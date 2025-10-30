Die Europäische Kommission hat einen Rahmen zur Bewertung der Souveränität von Cloud-Angeboten vorgestellt. Das Tool soll insbesondere öffentlichen Auftraggebern bei der Beurteilung von Cloud-Diensten helfen. Die Initiative wird jedoch von Branchenvertretern kontrovers diskutiert. Denn Kritiker sagen, dass das Regelwerk, dass eigentlich europäische Tech-Souveränität in Sachen Cloud will, in Wirklichkeit die US-Anbieter wie Amazon Web Services, Microsoft oder Google Cloud in der Bewertung bevorzugen würde.

Grundlagen des Bewertungssystems

Für die Entwicklung des Frameworks stützte sich die EU-Kommission auf verschiedene bestehende Initiativen. Dazu gehören das Cloud-Vertrauensreferenzmodell v2 des Cigref, die Gaia-X-Architektur sowie europäische Cybersicherheits-Zertifizierungsrahmen (Enisa, NIS2, Dora). Auch nationale Ansätze wie das französische SecNumCloud der Anssi und das deutsche C5-Konzept des BSI flossen in die Überlegungen ein.

Die acht Bewertungskriterien

Das Bewertungssystem basiert auf acht Hauptkriterien:

Verankerung des Anbieters im rechtlichen, finanziellen und industriellen Ökosystem der EU

Rechtliche Exposition gegenüber ausländischen Behörden

Schutz und Kontrolle von Daten und KI-Diensten

Operative Souveränität (Betriebskontinuität, Verfügbarkeit von Kompetenzen, Resilienz)

Supply Chain

Technologische Abhängigkeiten

Sicherheit und Compliance

Nachhaltigkeitsbemühungen

Jedem Kriterium wird ein Servicelevel (SEAL) von 0 bis 4 zugeordnet. Dabei bedeutet 0 vollständige Kontrolle durch nicht-europäische Dritte, während 4 vollständige EU-Kontrolle ohne kritische Abhängigkeiten außerhalb der EU repräsentiert.

Die Kriterien fließen unterschiedlich gewichtet in den Souveränitätsscore ein. Die Supply Chain macht 20 Prozent der Gesamtbewertung aus, operative, strategische und technologische Aspekte jeweils 15 Prozent. Rechtliche und Compliance-Kriterien werden mit 10 Prozent bewertet.

Kritik der Branchenvereinigung CISPE

Der europäische Cloud-Anbieterverband CISPE übt deutliche Kritik am vorgestellten Framework. Die Organisation bemängelt die mangelnde Transparenz der Methodik. Nach Einschätzung der CISPE würden unter dem aktuellen System ausländische Hyperscaler bessere Bewertungen erhalten als europäische Anbieter.

CISPE vermutet eine bewusste Ausrichtung der Methodik, um öffentlichen Einrichtungen die Beibehaltung bestehender Verträge mit AWS, Microsoft und Google Cloud zu erleichtern. Zudem werden einige Ziele als unrealistisch eingestuft, beispielsweise die vollständige EU-Kontrolle über jede Hardware-Komponente. Die Berechnung des Scores durch eine gewichtete Durchschnittsbildung wird als intransparent kritisiert.

„Das ist mehr als eine Parodie: Die EU hat ein „Cloud-Souveränitäts-Rahmenwerk“ entwickelt, um die Technologie der EU souveräner zu machen, und insbesondere einen „Souveränitäts-Score“ eingeführt, um zu bestimmen, ob ein bestimmter Cloud-Anbieter souverän ist oder nicht (was dann darüber entscheidet, ob er Regierungsaufträge erhält)“, so der französische Startup-Unternehmer Arnaud Bertrand.

„Das Problem ist jedoch, dass die Art und Weise, wie dieser Souveränitäts-Score berechnet wird, AWS, Microsoft und Google tatsächlich HÖHERE Werte einbringt als europäischen Cloud-Anbietern. Das liegt daran, dass die Formel zur Berechnung des Scores nur 10 % Gewicht auf „rechtliche und jurisdiktionelle Souveränität”, während sie 65 % Gewicht auf operative Fähigkeiten, Lieferkettendokumentation und technische Standards legt – genau die Bereiche, in denen AWS/Azure/Google aufgrund ihrer enormen Größe Vorteile gegenüber europäischen Anbietern haben. Man kann vollständig der ausländischen Gerichtsbarkeit unterliegen und dennoch insgesamt eine hervorragende Bewertung erzielen“, so Bertrand

Gemischte Reaktionen

In den sozialen Medien fallen die Reaktionen unterschiedlich aus. Einige Stimmen würdigen die Initiative als ersten Schritt zur Definition und Messung von Cloud-Souveränität. Andere sehen Verbesserungsbedarf, insbesondere bei der Gewichtung rechtlicher Aspekte und der Berücksichtigung extraterritorialer Regulierungen.

Diskutiert wird auch die Bewertung hybrider Angebote wie Bleu oder S3NS in Frankreich, die europäische Unternehmen mit amerikanischer Technologie kombinieren. IT-Verantwortliche und Anbieter werden sich voraussichtlich mit dem neuen Rahmenwerk auseinandersetzen und die Methodik in ihre Bewertungssysteme integrieren müssen.