Darf Amazon oder Microsoft auf Anweisung US-amerikanischer Behörden auf Ihre Unternehmensdaten zugreifen – auch wenn diese auf Servern in Frankfurt liegen? Die unbequeme Antwort: Grundsätzlich ja, solange der Anbieter dem US CLOUD Act unterliegt. Genau dieses Risiko will die Europäische Kommission mit dem Cloud Sovereignty Framework systematisch adressieren.
Im Oktober 2025 veröffentlichte Brüssel Version 1.2.1 des Frameworks – und startete gleichzeitig eine Ausschreibung über 180 Millionen Euro für souveräne Cloud-Dienste. Was steckt dahinter, und was bedeutet das konkret für Ihr Unternehmen? Dieser Artikel liefert eine strukturierte Einführung: von den acht Souveränitätszielen über das SEAL-Bewertungssystem bis hin zu konkreten Handlungsempfehlungen für Entscheider.
☁️ Cloud-Souveränität in 30 Sekunden
Drei Fragen, die Ihr Cloud-Anbieter beantworten können muss:
Was ist das Cloud Sovereignty Framework?
Am 20. Oktober 2025 veröffentlichte die Europäische Kommission das Cloud Sovereignty Framework (Version 1.2.1) – ein umfassendes Referenzdokument, das definiert, wie die EU souveräne Cloud-Dienste bewertet und beschafft. Das Framework ersetzt abstrakte Datenschutzprinzipien durch konkret messbare Kriterien und schafft erstmals eine einheitliche Bewertungsgrundlage für ganz Europa.
Im Kern geht es um eine zentrale Frage: Wer hat wirklich die Kontrolle über Ihre Daten – Sie, Ihr Cloud-Anbieter oder eine ausländische Regierung? Cloud-Souveränität bedeutet dabei mehr als nur Datenspeicherung in Deutschland. Es geht um rechtliche Kontrolle darüber, wie und wo sensible Informationen gespeichert, verarbeitet und übertragen werden – und wer Zugang dazu hat.
Das Framework baut auf bestehenden Initiativen wie DSGVO, NIS2 und Gaia-X auf, geht aber deutlich weiter: Statt Prinzipien formuliert es messbare Anforderungen, die direkt in Vergabeverfahren eingesetzt werden können.
Die acht Souveränitätsziele und das SEAL-System
Das Framework strukturiert Cloud-Souveränität entlang von acht Souveränitätszielen, die strategische, rechtliche, operative und technologische Dimensionen abdecken. Für jedes Ziel vergibt das SEAL-System (Sovereignty Effectiveness Assurance Level) Punkte von 0 bis 4.
| ID | Ziel | Dimension | Kernfrage |
|---|---|---|---|
| 🏛️ SOV-1 | Strategische Souveränität | Eigentümerstruktur & Kontrolle | Ist der Anbieter mehrheitlich in EU-Hand? |
| ⚖️ SOV-2 | Rechtliche Souveränität | Anwendbares Recht & Gerichtsbarkeit | US CLOUD Act oder EU-Recht? |
| 👥 SOV-3 | Operative Souveränität | Betrieb durch EU-Personal | Volle operative Kontrolle in der EU? |
| 📍 SOV-4 | Datenlokalisierung | Speicherort & Verarbeitung | Verbleiben Daten physisch in der EU? |
| 🔓 SOV-5 | Technische Unabhängigkeit | Open Source & Herstellerfreiheit | Kann der Dienst sanktionsresistent betrieben werden? |
| 🔗 SOV-6 | Lieferkettensicherheit | Hardware-Herkunft & Transparenz | EU-Ursprung oder verifizierte Transparenz? |
| 🔑 SOV-7 | Schlüsselverwaltung | Kontrolle über Verschlüsselungsschlüssel | Hält der Kunde eigene Encryption Keys? |
| 🔍 SOV-8 | Transparenz & Auditierbarkeit | Nachweisbarkeit & Zertifizierung | Regelmäßige unabhängige Prüfungen? |
🟠 Strategisch & Rechtlich | 🟢 Operativ & Lokalisierung | 🔵 Technisch & Lieferkette | 🟣 Kryptografie & Audit
Die Bewertung berücksichtigt sowohl technische als auch organisatorische Aspekte: von der Frage, wo Anbieter Verschlüsselungsschlüssel speichern, über die Herkunft von Hardware-Komponenten bis hin zur rechtlichen Kontrolle über Tochtergesellschaften. Auch die Lieferkette wird durchleuchtet – CPUs, GPUs, Speicher- und Netzwerk-Hardware müssen auf ihren EU-Ursprung oder garantierte Transparenz geprüft werden.
Wichtig: Angebote, die das geforderte Mindest-SEAL-Level in auch nur einer Dimension verfehlen, werden automatisch ausgeschlossen. Es gibt kein Aufrechnen zwischen starken und schwachen Bereichen.
Warum das Framework jetzt Fahrt aufnimmt
Das Framework wäre eine weitere EU-Richtlinie unter vielen – wenn die Kommission nicht gleichzeitig handfeste Konsequenzen gezogen hätte. Im Oktober 2025 schrieb die Europäische Kommission souveräne Cloud-Dienste für öffentliche Institutionen und regulierte Sektoren in einer Ausschreibung über 180 Millionen Euro aus. Es ist die erste Ausschreibung, die das Cloud Sovereignty Framework direkt operationalisiert.
Das Signal ist eindeutig: Ab jetzt ist Souveränität kein Marketing-Versprechen mehr, sondern ein vertraglich bindender Standard. Dies hat globale Hyperscaler wie Amazon, Microsoft und Google bereits dazu veranlasst, ihre europäischen Serviceangebote mit physisch und logisch getrennten Infrastrukturen, EU-basiertem Personal und kundenseitig kontrollierten Verschlüsselungsschlüsseln neu zu gestalten.
| Zeitpunkt | Meilenstein |
|---|---|
| Oktober 2025 | Veröffentlichung Cloud Sovereignty Framework v1.2.1 |
| Oktober 2025 | Start der 180-Mio.-Euro-Ausschreibung der EU-Kommission |
| Dez. 2025 – Feb. 2026 | Erwartete Vergabe der ersten Verträge |
| 2026+ | Cloud & AI Development Act (CAIDA) – Framework als Referenzpunkt |
Was das für deutsche Unternehmen bedeutet
Öffentlicher Sektor und regulierte Branchen: Handlungsbedarf jetzt
Für Behörden, Gesundheitseinrichtungen, Finanzdienstleister und kritische Infrastruktur ist das Framework keine optionale Lektüre. EU-Institutionen und -Agenturen können das Framework sofort in Ausschreibungen anwenden. Auch nationale Behörden und Privatunternehmen können – und werden – die Kriterien für ihre Cloud-Strategie nutzen.
Konkret: Wer öffentliche Ausschreibungen gewinnen oder Auftragnehmer der öffentlichen Hand bleiben will, muss nachweisen können, welchen SEAL-Level seine Cloud-Infrastruktur erreicht. Ein Auszug aus dem Vertrag mit dem Cloud-Anbieter reicht nicht mehr.
Privatwirtschaft: Strategischer Vorteil durch frühzeitige Positionierung
Für Unternehmen außerhalb regulierter Sektoren ist das Framework zunächst keine Pflicht. Dennoch lohnt sich ein genauer Blick: Der europäische Cloud-Markt erreichte 2024 rund 61 Milliarden Euro. Während US-amerikanische Hyperscaler noch etwa 70 Prozent des Marktes halten, expandieren europäische Anbieter schnell und stärken ihre souveränitätsfokussierten Angebote.
Unternehmen, die jetzt ihre Cloud-Strategie an Souveränitätskriterien ausrichten, sichern sich Wettbewerbsvorteile: bei Kundenanfragen aus der öffentlichen Hand, bei internationalen Partnerschaften und im Hinblick auf kommende Regulierungen wie den Cloud and AI Development Act (CAIDA).
KI-Workloads: Besondere Aufmerksamkeit erforderlich
Ein oft unterschätzter Aspekt: Das Framework gilt nicht nur für klassische Cloud-Speicher oder Rechenleistung – es erfasst ausdrücklich alle Verarbeitungsvorgänge mit personenbezogenen oder schutzbedürftigen Daten. Konkrete KI-Anwendungen, die in vielen Unternehmen bereits produktiv laufen, fallen damit direkt in den Geltungsbereich:
- Customer-Service-Chatbots mit Kundendaten: Jeder Prompt, der Kundennamen, Vertragsnummern oder Kaufhistorien enthält, verarbeitet personenbezogene Daten – und muss SEAL-konform gehostet werden.
- Interne Code-Assistants: Wenn Entwickler Quellcode mit proprietären Algorithmen, API-Keys oder internen Architekturdokumenten in ein LLM einspeisen, können Geschäftsgeheimnisse in das Trainings- oder Logging-System eines US-Anbieters fließen.
- RAG-Suche auf vertraulichen Dokumenten: Retrieval-Augmented Generation, die auf internen Verträgen, Patentanmeldungen oder Personalakten operiert, stellt besonders hohe Anforderungen – das Vektordatenbank-Hosting und das Modell-Inference müssen beide souverän sein.
🤖 Was das konkret für Ihre KI-Plattform bedeutet
- Datenstandorte: Trainings- und Inferenz-Daten müssen physisch in der EU verbleiben – auch temporäre Verarbeitungs-Caches und Logging-Daten. Cloud-Regionen allein genügen nicht, wenn das Mutterunternehmen dem CLOUD Act unterliegt.
- Schlüsselverwaltung: Vektordatenbanken, Modell-Weights und Fine-Tuning-Daten müssen mit Schlüsseln verschlüsselt sein, die ausschließlich Ihr Unternehmen kontrolliert (BYOK – Bring Your Own Key). Anbieter-verwaltete Keys erfüllen SOV-7 nicht auf SEAL-3-Niveau.
- Modell-Hosting: Der Einsatz von LLMs über US-amerikanische API-Endpoints (OpenAI, Anthropic, Google Gemini) ist für souveränitätspflichtige Workloads kritisch. Alternativen: selbst gehostete Open-Source-Modelle (Llama, Mistral) auf EU-Cloud-Infrastruktur oder europäische KI-API-Anbieter.
Praxis-Beispiel: So bewertet das Framework Ihre Cloud
⚠️ Szenario 1 – Status quo Mittelstand
Microsoft Azure (deutsche RZ)
Datenspeicherung in Deutschland: ✓
Aber: US-Konzern, CLOUD Act greift
✅ Szenario 2 – Souveräne Alternative
STACKIT / Open Telekom Cloud
Deutsches Unternehmen, EU-Recht
Kundenseitige Encryption Keys
Das „Sovereignty Washing"-Problem
Vorsicht vor vorschnellen Versprechen: Aktuell vermarkten mehrere US-Hyperscaler ihre europäischen Tochtergesellschaften als „souveräne Cloud". Rechtlich ist das irreführend – das Mutterunternehmen bleibt dem US-Recht unterworfen, und damit besteht grundsätzlich Zugriffspflicht gegenüber US-Behörden.
Das Framework adressiert dieses Problem durch das SEAL-System. Nicht-EU-Anbieter werden bei SOV-1 und SOV-2 zwingend niedrig bewertet – dieser Rückstand lässt sich durch technische Maßnahmen allein nicht kompensieren.
🔎 5 Fragen, die Sie Ihrem Cloud-Anbieter stellen sollten
- Unterliegt Ihr Mutterkonzern dem US CLOUD Act oder einem vergleichbaren Drittstaatengesetz?
→ Falls ja: SOV-1 und SOV-2 maximal SEAL-2 - Wer hält physisch die Verschlüsselungsschlüssel – Sie oder der Anbieter?
→ Nur kundenbasiertes Key-Management ergibt SEAL-3+ bei SOV-7 - Kann ein US-Gericht Datenzugriff erzwingen – unabhängig vom Serverstandort?
→ Keine eindeutige Verneinung = unvollständige Souveränität - Liegt eine aktuelle, unabhängige Auditbescheinigung für alle SEAL-Dimensionen vor?
→ SOV-8 erfordert regelmäßige Drittprüfung, keine Selbstauskunft - Woher stammen Ihre CPUs, GPUs und Netzwerkkomponenten – und gibt es Transparenznachweise?
→ SOV-6 bewertet Hardware-Lieferkette, nicht nur Software
Handlungsempfehlungen für Unternehmen
Kurzfristig (0–3 Monate)
- Bestehende Cloud-Verträge auf CLOUD-Act-Exposition und Datenlokalisierung prüfen
- SEAL-Selbstbewertung für kritische Workloads durchführen (Orientierung: offizielle Framework-Dokumentation der EU-Kommission)
- Compliance-Anforderungen aus NIS2, DSGVO und branchenspezifischen Vorgaben mit Framework-Kriterien abgleichen
Mittelfristig (3–12 Monate)
- Cloud-Strategie um Souveränitätsdimensionen erweitern – insbesondere: Wer verwaltet Ihre Verschlüsselungsschlüssel?
- Europäische Cloud-Anbieter (OVHcloud, Hetzner, STACKIT, Open Telekom Cloud, Exoscale) für sensible Workloads evaluieren
- Open-Source-Plattformen für mehr Transparenz und Herstellerunabhängigkeit prüfen (z. B. OpenStack, Kubernetes)
- Hybrid-Strategie entwickeln: Souveräne EU-Cloud für sensible Daten, Hyperscaler für unkritische Workloads
Langfristig
- Lieferkettensouveränität mitdenken – das Framework bewertet auch Hardware-Herkunft (CPUs, GPUs, Netzwerkkomponenten)
- Zertifizierungsstrategie aufbauen: EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) als Referenzrahmen
- Entwicklung des Cloud and AI Development Act (CAIDA) beobachten – das Framework wird voraussichtlich als Grundlage einfließen
Fazit: Vom Prinzip zur Pflicht
Das Cloud Sovereignty Framework markiert einen Wendepunkt in der europäischen Digitalpolitik. Was bisher als politische Absichtserklärung galt, wird durch die 180-Millionen-Euro-Ausschreibung zur messbaren Marktanforderung. Erstmals gibt es klare, vergleichbare Kriterien – kein Anbieter kann mehr pauschal mit „DSGVO-konform" werben und damit echte Souveränitätsfragen umgehen.
Für deutsche Unternehmen gilt: Die Initiative hat reales Potenzial, als Modell für andere Regionen zu dienen und globale Compliance-Anforderungen langfristig zu prägen. Wer jetzt das Framework versteht und seine Cloud-Strategie entsprechend ausrichtet, agiert vorausschauend – regulatorisch, wettbewerblich und im Sinne echter Datenkontrolle.
🛡️ Wie souverän ist Ihre Cloud wirklich?
Laden Sie das Cloud Sovereignty Framework (v1.2.1) direkt von der EU-Kommission herunter und führen Sie eine SEAL-Selbstbewertung für Ihre drei kritischsten Workloads durch.
📄 Framework herunterladen Weitere Strategieartikel →📚 Weiterführende Artikel auf AI-Fabrik
