Schon 2022 kündigte Microsoft auf der Inspire eine extra für öffentliche Sektoren konzipierte „Cloud for Souvereignty“, die strengen Datenschutz- und Souveränitätsanforderungen begegnen soll.
Am 16.Juni 2025 wurde nun die EU Sovereign Cloud bzw. Sovereign private Cloud im Preview-Status für Europa vorgestellt. Laut Microsoft soll die allgemeine Verfügbarkeit noch in diesem Jahre erfolgen.
Die Microsoft Sovereign Private Cloud ist eine strategische Antwort auf wachsende Anforderungen an Datenschutz, digitale Souveränität und regulatorische Kontrolle – insbesondere aus Europa und dem öffentlichen Sektor. Sie verspricht laut Microsoft mehr Kontrolle über Daten, Infrastruktur und Prozesse innerhalb klar definierter geopolitischer und rechtlicher Grenzen.
Kunden haben die Möglichkeit zu entscheiden, ob ihre Server lokal, in Rechenzentren von Partnern oder ausschließlich innerhalb der nationalen Grenzen betrieben werden. Der Betrieb kann dabei entweder hybrid oder vollständig getrennt von der übrigen Azure-Infrastruktur erfolgen.
Ein Kernbestandteil der Sovereign Private Cloud wird Microsoft 365 Local sein. Es ermöglicht den Betrieb vertraulicher Productivity-Workloads wie Exchange, SharePoint oder OneDrive in lokal kontrollieren, ggf. auch air-gapped Umgebungen zu betreiben. Die „Sovereign Private Cloud“ ist eine dedizierte Umgebung, im eigenen RZ oder in Partnerrechenzentren und kombiniert Azure Local mit Microsoft 365 Local.
Die „Sovereign Public Cloud“ ist Microsofts Weiterentwicklung der bestehenden „europäischen Cloud“. Hierzu ist keine Migration nötig, wenn bereits ein EU-Standort genutzt wird, da Bestandskunden aus der EU automatisch durch die EU Data Boundary geschützt sind.
Auch hier führt Microsoft neue Sicherheitsfunktionen ein. Mit dem sogenannten Data Guardian wird – in Kombination mit der bestehenden EU Data Boundary – sichergestellt, dass Kundendaten ausschließlich innerhalb Europas gespeichert und verarbeitet werden.
Eine zentrale Neuerung betrifft den Fernzugriff auf souveräne Cloudsysteme: Künftig dürfen nur noch Microsoft-Mitarbeitende mit Wohnsitz in Europa direkten Zugriff auf diese Systeme erhalten.
Ergänzend ermöglicht das External Key Management die Verwaltung kryptografischer Schlüssel außerhalb der Microsoft-Infrastruktur, wobei Kundenschlüssel physisch getrennt aufbewahrt werden. Für besonders sensible und stark regulierte Branchen soll das Regulated Environment Management bereitstehen, das branchenspezifische Compliance- und Sicherheitsanforderungen adressiert.
Microsoft positioniert die Sovereign Cloud als Lösung, um Kunden eine stärkere Kontrolle über ihre Daten, Workloads und IT-Infrastruktur zu geben – unabhängig von geopolitischem Druck oder außer-europäischen Rechtsrahmen. Ziel ist es, nationale oder regionale Datenhoheit zu ermöglichen.
2. Datenresidenz und -schutz
Alle Daten sollen ausschließlich innerhalb der jeweiligen Landesgrenzen gespeichert und verarbeitet werden. Damit sollen nationale Datenschutzstandards (z. B. DSGVO) und branchenspezifische Vorgaben leichter eingehalten werden.
3. Operativer Betrieb durch lokale Partner
Ein zentrales Element ist die Partnerschaft mit lokal ansässigen IT-Dienstleistern (z. B. T-Systems in Deutschland). Diese übernehmen den technischen Betrieb und die Kontrolle über Zugriffe – Microsoft hat nach eigenen Angaben keinen administrativen Zugriff mehr auf Kundendaten.
4. Technologische Kontinuität
Trotz der zusätzlichen Sicherheits- und Kontrollmaßnahmen soll die volle Funktionalität von Microsoft 365, Azure und anderen Cloud-Services erhalten bleiben – also ohne Abstriche bei Performance, Innovation oder Nutzererfahrung.
Die Microsoft Sovereign Cloud bietet im ersten Moment einen ambitionierten Ansatz, um den steigenden Anforderungen an Datenschutz, Compliance und Souveränität gerecht zu werden – besonders im europäischen und insbesondere im deutschen Kontext.
Gleichzeitig gibt es jedoch auch kritische Diskussionen und offene Fragen, die Unternehmen und Behörden im Blick behalten sollten.
1. Effektive Trennung vom US-Recht?
Trotz lokaler Partnermodelle bleibt Microsoft ein US-amerikanisches Unternehmen. Kritiker verweisen darauf, dass Gesetze wie der US CLOUD Act theoretisch Zugriff auf Daten auch im Ausland ermöglichen könnten, insbesondere bei Bedarf nach Ermittlungs- oder Geheimdienstkooperationen.
2. Technische und operative Unabhängigkeit
Es stellt sich weiterhin die Frage, wie weitreichend die Unabhängigkeit der Sovereign Cloud tatsächlich ist. Wird der Code z. B. weiterhin zentral entwickelt und aktualisiert? Welche Prozesse laufen wirklich autonom und welche nur „unter Aufsicht“?
3. Zertifizierungen und Auditierbarkeit
Für viele öffentliche Institutionen und kritische Infrastrukturen sind Nachweise (z. B. nach BSI, NIS 2, DORA, ISO 27001) entscheidend. Hier bleibt abzuwarten, ob und wann die Sovereign Cloud entsprechende Zertifikate vorlegen kann – und ob sie auditiert werden kann.
4. Integration mit bestehenden Umgebungen
Es gibt technische und organisatorische Herausforderungen bei der Migration von bestehenden Workloads oder hybriden Szenarien. Es muss zunächst genau geprüft werden, welche Dienste verfügbar sind, ob Schnittstellen erhalten bleiben und wie die Kompatibilität mit bestehenden Systemen gewährleistet wird.
5. Wirtschaftliche Abhängigkeit
Auch wenn lokale Partner eingebunden sind, bleibt die technologische Abhängigkeit von Microsoft bestehen. Die Sovereign Cloud löst also nicht zwangsläufig das Problem digitaler Monopole oder der eingeschränkten Wahlfreiheit bei Softwarelösungen.
Datenschutz und Compliance rund um Microsoft 365 stellen Unternehmen seit Jahren vor große Herausforderungen. Besonders stark regulierte Branchen wie das Sozial- und Gesundheitswesen benötigen Lösungen, die technische Leistungsfähigkeit und rechtliche Sicherheit zuverlässig miteinander verbinden.
Um diesen Anforderungen gerecht zu werden, haben wir gemeinsam mit den Experten der PRW Legal Tech einen spezialisierten Shared Service entwickelt: den M365 Compliance Check.
Dieses umfassende Prüfverfahren ermöglicht es Unternehmen, Microsoft 365 datenschutzkonform einzuführen und zu betreiben – auch bei komplexen regulatorischen Vorgaben. Bereits zahlreiche Organisationen mit hohen Compliance-Anforderungen konnten durch unseren Ansatz Microsoft 365 erfolgreich und rechtskonform in ihre Arbeitsprozesse integrieren.
Zum Microsoft 365 Compliance Check
Oder werfen Sie einen Blick in unser Whitepaper, in dem wir zeigen, wie Sie Microsoft 365 bereits heute sicher und compliant einführen und betreiben können.
Gerne beraten wir Sie auch persönlich – unverbindlich und kompetent.
Sie möchten die Entwicklungen und weitere Einschätzungen rund um die Microsoft Sovereign Private Cloud nicht verpassen?
Dann abonnieren Sie jetzt unseren UP2DATE Newsletter.
Ihr persönlicher Ansprechpartner
Brauchen Sie weitere Informationen zu unseren Leistungen und Produkten? Oder suchen Sie nach einer passenden Lösung für Ihren Anwendungsfall? Dann zögern Sie nicht uns zu kontaktieren.
JAKOB BECKMANN | Sales Manager
Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an
Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.
