Digitale Souveränität in der EU — Was das konkret heißt
Was digitale Souveränität 2026 wirklich bedeutet: SEAL-Framework, warum US-Cloud-Anbieter kein SEAL-4 erreichen können, und welche europäischen Alternativen es gibt — von Nextcloud bis souveränes Hosting.
Von runtiq Team
Europa befindet sich in einem Souveränitätsmoment. NIS2, DORA, das EU Cloud Sovereignty Framework, Gaia-X — alles konvergiert gleichzeitig. Zum ersten Mal gibt es echte Konsequenzen für die Abhängigkeit von US-Infrastruktur. Dieser Post erklärt, was Souveränität wirklich bedeutet, wie sie gemessen wird, und was du konkret tun kannst.
Was bedeutet digitale Souveränität?
Digitale Souveränität bedeutet Kontrolle über deine Daten, deine Infrastruktur und den rechtlichen Rahmen, der beides regelt. Es geht nicht nur darum, dass “Daten in der EU bleiben”. Es bedeutet, dass keine ausländische Regierung Zugang zu deinen Daten erzwingen kann.
Das Kernproblem ist der CLOUD Act. US-Unternehmen können nach dem CLOUD Act verpflichtet werden, Daten an US-Behörden herauszugeben — unabhängig davon, wo die Server physisch stehen. Das gilt für AWS, Azure, GCP, Microsoft 365 und Google Workspace — auch wenn du eine EU-Region auswählst. FISA 702 fügt eine weitere Ebene hinzu: US-Geheimdienste können auf Daten zugreifen, die von US-kontrollierten Unternehmen gehalten werden, ohne Gerichtsbeschluss.
eu-central-1 in Frankfurt auszuwählen ändert das nicht. Der Server steht in Deutschland. Das Unternehmen sitzt in den USA.
Das EU Cloud Sovereignty Framework
Die Europäische Kommission hat das Cloud Sovereignty Framework (v1.2.1, Oktober 2025) veröffentlicht, um zu definieren, was Souveränität in konkreten, messbaren Begriffen bedeutet. Es basiert auf zwei Komponenten: acht Souveränitätsziele (SOV-1 bis SOV-8), die definieren, was gemessen wird, und fünf Sovereignty Effective Assurance Levels (SEAL-0 bis SEAL-4), die definieren, wie gut jedes Ziel erfüllt wird.
Die 8 Souveränitätsziele
Jeder Cloud-Anbieter wird über acht Dimensionen bewertet. Gemäß der Framework-Spezifikation (v1.2.1) hat jedes Ziel ein Gewicht im Gesamtsouveränitätsscore:
| # | Ziel | Was gemessen wird | Gewicht |
|---|---|---|---|
| SOV-1 | Strategische Souveränität | EU-Verankerung, Governance, Eigentümerstabilität | 15% |
| SOV-2 | Rechtliche & jurisdiktionelle Souveränität | Schutz vor ausländischen Gesetzen (CLOUD Act, FISA 702) | 10% |
| SOV-3 | Daten- & KI-Souveränität | Kontrolle über Daten, Verschlüsselungsschlüssel, KI-Modelle innerhalb der EU | 10% |
| SOV-4 | Operative Souveränität | Fähigkeit, Technologie ausschließlich mit EU-Personal zu betreiben | 15% |
| SOV-5 | Lieferkettensouveränität | Herkunft und Transparenz von Hardware-/Software-Komponenten | 20% |
| SOV-6 | Technologiesouveränität | Offene Standards, Interoperabilität, kein Vendor Lock-in | 15% |
| SOV-7 | Sicherheit & Compliance | NIS2, DORA, DSGVO-Compliance, EU-basierte Sicherheitsoperationen | 10% |
| SOV-8 | Umweltnachhaltigkeit | Energieeffizienz, CO₂-Fußabdruck, Kreislaufwirtschaft | 5% |
Lieferkettensouveränität (SOV-5) hat mit 20% das höchste Gewicht. Das spiegelt den EU-Fokus auf die Reduzierung der Abhängigkeit von Nicht-EU-Hardware und -Software wider — eine Lektion aus Halbleiterengpässen und Bedenken über Firmware-Schwachstellen in Nicht-EU-Geräten. Technologiesouveränität (SOV-6) mit 15% belohnt Open-Source- und offene Standards-Ansätze. Zusammen machen diese beiden Ziele 35% des Gesamtscores aus.
SEAL-Level: Wie gut jedes Ziel erfüllt wird
Jeder Anbieter erhält einen SEAL-Level pro SOV-Ziel. Der Gesamtsouveränitätsscore ist eine gewichtete Summe über alle acht Ziele.
| Level | Name | Beschreibung |
|---|---|---|
| SEAL-0 | Keine Souveränität | Dienst unter ausschließlicher Kontrolle von Nicht-EU-Dritten, vollständig in Nicht-EU-Jurisdiktionen geregelt |
| SEAL-1 | Jurisdiktionelle Souveränität | EU-Recht gilt formal, aber mit begrenzter praktischer Durchsetzbarkeit; Dienst noch von Nicht-EU-Parteien kontrolliert |
| SEAL-2 | Datensouveränität | EU-Recht anwendbar und durchsetzbar, aber wesentliche Nicht-EU-Abhängigkeiten bleiben bestehen |
| SEAL-3 | Digitale Resilienz | EU-Recht durchsetzbar, EU-Akteure üben bedeutenden, aber nicht vollständigen Einfluss aus; marginale Nicht-EU-Kontrolle |
| SEAL-4 | Vollständige digitale Souveränität | Vollständige EU-Kontrolle, nur EU-Recht unterworfen, keine kritischen Nicht-EU-Abhängigkeiten |
Das SEAL-Framework ist wichtig, weil EU-Beschaffung beginnt, spezifische Level zu verlangen. EU-Beschaffung beginnt, SEAL-Level als Bewertungskriterien zu referenzieren. Das Cloud-III-Framework der EU-Kommission (mit einem Wert von bis zu 180 Millionen Euro) enthält Souveränitätsanforderungen, die mit dem SEAL-Framework abgestimmt sind. Weitere Details in der Cloud-III-Ausschreibungsdokumentation. NIS2-Lieferkettenanforderungen drängen Unternehmen dazu, den Souveränitätslevel ihrer Anbieter zu verifizieren. Regulierte Branchen werden bereits von Prüfern gefragt: “Welchen SEAL-Level hat dein Cloud-Anbieter?”
Der europäische Schwung
Die Zahlen sind bedeutend. Souveräne Cloud-Ausgaben in Europa sollen sich von 6,9 Milliarden Euro in 2025 auf 23,1 Milliarden Euro in 2027 verdreifachen. Wichtig: 80% dieser Ausgaben gehen in neue Workloads — keine Migrationen. Das ist eine Greenfield-Chance, kein schmerzhafter Übergang.
Der regulatorische Druck ist real und wächst:
- NIS2 betrifft 160.000+ Unternehmen in der EU (30.000+ allein in Deutschland), mit verpflichtenden Lieferkettensicherheitsanforderungen
- DORA macht Infrastruktur-Compliance im Finanzsektor ab Januar 2025 verpflichtend
- EU Cloud Rulebook, EUCS-Zertifizierungsschema und Gaia-X Trust Framework schaffen alle einen regulatorischen Schub in Richtung Souveränität
Unternehmen werden bereits von Kunden und Prüfern gefragt: “Wo sind deine Daten? Wer kann darauf zugreifen? Unter welcher Jurisdiktion?” Das sind keine theoretischen Fragen mehr.
Jenseits der Cloud: Souveränität in deinen täglichen Tools
Souveränität geht nicht nur darum, wo deine Server laufen. Es geht um jedes Tool, das dein Team täglich verwendet. Hier ist ein praktischer Überblick über europäische und Open-Source-Alternativen.
| Aktuelles Tool | Souveräne Alternative | Hinweise |
|---|---|---|
| Microsoft 365 / Outlook | Proton Mail | Schweiz, Ende-zu-Ende-verschlüsselt |
| Google Workspace | Tuta | Deutschland, Open Source |
| Beliebiger US-Anbieter | Stalwart Mail | Self-hosted, Rust-basiert, modernes Open Source |
Kernfrage: Kann ein US-Gericht deinen E-Mail-Anbieter zwingen, Daten herauszugeben? Bei jedem US-basierten Anbieter lautet die Antwort ja.
Office & Zusammenarbeit
| Aktuelles Tool | Souveräne Alternative | Hinweise |
|---|---|---|
| Microsoft 365 / Google Docs | Nextcloud | Deutschland, Open Source, 400.000+ Deployments |
| Google Docs | OnlyOffice | Lettland, Open Source, volle Office-Kompatibilität |
| Beliebiger US-Anbieter | CryptPad | Frankreich, Ende-zu-Ende-verschlüsselte Zusammenarbeit |
Nextcloud wird von der deutschen Bundesregierung verwendet. openDesk wird von ihr finanziert. Das sind keine Spielzeug-Alternativen.
Dateispeicherung
| Aktuelles Tool | Souveräne Alternative | Hinweise |
|---|---|---|
| Dropbox / Google Drive / OneDrive | Nextcloud Files | Self-hosted oder EU-gehostet |
| Beliebiger US-Anbieter | Tresorit | Schweiz/Ungarn, Ende-zu-Ende-verschlüsselt |
Videokonferenzen
| Aktuelles Tool | Souveräne Alternative | Hinweise |
|---|---|---|
| Zoom / Teams / Google Meet | Jitsi | Open Source, self-hostbar, kein Account nötig |
| Slack + Zoom / Teams | Element | Matrix-basiert, EU-gehostete Option, Element (Matrix) wird von der deutschen Bundeswehr (Quelle) und französischen Regierungsbehörden verwendet |
Passwort-Management
| Aktuelles Tool | Souveräne Alternative | Hinweise |
|---|---|---|
| LastPass / 1Password | Bitwarden | Open Source, self-hostbar |
| Beliebiger US-Anbieter | Vaultwarden | Self-hosted Bitwarden-kompatibler Server |
Komplette Workplace-Suite
| Aktuelles Tool | Souveräne Alternative | Hinweise |
|---|---|---|
| Microsoft 365 (vollständig) | openDesk | Von der deutschen Bundesregierung gefördert, Open Source, inkl. E-Mail, Docs, Chat, Video, Kalender, IAM |
| Google Workspace (vollständig) | Nextcloud Hub | Deutschland, Open Source, 400.000+ Deployments, von der deutschen Bundesregierung verwendet |
openDesk verdient besondere Erwähnung. Es wird von ZenDiS GmbH entwickelt — einem öffentlich finanzierten Unternehmen der deutschen Bundesregierung — als Teil der “Souveräner Arbeitsplatz”-Initiative. Es bündelt E-Mail, Dokumente, Chat, Videokonferenzen, Kalender und Identitätsmanagement in einer Open-Source-Plattform. Wenn du nach einem vollständigen Microsoft 365-Ersatz suchst, der von einer europäischen Regierung unterstützt wird, ist openDesk die ernsthafteste heute verfügbare Option.
Hosting & Infrastruktur
| Aktuelles Tool | Souveräne Alternative | Hinweise |
|---|---|---|
| AWS / Azure / GCP | OVHcloud (FR), STACKIT (DE), IONOS (DE), runtiq (AT) | EU-eigentum, SEAL-4-fähig |
| Heroku / Render / Vercel | Clever Cloud (FR), Corelix (FR), runtiq (AT) | EU PaaS mit Compliance-Dokumentation |
Was solltest du tun?
-
Deinen aktuellen Stack auditieren. Jedes SaaS-Tool auflisten und die Jurisdiktion des Anbieters prüfen. Wo ist das Mutterunternehmen eingetragen? Unterliegt es US-Recht?
-
Deinen SEAL-Level-Bedarf bestimmen. Regulierte Branche? Du brauchst wahrscheinlich mindestens SEAL-3. Sensible personenbezogene Daten, Gesundheitswesen oder öffentlicher Sektor? SEAL-4 ist das angemessene Ziel.
-
Mit den einfachen Wins beginnen. E-Mail und Dateispeicherung sind am einfachsten zu migrieren. Das Tooling ist ausgereift und der operative Aufwand ist gering.
-
Für Infrastruktur EU-native PaaS-Anbieter evaluieren, die Compliance-Dokumentation — AVV, Unterauftragsverarbeiterliste und SEAL-Level-Dokumentation — von Anfang an mitliefern.
-
Entscheidungen dokumentieren. NIS2 verlangt, dass du deine Lieferkettenentscheidungen begründest. Eine klare Aufzeichnung, warum du jeden Anbieter ausgewählt hast und wie seine Souveränitätslage ist, ist Teil deiner Compliance-Pflicht.
runtiq
runtiq ist für Teams gebaut, die SEAL-4-Souveränität ohne operativen Overhead brauchen. Österreichisches Unternehmen, ausschließlich EU-Infrastruktur, Compliance-Dokumentation von Anfang an inklusive. Wir kümmern uns um die Infrastruktur-Souveränität, damit du dich auf dein Produkt konzentrieren kannst — und weil runtiq native Container auf Kubernetes betreibt, ist es auch der einfachste Weg, deine eigenen souveränen Open-Source-Alternativen wie Nextcloud, Jitsi, Stalwart Mail oder Element zu hosten. Sieh dir unsere Preise an.