37 Prozent der deutschen Unternehmen würden inzwischen einen Cloud-Dienst nutzen, der Daten ausschließlich in Deutschland verarbeitet, selbst wenn das weniger Funktionen oder höhere Kosten bedeutet. Vor einem Jahr waren es 27 Prozent. Das geht aus dem „Cloud Report 2026“ hervor, den der Digitalverband Bitkom am 17. Juni 2026 veröffentlichte. Bitkom-Präsident Ralf Wintergerst fordert deshalb verbindliche Standards und einen Staat, der bei der Umsetzung vorangeht. Der Münchner Anbieter FTAPI erfüllt diese Vorgaben bereits. Die Plattform läuft auf Servern in Deutschland und besitzt Zertifikate nach ISO 27001 sowie BSI C5. Gut 2.000 Organisationen aus Verwaltung, Gesundheitswesen und Industrie mit über einer Million aktiven Nutzern arbeiten damit. Bei einer europäischen Region eines US-Konzerns entscheidet letztlich die ausländische Muttergesellschaft über den Datenzugriff. Bei FTAPI gilt deutsches Recht. Genau diese juristische Eindeutigkeit vermissen laut Bitkom 87 Prozent der Unternehmen bei internationalen Anbietern. Die Europäische Union reguliert diesen Bereich nun schärfer. Ab dem 11. September 2026 gelten die ersten Meldepflichten des Cyber Resilience Act (CRA). Wenige Monate zuvor, am 3. Juni 2026, stellte die EU-Kommission das Tech Sovereignty Package vor. Der Entwurf regelt die Sektoren Energie, Gesundheit und Wasserversorgung. Dort sind Kommunen über Stadtwerke, Kliniken und kommunale Betriebe stark vertreten. Der CRA schreibt seit Dezember 2024 europaweit IT-Sicherheitsstandards für digitale Produkte mit Netzwerkanbindung vor. Kommunen sind in zwei Rollen in der Pflicht. Als Beschafferin dürfen sie ab Ende 2027 nur noch Produkte mit entsprechender CE-Kennzeichnung einkaufen. Als Betreiberin müssen sie ein funktionierendes Meldewesen für Schwachstellen aufbauen. Ab dem 11. September 2026 gelten feste Fristen. Die Erstmeldung muss binnen 24 Stunden erfolgen, die Folgemeldung binnen 72 Stunden und der Abschlussbericht spätestens 14 Tage nach Verfügbarkeit eines Patches. Diese Fristen verpflichten primär die Hersteller. Kommunen spüren die Konsequenz jedoch direkt, wenn sie ein Softwareprodukt austauschen müssen, weil der Anbieter im Verzug ist. Das Tech Sovereignty Package setzt die Forderung nach verbindlichen Standards in Gesetzesform um. Kernstück ist der geplante Cloud and AI Development Act (CADA). Er führt ein EU-weites Bewertungsraster für die Kontrollstrukturen von Cloud-Diensten ein. Die strengste Stufe erreichen nur Anbieter mit tatsächlicher rechtlicher und technischer Kontrolle über Infrastruktur, Lieferkette und Daten in Europa. Diese Anforderungen gelten für die Bereiche, die bereits der NIS2-Richtlinie unterliegen. Mitgliedstaaten müssen für Stadtwerke, kommunale Kliniken und Wasserversorger eigene Risikobewertungen durchführen. EU-Exekutivvizepräsidentin Henna Virkkunen formulierte die Prämisse klar. Cloud-Anbieter für kritische Systeme dürfen keinen „Kill Switch“ besitzen, der einen Datenzugriff von außen ermöglicht. Amerikanische Anbieter geraten hier in einen rechtlichen Konflikt. Der US CLOUD Act erlaubt US-Behörden den Zugriff auf Daten amerikanischer Unternehmen, unabhängig vom physischen Speicherort. Ein Server in einem deutschen Rechenzentrum schützt Daten nicht vor dem Zugriff durch US-Behörden, wenn der Betreiber ein amerikanischer Konzern ist. Der CADA-Entwurf liegt derzeit den gesetzgebenden Gremien vor. Eine finale Verordnung tritt voraussichtlich nicht vor 2027 in Kraft. Der Bitkom-Report belegt den Bedarf im Markt. 80 Prozent der befragten Unternehmen befürworten europäische Alternativen zu den globalen Marktführern, doch nur 53 Prozent nutzen sie heute. Kommunen entscheiden heute über IT-Infrastrukturen, die in den kommenden Jahren den CADA-Vorgaben entsprechen müssen. Sie minimieren rechtliche und operative Risiken, wenn sie frühzeitig Anbieter mit europäischer Rechtsform wählen. FTAPI vereint die verschlüsselte E-Mail-Übertragung (SecuMails), sichere Datenräume (SecuRooms) und automatisierte Formularstrecken (SecuForms) auf einer Plattform. Ein Audit-Trail protokolliert jeden Vorgang. Die Software wickelt den Datenaustausch zwischen Stadtverwaltung und Krankenkasse oder Stadtwerk und Netzbetreiber über eine Infrastruktur ab, die keinem ausländischen Gesetzgeber unterliegt. (DEKOM/FTAPI, 22.06.2026) Ganter Artikel hier…
