Die Europäische Kommission hat mit dem Cloud Sovereignty Framework erstmals ein strukturiertes Modell zur Bewertung von Cloud-Souveränität vorgelegt. Es definiert acht Souveränitätsziele und fünf Assurance-Stufen, die zu einem aggregierten Sovereignty Score für Beschaffungsentscheidungen führen.
Update vom 4. Mai: Das BSI hat am 27. April den Kriterienkatalog C3A (Criteria enabling Cloud Computing Autonomy) veröffentlicht, der sich am am EU CSF orientiert. Weiteres finden Sie im Abschnitt IV.
Digitale Souveränität ist seit Jahren ein zentrales Thema der europäischen Digitalpolitik. Doch was genau damit gemeint ist – und wie sie sich in konkreten Beschaffungsentscheidungen abbilden lässt –, blieb lange unscharf. Im Oktober 2025 hat die Generaldirektion Informatik (DG IT) der Europäischen Kommission mit dem Cloud Sovereignty Framework (CSF) in der Version 1.2.1 einen ersten systematischen Ansatz vorgelegt. Das Dokument wurde als Begleitunterlage einer internen Ausschreibung (Mini Challenge) mit einem Volumen von rund 180 Millionen Euro veröffentlicht.
Obwohl das Framework zunächst nur für ein einzelnes Vergabeverfahren entwickelt wurde, zeichnet sich ab, dass es weit über diesen Anlass hinaus Wirkung entfalten wird: als Orientierungsrahmen für nationale Beschaffungsstrategien, als Bezugspunkt für Zertifizierungsstandards und möglicherweise als Grundlage europäischer Gesetzgebung.
I. Was ist das Cloud Sovereignty Framework?
Das CSF ist ein Bewertungsmodell, das öffentlichen Auftraggebern ermöglicht, die Souveränität von Cloud-Diensten systematisch zu bewerten und in Vergabeverfahren zu berücksichtigen. Es kombiniert technische, organisatorische und juristische Aspekte in einem einheitlichen Rahmenwerk – ein Ansatz, der sich von bisherigen Modellen unterscheidet, die diese Dimensionen in der Regel getrennt betrachteten.
Das Framework stützt sich auf europäische Initiativen wie das Trusted Cloud Referential v2 von CIGREF, die Policy Rules und Architektur von Gaia-X, den European Cybersecurity Certification Framework (ENISA, NIS2, DORA) sowie Erfahrungen aus nationalen Cloud-Souveränitätsstrategien wie dem französischen „Cloud de Confiance“ und der deutschen „Souveränen Cloud“.
Das Bewertungsmodell besteht aus zwei Komponenten, die im Vergabeverfahren zusammenwirken:
- SEAL-Levels (Sovereignty Effectiveness Assurance Levels): Sie dienen als Mindestanforderung. Der Auftraggeber legt für jedes Souveränitätsziel ein Mindestniveau fest. Angebote, die dieses Niveau nicht über alle Ziele hinweg erreichen, werden ausgeschlossen.
- Sovereignty Score: Ergänzend zu den SEAL-Levels wird ein gewichteter Gesamtwert berechnet, der als Zuschlagskriterium in die Angebotswertung einfließt.
II. Die acht Souveränitätsziele
Das Framework definiert acht Sovereignty Objectives, die jeweils unterschiedliche Aspekte der Souveränität adressieren:
SOV-1: Strategic Sovereignty (15 %)
Bewertet, inwieweit die Dienste eines Cloud-Anbieters im europäischen Rechts-, Finanz- und Industrieökosystem verankert sind. Relevante Faktoren sind unter anderem die Eigentümerstruktur, der Sitz der Entscheidungsgremien innerhalb der EU, die Finanzierung aus EU-Quellen sowie die Fähigkeit, den Betrieb auch bei einem Rückzug des Anbieters aufrechtzuerhalten.
SOV-2: Legal & Jurisdictional Sovereignty (10 %)
Prüft die rechtliche Verankerung der Dienste in europäischen Rechtsordnungen und die Abschirmung gegenüber Rechtsansprüchen aus Drittstaaten. Bewertet wird werden Exposition gegenüber extraterritorialen Gesetzen wie dem US CLOUD Act oder dem chinesischen Cybersecurity Law sowie die Frage, ob Drittstaaten über rechtliche, vertragliche oder technische Kanäle Zugriff auf Daten oder Systeme erzwingen könnten.
SOV-3: Data & AI Sovereignty (10 %)
Adressiert den Schutz, die Kontrolle und die Unabhängigkeit von Datenbeständen und KI-Diensten innerhalb der EU. Dazu gehören die Hoheit des Kunden über kryptografische Schlüssel, die strenge Begrenzung von Speicherung und Verarbeitung auf europäische Jurisdiktionen sowie die Frage, inwieweit KI-Modelle und Datenpipelines unter EU-Kontrolle entwickelt und betrieben werden.
SOV-4: Operational Sovereignty (15 %)
Misst die praktische Fähigkeit europäischer Akteure, einen Cloud-Dienst unabhängig von ausländischer Kontrolle zu betreiben, zu warten und weiterzuentwickeln. Bewertet werden die Portabilität von Workloads, die Verfügbarkeit von Fachkräften in der EU sowie der Zugang zu vollständiger technischer Dokumentation und Quellcode.
SOV-5: Supply Chain Sovereignty (20 %)
Mit der höchsten Gewichtung im Framework bewertet dieses Ziel die geografische Herkunft, Transparenz und Resilienz der technologischen Lieferkette. Im Fokus stehen die Herstellungsorte von Hardware, die Herkunft und Jurisdiktion von Firmware und Software sowie die Einsehbarkeit der gesamten Zuliefererkette einschließlich Audit-Rechten.
SOV-6: Technology Sovereignty (15 %)
Bewertet den Grad an Offenheit, Transparenz und Unabhängigkeit im technologischen Stack. Relevante Faktoren sind die Verfügbarkeit nicht-proprietärer APIs, die Nutzung offener Standards, die Zugänglichkeit des Quellcodes unter offenen Lizenzen sowie die europäische Unabhängigkeit bei Hochleistungsrechenkapazitäten.
SOV-7: Security & Compliance Sovereignty (10 %)
Misst, inwieweit Sicherheitsoperationen und Compliance-Maßnahmen innerhalb der EU kontrolliert werden. Bewertet werden Zertifizierungen nach EU-Standards (ISO, ENISA), die Einhaltung von DSGVO, NIS2 und DORA, der Betrieb von Security Operations Centres unter EU-Jurisdiktion sowie die Fähigkeit, Sicherheitsupdates unabhängig von Drittstaatenanbietern zu entwickeln und einzuspielen.
SOV-8: Environmental Sustainability (5 %)
Bewertet die langfristige Nachhaltigkeit und Resilienz der Cloud-Dienste in Bezug auf Energieeffizienz, erneuerbare Energien, Kreislaufwirtschaft und die transparente Offenlegung von CO2-Emissionen. Dieses Ziel ist nicht unumstritten: Aus der Fachcommunity wird die Frage aufgeworfen, ob Umweltaspekte systematisch in ein Souveränitäts-Framework gehören.
III. Die fünf SEAL-Levels
Die Sovereignty Effectiveness Assurance Levels (SEAL) bilden eine aufsteigende Skala von SEAL-0 bis SEAL-4:
| Level | Bezeichnung | Beschreibung |
|---|---|---|
| SEAL-0 | No Sovereignty | Dienst, Technologie oder Betrieb unter ausschließlicher Kontrolle von Nicht-EU-Drittparteien, vollständig in Nicht-EU-Jurisdiktionen |
| SEAL-1 | Jurisdictional Sovereignty | EU-Recht formal anwendbar, aber mit eingeschränkter praktischer Durchsetzbarkeit; Kontrolle durch Nicht-EU-Drittparteien |
| SEAL-2 | Data Sovereignty | EU-Recht anwendbar und durchsetzbar, aber wesentliche Nicht-EU-Abhängigkeiten bestehen; indirekte Kontrolle durch Drittparteien |
| SEAL-3 | Digital Resilience | EU-Recht anwendbar und durchsetzbar, EU-Akteure üben wesentlichen, aber nicht vollständigen Einfluss aus; marginale Kontrolle durch Drittparteien |
| SEAL-4 | Full Digital Sovereignty | Technologie und Betrieb unter vollständiger EU-Kontrolle, ausschließlich EU-Recht unterworfen, keine kritischen Nicht-EU-Abhängigkeiten |
SEAL-4 wird in Fachkreisen als kaum erreichbar eingeschätzt. Insbesondere die Supply Chain Sovereignty (SOV-5) mit ihrer Gewichtung von 20 Prozent würde eine vollständige Lieferkette innerhalb der EU erfordern — eine Anforderung, die derzeit kein Anbieter durchgängig erfüllen kann.
IV. Der Sovereignty Score als Zuschlagskriterium
Der Sovereignty Score wird als gewichteter Gesamtwert aus den Bewertungen der einzelnen Souveränitätsziele berechnet. Die Gewichtung berücksichtigt, dass das Vergabeverfahren in bestimmten Bereichen bereits eigene Schutzmechanismen vorsieht — etwa bei der rechtlichen Jurisdiktion (SOV-2) und der Sicherheit (SOV-7), die daher mit jeweils nur 10 Prozent gewichtet werden.
Der Score fließt als Zuschlagskriterium in die Qualitätsbewertung des Angebots ein. Damit wird Souveränität nicht nur als Mindestanforderung (SEAL-Levels), sondern auch als wettbewerbsdifferenzierendes Merkmal in die Vergabeentscheidung integriert.
Die Abbildung differenzierter Zuschlagskriterien, wie sie das CSF als Sovereignty Score vorsieht, wird im cosinex Beschaffungsmanagementsystem über konfigurierbare Kriterienkataloge und Wertungsmethoden unterstützt.
V. Strategische Tragweite: Vom Einzelverfahren zur Blaupause
Das CSF wurde für ein konkretes Vergabeverfahren der EU-Kommission entwickelt. Seine Bedeutung geht jedoch über diesen Anlass hinaus:
Cloud & AI Development Act
Der geplante Cloud & AI Development Act der Europäischen Kommission — ursprünglich für Ende März 2026 angekündigt, mittlerweile auf voraussichtlich Mai 2026 verschoben — orientiert sich Berichten zufolge am CSF. Die wiederholte Verschiebung wird auf Uneinigkeit bei den Souveränitätsaspekten zurückgeführt.
BSI: C3A – Criteria enabling Cloud Computing Autonomy
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 27. April 2026 den Kriterienkatalog C3A (Criteria enabling Cloud Computing Autonomy) veröffentlicht. Die C3A ergänzen den bestehenden C5-Kriterienkatalog, der die Sicherheitseigenschaften von Cloud-Diensten adressiert, um eine Souveränitätsdimension: Während C5 die Frage beantwortet, wie sicher ein Cloud-Dienst ist, ermöglicht C3A eine Bewertung, ob er selbstbestimmt genutzt werden kann.
In Struktur und Zielsetzung orientieren sich die C3A am EU CSF. Die „contributing factors“ des Frameworks werden in überprüfbare Kriterien überführt und um ergänzende Aspekte erweitert. Die Nutzung der C3A setzt voraus, dass der Anbieter die C5-Kriterien erfüllt – die C3A bauen damit auf dem bestehenden Sicherheitsnachweis auf, statt ihn zu ersetzen.
Der Kriterienkatalog unterscheidet Pflichtkriterien und Zusatzkriterien. Welche davon im konkreten Beschaffungsfall relevant sind, hängt vom jeweiligen Anwendungszweck und dem angestrebten Souveränitätsniveau ab. Für einige Kriterien – etwa zur Lokalisierung von Rechenzentren und Betriebspersonal – können Auftraggeber wählen, ob sie einen Nachweis auf Basis Deutschland oder EU fordern.
Für Cloud-Anbieter eröffnet der Katalog die Möglichkeit, die Einhaltung der Kriterien durch ein Audit nachzuweisen; das BSI will dazu einen Audit-Leitfaden veröffentlichen, der sich an den etablierten C5-Testierungsprozessen orientiert. Für öffentliche Auftraggeber bieten die C3A erstmals ein national verankertes, prüfbares Werkzeug, um Souveränitätsanforderungen in Cloud-Beschaffungen zu operationalisieren – auch wenn die C3A selbst keine regulatorische Wirkung entfalten.
Eine deutschsprachige Fassung ist für Ende des zweiten Quartals 2026 angekündigt. Ob und in welchem Umfang die C3A in Beschaffungsrahmenverträge der öffentlichen Verwaltung – etwa im Kontext der Deutschen Verwaltungscloud – einbezogen werden, bleibt abzuwarten.
Einordnung durch den Bitkom
Der Bitkom erarbeitet derzeit Empfehlungen zu Cloud-Souveränitätskriterien. Die Kernlinien des Positionspapiers, das breiter gefasst ist als eine reine Kommentierung des CSF, umfassen unter anderem:
- Einen risikobasierten Ansatz, der das Souveränitätsniveau je nach Anwendungsfall differenziert
- Eine stärkere Gewichtung technischer und organisatorischer Kontrollen
- Die Ausrichtung an bestehenden Standards wie dem C5-Testat
- Die Sicherung offener und wettbewerblicher Märkte
- Die Position, dass Abhängigkeiten nicht grundsätzlich problematisch sind, sondern steuerbar und bewusst eingegangen werden müssen
VI. Bedeutung für die öffentliche Beschaffung
Das CSF markiert einen Paradigmenwechsel in der Art, wie digitale Souveränität in Vergabeverfahren berücksichtigt werden kann. Statt pauschaler Anforderungen an den Sitz oder die Nationalität eines Anbieters bietet es ein differenziertes, kriterienbasiertes Bewertungsmodell.
Für öffentliche Auftraggeber in Deutschland ergeben sich daraus mehrere Implikationen:
- Das Framework bietet erstmals eine Methodik, um Souveränitätsanforderungen als Eignungs- und Zuschlagskriterien in Vergabeverfahren zu operationalisieren.
- Die zu erwartenden BSI-Kriterien auf Basis des CSF könnten die Beschaffung von Cloud-Diensten für die öffentliche Verwaltung unmittelbar beeinflussen.
- Der risikobasierte Ansatz — unterschiedliche Souveränitätsniveaus je nach Anwendungsfall — entspricht dem vergaberechtlichen Grundsatz der Verhältnismäßigkeit.
- Die Integration von Souveränitätskriterien als gewichtetes Zuschlagskriterium (Sovereignty Score) ergänzt die etablierten Bewertungsmethoden um eine neue Dimension.
VII. Weiterführende Links
- Cloud Sovereignty Framework, Version 1.2.1 (EU-Kommission, DG IT, Oktober 2025)
- C5 — Cloud Computing Compliance Criteria Catalogue (BSI)
