Das Wichtigste in Kürze
- Deutsch kontrollierte Governance und operative Trennung reduzieren CLOUD-Act-Risiken sowie unklare Zugriffspfade für sensible Daten.
- Deutsches Personal und eigene Infrastruktur erleichtern Auditierung, Rollenabgrenzung und Nachweisbarkeit gegenüber Revision und Datenschutz.
- Rechtliche Unabhängigkeit von Google Cloud stärkt Compliance- und Haftungsarchitektur für regulierte Cloud-Workloads in Deutschland.
Warum das Thales‑Google‑Bündnis das Abhängigkeitsproblem direkt trifft
Wenn Ihre Cloud-Strategie an der Frage scheitert, wer im Zweifel auf Daten zugreifen darf, liegt das Problem nicht bei der Rechenleistung, sondern bei der Governance. Der CLOUD Act kann US-Anbieter unter bestimmten Voraussetzungen zur Herausgabe von Daten an US-Behörden verpflichten, auch wenn sich die Systeme physisch in Europa befinden [1]. Für deutsche Unternehmen und Behörden entsteht daraus ein Dilemma: Sie wollen die Skalierung und die KI-Kapazitäten großer Hyperscaler nutzen, müssen aber gleichzeitig DSGVO-Vorgaben einhalten [1].
Genau an dieser Stelle setzt das Thales‑Google‑Modell an. Die angekündigte souveräne Cloud-Plattform soll in Deutschland über eine neue Gesellschaft betrieben werden, die sich im Besitz und unter der Kontrolle von Thales befindet [2]. Damit verschiebt sich die Kontrollfrage von „Welcher globale Anbieter betreibt die Plattform?“ hin zu „Welche rechtliche und operative Einheit trägt Zugriff, Betrieb und Verantwortung?“ Das ist für IT-Leiter entscheidend, weil nicht nur technische Funktionen, sondern auch Zuständigkeiten und Zugriffspfade neu geordnet werden.
Die Struktur zielt auf eine strikte operative Trennung von Google Cloud ab. Die Plattform soll auf einer eigenen Infrastruktur laufen und ausschließlich von Personal aus Deutschland betrieben und verwaltet werden [2]. Für die Praxis bedeutet das: Governance, Betriebsverantwortung und Datenzugriff liegen in einem klar abgegrenzten Rahmen. Genau diese Trennung ist für regulierte Organisationen oft der fehlende Baustein, wenn sie moderne Cloud-Dienste einsetzen wollen, ohne ihre Compliance- und Souveränitätsanforderungen aufzuweichen.
Das Bündnis ist damit keine bloße Marketingantwort auf das Souveränitätsthema, sondern ein Versuch, den Zielkonflikt strukturell zu entschärfen: Nutzung moderner Cloud-Technologie ohne direkte operative Abhängigkeit von einer außereuropäischen Konzernsteuerung [2]. Für Entscheider ist das relevant, weil sich der Diskussionsrahmen ändert. Es geht nicht mehr nur darum, ob Cloud möglich ist, sondern unter welchen Kontroll- und Nachweisbedingungen sie im Unternehmen überhaupt vertretbar bleibt.
Wie die deutsch kontrollierte Governance die Cloud‑Act‑Risiken eindämmt
Die Governance entscheidet hier über mehr als Zuständigkeiten auf dem Organigramm. Wenn eine Cloud-Plattform unter deutscher Kontrolle läuft und auf einer eigenen Infrastruktur betrieben wird, verschiebt das die Zugriffshoheit weg von einer globalen Konzernlogik hin zu klar definierten Betriebsgrenzen [2]. Für IT-Leiter ist das relevant, weil der CLOUD Act nicht nur eine juristische, sondern auch eine operative Risikoquelle bleibt: Wer Schlüssel, Konfigurationen und Betriebsprozesse kontrolliert, bestimmt die Nachvollziehbarkeit von Zugriffswegen [3].
Wie die operative Trennung in der Praxis Zugriffspfade begrenzt
Die operative Trennung ist der technische Kern des Modells. Laut den vorliegenden Angaben läuft die Plattform auf einer eigenen Infrastruktur und wird durch deutsches Personal betrieben und verwaltet [2]. Das begrenzt Zugriffspfade, weil Betrieb, Administration und Datenzugriff nicht mehr in einer gemeinsamen globalen Support- und Steuerungskette zusammenfallen.
Für den Alltag heißt das: Sie können Rollen für Plattformbetrieb, Sicherheitsfreigaben und Audit-Readiness enger fassen. Gerade bei sensiblen Workloads reduziert das die Zahl der Stellen, die Konfigurationen ändern oder Betriebsdaten einsehen können. Ein sauberer Kontrollpunkt entsteht dort, wo der Plattformbetreiber technische Administration dokumentiert und Freigaben nachvollziehbar protokolliert [2].
Warum deutsches Personal ein zentraler Kontrollfaktor ist
Dass ausschließlich deutsches Personal die Plattform betreibt, ist kein symbolischer Punkt, sondern ein Kontrollmechanismus gegen externe Zugriffsketten [4]. Wenn Betrieb und Verwaltung lokal verbleiben, sinkt die Wahrscheinlichkeit, dass Support-, Eskalations- oder Wartungspfade unbemerkt in andere Jurisdiktionen ausgreifen.
Für CIOs und CISOs ist das vor allem bei Schlüsselmaterial, Administrationszugängen und Incident-Prozessen relevant. Wer Zugriff praktisch auf deutsches Personal und eine deutsche Betriebsorganisation begrenzt, schafft eine bessere Ausgangslage, um Zugriffsketten sauber zu auditieren und interne Zuständigkeiten belastbar zuzuweisen [4].
Rechtliche Unabhängigkeit als Compliance‑Mechanismus
Die neue deutsche Gesellschaft soll rechtlich und operativ unabhängig von Google Cloud sein [4]. Genau diese Trennung wirkt in Compliance-Prüfungen wie ein Mechanismus zur Entkopplung von Anbieter- und Plattformverantwortung. Für den Prüfpfad bedeutet das: Sie können Verantwortlichkeiten klarer einem in Deutschland kontrollierten Betreiber zuordnen, statt sie in einer übergeordneten internationalen Konzernstruktur zu suchen.
Auch Vertragsgestaltung und Haftungsarchitektur gewinnen dadurch an Schärfe. Wenn der operative Betreiber und die technologische Plattform nicht identisch sind, lassen sich Pflichten zu Zugriff, Logging und Reaktionszeiten gezielter definieren. Das Modell zielt zudem darauf, sensible Daten vor Zugriffen aus Drittstaaten zu schützen [3], was für regulierte Unternehmen vor allem dann zählt, wenn sie ihre Cloud-Nutzung gegenüber Revision, Datenschutz und Management ohne Interpretationsspielraum begründen müssen.
Was das Modell für Ihre Cloud‑Compliance bedeutet
Für Ihre Compliance-Frage zählt nicht die Ankündigung einer souveränen Cloud, sondern die Beweisbarkeit von Kontrolle. Das Thales-Google-Modell zielt auf eine in Deutschland betriebene Lösung mit strikter operativer Trennung und deutscher Kontrolle ab [2][3]. Genau daraus ergibt sich der praktische Nutzen für DSGVO-Programme: Wenn Datenhaltung, Betrieb und Zugriff nicht in einer globalen Konzernlogik zusammenlaufen, lässt sich der Weg von der Schutzanforderung bis zur technischen Umsetzung sauberer dokumentieren. Für hochregulierte Branchen ist das besonders relevant, weil dort nicht nur Sicherheit, sondern auch Nachweisführung im Audit über den Einsatz entscheidet [3].
C5 und C3A: Welche Bausteine die Plattform abdeckt
Die Plattform soll laut den vorliegenden Informationen die Anforderungen aus C5 und dem neuen C3A-Rahmenwerk adressieren [2]. Für Sie heißt das: Nicht nur die technische Hülle zählt, sondern auch die organisatorische Trennung dahinter. Wenn eine deutsche Gesellschaft den Betrieb verantwortet und die Infrastruktur ausschließlich in Deutschland läuft, können Sie Kontrollmechanismen wie Rollenmodell, Freigabeprozesse und Zugriffsprotokollierung enger aufeinander abstimmen [2].
In der Audit-Praxis ist genau das der Unterschied zwischen einer Cloud, die „souverän“ genannt wird, und einer Cloud, die sich gegen interne und externe Prüfungen verteidigen kann. C5 und C3A werden damit zu Zielrahmenwerken, die Sie nicht als Label lesen sollten, sondern als Prüfauftrag für Betrieb, Sicherheitsarchitektur und Verantwortlichkeiten.
Wie Audit‑Teams mit unabhängiger deutscher Kontrolle arbeiten
Die unabhängige deutsche Gesellschaft ist für Audit-Teams der zentrale Ankerpunkt [4]. Wenn Betrieb und Leitung ausschließlich unter deutschem Personal stehen, können Prüfer Verantwortlichkeiten deutlich sauberer abgrenzen als bei einer klassischen globalen Anbieterstruktur [4]. Das hilft bei der Frage, wer Zugriffe freigibt, wer Konfigurationen ändert und wer Störungen bewertet.
Für belastbare Nachweise brauchen Sie vor allem drei Dinge: nachvollziehbare Access-Logs, eine klare Risikoanalyse für sensible Workloads und dokumentierte Betriebsprozesse. Genau diese Elemente gewinnen an Gewicht, wenn keine dritte Partei Einblick in gespeicherte oder verarbeitete Daten erhalten soll [4]. Die deutsche Kontrolle erleichtert damit nicht nur die technische Absicherung, sondern auch die prüffähige Trennung von Zuständigkeiten.
Datenklassifizierung: Welche Workloads geeignet sind
Das Modell richtet sich ausdrücklich an Behörden und stark regulierte Branchen [3]. Daraus lässt sich für Ihre Datenklassifizierung ein klarer Einsatzkorridor ableiten: sensible Fachanwendungen, schützenswerte Betriebsdaten und Workloads mit hohen Anforderungen an Zugriffskontrolle und rechtliche Nachvollziehbarkeit stehen weiter oben auf der Liste als transaktionale Standarddienste. Gerade dort, wo Cloud- und DSGVO-Anforderungen zugleich greifen, ist die Trennung von operativer Kontrolle und Plattformtechnologie der eigentliche Hebel [3].
Auch für KI-nahe Nutzungsszenarien ist die Frage nicht, ob ein Modell laufen kann, sondern unter welchen Governance-Bedingungen. Wenn Sie KI-Modelle oder datenintensive Plattformdienste einsetzen, steigt der Wert einer Umgebung, die auf deutschem Recht, deutscher Betriebsverantwortung und klarer Zugriffstrennung basiert [3]. Der nächste Abschnitt legt dar, wie die Plattform strategisch in Multi‑Cloud‑Architekturen eingebettet werden kann.
Architekturfolgen für Ihre Cloud‑Strategie
Wenn Sie eine souveräne Cloud nicht als Insellösung planen, entscheidet die Architektur über den Nutzen im Alltag. Das Thales‑Google‑Modell setzt auf eine eigene Infrastruktur auf Basis von Google‑Technologie und orientiert sich am bereits in Frankreich etablierten S3NS‑Ansatz [2][3]. Für Ihre Cloud‑Strategie heißt das: Sie müssen die Plattform nicht gegen bestehende Umgebungen stellen, sondern als zusätzliche Governance‑Zone in ein Multi‑Cloud‑ und On‑Prem‑Gefüge einpassen.
Der praktische Mehrwert liegt dort, wo Sie Zuständigkeiten trennen. Wenn ein Teil Ihrer Anwendungen in klassischen Hyperscaler‑Umgebungen bleibt und ein anderer Teil auf eine deutsch kontrollierte Plattform wandert, können Sie Risiko, Datenzugriff und regulatorische Einordnung feiner staffeln [3]. Gerade bei migrationsstarken IT‑Landschaften schützt Sie das vor einem „Alles‑oder‑nichts“-Umbau, der Fachbereiche blockiert und Projekte streckt.
Wenn Sie die architektonischen Folgen solcher Souveränitätsmodelle vertiefen wollen, lohnt sich ein Blick auf den BSI-Kriterienkatalog C3A für souveräne Cloud-Strategien. Er hilft dabei, Anforderungen an Betrieb, Kontrolle und Nachweisbarkeit in eine belastbare Bewertung zu übersetzen.
Governance‑Zonen: Wie getrennte Betriebsumgebungen technisch wirken
Die operative Trennung und die eigene Infrastruktur sind der technische Hebel für eine saubere Zonierung [2]. In der Praxis können Sie damit eine Zone für hochsensible Daten, eine Zone für reguläre Cloud‑Workloads und eine Zone für On‑Prem‑Anbindungen definieren. Das reduziert das Risiko, dass Admin‑Zugriffe, Monitoring und Supportpfade über dieselben Kontrollpunkte laufen.
Für Architekten ist das kein akademischer Punkt. Wenn eine Plattform in Deutschland betrieben und verwaltet wird, lassen sich Betriebsgrenzen klarer dokumentieren als bei einer gemischten Konzernstruktur [2]. Genau das erleichtert die Trennung von Applikationsbetrieb, Security‑Freigaben und Audit‑Verantwortung.
Workload‑Auswahl: Welche Bereiche zuerst profitieren
Die Zielgruppe der Lösung sind ausdrücklich öffentliche Auftraggeber und stark regulierte Branchen [3]. Deshalb sollten Sie zuerst Workloads priorisieren, bei denen Compliance und Nachweisführung den größten Hebel haben. Typische Kandidaten sind Anwendungen mit sensiblen Fach- oder Personaldaten, Systeme mit strengen Zugriffsregeln und Plattformdienste, die gegenüber Revision oder Datenschutz besonders sauber begründet werden müssen.
Wenn Sie bereits mit mehreren Cloud-Providern arbeiten, verschiebt sich die Migrationslogik weg von der reinen Kostenfrage hin zur Risikofrage. Nicht jede Anwendung muss sofort umziehen. Sinnvoll ist der erste Schritt dort, wo die Anforderungen an deutsche Kontrolle, Datenhaltung und regulatorische Einordnung am höchsten sind [3]. So senken Sie Komplexität, ohne Ihr gesamtes Zielbild zu blockieren.
Multi‑Cloud‑Integration: Grenzen und Spielräume
Die dedizierte Infrastruktur und die angekündigte Preview-Version zeigen, dass das Modell nicht als generische Massenplattform startet, sondern als klar abgegrenzte Betriebsumgebung [2]. Für die Integration in bestehende Multi‑Cloud‑Setups bedeutet das: Sie können Schnittstellen zu anderen Hyperscalern und zu On‑Prem‑Systemen planen, aber Sie müssen die Kopplung bewusst gestalten. Je weniger sauber Ihre Datenflüsse dokumentiert sind, desto schneller verliert die souveräne Zone ihren architektonischen Vorteil.
Der Spielraum liegt darin, die Plattform als gezielte Ergänzung einzusetzen. Sie eignet sich besonders dort, wo Sie moderne Cloud‑Funktionen nutzen wollen, ohne die Steuerung aus der Hand zu geben [2]. Für hybride Umgebungen heißt das: Verbindungen, Identity‑Layer und Betriebsprozesse müssen konsistent bleiben, sonst entsteht eine neue Komplexitätsschicht statt einer belastbaren Souveränitätszone.
Für den Vergleich mit anderen Souveränitätsansätzen kann auch ein Blick auf die Messbarkeit von Cloud-Souveränität mit ES³ hilfreich sein. So lassen sich unterschiedliche Modelle konsistenter bewerten.
Entscheidungsrahmen für IT‑Leiter
Wenn Sie Souveränität bewerten, reicht ein Label nicht aus. Entscheidend ist, ob die Plattform rechtlich und operativ getrennt bleibt, unter deutscher Kontrolle läuft und bis zur geplanten Marktreife Ende 2026 belastbar in Ihr Zielbild passt [1][4]. Für IT-Leiter ergibt sich daraus ein klarer Prüfrahmen: Je höher Ihre Anforderungen an Zugriffstrennung, regulatorische Nachweisbarkeit und Betriebsautonomie sind, desto stärker gewinnt das Modell gegenüber klassischen Hyperscalern an Relevanz.
Bewertungsmatrix: Anforderungen vs. Plattformfähigkeiten
Die nützliche Frage lautet nicht, ob eine souveräne Cloud „gut“ ist, sondern ob sie Ihre Schutzbedarfe abdeckt. Das Thales-Google-Modell setzt auf eine neue deutsche Gesellschaft, die unter Thales-Kontrolle steht, und auf eine strikte operative Trennung von Google Cloud [4]. Genau das sollten Sie in eine interne Bewertungsmatrix übersetzen.
| Kriterium | Souveräne Cloud im Thales-Google-Modell | Klassischer Hyperscaler |
|---|---|---|
| Zugriffspfade | Strikte operative Trennung, Betrieb auf eigener Infrastruktur, deutsches Personal [4] | Zentralisierte Provider-Strukturen mit globalen Support- und Governance-Pfaden |
| Kontrolle | Neue deutsche Gesellschaft unter Thales-Kontrolle [4] | Kontrolle liegt bei der globalen Konzernstruktur |
| Auditierbarkeit | Klare Trennung von Betrieb, Verantwortung und Zugriff erleichtert Nachweise | Auditpfade oft stärker von Konzernprozessen geprägt |
| Rechtliches Risiko | Modell zielt auf Konfliktentschärfung zwischen Cloud Act und DSGVO [1] | Direkte Exponierung gegenüber extraterritorialen Zugriffspflichten [1] |
Bewerten Sie jede Zielanwendung entlang von drei Achsen: Sicherheitsniveau, Zugriffskontrolle und rechtliche Trennung. Eine Fachanwendung mit hohen Datenschutzanforderungen braucht nicht nur starke Verschlüsselung, sondern auch klar getrennte Zuständigkeiten für Betrieb und Administration. Wenn dieselbe Plattform sowohl technologische Kapazität als auch deutsche Governance verspricht, können Sie die Souveränitätsanforderung präziser gegen Ihre Risikolage spiegeln [4].
Ein einfacher Risiko-Score hilft bei der Priorisierung: hoher Score für sensible Daten, starke Auditpflicht und geringe Toleranz gegenüber Drittstaatenzugriffen; mittlerer Score für hybride Anwendungen mit klaren Schnittstellen; niedriger Score für unkritische Standard-Workloads. So vermeiden Sie, dass Sie die souveräne Zone mit Anwendungen füllen, die dort architektonisch wenig Mehrwert erzeugen.
Checkliste für die Vorbereitung Ihrer Organisation
Bevor Sie eine Migration oder Pilotierung anstoßen, sollten Sie intern drei Vorarbeiten abschließen. Erstens: Ihre Richtlinien müssen festlegen, welche Daten überhaupt in eine souveräne Cloud dürfen. Zweitens: Die Datenklassifizierung sollte zwischen Standard-, sensiblen und besonders schutzbedürftigen Workloads unterscheiden. Drittens: Ihre Governance-Prozesse brauchen klare Regeln für Freigaben, Rollen und Eskalationen, damit der Betrieb unter deutschem Recht nicht nur versprochen, sondern im Alltag durchgehalten wird [3].
Prüfen Sie außerdem, welche Fachbereiche bereits heute Anforderungen an Audit, Datenschutz oder Drittstaatenrisiken formulieren. Dort liegt meist der erste sinnvolle Einstiegspunkt. Wenn die Plattform Ende 2026 marktreif werden soll, haben Sie genug Vorlauf, um Workloads zu selektieren, Policies anzupassen und die Verantwortlichkeiten zwischen IT, Datenschutz und Fachbereich sauber zu verankern [1][3].
Zum Abschluss sollte Ihr Team nicht auf die allgemeine Verfügbarkeit warten, sondern jetzt die Kandidatenliste für einen ersten Souveränitäts-Check erstellen. Genau dort entscheidet sich, ob das Modell später als technische Option oder als tragfähige Compliance- und Architekturstrategie in Ihre Cloud-Landschaft passt.
Was deutsche Unternehmen jetzt konkret vorbereiten sollten
Warten ist in diesem Fall die teuerste Option. Die Plattform steht bereits als Preview zur Verfügung, die allgemeine Marktreife ist für Ende 2026 vorgesehen [2]. Wer erst bei GA mit der Bewertung beginnt, verliert Zeit für Datenklassifizierung, Governance-Abstimmung und die Auswahl der ersten Workloads. Für IT-Leiter ist der bessere Ansatz klar: Jetzt bewerten, jetzt priorisieren, jetzt die organisatorischen Voraussetzungen ziehen.
Der Umstieg braucht keine Komplettmigration. Sinnvoll ist ein abgestufter Start mit Anwendungen, bei denen Drittstaatenrisiken, Nachweisführung und Zugriffstrennung den größten Einfluss auf das Tagesgeschäft haben. Genau dort entfaltet das Modell seinen Nutzen, weil die Plattform auf eine deutsche Gesellschaft unter Thales-Kontrolle und auf eine operative Trennung von Google Cloud zielt [2]. Wenn Sie diese Kriterien mit Ihren eigenen Schutzbedarfen spiegeln, wird aus einem Nachrichtenereignis ein belastbares Entscheidungsmodell.
Die Zeitachse hilft bei der Planung. Bis Ende 2026 bleibt genug Vorlauf, um interne Richtlinien zu schärfen, Fachbereiche einzubinden und Pilotkandidaten zu identifizieren [2]. Nutzen Sie diese Phase nicht für abstrakte Grundsatzdebatten. Prüfen Sie stattdessen drei Dinge: Welche Daten dürfen überhaupt in eine souveräne Cloud? Welche Workloads bringen den größten Compliance-Druck mit? Welche Teams müssen Betrieb, Freigabe und Audit später tragen?
Für die interne Bewertung reicht eine einfache Logik: hohe Priorität für sensible Daten und strenge Auditpflichten, mittlere Priorität für hybride Anwendungen mit klaren Schnittstellen, niedrige Priorität für Standard-Workloads mit geringem Schutzbedarf. So vermeiden Sie Fehlentscheidungen, die am Ende weder Compliance noch Wirtschaftlichkeit verbessern.
Wenn Sie die nächsten Schritte konkretisieren wollen, starten Sie mit der internen Cloud-Compliance in Deutschland und gleichen Sie dort Ihre Auswahl mit der vorbereiteten Checkliste ab. Genau dieser Abgleich entscheidet, ob das Modell für Ihr Unternehmen nur beobachtet wird oder ob Sie es ab 2026 gezielt in Ihre Cloud-Strategie einbauen.
Häufige Fragen
Wie stärkt das neue IT-Bündnis von Thales und Google Cloud die digitale Souveränität in Deutschland konkret?
Die geplante Plattform soll über eine neue, von Thales kontrollierte Gesellschaft in Deutschland betrieben werden. Dadurch liegen Governance, Betrieb und Zugriff nicht mehr direkt in einer globalen Konzernsteuerung, sondern in einem klar abgegrenzten deutschen Rahmen. Für Unternehmen und Behörden reduziert das vor allem die Unklarheit darüber, wer im Zweifel auf Daten, Schlüssel und Betriebsprozesse zugreifen darf.
Was bedeutet die Thales Google Cloud Partnerschaft für Cloud-Act- und DSGVO-Risiken?
Das Modell zielt darauf ab, CLOUD-Act-Risiken durch deutsch kontrollierte Governance und operative Trennung zu begrenzen. Physisch in Europa stehende Systeme allein reichen dafür nicht aus; entscheidend ist, wer technisch und rechtlich Zugriffspfade kontrolliert. Für DSGVO und Compliance ist relevant, dass Zuständigkeiten, Betriebsprozesse und Datenzugriffe nachvollziehbar in Deutschland verankert werden.
Warum ist deutsches Personal bei einer souveränen Cloud in Deutschland so wichtig?
Wenn die Plattform ausschließlich von deutschem Personal betrieben und verwaltet wird, lassen sich Support-, Wartungs- und Eskalationspfade besser eingrenzen. Das erleichtert die Auditierung von Administrationszugängen, Schlüsselverwaltung und Incident-Prozessen. Für CISOs und Revisionsteams ist das ein praktischer Vorteil, weil Zugriffsketten klarer nachweisbar sind.
Welche Vorteile hat eine rechtlich unabhängige souveräne Cloud-Struktur für deutsche Unternehmen?
Eine rechtlich und operativ unabhängige Gesellschaft macht Verantwortlichkeiten und Haftung klarer zuordenbar. Das ist besonders wichtig für regulierte Cloud-Workloads, bei denen Nachweisbarkeit gegenüber Datenschutz, Revision und interner Governance zählt. Unternehmen können dadurch einfacher prüfen, ob ihre Cloud-Strategie mit Compliance- und Souveränitätsanforderungen vereinbar ist.
Für welche Cloud-Strategien ist das Thales-Google-Cloud-Modell besonders relevant?
Besonders relevant ist das Modell für Organisationen, die moderne Hyperscaler-Funktionen nutzen wollen, ohne operative Abhängigkeiten von einer außereuropäischen Konzernsteuerung zu akzeptieren. Das betrifft vor allem sensible und regulierte Workloads in Behörden, kritischen Geschäftsbereichen und Branchen mit hohen Compliance-Anforderungen. Wer seine Cloud-Strategie darauf ausrichtet, sollte die Governance- und Kontrollanforderungen früh gegen die geplante Architektur prüfen.

