Oracle EU Sovereign Cloud

Provider-spezifische Quellen (Sources) aus der aktuellen Datenbasis. Nutze den Compass für Scoring, Gewichtung und A/B-Vergleich.

Im Compass vergleichen

Provider Snapshot

Kriterium	Score
Kundeninhalte in der EU	4.0
Kundenerstellte Metadaten in der EU	4.0
Physisch & logisch getrennt	4.0
EU-basierter Betrieb & Support	5.0
Keine kritischen Non-EU Abhängigkeiten	4.0
Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft)	1.0
Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz)	1.0
Lokale Vertragseinheit & EU-Governance (Betriebsmodell)	4.0
Unabhängiges Beratungsgremium	3.0
EU-Stammzertifizierungsstelle / Vertrauensdienste	1.0
BSI C5	2.0
ISO 27001 / ISMS	3.0
IT-Grundschutz (BSI)	0.0
SecNumCloud (ANSSI)	0.0
Offene Standards / API-Portabilität	1.0
Dienstportfolio-Tiefe	5.0
Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE)	4.0
Prüfberichte / Nachweispaket	3.0
Richtliniendurchsetzung (Leitplanken)	4.0
Standardmäßig verweigert / Sicher ab Werk	1.0
Unabhängige Überprüfung (kontinuierlich)	2.0
Blackbox-Risiko (Betriebs-/Steuerungsebene)	3.0
Ausschluss von Betreiberzugriff (Workload-Umfang)	4.0
IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs)	4.0
SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s)	4.0
Beobachtbarkeit (Logs/Metriken/Traces, Alerting)	4.0
Limits/Quotas (Transparenz & Erhöhung)	3.0
Referenzarchitekturen / Landing Zones	4.0
Integrierter Sicherheits-Stack	5.0
Energieeffizienz / PUE & Zielwerte	2.0
CO₂-/Wasser-Reporting + erneuerbare Energiequellen	3.0

Scope: Cloud Suite (IaaS+PaaS)

Kundeninhalte in der EU: 4.0; Kundenerstellte Metadaten in der EU: 4.0; Physisch & logisch getrennt: 4.0; EU-basierter Betrieb & Support: 5.0; Keine kritischen Non-EU Abhängigkeiten: 4.0; Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft): 1.0; Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz): 1.0; Lokale Vertragseinheit & EU-Governance (Betriebsmodell): 4.0; Unabhängiges Beratungsgremium: 3.0; EU-Stammzertifizierungsstelle / Vertrauensdienste: 1.0; BSI C5: 2.0; ISO 27001 / ISMS: 3.0; IT-Grundschutz (BSI): 0.0; SecNumCloud (ANSSI): 0.0; Offene Standards / API-Portabilität: 1.0; Dienstportfolio-Tiefe: 5.0; Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE): 4.0; Prüfberichte / Nachweispaket: 3.0; Richtliniendurchsetzung (Leitplanken): 4.0; Standardmäßig verweigert / Sicher ab Werk: 1.0; Unabhängige Überprüfung (kontinuierlich): 2.0; Blackbox-Risiko (Betriebs-/Steuerungsebene): 3.0; Ausschluss von Betreiberzugriff (Workload-Umfang): 4.0; IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs): 4.0; SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s): 4.0; Beobachtbarkeit (Logs/Metriken/Traces, Alerting): 4.0; Limits/Quotas (Transparenz & Erhöhung): 3.0; Referenzarchitekturen / Landing Zones: 4.0; Integrierter Sicherheits-Stack: 5.0; Energieeffizienz / PUE & Zielwerte: 2.0; CO₂-/Wasser-Reporting + erneuerbare Energiequellen: 3.0

Sources / Evidence

Kundeninhalte in der EU

EU Sovereign Cloud: Regionen in Frankfurt & Madrid; Daten/Processing in EU (stated).

Kundenerstellte Metadaten in der EU

Separater Realm (Frankfurt, Madrid). Physisch/logisch/kryptographisch isoliert. Keine Verbindungen zu anderen OCI-Realms. Metadaten verbleiben in EU.

Physisch & logisch getrennt

EU Sovereign Cloud als eigener OCI Realm: physisch/logisch/cryptographisch getrennt (stated).

EU-basierter Betrieb & Support

Operators EU residents, employed by EU legal entity; support/ops in EU (stated).

Keine kritischen Non-EU Abhängigkeiten

EU Sovereign Cloud Realm: keine expliziten/impliziten Verbindungen zu anderen Realms (stated).

Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft)

Oracle (US) – EU Sovereign Cloud wird ueber EU legal entities betrieben, aber ultimate parent non-EU (stated).

Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz)

Ultimate Parent: Oracle Corporation (US). Auch bei EU-Residency/Realm bleibt US-Jurisdiktion als Risiko-Faktor (FISA 702 / CLOUD Act) grundsätzlich relevant.

Lokale Vertragseinheit & EU-Governance (Betriebsmodell)

EU Sovereign Cloud realm: Operators EU residents, employed by EU legal entity; EU governance committee (stated).

Unabhängiges Beratungsgremium

EU Governance Committee fuer EU Sovereign Cloud (stated).

EU-Stammzertifizierungsstelle / Vertrauensdienste

Separater kryptographischer Realm. Aber: Root CA / Trust Services nicht explizit als EU-basiert dokumentiert.

BSI C5

EU Sovereign Cloud: Einbindung in Audit-Programme inkl. BSI C5 (stated; nach Abschluss der Audits).

ISO 27001 / ISMS

Oracle Cloud Compliance Programme (ISO 27001 u.a.) – EU SC: align/extend je Scope (stated).

IT-Grundschutz (BSI)

US-Unternehmen (Oracle Corp.). IT-Grundschutz (BSI/deutscher Standard) nicht adressiert.

SecNumCloud (ANSSI)

N/A.

Offene Standards / API-Portabilität

OCI APIs/Services primaer proprietaer; Portabilitaet v.a. ueber Architektur/Container (partial).

Dienstportfolio-Tiefe

Aehnliche Services/Experience wie OCI Commercial (stated) – grosse Breite.

Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE)

EU Sovereign Cloud: 2 Regionen (Frankfurt & Madrid) mit gegenseitiger HA/DR (stated).

Prüfberichte / Nachweispaket

Compliance-/Audit-Programme (SOC/ISO etc) kommuniziert; EU SC spezifische Evidence auf Anfrage (partial).

Richtliniendurchsetzung (Leitplanken)

OCI: Security Zones/Cloud Guard erzwingen Security-Policies (Guardrails) dokumentiert.

Standardmäßig verweigert / Sicher ab Werk

Default Security List enthält initiale Regeln (nicht strikt 'deny-by-default'); Härtung erforderlich.

Unabhängige Überprüfung (kontinuierlich)

EU Sovereign Cloud in Audit-Programmen (SOC/ISO etc.) genannt (periodisch); keine Continuous/maschinenlesbare Verification öffentlich belegt.

Blackbox-Risiko (Betriebs-/Steuerungsebene)

EU Governance Committee. 150+ OCI Services transparent. Separate Realm-Architektur. EU-only Operations (EU-Bewohner, EU-Rechtseinheiten).

Ausschluss von Betreiberzugriff (Workload-Umfang)

OCI Confidential Computing (Confidential VMs) dokumentiert (Workload-Scope; TEE/verschlüsselter Memory) – geeignet zur Operator-Access-Reduktion.

IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs)

OCI hat IaC/SDK/CLI; EU SC nutzt gleiche Tools/Change Mgmt (stated).

SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s)

OCI DevOps/Services: EU SC aligned mit OCI Change Mgmt (stated).

Beobachtbarkeit (Logs/Metriken/Traces, Alerting)

OCI Monitoring/Logging typischerweise verfuegbar; EU SC aehnliche Experience (stated).

Limits/Quotas (Transparenz & Erhöhung)

Quotas/Limits in OCI dokumentiert; EU SC vermutlich analog (partial).

Referenzarchitekturen / Landing Zones

Referenzarchitekturen/Best Practices in OCI Docs (partial).

Energieeffizienz / PUE & Zielwerte

Sustainability-Programm/Commitments veröffentlicht, aber keine PUE-KPIs/Targets für OCI in Quelle ausgewiesen. (Quelle: Oracle Cloud Sustainability)

CO₂-/Wasser-Reporting + erneuerbare Energiequellen

Renewable-Energy Commitments/Programme beschrieben; kein konsistentes Carbon/Wasser-Reporting (Scopes/WUE) in Quelle. (Quelle: Oracle Cloud Sustainability)

Service catalog (core/security)

Expand to load the service catalog …