Der US CLOUD Act endet nicht an der US-Grenze. Ist Ihr Cloud-Anbieter amerikanisch, sind Ihre Daten für US-Behörden zugänglich – unabhängig vom physischen Speicherort.

Für DACH-Unternehmen ist dies keine rein theoretische Angelegenheit. Gemäß dem US CLOUD Act können amerikanische Cloud-Anbieter gezwungen werden, Daten offenzulegen, die weltweit gespeichert sind – selbst auf Servern in Frankfurt, Amsterdam oder Zürich. DSGVO und GDPR legen die Compliance-Verantwortung auf den Datenverantwortlichen, also auf Sie, nicht auf Ihren Cloud-Anbieter. Dies führt zu einer rechtlichen Spannung, die sich nicht durch den Verweis auf einen Datenverarbeitungsvertrag mit einem amerikanischen Hyperscaler auflösen lässt.

Die Konsequenzen sind praktisch spürbar. Vorstände und Prüfungsausschüsse in regulierten Sektoren hinterfragen, ob Workloads auf AWS, Azure oder GCP tatsächlich den europäischen Datenschutzpflichten entsprechen. Kunden aus Finanzdienstleistungen, Gesundheitswesen und dem öffentlichen Sektor fordern zunehmend vertragliche Garantien für eine ausschließliche Datenverarbeitung innerhalb der EU. In regulierten Branchen mit strengen Jurisdiktionsanforderungen – wie der Schweizer Finanzregulierung, BSI C5 in Deutschland oder der Datenresidenz im Gesundheitswesen – stellt sich nicht die Frage, ob migriert werden soll. Sondern wie dies ohne Unterbrechung des laufenden Betriebs gelingt.

Gradion unterstützt DACH-Unternehmen dabei, ihre Souveränitätsrisiken zu bewerten, Alternativen zu evaluieren und Migrationen in EU-souveräne Cloud-Umgebungen durchzuführen. Unsere Arbeit ist ingenieurgetrieben und compliance-orientiert – weit mehr als eine reine Checkbox-Übung.

UNSERE LEISTUNGEN

Bewertung der Cloud-Souveränität

Wir prüfen Ihre aktuelle Cloud-Umgebung entlang dreier Dimensionen. Erstens, regulatorische Anforderungen: Welche Datenkategorien Sie verarbeiten, welche sektorspezifischen Pflichten gelten (DSGVO, DORA, HIPAA-äquivalente Rahmenwerke, BSI C5) und welche Leistungen Ihre aktuellen Hosting-Vereinbarungen tatsächlich erbringen. Zweitens, Risiko und Auswirkungen: Wo Datenexposition Compliance- oder Reputationsrisiken birgt, welche Workloads am sensibelsten sind und wie Ihre vertragliche Exposition unter CLOUD Act-Szenarien aussieht. Drittens, Kosten und Migrationskomplexität: Eine realistische Schätzung des Migrationsaufwands, Workload für Workload, inklusive Finanzprognosen. Das Ergebnis ist eine managementtaugliche Bewertung, die Vorständen und CIOs einen klaren Überblick über ihre aktuelle Situation und ihre Optionen verschafft.

Evaluierung souveräner Cloud-Anbieter

Wir evaluieren in Ihrem Auftrag EU-souveräne und europäisch betriebene Cloud-Anbieter, darunter STACKIT (die Cloud der Schwarz Gruppe, speziell für DSGVO-konforme Unternehmens-Workloads entwickelt), Hetzner, IONOS, OVHcloud, T-Systems Open Telekom Cloud, Deutsche Telekom und zertifizierte Clouds für den öffentlichen Sektor. Die Anbieterauswahl basiert auf Ihren technischen Anforderungen, Compliance-Pflichten, geografischen Bedürfnissen und Kostenzielen. Wir unterhalten keine Partnerschaften mit Anbietern, die eine Auswahlverzerrung verursachen könnten. Die Bewertung ist Ihre Entscheidungsgrundlage.

Migrationsdesign und -durchführung

Wir entwerfen gestaffelte Migrations-Roadmaps, die Geschäftsunterbrechungen minimieren, während Workloads in konforme Umgebungen überführt werden. Architekturanpassungen, Änderungen der Netzwerktopologie sowie die Neukonfiguration von Identität und Zugriff werden mit derselben technischen Präzision behandelt wie die Compliance-Begründung. Wir nutzen bewährte Playbooks, die wir in Cloud-Migrationsprojekten in Deutschland, Singapur, Thailand und Ägypten entwickelt haben. Leitplanken für Kosten, Compliance-Status und Sicherheit werden vor Beginn der Migration implementiert und danach kontinuierlich überwacht.

GDPR/DSGVO-Architekturmuster

Souveränität betrifft nicht nur den Speicherort von Daten. Es geht darum, wie Daten fließen, wer darauf zugreifen kann und wie dieser Zugriff gesteuert und geprüft wird. Wir entwerfen Datenresidenz-Muster, die sicherstellen, dass personenbezogene Daten innerhalb definierter geografischer Grenzen verbleiben, implementieren Verschlüsselung und Schlüsselmanagement, das die kryptografische Kontrolle in europäischen Händen hält, und konfigurieren Audit-Logging, das sowohl den DSGVO-Rechenschaftspflichten als auch internen Governance-Anforderungen genügt.

Laufende Compliance-Überwachung

Die Souveränität Ihrer IT-Infrastruktur kann beeinträchtigt werden, wenn neue Dienste ohne Prüfung hinzugefügt, Ressourcen in unkontrollierten Regionen bereitgestellt oder Anbieterbeziehungen geändert werden. Wir implementieren Policy-as-Code-Kontrollen, die Souveränitätsanforderungen kontinuierlich durchsetzen. So werden Abweichungen gemeldet, bevor sie zu einem Compliance-Vorfall werden. Die Konfiguration ist versionskontrolliert und auditierbar.

Erfolg in der Produktion

Ein Schweizer Anbieter von Bankentechnologie, der über 300 Kernbankanwendungen für Dutzende von Schweizer Retailbanken betreibt, unterliegt den FINMA-Anforderungen zur Datensouveränität: Alle Systeme müssen innerhalb der Schweizer Gerichtsbarkeit verbleiben. Mit den regionalen Rechenzentrumszusagen eines Hyperscalers lässt sich nicht verhandeln, wenn die Aufsichtsbehörde eine klare Grenze für den physischen Speicherort von Daten gezogen hat.

Gradion führte ein umfassendes Architektur-Audit für die gesamte Anwendungslandschaft des Kunden durch. Wir definierten eine regulierungskonforme Hybrid-Cloud-Infrastruktur auf Microsoft Azure und Google Cloud innerhalb der Schweizer Grenzen und lieferten einen sequenzierten Migrationsplan innerhalb von 8 Wochen – ohne Ausfallzeiten und regulatorische Fehltritte. Mitarbeiterschulungen und die Vorbereitung auf die Einhaltung der Instant Payments-Vorschriften waren Teil desselben Projekts. Das Ergebnis: eine Cloud-native Architektur, die die FINMA-Anforderungen erfüllt, 500.000 tägliche Transaktionen unterstützt und auf das Schweizer Interbanken-Instant-Payments-Mandat vorbereitet ist.

Nächste Schritte

Beschreiben Sie uns Ihr aktuelles Cloud-Setup und die Compliance-Fragen, vor denen Sie stehen. Wir definieren den Umfang einer Souveränitätsbewertung und liefern Ihnen die Ergebnisse innerhalb von drei Wochen.