Lange war die Sache klar: IT-Infrastruktur war eine operative Entscheidung. Man wählte den günstigsten Anbieter, den schnellsten Weg in die Cloud, und das Thema wanderte vom Vorstand in die IT-Abteilung.
Das hat sich verändert — nicht durch ein einzelnes Ereignis, sondern durch die stille Kumulation von Entwicklungen, die heute zusammen eine neue Logik ergeben.
Standort Österreich: Wann US-Behörden auf Ihre Cloud-Daten zugreifen können
Im Dezember 2025 wurde ein Rechtsgutachten der Universität Köln — im Auftrag des deutschen Bundesinnenministeriums erstellt — öffentlich. Der Befund, bezieht sich auf europäische Rechenzentren, somit auch Österreich: US-Behörden können auf Basis des CLOUD Acts und des FISA 702 US-Unternehmen verpflichten, Daten herauszugeben – auch wenn diese physisch in europäischen Rechenzentren gespeichert sind. Denn entscheidend ist dabei nicht der physische Speicherort, sondern die Frage, ob ein US-amerikanisches Unternehmen die Daten in seinem Besitz, seiner Verwahrung oder unter seiner Kontrolle hat („possession, custody or control“).
Und das ist kein deutsches Problem. Es betrifft jedes österreichische Unternehmen, das Dienste von US-Cloud-Anbietern nutzt, egal ob das Rechenzentrum in Wien, Frankfurt oder Dublin steht.
Und Österreich hat in diesem Punkt sogar mehr Präzedenz als Deutschland: Die österreichische Datenschutzbehörde war EU-weit die erste Behörde, die in einem konkreten Bescheid (Teilbescheid vom 22.12.2021, GZ D155.027, 2021‑0.586.257) – dem Google‑Analytics‑Verfahren – den praktischen Konflikt zwischen US‑Überwachungsgesetzen wie FISA 702 und den Anforderungen der DSGVO aufgezeigt hat. Die Behörde verneinte in diesem Fall das angemessene Schutzniveau nach Art. 44 DSGVO, da US-Überwachungsgesetze wie FISA 702 den Anbieter zur Datenherausgabe verpflichten können.
Die entscheidende Frage lautet daher nicht mehr: Wo liegen unsere Daten?
Sondern: Wer hat im Hintergrund rechtliche Zugriff auf die Daten – und welcher Rechtsordnung unterliegt der Dienstleister, wenn es drauf ankommt?
Quellen:
- Cross-Border Data Forum: „Defining the Scope of „Possession, Custody, or Control“ for Privacy Issues and the Cloud Act
- DOJ Cloud Act FAQ / Ressourcen
- oodrive Extension of the FISA Law: How to protect our data and digital sovereignty
- Dataprotect: FISA und CLOUD Act
- LfD Niedersachsen / Der CLOUD Act – Zugriff von US Behörden auf Daten der EU
- Datenschutzbehörde Teilbescheid
Der Markt hat den Trend verstanden
Das Thema ist längst bekannt und keine Nischendiskussion mehr.
Neun von zehn Unternehmen in der DACH-Region setzen bereits Maßnahmen zur digitalen Souveränität um oder planen diese. Gartner prognostiziert, dass Europas Ausgaben für souveräne Cloud-Infrastruktur von 6,9 Milliarden Dollar (2025) auf 23,1 Milliarden Dollar (2027) steigen werden. Laut Flexera wurden 23 Prozent der Cloud-Workloads bereits zurück in lokale Umgebungen verlagert (Stand 2026), 83 Prozent der CIOs haben das Thema auf der Agenda.
Das Vertrauen in US-Technologieanbieter ist dabei messbar gesunken: Anfang 2025 vertrauten noch 51 Prozent der deutschsprachigen Unternehmen den USA als IT-Lieferanten — nach den geopolitischen Verwerfungen sank dieser Wert auf 38 Prozent. (Quelle: Bitkom-Research, Studie zur Chip-/IT-Versorgung 2025).
Geopolitik ist damit in die IT-Strategie eingedrungen. Und sie bleibt dort.
Quellen & weiterführende Links:
- Datenschutzticker.de: US-Clouds 2025: Aktuelle Datenschutzrisiken und rechtliche Entwicklungen
- Computerworld Gartner: European spending on sovereign cloud IaaS to nearly double in 2026
- SecureCloud: Turning point in the cloud: Europe overtakes the US in sovereign cloud investments
- DCD: Europe spending on sovereign cloud infrastructure to triple from 2025-2027-Garnter
- The Register: Europe’s sovereign cloud spend set to triple as geopolitics bite
- Cloudcomputing Insider: Flexera-Cloud-Report 2026
- Bitkom-Studie „Digitale Souveränität / Chip-Versorgung 2025“
Regulatorik macht Kontrolle zur Pflicht
Parallel zur Diskussion rund um US-Zugriffsrechte hat sich das rechtliche Umfeld in Österreich grundlegend verändert.
Das NISG 2026 — die österreichische Umsetzung der EU-Richtlinie NIS-2, im Dezember 2025 beschlossen und mit 1. Oktober 2026 in Kraft tretend — erfasst nach aktuellen Schätzungen rund 4.000 österreichische Unternehmen, über Lieferketten noch erheblich mehr. Wer als IT-Dienstleister, Zulieferer oder Partner von betroffenen Betrieben tätig ist, kann ohne eigenes Zutun in den Geltungsbereich fallen. Das Gesetz verlangt nachweisbares Risikomanagement, dokumentierte Sicherheitsprozesse und Business-Continuity-Konzepte — mit Sanktionen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – ja nachdem, welcher Betrag höher ist.
Der Digital Operational Resilience Act (DORA) ist seit Jänner 2025 anwendbar und macht die Steuerung externer IT-Anbieter zur regulierten Governance-Frage — besonders für Finanzunternehmen und ihre IT-Partner. Wer kritische Funktionen auf einen einzigen, außereuropäischen Cloud-Hyperscaler aufgebaut hat, muss dieses Konzentrationsrisiko aktiv managen und dokumentieren.
Der EU Data Act, seit September 2025 in Kraft, verpflichtet Cloud‑Anbieter zu standardisierten Wechselmöglichkeiten und macht Cloud‑Switching‑Entgelte (Wechselgebühren beim Umzug von Daten) ab 2027 grundsätzlich unzulässig. Die EU behandelt damit fehlende Wechselmöglichkeiten und Lock‑in‑Effekte offiziell als strukturelles Risiko – und gibt Unternehmen erstmals ein klares Recht, aus unpassenden Cloud‑Modellen auszusteigen. In der aktuellen Übergangsphase müssen Wechselentgelte an tatsächlich anfallende, nachweisbare Kosten gebunden sein; pauschale Straf- oder Abschreckungsgebühren sind nicht mehr zulässig.
Was früher eine technische Beschaffungsfrage war, ist heute eine Compliance- und Governance-Aufgabe auf Vorstandsebene.
Quellen & weiterführende Links:
- EU-NIS2-Richtlinie
- WKÖ / nationale Informationen zu NISG 2026
- EU Digital Strategy: Datengesetz erklärt
- Pinsent Masons – Switching porting rules under the EU Data Act
Dazu kommt: die Ressourcen fehlen
Lt. WKÖ/Fachverband UBIT gibt es aktuell 28.000 offene IT-Stellen in Österreich, drei von vier Unternehmen können IT-Positionen nicht besetzen. Das ist kein vorübergehendes Problem, sondern ein strukturelles.
Die steigenden Anforderungen an Security, Governance und Compliance übersteigen das, was mittlere Unternehmen intern dauerhaft leisten können. Selbst wenn der Wille da ist, fehlen oft die Kapazitäten. IT-Outsourcing ist in diesem Kontext keine Kostensparmaßnahme mehr. Für viele mittelständische Unternehmen wird es zur realistischen Handlungsoption angesichts eines Arbeitsmarktes, der sich in absehbarer Zeit nicht entspannen wird.
Zwei Wege, wie Unternehmen die Kontrolle über ihre Daten zurückgewinnen
Die Kombination aus rechtlichem Kontrollverlust, regulatorischem Pflichtenheft und fehlendem oder wegfallendem internen Know-how ergibt eine neue strategische Logik: Der Infrastrukturstandort und das Betriebsmodell werden zur unternehmerischen Verantwortungsfrage. Nicht die Cloud ist das Risiko, sondern fehlende Kontrolle über Rechtsraum, Zugriffsmöglichkeiten und Betriebsmodell.
Auch große Cloud-Anbieter entwickeln Sovereign-Cloud-Ansätze mit zusätzlichen Kontrollmechanismen. Die rechtliche Herausforderung bleibt jedoch bestehen: Solange der Anbieter US-Recht unterliegt, kann er unter US-Recht zur Datenherausgabe verpflichtet werden – unabhängig von technischen Kontrollmechanismen.
Für Unternehmen, die das ernstnehmen, ergeben sich zwei strategisch belastbare Wege:
Eigene Infrastruktur – professionell betrieben
Wer kritische Systeme unter eigener Kontrolle halten will, braucht heute mehr als Hardware. Er braucht Security-Prozesse, Monitoring, Backup-Strategie, Incident Response und regulatorisch konforme Dokumentation. Das intern vollständig aufzubauen und dauerhaft zu betreiben, übersteigt die Kapazitäten vieler mittlerer Unternehmen. Spezialisierte Managed-Service-Partner schließen diese Lücke — ohne dass Kontrolle abgegeben werden muss.
IT-PS Angebot:
IT-Outsourcing zu einem echten österreichischen Partner
Wer externe Infrastruktur nutzen will, und Wert auf Datensouveränität legt, braucht einen Partner, der österreichischem Recht unterliegt, lokale Ansprechpartner hat, keine US-Konzernstruktur im Hintergrund hat – und ein transparentes, auditierbares Betriebsmodell.
Genau hier setzen wir als IT-PS an: mit österreichischer Eigentümerstruktur, ISO-27001 Zertifizierung und der IT-PS Cloud inkl. 3 Standorte-Konzept.
IT-PS Angebot:
IT-Infrastruktur ist eine Vertrauensfrage
Unternehmen, die heute klar beantworten können, wer Zugriff auf ihre Infrastruktur und Daten im Ernstfall hat, treffen strategische Entscheidungen. Unternehmen, die es nicht beantworten können, haben eine offene Flanke — regulatorisch, operativ und betrieblich.
Der Infrastrukturstandort ist zurück auf der Agenda. Nicht als IT-Thema. Als Managemententscheidung.
Sie wollen mehr über unser Serviceangebot wissen?
Holen Sie sich die Informationen von uns, die Sie brauchen
