Als der IT-Leiter eines deutschen Automobilzulieferers im Frühjahr 2024 vor der Entscheidung stand, sein SAP-System auf S/4HANA zu migrieren, schien die Sache zunächst klar: RISE with SAP, die Cloud-Lösung von SAP, versprach schnelle Implementierung, geringere Infrastrukturkosten und kontinuierliche Innovation. Doch dann kam der Einwand aus der Rechtsabteilung: „Wo liegen unsere Daten? Wer hat Zugriff? Wie steht es mit der digitalen Souveränität?“
Was folgte, war eine monatelange Diskussion, die exemplarisch für ein Dilemma steht, mit dem sich derzeit Hunderte deutsche und europäische Unternehmen konfrontiert sehen. Auf der einen Seite drängt SAP mit seiner Cloud-First-Strategie in Richtung standardisierter Public-Cloud-Lösungen – getrieben von wirtschaftlichen Zwängen und dem Versprechen maximaler Agilität. Auf der anderen Seite wächst in Unternehmen, Politik und Gesellschaft das Bewusstsein, dass die Kontrolle über geschäftskritische Daten keine Petitesse ist, sondern eine strategische Frage nationaler und unternehmerischer Souveränität.
SAP, der europäische Software-Champion, muss nun beweisen, dass beides geht: globale Cloud-Skalierung und lokale Datenkontrolle. Doch kann dieser Spagat gelingen? Oder wird SAP sich letztlich für eine Seite entscheiden müssen?
Wer die Entwicklung von SAP in den vergangenen fünf Jahren beobachtet hat, erkennt unmissverständlich: Der Softwarekonzern aus Walldorf hat seine Zukunft in der Cloud verortet. Die Zahlen sprechen eine eindeutige Sprache. Im Geschäftsjahr 2024 erwirtschaftete SAP bereits über 17 Milliarden Euro mit Cloud-Lösungen – mehr als die Hälfte des Gesamtumsatzes. Bis 2030 soll der Cloud-Umsatz auf über 30 Milliarden Euro steigen.
Das zentrale Vehikel dieser Transformation heißt RISE with SAP (seit 2024 vermarktet als „SAP Cloud ERP“). Das im Januar 2021 vorgestellte Angebot bündelt S/4HANA Cloud, Infrastruktur, Business Process Intelligence und Migrationssupport in einem Paket. Das Versprechen: Unternehmen sollen binnen weniger Monate statt Jahre in die Cloud migrieren können. Über 6.000 Kunden haben sich bislang für RISE entschieden – eine beeindruckende Zahl, auch wenn SAP damit noch weit von seinem Ziel entfernt ist, alle ECC-Kunden bis 2027 zu migrieren.
Hinter dieser Cloud-Offensive stehen handfeste wirtschaftliche Interessen.
Erstens – Recurring Revenue:
Cloud-Abonnements schaffen planbare, wiederkehrende Umsätze, die an der Börse deutlich höher bewertet werden als einmalige Lizenzverkäufe.
Zweitens – Höhere Margen:
Während SAP bei On-Premise-Lizenzen mit hohem Supportaufwand, indirekter Nutzung und komplexen Lizenzaudits kämpft, bietet die Cloud ein klares, kontrollierbares Abrechnungsmodell.
Drittens – Innovationsgeschwindigkeit:
Nur in der Cloud kann SAP neue Funktionen zentral ausrollen, ohne auf die Updatezyklen tausender Kunden Rücksicht nehmen zu müssen.
Die Botschaft aus Walldorf ist unmissverständlich: „Public Cloud First“ lautet die Devise. Private Cloud und On-Premise werden zwar weiterhin unterstützt, aber Innovation und Entwicklungsressourcen fließen primär in die Public-Cloud-Variante. Wer als Kunde maximale Funktionalität und die neuesten Features will, kommt an der Public Cloud kaum vorbei.
Der Begriff „Datensouveränität“ hat in den vergangenen Jahren eine bemerkenswerte Karriere gemacht – vom Nischenthema für Datenschutzbeauftragte zur strategischen Priorität auf Vorstandsebene. Doch was bedeutet Souveränität im Cloud-Kontext eigentlich konkret?
Technische Souveränität meint zunächst die physische Kontrolle über Daten und Infrastruktur. Wo stehen die Server? In welcher Jurisdiktion? Wer hat physischen Zugang zu den Rechenzentren? Können Daten ungewollt über Ländergrenzen transferiert werden? Für viele deutsche Unternehmen ist es unabdingbar, dass ihre Daten ausschließlich in Deutschland oder zumindest der EU verarbeitet und gespeichert werden.
Operative Souveränität geht einen Schritt weiter: Wer betreibt die Infrastruktur? Wer hat administrativen Zugriff auf Systeme und Daten? Können Mitarbeiter des Cloud-Anbieters – womöglich aus Drittstaaten – auf geschäftskritische Informationen zugreifen? Hier geht es um die Frage der Kontrolle im laufenden Betrieb. Selbst wenn Daten in Deutschland liegen, nützt das wenig, wenn Administratoren mit US-amerikanischer Staatsbürgerschaft darauf zugreifen können und damit potenziell dem Cloud Act unterliegen.
Juristische Souveränität schließlich betrifft die rechtliche Dimension: Welches Recht gilt? Welchen ausländischen Gesetzen (wie dem US Cloud Act) könnte die Infrastruktur unterworfen sein? Wie ist die Beweislage bei Datenschutzverstößen? Nach den Schrems-II-Urteilen des Europäischen Gerichtshofs ist klar: Der Transfer personenbezogener Daten in Drittstaaten ohne angemessenes Schutzniveau ist problematisch. Dies betrifft sowohl die klassische Datenübermittlung als auch administrative Fernzugriffe.
Für deutsche Unternehmen, insbesondere solche, die als Betreiber kritischer Infrastrukturen (KRITIS) gelten, sind diese Fragen nicht akademischer Natur. Energieversorger, Krankenhäuser, Finanzdienstleister und Telekommunikationsunternehmen unterliegen besonderen regulatorischen Anforderungen. Mit der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA) verschärfen sich diese Vorgaben weiter.
Ein entscheidender Punkt wird dabei oft übersehen: Datenschutz und Datensouveränität sind nicht identisch. Die DSGVO regelt den Schutz personenbezogener Daten – aber auch nicht-personenbezogene Geschäftsdaten können hochsensibel sein. Konstruktionspläne, Rezepturen, strategische Planungen: All dies unterliegt keinem Datenschutzrecht, ist aber für Unternehmen oft wertvoller als personenbezogene Informationen. Souveränität umfasst also mehr als Compliance mit Datenschutzrecht.
SAP hat Ende November 2025 mit der Vorstellung der „EU AI Cloud“ einen strategischen Meilenstein gesetzt. Unter dieser Dachmarke bündelt SAP alle souveränen Cloud- und KI-Angebote zu einem einheitlichen Full-Stack-Ansatz. Die EU AI Cloud fasst bestehende Initiativen zusammen und positioniert SAP klar als Anbieter souveräner Lösungen für den europäischen Markt. Für Kunden bedeutet dies: mehr Klarheit im Portfolio, mehr Wahlmöglichkeiten bei Deployment-Modellen – und die explizite Zusage, dass SAP digitale Souveränität als strategische Priorität ernst nimmt.
Doch was verbirgt sich konkret hinter dieser Dachmarke? Ein Blick auf das Portfolio zeigt ein breites Spektrum – von rein infrastruktureller Lokalisierung bis zu umfassenden Treuhandmodellen und On-Site-Deployment mit maximaler Kontrolle.
SAP Public Cloud in eigenen deutschen Rechenzentren ist die Basislösung für Kunden, denen zumindest die physische Datenlokalisierung wichtig ist. SAP betreibt mehrere Rechenzentren in Deutschland, darunter Walldorf und St. Leon-Rot. Kunden können bei der RISE-Buchung die Region „Europe“ oder spezifischer „Germany“ wählen. Damit wird sichergestellt, dass die Daten physisch in Deutschland gespeichert und verarbeitet werden.
Diese Lösung weist jedoch entscheidende Einschränkungen auf: SAP selbst ist der Betreiber. Das bedeutet, SAP-Administratoren – potenziell aus verschiedenen Ländern, auch außerhalb der EU – haben grundsätzlich technischen Zugriff auf die Infrastruktur und könnten im Rahmen ihrer Wartungs- und Support-Tätigkeiten auf Kundendaten zugreifen. Zwar gibt es strenge interne Richtlinien und Protokollierung solcher Zugriffe, aber die theoretische Möglichkeit besteht.
Zudem ist SAP ein US-börsennotiertes Unternehmen mit erheblicher Präsenz in den USA. Das wirft die Frage auf, ob SAP theoretisch US-behördlichen Anfragen nach Datenzugriff unterliegen könnte – selbst wenn die Daten in Deutschland liegen. Diese Frage wird juristisch kontrovers diskutiert, klar ist: Wer maximale rechtliche Sicherheit will, für den reicht diese Lösung nicht.
EU Access als Add-on adressiert zumindest das Problem des internationalen Administratorenzugriffs. Gegen einen Aufpreis können Kunden bei SAP das „EU Access“-Paket buchen. Damit wird vertraglich zugesichert, dass nur SAP-Mitarbeiter mit EU-Staatsbürgerschaft und Arbeitsort in der EU administrativen Zugriff auf die Kundenumgebung haben. Diese Mitarbeiter unterliegen EU-Recht und sind nicht direkt durch US-Gesetze wie den Cloud Act angreifbar.
EU Access ist ein wichtiger Schritt in Richtung operativer Souveränität. Allerdings bleiben zwei Herausforderungen: Erstens ist SAP als Organisation weiterhin potenziell US-Behördenanfragen ausgesetzt, auch wenn einzelne Administratoren EU-Bürger sind. Zweitens: Die Software selbst, alle Updates und Patches kommen aus Walldorf – eine Organisation, die global agiert. Kritiker argumentieren, dass dies eine Schwachstelle bleibt, auch wenn sie theoretisch und in der Praxis unwahrscheinlich erscheint.
Dennoch: Für viele Unternehmen ist die Kombination aus deutschen Rechenzentren und EU Access ein praktikabler Kompromiss. Sie erhalten die volle Funktionalität der SAP Public Cloud, inklusive aller neuesten Features und kontinuierlicher Updates, bei gleichzeitig deutlich erhöhter Souveränität – und das zu einem moderaten Aufpreis im Vergleich zu vollständigen Treuhandmodellen.
Mit der im November 2025 vorgestellten EU AI Cloud geht SAP über punktuelle Angebote hinaus und bietet ein umfassendes Souveränitätsportfolio, das verschiedene Deployment-Modelle unter einem strategischen Dach vereint. Kunden können nun zwischen mehreren Stufen wählen – je nach ihren spezifischen Anforderungen an Souveränität, Compliance und operative Kontrolle.
Das Infrastructure-as-a-Service (IaaS)-Angebot von SAP, entwickelt mit Open-Source-Technologien und betrieben im europäischen Rechenzentrumsnetzwerk von SAP. Diese Variante stellt sicher, dass alle Daten innerhalb der EU verbleiben und die Einhaltung europäischer Datenschutzvorschriften gewährleistet ist.
Der Unterschied zur Standard-Public-Cloud: Diese Infrastruktur ist dediziert für souveräne Workloads ausgelegt. Die Anbindung an andere SAP-Cloud-Services erfolgt über kontrollierte, abgesicherte Schnittstellen. Zudem läuft die Lösung auf SAPs eigener Cloud-Infrastruktur, nicht auf Hyperscalern wie AWS oder Azure – was eine weitere Ebene der Unabhängigkeit schafft.
Technisch basiert das Angebot auf einer Software-Abstraktionsschicht (SAP Cloud Infrastructure + SAP Business Technology Platform), die in europäischen Rechenzentren betrieben wird. Damit wird Compliance mit europäischen Datenschutzregulierungen sichergestellt, während gleichzeitig Unabhängigkeit von US-Hyperscalern gewahrt bleibt.
Diese Option eignet sich für Unternehmen, die vollständige Funktionalität der SAP Cloud wünschen, aber aus regulatorischen oder strategischen Gründen EU-Datenresidenz und Unabhängigkeit von nicht-europäischen Infrastrukturanbietern benötigen.
SAP Sovereign Cloud powered by T-Systems ist das etablierte Treuhandmodell für deutsche Kunden mit hohen Souveränitätsanforderungen. T-Systems agiert als „Datentreuhand“ – SAP-Administratoren aus Walldorf haben grundsätzlich keinen Zugriff auf die Kundendaten. Alle administrativen Tätigkeiten werden von T-Systems-Personal mit deutscher Staatsbürgerschaft durchgeführt. Diese rechtliche und operative Trennung schafft eine zusätzliche Barriere, selbst wenn SAP theoretisch durch US-Behörden unter Druck gesetzt würde. Die Lösung basiert auf einem abgeschirmten Teil der SAP Public Cloud in deutschen Rechenzentren. Updates kommen aus Walldorf, werden aber von T-Systems geprüft und eingespielt. Ideal für KRITIS-Betreiber, Finanzinstitute und andere hochregulierte Branchen.
Delos Cloud (Deutschland) ist ein weiterer Sovereign-Cloud-Partner von SAP, der sich auf den deutschen Markt konzentriert. Delos bietet SAP-Anwendungen in souveränen deutschen Rechenzentren an und positioniert sich mit dem Versprechen „Made in Germany, Hosted in Germany“. Das Unternehmen adressiert insbesondere Kunden aus dem öffentlichen Sektor sowie Organisationen, die Wert auf einen deutschen Anbieter mit deutscher Rechtsprechung legen.
Delos ist Teil der EU AI Cloud-Strategie und erfüllt länderspezifische Souveränitätsanforderungen, die für Behörden und öffentliche Einrichtungen relevant sind. Als spezialisierter deutscher Anbieter bietet Delos eine fokussierte Alternative zu T-Systems für Kunden, die einen kleineren, spezialisierten Partner bevorzugen.
SAP Sovereign Cloud On-Site ist das neueste Angebot innerhalb der EU AI Cloud und stellt die höchste Stufe der Souveränität dar. Bei diesem Modell betreibt SAP die Cloud-Infrastruktur direkt im Rechenzentrum des Kunden – oder in einem vom Kunden gewählten Rechenzentrum. Das bedeutet: maximale Daten-, Betriebs-, technische und rechtliche Souveränität, kombiniert mit der Architektur und Innovation der SAP Cloud.
Diese Option ist besonders für Behörden, KRITIS-Betreiber und Organisationen relevant, die aus regulatorischen oder strategischen Gründen keine Daten außer Haus geben können oder wollen. SAP übernimmt den Betrieb, die Updates und das Management – aber die physische Kontrolle und der Standort der Infrastruktur verbleiben vollständig beim Kunden.
Der Vorteil gegenüber klassischen On-Premise-Installationen: Kunden erhalten die Cloud-Architektur, kontinuierliche Updates und Managed Services von SAP – ohne den Lock-in und die begrenzte Kontrolle einer Public Cloud. Der Nachteil: höhere Kosten und potenziell längere Implementierungszeiten, da die Infrastruktur individuell für den Kunden aufgebaut wird.
Dieses Modell richtet sich an Organisationen mit höchsten Sicherheits- und Compliance-Anforderungen, die bereit sind, einen Premium-Preis für maximale Kontrolle zu zahlen.
Mit der EU AI Cloud adressiert SAP auch die wachsende Bedeutung von KI-Souveränität. Durch die Integration von KI-Modellen europäischer Anbieter wie Mistral AI sowie Partnerschaften mit Cohere für souveräne KI-Capabilities (Cohere North) können Unternehmen KI-Funktionen nutzen, ohne Daten an außereuropäische Anbieter übertragen zu müssen.
Cohere North wird direkt in die SAP Business Technology Platform (SAP BTP) integriert und bietet agentenbasierte sowie multimodale KI-Funktionen. Die KI-Modelle laufen auf SAPs Software-Abstraktionsschicht in europäischen Rechenzentren – unabhängig von US-Hyperscalern. Kunden können diese KI-Dienste als Software-, Platform- oder Infrastructure-as-a-Service nutzen und dabei wählen, ob sie auf SAPs eigener Infrastruktur oder bei vertrauenswürdigen europäischen Partnern betrieben werden.
Dies ist angesichts des EU AI Act und zunehmender Regulierung von KI-Systemen ein wichtiger Baustein. Unternehmen, die KI-Anwendungen in geschäftskritischen Prozessen einsetzen wollen, können dies nun mit europäischer Infrastruktur und unter europäischem Recht tun. Für Branchen mit strengen Datenresidenz-Anforderungen – etwa Gesundheitswesen, Finanzdienstleistungen oder öffentliche Verwaltung – ermöglicht dies erstmals den Einsatz moderner KI-Technologie ohne Kompromisse bei Compliance und Souveränität.
Das wachsende Partner-Ökosystem umfasst neben Cohere und Mistral AI auch OpenAI und weitere KI-Anbieter, deren Modelle über SAP BTP zugänglich gemacht werden. Damit positioniert sich SAP als Plattform-Anbieter, der Zugang zu verschiedenen KI-Technologien ermöglicht – bei gleichzeitiger Wahrung europäischer Souveränitätsstandards.
Die folgende Tabelle zeigt die verschiedenen Optionen innerhalb der EU AI Cloud und ihrer Vorgänger im Vergleich:
|
Lösung
|
Physische Lokalisierung
|
Betreiber
|
Admin-Zugriff
|
Rechtliche Absicherung
|
Funktionsumfang
|
Kosten
|
|---|---|---|---|---|---|---|
|
Standard Public Cloud (Hyperscaler) |
Variabel/global |
Hyperscaler + SAP |
International |
Gering |
100% |
Basis |
|
SAP Cloud DE (eigene RZ) |
Deutschland |
SAP |
International |
Mittel |
100% |
Geringer Aufschlag |
|
SAP Cloud DE + EU Access |
Deutschland |
SAP |
Nur EU |
Mittel-Hoch |
100% |
Mittlerer Aufschlag |
|
Sovereign Cloud (IaaS EU) |
EU |
SAP |
Nur EU |
Hoch |
95-100% |
Mittlerer Aufschlag |
|
Sovereign Cloud (T-Systems) |
Deutschland |
T-Systems (Treuhand) |
Nur DE |
Sehr hoch |
90-95% |
Starker Aufschlag |
|
Sovereign Cloud (Delos) |
Deutschland |
Delos (Treuhand) |
Nur DE |
Sehr hoch |
90-95% |
Individuell |
|
Sovereign Cloud On-Site |
Kunde wählt |
SAP (vor Ort) |
Kunde + SAP |
Maximal |
90-95% |
Sehr starker Aufschlag |
Hinweis: Kostenangaben sind Schätzungen basierend auf Marktbeobachtungen. Tatsächliche Preise werden individuell verhandelt.
Doch bei allen diesen Angeboten gibt es Einschränkungen, die mit zunehmendem Souveränitätsgrad größer werden.
Erstens: Funktionsumfang und Innovation.
Der Funktionsumfang hinkt bei den souveränen Lösungen der Standard-Public-Cloud teilweise hinterher. Neue KI-Funktionen, Business AI oder Co-Pilot-Features kommen mit Verzögerung oder müssen erst für die souveräne Infrastruktur adaptiert werden. SAP bemüht sich, diesen Gap zu verkleinern – die EU AI Cloud mit ihren integrierten KI-Capabilities ist ein Schritt in diese Richtung –, aber ein gewisses Delta bleibt bestehen.
Zweitens: Update-Zyklen.
Während Public-Cloud-Kunden kontinuierliche, automatisierte Updates erhalten, erfolgen Updates bei souveränen Clouds nach festgelegten Zeitplänen – teilweise mit Wochen oder Monaten Verzögerung. Treuhand-Betreiber wie T-Systems müssen Updates prüfen und freigeben, was zusätzliche Zeit kostet. Für Kunden bedeutet dies: mehr Stabilität und Kontrolle, aber langsamere Innovation.
Drittens: Integration.
Die Integration mit anderen Cloud-Services – etwa SAP Analytics Cloud, SAP Ariba oder SuccessFactors – ist bei souveränen Lösungen komplexer oder eingeschränkt. Nicht alle SAP-Cloud-Services sind in allen souveränen Varianten verfügbar. Kunden müssen prüfen, ob ihre gewünschte End-to-End-Landschaft in der gewählten Souveränitätsstufe abbildbar ist.
Viertens: Kosten.
Souveränität hat ihren Preis. Je nach Konfiguration und gewähltem Modell müssen Unternehmen mit deutlichen Mehrkosten gegenüber der Standard-Public-Cloud rechnen. EU Access schlägt mit etwa 20 Prozent zu Buche, vollständige Treuhandmodelle können 30 bis 40 Prozent Aufpreis bedeuten, On-Site-Deployment kann 40 bis 60 Prozent und mehr kosten. Für manche Unternehmen ist das eine sinnvolle Investition in Risikominimierung und Compliance, für andere ein schwer zu rechtfertigender Premium-Aufschlag.
Ein kritischer Punkt bleibt: SAP liefert weiterhin die Software und Updates. Die Software-Lieferkette (Entwicklung, Dependencies, Drittanbieter) bleibt theoretisch angreifbar. Zudem ist SAP als US-börsennotiertes Unternehmen potenziell US-Behördenanfragen ausgesetzt – auch bei Treuhandmodellen.
Kritiker fordern daher vollständig europäische Open-Source-Alternativen. Pragmatiker sehen in SAPs abgestuftem Angebot einen gangbaren Kompromiss: EU Access für Standardfälle, Treuhandmodelle für KRITIS und hochregulierte Branchen, On-Site für absolute Souveränitätsanforderungen. Die EU AI Cloud bietet für jedes Bedürfnis eine passende Lösung – entscheidend ist die realistische Bewertung der eigenen Anforderungen.
In der Praxis zeigt sich, dass SAP-Kunden sehr unterschiedlich mit dem Souveränitätsdilemma umgehen. Drei Archetypen lassen sich identifizieren:
Der Pragmatiker hat seine Entscheidung bereits getroffen. 
„Wir gehen in die Standard-Public-Cloud von SAP“, sagt der CIO eines mittelständischen Maschinenbauers. „Souveränität ist uns wichtig, aber am Ende müssen wir wettbewerbsfähig bleiben. Wenn unsere Konkurrenten mit den neuesten SAP-Innovationen arbeiten und wir ein Jahr hinterherhinken, haben wir ein größeres Problem als theoretische Datenzugriffe durch US-Behörden.“
Dieser Typus setzt auf Pragmatismus und Vertrauen. Vertrauen darauf, dass SAP als europäisches Unternehmen kein Interesse daran hat, Kundendaten zu kompromittieren. Vertrauen darauf, dass rechtliche Rahmenbedingungen ausreichend Schutz bieten. Und die Überzeugung, dass die Risiken von Souveränitätsverletzungen geringer sind als die Risiken von Innovationsverzögerung.
Der Zögerer hält an seiner On-Premise-Installation fest – so lange wie möglich. „Wir haben SAP ECC 6.0 optimal angepasst, alles läuft stabil“, erklärt der IT-Leiter eines Energieversorgers. „Warum sollten wir in die Cloud gehen und uns neue Risiken und Kosten aufbürden? Wir warten ab, bis SAP uns wirklich zwingt oder bis die Cloud-Angebote wirklich souverän sind.“
Diese Gruppe ist größer als SAP lieb ist. Viele Unternehmen haben keine Lust auf die Cloud-Transformation, insbesondere wenn sie aufwändige Customizing-Lösungen im Einsatz haben. Souveränitätsbedenken dienen dabei oft als willkommenes Argument, um die Migration hinauszuzögern. Allerdings tickt die Uhr: Ende 2027 läuft der Standard-Support für ECC 6.0 aus. Extended Support ist teuer und keine Dauerlösung. Die On-Premise-Migration nach S/4HANA kann hier noch ein paar Jahre Zeit verschaffen.
Der Souveränitäts-Verfechter schließlich nimmt die Mehrkosten und funktionalen Einschränkungen in Kauf. „Für uns als KRITIS-Betreiber ist Souveränität nicht verhandelbar“, stellt der CISO eines Universitätsklinikums klar. „Wir gehen in die SAP Sovereign Cloud mit T-Systems, auch wenn es mehr kostet. Die Patientendaten und unsere Forschungsdaten sind so sensibel, dass wir maximale Kontrolle brauchen.“
Banken, Versicherungen, Behörden und Gesundheitseinrichtungen finden sich überproportional in dieser Kategorie. Sie unterliegen nicht nur strengeren Regulierungen, sondern sehen auch reputationelle Risiken, die bei Datenpannen existenzbedrohend werden können.
Die Lizenzmodelle verschärfen das Dilemma zusätzlich. SAPs Preisgestaltung ist komplex und unterscheidet zwischen verschiedenen Cloud-Varianten. RISE-Pakete sind attraktiv kalkuliert, binden Kunden aber langfristig an SAP. Wer sich für eine Private Cloud oder souveräne Lösung entscheidet, zahlt in der Regel deutlich mehr – nicht nur für die Infrastruktur, sondern auch für die SAP-Lizenzen selbst.
Ein unterschätztes Risiko ist der Lock-in-Effekt. Einmal in der SAP Public Cloud, ist ein Wechsel zu einer souveränen Variante technisch und wirtschaftlich aufwändig. Daten müssen migriert, Schnittstellen angepasst, Prozesse neu konfiguriert werden. Wer sich für den pragmatischen Weg entscheidet, sollte sich darüber im Klaren sein, dass ein späterer Schwenk zur souveränen Cloud keine triviale Übung ist.
Die Diskussion um digitale Souveränität findet nicht im luftleeren Raum statt. Die europäische Politik hat das Thema zur Priorität erklärt – mit Initiativen, die ambitioniert, aber in ihrer Umsetzung herausfordernd sind. Und SAP steht dabei im Zentrum wachsender Erwartungen.
Gaia-X, 2019 als deutsch-französische Initiative gestartet, sollte die Antwort Europas auf die Dominanz amerikanischer und chinesischer Cloud-Anbieter werden. Die Vision: ein föderiertes Datenökosystem mit europäischen Regeln für Datenaustausch und Cloud-Services. SAP war von Anfang an prominent beteiligt und brachte sich als einer der treibenden Akteure ein.
Doch die Realität von Gaia-X blieb hinter den Erwartungen zurück. Statt einer schlagkräftigen europäischen Cloud-Alternative entstand ein Governance-Framework und ein Labeling-System. Die großen Hyperscaler – Microsoft, AWS, Google – traten Gaia-X bei und zertifizieren nun ihre Gaia-X-Compliance. Kritiker sprechen von einer „Vereinnahmung“ der Initiative durch genau jene Akteure, gegen deren Dominanz Gaia-X ursprünglich antreten sollte. Enthusiasten betonen hingegen, dass Gaia-X nie als Infrastruktur-Konkurrenz gedacht war, sondern als Standard-Setter für Interoperabilität und Datenportabilität.
Für SAP bedeutet Gaia-X Chance und Verpflichtung zugleich. Als europäischer Software-Champion wird erwartet, dass SAP Gaia-X-Prinzipien unterstützt und implementiert. Gleichzeitig läuft ein erheblicher Teil der SAP-Cloud selbst auf Infrastruktur der US-Hyperscaler – ein Widerspruch, der schwer aufzulösen ist. Die EU AI Cloud ist in gewisser Weise SAPs Antwort auf diesen Widerspruch: ein Angebot, das Gaia-X-kompatibel ist, aber gleichzeitig auch ohne die US-Hyperscaler auskommt.
Das Important Project of Common European Interest (IPCEI) für Cloud-Infrastrukturen ist ein weiterer Ansatz, bei dem erhebliche Fördergelder in den Aufbau europäischer Cloud-Kapazitäten fließen. Deutschland investiert mehrere hundert Millionen Euro in sichere Cloud-Lösungen für sensible Daten. Frankreich pusht mit „Cloud de Confiance“ eigene Ansätze und hat mit SecNumCloud eine Zertifizierung geschaffen, die faktisch nur französische oder eng kontrollierte Anbieter erfüllen können.
SAP steht dabei in einem Spannungsfeld. Einerseits wird von der Politik erwartet, dass ein Unternehmen dieser Größe und Bedeutung europäische Souveränitätsbestrebungen aktiv unterstützt und sich an IPCEI-Projekten beteiligt. Andererseits muss SAP wirtschaftlich erfolgreich sein – und die Hyperscaler bieten nun mal die skalierbarste und günstigste Infrastruktur für globale Rollouts.
Die EU AI Cloud zeigt, dass SAP beide Welten bedienen will: Hyperscaler-basierte Angebote für Kunden ohne besondere Souveränitätsanforderungen, eigene Infrastruktur und Partner-Netzwerke für souveräne Szenarien. Ob diese Strategie aufgeht, wird sich in den kommenden Jahren zeigen.
Mit der Ankündigung der EU AI Cloud am 27. November 2025 zeigt SAP, dass aus politischen Forderungen konkrete, marktfähige Produkte werden können. Die zeitliche Nähe zum Digital Sovereignty Summit in Berlin – wo führende europäische Politiker gemeinsam digitale Souveränität einforderten – ist kein Zufall. SAP positioniert sich damit als Anbieter, der politische Erwartungen in technologische Lösungen übersetzt.
Die EU AI Cloud ist mehr als ein Marketing-Label. Sie bündelt alle bisherigen Souveränitäts-Initiativen unter einem strategischen Dach und macht Kunden klar: Souveränität ist keine Nische mehr, sondern integraler Bestandteil der SAP-Cloud-Strategie. Mit flexiblen Deployment-Optionen – von SAP-eigenen Rechenzentren über Treuhandmodelle bis zu On-Site-Betrieb – bietet SAP nun tatsächlich ein vollständiges Spektrum an.
Parallel treibt SAP mit der Industrial AI Cloud Initiative den Aufbau souveräner KI-Infrastruktur voran. Diese im November 2025 angekündigte Partnerschaft mit Deutsche Telekom, NVIDIA, Siemens, Deutsche Bank und anderen Industriegrößen sieht Investitionen von rund einer Milliarde Euro vor. Deutsche Telekom und NVIDIA bauen gemeinsam GPU-Cluster in München auf, die ab dem ersten Quartal 2026 verfügbar sein sollen.
SAP stellt dabei die technologische Grundlage bereit: die SAP Business Technology Platform sowie ein umfassendes Paket an Anwendungen, die mithilfe fortschrittlicher KI- und Simulationstechnologien beschleunigt werden. Das Ziel: europäischen Unternehmen den Zugang zu sicheren und souveränen KI-Rechenressourcen zu gewährleisten, Innovationsprozesse zu fördern und das Potenzial industrieller KI verantwortungsbewusst sowie im Einklang mit europäischen Standards zu nutzen.
Diese Initiative wird vom Bundesministerium für Digitalisierung und Staatsmodernisierung unterstützt und soll Deutschland zum europäischen Hotspot für Künstliche Intelligenz machen. Sie zeigt: SAP nimmt seine Rolle als europäischer Tech-Champion ernst und investiert substanziell in souveräne Infrastruktur – nicht nur für Bestandskunden, sondern für das gesamte europäische Industrie-Ökosystem.
Die nationale Ebene fügt weitere Komplexität hinzu. Deutschland diskutiert über eine „Deutschland-Cloud“ für die Verwaltung und hat mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) strenge Anforderungen an Cloud-Anbieter für die öffentliche Hand formuliert. Frankreich hat mit SecNumCloud eine nationale Zertifizierung geschaffen, die de facto nur französische oder eng mit französischen Behörden kooperierende Anbieter erfüllen können. Italien, Spanien, die Niederlande – jedes Land entwickelt eigene Souveränitätsstandards und Compliance-Anforderungen.
Für SAP bedeutet dies: Eine einheitliche europäische Lösung gibt es nicht. Wer in Europa umfassend souveräne Cloud-Services anbieten will, muss mit nationalen Partnern arbeiten und unterschiedliche Compliance-Anforderungen erfüllen. Das ist aufwändig, teuer und komplex – aber womöglich unvermeidbar. Die Partnerschaft mit T-Systems für Deutschland und mit Delos für spezifische Kundengruppen zeigt, dass SAP diesen Weg geht. Weitere nationale Partnerschaften dürften folgen.
Die Gefahr: Europa fragmentiert sich in nationale Digital-Silos, jedes Land mit eigenen Standards, eigenen Zertifizierungen, eigenen bevorzugten Anbietern. Das widerspricht der Idee eines europäischen digitalen Binnenmarkts und könnte Innovation bremsen. Andererseits spiegelt es auch legitime nationale Sicherheitsinteressen wider – gerade in Zeiten geopolitischer Unsicherheit.
SAP muss diesen Spagat meistern: europäisch denken, aber national liefern. Die EU AI Cloud als Dachmarke bietet den europäischen Rahmen, darunter müssen aber nationale Lösungen mit lokalen Partnern implementiert werden.
Der politische Druck auf SAP ist real und widersprüchlich. Als eines der wenigen großen europäischen Tech-Unternehmen wird SAP als Hoffnungsträger für europäische digitale Souveränität gesehen. Bei jeder großen Technologie-Konferenz, bei jedem Souveränitäts-Gipfel wird SAP als positives Beispiel genannt: Ein europäisches Unternehmen, das weltweit erfolgreich ist und nun auch souveräne Lösungen anbietet.
Gleichzeitig ist SAP ein global agierendes, börsennotiertes Unternehmen, das Renditeerwartungen erfüllen und mit US-amerikanischen sowie chinesischen Konkurrenten im Wettbewerb bestehen muss. SAP kann es sich nicht leisten, ausschließlich auf den europäischen Markt zu fokussieren. Die großen Wachstumschancen liegen in Asien, Nordamerika, Lateinamerika. Souveränität ist wichtig für Europa, aber nicht unbedingt ein globaler Verkaufsschlager.
Dieser Spagat zwischen europäischer Mission und globaler Geschäftslogik ist nicht einfach zu meistern. Europäische Politiker erwarten von SAP, dass es sich klar zu Europa bekennt, in europäische Infrastruktur investiert und nicht mit US-Hyperscalern kollaboriert. Gleichzeitig erwartet die Börse Wachstum, Profitabilität und globale Skalierung – was mit souveränen, teuren, fragmentierten Lösungen schwerer zu erreichen ist.
SAP versucht, beide Erwartungen zu managen. Die EU AI Cloud ist eine klare Botschaft an die europäische Politik: Wir nehmen Souveränität ernst, wir investieren, wir liefern Lösungen. Gleichzeitig bleibt die Hyperscaler-basierte Public Cloud das Rückgrat der globalen Strategie. SAP positioniert sich als Sowohl-als-auch-Anbieter: Global mit Hyperscalern, souverän mit eigener Infrastruktur und Partnern – je nach Kundenbedarf.
Neben politischen Erwartungen ist es vor allem die Regulierung, die Souveränität vom Nice-to-have zum Must-have macht. Mit NIS2 (Network and Information Security Directive 2), die bis Oktober 2024 in nationales Recht umgesetzt werden musste, verschärfen sich die Anforderungen an IT-Sicherheit und Resilienz für Tausende Unternehmen erheblich. KRITIS-Betreiber, aber auch viele Unternehmen außerhalb kritischer Infrastrukturen, müssen nun nachweisen, dass sie ihre Lieferketten, Cloud-Anbieter und Datenflüsse im Griff haben.
Der Digital Operational Resilience Act (DORA), der ab Januar 2025 für Finanzinstitute gilt, fordert von Banken, Versicherungen und Finanzdienstleistern umfassende Tests ihrer digitalen Resilienz – inklusive ihrer Cloud-Provider. Wer seine Kernsysteme bei einem Cloud-Anbieter hostet, über den er keine ausreichende Kontrolle hat, riskiert Compliance-Verstöße.
Der EU AI Act, dessen erste Vorgaben seit August 2024 gelten, reguliert den Einsatz von KI-Systemen nach Risikostufen. Hochrisiko-KI-Anwendungen – etwa in Medizin, kritischer Infrastruktur oder Strafverfolgung – unterliegen strengen Anforderungen an Transparenz, Datenschutz und menschliche Aufsicht. Wer KI-Modelle von außereuropäischen Anbietern nutzt, muss nachweisen können, dass diese den EU-Standards entsprechen. Souveräne KI-Lösungen, wie sie SAP mit Cohere North und Mistral AI anbietet, vereinfachen diese Compliance erheblich.
Diese Regulierungen machen Souveränität für viele Unternehmen zur Pflicht, nicht zur Kür. SAPs Timing mit der EU AI Cloud ist insofern gut gewählt: Genau in dem Moment, wo regulatorischer Druck steigt, bietet SAP passende Lösungen an.
Wird SAP den Souveränitäts-Spagat schaffen? Die Antwort lautet: teilweise – aber mit der EU AI Cloud deutlich besser als zuvor. SAP hat mit der Bündelung aller Souveränitäts-Initiativen Ende November 2025 gezeigt, dass das Unternehmen digitale Souveränität als strategische Priorität ernst nimmt. SAP wird verschiedene Cloud-Varianten parallel anbieten müssen – von der globalen Public Cloud bis zu hochgradig souveränen Lösungen. Eine Einheitslösung, die beide Welten vollständig vereint, ist technisch und wirtschaftlich kaum darstellbar.
Wahrscheinlich ist eine klare Marktsegmentierung: Standard-Public-Cloud für Unternehmen ohne besondere Souveränitätsanforderungen, souveräne Cloud-Infrastruktur (IaaS EU) für Unternehmen mit EU-Datenresidenz-Anforderungen, Treuhandmodelle wie T-Systems oder Delos für regulierte Branchen und kritische Infrastrukturen, und On-Site-Deployment für Organisationen mit absoluten Souveränitätsanforderungen.
SAP wird lernen müssen, diese verschiedenen Kunden-Segmente mit unterschiedlichen Angeboten zu bedienen – und die damit verbundene Komplexität zu managen. Die EU AI Cloud als Dachmarke hilft dabei, diese Komplexität zu strukturieren und für Kunden verständlicher zu machen. Statt eines unübersichtlichen Portfolios gibt es nun einen klaren Rahmen mit definierten Souveränitätsstufen.
Technologisch könnten Confidential Computing und Verschlüsselungstechnologien helfen, den Widerspruch zwischen globaler Skalierung und lokaler Kontrolle weiter zu mildern. Wenn Daten so verschlüsselt sind, dass selbst Cloud-Administratoren keinen Zugriff haben, sinkt das Souveränitätsrisiko erheblich. SAP investiert in diese Technologien, aber bis zur breiten Verfügbarkeit in Produktionsumgebungen wird es noch ein bis zwei Jahre dauern.
Die Integration von souveränen KI-Modellen (Cohere North, Mistral AI) in die SAP Business Technology Platform ist ein weiterer wichtiger Baustein. Mit dem EU AI Act werden KI-Compliance-Anforderungen ab 2025/2026 dramatisch steigen. Wer KI-Systeme mit Hochrisiko-Einstufung betreibt – etwa in Medizin, Finanzwesen oder kritischer Infrastruktur – wird nachweisen müssen, dass die genutzten KI-Modelle den europäischen Standards entsprechen. Souveräne KI-Lösungen wie Cohere North vereinfachen diese Compliance erheblich.
Die Industrial AI Cloud Initiative mit Deutsche Telekom, NVIDIA und anderen zeigt, dass SAP auch in souveräne KI-Infrastruktur investiert. Die ab Q1 2026 verfügbaren GPU-Cluster in München werden europäischen Unternehmen Zugang zu Hochleistungs-KI-Rechenkapazität geben – ohne Daten an US-Anbieter übertragen zu müssen. Dies ist ein wichtiger Enabler für KI-Innovation bei gleichzeitiger Souveränität.
Für Unternehmen ergeben sich aus der aktuellen Entwicklung klare Handlungsempfehlungen:
Für SAP selbst bleibt die Herausforderung, Glaubwürdigkeit sowohl bei Innovations-orientierten Kunden als auch bei Souveränitäts-Verfechtern zu wahren. Die EU AI Cloud und Industrial AI Cloud Initiative sind starke Signale – entscheidend wird sein, wie schnell SAP den Funktionsumfang angleicht und wie transparent das Unternehmen mit Einschränkungen umgeht.
SAP steht exemplarisch für ein Dilemma, das viele europäische Tech-Unternehmen betrifft: Wie verbindet man globale Skalierung mit lokaler Souveränität?
Mit der EU AI Cloud hat SAP Ende November 2025 einen strategischen Meilenstein gesetzt. Alle Souveränitäts-Initiativen sind nun unter einer Dachmarke gebündelt – von der Standard-Public-Cloud über EU Access bis zu Treuhandmodellen und On-Site-Deployment. Für verschiedene Souveränitätsbedürfnisse gibt es passende Lösungen: pragmatische Kompromisse für die einen, maximale Kontrolle für KRITIS-Betreiber und hochregulierte Branchen.
Die Industrial AI Cloud Initiative mit Deutsche Telekom und NVIDIA (1 Mrd. Euro Investment) unterstreicht SAPs Bereitschaft, substanziell in europäische Infrastruktur zu investieren – GPU-Cluster in München, betrieben nach europäischen Standards, zugänglich für europäische Industriekunden.
Die europäische Politik hat mit Gaia-X, IPCEI und nationalen Initiativen ehrgeizige Ziele gesetzt – doch die Umsetzung hinkt vielerorts hinterher. SAPs EU AI Cloud zeigt, dass private Unternehmen nun konkrete Lösungen liefern. Für SAP bedeutet dies Opportunität und Verantwortung zugleich: Die Nachfrage nach souveränen Lösungen steigt, getrieben von Regulierung und politischem Druck. Der Spagat zwischen globaler Geschäftsstrategie und europäischer Verantwortung bleibt – aber die EU AI Cloud zeigt, dass beides nicht unvereinbar sein muss.
Dennoch bleiben kritische Fragen: Wie schnell gleicht SAP den Funktionsumfang souveräner Lösungen an die Standard-Cloud an? Wie gut werden unterschiedliche nationale Anforderungen in Europa bedient? Und wird der Markt bereit sein, den Premium-Preis für Souveränität dauerhaft zu zahlen?
SAP muss ehrlich über Trade-offs kommunizieren: Volle Souveränität bedeutet Kompromisse bei Innovation und Kosten. Volle Funktionalität bedeutet Abstriche bei operativer Kontrolle. Es gibt kein Free Lunch.
Der eingangs erwähnte IT-Leiter des Automobilzulieferers wählte die SAP Sovereign Cloud mit T-Systems. Die Mehrkosten seien gut investiertes Geld für ruhigen Schlaf – Rechtsabteilung zufrieden, Compliance erfüllt. Nicht jeder wird diese Entscheidung nachvollziehen, aber sie zeigt: Es gibt nicht die eine richtige Antwort, sondern nur die für das jeweilige Unternehmen passende.
SAPs Souveränitäts-Spagat wird noch Jahre andauern. In einer Welt zunehmender geopolitischer Spannungen, verschärfter Regulierung und kritischer werdender Datenressourcen ist dieser Spagat womöglich kein Nachteil, sondern ein Wettbewerbsvorteil – sofern SAP ihn beherrscht.
Eines ist klar: Digitale Souveränität wird nicht verschwinden, sondern sich verschärfen. Unternehmen, die heute abwarten, riskieren morgen teure Notmigrationen, Compliance-Verstöße und strategische Abhängigkeiten. Die Cloud-Strategie sollte jetzt überprüft, Souveränitätsanforderungen präzise definiert und passende Optionen gewählt werden – bevor Regulierung oder geopolitische Entwicklungen die Wahl abnehmen.
Geschäftsführer und SAP-Lizenzexpert der SAMtoa GmbH
Lizenzkosten senken
Unsere Experten kennen alle Hebel zur Senkung von Lizenzkosten. Herstellerspezifisch identifizieren wir Potenziale, die langfristig wirken.
Compliance sichern
Wir reduzieren Lizenzrisiken frühzeitig – so bleiben Sie stets handlungsfähig und vermeiden kostspielige Nachforderungen.
SAM Automatisieren
Wir unterstützen Sie dort, wo Ressourcen fehlen – von der Auswahl des richtigen SAM-Tools bis zur verlässlichen Unterstützung im Tagesgeschäft.
Sie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen