Das BSI hat mit den C3A erstmals konkrete Prüfkriterien für Cloud-Souveränität vorgelegt. Was das für regulierte Branchen bedeutet – und wo die Kriterien US-Hyperscalern klare Grenzen setzen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Vorschlag vorgelegt, auf den viele in der Branche gewartet haben: die „Criteria Enabling Cloud Computing Autonomy", kurz C3A. Damit gibt es erstmals einen konkreten, technisch fundierten Prüfkatalog, der Cloud-Souveränität nicht mehr als politisches Schlagwort behandelt, sondern als messbares Anforderungsprofil definiert. Der Zeitpunkt ist kein Zufall – die EU-Kommission will am 27. Mai den Cloud and AI Development Act (CAIDA) vorlegen, und das BSI positioniert sich mit den C3A als inhaltlicher Taktgeber für die europäische Debatte.
Warum reicht der bisherige C5-Katalog nicht mehr aus?
Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI ist seit Jahren der Referenzrahmen für Informationssicherheit in der Cloud – und inzwischen sogar gesetzlich verankert, etwa im Sozialgesetzbuch für die Gesundheits-IT. Was der C5 abdeckt, ist klar: Verschlüsselung, Zugriffskontrolle, Logging, Incident Management. Was er nicht abdeckt: die Frage, wer einen Cloud-Dienst im Ernstfall tatsächlich kontrolliert.
Genau hier setzt das BSI mit den C3A an. „Es geht uns um technisch tragfähige Lösungen, die konkrete Bedingungen formulieren", sagt Thomas Caspers, Vizepräsident des BSI. Weniger diplomatisch übersetzt: Das BSI will die Souveränitätsdebatte von Marketingversprechen auf prüfbare Fakten umstellen – bevor die EU-Kommission mit dem CAIDA eigene Vorgaben macht.
Was prüfen die C3A konkret?
Die C3A ergänzen den C5 um Kriterien, die drei zentrale Souveränitätsrisiken adressieren: Abhängigkeit von Nicht-EU-Jurisdiktion, fehlende Kontrolle über Betrieb und Personal sowie mangelnde Abkoppelungsfähigkeit. Einige der konkreten Anforderungen, die das BSI definiert hat:
Disconnect-Fähigkeit (SOV-4-09-C): Was passiert, wenn ein Cloud-Dienst von seiner außereuropäischen Betreiberplattform abgekoppelt wird? Laut C3A muss der Betrieb weiterlaufen – ohne Einbußen bei Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit. Es reicht nicht, das theoretisch zu behaupten: Der Betreiber muss einen dokumentierten Abkopplungsprozess vorhalten und diesen mindestens einmal jährlich testen. Wer das erweiterte Kriterium SOV-4-09-AC erfüllen will, muss die Ergebnisse dieser Tests auf Verlangen mit der zuständigen IT-Sicherheitsbehörde teilen.
Personalanforderungen (SOV-4-01-C1 / C2): Das Basiskriterium SOV-4-01-C1 verlangt, dass alle Mitarbeiter:innen mit logischem oder physischem Zugang zu Betriebsmitteln eine EU-Staatsbürgerschaft und einen EU-Wohnsitz haben. Die verschärfte Variante SOV-4-01-C2 schränkt das weiter ein: Wohnsitz innerhalb der Bundesrepublik. Letzteres zielt auf Hochsicherheitsumgebungen – Sicherheitsbehörden, Bundeswehr, Geheimschutz.
Jurisdiktion: Anbieter dürfen keiner Nicht-EU-Jurisdiktion unterliegen. Kein CLOUD Act, kein Foreign Intelligence Surveillance Act (FISA) Section 702, keine extraterritorialen Herausgabepflichten an Drittstaaten.
Woran sich die C3A orientieren – und welche Praxiserfahrungen einfließen
Das BSI hat die C3A nicht am Reißbrett entworfen. Sechs der acht Kriterien bauen auf Vorarbeiten der Generaldirektion DIGIT der EU-Kommission auf, die ursprünglich für die eigene IT-Infrastruktur der Kommission entwickelt wurden. Hinzu kommen Erfahrungen aus konkreten Souveränitätsprojekten der vergangenen Jahre, die das BSI und die französische Sicherheitsbehörde ANSSI (Agence nationale de la sécurité des systèmes d'information) gesammelt haben.
BSI-Vizepräsident Thomas Caspers benennt die Lehren offen: „Wir haben unter anderem am Beispiel der AWS European Sovereign Cloud gesehen, wie viele Mechanismen eine Rolle spielen, um eine Cloud betriebsfähig zu halten. Komplett entkoppelt wird man solche Angebote aber nicht über Jahre weiterbetreiben können." Das ist eine bemerkenswert klare Aussage – und faktisch eine Einschränkung der Souveränitätsversprechen, die US-Hyperscaler wie Amazon Web Services (AWS), Microsoft und Google derzeit für ihre europäischen „Sovereign Cloud"-Angebote abgeben.
Wer die Debatte um die AWS European Sovereign Cloud verfolgt hat, kennt das Muster: Investitionsversprechen in Milliardenhöhe, getrennte Infrastruktur, EU-Personal im Betrieb – aber am Ende bleibt die Frage, ob die Muttergesellschaft in den USA nicht doch Zugriff hat oder den Dienst deaktivieren kann.
Warum der Zeitpunkt strategisch ist: CAIDA und die EU-Debatte
Die C3A-Veröffentlichung steht in direktem Zusammenhang mit dem geplanten CAIDA. Die EU-Kommission unter Vizepräsidentin Henna Virkkunen will mit dem CAIDA klarere Kriterien für Cloud-Souveränität auf europäischer Ebene vorgeben. Beobachter:innen rechnen damit, dass nach der Vorstellung des Entwurfs Ende Mai eine intensive Lobby- und Verhandlungsphase beginnt – zwischen Mitgliedstaaten, Europaparlament und Industrie.
Das BSI geht mit den C3A bewusst vor: Wer den Referenzrahmen setzt, bevor Brüssel entscheidet, prägt die Debatte. Sollten die C3A-Kriterien in die Anhänge von EU-Regularien wie der Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2) oder dem Cybersecurity Act aufgenommen werden, wären sie faktisch europaweit verbindlich. Martin Bierwirth, Referatsleiter Cloud-Sicherheit beim BSI, ordnet ein: Die C3A seien „aus sich heraus nicht verbindlich", könnten aber „im Rahmen von Gesetzgebung oder bei Ausschreibungen zu Mindestanforderungen erklärt werden."
Das EU-Parlament hat mit seiner Resolution zur „European technological sovereignty and digital infrastructure" vom Januar 2026 die politische Richtung bereits vorgegeben – einschließlich der Forderung nach stärkerer europäischer Cloud-Infrastruktur und offenen Standards.
Was bedeuten die C3A für Organisationen mit sensiblen Daten?
Für Behörden, Betreiber:innen kritischer Infrastrukturen (KRITIS), Kliniken, Kanzleien und Finanzdienstleister verschiebt sich die Beweislast. Bisher war die Frage: „Ist unser Cloud-Anbieter C5-zertifiziert?" Künftig wird es heißen: „Erfüllt unser Cloud-Anbieter auch die Souveränitätsanforderungen – und wenn ja, welches Niveau?"
Drei Konsequenzen zeichnen sich ab:
Erstens wird „Sovereign Cloud" als Label nicht mehr reichen. Wer in Beschaffungsverfahren oder Audits nachweisen muss, dass sein Cloud-Dienst tatsächlich souverän betrieben wird, braucht prüfbare Nachweise – Disconnect-Tests, Personalzertifizierungen, Jurisdiktionsnachweise. Das Gutachten des Bundesinnenministeriums (BMI) hat bereits gezeigt, dass der Speicherort allein kein Schutzschild ist.
Zweitens werden Anbieter differenziert. Die C3A schaffen erstmals eine Skala. Es gibt Basisanforderungen – und es gibt verschärfte Anforderungen für Hochsicherheitsumgebungen. Nicht jede Organisation braucht SOV-4-01-C2, aber jede Organisation in regulierten Branchen sollte wissen, welches Niveau sie braucht und welches ihr Anbieter liefern kann.
Drittens steigt der Druck auf US-Hyperscaler. Caspers' Einschätzung, dass „komplett entkoppelte" Angebote auf US-Basis nicht über Jahre betriebsfähig bleiben, setzt ein Signal: Für die höchsten Souveränitätsstufen der C3A kommen Anbieter mit US-Mutterkonzern strukturell unter Druck. Das betrifft nicht nur den CLOUD Act und das damit verbundene Datenzugriffsrisiko – sondern auch das sogenannte Kill-Switch-Risiko: die Möglichkeit, dass Dienste durch Exportkontrollen, Sanktionen oder Lizenzserver von außen deaktiviert werden können.
Wo steht SecureCloud bei den C3A-Kriterien?
SecureCloud GmbH ist als deutscher Cloud-Anbieter ohne US-Mutterkonzern, ohne Drittstaatenkapital und ohne extraterritoriale Rechtsbindung strukturell so aufgestellt, dass die zentralen C3A-Anforderungen architektonisch erfüllt sind:
Die gesamte Infrastruktur wird auf eigener Hardware bei noris network AG in Nürnberg betrieben – mit Zertifizierungen nach TSI Level 4, PCI DSS (Payment Card Industry Data Security Standard) und ISAE (International Standard on Assurance Engagements) 3402. SecureCloud unterliegt ausschließlich deutschem und europäischem Recht. Alle Mitarbeiter:innen mit Zugang zu Betriebsmitteln haben ihren Wohnsitz in Deutschland. Ein Disconnect-Szenario im Sinne der C3A entfällt, weil SecureCloud keine außereuropäische Betreiberplattform nutzt, von der abgekoppelt werden müsste.
Dazu kommen bestehende Nachweise: BSI C5-Zertifizierung und ISO 27001-Konformität – also genau die Bausteine, auf denen die C3A aufsetzen. Für Organisationen, die den C3A-Prüfkatalog anlegen wollen, ist das ein Ausgangspunkt ohne strukturelle Vorbehalte.
Was Unternehmen jetzt tun sollten
Die C3A sind noch nicht gesetzlich verbindlich. Aber die Erfahrung mit dem C5 zeigt: Was als freiwilliger Katalog beginnt, kann schnell zum Beschaffungsstandard oder zur gesetzlichen Anforderung werden. Wer sich frühzeitig positioniert, vermeidet Nachrüstkosten und Ausschreibungsrisiken.
Drei Schritte, die jetzt sinnvoll sind: Prüfen Sie, welches C3A-Niveau Ihre Organisation angesichts von Schutzbedarf und Regulierung tatsächlich braucht. Fragen Sie Ihren Cloud-Anbieter konkret nach Disconnect-Fähigkeit, Personalstandort und Jurisdiktion – nicht nach Labels, sondern nach Nachweisen. Und dokumentieren Sie die Ergebnisse: In kommenden NIS2-Prüfungen oder Netzwerk- und Informationssicherheitsrichtlinie 2 (DORA)-Audits könnte genau das zum Prüfpunkt werden.
Fazit
Das BSI hat mit den C3A einen Katalog vorgelegt, der die Souveränitätsdebatte von der Marketingebene auf die Nachweisebene hebt. Für Organisationen in regulierten Branchen ist das eine gute Nachricht: Erstmals gibt es einen technisch fundierten Referenzrahmen, um „souverän" von „angeblich souverän" zu unterscheiden. Für US-Hyperscaler wird es enger – und für europäische Anbieter, die Souveränität architektonisch umgesetzt haben statt nur im Vertriebsdeck zu versprechen, wird es klarer. Die Frage ist nicht mehr, ob Cloud-Souveränität kommt. Die Frage ist, wie schnell sie zur Pflicht wird.