Endlich eine deutsche Sovereign Cloud? Was Thales und Google versprechen
Die Thales-Google-Partnerschaft verspricht deutsche Cloud-Souveränität. Doch der CLOUD Act bleibt das ungelöste Risiko für Behörden und Unternehmen.
Die Hülle im Motor
Berlin, Mai 2026. In einer Pressekonferenz verkünden Thales und Google Cloud eine Partnerschaft, die das deutsche Cloud-Dilemma lösen soll. Eine neue deutsche Gesellschaft unter Thales-Kontrolle entsteht. Google liefert die Technologie. Die Marktreife ist für Ende 2026 avisiert.
Christoph Ruffner, CEO von Thales Deutschland, betont die deutsche Rechtshoheit. Die Gesellschaft stehe im Besitz und unter der Kontrolle von Thales. Die Cybersicherheitsarchitektur komme von Thales, die technologische Plattform von Google. Die Daten verblieben in Deutschland.
„Die Hülle ist deutsch, der Motor bleibt amerikanisch.“
Doch was bedeutet Kontrolle, wenn die Technologie von einem US-Hyperscaler stammt? Die Ankündigung wirft fundamentale Fragen auf. Souveränität lässt sich nicht allein durch Gesellschaftsrecht definieren.
Frankreich dient als Blaupause. Seit 2021 existiert S3NS, eine ähnliche Konstruktion mit Thales als Mehrheitsgesellschafter. Google hält rund 20 Prozent. Die SecNumCloud-Zertifizierung wurde beantragt. Der Status bleibt unklar, die ANSSI hat die Anforderungen verschärft.
Die deutsche Variante soll diese Lücken schließen. Doch die technische Realität holt das Versprechen ein. Eine Cloud, deren Kernkomponenten man nicht selbst betreiben kann, bleibt abhängig.
Was Google wirklich kontrolliert – die 5 Lock-in-Mechanismen
Thales kontrolliert die Gesellschaftsanteile. Google liefert den vollständigen Software-Stack. Diese Arbeitsteilung klingt nach klarer Trennung. In der Praxis verschwimmen die Grenzen jedoch rapide.
Managed Services wie GKE oder Cloud Functions binden Kunden vendor-spezifisch. Die APIs lassen sich nicht durch Open-Source-Alternativen ersetzen. Ein Wechsel erfordert komplette Neuarchitektur. Das ist kein theoretisches Risiko, sondern gelebte Praxis bei Migrationen.
Die KI-Modelle von Google, insbesondere Gemini, unterliegen keiner Update-Kontrolle durch Thales. Trainingsdaten bleiben in Google-Hand. Observability-Tools wie Cloud Operations leiten Monitoring-Daten durch Google-Infrastruktur. Die Control Plane kommuniziert mit Google-Servern in den USA. Billing und Quota-Management liegen vollständig unter Google-Kontrolle.
Fünf Mechanismen, die zusammen ein Lock-in-System ergeben. Jeder einzelne Punkt wäre verkraftbar. Die Kombination macht den Exit unmöglich. Unternehmen binden sich langfristig an einen Anbieter, den sie nicht kontrollieren.
Der Sovereign Cloud Stack setzt hier einen fundamental anderen Ansatz. OpenStack und Kubernetes bilden die Basis. Der vollständige Quellcode steht zur Verfügung. Ein Fork ist jederzeit möglich. Die Technologie ist souverän, weil sie offen ist.
Wenn die Technologie nicht souverän ist, bleibt nur das Recht als Schutzmechanismus. Doch genau hier kollidieren zwei Rechtssysteme unvereinbar.
Deutsche Gesellschaft, deutsche Rechtshoheit – und was der CLOUD Act dazu sagt
Die rechtliche Konstruktion wirkt auf den ersten Blick schlüssig. Eine deutsche GmbH operiert auf deutschem Boden. Google lizenziert Software. Die Datenzentren stehen in Deutschland. Deutsches Personal verwaltet den Betrieb. Verträge unterliegen deutschem Recht.
Der US CLOUD Act von 2018 durchschneidet diese Konstruktion. Das Gesetz verpflichtet US-Unternehmen zur Datenherausgabe. Der Speicherort spielt keine Rolle. Section 2713 des US Code formuliert dies explizit. Google LLC als Mutterkonzern fällt unter diese Pflicht.
FISA 702 erweitert die Überwachungsbefugnisse. Ausländische Zielpersonen stehen unter Beobachtung. Die EU hat mit dem Data Privacy Framework reagiert. Doch NOYB hat das Abkommen bereits angefochten. Ein drittes Schrems-Urteil gilt als wahrscheinlich.
Die Normenkollision ist unvermeidbar. Ein deutscher Richter verbietet die Datenherausgabe. Ein US-Richter fordert sie. Die Thales-Tochter steht zwischen den Stühlen. Gesellschaftsrecht schützt nicht vor extraterritorialen Gesetzen.
Schrems II hat 2020 das Privacy Shield gekippt. FISA 702 blieb das zentrale Hindernis. Das Data Privacy Framework von 2023 adressiert diese Lücke nicht ausreichend. Die Executive Order 12333 bleibt unangetastet.
Vertragliche Schutzklauseln bieten keine echte Resilienz. Google kann US-Gerichtsanordnungen nicht ignorieren. Thales kann dies nicht verhindern. Die deutsche Hülle schützt nicht vor amerikanischem Recht.
Die Checkliste: 12 Prüfsteine. Thales/Google besteht 2 von 12.
Echte Souveränität misst sich nicht an Pressemitteilungen. Harte Kriterien offenbaren die Realität. Die 12-Punkte-Checkliste deckt vier Stufen ab. Basis-Souveränität, Technologie-Souveränität, Entscheidungs-Souveränität und CLOUD-Act-Resilienz.
Die Checkliste ist ein Modell – abgeleitet aus der SCS-Definition digitaler Souveränität. Sie ist kein universeller Maßstab, sondern ein Werkzeug, das Transparenz über die eigenen Kriterien schafft.
Thales/Google erreicht in Stufe 1 teilweise Punkte. Datenstandorte in Deutschland sind geplant. Deutsches Personal wird eingesetzt. Deutsche Rechtshoheit vertraglich vereinbart. Die BSI C5 Attestierung bleibt jedoch unbekannt. Stufe 2 erreicht null von fünf Punkten. Kein Open-Source-Stack, keine Fork-Fähigkeit, proprietäre APIs, keine Update-Hoheit, keine eigene KMS-Kontrolle.
Stufe 3 bringt ebenfalls null Punkte. Kein monatlich kündbares Billing ohne Abodruck. Datenexport in standardisierten Formaten nicht garantiert. Bewiesene Migrationen fehlen. Stufe 4, die CLOUD-Act-Resilienz, bleibt vollständig unerfüllt. US-Mutterkonzern, US-Technologie, kein vertraglicher Rechtsschutz, kein unabhängiges Kontrollgremium.
Souveränität, die auf Verträgen statt auf Architektur basiert, ist eine Illusion.
Der Vergleich mit Alternativen fällt deutlich aus. Der Sovereign Cloud Stack erreicht 12 von 12 Punkten. KI-Kapazitäten bleiben gering. T-Systems Open Telekom Cloud schafft 10 von 12 Punkten mit mittlerer KI-Integration. SAP Sovereign erreicht 6 von 12 Punkten, bleibt aber im SAP-Ökosystem gefangen.
Die Verteilung ist deutlich. Zwei von zwölf Punkten sind kein Souveränitätsniveau. Sie sind ein Kompromiss mit strukturellen Risiken.
Das politische Dilemma: Warum Behörden trotzdem kaufen werden
Der Bund hat im Mai 2026 einen 250-Millionen-KI-Auftrag vergeben. T-Systems und SAP erhalten 70 Prozent. SVA bekommt 30 Prozent. Google und Thales gingen leer aus. Sie zogen ihre Vergaberüge zurück.
Staatssekretär Wildberger formulierte die Devise. Leistungsfähige Digitalisierung erfordere Infrastruktur in eigener Kontrolle. Der Sovereign Cloud Stack gewann den Deutschland-Stack-Standard als Referenzarchitektur. Die politische Richtung ist klar.
Doch Pfadabhängigkeiten wirken stärker als Prinzipien. Thales ist im Sicherheitsbereich tief verwurzelt. Behörden arbeiten seit Jahrzehnten mit dem Konzern. Die Google-KI-Technologie gilt als überlegen. Diese Faktoren werden Entscheidungen beeinflussen.
Behörden stehen vor der Wahl zwischen bester Technologie mit Rechtsrisiko und guter Technologie mit Souveränität. Die Abwägung fällt je nach Use-Case unterschiedlich aus. Kritische Infrastrukturen erfordern maximale Souveränität. Forschungsprojekte tolerieren höhere Risiken.
Für Organisationen, die primär KI-Rechenleistung ohne datenschutzsensitive Workloads benötigen, kann das Thales-Google-Modell ein pragmatischer Kompromiss sein. In solchen Anwendungsfällen überwiegt der technologische Vorsprung die rechtlichen Bedenken.
Das Zeitfenster bleibt eng. Thales/Google strebt Marktreife Ende 2026 an. SCS-KI-Komponenten fehlen noch. Sollte das Urteil das DPF kippen – wovon Datenschutzexperten wie Max Schrems und die NOYB-Organisation ausgehen – wäre Thales/Google direkt betroffen. Die politische Realität holt die technische ein. Souveränität ist kein binärer Zustand. Sie ist ein Kontinuum mit Graustufen.
Das Ende der Illusion: Drei Pfade für echte Souveränität
Drei Pfade führen aus dem Dilemma. Jeder hat spezifische Vor- und Nachteile. Die Wahl hängt von der Risikotoleranz und den technischen Anforderungen ab.
Pfad A minimiert das Risiko durch vertragliche Absicherungen. Nur unkritische Workloads wandern in die Thales/Google-Cloud. Eine Hybrid-Architektur trennt sensible von weniger sensiblen Daten. Ein Exit-Plan muss vor Vertragsschluss stehen. Dieser Weg bietet Flexibilität bei akzeptablem Restrisiko.
Pfad B folgt dem SCS-Weg. Der Stack ist produktionsreif und Bund-Standard. SCS-konforme Anbieter wie ScaleUp oder Cloud&Heat stehen zur Verfügung. Open-Source-KI lässt sich integrieren. Die Kapazitäten bleiben hinter Google zurück. Dafür gibt es keine CLOUD-Act-Risiken.
Pfad C setzt auf Multi-Cloud. Kritische Workloads laufen auf SCS. KI-Workloads nutzen Thales/Google als reine KI-Plattform. Daten-Egress muss vermieden werden. Die Architektur trennt Rechenleistung von Datenspeicherung. Dies erfordert sorgfältiges Design, bietet aber das beste aus beiden Welten.
Die 12-Punkte-Checkliste steht als Download zur Verfügung. Sie dient als Entscheidungsgrundlage für jede Beschaffung. Echte Souveränität kauft man nicht. Man baut sie.
Häufige Fragen zur Thales-Google-Sovereign-Cloud
Kann Thales Daten vor US-Zugriff schützen?
Nein. Der CLOUD Act gilt für Google LLC als Mutterkonzern. US-Gerichte können Datenherausgabe unabhängig vom Speicherort anordnen. Thales hat keine rechtliche Handhabe, dies zu verhindern. Vertragliche Klauseln bieten keinen Schutz vor extraterritorialen Gesetzen.
Ist die S3NS-Zertifizierung in Frankreich positiv zu bewerten?
Teilweise. Die SecNumCloud-Zertifizierung wurde beantragt. Der Status bleibt unklar. Die ANSSI hat die Anforderungen verschärft. Die Prüfung umfasst nicht die CLOUD-Act-Resilienz. Eine französische Zertifizierung schützt nicht vor US-Recht.
Was unterscheidet Thales/Google von T-Systems Open Telekom Cloud?
Der Unterschied ist fundamental. OTC basiert auf OpenStack als Open Source. Der Stack ist fork-bar und souverän. Thales/Google nutzt den proprietären Google-Stack. APIs sind nicht standardisiert. Ein Wechsel ist nur mit kompletter Neuarchitektur möglich.
Ist eine Daten-Migration zu einem anderen Anbieter möglich?
Nur mit erheblichem Aufwand. Proprietäre APIs sind nicht standardisiert. Managed Services lassen sich nicht eins zu eins ersetzen. Die Migration erfordert komplette Anwendungsanpassung. Exit-Kosten liegen typischerweise im siebenstelligen Bereich.
Was ändert das erwartete Schrems-III-Urteil?
Sollte der EuGH das Data Privacy Framework kippen – Datenschutzexperten wie Max Schrems gehen davon aus – wären Datenübermittlungen in die USA rechtswidrig. FISA 702 und Executive Order 12333 blieben unangetastet. Thales/Google wäre direkt betroffen. Alternative Mechanismen müssten gefunden werden.
Ist der Sovereign Cloud Stack die bessere Alternative?
Für Souveränität eindeutig ja. SCS erreicht 12 von 12 Punkten auf der Checkliste. Für KI-Kapazität gilt das Gegenteil. Google bietet überlegene Modelle und Infrastruktur. Die Entscheidung hängt vom Use-Case ab. Kritische Daten gehören auf SCS.
Perspektiven der Stakeholder
Chief Information Officer
Die Entscheidungsmatrix muss Exit-Pläne vor Vertragsschluss fordern. Multi-Cloud-Architekturen reduzieren das Lock-in-Risiko. Thales/Google eignet sich für nicht-kritische Workloads mit hohem KI-Bedarf. Ein klarer Trennungsplan zwischen sensiblen und unkritischen Daten ist Pflicht. Die Gesamtkosten inkludieren Exit-Szenarien.
Datenschutzbeauftragter
Das CLOUD-Act-Risiko bleibt ungelöst. Besonders schützenswerte Daten dürfen nicht auf Thales/Google wandern. Eine Datenschutz-Folgenabschätzung muss das US-Rechtsrisiko explizit bewerten. Vertragliche Garantien reichen nicht als Absicherung.
Politische Entscheider
Der Deutschland-Stack-Standard gibt die Richtung vor. Thales/Google darf nur als Ergänzung dienen. Kritische Infrastrukturen gehören auf SCS-Basis. Die 250-Millionen-KI-Plattform zeigt den Weg. Souveränität hat Priorität vor technischer Überlegenheit. Langfristige Abhängigkeiten von US-Hyperscalern sind strategisch riskant.
| Kriterium | Thales/Google | SCS | T-Systems OTC | SAP Sovereign |
|---|---|---|---|---|
| Open-Source-Stack | ❌ | ✅ | ✅ | ❌ |
| Fork-Fähigkeit | ❌ | ✅ | ✅ | ❌ |
| US-Rechtsrisiko | ❌ | ✅ | ✅ | ✅ |
| CLOUD-Act-resilient | ❌ | ✅ | ✅ | ✅ |
| Eigene Update-Hoheit | ❌ | ✅ | ✅ | Nein |
| KI-Kapazität | Sehr hoch | Gering | Mittel | Mittel |
| Lock-in-Risiko | Sehr hoch | Niedrig | Mittel | Hoch |
| Souveränität (von 12) | 2-3 | 12 | 10 | 6 |
Fazit
Die Thales-Google-Sovereign-Cloud ist eine technische Realität. Sie ist keine souveräne Cloud. Sie bedient ein Bedürfnis nach US-Technologie mit deutscher Rechtshülle. Die strukturellen Risiken bleiben unverwaltet im Raum stehen.
Der CLOUD Act durchschneidet jede gesellschaftsrechtliche Konstruktion. Zwei von zwölf Punkten auf der Souveränitäts-Checkliste sind kein Fundament für kritische Infrastrukturen. Sie sind ein Kompromiss, der sich bei Schrems III als Trugschluss erweisen könnte.
Echte Souveränität ist kein Produkt. Sie ist ein Bauprozess. Sie erfordert Open Source, Fork-Fähigkeit und architektonische Resilienz. Verträge schützen nicht vor extraterritorialen Gesetzen. Nur Technologie, die man selbst kontrolliert, bietet echten Schutz.
Die Entscheidung liegt bei den CIOs. Sie wählen zwischen Illusion und Realität. Zwischen deutscher Hülle mit amerikanischem Motor und echtem Deutschland-Stack. Die Zeit der beschönigenden Begriffe endet 2026.
Quellen
Cloud-Souveränität: Thales knackt das US-Cloud-Dilemma – Ankündigung der Partnerschaft zwischen Thales und Google Cloud mit Details zur deutschen Gesellschaftsstruktur. https://www.cio.de/article/4175508/cloud-souveraenitaet-thales-knackt-das-us-cloud-dilemma.html
KI-Millionendeal: SAP und T-Systems booten Google beim Bund aus – Bericht über den 250-Millionen-KI-Plattform-Auftrag des Bundes an T-Systems und SAP statt Google. https://www.cio.de/article/4176218/ki-millionendeal-sap-und-t-systems-booten-google-beim-bund-aus.html
Digitale Souveränität – Definition und Standards – Die vier Dimensionen der Souveränität nach Sovereign Cloud Stack mit technischen und rechtlichen Kriterien. https://sovereigncloudstack.org/ueber-scs/digitale-souveraenitaet/
CLOUD Act – Erläuterung des US CLOUD Act von 2018 mit extraterritorialer Reichweite gemäß 18 U.S.C. § 2713. https://en.wikipedia.org/wiki/CLOUD_Act
Schrems II – EuGH-Urteil C-311/18 vom 16. Juli 2020 zur Ungültigkeit des Privacy Shield und FISA 702 als Hindernis. https://en.wikipedia.org/wiki/Schrems_II
Google Cloud Platform – Umsatzzahlen 2025, 40 Regionen weltweit und Architektur-Übersicht des Hyperscalers. https://en.wikipedia.org/wiki/Google_Cloud_Platform
Sovereign Cloud Stack – Zertifizierte Anbieter – Übersicht der zertifizierten SCS-Anbieter und Integratoren für den Deutschland-Stack. https://sovereigncloudstack.org/
Data Protection: European Commission adopts new adequacy decision for safe and trusted EU-US data flows – Pressemitteilung der EU-Kommission zum EU-US Data Privacy Framework vom 10. Juli 2023. https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721
Gaia-X – European federated data infrastructure framework – Rahmenwerk für europäische föderierte Dateninfrastruktur als Kontext für Souveränitätsdebatten. https://gaia-x.eu/
