Auf den Punkt: Datensouveränität durch lokale Cloud-Infrastruktur ist notwendig, aber unzureichend — echte Kontrolle erfordert robustes Identity Governance und Transparenz über Metadaten, Verschlüsselungsschlüssel und Zugriffsprotokolle.
Europäische Unternehmen haben unter regulatorischem Druck demonstriert, dass souveräne Cloud-Infrastruktur allein keine echte Kontrolle über sensible Daten und KI-Workloads sichert. Die tatsächliche Kontrolle liegt auf einer anderen Ebene: bei Identity Governance und Zugriffsmanagement.
Europäische Unternehmen haben in den letzten zwei Jahren unter Druck von DORA (seit Januar 2025 vollständig gültig), NIS2-Enforcement und den High-Risk-Regelungen des EU AI Act (wirksam ab August 2026) eine großangelegte Migration zu souveräner Cloud-Infrastruktur durchgeführt. Dabei stellte sich heraus: Datensouveränität allein — also die physische Residenz in europäischen Rechenzentren — bietet nicht die Kontrolle, die Vorstände, Compliance-Teams und Auditoren erwarten. AWS startete seine European Sovereign Cloud im Januar 2026; Microsoft und Google folgten mit eigenen Angeboten. Doch die operationale Realität weicht erheblich von den Zusagen ab.
Der Praxisdiskurs hat sich messbar verschoben. Auf der European Identity and Cloud Conference 2026 in Berlin zeigte sich, dass das Thema Identity Fabric, Workload Identity Management und AI Security die vorderen Plätze einnehmen, während die reine Sovereign-Cloud-Architektur zur angenommenen Infrastruktur-Grundlage geworden ist. Martin Kuppinger (KuppingerCole) fasste die Erkenntnis zusammen: Souveränität ist kein Selbstweck. Die notwendige Stufe hängt vom Use Case und einer belastbaren Risikobewertung ab. Es gibt kein binäres Souveränitätsmodell. Das bedeutet: Unternehmen müssen unterscheiden zwischen Workloads mit unterschiedlichem Schutzbedarf.
Die offene Frage lautet: Wer kontrolliert tatsächlich was? Datensouveränität definiert nur, wo Daten physisch liegen. Die kritischen Kontrollfragen bleiben unbeantwortet: Wer hält die Verschlüsselungsschlüssel und unter welchen rechtlichen Bedingungen kann auf sie zugegriffen werden? Wer sieht Metadaten, Zugriffsprotokolle und Telemetrie von Workloads? Bei KI-Modell-Training und Inferenz: Wer kontrolliert die Model Registry, die Trainings-Datenpipeline und Output-Logs? Und wenn autonome KI-Agenten Workloads provisionieren oder Zugriffsentscheidungen treffen: Auf welcher Infrastruktur laufen diese Agenten, und wer kann ihre Aktionen beobachten?
Für CISOs bedeutet das: Souveräne Cloud ist eine notwendige, aber nicht hinreichende Maßnahme für regulatorische Compliance im Kontext von KI und kritischer Infrastruktur. Die tatsächliche Kontrolle muss durch ein robustes Identity Governance Framework, Schlüsselverwaltung, Audit-Logging und Zugriffskontrolle auf der Anwendungsschicht sichergestellt werden — unabhängig davon, bei welchem Cloud-Anbieter die Infrastruktur läuft.
Quelle: www.csoonline.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.