Cloud Sovereignty Framework

Cloud Sovereignty Framework der Europäischen Kommission

Mit dem Cloud Sovereignty Framework hat die Europäische Kommission einen entscheidenden Schritt gesetzt, um digitale Souveränität im Cloud-Bereich überprüfbar und beschaffungsrelevant zu machen. Das im Oktober 2025 veröffentlichte Rahmenwerk übersetzt politische Zielsetzungen erstmals in ein praxisnahes Bewertungsmodell für Cloud-Dienste.

Was regelt das Cloud Sovereignty Framework?

Das Framework definiert acht Souveränitätsziele, die über klassische Datenschutz- oder Standortfragen hinausgehen. Bewertet werden unter anderem:

  • Strategische Souveränität Verankerung eines Cloud-Anbieters im EU-Rechts-, Finanz- und Industrieumfeld.
  • Rechtliche & jurisdiktionelle Souveränität
 Schutz vor extraterritorialen Eingriffen durch Drittstaatengesetze (z. B. US-Cloud Act).
  • Daten- & KI-Souveränität 
Kontrolle über Datenverarbeitung und KI-Funktionen innerhalb der EU.
  • Operative Souveränität
 Praktische Fähigkeit, Technologie eigenständig zu betreiben, zu warten und weiterzuentwickeln.
  • Lieferketten-Souveränität
 Transparenz und EU-Kontrolle über die Herkunft kritischer Komponenten.
  • Technologische Souveränität
 Unabhängigkeit im technologischen Stack, Vermeidung von „Vendor Lock-in“.
  • Sicherheits- & Compliance-Souveränität
 Sicherstellung, dass Sicherheits- und Compliance-Kontrollen unter EU-Recht stehen.
  • Umwelt & Nachhaltigkeit Langfristige Resilienz unter Energie- und Ressourcenaspekten.

Damit wird digitale Souveränität ganzheitlich verstanden – nicht nur als Frage des Rechenzentrumsstandorts, sondern als strukturelle Unabhängigkeit entlang des gesamten Cloud-Stacks.

SEAL-Level: Souveränität wird vergleichbar

Kern des Frameworks sind die Sovereignty Effective Assurance Levels (SEAL 0–4). Sie erlauben eine abgestufte Bewertung von Cloud-Angeboten:

  • SEAL 0: keine wirksame Souveränität
  • SEAL 4: vollständige digitale Souveränität ohne kritische Drittstaatabhängigkeiten

Cloud-Anbieter müssen für jedes der acht Ziele Mindest-SEAL-Level erreichen. Zusätzlich wird ein aggregierter Sovereignty Score berechnet, der als Qualitätskriterium in EU-Beschaffungsverfahren dient.

In unserer Arbeit mit SovereignTechPartners gibt das Cloud Sovereignty Framework die inhaltliche Orientierung. Quelle: https://commission.europa.eu/document/download/09579818-64a6-4dd5-9577-446ab6219113_de