Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz)
Warum wichtig?
Bei US-kontrollierten Anbietern kann „Daten-Residency“ technisch gelöst sein, der juristische/behördliche Durchgriff über die Muttergesellschaft bleibt aber ein Risiko (z.B. FISA 702 / CLOUD Act). Relevanz hängt stark vom Use Case ab.
Wie gemessen?
Skala 0–5 + N/A:
- 0 = hohes Jurisdiktions-/Disclosure-Risiko (z.B. US control, FISA 702 exposure) ohne Mitigation
- 1 = erhöhtes Risiko, Mitigations unklar/weak
- 2 = einzelne Mitigations, aber Rest-Risiko hoch oder Scope eng
- 3 = Mitigations vorhanden (EU-Entity, Prozesse), aber Rest-Risiko bleibt relevant
- 4 = starke Mitigations (Legal/Operational Separation), Risiko reduziert und dokumentiert
- 5 = niedriges Risiko (EU control/ownership, keine relevante extraterritoriale Exposure) belegbar
- N/A = keine belastbare Evidence
Quellen / Evidence
Validierungsfragen (RFP)
- Wer ist Ultimate Parent / Controlling Interest? Welche Disclosure-/Disclosure-Notification Pflichten bestehen? Gibt es unabhängige EU-Governance, die Government Requests beurteilt?
Scores im Vergleich
| Anbieter | Score | |
|---|---|---|
| Hetzner Cloud | 5.0 | |
| IONOS Cloud | 5.0 | |
| OVHcloud Public Cloud (inkl. SecNumCloud) | 5.0 | |
| STACKIT | 5.0 | |
| Scaleway | 5.0 | |
| SysEleven OpenStack Cloud | 5.0 | |
| Cloud Temple Trusted Cloud | 5.0 | Kein US-Parent. 100% FR-owned. SecNumCloud 3.2 qualifiziert – erfordert Immunität gegen extraterritoriale Gesetze (FISA 702, CLOUD Act). Gaia-X Label Level 3 (erstes EU-Unternehmen). |
| Infomaniak Public Cloud | 5.0 | Schweizer Unternehmen. Kein US-Parent. Schweizer Recht (FADP). Kein FISA 702 / CLOUD Act Risiko. Schweiz bietet starken Datenschutz. Keine extraterritoriale Exposition. |
| T Cloud Public | 5.0 | |
| UpCloud | 5.0 | |
| noris Sovereign Cloud | 5.0 | |
| Delos Cloud | 4.0 | |
| Exoscale | 4.0 | |
| pluscloud open | 4.0 | |
| AWS European Sovereign Cloud | 1.0 | |
| Microsoft Sovereign Cloud | 1.0 | |
| Oracle EU Sovereign Cloud | 1.0 |