Direkt zum Inhalt
Insights & Trends
Blog

Raus aus der US-Cloud: Europäische Alternativen zu Google und Microsoft erkennen

Europa importiert den Großteil seiner digitalen Infrastruktur. E-Mail, Cloud, KI – in den meisten Fällen laufen sie auf Servern US-amerikanischer Konzerne, unter deren Rechtsprechung und zu deren Konditionen. Aus fehlendem Bewusstsein und mangelnder Sichtbarkeit von digital souveränen Alternativen scheint der Rückgriff auf Big Tech für Behörden, Privatpersonen und Unternehmen oft unausweichlich.

Die veränderten geopolitischen Umstände und steigende Kosten sind Anlass für ein notwendiges Umdenken. Doch wie erkennen Sie, ob eine europäische Alternative wirklich das hält, was sie verspricht? Wie gehen Sie bei einem Wechsel am besten vor? Und wie helfen Ihnen Labels und Kataloge dabei?

mailbox Blog Europäische Alternativen zu Microsoft und Google

96 % Digitalimporte: Wie abhängig deutsche Unternehmen von US-Tech wirklich sind

Wer eine E-Mail verschickt, ein Dokument in der Cloud speichert oder eine Videokonferenz startet, nutzt in den meisten Fällen Microsoft 365, Google Workspace und Co. Also Infrastruktur US-amerikanischer Konzerne. Das ist bequem – und zugleich ein digitalpolitisches Problem, das Europa seit Jahren beschäftigt.

Im Rahmen der Studie „Digitale Souveränität“ hat Bitkom 2025 über 600 Unternehmen aller Branchen in Deutschland ab 20 Beschäftigten danach gefragt, wie abhängig sie von Digitalimporten sind. Demnach beziehen 96 % der befragten Unternehmen digitale Services und Technologien aus dem Ausland. 90 % davon sehen sich als „stark“ oder „eher“ abhängig von ausländischen Partnern.

60 % der befragten Unternehmen erwarten eine steigende Importabhängigkeit Deutschlands. Mit 87 % zählen die USA zu den wichtigsten Herkunftsregionen für deutsche Unternehmen.

Google und Microsoft für Unternehmen: US CLOUD Act, DSGVO und das Datenschutz-Risiko

E-Mail ist das meistgenutzte digitale Kommunikationsmedium. Gleichzeitig wird es am wenigsten hinterfragt, wenn es um digitale Souveränität geht. Dabei ist die Ausgangslage bei Google, Microsoft 365 und Co eindeutig: Die Postfächer der meisten Europäer laufen auf US-amerikanischer Infrastruktur und liegen auf US-amerikanischen Servern. Sie unterliegen US-amerikanischem Recht und finanzieren sich teils durch Datenauswertung.

US-amerikanische Behörden dürfen via CLOUD Act auf von US-Unternehmen gespeicherte Daten zugreifen, auch wenn der Serverstandort in Europa liegt. Für europäische Unternehmen und Behörden bedeutet das: Der Standort des Rechenzentrums allein reicht nicht. Es kommt auf die Eigentumsverhältnisse, die Rechtsprechung und die tatsächliche Kontrollstruktur an.

Hier zeigt sich die Gefahr der Abhängigkeit von Digitalimporten. Und genau hier liegt das Kernproblem vieler vermeintlich europäischer Alternativen, die z. B. von Microsoft und Amazon Web Services (AWS) beworben werden.

Echte europäische Alternativen statt Souveränitäts-Washing

Es ist wichtig, genau hinzusehen, denn vermeintlich souveräne Lösungen laufen auf europäischen Servern, gehören aber US-Konzernen oder sind von deren Infrastruktur abhängig: Die sogenannte European Sovereign Cloud von AWS ist das Produkt eines US-Konzerns. Das deutsche Unternehmen SAP arbeitet für seine Cloud-Dienste mit Microsoft, Amazon und Google zusammen. So baut die Delos Cloud – ein Tochterunternehmen von SAP – auf Microsoft 365 und Microsoft Azure auf, ist infrastrukturell also von US-Konzernen abhängig.

Die Markennamen oder Unternehmensstrukturen dieser Lösungen suggerieren europäische Datensicherheit oder Souveränität. Doch dies schützt europäische Nutzende nicht vor US-amerikanischem Recht, wenn die Muttergesellschaft in den USA sitzt oder die Infrastruktur US-amerikanischer Konzerne genutzt wird. Wer hingegen einen deutschen E-Mail-Anbieter oder Cloud-Dienst mit Servern und eigener Infrastruktur ausschließlich in Deutschland wählt, schließt den Zugriff durch US-Behörden strukturell aus.

NIS-2, DSGVO, CLOUD Act: Warum die Anbieterwahl zur Compliance-Frage wird

Die Frage, auf wessen Servern und auf welcher Infrastruktur Ihre Unternehmenskommunikation läuft und wer im Zweifelsfall Zugriff hat, ist keine theoretische. Ob Umsetzungsgesetz der NIS-2-Richtlinie (NIS-2-UmsuCG), geopolitische Risiken, Cyberangriffe: Praktisch alle Unternehmen und Organisationen verarbeiten personenbezogene Daten, die vor Zugriffen geschützt werden müssen. Somit ist die Anbieterauswahl eine Compliance- und Sicherheitsfrage mit praktischen Auswirkungen.

Digitale Souveränität ist in Brüssel seit Jahren ein Schlagwort. Dabei geht es nicht um Symbolik oder Protektionismus, sondern um handfeste Fragen der Rechtssicherheit, Datenkontrolle und kritischen Infrastruktur. Entscheidungen beim Thema digitale Souveränität haben zunehmend politische und wirtschaftliche Konsequenzen für immer mehr Organisationen. Betroffen sind zum Beispiel Unternehmen, die DSGVO-Compliance nachweisen müssen, oder Behörden, die nach NIS-2 ihre Kommunikationsinfrastruktur absichern müssen. Sie alle brauchen Angebote, die sie wählen können, ohne Kompromisse bei Kontrolle und Vertrauen einzugehen.

Mutterkonzern, Cloud-Infrastruktur, Serverstandort: 3 Fragen vor jedem Software-Wechsel

E-Mail, Cloud-Speicher, Videokonferenz oder Kollaborationstools gehören zum digitalen Alltag. Wenn Sie ein digitales Tool als Option oder als europäische Alternative evaluieren, helfen drei Leitfragen weiter:

1. Wo sitzt das Mutterunternehmen rechtlich?

Ein Sitz in Deutschland oder der EU sagt wenig, wenn das Unternehmen Teil eines US-amerikanischen Konzerns ist. Maßgeblich ist die Frage der Kontrollstruktur: Wer entscheidet letztlich über Datenzugriffe, wer ist im Zweifelsfall gegenüber Behörden auskunftspflichtig?

2. Wo liegen die Daten – und auf wessen Infrastruktur?

Entscheidend ist nicht der Serverstandort, sondern auf wessen Infrastruktur und unter welcher Rechtsprechung der Dienst läuft. So gilt für gemietete Kapazitäten von US-Unternehmen wie AWS, Microsoft Azure oder Google Cloud letztendlich US-amerikanisches Recht.

3. Gibt es überprüfbare Nachweise?

Eigendarstellungen zur Rechtssicherheit sind keine unabhängige Bestätigung. Achten Sie auf Zertifikate und Labels, die auf einer externen Prüfung beruhen.

Tech Sovereignty Catalogue: Europas geprüfte Liste für digitale Souveränität

Der Tech Sovereignty Catalogue unterstützt Organisationen und Personen dabei, echte europäische Alternativen zu Google, Microsoft und Amazon zu erkennen. Er versammelt europäische Technologieanbieter, die beweisen können, dass sie echte Alternativen sind. Was dahintersteckt, warum das mehr als ein Verzeichnis ist und wie der Aufnahmeprozess verläuft:

Was ist der Tech Sovereignty Catalogue?

Der Tech Sovereignty Catalogue ist eine europäische Initiative, die seit Ende 2025 vertrauenswürdige digitale Lösungen aus der EU und dem EWR sichtbar macht. Er ist kein klassisches Branchenverzeichnis, sondern versteht sich als politisches Instrument: Der Katalog ist ein Schaufenster europäischer Technologiesouveränität und soll Entscheidungsträger in Unternehmen, Behörden und Politik mit konkreten Alternativen zu Google, Microsoft 365 und anderen Big-Tech-Produkten verbinden.

Hinter dem Katalog steht ein hochrangiges Advisory Board aus Forschung, Zivilgesellschaft und Digitalpolitik. Der Katalog orientiert sich an sieben Kernprinzipien:

  • Souveränität & Sicherheit
  • Entproprietarisierung & Interoperabilität
  • Nachhaltigkeit
  • Datenschutz
  • Dezentrale souveräne Infrastruktur
  • Inklusive Governance
  • Demokratiestärkung

Wer in den Katalog aufgenommen werden will, muss zeigen, dass er diese Prinzipien tatsächlich erfüllt.

Wie der Aufnahmeprozess funktioniert

Der Weg in den Tech Sovereignty Catalogue folgt einem klar strukturierten, mehrstufigen Verfahren. Er ist bewusst anspruchsvoller gehalten als ein klassisches Listing-Verfahren:

1. Einreichung

Europäische Technologieanbieter bewerben sich über ein Formular auf der Katalog-Website. Grundvoraussetzung: Der Anbieter muss seinen Hauptsitz in der EU oder einem EFTA-Land haben.

2. Eligibility-Check

Die eingereichte Lösung wird auf Marktreife, europäische Herkunft und tatsächliche Kontrolle über die Technologie geprüft. Wer hier nicht besteht, kommt nicht ins Verfahren.

3. Expertenbewertung

Unabhängige Gutachter bewerten die eingereichte Lösung anhand der Katalogkriterien. Dabei geht es nicht nur um technische Merkmale, sondern auch um das Geschäftsmodell, Datenschutzarchitektur und die tatsächliche Unabhängigkeit von nicht-europäischen Providern.

4. Entscheidung

Bei positivem Ergebnis wird die Lösung in den Katalog aufgenommen und öffentlich sichtbar gemacht.

Was die Aufnahme in den Tech Sovereignty Catalogue für mailbox bedeutet

Für mailbox ist die Aufnahme in den Tech Sovereignty Catalogue eine externe Bestätigung unserer gelebten Grundsätze:

  • Unternehmenssitz und Muttergesellschaft im EU/EWR-Raum: Wir sind ein in Deutschland gegründetes Unternehmen in deutschem Eigentum.
  • Unsere Server stehen ausschließlich in deutschen Rechenzentren.
  • Wir geben keine Daten an Dritte weiter, bei uns gibt es keine werbefinanzierte Auswertung von Inhalten und unser Dienst arbeitet DSGVO-konform.
  • Bei mailbox sind Souveränität, Informationssicherheit und Datenschutz extern geprüft und bestätigt: ISO 27001 Zertifikat und BSI C5 Testat, BSI IT-Sicherheitskennzeichen und BSI Goldstatus für E-Mail-Sicherheit, Gütesiegel Software Hosted und Made in Germany, Träger des Labels Cybersecurity Made in Europe und Teil des Tech Sovereignty Catalogue

Das ist keine Selbstverständlichkeit in einem Markt, in dem europäische Dienste regelmäßig von US-Konzernen übernommen werden.

Am Tech Sovereignty Catalogue gefällt uns besonders, dass er Souveränität als europäisches Projekt denkt. Der Katalog bringt Anbieter zusammen, die durch gemeinsame Werte und einen gemeinsamen Rechtsrahmen verbunden sind. Denn digitale Selbstbestimmung ist das Ergebnis bewusster Entscheidungen – für Infrastruktur, der man vertrauen kann, für Anbieter, die man zur Rechenschaft ziehen kann, und für ein Ökosystem, das demokratischen Grundsätzen verpflichtet ist.

Wechsel zu europäischen Anbietern: 3 Schritte zur digitalen Unabhängigkeit

Der Tech Sovereignty Catalogue vereinfacht es Organisationen und Privatpersonen, echte europäisch souveräne Lösungen zu finden. Er hilft damit bei einem wichtigen Schritt in Richtung digitale Souveränität.

Digitale Souveränität ist kein einmaliges Projekt, sondern eine laufende Entscheidung. Gehen Sie diese drei konkreten Schritte auf dem Weg zu ihrer digitalen Selbstbestimmung:

1. Ist-Zustand ermitteln

Welche digitalen Dienste nutzen Sie täglich? Wo liegen die Daten? Wem gehört der Anbieter? Auch wenn die Erkenntnisse ernüchternd seine können: Eine ehrliche Bestandsaufnahme ist der erste Schritt.

2. Software made in Europe erkennen

Nutzen Sie den Tech Sovereignty Catalogue als Ausgangspunkt. Auf der Website finden Sie geprüfte europäische Anbieter in Kategorien wie Cybersecurity, Cloud, Platform Services, Data und KI: techsov-catalogue.eu

3. Nach Prioritäten migrieren

Ein vollständiger Wechsel der digitalen Infrastruktur in kurzer Zeit ist unrealistisch. Sinnvoller ist eine Priorisierung nach Sensitivität: Welche Dienste verarbeiten besonders schützenswerte Daten? Dort lohnt sich der Wechsel zuerst.

Insights & Trends

Entdecken Sie weitere Best Practices rund um Ihre digitale Sicherheit.
Alle Beiträge
Junge Frau sitzt mit Kaffee im Wohnzimmer und schaut lächelnd auf ihr Handy
Best Practice

E-Mail Wegwerfadressen: Schutz vor Spam & Datenmissbrauch

Read more about E-Mail Wegwerfadressen: Schutz vor Spam & Datenmissbrauch
Frau sitzt im Homeoffice vor dem Laptop
Best Practice

Die besten E-Mail-Anbieter für Europa

Read more about Die besten E-Mail-Anbieter für Europa
mailbox Mail: Übersicht des Posteingangs

Auf einen Blick: Übersicht aller Module

Zur Übersicht →
mailbox Blog Europäische Alternativen zu Microsoft und Google

Raus aus der US-Cloud: Europäische Alternativen zu Google und Microsoft erkennen

Webinar ansehen →
mailbox
Jetzt starten ❌︎