Sovereign Cloud ist absolut kein Nischenthema mehr

Was der erste Forrester Wave zeigt

Forrester hat mit dem Forrester Wave™: Sovereign Cloud Platforms, Q2 2026 erstmals eine eigenständige Bewertungskategorie für souveräne Cloud-Plattformen veröffentlicht. Dass die Analysten das Thema aus der bisherigen Einordnung als Unterkategorie allgemeiner Cloud-Infrastruktur herauslösen, ist für sich genommen schon eine Aussage:

Sovereign Cloud wird als eigenständiger Markt mit eigener Wettbewerbsdynamik und eigenen Beschaffungskriterien behandelt.

Was der Report bewertet

Forrester hat 15 Anbieter in drei Kategorien eingestuft. Als Leader gelten Google Cloud, Microsoft, Amazon Web Services, Oracle und Tencent Cloud. In der Gruppe der Strong Performers finden sich T-Systems, STACKIT, NxtGen Cloud Technologies und SAP. Als Contenders werden Aruba, S3NS, IBM, Vultr, OVHcloud und Huawei Cloud geführt.

Der konzeptionelle Kern des Reports: Souveränität lässt sich nicht als Produkt kaufen. Vor allem große Organisationen kombinieren verschiedene Deployment-Modelle (Public Cloud mit Residency-Kontrollen, Private Cloud, Hybrid-Umgebungen, air-gapped-Infrastruktur) je nach Datenklassifizierung, Sektor, Risikobereitschaft und Regulatorik.

Datenspeicherung in einem bestimmten Land allein reicht nicht; Operational Control, Key Management, anwendbares Recht, lokales Personal und die Fähigkeit, unter Krisenbedingungen betriebsfähig zu bleiben, sind ebenso relevant.

Die US-Hyperscaler führen noch mit Zugeständnissen

Google Cloud erreicht laut Report in 14 von 28 Kriterien die Höchstbewertung. Das Modell mit lokalen Partner-Operatoren und einem abgestuften Sovereignty-Portfolio (Public Cloud Data Boundary, Google Cloud Dedicated, Google Distributed Cloud als vollständig air-gapped-Variante) trifft den Nerv regulierter Branchen. Microsoft punktet mit der Konsistenz seiner Controls über Public Cloud, Azure Local und Azure Arc hinweg – keine fragmentierten Tools, einheitliche Governance. AWS setzt auf technische Tiefe und hat mit dem AWS European Sovereign Cloud 2026 eine eigenständige EU-Infrastruktur gestartet, die von EU-Personen betrieben wird.

Der entscheidende Vorbehalt, den der Report für alle US-Hyperscaler mitliefert: Souveränität endet nicht an der Rechenzentrumsgrenze. Solange die operative Einheit eine hundertprozentige Tochter eines US-Konzerns ist, greift US-Recht. Einschließlich Gesetzen, die Datenzugriff unabhängig vom Speicherort erzwingen können. Technische Maßnahmen wie Kundenschlüssel oder lokales Personal mildern das Risiko, lösen es aber nicht vollständig auf.

Europäische Anbieter: im Feld, aber noch nicht ganz vorne

Das interessanteste Signal des Reports ist nicht die Führungsgruppe, sondern die Zusammensetzung des gesamten Feldes. Europäische Anbieter sind in nennenswerten Positionen vertreten: T-Systems und STACKIT als Strong Performers, OVHcloud, Aruba und S3NS als Contenders. Dass sie alle von Forrester evaluiert wurden, zeigt, dass der Markt sie als relevante Alternativen behandelt.

• STACKIT, der Cloud-Arm der Schwarz-Gruppe, wird dabei als einer der interessantesten europäischen Akteure hervorgehoben: Fokus auf Datenhaltung in Deutschland und Österreich, offene Standards, transparente Preisgestaltung. 
• T-Systems hält eine starke Position im DACH-Raum. 
• S3NS, das Joint Venture aus Thales und Google Cloud steht exemplarisch für ein hybrides Modell: Hyperscaler-Technologie unter europäischer Betriebsverantwortung und mit entsprechenden Zertifizierungen.

Der Report benennt aber auch das strukturelle Problem: Die europäischen Anbieter kommen im Bereich Big Data noch nicht an die Funktionstiefe der großen US-Anbieter heran. Weniger Managed Services, weniger Automatisierungsoptionen, weniger Breite beim KI-Angebot. Wer volle Cloud-Souveränität will, zahlt aktuell noch mit eingeschränkter Agilität.

KI als neues Differenzierungsmerkmal

Forrester bezeichnet die Fähigkeit, KI-Workloads in einem souveränen Rahmen zu betreiben, als "true differentiator". Das verschiebt die Debatte. Bisher ging es primär um Datenspeicherung und Compliance-Anforderungen klassischer IT-Systeme.

Künftig werden Organisationen fragen müssen, unter welcher Jurisdiktion ihre KI-Modelle trainiert werden, wer auf Trainingsdaten zugreifen kann und ob der Betrieb eines Inference-Systems in einer souveränen Umgebung überhaupt möglich ist.

Frankreichs Anforderung der SecNumCloud-Zertifizierung für staatliche KI-Workloads dürfte kein Einzelfall bleiben.

Was das für Organisationen im DACH-Raum bedeutet

Die Botschaft des Reports ist eindeutig: Sovereign Cloud ist kein optionaler Compliance-Aufschlag mehr, sondern ein strategisches Beschaffungskriterium. Für Organisationen in regulierten Sektoren wie Finanzwesen, Gesundheit, kritische Infrastruktur, gilt das schon heute unter DORA, NIS2 und DSGVO. Für andere wird der Druck aus geopolitischen Entwicklungen und den Erwartungen von Kunden und Partnern wachsen.

Multi-Cloud-Strategien, bei denen sensible Workloads auf souveräne Plattformen verlagert werden, während weniger kritische Anwendungen auf US-Hyperscalern verbleiben, dürften der realistische Weg für die meisten Organisationen sein. Das erhöht allerdings massiv die Anforderungen an Cloud-Governance, Richtlinien-Kohärenz und vertragliches Risikomanagement erheblich.

Die europäischen Anbieter haben den Anschluss nicht verloren, sie beginnen gerade aufzuholen. Aber sie müssen liefern, solange das geopolitische Zeitfenster für eine Neubewertung von Cloud-Abhängigkeiten noch offen ist.

Quellen: The Forrester Wave™: Sovereign Cloud Platforms, Q2 2026 (Forrester Research); Sekundäranalysen via Google Cloud Blog, Microsoft Azure Blog, SDxCentral, CloudNews.tech, WebProNews.