Sovereign Cloud Blog
zurück zur Übersicht

EU Cloud Sovereignty Framework: Souveränität wird messbar

Thema: Innovationen

Malin Friederike Kolm

Die Europäische Kommission hat im Oktober 2025 Version 1.2 ihres Cloud Sovereignty Framework veröffentlicht. Damit existiert erstmals ein standardisierter Bewertungsrahmen für Cloud-Souveränität in öffentlichen Ausschreibungen. Was bedeutet das für Organisationen auf dem Weg zu mehr Souveränität?

Endlich Klarheit: Was Cloud-Souveränität konkret bedeutet

Seit Jahren wird über digitale Souveränität diskutiert. Doch die Definitionen blieben diffus, die Bewertungskriterien subjektiv. Mit dem Cloud Sovereignty Framework der EU-Kommission ändert sich das grundlegend. Das Framework definiert acht konkrete Souveränitätsziele (SOV-1 bis SOV-8) und führt ein fünfstufiges Bewertungssystem ein – die Sovereignty Effective Assurance Levels (SEAL 0-4).

Der Ansatz ist pragmatisch: Das Framework wird zunächst in Beschaffungsverfahren der EU-Institutionen eingesetzt und dient dort als Mindestanforderung und Bewertungskriterium zugleich. Bieter müssen definierte SEAL-Mindestlevels erreichen, um überhaupt berücksichtigt zu werden. Darüber hinaus wird ein Sovereignty Score berechnet, der als Qualitätskriterium in die Gesamtbewertung einfließt.

Die acht Souveränitätsziele im Detail

Das Framework strukturiert Cloud-Souveränität in acht Dimensionen:

SOV-1: Strategic Sovereignty
Bewertet die Verankerung des Cloud-Anbieters im EU-Ökosystem. Entscheidend sind Eigentümerstruktur, Governance, Finanzierung und die Fähigkeit, den Betrieb auch bei Wegfall von Vendor-Support aufrechtzuerhalten. Das Framework fragt konkret: Wer hat die Kontrolle über strategische Entscheidungen? Wo werden Investitionen getätigt? Wie sind Change-of-Control-Szenarien abgesichert?

SOV-2: Legal & Jurisdictional Sovereignty
Untersucht die rechtliche Umgebung und Exposition gegenüber extraterritorialen Gesetzen wie dem US CLOUD Act oder chinesischen Cybersecurity-Regelungen. Auch die Jurisdiktion des geistigen Eigentums wird bewertet, das heißt, wo werden Technologien entwickelt und wo sind IP-Rechte registriert?

SOV-3: Data & AI Sovereignty
Fokussiert auf Datenschutz und -kontrolle. Wer hat tatsächliche Kontrolle über kryptographische Schlüssel? Wo werden Daten gespeichert und verarbeitet? Wie transparent ist der Zugriff auf Daten, auch durch KI-Modelle? Das Framework fordert nachweisbare Mechanismen für irreversible Datenlöschung und vollständige Audit-Fähigkeit.

SOV-4: Operational Sovereignty
Mit 20 % Gewichtung eine der wichtigsten Dimensionen. Bewertet wird die praktische Fähigkeit europäischer Akteure, die Technologie ohne Abhängigkeit von Drittstaaten zu betreiben, zu warten und weiterzuentwickeln. Zentral sind: Verfügbarkeit von EU-basiertem Fachpersonal, Zugang zu vollständiger Dokumentation und Source Code, sowie die Vermeidung von Vendor Lock-in.

SOV-5: Supply Chain Sovereignty
Ebenfalls mit 20 % gewichtet und häufig unterschätzt. Das Framework verlangt Transparenz über die gesamte Lieferkette: Wo wird Hardware produziert? Wer kontrolliert Firmware? Wo wird Software entwickelt, gepackt und verteilt? Die Anforderung geht bis zur Transparenz über Sub-Lieferanten und umfasst Audit-Rechte.

SOV-6: Technology Sovereignty
Bewertet Offenheit und Unabhängigkeit der Technologie-Basis. Zentral sind offene Standards, nicht-proprietäre APIs, Open-Source-Komponenten und die Auditierbarkeit von Systemen. Auch die Unabhängigkeit bei High-Performance-Computing-Kapazitäten wird berücksichtigt.

SOV-7: Security & Compliance Sovereignty
Prüft, inwieweit Sicherheitsoperationen und Compliance-Prozesse unter EU-Kontrolle stehen. Security Operations Centers müssen in der EU lokalisiert sein, Audit-Rechte müssen EU-Behörden zustehen, und Patch-Management muss unabhängig von Drittstaaten erfolgen können. EU-Zertifizierungen (ISO, ENISA-Schemata) und Compliance mit NIS2 und DORA werden vorausgesetzt.

SOV-8: Environmental Sustainability
Mit 5 % Gewichtung die kleinste, aber zukunftsweisende Dimension. Bewertet werden Energieeffizienz, Circular-Economy-Praktiken, transparente Messung von Emissionen und der Einsatz erneuerbarer Energien. Nachhaltigkeit wird als Aspekt langfristiger Resilienz verstanden.

Das SEAL-Bewertungssystem: Von 0 bis 4

Das Framework definiert fünf Stufen der Souveränität:

  • SEAL-0: No Sovereignty
    Service und Technologie unter ausschließlicher Kontrolle von Drittstaaten-Akteuren, vollständig außerhalb EU-Jurisdiktion.
  • SEAL-1: Jurisdictional Sovereignty
    EU-Recht gilt formal, aber mit eingeschränkter Durchsetzbarkeit. Service und Technologie bleiben unter Kontrolle von Drittstaaten-Akteuren.
  • SEAL-2: Data Sovereignty
    EU-Recht ist durchsetzbar, aber wesentliche Abhängigkeiten von Drittstaaten bestehen. Service und Technologie unter indirekter Kontrolle von Drittstaaten-Akteuren.
  • SEAL-3: Digital Resilience
    EU-Recht durchsetzbar, EU-Akteure haben bedeutenden Einfluss. Service und Technologie nur noch marginal von Drittstaaten-Akteuren kontrolliert.
  • SEAL-4: Full Digital Sovereignty
    Technologie und Betrieb vollständig unter EU-Kontrolle, ausschließlich EU-Recht anwendbar, keine kritischen Abhängigkeiten von Drittstaaten.

Die Bewertung erfolgt je Souveränitätsziel separat. Materialielle Schwächen in einzelnen Contributing Factors führen zur Herabstufung des Gesamtlevels für das jeweilige Ziel.

Sovereignty Score: Gewichtete Gesamtbewertung

Zusätzlich zu den SEAL-Mindestanforderungen berechnet das Framework einen Sovereignty Score nach folgender Gewichtung:

  • Strategic Sovereignty: 15 %
  • Legal & Jurisdictional: 10 %
  • Data & AI: 10 %
  • Operational: 20 %
  • Supply Chain: 20 %
  • Technology: 15 %
  • Security & Compliance: 10 %
  • Environmental: 5 %

Die Gewichtung berücksichtigt, dass Beschaffungsverfahren bereits umfangreiche Security- und Legal-Safeguards enthalten. Die höchste Gewichtung erhalten Operational und Supply Chain Sovereignty - Bereiche, die in der Praxis die größten Herausforderungen darstellen.

Einordnung: Wo steht die Cloud-Landschaft?

Das Framework ist bewusst technologie- und anbieter-neutral formuliert. Dennoch lassen sich einige Beobachtungen ableiten:

Vollständige SEAL-4-Compliance über alle acht Ziele ist faktisch nicht erreichbar. Auch europäische Cloud-Anbieter sind von asiatischer Hardware und teilweise US-Software abhängig. Das Framework erkennt diese Realität an und definiert Stufen differenziert.

European Sovereign Clouds (wie AWS European Sovereign Cloud, geplant Ende 2025) werden primär bei SOV-1, SOV-2 und SOV-3 höhere Level erreichen. Durch eigenständige EU-Gesellschaften, Treuhand-Schlüsselverwaltung und EU-basierte Governance adressieren sie strategische, rechtliche und Daten-Souveränität. Deutsche Cloud-Anbieter wie IONOS oder STACKIT punkten bei SOV-2, SOV-7 und partiell bei SOV-1. Sie bieten C5-Testierung, IT-Grundschutz-Zertifizierung und deutsche Rechenzentren. Herausforderungen bestehen bei SOV-4 und SOV-5 durch begrenzte Ressourcen und Supply-Chain-Abhängigkeiten. US-Hyperscaler (AWS, Azure, Google) erreichen höchste Werte bei SOV-4 (operationale Kapazität), SOV-6 (Technologie-Breite) und SOV-8 (Nachhaltigkeitsinvestitionen). Schwächen liegen naturgemäß bei SOV-1, SOV-2 und SOV-5.

Praktische Implikationen

Das Framework bringt drei wesentliche Veränderungen:

Erstens: Objektivierung von Souveränitätsdiskussionen
Statt diffuser Begriffe existieren nun messbare Kriterien. Die acht SOV-Ziele und Contributing Factors ermöglichen strukturierte Bewertungen und vergleichbare Assessments.

Zweitens: Differenzierung nach Workload-Typ
Nicht jedes System benötigt SEAL-4 in allen Dimensionen. Das Framework ermöglicht risiko-basierte Zuordnung von Workloads zu Souveränitäts-Profilen. Entwicklungsumgebungen haben andere Anforderungen als Produktionssysteme mit personenbezogenen Daten.

Drittens: Transparenz über tatsächliche Abhängigkeiten
Die Betonung von Supply Chain und Operational Sovereignty zwingt zur ehrlichen Auseinandersetzung mit Hardware-Herkunft, Software-Lieferketten und Know-how-Verfügbarkeit.

Was Organisationen auf dem Weg zur Souveränität jetzt tun sollten

Das Framework ist zunächst für EU-Beschaffungen konzipiert, wird aber Standards setzen. Organisationen, die NIS2, DORA oder branchenspezifische Anforderungen erfüllen müssen, sollten daher:

  • Portfolio-Assessment durchführen: Bestehende Cloud-Umgebungen anhand der acht SOV-Ziele bewerten. Wo liegen kritische Abhängigkeiten? Welche SEAL-Levels werden tatsächlich erreicht?
  • Workload-Klassifizierung vornehmen: Nicht alle Systeme benötigen höchste Souveränität. Eine Klassifizierung nach Schutzbedarf ermöglicht die wirtschaftliche Zuordnung zu Cloud-Anbietern mit unterschiedlichen SEAL-Profilen.
  • Supply Chain Transparency einfordern: Mit 20 % Gewichtung ist dies ein zentrales Kriterium. Organisationen sollten von Anbietern detaillierte Informationen über Hardware-Herkunft, Firmware-Kontrolle und Software-Lieferketten verlangen.
  • Multi-Cloud-Strategie überdenken: Das Framework zeigt, dass verschiedene Anbieter unterschiedliche Stärken haben. Eine Multi-Cloud-Strategie erlaubt es, Workloads nach Souveränitäts-Profil optimal zuzuordnen.
  • Dokumentation aufbauen: Für künftige Audits und Nachweisführung ist eine strukturierte Dokumentation entlang der acht SOV-Ziele erforderlich.

Fazit: Souveränität wird zur messbaren Größe

Das EU Cloud Sovereignty Framework markiert einen Wendepunkt. Cloud-Souveränität ist keine Marketing-Phrase mehr, sondern ein strukturiert bewertbares Set von Kriterien. Die differenzierte Betrachtung über acht Dimensionen und fünf Stufen schafft Realismus: Es gibt nicht die "100 % souveräne Cloud", sondern verschiedene Souveränitäts-Profile für unterschiedliche Anforderungen.

Für Organisationen mit hohen Compliance-Anforderungen bietet das Framework eine wertvolle Orientierung – auch jenseits öffentlicher Beschaffungen. Die klare Strukturierung ermöglicht fundierte Entscheidungen und nachvollziehbare Dokumentation gegenüber Aufsichtsbehörden.

Die Kunst liegt darin, Souveränitätsanforderungen mit wirtschaftlichen und technologischen Zielen in Einklang zu bringen. Hier ist Beratungskompetenz gefragt, die sowohl die Compliance-Dimension als auch die technische Umsetzbarkeit versteht. Denn Souveränität ist kein Selbstzweck, sondern dient der langfristigen digitalen Handlungsfähigkeit.

Zum Framework: Cloud Sovereignty Framework

Sie möchten Ihre Cloud-Umgebung anhand des EU Sovereignty Framework bewerten oder eine souveräne Cloud-Strategie entwickeln? Als Trusted Advisor begleiten wir Sie von der ersten Bewertung bis zur Umsetzung: Mit dem Datacenter Cloud Discovery verschaffen wir Ihnen vollständige Transparenz über Ihre aktuelle Position. In Sovereignty Reviews analysieren wir gemeinsam Ihre Anforderungen entlang der acht SOV-Ziele und entwickeln eine priorisierte Roadmap. Unsere Multi-Cloud-Beratung und Architecture Reviews helfen Ihnen, die richtige Balance zwischen Souveränität, Innovation und Wirtschaftlichkeit zu finden. Als AWS Launch Partner für die European Sovereign Cloud sowie strategischer Partner von STACKIT und IONOS begleiten wir Sie herstellerneutral auf dem Weg zu mehr digitaler Souveränität.

Jetzt Kontakt aufnehmen

 

Kontakt

BTC AG
Alena Mattfeldt Consultant Cloud Services