Sign in Subscribe
GRC

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard
Photo by engin akyurt / Unsplash

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich seinen Kriterienkatalog „Criteria Enabling Cloud Computing Autonomy" (C3A) veröffentlicht. Das klingt zunächst wie ein weiteres technisches Regelwerk aus Deutschland ohne unmittelbare Relevanz für österreichische Datenschutzbeauftragte. Wer genauer hinschaut, erkennt jedoch: Dieser Katalog ist ein erster ernstzunehmender Versuch, die seit Jahren nebulöse Debatte um „Cloud-Souveränität" auf ein überprüfbares Fundament zu stellen. Und er kommt zu einem Zeitpunkt, an dem die Frage nach der Kontrolle über Datenverarbeitungssysteme nicht mehr nur regulatorisch, sondern auch geopolitisch brennt.

Warum „souverän" bisher nichts bedeutet hat

Cloud-Anbieter weltweit werben seit Jahren mit dem Begriff Souveränität. EU-Rechenzentren, europäische Partnerschaften, lokale Betriebsgesellschaften. Die Außendarstellung ist überzeugend, die rechtliche Substanz dahinter oft dünn. Entscheidend ist nämlich nicht, wo Server stehen, sondern wessen Recht für den Betreiber gilt, wer Zugriff auf Schlüsselmaterial hat, ob ein US-amerikanisches Mutterunternehmen über den Cloud and Improve Act oder vergleichbare Instrumente zur Herausgabe von Daten verpflichtet werden kann, und ob der Betrieb bei einer Abkopplung von der Konzerninfrastruktur überhaupt weiterlaufen kann.

Genau hier setzen die C3A an. Das BSI will damit vor allem technisch tragfähige Lösungen schaffen, die konkrete Bedingungen formulieren, wie BSI-Vizepräsident Thomas Caspers formuliert. Der Unterschied zum bisherigen C5-Katalog, der Informationssicherheit bewertet, liegt im Fokus: C3A ergänzt Sicherheit um Autonomiefähigkeit.

Was die Kriterien konkret verlangen

Der C3A baut auf sechs der acht Kriterien auf, die die EU-Generaldirektion DIGIT im vergangenen Jahr definiert hatte, und konkretisiert diese um breitere Praxiserfahrungen, insbesondere jene von BSI und der französischen ANSSI.

Die Kriterien sind gestuft. Einige Beispiele, die für Datenschutzbeauftragte unmittelbar relevant sind:

  • Betriebskontinuität bei Disconnect: Kriterium SOV-4-09-C verlangt, dass der Betrieb auch bei Abkopplung von der außereuropäischen Betreiberinfrastruktur weiterlaufen muss, ohne dass Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit leiden. Zusätzlich muss ein dokumentierter Prozess für den Disconnect-Fall vorliegen, der mindestens einmal jährlich getestet und dokumentiert wurde. Das ist keine abstrakte Anforderung, sondern die direkte Konsequenz aus dem Szenario, dass ein US-Konzern seine EU-Tochter abschalten oder abtrennen könnte.
  • Jurisdiktion und Personal: Die Kriterien verlangen unter anderem, dass Anbieter keiner Nicht-EU-Jurisdiktion unterliegen dürfen und regeln, von wo aus Mitarbeiter wesentliche IT-Pflegemaßnahmen durchführen dürfen. Das personalbezogene Kriterium SOV-4-01-C1 verlangt, dass alle Mitarbeiter mit logischem oder physischem Zugang zu Betriebsmitteln EU-Staatsbürger mit EU-Wohnsitz sein müssen.
  • Übergabe im Ernstfall: Für den Verteidigungsfall enthalten die C3A ebenfalls Prüfkriterien: Cloud-Dienstleister müssen in der Lage sein, den Betrieb an Bundesbehörden zu übergeben, inklusive des notwendigen Materials und Personals.

Die datenschutzrechtliche Dimension

Für Datenschutzbeauftragte ist der C3A kein reines IT-Sicherheitsdokument. Die Kriterien berühren unmittelbar die Anforderungen, die sich aus der DSGVO und ergänzenden Regelwerken ergeben.

  • Art. 28 DSGVO verlangt, dass Auftragsverarbeiter hinreichende Garantien bieten. Ob ein Cloud-Anbieter diese Garantien tatsächlich einhalten kann, wenn sein Mutterkonzern in den USA sitzt und einem Foreign Intelligence Surveillance Act-Beschluss unterliegt, ist eine Frage, die C3A-konforme Kriterien erstmals strukturiert beantwortbar machen.
  • Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen entsprechend dem Risiko. Die C3A-Stufen können dabei als Orientierungsrahmen für die Risikoklassifizierung dienen: Welche Verarbeitungsvorgänge erfordern welchen Grad an Cloud-Autonomie?
  • Art. 46 DSGVO und die Problematik von Drittlandtransfers: Wer personenbezogene Daten bei einem Anbieter verarbeitet, dessen Betrieb im Zweifelsfall von einem US-Konzern kontrolliert wird, hat ein strukturelles Transferproblem, das auch durch Standardvertragsklauseln nicht vollständig gelöst wird. Der EuGH hat das mit dem Schrems-II-Urteil unmissverständlich festgestellt.

Verbindlichkeit und Ausblick

Die C3A sind aus sich heraus nicht verbindlich, können aber im Rahmen von Gesetzgebung oder bei Ausschreibungen zu Mindestanforderungen erklärt werden, so Caspers. Der entscheidende politische Kontext:

Die EU-Kommission plant, den Cloud and AI Development Act (CADA) Ende Mai 2026 vorzulegen, der klarere Kriterien für Cloud-Souveränität enthalten soll. Sollten C3A-Kriterien dabei Eingang in Anhänge von NIS2 oder den Cybersecurity Act finden, wäre der deutsche Vorschlag faktisch zum europäischen Standard geworden.

Für österreichische Einrichtungen, insbesondere jene, die als kritische Infrastruktur oder als NIS2-verpflichtete Betreiber wesentlicher Dienste eingestuft sind, ist das keine abstrakte Zukunftsperspektive. Die ENISA und das österreichische CERT beobachten diese Entwicklungen aktiv, und die heimische Behördenpraxis orientiert sich erfahrungsgemäß rasch an deutschen BSI-Standards.

Was Datenschutzbeauftragte jetzt tun sollten

Die Veröffentlichung der C3A ist ein guter Anlass, bestehende Cloud-Verträge und Auftragsverarbeitungsvereinbarungen neu zu bewerten. Konkret empfiehlt sich:

Die Frage nach dem Disconnect-Szenario in AVV-Verhandlungen aufnehmen: Was passiert mit Verfügbarkeit und Datenzugriff, wenn der Anbieter den Betrieb einstellt, seine EU-Tochter verkauft oder eine behördliche Anordnung erhält? Dokumentierte, getestete Prozesse sollten vertraglich zugesichert werden.

Die Jurisdiktionsfrage explizit stellen: Welchem Recht unterliegt der Cloud-Anbieter selbst, nicht nur sein EU-Rechenzentrum? Wer ist wirtschaftlicher Eigentümer der genutzten Plattform? Gibt es Konzernstrukturen, über die nicht-EU-Rechtspflichten durchschlagen können?

Risikobasiert vorgehen: Nicht jeder Verarbeitungsvorgang erfordert denselben Souveränitätsgrad. Eine Einstufung nach Schutzbedarf, analog zur BSI-Grundschutz-Systematik, hilft dabei, proportionale Anforderungen zu formulieren.

Den CADA im Blick behalten: Wenn der EU-Gesetzgebungsprozess beginnt, wird die Lobby-Debatte über Ausnahmen und Übergangsfristen intensiv geführt werden. Datenschutzbeauftragte sollten frühzeitig die eigene Position und die ihrer Organisation kennen.

Die Entwicklung zeigt: Digitale Souveränität ist kein IT-Thema mehr, das man an die Technik delegieren kann. Sie ist eine rechtliche und organisatorische Voraussetzung für die tatsächliche Einhaltung von Datenschutzpflichten. Der C3A liefert erstmals ein Werkzeug, um diese Anforderung operationalisierbar zu machen.

Weiterführende Quellen: BSI C3A-Dokument: bsi.bund.de Heise-Analyse: heise.de

Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Claude Sonnet 4.6, Anthropic) erstellt und vor Veröffentlichung redaktionell geprüft.

Read next

Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken

Klarheit für Datenverarbeitung zu wissenschaftlichen Forschungszwecken

Am 15. April 2026 hat der Europäische Datenschutzausschuss (EDPB) die lange erwarteten Leitlinien 1/2026 zur Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zur öffentlichen Konsultation freigegeben. Das 66-seitige Dokument adressiert eine Reihe strittiger Auslegungsfragen, die in der Praxis seit Inkrafttreten der DSGVO für Unsicherheit gesorgt haben, und bringt in einigen
Michael Mrak