DSGVO-konforme Anbieter aus Deutschland
Hände weg von meiner Cloud!
Veröffentlicht in Ausgabe 09/2025 - SCHWERPUNKT
Im Jahr 2018 unterzeichnete der damalige und aktuell amtierende US-Präsident Donald Trump den "US CLOUD Act" (Clarifying Lawful Overseas Use of Data Act). Dem Gesetz zufolge sind amerikanische Cloudbetreiber dazu verpflichtet, auf Anweisungen von Behörden oder Gerichten diesen jegliche geforderten Daten zur Verfügung zu stellen, die auf den Systemen des Anbieter gespeichert sind. Das gilt auch dann, wenn sich diese außerhalb der USA befinden. Der CLOUD Act weist explizit darauf hin, dass diese Regel ausländische Datenschutzgesetze, etwa die DSGVO, hinfällig macht. Zudem werden die Eigentümer der Daten nicht darüber informiert, wenn US-Behörden Zugriff darauf nehmen.
Wie willkürlich die aktuelle US-Regierung von ihren vermeintlichen Ansprüchen Gebrauch macht, zeigte zuletzt die Sanktionierung des Chefanklägers des Internationalen Strafgerichtshofs Karim Khan. Unter anderem zwang die US-Regierung Microsoft dazu, Khan den E-Mail-Zugang zu sperren.
Azure ohne Microsoft
Der CLOUD Act entstand aus einem längeren Rechtsstreit zwischen der US-Regierung und Microsoft. Letztere hatte sich gegen einen Gerichtsbeschluss zur Einsicht in Kundendaten auf Basis des "US Patriot Act" zur Wehr gesetzt, da die von der Regierung angeforderten Kundendaten auf einem Server in Irland lagerten. Aus deutscher oder europäischer Sicht stellt der CLOUD Act ein großes Problem dar, denn er steht im direkten Widerspruch zur DSVGO.
Im Jahr 2018 unterzeichnete der damalige und aktuell amtierende US-Präsident Donald Trump den "US CLOUD Act" (Clarifying Lawful Overseas Use of Data Act). Dem Gesetz zufolge sind amerikanische Cloudbetreiber dazu verpflichtet, auf Anweisungen von Behörden oder Gerichten diesen jegliche geforderten Daten zur Verfügung zu stellen, die auf den Systemen des Anbieter gespeichert sind. Das gilt auch dann, wenn sich diese außerhalb der USA befinden. Der CLOUD Act weist explizit darauf hin, dass diese Regel ausländische Datenschutzgesetze, etwa die DSGVO, hinfällig macht. Zudem werden die Eigentümer der Daten nicht darüber informiert, wenn US-Behörden Zugriff darauf nehmen.
Wie willkürlich die aktuelle US-Regierung von ihren vermeintlichen Ansprüchen Gebrauch macht, zeigte zuletzt die Sanktionierung des Chefanklägers des Internationalen Strafgerichtshofs Karim Khan. Unter anderem zwang die US-Regierung Microsoft dazu, Khan den E-Mail-Zugang zu sperren.
Azure ohne Microsoft
Der CLOUD Act entstand aus einem längeren Rechtsstreit zwischen der US-Regierung und Microsoft. Letztere hatte sich gegen einen Gerichtsbeschluss zur Einsicht in Kundendaten auf Basis des "US Patriot Act" zur Wehr gesetzt, da die von der Regierung angeforderten Kundendaten auf einem Server in Irland lagerten. Aus deutscher oder europäischer Sicht stellt der CLOUD Act ein großes Problem dar, denn er steht im direkten Widerspruch zur DSVGO.
Microsoft wehrt sich weiterhin gegen die Kontrolle durch US-Behörden. Als Reaktion auf das schwindende Vertrauen europäischer Kunden hat der Konzern im Juni eine Reihe von Cloudangeboten vorgestellt, die DSVGO-Konformität versprechen – die "Microsoft Sovereign Cloud" [1]. Interessant ist dabei vor allem die "National Partner Cloud". Hier laufen Clouddienste mit Microsoft-Technik (Azure) auf Servern eines lokalen Partnerunternehmens, das keine direkte Microsoft-Tochter ist und damit nicht unter den CLOUD Act fällt.
In Deutschland ist das beispielsweise die Delos Cloud GmbH [2]), ein Tochterunternehmen von SAP. Zum Redaktionsschluss Mitte Juli war die Delos-Cloud auf Microsofts Webpage jedoch nur als "bald Verfügbar" betitelt und ließ sich noch nicht buchen. Die beiden anderen großen Anbieter Amazon und Google haben bislang noch keine Schleichwege um den CLOUD Act herum vorgestellt.
Cloud ganz ohne USA
Deutsche Unternehmen kommen in der Zwischenzeit aber auch ganz gut ohne die Clouddienste der großen drei Amerikaner aus. Dieser Artikel beleuchtet eine ganze Reihe unterschiedlicher Angebote, die nicht von US-Konzernen oder deren Töchtern stammen und damit nicht dem US CLOUD Act unterliegen.
Die verschiedenen Angebote reichen von simplen Internetdiensten und Cloud-Apps, über Kubernetes hin zu privaten Clouds und kollokierten Root-Servern. Ohne Anspruch auf Vollständigkeit haben wir uns ein paar dieser Angebote angesehen und geben einen Überblick zu deren Funktionalität und Benutzbarkeit im Vergleich zu den drei großen US-Hyperscalern.
Europäische Anbieter
Neben den genannten deutschen Firmen gibt es zudem eine Vielzahl europäischer Anbieter, deren Rechenzentren in Europa arbeiten und die OpenStack als Basis für ihre Clouddienste nutzen. Für diesen Kasten haben wir ein paar Anbieter herausgepickt, liefern aber keine vollständige Übersicht. Cleura [9] aus Schweden etwa wirbt explizit mit den Themen Datenschutz und Compliance und zielt damit bevorzugt auf Unternehmen aus den Bereichen Verteidigung, Medizin und dem öffentlichen Dienst. Die Rechenzentren arbeiten in Schweden und Deutschland. Einer der größten Cloudprovider Europas überhaupt ist OVH [10] mit Hauptsitz Frankreich. Das Unternehmen bewirbt ein ähnliche umfangreiches Portfolio wie beispielsweise IONOS. Die Public Cloud von OVH basiert auf OpenStack. Der Anbieter betreibt Rechenzentren in Frankreich, Polen, Deutschland, Spanien und England.
IONOS Cloud
Der erste große Anbieter in unserer Auflistung ist IONOS. Das Unternehmen verfügt über eine komplette Palette an Internetdienstleistungen, angefangen beim Domainverkauf und dem Hosting simpler Webdienste. Darüber hinaus offeriert der die Firma aus Montabaur Office-Dienste mit und ohne Exchange sowie diverse Cloudspeicher. Neben Google- oder Microsoft-Office können Kunden auch Collabora Office buchen und sich auch hier von US-kontrollierten Angeboten lösen.
Die IONOS Cloud [3] liefert virtuelle Maschinen und Basisdienste, wie sie auch bei den großen Hyperscalern zu finden sind. Neben OS-Images gibt es fertige Applikationen und natürlich auch Kubernetes-Cluster, auf denen Nutzer ihre containerisierten Applikationen starten können. Die zentrale IONOS-Konsole, der "Datacenter Designer", stellt die Cloudressourcen grafisch dar und gibt den Anwendern einen guten Überblick. In einem kurzen Test offeriert der Datacenter Designer zwar viel Komfort, bleibt in Sachen Performance aber hinter anderen Anbietern zurück.
Neben dem Web-CLI gibt es natürlich auch ein API mit einem passenden SDK, eine Ansible-Collection und einen Terraform-Provider, mit denen sich die Cloudkonfiguration vollständig automatisieren lässt. In unserer kurzen Inaugenscheinnahme funktioniert die gut gepflegte Ansible Collection problemlos und ließ uns VMs ähnlich komfortabel wie bei AWS ausrollen. Im direkten Vergleich fallen die Ansible-Dienste von Azure und GCP aufwändiger aus.
Zusammen mit dem spanischen Anbieter Dynamo und der italienischen Firma Aruba entwickelt IONOS zudem das "Sovereign European Cloud API" (SECA) [4]. Dieses offene API können andere Cloudprovider nutzen und erweitern, sodass Managementtools künftig keine individuellen Treiber für die verschiedenen Anbieter brauchen, sollten diese Seca umsetzen. Bislang sind es aber eben nur diese drei Anbieter, die diesen offenen API-Ansatz vorantreiben. Es wäre begrüßenswert, wenn weitere Dienstleister dem Beispiel folgten.
Neben virtuellen Diensten können Kunden bei IONOS zudem physische Server oder gemanagte vSphere-Umgebungen mieten. Das erlaubt den Nutzern dann auch einen sanften Umstieg weg von lokalen vSphere-Installationen hin zu offenen IAS-Umgebungen und Containern.
Zu den Stärken der IONOS-Cloud gehört der große Umfang an verschiedensten vorgefertigten Diensten, die technisch nicht so versierten Nutzern den Ein- oder Umstieg erleichtert. Dazu zählen etwa auch vorgefertigte Backuptools. Neben den deutschen Rechenzentren betreibt IONOS Umgebungen in Spanien und Frankreich, außerhalb der EU auch in Großbritannien und den USA. Für Unternehmen mit hohen Datenschutzanforderungen bietet IONOS die Möglichkeit, Dienste ausschließlich in deutschen Rechenzentren zu hosten. Diese Rechenzentren sind nach ISO 27001 zertifiziert und erfüllen die Anforderungen der DSGVO.
Hetzner Cloud
Die Palette von Hetzner reicht von physischen Root-Servern über Internetdienste bis hin zu virtuellen Maschinen auf der "Hetzner Cloud" [5]. Das Angebot ist übersichtlich und konzentriert sich auf das Wesentliche. Anders als bei IONOS fällt der Katalog vorgefertigter Applikationen deutlich kleiner aus und es gibt auch keinen schlüsselfertigen Kubernetes-Cluster. Leider fehlen hier auch fertige Backoffice-Server wie beispielsweise Collabra. Immerhin gibt es einen vorkonfigurierten Jitsi-Meet- und einen Nextcloud-Server.
Der Kunde erstellt auf der Hetzner Cloud seine virtuellen Datacenter und rollt darin seine Maschinen aus. Auch bei Hetzner gibt es ein SDK, eine passende Ansible-Collection und einen Terraform-Provider. Neben der guten herstellereigenen Dokumentation finden Nutzer viele Beispiele, um kompliziertere Anwendungen oder Kubernetes-Cluster flott via Terraform oder Ansible auf der Hetzner Cloud auszurollen. Passend zu den Compute-Angeboten können Unternehmen bei Hetzner auch Storage via S3-Buckets oder ganze Multiprotokoll-Storage-Boxen dazubuchen.
Allerdings fällt die Auswahl der OS-Images bei Hetzner übersichtlich aus. Die Vorlagen liefern zudem nur freie Linux-Distributionen. Es gibt keine Windows-Abbilder oder kommerzielle Enterprise-Linux-Distributionen wie RHEL oder SLES. Für letztere besteht ein Workaround, der jedoch mit Aufwand verbunden ist: Hierbei installieren Nutzer zunächst die Open-Source-Variante des gewünschten Betriebssystems wie OpenSuse oder AlmaLinux und nutzen dann Herstellertools wie convert2RHEL, um daraus eine kommerzielle Distribution zu schmieden. Vom Snapshot des so umgebauten Images können Kunden dann weitere Instanzen klonen.
Verglichen mit IONOS richtet sich Hetzner stärker an technisch versierte Firmen und IT-Verantwortliche, die genau wissen, welche Ressourcen sie benötigen. Die Hetzner Cloud ist aber insgesamt recht flexibel und schnell – in gerade einmal 21 Sekunden rollt unser Ansible Playbook ein Testsystem auf der Hetzner Cloud aus, das sich sofort nach dem Rollout per SSH kontaktieren und nutzen ließ. Zwar kann AWS beim reinen Rollout noch mithalten, jedoch müssen Anwender hier länger drauf warten, bis die VM sich per SSH ansprechen lässt.
Zudem ist der Anbieter gerade im Vergleich mit den amerikanischen Hyperscalern recht günstig, vor allem, was physische Mietserver betrifft. Der Autor dieses Artikels zahlt etwa für einen Server mit einer Sechs-Kern-Xeon-CPU, 256 GByte RAM und vier 4-TByte-Disks im Monat 80 Euro. Zum Vergleich: Bei Azure kostet eine virtuelle Maschine mit 8 Kernen und 64 GByte RAM im Monat über 500 Euro zuzüglich rund 200 Euro für 12 TByte HDD-Kapazität. Generell fällt bei einem Blick auf die Preisliste auf, dass physische Systeme bei Hetzner oft deutlich günstiger zu haben sind als vergleichbare virtuelle Systeme auf den Plattformen der großen US-Konzerne.
Insgesamt offeriert der Anbieter eine Vielzahl von Konfigurationen, von kleinen Single-Socket-Systemen bis hin zu ausgebauten Markenservern von Dell oder neuerdings auch KI-Tauglichen GPU-Systemen mit NVIDIA-Karten. Neben Neusystemen vermietet Hetzner auch gebrauchte Server über die Serverbörse. Die Angebote adressieren vor allem Administratoren, die genau wissen, was sie brauchen und das auch alles selbst administrieren können und wollen. Eine Hetzner-Umgebung mit physischen Maschinen und/oder Ressourcen in der Cloud lässt sich letztendlich verwalten wie ein lokales Rechenzentrum mit einer sehr zügigen Internetanbindung.
Open Telekom Cloud und plusserver
Noch eine Etage über dem IONOS-Portfolio setzt die "Open Telekom Cloud" [6] auf. Die Plattform läuft ausschließlich auf europäischen Rechenzentren in Deutschland und Holland und setzt auf das quelloffene OpenStack. Darauf offeriert die Telekom eine sehr lange Liste vorgefertigter Applikationen und Dienste mit diversen Datenbanken, Management- sowie Storage-Tools. Der Anbieter hat sogar ein "Cloud Services Cheat Sheet" [7] veröffentlicht, das die große Liste der verfügbaren Dienste direkt den Services von Azure, AWS und Google gegenüberstellt. Wer beispielsweise eine "Artifact Registry" bei Google nutzt, findet schnell heraus, dass die Telekom den vergleichbaren Dienst als "Image Management Server" im Katalog hat.
Die Produktpalette der Open-Telekom-Cloud zielt damit direkt auf die Nutzer der amerikanischen Dienste — mit dem wesentlichen Unterschied, dass alle Services in deutschen oder holländischen Rechenzentren und damit außerhalb der Reichweite des CLOUD Acts laufen.
Ebenfalls auf OpenStack setzt die Cloud des deutschen Anbieters plusserver [8]. Der Dienstleister offeriert zudem VMware-basierte Dienste, was vielen Firmen mit bestehenden, lokalen vSphere-Umgebungen die Migration in die Cloud erleichtern sollte. Und arbeiten virtuelle Server erst einmal in der Cloud, können Administratoren ihre Anwendungen Schritt für Schritt weg von VMware Richtung OpenStack beim gleichen Anbieter konvertieren.
Fazit
Die Liste an Cloudanbietern ließe sich noch lange fortsetzen. Unter dem Strich stehen dutzende deutsche und europäische Cloud-anbieter zur Wahl, die funktionell und preislich mit den drei großen amerikanischen Anbietern mithalten können, dabei aber DSGVO-konforme Dienstleistungen anbieten – ganz ohne potenzielle Einsicht durch die US-Regierung.
(ln)
Link-Codes
[1] Microsoft Sovereign Cloud: https://www.microsoft.com/de-de/industry/sovereignty/cloud
[2] Delos Cloud: https://www.deloscloud.de/index.html
[3] IONOS Cloud: https://cloud.ionos.de/
[4] SECA: https://www.secapi.cloud/
[5] Hetzner Cloud: https://www.hetzner.com/de/cloud
[6] Open Telekom Cloud: https://www.open-telekom-cloud.com/
[7] Cloud Services Cheat Sheet: https://community.open-telekom-cloud.com/community?id=community_blog&sys_id=b18ae93413306d10d15a246ea6744138
[8] plusserver: https://www.plusserver.com/
[9] Cleura: https://cleura.com
[10] OVHcloud: https://www.ovhcloud.com/de/