Souveräne Cloud-Lösungen: Wie die Verwaltung digitale Abhängigkeiten steuert

Cloud wird zur strategischen Infrastruktur – das das ist auch beim Staat und seinen Einrichtungen so. Der KPMG Cloud Monitor 2025 zeigt, dass 58 Prozent der befragten Unternehmen eine souveräne Cloud als unverzichtbar betrachten. Was für Unternehmen gilt, gilt für die öffentliche Verwaltung umso mehr: Sie muss digitale Dienste schneller bereitstellen und zugleich die Kontrolle über Daten, Infrastruktur und kritische Prozesse sichern. Die zentrale Frage lautet also: Welche Abhängigkeiten kann der Staat akzeptieren – und wo muss er die Kontrolle über Daten und Prozesse behalten. 

>>> Unsere Studie analysiert die Cloud-Realität deutscher Unternehmen im Jahr 2025. Lesen Sie jetzt unseren Cloud Monitor.

Geopolitische Spannungen und steigende Sicherheitsanforderungen machen diese Frage dringlicher. Viele leistungsfähige Cloud-Angebote stammen von außereuropäischen Anbietern. Die politische Cloud-Debatte greift jedoch zu kurz, wenn sie Souveränität mit Abschottung verwechselt. Für die Verwaltungspraxis ist nicht maximale Unabhängigkeit um jeden Preis entscheidend, sondern die Fähigkeit, Abhängigkeiten aktiv zu steuern.

Die öffentliche Verwaltung verfolgt seit mehreren Jahren eine cloudorientierte Modernisierungsstrategie. Der IT-Planungsrat, das politische Steuerungsgremium für die Digitalisierung der deutschen Verwaltung, setzt mit seiner „Strategie zur Stärkung der Digitalen Souveränität“ auf interoperable, modulare und föderierte IT-Strukturen. Das bedeutet, dass IT-Systeme auch von verschiedenen Anbietern reibungslos zusammenarbeiten, aus austauschbaren Bausteinen bestehen und nicht zentral bei nur einem Akteur betrieben werden. Entscheidend ist dabei nicht der eine „richtige“ Anbieter, sondern die Fähigkeit, Anbieter und Dienste bei Bedarf wechseln zu können.

Vier Beispiele, wie sich digitale Souveränität in der Verwaltung organisieren lässt:

1. Staatlich kontrollierte Private Cloud
Für besonders schutzbedürftige Bereiche braucht der Staat maximale Kontrolle über Betrieb, Datenzugriff und Sicherheitsmechanismen. Die Bundescloud des ITZ Bund steht exemplarisch für diesen Ansatz: Dort, wo Kritikalität und Schutzbedarf besonders hoch sind, bleibt staatlich kontrollierte Infrastruktur ein zentraler Baustein.

2. Föderierte Verwaltungscloud
Nicht jeder souveräne Cloud-Ansatz muss zentral betrieben werden. Hohe Souveränität kann entstehen, wenn Behörden über gemeinsame Standards verschiedene Cloud-Dienste nutzen und bei Bedarf wechseln können. Die Deutsche Verwaltungscloud sollte dafür IT-Silos aufbrechen und eine gemeinsame Basis für unterschiedliche Cloud-Leistungen inklusive Wahlfreiheit und Portabilität schaffen.

3. Souveräne Angebote internationaler Anbieter
Auch internationale Anbieter können Teil einer souveränen Cloud-Strategie sein, wenn sie sich an europäische Governance-, Compliance- und Kontrollmechanismen binden lassen. Ein Beispiel ist die AWS European Sovereign Cloud, die auf eine physisch getrennte Infrastruktur in der EU ausgerichtet ist. Solche Modelle verbinden Skalenvorteile mit zusätzlichen Kontrollmechanismen – verlangen aber eine sorgfältige Prüfung von Transparenz, Durchsetzbarkeit und Exit-Fähigkeit.

4. Public Cloud für Standardanwendungen
Für Anwendungen mit geringerem Schutzbedarf können Public-Cloud-Dienste sinnvoll sein. Voraussetzung ist, dass sie in eine klare Architektur eingebettet sind: mit definierten Schnittstellen, Sicherheitsanforderungen und vertraglich abgesicherten Wechseloptionen. Bezugsmodelle wie der govdigital Cloud-Broker oder Anforderungen des BSI-Kriterienkatalogs können Orientierung geben.

Die Verwaltung sollte keinen Einheitsansatz verfolgen, um die digitale Souveränität zu wahren, sondern differenziert nach Schutzbedarf und Kritikalität vorgehen. Denn wer alle Anwendungsfälle gleich behandelt, riskiert Innovationshemmnisse, den Verlust digitaler Souveränität – oder beides. 

Wer Souveränität nicht nur zusagen, sondern absichern will, sollte Cloud-Entscheidungen an drei zentralen Dimensionen messen:

• Wo liegen die Daten – und welchem Recht unterliegen sie?
• Wer kontrolliert Identitäten, Zugriffe und Verschlüsselung?
• Wie realistisch ist ein Wechsel (Stichwort: Portabilität) zu einem anderen Cloud-Anbieter?

Gerade die Portabilität wird häufig unterschätzt. Sie sollte technisch, organisatorisch und vertraglich vorbereitet werden: durch offene Schnittstellen, standardisierte Datenformate, klare Exit-Regeln und regelmäßig erprobte Migrationsszenarien.

Digitale Souveränität ist keine technische Detailfrage, sondern eine strategische Managementaufgabe. Erfolgreich wird nicht die Verwaltung sein, die die meiste Technologie selbst betreibt, sondern diejenige, die am klarsten definiert, welche Abhängigkeiten akzeptabel sind – und welche nicht. Die entscheidenden Weichen werden nicht in Rechenzentren gestellt, sondern in Architektur-, Governance- und Beschaffungsentscheidungen. Werden diese Grundsatzentscheidungen frühzeitig verankert, lässt sich die Souveränität von Cloud-Lösungen im öffentlichen Sektor langfristig sichern.

Erfahren Sie mehr zu diesem Thema:

• Souveräne Cloud – wie Unternehmen Kontrolle, Sicherheit und Innovation verbinden. Hören Sie dazu unseren Podcast. 
• Intelligent government: KI-gestützte Transformation im öffentlichen Sektor – lesen Sie dazu unsere Studie. 
• Prozessautomatisierung: So begleiten wir die Bundesagentur für Arbeit. Erfahren Sie hier mehr über unsere Arbeit.

Co-Autoren: 

• Adrian Malzer, Manager, Public Sector Consulting
• Konstantin Jannone, Assistant Manager, Public Sector Consulting