Cloud Sovereignty Framework | Souveräne deutsche Cloud-Services

EU Cloud Sovereignty Framework

In diesem Abschnitt geht es über die Datensouveränität hinaus. Digitale Souveränität umfasst weit mehr als Datensouveränität. Für Unternehmen und Privatpersonen ist schon viel erreicht, wenn sie Datensouveränität erreichen, dann damit sind meistens auch andere Aspekte der digitalen Souveränität verbessert.

Datensouveränität ist somit der pragmatische Ansatz, der schon heute und oftmals mit überschaubaren Aufwand realisiert werden kann.

Doch nun zum EU-Framework, der juristisch betrachtet kein Gesetz ist, aber einen quasi-verbindlichen Charakter entfalten wird:

Klare Regeln, neue Chancen

Die Europäische Union hat mit dem „Cloud Sovereignty Framework“ im Oktober 2025 verbindliche Kriterien für die digitale Souveränität von Cloud-Diensten eingeführt. Das Framework definiert acht zentrale Souveränitätsziele und bewertet Anbieter anhand klarer Stufen, den SEALS-Level (Sovereignty Effective Assurance Levels) – mit direkten Auswirkungen auf Behörden und Unternehmen.

Was bedeutet das für Sie? Ob öffentliche Verwaltung oder Wirtschaft: Die neuen Vorgaben schaffen Transparenz und Sicherheit, stellen Cloud-Anbieter aber auch vor konkrete Herausforderungen. Erfahren Sie, was die Souveränitätsziele und SEAL-Level bedeuten.

Die Souveränitätsziele

Bezeichner	Souveränitätsziel	Beschreibung
SOV-1	Strategische Souveränität	Strategische Souveränität beschreibt den Grad, in dem die Dienste eines Cloud-Anbieters (oder Technologieunternehmens) im rechtlichen, finanziellen und industriellen Ökosystem der Europäischen Union verankert sind. Dabei werden die Stabilität der Eigentumsverhältnisse, der Einfluss der Unternehmensführung und die Übereinstimmung mit den strategischen Prioritäten der EU bewertet.
SOV-2	Juristische & jurisdiktionelle Souveränität	Die rechtliche und gerichtliche Souveränität bewertet das rechtliche Umfeld, die Abhängigkeit von ausländischen Behörden und die Durchsetzbarkeit von Rechten, die die Services eines Technologieanbieters regeln. Sie bestimmt, inwieweit die Services in der europäischen Gerichtsbarkeit verankert und vor externen Rechtsansprüchen geschützt sind.
SOV-3	Daten- und KI-Souveränität	Die Daten- und KI-Souveränität konzentriert sich auf den Schutz, die Kontrolle und die Unabhängigkeit von Datenbeständen und KI-Diensten innerhalb der EU. Sie befasst sich damit, wie Daten gesichert werden, wo sie verarbeitet werden und inwieweit Kunden die Kontrolle über KI-Funktionen behalten.
SOV-4	Operative Souveränität	Die operative Souveränität misst die praktische Fähigkeit der EU-Akteure, eine Technologie unabhängig von ausländischer Kontrolle zu betreiben, zu unterstützen und weiterzuentwickeln. Sie konzentriert sich auf die Kontinuität des Betriebs, die Verfügbarkeit von Fachkräften und die Widerstandsfähigkeit gegenüber externen Abhängigkeiten.
SOV-5	Lieferketten-Souveränität	Lieferketten-Souveränität bewertet die geografische Herkunft, Transparenz und Widerstandsfähigkeit der Technologie-Lieferkette und konzentriert sich dabei darauf, inwieweit kritische Komponenten und Prozesse unter der Kontrolle der EU bleiben oder Abhängigkeiten außerhalb der EU ausgesetzt sind.
SOV-6	Technologische Souveränität	Technologische Souveränität bewertet den Grad an Offenheit, Transparenz und Unabhängigkeit der zugrunde liegenden Technologieplattform und stellt sicher, dass Akteure in der EU Lösungen interoperabel einsetzen, prüfen und weiterentwickeln können, ohne an ausländische proprietäre Systeme gebunden zu sein.
SOV-7	Sicherheits- und Compliance-Souveränität	Sicherheits- und Compliance-Souveränität mißt das Ausmaß, in dem Sicherheitsmaßnahmen, Compliance-Verpflichtungen und Resilienzmaßnahmen innerhalb der EU kontrolliert werden, um die Unabhängigkeit von ausländischen Gerichtsbarkeiten und die langfristige Betriebssicherheit zu gewährleisten.
SOV-8	Umweltbezogene Nachhaltigkeit	Die ökologische Nachhaltigkeit bewertet die Autonomie und Widerstandsfähigkeit von Cloud-Diensten auf lange Sicht in Bezug auf Energieverbrauch, Abhängigkeit und Rohstoffknappheit.

Der Grad der Erfüllung der Souveränitätsziele wird mit den SEAL-Leveln messbar gemacht.

Souveränitätswirksamkeitsstufen	Beschreibung
SEAL-0	Keine Souveränität: Services, Technologien oder Operationen unter der ausschließlichen Kontrolle von Nicht-EU-Dritten, die vollständig in Nicht-EU-Rechtsordnungen geregelt sind.
SEAL-1	Jurisdiktionelle Souveränität: EU-Recht gilt formal mit begrenzter praktischer Durchsetzbarkeit; Services, Technologien oder Operationen unter der ausschließlichen Kontrolle von Nicht-EU-Dritten.
SEAL-2	Datensouveränität: EU-Recht anwendbar und durchsetzbar, wobei wesentliche Abhängigkeiten von Nicht-EU-Ländern bestehen bleiben; Services, Technologien oder Operationen unter indirekter Kontrolle von Nicht-EU-Dritten.
SEAL-3	Digitale Resilienz: EU-Recht anwendbar und durchsetzbar, EU-Akteure üben bedeutenden, aber nicht vollständigen Einfluss aus; Services, Technologien oder Operationen unter marginaler Kontrolle von Nicht-EU-Dritten.
SEAL-4	Volle digitale Souveränität: Technologien und Operationen unter vollständiger EU-Kontrolle, unterliegen ausschließlich EU-Recht, ohne kritische Abhängigkeiten von Nicht-EU-Ländern.

Die SEAL-Level (Sovereignty Effectiveness Assurance Levels) bieten Auftraggebern eine Grundlage, um Cloud-Angebote zu bewerten und regulatorische Vorgaben gezielt umzusetzen. Die EU setzt damit Anreize für Anbieter, Abhängigkeiten zu reduzieren und durch europäische Standorte, Open-Source-Technologien sowie transparente Lieferketten mehr Souveränität zu schaffen.

Für jedes der acht definierten Souveränitätsziele legt die EU verbindlich fest, welches Mindest-Souveränitätsniveau (SEAL-Level) erreicht werden muss. Diese Anforderungen werden in den Ausschreibungsunterlagen konkret benannt. Cloud-Anbieter, die auch nur in einem Bereich das geforderte SEAL-Level unterschreiten, gelten als nicht geeignet und werden bereits im Vergabeverfahren ausgeschlossen. Entscheidend ist somit nicht die Exzellenz in Einzelbereichen, sondern eine durchgängig souveräne Gesamtarchitektur, die allen EU-Vorgaben entspricht.

Diese Regelung garantiert, dass keine sicherheitskritischen Risiken durch „Teil-Souveränität“ entstehen. Stattdessen schafft sie klare, überprüfbare Standards – für Anbieter wie für Prüfer. So wird sichergestellt, dass Ihre Cloud-Lösung den höchsten Anforderungen an Datensicherheit, Compliance und europäische Digitalhoheit gerecht wird.

Assesment und Sovereignty Score: Mehr als nur Mindestanforderungen

Damit der Sovereignity Score berechnet werden kann, braucht es vorab ein Assesment, das nach folgenden Regeln erfolgt.

Ein öffentliche Auftraggeber bewertet die Souveränitätsziele anhand der im Fragebogen der Ausschreibung gestellten Fragen. Die Fragen zur Bewertung der Wirksamkeit der Souveränitätsziele werden mit dem Verweis auf das Souveränitätsziel (d. h. SOV-0 bis SOV-8) gekennzeichnet, zu dem die Antwort beiträgt.

Die Faktoren, die bei der Bewertung eines jeden Ziels eine Rolle spielen, sind in der folgenden Tabelle beschrieben:

Souveränitätsziel	Beitragende Faktoren
SOV-1 Strategische Souveränität	Sicherstellen, dass entscheidungsbefugte Stellen für Ihre Dienste innerhalb der EU-Jurisdiktion ansässig sind Bewertung der Zusicherungen gegen Kontrollwechsel Abhängigkeitsgrad von Finanzierungen aus EU-Quellen Umfang von Investitionen, Arbeitsplätzen und Wertschöpfung innerhalb der EU Beteiligung an EU-Initiativen, Konsistenz mit den digitalen, grünen und industriellen Souveränitätszielen der EU Fähigkeit, sichere Operationen gegen Aufforderungen zur Einstellung oder Aussetzung des Dienstes aufrechtzuerhalten, oder falls die Herstellerunterstützung entzogen oder unterbrochen wird
SOV-2 Juristische & jurisdiktionelle Souveränität	Das nationale Rechtssystem, das die Operationen und Verträge des Anbieters regelt Expositionsgrad gegenüber nicht-EU-Rechten mit grenzüberschreitender Reichweite (z. B. US CLOUD Act, Chinesisches Cybersicherheitsgesetz) Vorhandensein rechtlicher, vertraglicher oder technischer Kanäle, über die nicht-EU-Behörden Zugriff auf Daten oder Systeme erzwingen könnten Anwendbarkeit internationaler Regime, die die Nutzung oder Übertragung einschränken könnten Ort der Schaffung, Registrierung und Entwicklung geistigen Eigentums (EU vs. Drittländer), rechtliche Zuständigkeit, in der IP geschaffen und entwickelt wird
SOV-3 Daten- und KI-Souveränität	Sicherstellen, dass nur der Kunde, nicht der Anbieter, effektive Kontrolle über den kryptografischen Zugriff auf seine Daten hat Transparenz darüber, wann, wo und von wem auf Daten zugegriffen wird, inklusive Prüfbarkeit der Nutzung von KI-Modellen, Mechanismen zur irreversiblen Löschung von Daten mit nachweisbaren Belegen Strenge Beschränkung der Speicherung und Verarbeitung auf europäische Jurisdiktionen, ohne Rückgriff auf Drittländer Ausmaß, in dem KI-Modelle und Datenpipelines unter EU-Kontrolle entwickelt, trainiert, gehostet und verwaltet werden, um die Abhängigkeit von Nicht-EU-Technologiestacks zu minimieren
SOV-4 Operative Souveränität	Einfachheit der Migration von Workloads oder Integration mit alternativen EU-kontrollierten Lösungen ohne Herstellerbindung Fähigkeit von EU-Betreibern, die Technologie ohne Beteiligung nicht-EU-Hersteller zu verwalten, zu warten und zu unterstützen Vorhandensein eines EU-basierten Talentpools mit dem Know-how, um den Dienst zu betreiben und zu erhalten Sicherstellung, dass operativer Support ausschließlich aus der EU erbracht wird und EU-Rechtsrahmen unterliegt Verfügbarkeit vollständiger technischer Dokumentation, Quellcode und operativem Know-how zur Gewährleistung langfristiger Autonomie Standort und rechtliche Kontrolle kritischer Zulieferer oder Subunternehmer, die an der Serviceerbringung beteiligt sind
SOV-5 Lieferketten-Souveränität	Geografische Herkunft wichtiger physischer Komponenten, Produktionsstandort – Länder, in denen Hardware hergestellt oder montiert wird Rechtszuständigkeit und Herkunft des eingebetteten Codes, der die Hardware und Firmware steuert Herkunft der Software: Wo und von wem die Software architektonisch gestaltet und programmiert wird, Standort und Jurisdiktion, die die Software-Paketierung, -Verteilung und -Updates regeln Abhängigkeitsgrad von nicht-EU-Herstellern, Einrichtungen oder proprietären Technologien Transparenz über die gesamte Liefer- und Unterlieferantenkette, einschließlich Prüfungsrechten
SOV-6 Technologische Souveränität	Fähigkeit zur Integration mit anderen Technologien über gut dokumentierte und nicht-proprietäre APIs oder Protokolle, Grad der Einhaltung öffentlich verwalteter und weit verbreiteter Standards zur Reduzierung der Abhängigkeit von einzelnen Herstellern Ob die Software unter offenen Lizenzen zugänglich ist, mit Rechten zur Prüfung, Modifikation und Weiterverbreitung, um Transparenz und Anpassungsfähigkeit zu gewährleisten Transparenz über Design und Funktionsweise des Dienstes, einschließlich architektonischer Dokumentation, Datenflüsse und Abhängigkeiten Grad der EU-Unabhängigkeit bei Hochleistungsrechenfähigkeiten, einschließlich Prozessoren, Beschleunigern und Software-Ökosystemen
SOV-7 Sicherheits- und Compliance-Souveränität	Erlangung von EU- und international anerkannten Zertifizierungen (z. B. ISO, ENISA-Schemata) Einhaltung von DSGVO, NIS2, DORA und anderen EU-Rahmenwerken Sicherheitsoperationszentren und Reaktionsteams, die ausschließlich der EU-Jurisdiktion unterliegen, Kontrolle über Sicherheitsüberwachung/Protokollierung – Fähigkeit des Kunden oder der EU-Behörde, Protokolle, Warnmeldungen und Überwachungsfunktionen direkt zu überwachen Transparente, zeitnahe und EU-konforme Meldung von Verstößen oder Schwachstellen, Wartungsautonomie – Fähigkeit, Sicherheitsupdates unabhängig von nicht-EU-Herstellern zu entwickeln, zu testen und anzuwenden Kapazität von EU-Einheiten, unabhängige Sicherheits- und Compliance-Audits mit vollem Zugriff durchzuführen
SOV-8 Umweltbezogene Nachhaltigkeit	Einsatz energieeffizienter Infrastruktur (z. B. niedriger PUE) und messbare Verbesserungsziele Kreislaufwirtschaftspraktiken zur Wiederverwendung, Aufarbeitung und verantwortungsvollen Entsorgung von Hardware am Lebensende Transparente Messung und Offenlegung von CO₂-Emissionen, Wasserverbrauch und anderen Nachhaltigkeitskennzahlen

Neben den SEAL-Leveln führt die EU den Sovereignty Score ein – ein Bewertungssystem, das Cloud-Angebote nicht nur auf Mindeststandards prüft, sondern ihre Gesamtsouveränität quantitativ vergleicht. Selbst wenn alle Anbieter die geforderten SEAL-Level erfüllen, ermöglicht der Score eine qualitative Differenzierung:

Wie unabhängig ist das Angebot? – technisch, rechtlich, operativ und strategisch?
Welche Nachweise und Zusicherungen kann der Anbieter konkret vorlegen?

Ein Anbieter, der in mehreren Bereichen SEAL-4 erreicht, erhält einen höheren Score als einer, der nur die Mindestanforderungen (z. B. SEAL-3) erfüllt. Der Score wird aus gewichteten Teilergebnissen für alle acht Souveränitätsziele berechnet und entscheidet so über die Platzierung im Ausschreibungsranking.

Souveränitätsziel	Gewichtung
Strategische Souveränität (SOV-1)	15 %
Juristische & rechtliche Souveränität (SOV-2)	10 %
Daten- und KI-Souveränität (SOV-3)	10 %
Operative Souveränität (SOV-4)	15 %
Lieferketten-Souveränität (SOV-5)	20 %
Technologische Souveränität (SOV-6)	15 %
Sicherheits- und Compliance-Souveränität (SOV-7)	10 %
Umweltbezogene Nachhaltigkeit (SOV-8)	5 %

Die Lieferketten-Souveränität (20 %) und strategische Souveränität (15 %) sind die am stärksten gewichteten Kriterien, während ökologische Nachhaltigkeit (5 %) zwar berücksichtigt, aber weniger stark gewichtet wird.

Berechnung des Sovereignty Score: Der Score wird nach einer festen Formel berechnet und ergibt ein prozentuales Gesamtergebnis. Er dient als eigenständiges Qualitätskriterium in der Ausschreibung – neben klassischen Faktoren wie Preis oder Leistungsumfang. Ein höherer Score bedeutet eine bessere Bewertung der digitalen Souveränität.

Sovereignty Score = \sum_{n = 1}^{n = 8} \frac{Score ({SOV}_{n})}{Max.Score ({SOV}_{n})} \times Weight ({SOV}_{n}) %

Quelle:

Cloud Sovereignity Framework - European Commission

Deutsche Übersetzung