Leitfaden · Digitale Souveränität

Digitale Souveränität und Cloud, der Leitfaden

Souveräne Cloud ist 2026 vom Schlagwort zur messbaren Anforderung geworden. Seit dem C3A-Katalog des BSI lässt sich prüfen, wer eine Cloud im Ernstfall wirklich kontrolliert. Dieser Leitfaden ordnet Standards, Recht und Anbieterlandschaft für den Mittelstand ein, anbieterneutral, mit Belegen, und mit einem klaren Weg von der Standortbestimmung bis zur Anbieterwahl.

C3A
macht Cloud-Souveränität seit dem 27. April 2026 erstmals prüfbar
BSI 2026
6
Souveränitätsdomänen von der Jurisdiktion bis zur Lieferkette
BSI C3A
C5 zuerst
Sicherheit nach C5 ist die Voraussetzung für Souveränität nach C3A
BSI 2026
4 Stufen
von Basisschutz bis zur vollständigen digitalen Souveränität
C3A-Niveaus
BSI C5 C3A ES3 EU Cloud Act Serverstandort
Erst mal sortieren

Souveränität ist mehr als ein Serverstandort

Ein deutsches Rechenzentrum ist ein Anfang, aber kein Beweis für Souveränität. Wer einen Dienst im Ernstfall wirklich kontrolliert, entscheidet sich auf drei Ebenen. Diese Unterscheidung hilft, jede Anbieteraussage einzuordnen.

Ebene 1
§

Rechtlich

Welcher Jurisdiktion unterliegt der Anbieter? Ein US-Unternehmen kann auch bei einem Rechenzentrum in Deutschland dem US Cloud Act unterliegen, was einen Datenzugriff ermöglichen kann.

Ebene 2

Operativ

Wer betreibt und administriert den Dienst? Souverän heißt, dass der administrative Zugriff bei Personen in der EU liegt und der Dienst von Verbindungen außerhalb der EU getrennt werden kann.

Ebene 3

Technologisch

Kann der Dienst ohne externe Abhängigkeit weiterlaufen? Das betrifft Sicherheitsupdates, die Lieferkette und den Zugriff auf den Quellcode, dokumentiert über eine Software Bill of Materials.

Anbieterneutral, ohne Provision. Dieser Leitfaden bündelt öffentliche Forschung, BSI-Kriterien und über 20.000 reale Projekte. Er empfiehlt keinen bestimmten Anbieter, sondern hilft, den passenden selbst zu finden.

Mehr zur Neutralität
Der Weg zur souveränen Cloud

In vier Stufen zur selbstbestimmten IT

Souveränität entsteht nicht durch einen einzelnen Kauf, sondern durch eine bewusste Reise. Jede Stufe beantwortet eine Leitfrage und führt zur nächsten. So wird aus einem politischen Schlagwort ein planbares Vorgehen.

Stufe 1 · Standort bestimmen

Schutzbedarf und Datenklassen klären

Nicht alle Daten sind gleich schutzbedürftig. Der erste Schritt ordnet Daten und Prozesse nach Sensibilität und legt fest, welches Souveränitätsniveau sie wirklich brauchen.

  • Welche Daten sind besonders sensibel oder reguliert
  • Welche Prozesse dürfen im Ernstfall nicht ausfallen
  • Wo genügt Sicherheit, wo ist Souveränität nötig
Stufe 2 · Architektur bewerten

Abhängigkeiten sichtbar machen

Die bestehende IT-Architektur wird auf Abhängigkeiten und Abkoppelbarkeit geprüft, entlang der sechs Souveränitätsdomänen des BSI. Das schafft ein ehrliches Bild des Ist-Zustands.

  • Von welchen Anbietern außerhalb der EU hängt der Betrieb ab
  • Ließe sich der Dienst im Ernstfall abkoppeln
  • Ist die Lieferkette transparent und dokumentiert
Stufe 3 · Standards und Recht klären

Kriterien prüfbar machen

C5, C3A, ES3 und der EU Cloud Act werden in konkrete, prüfbare Anforderungen übersetzt. Aus abstrakten Regeln werden Kriterien, die sich in Auswahl und Vergabe belegen lassen.

  • Welche Zertifizierung deckt welchen Aspekt ab
  • Welche Nachweise sind für die Vergabe nötig
  • Welche rechtlichen Risiken sind relevant
Stufe 4 · Anbieter wählen

Passenden Serverstandort finden

Auf Basis prüfbarer Nachweise wird ein Anbieter gewählt, der zum tatsächlichen Schutzbedarf passt. Kein Maximum um jeden Preis, sondern das richtige Niveau ohne Scheinsouveränität.

  • Welcher Anbieter belegt die geforderten Kriterien
  • Passt das Souveränitätsniveau zum Schutzbedarf
  • Bleibt die Portabilität für einen Wechsel erhalten
Die Landkarte

Standards und Recht auf einen Blick

Die Begriffe werden oft vermischt. Diese Übersicht zeigt, was jeder Rahmen regelt, ob er verpflichtend ist und für wen er zählt. Zusammen ergeben sie das Fundament der Souveränitätsbewertung.

Rahmen Was er regelt Status Vor allem relevant für
BSI C5Compliance Criteria Catalogue Informationssicherheit der Cloud, etwa Verschlüsselung, Zugriff und Protokollierung teils gesetzlich verankert alle, die sichere Cloud nachweisen müssen
BSI C3ACriteria enabling Cloud Computing Autonomy Souveränität in sechs Domänen, setzt C5 voraus, seit 27. April 2026 Orientierung, kann verpflichtend werden Behörden, KRITIS, regulierte Branchen
ES3European Sovereign Stack Technischer Souveränitätsstandard, macht Souveränität über offene Bausteine messbar Standard im Aufbau Architektur- und Plattformentscheidungen
EU Cloud Act, CAIDACloud and AI Development Act Europäischer Rechtsrahmen für Cloud und KI, treibt Souveränitätsanforderungen EU-Vorhaben 2026 alle, mittelbar über kommende Vorgaben
US Cloud ActUS-Recht Ermöglicht US-Behörden Zugriff auf Daten unter Kontrolle von US-Unternehmen Risikofaktor alle, die US-Anbieter nutzen
Vertiefung

Weiterlesen aus unserem Magazin

Wir begleiten die Souveränitätsdebatte laufend. Diese Analysen vertiefen die einzelnen Bausteine, von den Standards über das Recht bis zu realen Architektur-Entscheidungen großer Organisationen.

Standards · C5, C3A und ES3

Die Zertifizierungen verstehen

Was C5, C3A und der European Sovereign Stack jeweils regeln und wie sie zusammenspielen. Diese Beiträge übersetzen die Kriterienkataloge in eine praktische Orientierung für die eigene Cloud-Strategie.

Recht · EU Cloud Act

Den Rechtsrahmen einordnen

Wie der europäische Rechtsrahmen die Anforderungen an Cloud-Architekturen verschiebt und was das für die Bewertung der eigenen Landschaft bedeutet.

Praxis · Architektur-Entscheidungen

Was große Organisationen vormachen

Reale Fälle zeigen, wie Konzerne und öffentliche Träger ihre IT-Architektur auf Souveränität ausrichten, und welche Learnings sich auf den Mittelstand übertragen lassen.

Anbieter · Serverstandort und souveräne Cloud

Anbieter und Serverstandort bewerten

Von souveränen Cloud-Angeboten bis zur Wahl eines CRM mit Serverstandort in Deutschland. Diese Beiträge zeigen, wie sich Anbieter konkret an Souveränitätskriterien messen lassen.

Der Realitäts-Check

Warum souverän als Label nicht genügt

Viele Anbieter nennen sich souverän. Prüfbar wird das erst über konkrete Nachweise, etwa einen Disconnect-Test, EU-Personal im Betrieb und eine transparente Lieferkette. Das Label allein sagt wenig.

Zugleich ist Souveränität kein Alles oder Nichts. Fachleute betonen, sie bedeute nicht Abschottung, sondern beherrschbare Abhängigkeit. Und es gibt Kritik: Der europäische Verband CISPE warnt, die neuen Kriterien könnten über Schlupflöcher bei Subunternehmern eine Scheinsouveränität legitimieren und den Wechsel zwischen Anbietern erschweren. Ein Grund mehr, genau hinzusehen.

Nachweise statt Label

Disconnect-Test, Jurisdiktionsnachweis und Personalzertifizierung sind belastbar. Das Wort souverän auf einer Folie ist es nicht.

Das richtige Niveau

Nicht jede Datenklasse braucht die höchste Stufe. Souveränität sollte zum Schutzbedarf passen, nicht zum Marketing.

Portabilität mitdenken

Wer den Wechsel offen hält, vermeidet einen neuen Lock-in. Interoperabilität ist Teil echter Souveränität.

Das Vorgehen

Sechs Schritte zum souveränen Cloud-Setup

Von der Bestandsaufnahme bis zur prüfbaren Anbieterwahl. Diese Schritte machen aus dem Thema Souveränität ein konkretes, planbares Projekt.

1

Schutzbedarf bestimmen

Festlegen, welche Daten und Prozesse wie sensibel sind, denn nicht alles braucht das höchste Niveau.

2

Abhängigkeiten prüfen

Die Architektur auf Abhängigkeiten außerhalb der EU untersuchen, samt Betrieb, Support und Lieferkette.

3

Niveau je Workload

Für jede Datenklasse das nötige Souveränitätsniveau bestimmen, statt pauschal zu entscheiden.

4

Anforderungen ableiten

Aus C5, C3A und EU Cloud Act prüfbare Kriterien für die Vergabe formulieren.

5

Anbieter prüfen

Nachweise statt Labels verlangen, also Zertifikate, Jurisdiktion und belegte Abkoppelbarkeit.

6

Portabilität sichern

Auf Interoperabilität und Ausstiegsfähigkeit achten, um einen Lock-in zu vermeiden.

FAQ

Häufige Fragen zur digitalen Souveränität

Kompakte, eigenständige Antworten zu Begriffen, Standards, Recht und Anbieterwahl.

Was bedeutet digitale Souveränität in der Cloud?

Digitale Souveränität in der Cloud bedeutet, dass eine Organisation ihre Daten und Systeme selbstbestimmt kontrolliert, auch im Ernstfall. Sie umfasst drei Ebenen. Rechtlich geht es darum, welcher Jurisdiktion ein Anbieter unterliegt. Operativ geht es darum, wer den Betrieb und den administrativen Zugriff kontrolliert. Technologisch geht es darum, ob ein Dienst ohne Abhängigkeit von Anbietern außerhalb der EU weiterlaufen kann. Sicherheit allein genügt nicht, Souveränität ist ein eigenes Anforderungsprofil.

Was ist der Unterschied zwischen BSI C5 und C3A?

Der C5, der Cloud Computing Compliance Criteria Catalogue, regelt die Informationssicherheit einer Cloud, also Verschlüsselung, Zugriffskontrolle und Protokollierung. Der C3A, veröffentlicht vom BSI am 27. April 2026, ergänzt den C5 um die Frage der Souveränität, also wer einen Dienst im Ernstfall tatsächlich kontrolliert. C3A setzt C5 voraus. Vereinfacht gesagt beantwortet der C5, ob eine Cloud sicher ist, und der C3A, ob sie souverän ist.

Ist der C3A verpflichtend?

Der C3A ist an sich nicht verbindlich, sondern ein Orientierungsrahmen. Er kann aber im Rahmen von Gesetzgebung oder in Ausschreibungen zur Mindestanforderung erklärt werden und gilt als möglicher Referenzrahmen für die Bundesverwaltung. Zudem könnten Souveränitätskriterien über EU-Vorhaben wie den Cloud and AI Development Act oder Sicherheitsgesetze wie NIS2 an Bedeutung gewinnen. Für die Praxis heißt das, der C3A wird schnell zum Maßstab bei Vergabe und Risikobewertung, auch ohne formale Pflicht.

Betrifft der US Cloud Act auch Daten in deutschen Rechenzentzen?

Ja, das ist möglich. Der US Cloud Act erlaubt US-Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten, die von einem US-Unternehmen kontrolliert werden, auch wenn sie in einem Rechenzentrum außerhalb der USA liegen. Ein deutscher Serverstandort allein schließt einen solchen Zugriff also nicht sicher aus, wenn der Anbieter oder sein Mutterkonzern US-Recht unterliegt. Genau deshalb betrachten Souveränitätskriterien wie der C3A die Jurisdiktion und die Betriebskontrolle, nicht nur den physischen Standort.

Was sind die sechs Souveränitätsdomänen des C3A?

Der C3A gliedert Souveränität in sechs Domänen, oft als SOV-1 bis SOV-6 bezeichnet. Sie umfassen unter anderem die Jurisdiktion, die Datenkontrolle, den operativen Betrieb mit administrativem Zugriff durch Personen in der EU, die Abkoppelbarkeit von Verbindungen außerhalb der EU, die Lieferkettentransparenz mit einer Software Bill of Materials sowie die technologische Unabhängigkeit. Besonders die Abkoppelbarkeit und die Betriebskontrolle sind für viele globale Anbieter schwer zu erfüllen.

Was ist ES3, der European Sovereign Stack?

ES3 steht für einen europäischen Souveränitätsstandard, der Souveränität technisch messbar machen soll. Er zielt darauf, offene, interoperable und nachvollziehbar souveräne Cloud-Bausteine zu definieren, häufig auf Basis offener Standards. Im Zusammenspiel mit dem C5 und dem C3A entsteht so ein Rahmen, der Sicherheit, Prüfbarkeit und Unabhängigkeit verbindet. Für Anwender liefert er Orientierung, welche Bausteine echte Souveränität stützen und welche nur als Label auftreten.

Muss der Mittelstand alles maximal souverän betreiben?

Nein, das wäre in der Regel weder nötig noch wirtschaftlich. Sinnvoll ist eine abgestufte Strategie, oft als Multi-Cloud beschrieben. Hochsensible Daten und kritische Prozesse werden in souveränen Umgebungen betrieben, während weniger kritische Anwendungen von der Innovationskraft großer Anbieter profitieren können. Entscheidend ist, den Schutzbedarf je Datenklasse zu bestimmen und das Souveränitätsniveau daran auszurichten, statt pauschal zu entscheiden.

Wie prüfe ich, ob ein Cloud-Anbieter wirklich souverän ist?

Ein Label wie souveräne Cloud allein reicht nicht. Belastbar sind prüfbare Nachweise, etwa eine C5-Testierung als Grundlage, dazu Nachweise zur Jurisdiktion, zur Zusammensetzung des Betriebspersonals, ein dokumentierter Disconnect-Test und Transparenz über die Lieferkette. Sinnvoll ist, den Anbieter diese Nachweise konkret vorlegen zu lassen und sie an den sechs Domänen des C3A zu spiegeln, statt sich auf Marketingaussagen zu verlassen.

Gibt es Kritik an den neuen Souveränitätskriterien?

Ja. Der europäische Cloud-Verband CISPE und einige Anbieter kritisieren, dass der C3A Schlupflöcher enthalte, etwa bei den Anforderungen an Subunternehmer, und dass Vorgaben zu Interoperabilität und Portabilität fehlten. Dadurch könne der Rahmen unter Umständen eine Scheinsouveränität legitimieren und bestehende Abhängigkeiten zementieren. Das BSI hält dem entgegen, Souveränität bedeute nicht Abschottung, sondern beherrschbare Abhängigkeit. Für Anwender lohnt es sich daher, nicht nur auf die Konformität, sondern auch auf Portabilität zu achten.

Wo steht die Souveränität im Verhältnis zur Softwareauswahl?

Souveränitätsanforderungen sind ein zusätzliches Kriterium in der Softwareauswahl, kein Ersatz für die fachliche Passung. Zuerst muss eine Lösung die Prozesse und Anforderungen abdecken, danach entscheidet der Schutzbedarf über das nötige Souveränitätsniveau und den passenden Betriebs- und Serverstandort. Beides gehört in eine strukturierte, anbieterneutrale Bewertung eingebettet, damit weder die Funktion noch die Souveränität zu kurz kommt.

Finden Sie das richtige Souveränitätsniveau

Souveränität ist kein Maximum um jeden Preis, sondern die passende Stufe zum Schutzbedarf. Starten Sie mit einer neutralen Auswahl auf Basis realer Projekte und beziehen Sie Serverstandort und Compliance von Anfang an ein.