für zu abhängig von US-Cloud-Anbietern. Was lange als politisches Schlagwort galt, ist 2026 zur strategischen Priorität geworden. Und erstmals wächst nicht nur das Problembewusstsein – sondern auch die Bereitschaft, Konsequenzen zu ziehen.
Ein Paradigmenwechsel in Zahlen
Der Bitkom Cloud Report 2026 ist eindeutig: Die deutsche Wirtschaft hat ihre Komfortzone verlassen. Waren es 2025 noch 78 Prozent der Unternehmen, die eine zu starke Abhängigkeit von US-Cloud-Anbietern beklagten, sind es heute bereits 85 Prozent. Gleichzeitig steigt die Handlungsbereitschaft spürbar.
37 Prozent der Unternehmen würden heute eine Cloud-Lösung wählen, die Daten ausschließlich in Deutschland verarbeitet und vor ausländischem Zugriff schützt – selbst wenn das höhere Kosten oder weniger Funktionen bedeutet. Im Vorjahr waren es gerade einmal 27 Prozent. Ein Anstieg von zehn Prozentpunkten in zwölf Monaten ist kein Trend. Das ist ein Paradigmenwechsel.
Befeuert wird dieser Wandel durch geopolitische Realitäten: 64 Prozent der Cloud-nutzenden Unternehmen fühlen sich durch die Politik der US-Regierung gezwungen, ihre Cloud-Strategie zu überdenken – nach 50 Prozent im Vorjahr. Was abstrakt klingt, hat konkrete Konsequenzen: Wer kritische Geschäftsprozesse auf Infrastruktur betreibt, die fremdem Recht unterliegt, gibt Kontrolle ab. Über Daten. Über Verfügbarkeit. Im Extremfall über das eigene Geschäft.
Wunsch und Wirklichkeit klaffen auseinander
Die Diskrepanz zwischen dem, was Unternehmen nutzen, und dem, was sie eigentlich wollen, ist bemerkenswert: 71 Prozent beziehen heute Cloud-Dienste aus den USA – bevorzugen würden das aber nur 8 Prozent. Bei deutschen Anbietern ist es genau umgekehrt: 91 Prozent würden lieber auf einen deutschen Provider setzen, aber nur 53 Prozent tun es tatsächlich.
Der Grund für diese Lücke ist bekannt: Lock-in-Effekte. 59 Prozent der Unternehmen nennen schwierige Datenmigration und Abhängigkeiten als größtes Hindernis beim Anbieterwechsel. Hinzu kommt, dass 43 Prozent der Unternehmen sagen, für ihre Cloud-Anforderungen gäbe es derzeit keine gleichwertigen europäischen Alternativen zu den US-Hyperscalern.
Digitale Souveränität ist kein Luxus – sie ist Compliance
Für Unternehmen in regulierten Branchen wie Food, Chemie und Pharma ist digitale Souveränität keine abstrakte Forderung. Sie ist regulatorische Notwendigkeit.
DSGVO, NIS-2, GxP-Anforderungen, ISO 27001 – die Anforderungen an Datensicherheit, Rückverfolgbarkeit und Zugriffsschutz wachsen. Und sie verlangen eine klare Antwort auf eine einfache Frage: Wer betreibt Ihre IT-Infrastruktur, unter welchem Recht, mit welchen Zugriffsrechten?
Ein Beispiel aus der Praxis verdeutlicht die Brisanz: Anfang 2025 verlor der Chefankläger des Internationalen Strafgerichtshofs zeitweise den Zugriff auf seine E-Mails, weil Microsoft infolge politischer Spannungen den Zugang sperrte. Was für eine internationale Behörde gilt, kann für ein mittelständisches Unternehmen genauso gelten – nur ohne die Ressourcen, schnell zu reagieren.
Die Lünendonk-Studie 2026 „Digitale Souveränität – Vom Risiko zur Resilienz“ bestätigt: 93 Prozent der befragten Unternehmen sehen europäische Cloud-Anbieter auf Infrastrukturebene inzwischen als wettbewerbsfähig. Die Frage ist nicht mehr ob, sondern wann der Wechsel vollzogen wird.
Was Cloud-Souveränität wirklich bedeutet
Digitale Souveränität ist mehr als ein Rechenzentrum in Deutschland. Das Zentrum Digitale Souveränität (ZenDiS) warnt ausdrücklich vor „Souveränitäts-Washing“ – also Angeboten, die Souveränität versprechen, sie aber nicht strukturell verankern.
Echte Cloud-Souveränität umfasst mehrere Dimensionen:
- Datensouveränität: Daten werden ausschließlich in Deutschland oder der EU verarbeitet, ohne Zugriffsmöglichkeit durch ausländische Behörden oder Anbieter.
- Betriebssouveränität: Klare Verantwortlichkeiten, vollständige Rückverfolgbarkeit aller administrativen Eingriffe, keine Blackbox-Prozesse.
- Rechtssouveränität: Der Betrieb unterliegt deutschem und europäischem Recht – nicht dem CLOUD Act oder anderen extraterritorialen Regelungen.
- Technologische Unabhängigkeit: Offene Standards, Interoperabilität und realistische Exit-Szenarien verhindern neue Lock-in-Situationen.
Was es braucht sind einheitliche Standards und ein risikobasierter Ansatz: Je sensibler die Daten und Prozesse, desto höher die Souveränitätsanforderungen. Für Unternehmen in regulierten Branchen bedeutet das: Die Messlatte liegt hoch – und sie steigt weiter.
Was Unternehmen jetzt konkret tun können
Der Weg zur digitalen Souveränität muss nicht mit einem Big-Bang-Wechsel beginnen. Bitkom empfiehlt in seinem Leitfaden „Cloud-Souveränität praktisch umsetzen“ einen strukturierten Ansatz:
- Bestandsaufnahme: Welche Systeme, Daten und Prozesse sind geschäftskritisch oder besonders schützenswert?
- Abhängigkeiten bewerten: Wo bestehen Abhängigkeiten von nicht-europäischen Anbietern – und welches Risiko geht damit einher?
- Priorisieren: Nicht alles muss sofort migriert werden. Regulatorisch sensible Bereiche haben Vorrang.
- Architektur anpassen: Offene Schnittstellen, standardisierte Datenformate und klare SLAs reduzieren künftige Lock-in-Risiken.
- Anbieter kritisch prüfen: Zertifizierungen wie ISO 27001, BSI C5 und NIS-2-Konformität sind Mindestanforderungen – kein Alleinstellungsmerkmal.
75 Prozent der Unternehmen sagen, bisherige politische Initiativen zur digitalen Souveränität hätten zu wenig konkrete Effekte gehabt. Das ist ein Signal: Wer auf staatliche Lösungen wartet, wartet zu lang. Eigeninitiative zahlt sich aus – regulatorisch, strategisch und wirtschaftlich.
Fazit
Die Stimmung in der deutschen Wirtschaft hat sich gedreht. Digitale Souveränität ist kein Hintergedanke mehr – sie ist längst zum Chefthema in den Führungsetagen in deutschen Unternehmen erklärt worden.
Unternehmen, die jetzt handeln, sichern sich nicht nur Compliance – sie sichern sich Resilienz und Unabhängigkeit in einem geopolitisch zunehmend unberechenbaren Umfeld. Wer souverän operiert, ist auditfähiger, krisenresistenter und langfristig wettbewerbsfähiger.
Für Unternehmen in Food, Chemie und Pharma, die ohnehin unter hohem Regulierungsdruck stehen, ist eine souveräne Cloud-Strategie kein Mehraufwand. Sie ist der logische nächste Schritt.
GUS ERP begleitet diesen Schritt – mit einer Cloud-Plattform, die Souveränität, Compliance und ERP-Betrieb aus einer Hand vereint: Made & hosted in Germany, ISO 27001-zertifiziert, NIS-2-konform und optional GxP-fähig für regulierte Branchen.