T-Systems Public wirbt offensiv um Behörden und Kommunen mit dem Versprechen digitaler Souveränität. Das Unternehmen richtet sich damit gezielt an eine öffentliche Verwaltung, die unter wachsendem Druck steht, Cloud-Infrastrukturen zu nutzen – aber gleichzeitig Datenhoheit, Rechtskonformität und strategische Unabhängigkeit wahren muss. Im Wettbewerb mit US-Hyperscalern wie AWS Public Sector und Microsoft Public Sector setzt T-Systems auf eine Kombination aus europäischer Rechtsgrundlage, deutschem Standort und kontrollierter Technologiekette. Doch was steckt konkret hinter dem Souveränitäts-Versprechen – und wo verlaufen die Grenzen?

Was digitale Souveränität für Behörden bedeutet

Digitale Souveränität ist kein technischer Standard, sondern ein Bündel von Anforderungen: Datenhoheit, rechtliche Durchsetzbarkeit, technologische Kontrollierbarkeit und strategische Unabhängigkeit. Für Behörden und Kommunen geht es dabei um mehr als Datenschutz. Unter das Souveränitäts-Konzept fallen auch Fragen der Verfügbarkeit kritischer Infrastrukturen, der Kontrolle über Zugriffs- und Verschlüsselungsschlüssel sowie der Möglichkeit, im Konfliktfall staatliche Durchgriffsrechte auszuüben – etwa bei Ermittlungen oder im Krisenfall.

Die EU-Datenschutzgrundverordnung (DSGVO) und nationale Sicherheitsanforderungen bilden den rechtlichen Rahmen. Doch die technische Umsetzung ist komplex: US-Hyperscaler operieren häufig mit Rechenzentren in Europa, unterliegen aber US-amerikanischem Recht – insbesondere dem Cloud Act, der US-Behörden unter bestimmten Bedingungen Zugriff auf Daten ermöglicht, auch wenn diese physisch außerhalb der USA gespeichert sind. Für sicherheitssensible Behörden, Justiz- und Sicherheitsbehörden sowie Kommunen mit kritischen Infrastrukturen ist das ein erhebliches Compliance-Risiko.

Das Souveränitäts-Angebot von T-Systems im Detail

T-Systems positioniert seine Public-Cloud-Angebote explizit als Alternative zu US-Hyperscalern. Das Unternehmen betreibt eigene Rechenzentren in Deutschland und unterliegt ausschließlich deutschem und europäischem Recht. Die Infrastruktur basiert auf einer Mischung aus Open-Source-Technologien und proprietären Komponenten, wobei T-Systems gezielt auf Anbieter setzt, die keine Abhängigkeit von US-amerikanischen Lizenzen oder Support-Strukturen erzeugen.

Ein zentrales Element ist die Kontrolle über Verschlüsselungsschlüssel: T-Systems bietet Behörden die Möglichkeit, Verschlüsselungsschlüssel selbst zu verwalten oder durch einen unabhängigen Treuhänder in Deutschland hosten zu lassen. Im Unterschied zu AWS Key Management Service oder Azure Key Vault, die technisch und organisatorisch in US-Konzernstrukturen eingebunden sind, bleibt der Zugriff auf verschlüsselte Daten damit unter deutscher Hoheit – sofern die Behörde diese Option auch tatsächlich nutzt.

Zusätzlich bietet T-Systems sogenannte souveräne Cloud-Lösungen an, die speziell für den Public Sector zertifiziert sind. Dazu gehört die Einhaltung des BSI-Grundschutzes sowie die Zertifizierung nach C5, dem Cloud-Security-Standard des Bundesamts für Sicherheit in der Informationstechnik. Diese Zertifizierungen sind für Bundes- und Landesbehörden häufig Voraussetzung für die Beschaffung von Cloud-Dienstleistungen.

Wo US-Hyperscaler punkten – und wo Souveränität kostet

Die technologische Breite und Innovationsgeschwindigkeit von AWS, Microsoft Azure oder Google Cloud Platform übertreffen europäische Anbieter deutlich. US-Hyperscaler bieten ein umfangreiches Portfolio aus KI-Services, Datenanalyse-Tools, IoT-Plattformen und Entwickler-Frameworks, die in der Tiefe und Reife kaum europäische Äquivalente haben. Behörden, die etwa KI-gestützte Verwaltungsprozesse umsetzen wollen, greifen deshalb häufig auf Azure OpenAI Service oder AWS SageMaker zurück – trotz Souveränitäts-Bedenken.

Hinzu kommt der Kostenfaktor: Souveräne Cloud-Infrastrukturen sind in der Regel teurer als vergleichbare Angebote von US-Hyperscalern, weil sie nicht von globalen Skaleneffekten profitieren und oft redundante Zertifizierungs- und Compliance-Strukturen aufbauen müssen. Für Kommunen mit knappen Budgets kann das den Ausschlag gegen souveräne Lösungen geben – selbst wenn diese rechtlich und strategisch die bessere Wahl wären.

Gleichzeitig arbeiten US-Anbieter an Souveränitäts-Varianten: Microsoft bietet mit der "Microsoft Cloud für Souveränität" eine Lösung an, bei der Daten physisch in Deutschland verbleiben und durch einen deutschen Datentreuhänder kontrolliert werden. AWS hat mit der "European Sovereign Cloud" ein ähnliches Konzept angekündigt. Diese Angebote versuchen, technologische Breite mit rechtlicher Souveränität zu verbinden – bleiben aber in der Governance-Struktur an US-Konzerne gebunden.

Welche Behörden von souveränen Clouds profitieren

Nicht jede Behörde benötigt maximale Souveränität. Für Kommunalverwaltungen, die etwa Bürgerportale betreiben oder digitale Akten führen, können hybride Lösungen sinnvoll sein: unkritische Services laufen auf kostengünstigen Hyperscaler-Infrastrukturen, während sensitive Daten in souveränen Umgebungen verbleiben. T-Systems bietet dafür Multi-Cloud-Management-Plattformen an, die unterschiedliche Cloud-Umgebungen zentral verwalten.

Kritische Anwendungsfälle liegen vor allem in der Justiz, bei Sicherheitsbehörden, im Gesundheitswesen sowie bei Infrastrukturbetreibern. Hier sind nicht nur DSGVO-Anforderungen relevant, sondern auch sektorspezifische Vorgaben – etwa aus dem IT-Sicherheitsgesetz 2.0 oder dem europäischen NIS-2-Regime. Für diese Bereiche sind souveräne Clouds wie die von T-Systems faktisch alternativlos, wenn Compliance und Risikomanagement ernst genommen werden sollen.

Auch die Verwaltungscloud des Bundes, die von verschiedenen Anbietern – darunter T-Systems – betrieben wird, setzt konsequent auf Souveränität. Sie bildet die technische Grundlage für viele OZG-Leistungen und wird künftig weitere zentrale Verwaltungsanwendungen hosten. Wer als Behörde an die Verwaltungscloud angebunden ist, nutzt bereits souveräne Infrastruktur – oft ohne das explizit zu wissen.

Konkurrenz und Kooperationen im souveränen Public-Sector-Markt

T-Systems ist nicht allein im Markt für souveräne Public-Sector-IT. Dataport AöR, AKDB und Governikus bieten ebenfalls souveräne Cloud- und Infrastruktur-Services an, meist mit stärkerem regionalem Fokus. Materna und msg systems positionieren sich als Integratoren, die souveräne Clouds mit Fachverfahren und Prozessdigitalisierung verbinden.

Gleichzeitig kooperiert T-Systems mit US-Hyperscalern: Das Unternehmen ist Partner von AWS und Microsoft und bietet Managed-Services auf deren Plattformen an. Diese Doppelrolle – einerseits souveräner Anbieter, andererseits Hyperscaler-Partner – ist strategisch nachvollziehbar, wirft aber die Frage auf, wie glaubwürdig das Souveränitäts-Versprechen ist, wenn gleichzeitig enge Geschäftsbeziehungen zu den großen US-Clouds bestehen.

Einen anderen Weg geht das europäische Gaia-X-Projekt, an dem T-Systems ebenfalls beteiligt ist. Gaia-X will Standards für souveräne Cloud-Infrastrukturen schaffen und ein föderiertes Ökosystem europäischer Anbieter etablieren. Bislang ist Gaia-X jedoch noch nicht über Pilotprojekte hinausgekommen – die praktische Relevanz für Behörden ist derzeit gering.

Was Entscheider vor der Cloud-Wahl prüfen sollten

Behörden, die Cloud-Infrastrukturen beschaffen, sollten zunächst eine Klassifizierung ihrer Daten und Anwendungen vornehmen: Welche Systeme verarbeiten personenbezogene oder sicherheitsrelevante Daten? Welche unterliegen besonderen rechtlichen Anforderungen? Auf dieser Basis lässt sich entscheiden, ob eine souveräne Cloud notwendig ist oder ob auch hybride oder Hyperscaler-Modelle in Frage kommen.

Konkret sollten Entscheider folgende Punkte prüfen: Wo liegen die Rechenzentren physisch? Welchem Recht unterliegt der Anbieter? Wer hat Zugriff auf Verschlüsselungsschlüssel? Wie ist die Governance-Struktur organisiert – gibt es technische oder organisatorische Abhängigkeiten zu Drittstaaten? Welche Zertifizierungen liegen vor, und decken diese die relevanten Sicherheitsanforderungen ab?

Ein weiterer Aspekt ist die Migrations- und Exit-Strategie: Wie leicht lässt sich die Infrastruktur bei Bedarf auf einen anderen Anbieter übertragen? Souveräne Clouds basieren häufig auf Open-Source-Standards, was die Portabilität erleichtert. US-Hyperscaler setzen dagegen auf proprietäre Services, die Abhängigkeiten schaffen – ein Risiko, das bei der Beschaffung berücksichtigt werden sollte.

Fazit: Souveränität ist mehr als ein Marketing-Label

Das Souveränitäts-Versprechen von T-Systems ist technisch und rechtlich fundiert – sofern Behörden die angebotenen Optionen auch konsequent nutzen. Wer etwa auf externe Key-Management-Services verzichtet oder hybride Architekturen mit US-Clouds einsetzt, gibt Teile der Souveränität auf. Entscheidend ist nicht das Label, sondern die konkrete Umsetzung.

Für sicherheitssensible Bereiche bleibt eine souveräne Cloud wie die von T-Systems die beste Wahl – trotz höherer Kosten und geringerer Feature-Breite. Für weniger kritische Anwendungsfälle können Hyperscaler-Lösungen sinnvoll sein, wenn Compliance-Anforderungen geklärt sind. Behörden sollten die Entscheidung auf Basis einer klaren Risikoanalyse treffen und nicht primär nach Kosten oder technologischer Attraktivität.

Die politische Debatte um digitale Souveränität wird weiter an Bedeutung gewinnen, insbesondere vor dem Hintergrund geopolitischer Spannungen und zunehmender Cyberbedrohungen. Anbieter wie T-Systems profitieren davon – müssen aber auch liefern: Technologische Innovationskraft, Kosteneffizienz und echte Unabhängigkeit müssen Hand in Hand gehen, wenn souveräne Clouds langfristig eine Alternative zu US-Hyperscalern sein sollen.

Weitere Einblicke zur souveränen Cloud für den öffentlichen Sektor sowie zur aktuellen Hyperscaler-Strategie von Microsoft in Deutschland bieten zusätzlichen Kontext für die strategische Bewertung.

Quellen