EU-Datensouveränität für KMU: Der digital souveräne IT-Stack 2026

Warum EU-Datensouveränität 2026 kein Compliance-Thema mehr ist

Bis vor wenigen Jahren galt EU-Datensouveränität als juristische Feinheit für Konzerne und Behörden. 2026 ist daraus ein operatives Risiko für jeden Mittelständler geworden. In Hamburger Beratungen sehen wir Unternehmen, die mit US-Cloud-Abhängigkeit kämpfen. Drei Entwicklungen treiben das.

Erstens hat der US CLOUD Act (2018) klargestellt, dass US-Behörden auf Daten zugreifen dürfen, die von US-Unternehmen verarbeitet werden, unabhängig vom Speicherort. Ein Rechenzentrum in Frankfurt schützt nicht vor einer National Security Letter aus Washington, wenn der Betreiber Microsoft, Google oder Amazon heißt.

Zweitens hat der EuGH mit dem Schrems II-Urteil (2020) das Privacy Shield gekippt und das Transatlantic Data Privacy Framework (2023) steht erneut auf wackeligem Boden. Verantwortliche müssen pro Datentransfer eine Risikobewertung erstellen.

Drittens verpflichtet NIS2 seit Umsetzungsstart 2024 mittlere Unternehmen in 18 Sektoren zu nachweisbarem Lieferkettenrisiko-Management. Ein US-Cloud-Anbieter im Stack ist damit nicht verboten, aber er muss dokumentiert, bewertet und im Zweifel ersetzbar sein.

Hinzu kommt seit Mai 2024 das Digitale-Dienste-Gesetz (DDG), das das alte TMG abgelöst hat und Transparenzpflichten verschärft.

Was bedeutet EU-Datensouveränität konkret?

EU-Datensouveränität ist die Fähigkeit eines Unternehmens, die eigenen Daten und IT-Systeme dauerhaft unter europäischem Recht und europäischer Kontrolle zu betreiben. Sie hat drei Ebenen.

1. Rechtsraum. Der Vertragspartner unterliegt ausschließlich europäischem Recht und ist nicht über Konzernverflechtungen US-Behörden zugriffspflichtig.
2. Betreiberebene. Eigentum, Geschäftsführung und Kontrolle des Anbieters liegen in der EU.
3. Speicher- und Verarbeitungsort. Daten ruhen und werden in EU-Rechenzentren verarbeitet, inklusive Backups, Logs und Support-Zugriffen.

Erst wenn alle drei Ebenen erfüllt sind, spricht das BSI von einem digital souveränen Dienst. Reine “EU-Region” eines US-Hyperscalers reicht nicht.

Risikoprofil US-Hyperscaler im Überblick

Diese Tabelle zeigt, wo der Konflikt entsteht. Sie ersetzt keine juristische Prüfung im Einzelfall.

Der EU-souveräne IT-Stack 2026

Ein vollständig souveräner Stack ist heute realistisch. Die folgende Auswahl bildet die Anbieter ab, die Netzleiter bei Hamburger KMU produktiv im Einsatz hat.

Diese vier Bausteine decken den Großteil eines KMU-IT-Stacks ab. Im Folgenden ein Anbieterprofil pro Baustein mit dem, was im Alltag wirklich zählt.

Nextcloud Hub als Microsoft 365-Alternative

Anbieter: Nextcloud GmbH, Sitz Stuttgart, eigene Entwicklung in Deutschland. Gegründet 2016 von Frank Karlitschek.

Funktionsumfang. Nextcloud Hub bündelt Dateien (Files), Kalender und Kontakte (Groupware), Chat und Videokonferenz (Talk), kollaborative Dokumente (Office mit Collabora oder OnlyOffice), Mail-Client und E-Mail-Server-Anbindung sowie Workflow-Automatisierung (Flow). Damit deckt es funktional rund 80 Prozent dessen ab, was typische KMU aus Microsoft 365 tatsächlich nutzen.

Souveränitätsprofil. Open Source unter AGPL, hostbar im eigenen Rechenzentrum, bei einem deutschen Hoster oder als Managed Nextcloud bei einem EU-Anbieter. Es gibt keinen Zwangsweg zu einem US-Backend.

Praxisstärken. Granulare Berechtigungen, Ende-zu-Ende-Verschlüsselung bei sensiblen Ordnern, einfache Föderation zwischen Unternehmen. Für Healthcare und Steuerkanzleien besonders relevant.

Wo es klemmt. Excel-Power-User mit komplexen Makros bleiben in der Übergangszeit häufig bei lokalem Office. Outlook-Migration ist machbar, kostet aber Schulung. Teams-typische Tiefenintegration zu Drittsystemen muss man bewusst nachbauen.

Impossible Cloud für Backup und Objektspeicher

Anbieter: Impossible Cloud GmbH, Sitz Hamburg, gegründet 2021 von Kai Wawrzinek. Rechenzentren in Deutschland.

Funktionsumfang. S3-kompatibler Objektspeicher, Hot Storage ohne Egress-Gebühren und ohne Mindestaufbewahrungsfrist, geeignet für Backup-Archive (Veeam, Veritas, Synology, Nakivo), Disaster Recovery und große Mediendaten.

Souveränitätsprofil. EU-GmbH, Daten ausschließlich in deutschen Rechenzentren, Verträge nach deutschem Recht. Kein Konzernzugriff aus den USA, da kein US-Mutterhaus.

Praxisstärken. Preisstabilität, klare Tarife ohne Egress-Falle, S3-API ermöglicht Drop-in-Ersatz für AWS S3 in fast allen Backup-Tools. Standortvorteil Hamburg für lokale Kundennähe.

Wo es klemmt. Kein Cold-Tier wie AWS Glacier. Wer wirklich petabyteweise Langzeitarchiv für Cent pro Gigabyte sucht, braucht eine zweite Lösung. Für klassisches 3-2-1-Backup eines Mittelständlers ist Impossible Cloud aber ideal.

ESET PROTECT als europäische Endpoint-Plattform

Anbieter: ESET, spol. s r.o., Sitz Bratislava, Slowakei, gegründet 1992. Europäisches Unternehmen ohne US-Mutterhaus.

Funktionsumfang. ESET PROTECT Plattform mit Endpoint Security, EDR/XDR (Inspect), Mail Security, Full-Disk-Encryption, Cloud Sandbox (LiveGuard) und Vulnerability- und Patch-Management. Vollständige zentrale Konsole als Cloud-Variante in EU-Rechenzentren oder On-Premises.

Souveränitätsprofil. Slowakische s.r.o. unter EU-Recht. Signature-Updates und Telemetrie laufen über EU-Infrastruktur. ESET wurde nach dem BSI-Hinweis zu Kaspersky 2022 zur empfohlenen Alternative für Behörden und KRITIS.

Praxisstärken. Sehr geringer Ressourcenverbrauch auf Endpunkten, hohe Erkennungsraten in AV-Comparatives-Tests, langfristig stabile Produktstrategie. EDR mit ESET Inspect erlaubt forensische Analyse ohne Drittanbieter.

Wo es klemmt. Marketing-Sichtbarkeit ist geringer als bei CrowdStrike, das täuscht über die Substanz. Reporting muss man im PROTECT Cloud-Mandanten initial sauber aufsetzen.

LANCOM Systems für Router, VPN und WLAN

Anbieter: LANCOM Systems GmbH, Sitz Aachen, gegründet 2002, seit 2018 Teil von Rohde und Schwarz. Hardware und Firmware Made in Germany. BSI-zertifizierte Produkte (CC EAL4+, VS-NfD-Zulassung für Teile der Linie).

Funktionsumfang. Business-Router mit integrierter Firewall, Site-to-Site- und Client-VPN (IKEv2, IPsec, WireGuard), Wi-Fi 6 und Wi-Fi 7 Access Points, SD-WAN, zentrale Verwaltung über LANCOM Management Cloud (LMC) wahlweise in deutschen Rechenzentren oder On-Premises.

Souveränitätsprofil. Deutsche GmbH, Entwicklung und Fertigung in Deutschland, keine erkannten Hintertüren in Audits. Für KRITIS und Behörden auf der BSI-Empfehlungsliste.

Praxisstärken. Stabile Firmware-Pflege über sehr lange Lebenszyklen, viele Modelle bekommen 7 bis 10 Jahre Updates. Für Healthcare- und Handwerksumgebungen, wo Hardware nicht alle drei Jahre getauscht wird, ein wirtschaftlicher Vorteil.

Wo es klemmt. Konfigurationsoberfläche ist Ingenieurssprache, kein Spielzeug. Wer aus Ubiquiti-Welten kommt, braucht Eingewöhnung. Dafür ist die Konfiguration reproduzierbar und skriptbar.

Wie Netzleiter den Umstieg begleitet

Migration zu einem EU-souveränen Stack ist kein Big-Bang-Projekt, sondern eine Reihe kontrollierter Phasen. Netzleiter arbeitet mit Hamburger KMU typischerweise in fünf Schritten.

1. Souveränitäts-Audit (1 bis 2 Wochen). Wir kartieren den vorhandenen Stack, dokumentieren Datenflüsse, identifizieren US-Abhängigkeiten und priorisieren nach Risiko und Migrationsaufwand. Ergebnis ist ein konkreter Maßnahmenplan, kein Foliensatz.
2. Quick Wins (2 bis 6 Wochen). Antivirus auf ESET umstellen, Backup-Ziel auf Impossible Cloud erweitern (zweite Kopie nach 3-2-1), VPN-Router gegen LANCOM tauschen. Diese drei Schritte verbessern Souveränität messbar, ohne den Arbeitsalltag der Endnutzer zu berühren.
3. Kollaborations-Pilotierung (1 bis 3 Monate). Nextcloud-Instanz für eine Abteilung oder ein Projekt, parallel zu Microsoft 365 betrieben. Wir messen, was wirklich genutzt wird, und passen die Roadmap an.
4. Schrittweiser Rollout. Bereich für Bereich, mit Schulung der Endnutzer und Datenmigration im Hintergrund. Geschäftsführung und Buchhaltung wandern oft zuletzt, Marketing und Projektteams meist zuerst.
5. Betrieb und Pflege. Managed Services für Nextcloud-Updates, ESET-Konsole, Impossible Cloud-Backup-Verifikation und LANCOM-Firmware-Lifecycle. Damit bleibt der Stack souverän und gleichzeitig betriebssicher.

Konkret heißt das: Eine 25-Personen-Firma kann in 6 bis 9 Monaten von “Microsoft 365 plus US-Backup plus US-Antivirus” auf einen vollständig EU-souveränen Stack wechseln, ohne Produktivitätseinbruch.

EU-Souveränität und Kosten

Häufige Vermutung: souverän bedeutet teurer. In der Praxis stimmt das selten.

• Lizenzkosten. Microsoft 365 Business Standard liegt bei 12,90 Euro pro Nutzer monatlich, Nextcloud Hub bei einem deutschen Hoster oft zwischen 4 und 8 Euro pro Nutzer monatlich. Bei 25 Nutzern sind das schnell 1.500 Euro im Jahr.
• Storage. Impossible Cloud bei rund 6,99 USD pro Terabyte und Monat ohne Egress, AWS S3 Standard bei rund 23 USD plus Egress.
• Endpoint. ESET PROTECT Advanced bewegt sich preislich auf CrowdStrike-Niveau für ähnlichen Funktionsumfang.
• Hardware. LANCOM-Router liegen im Anschaffungspreis nicht über vergleichbaren Cisco-Linien, dafür länger im Support.

Der wirtschaftliche Hebel kommt aus Egress-Vermeidung, Lizenzklarheit und vermiedener Compliance-Doku-Arbeit nach Schrems II.

Häufige Fragen zur EU-Datensouveränität

Ist Microsoft 365 in der EU-Region nicht ausreichend?

Nein. Datenlokalisierung ist ein Baustein, aber Microsoft bleibt als US-Mutterkonzern dem CLOUD Act unterworfen. Für hochsensible Daten aus den Bereichen Gesundheit, Recht und Forschung ist das nicht akzeptabel.

Was ist mit dem EU-US Data Privacy Framework von 2023?

Es ermöglicht Transfers, hat aber bereits eine Schrems-III-Klage am Hals. Verantwortliche müssen das Risiko des Wegfalls einpreisen und Exit-Szenarien dokumentieren.

Wie aufwendig ist ein Nextcloud-Umzug?

Für 10 bis 50 Nutzer typischerweise 4 bis 12 Wochen mit Pilotphase. Outlook- und OneDrive-Migration sind technisch gelöste Probleme, die Hauptarbeit liegt in Schulung und Akzeptanz.

Erkennt ESET genauso gut wie CrowdStrike?

In AV-Comparatives- und AV-Test-Berichten der letzten drei Jahre bewegen sich beide auf vergleichbarem Niveau. ESET ist im Ressourcenverbrauch schlanker, CrowdStrike in der Threat-Intelligence-Tiefe stärker. Für KMU unter 250 Endpunkten ist ESET PROTECT meist die wirtschaftlichere und souveränere Wahl.

Ist Impossible Cloud Veeam-zertifiziert?

Ja, Impossible Cloud ist Veeam Ready für S3 Object Storage und funktioniert mit Veeam Backup and Replication, Veeam für Microsoft 365 sowie weiteren großen Backup-Plattformen.

Welche LANCOM-Modelle sind für 20 bis 50 Mitarbeitende sinnvoll?

Typische Empfehlung: LANCOM 1900EF oder R8910 als Standort-Router, LX-6402 oder LX-6500 als Wi-Fi-6-Access-Points, VPN-Anbindung an Remote-Arbeitsplätze über IKEv2.

Nächste Schritte

EU-Datensouveränität wird nicht durch ein einzelnes Tool gelöst, sondern durch eine bewusste Architekturentscheidung. Wer 2026 noch nicht damit angefangen hat, hat ein Lieferketten-Risiko in der NIS2-Doku, einen offenen Schrems II-Punkt im DSGVO-Audit und eine wachsende Abhängigkeit von US-Preispolitik.

Drei Schritte, die jedes Unternehmen diese Woche gehen kann:

• Aktuellen Stack auf US-Abhängigkeiten kartieren (Cloud, Backup, Antivirus, Router)
• Risiko pro Komponente bewerten (Datenklasse, Ersetzbarkeit, Lock-in)
• Ein Quick-Win-Projekt starten, das in 4 bis 8 Wochen messbare Souveränität bringt

Netzleiter berät Hamburger und norddeutsche KMU bei genau dieser Bestandsaufnahme und der schrittweisen Migration. Erreichbar unter 040 25 499 500 oder support@netzleiter.com.

Quellen und vertiefende Literatur

• BSI Kriterienkatalog C5:2020 zur Cloud-Sicherheit (Vertrauensstufe hoch)
• EuGH Urteil C-311/18 Schrems II (Vertrauensstufe hoch)
• 18 USC 2713 CLOUD Act (Vertrauensstufe hoch)
• ENISA Cloud Security Guide 2024 (Vertrauensstufe hoch)
• Hersteller-Whitepaper Nextcloud, Impossible Cloud, ESET, LANCOM (Vertrauensstufe mittel, Anbieterquelle)