DE 
EN 
Am 27. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Kriterienkatalog „Criteria enabling Cloud Computing Autonomy“ (C3A) veröffentlicht. Er schließt eine Lücke, die in der Praxis seit Jahren spürbar ist: Bislang fehlten allgemein anerkannte, objektive und nachprüfbare Kriterien dafür, was ein Cloud-Angebot wirklich souverän macht.
Während die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue (C5) des BSI adressiert werden, ermöglicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. C3A setzt C5-Konformität dabei als Voraussetzung voraus.
Der Katalog ist in Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen das BSI Kooperationsvereinbarungen unterhält, entstanden. Das ist ein gutes Zeichen, denn die Praxiserfahrungen aus diesen Partnerschaften sind direkt in das Framework eingeflossen. Der laufende Prozess sieht zudem den Austausch mit internationalen Partnerbehörden vor.
Hintergrund für den neuen BSI-Katalog ist die zunehmende Sorge von „Cyber Dominance”. Damit ist die Fähigkeit von Herstellern digitaler Produkte gemeint, dauerhaft Zugriff auf Systeme und Daten ihrer Kunden zu behalten. Das Ziel: Außereuropäische Produkte sollen so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird.
Schutz vor Souveränitäts-Washing
In seinem aktuellen Whitepaper hat das ZenDiS (Zentrum für Digitale Souveränität der Öffentlichen Verwaltung) den Begriff „Souveränitäts-Washing” geprägt. Damit werden Angebote bezeichnet, die als „souverän“ vermarktet werden, aber nur Teilaspekte von digitaler Souveränität erfüllen. Das typische Muster, angeblich souveräner Cloud-Angebote von heute: Ein Rechenzentrum in Frankfurt oder Amsterdam macht eine Cloud nicht automatisch souverän, wenn die Technologiebasis in den USA liegt und Updates vom US-Hersteller kommen. US-Recht, insbesondere der CLOUD Act und FISA 702, gilt für US-Unternehmen – unabhängig davon, wo deren Server stehen. Die operative Unabhängigkeit einer europäischen Tochtergesellschaft hebt die gesetzlichen Pflichten der US-Muttergesellschaft nicht auf. Dies hat der Chefjustiziar von Microsoft Frankreich im Juli 2025 vor dem französischen Senat bestätigt.
Genau dieses Transparenzproblem adressiert C3A mit verifizierbaren Kriterien.
Aktuelle Rechtslage: keine Entspannung in Sicht
Die juristische Ausgangslage hat sich seit der ZenDiS-Publikation nicht verbessert.
Seit September 2025 gilt der EU Data Act vollständig. Kapitel VII verpflichtet Cloud-Anbieter zu technischen und rechtlichen Maßnahmen gegen unrechtmäßige Datenzugriffe ausländischer Behörden. Für US-Anbieter entsteht dadurch ein strukturelles Dilemma: CLOUD-Act-Anforderungen und EU-Data-Act-Kapitel-VII-Anforderungen sind rechtlich nicht gleichzeitig erfüllbar. Wer einer US-Behördenanfrage nachkommt, kann gleichzeitig gegen EU-Recht verstoßen – und umgekehrt.
In Kürze: wie ist der C3A-Katalog strukturiert?
Das BSI unterteilt Cloud-Souveränität in sechs Domänen (SOV-1 bis SOV-6), die aufeinander aufbauen. Für jede Domäne gibt es Basiskriterien (C) und erweiterte Kriterien (AC). Die Kriterien bieten zudem eine Auswahlmöglichkeit zwischen zwei Niveaus: EU-Niveau (C1) und Deutschland-Niveau (C2), mit jeweils schärferen Anforderungen auf der deutschen Stufe.
SOV-1 – Strategische Souveränität: Der Anbieter muss unter EU- bzw. deutschem Recht operieren, seinen Sitz dort haben und von europäischen oder deutschen Unternehmen effektiv kontrolliert werden. Eigentümerwechsel, die die Souveränitätskriterien berühren könnten, müssen 90 Tage im Voraus kommuniziert werden.
SOV-2 – Rechtliche und jurisdiktionelle Souveränität: Der Anbieter muss mindestens jährlich prüfen, ob Rechtsnormen außerhalb der EU eine grenzüberschreitende Wirkung auf seinen Betrieb oder auf die Vertraulichkeit und Verfügbarkeit von Kundendaten entfalten können. Die daraus resultierenden Risiken sind strukturiert zu bewerten. Davon sind auch Anbieter mit deutschem Hauptsitz betroffen, die Standorte außerhalb der EU betreiben. Nationale Behörden müssen zudem das Recht haben, die Einhaltung der C3A-Kriterien durch ein Audit zu überprüfen. Für den Verteidigungsfall muss der Anbieter in der Lage sein, den Cloud-Betrieb an staatliche Stellen zu übergeben – einschließlich aller notwendigen Betriebsmittel, Quellcode und Administrationswerkzeuge.
SOV-3 – Datensouveränität: Kunden müssen nachvollziehen können, wo ihre Daten gespeichert und verarbeitet werden. Der Anbieter muss darüber hinaus die Integration externer Schlüsselverwaltungssysteme ermöglichen, sodass Kunden ihre Encryption Keys vollständig außerhalb der Anbieterumgebung halten können. Externe Identity-Provider müssen über offene, nicht proprietäre Standards eingebunden werden können. Zudem müssen Kundendaten clientseitig verschlüsselbar sein, bevor sie die eigene Umgebung verlassen.
SOV-4 – Operative Souveränität: Das gesamte Cloud-Personal muss EU-Bürger mit Hauptwohnsitz in der EU sein und die EU muss das SOC und die Konnektivität innerhalb der EU betreiben. Das BSI verlangt als neues C3A-Kriterium, dass alle Netzwerkverbindungen außerhalb der EU vollständig getrennt werden können, ohne den Betrieb der Cloud-Dienste zu beeinträchtigen, was jährlich durch einen Test nachzuweisen ist. Wer für Sicherheitsupdates dauerhaft auf die Verbindung zum US-Hersteller angewiesen ist, kann dieses Kriterium nicht erfüllen.
SOV-5 – Lieferketten-Souveränität: Der Anbieter muss für jeden Cloud-Dienst dokumentieren, welche Software- und Hardware-Komponenten zum Einsatz kommen und aus welchen Ländern diese stammen. Idealerweise liegt diese Dokumentation als Software Bill of Materials (SBOM) vor und ist Kunden auf Anfrage zugänglich. Für kritische Abhängigkeiten muss der Anbieter Gegenmaßnahmen vorhalten und die Auswirkungen möglicher Exportbeschränkungen oder Lieferausfälle proaktiv bewerten.
SOV-6 – Technologische Souveränität: Lokale Sicherungskopien (höchstens 24 Stunden alt, mindestens 5 Versionen) des gesamten Quellcodes müssen vom Anbieter vorgehalten werden, sodass der Betrieb jederzeit ohne externe Abhängigkeiten fortgeführt werden kann. Das schließt alle Build-Skripte und Deployment-Werkzeuge ein. Autorisiertes Personal muss dauerhaft Zugang zu den notwendigen Entwicklungsumgebungen haben, und der Anbieter muss im Notfall in der Lage sein, Sicherheits-Patches eigenständig zu entwickeln und einzuspielen.
Souveränitätsgrade: ein Anwendungsmodell für die Praxis
Die sechs C3A-Domänen lassen sich zu einem Stufenmodell verdichten, das für Ausschreibungen und Beschaffungsentscheidungen praktisch anwendbar ist.
Stufe 1 – Datenresidenz: Server und Anbieter haben ihren Sitz in der EU oder in Deutschland. Entspricht SOV-1 (Basiskriterien) und SOV-3-01 (Datenstandort nachvollziehbar). Das ist das Minimum – und der Standard, den die meisten Angebote unter dem Begriff „Souveränität“ vermarkten.
Stufe 2 – Rechtliche Absicherung: Zusätzlich zu Stufe 1: Der Anbieter unterliegt keiner Rechtspflicht, Daten auf Anforderung ausländischer Behörden herauszugeben (kein CLOUD Act, kein FISA 702), Audit-Rechte durch nationale Behörden sind vertraglich verankert, und Kunden können Verschlüsselungsschlüssel außerhalb der Anbieterumgebung halten. Entspricht SOV-1 vollständig und SOV-2 und SOV-3. Diese Stufe ist schwerer zu bewerten als Stufe 1, weil sie nicht allein vom Rechenzentrumsstandort abhängt, sondern davon, unter welchem Recht der Anbieter effektiv operiert – auch dann, wenn Serverstandort und Mutterkonzern in verschiedenen Jurisdiktionen liegen.
Stufe 3 – Operative Unabhängigkeit: Zusätzlich: EU-Personal, EU-SOC, nachgewiesene Disconnect-Fähigkeit (jährlich getestet), unabhängige Konnektivität. Entspricht SOV-4 vollständig. Hier scheitern strukturell alle Plattformen, die für Sicherheitsupdates dauerhaft auf Verbindungen zu außereuropäischen Herstellern angewiesen sind. Ohne diese Updates wird der Betrieb nach kurzer Zeit unsicher – ein Punkt, den die großen Hyperscaler selbst für ihre eigenen Plattformen bestätigen.
Stufe 4 – Vollständige digitale Souveränität: Zusätzlich: transparente Lieferkette (SBOM, Hardware-Inventar), dokumentierte Ersetzbarkeit aller Komponenten oder Open-Source-Basis, unabhängige Weiterentwicklungsfähigkeit. Entspricht SOV-5 und SOV-6. Plattformen, die auf offenen Stacks aufbauen (OpenStack, Kubernetes, SCS), erfüllen diese Stufe strukturell.
Was das für Beschaffungsentscheidungen bedeutet
Der C3A-Katalog ist kein Pflichtrahmen, sondern ein Orientierungsinstrument. Anbieter können die Einhaltung der Kriterien durch Audits nachweisen. Das Nachweisverfahren soll sich dabei an der C5-Testierung orientieren. Cloud-Kunden können den Katalog nutzen, um für ihr konkretes Nutzungsszenario relevante Anforderungen zu identifizieren und ihr angestrebtes Souveränitätsniveau festzulegen.
Für Cloud-Verantwortliche bedeutet das konkret: Die meisten Angebote, die heute als „souverän“ vermarktet werden, erreichen Stufe 1 . C3A zeigt die weiteren Level auf. Die alleinige Frage „Wo stehen die Server?“ (Datenresidenz), reicht nicht aus. Relevant sind auch:
- Unter welchem Recht operiert der Anbieter effektiv? (SOV-1, SOV-2, Rechtliche Souveränität)
- Kann der Betrieb bei vollständiger Unterbrechung aller Verbindungen außerhalb der EU aufrechterhalten werden? (SOV-4, Operative Souveränität bzw. Autarkie)
- Ist die Technologiebasis so offen, dass ein Anbieterwechsel oder eine eigenständige Weiterentwicklung technisch realisierbar ist? (SOV-3, SOV-5, SOV-6, Technologische Souveränität)
Stufe 1 ist lediglich eine Compliance-Checkbox für den Datenschutz (DSGVO).
Stufe 3 und 4 sind strategische Sicherheitsvorgaben für kritische Infrastrukturen und staatliche Institutionen.
Wer Souveränität ernst meint, muss sich von der rein physischen Betrachtung lösen und die Verfügbarkeit, Integrität und Portabilität der Systeme unter allen politischen und rechtlichen Bedingungen sicherstellen. Die Nutzung von gehärteten, quelloffenen Frameworks ist dabei oft der einzige Weg, die technologische Kontrolle auf Stufe 4 tatsächlich zu gewährleisten.
ScaleUp und C3A
ScaleUp Technologies betreibt 3 Cloud-Standorte in Deutschland, unterliegt deutschem Recht, mit deutschem Personal und mit nach ISO-27001-Standard zertifizierten Prozessen. Die Cloud-Plattform basiert auf OpenStack und dem Sovereign Cloud Stack (SCS) – ScaleUp ist einer der ersten drei nach SCS IaaS-Standard zertifizierten Anbieter in Deutschland. Unser Cloud-Infrastruktur läuft auf offener OCP-Hardware (Open Compute Project) und auf Basis offener Standards auf allen Ebenen.
Wir erfüllen somit als einer von sehr wenigen deutschen Anbietern Stufe 3 und in wesentlichen Teilen auch Stufe 4 der notwendigen Souveränitäts-Stufen. Gerne besprechen wir das tiefergehend persönlich mit Ihnen.
Weiterführend: BSI C3A-Katalog | BSI-Pressemitteilung C3A | ZenDiS Whitepaper „Souveränitäts-Washing bei Cloud-Diensten erkennen“ (August 2025) | EuG T-553/23 (Latombe/DPF, September 2025) | EU Data Act Kapitel VII (anwendbar ab September 2025)
Dieser Artikel wurde mithilfe von KI erstellt und anschließend vollständig überarbeitet, sowie durch das Vier-Stufenmodell „C3A Cloud-Souveränität” ergänzt.
