Ein herzliches Hallo!
„Digitale Souveränität“ ist auch 2026 ein prägender Begriff. Mit dem im Oktober letzten Jahres vorgestellten Cloud Sovereignty Framework schafft die Europäische Union nun erstmals einen strukturierten Bewertungsrahmen, der digitale Souveränität in der Cloud konkret messbar macht.
Mit dem Framework soll eine verlässliche Grundlage geschaffen werden, mit der Behörden und Unternehmen Cloud-Dienste systematisch bewerten können. Gleichzeitig besteht das Ziel, die Abhängigkeit von Anbietern außerhalb Europas zu verringern. Als weiteres Ziel soll unter anderem die Orientierung an europäischen Sicherheitsvorgaben gefestigt werden.
Damit verfolgt die EU einen grundlegenden Ansatzwechsel: Der Fokus verschiebt sich von allgemeinen Leitideen hin zu nachvollziehbaren Messgrößen und Bewertungssystemen.
Acht Souveränitätsziele als strukturelles Fundament
Im Zentrum des Frameworks stehen acht klar definierte Souveränitätsziele (SOV-1 bis SOV-8), die unterschiedliche Dimensionen digitaler Unabhängigkeit abdecken.
Diese Ziele reichen von rechtlichen, operativen und technologischen Aspekten bis hin zu Anforderungen an Datenschutz und -Kontrolle, Auditierbarkeit, Nachhaltigkeit und der Souveränität von Lieferketten.
Letzteres Ziel muss Antworten über die Herkunft von Hard- und Software liefern können und zählt mit 20% am stärksten in der Gewichtung des sogenannten „Sovereignty Scores“ – dieser fasst den erzielten Souveränitätswert über alle acht Ziele hinweg zusammen.
Durch diese ganzheitliche Struktur wird Cloud-Souveränität nicht mehr als isolierter Faktor betrachtet, sondern als Zusammenspiel mehrerer überprüfbarer Dimensionen.
SEAL-Level: Fünf Level der Cloud-Souveränität
Um die definierten Ziele praktisch anwendbar zu machen, führt das Framework eine mehrstufige Bewertungsskala ein: die sogenannten Sovereignty Effective Assurance Levels (SEAL).
Von SEAL 0 bis SEAL 4 abgestuft, bilden sie ab, wie ausgeprägt die europäische Steuerbarkeit eines Cloud-Dienstes ist. Für jedes der acht Ziele wird ein Mindest- SEAL-Level festgelegt. So werden bereits einige Anbieter ausgeschlossen, die das erforderliche Mindest-SEAL-Level nicht erreicht haben.
Die Bewertung für ein Level erfolgt anhand konkreter Belege, die Anbieter vorlegen müssen, zum Beispiel zu potenziellen Zugriffsmöglichkeiten durch außereuropäische Staaten.
Der bereits erwähnte Souveränitätsscore zählt die Bewertung aller Souveränitätsziele zusammen unter einer definierten Gewichtung pro Ziel.
Auf dieser Basis entsteht ein differenziertes Profil, das den Grad der Souveränität eines Cloud-Dienstes abbildet und einen direkten Vergleich zwischen verschiedenen Angeboten ermöglicht.
Verwendung auf europäischer Institutionsebene
Das Framework dient insbesondere EU-Institutionen als Referenzrahmen für die Bewertung in öffentlichen Ausschreibungen. In diesem Zusammenhang fungiert es als Bewertungsgrundlage, die zum einen sowohl grundlegende Anforderungen definiert, die bei Nicht-Erfüllen Anbieter ausschließen und zum anderen Angebote besser vergleichbar machen kann.
Auch für privatwirtschaftliche Unternehmen kann das Framework als eine sinnvolle Orientierungshilfe sein, um Angebote besser einordnen zu können im Hinblick auf ihre Souveränität.
Damit hat das Framework das Potenzial, weit über den öffentlichen Sektor hinaus Wirkung zu entfalten.
Folgen für Anbieter und Marktstrukturen
Für Cloud-Anbieter bringt das Framework neue Anforderungen und Herausforderungen mit sich. Insbesondere steigen die Anforderungen an Transparenz und Nachweisbarkeit erheblich. Anbieter müssen zum Beispiel detailliert darlegen, wie ihre Dienste aufgebaut sind und wo Daten verarbeitet werden.
Gleichzeitig verändert sich der Wettbewerb: Neben klassischen Faktoren wie Preis und Leistung wird der Grad an nachweisbarer Souveränität zu einem entscheidenden Kriterium. Dies kann ein echter Vorteil sein für Anbieter aus der EU, vor allem für den öffentlichen Bereich.
Eine Frage, die sich stellt, ist, ob europäische Anbieter in der Lage sind, die steigenden Anforderungen an Dokumentation, Lieferkettenmanagement und Compliance effizient zu erfüllen.
Einordnung in die europäische Digitalstrategie
Das Cloud Sovereignty Framework ist Teil einer umfassenderen europäischen Strategie zur Stärkung digitaler Souveränität. Es greift zentrale Prinzipien bestehender Initiativen wie GAIA-X sowie Anforderungen aus regulatorischen Rahmenwerken wie der NIS2 und dem DORA auf.
Im Unterschied zu der NIS2-Richtlinie, die die Sicherheit kritischer Dienste reguliert, hat das neue Cloud Sovereignty Framework einen klaren Fokus auf Kontrolle und Unabhängigkeit.
Juristische Aspekte wie der US CLOUD Act werden dabei als relevante Bewertungskriterien für Datenzugriff und Souveränität herangezogen und ermöglichen so eine differenziertere Einordnung von Cloud-Angeboten. (Mehr zu den rechtlichen Konsequenzen des US CLOUD Act findet sich in unserem Blogbeitrag zum Rechtsgutachten der Universität zu Köln über den Zugriff von US-Behörden auf Daten.)
Damit wird Cloud-Souveränität zu einem Bewertungsrahmen für Politik, Verwaltung und Wirtschaft.
Fazit: Ein neuer Referenzrahmen für digitale Unabhängigkeit
Mit dem Cloud Sovereignty Framework führt die Europäische Union ein einheitliches System zur Bewertung digitaler Souveränität in der Cloud ein. Durch die Kombination aus klar definierten Zielen und einem gestuften Bewertungssystem wird ein bislang abstraktes Konzept operationalisiert und lässt Vergleiche zu.
Das Framework schafft damit Orientierung für Entscheider und setzt zugleich neue Maßstäbe für Anbieter. Es kann über Vergabekriterien Anreize setzen, die zu Anpassungen im Angebot der Anbieter führen.
Wollen Sie mehr über die Bedeutung digitale Souveränität erfahren oder sich direkt über Praxisstrategien für Unternehmen informieren? Wir freuen uns auf Ihren Besuch!
Herzliche Grüße,
Ihre TWINSOFT
