Sovereign Cloud

Was bedeutet Cloud-Souveränität? Warum reicht Datenresidenz allein nicht aus? Und wie lassen sich souveräne Cloud-Anbieter systematisch vergleichen? Diese Seite gibt einen Überblick – vom Begriff bis zur konkreten Bewertung.

Was ist „Sovereign Cloud“?

„Sovereign Cloud“ bezeichnet Cloud-Dienste, die so konzipiert und betrieben werden, dass sie den Souveränitätsanforderungen europäischer Organisationen gerecht werden. Im Kern geht es um drei Fragen:

Wo werden Daten verarbeitet und gespeichert – und wer hat physischen Zugang?
Wer kontrolliert Betrieb, Zugriff, Schlüssel und Governance – und unter welchem Recht?
Wie unabhängig ist der Dienst von Technologie, Lieferketten und Entscheidungen außerhalb der EU?

„Sovereign Cloud“ ist kein geschützter Begriff und kein Zertifikat. Jeder Anbieter kann sich so nennen. Deshalb ist ein strukturierter, nachweisbasierter Vergleich wichtig – genau dafür gibt es den Sovereign Cloud Compass.

Anbieter jetzt vergleichen Methodik & Evidenz

Warum ist Cloud-Souveränität wichtig?

Cloud-Dienste sind zur kritischen Infrastruktur für Verwaltung, Wirtschaft und Gesellschaft geworden. Gleichzeitig steigen die Anforderungen an den Schutz europäischer Daten und Prozesse:

Regulatorischer Rahmen: Die DSGVO, der EU Data Act, NIS-2, DORA und der geplante EUCS-Zertifizierungsrahmen stellen konkrete Anforderungen an Datenverarbeitung, Betrieb und Nachweispflichten in der Cloud.
Extraterritoriale Zugriffe: Gesetze wie der US CLOUD Act oder FISA 702 können dazu führen, dass Cloud-Anbieter mit Konzernstrukturen außerhalb der EU zur Herausgabe von Daten verpflichtet werden – auch wenn die Daten in EU-Rechenzentren liegen.
Strategische Autonomie: Abhängigkeiten von einzelnen Non-EU-Anbietern bergen Risiken bei geopolitischen Veränderungen, Lizenzpolitik oder Sanktionen. Souveräne Alternativen stärken die Handlungsfähigkeit europäischer Organisationen.
Vertrauen und Nachvollziehbarkeit: Öffentliche Verwaltung, Gesundheitswesen, Finanzsektor und KRITIS-Betreiber benötigen nachweisbare Kontrolle über Daten, Zugriff und Betriebspfade – nicht nur vertragliche Zusagen.

Die sechs Dimensionen von Cloud-Souveränität

Souveränität lässt sich nicht auf ein einzelnes Merkmal reduzieren. Der Compass bewertet jeden Anbieter entlang von sechs Dimensionen, die zusammen das Souveränitätsprofil ergeben:

Datenresidenz: Verarbeitung und Speicherung von Kundeninhalten und Metadaten innerhalb der EU/des EWR – einschließlich Backup, Logging und Supportzugriffen.
Operationale Souveränität: Betrieb, Support und Weiterentwicklung durch EU-Akteure; Unabhängigkeit von Non-EU-Betreibern und -Entscheidungen.
Recht & Jurisdiktion: Eigentümerstruktur, Sitz der Muttergesellschaft, vertragliche Verankerung in EU-Recht und Abschirmung gegen extraterritoriale Rechtsansprüche.
Kryptografie & Schlüsselkontrolle: Verschlüsselung ruhender und übertragener Daten, Schlüsselhoheit beim Kunden, Ausschluss von Betreiberzugriff auf Klartextdaten.
Transparenz & Prüfbarkeit: Verfügbarkeit von Prüfberichten (BSI C5, ISO 27001), unabhängige Überprüfung, Nachvollziehbarkeit von Architektur und Betriebsprozessen.
Portabilität & Interoperabilität: Offene Standards, API-kompatible Schnittstellen, Vermeidung von Anbieterabhängigkeit und Unterstützung von Multi-Cloud-Strategien.

Alle 31 Kriterien im Detail

Souveränitätsstufen (SEAL 0–4)

Das EU Cloud Sovereignty Framework (CSF v1.2.1) definiert fünf Stufen, die den Grad der europäischen Kontrolle über einen Cloud-Dienst abbilden:

SEAL 0 – Keine Souveränität: Dienst und Betrieb vollständig unter Kontrolle von Non-EU-Drittparteien, gesteuert in Non-EU-Jurisdiktionen.
SEAL 1 – Jurisdiktionelle Souveränität: EU-Recht gilt formal, aber mit begrenzter praktischer Durchsetzbarkeit; Dienst und Technologie weiterhin unter ausschließlicher Kontrolle von Non-EU-Akteuren.
SEAL 2 – Datensouveränität: EU-Recht anwendbar und durchsetzbar, aber wesentliche Non-EU-Abhängigkeiten bestehen; indirekte Kontrolle durch Non-EU-Drittparteien.
SEAL 3 – Digitale Resilienz: EU-Akteure haben substanziellen, aber nicht vollständigen Einfluss; marginale Restabhängigkeiten von Non-EU-Drittparteien.
SEAL 4 – Vollständige Digitale Souveränität: Technologie und Betrieb unter vollständiger EU-Kontrolle, ausschließlich EU-Recht unterworfen, ohne kritische Non-EU-Abhängigkeiten.

Der Compass berechnet für jeden Anbieter einen SEAL-Näherungswert auf Basis der acht CSF-Ziele (SOV‑1 bis SOV‑8). Dies ist eine datengestützte Annäherung – keine offizielle EU-Zertifizierung. Der Wert hilft, Anbieter in den Kontext des europäischen Souveränitätsrahmens einzuordnen.

Häufiges Missverständnis: „Daten in der EU = souverän“

Datenresidenz – also die Speicherung von Daten in EU-Rechenzentren – ist eine notwendige, aber keine hinreichende Bedingung für Cloud-Souveränität. Ein Dienst kann physisch in Frankfurt betrieben werden und dennoch:

einer Non-EU-Muttergesellschaft gehören, die extraterritorialen Herausgabepflichten unterliegt,
Betriebs- und Supportzugriffe aus Non-EU-Standorten ermöglichen,
kritische Steuerungsebenen (Control Plane) außerhalb der EU betreiben,
Schlüsselmaterial zentral verwalten, ohne dem Kunden echte Schlüsselhoheit zu geben.

Deshalb erfasst der Compass alle sechs Dimensionen – nicht nur den Standort.

15 Anbieter im Vergleich

Der Compass bewertet aktuell 15 Cloud-Anbieter mit Fokus auf den europäischen Markt – von EU-nativen Anbietern bis hin zu Souveränitätsangeboten globaler Hyperscaler:

AWS European Sovereign Cloud, Delos Cloud, Exoscale, Hetzner, IONOS Cloud, Microsoft Sovereign Cloud, noris Sovereign Cloud, Oracle EU Sovereign Cloud, OVHcloud, plusserver, Scaleway, STACKIT, SysEleven OpenStack Cloud, T Cloud Public, UpCloud.

Alle Bewertungen basieren auf öffentlich verfügbaren Nachweisen. Quellenlinks sind pro Anbieter und Kriterium auf den Detailseiten hinterlegt.

Anbieterübersicht Vergleichstabelle

Häufig gestellte Fragen

Was bedeutet „Sovereign Cloud“ genau?

„Sovereign Cloud“ bezeichnet Cloud-Dienste, die so konzipiert sind, dass europäische Organisationen die Kontrolle über Daten, Betrieb und Governance behalten. Das umfasst Datenresidenz, Eigentümerstruktur, Jurisdiktion, Betriebsmodell, Schlüsselkontrolle und technologische Unabhängigkeit. Es gibt keinen einheitlichen Standard – der Souveränitätsgrad variiert erheblich zwischen den Anbietern.

Ist Datenresidenz in der EU gleich Souveränität?

Nein. Datenresidenz ist eine notwendige, aber keine hinreichende Bedingung. Entscheidend sind zusätzlich: die Eigentümerstruktur und Jurisdiktion des Anbieters, der Standort von Betriebs- und Supportpersonal, die Kontrolle über Schlüsselmaterial, die Transparenz der Steuerungsebene sowie die Abhängigkeit von Non-EU-Unterauftragnehmern und -Technologielieferanten.

Was ist der Unterschied zwischen EU-Souveränitätsbewertung und SEAL-Näherungswert?

Die EU-Souveränitätsbewertung (0–100) ist ein gewichteter Gesamtwert auf Basis des EU Cloud Sovereignty Framework – unabhängig von Ihrer persönlichen Konfiguration. Der SEAL-Näherungswert (0–4) ist die konservativste Einzelbewertung über alle acht CSF-Ziele: Er zeigt die niedrigste Souveränitätsstufe, die ein Anbieter in einem Zielbereich erreicht. Beide Werte sind Annäherungen, keine offiziellen Zertifizierungen.

Was bedeutet N/A bei einem Kriterium?

N/A bedeutet, dass in der Datenbasis keine belastbaren Nachweise vorliegen, um eine Bewertung zu vergeben. Sie können im Compass einstellen, wie N/A behandelt wird: Tolerant (ignorieren), Konservativ (als 0 werten) oder Strikt (als 0 werten und bei Ausschlusskriterien zum Ausschluss führen).

Für wen ist der Compass gedacht?

Für IT-Entscheider, Architekten, Beschaffungsverantwortliche und Compliance-Teams, die Cloud-Anbieter unter Souveränitätsaspekten vergleichen müssen – etwa für öffentliche Verwaltung, KRITIS, Gesundheitswesen, Finanzsektor oder regulierte Branchen. Der Compass ersetzt keine Einzelfallprüfung, liefert aber ein transparentes Ausgangsbild mit Quellenlinks und Validierungsfragen.

Wie kann ich die Kriterien-Detailseiten nutzen?

Die Kriterien-Detailseiten dienen als Nachweisverzeichnis: Jedes Kriterium zeigt, warum es wichtig ist, wie es gemessen wird, welche Quellen herangezogen wurden und welche Validierungsfragen Sie im Rahmen einer Ausschreibung oder eines Audits stellen können. Sie sind nach den acht CSF-Zielen (SOV‑1 bis SOV‑8) gegliedert.

Woher stammen die Bewertungsdaten?

Alle Bewertungen basieren ausschließlich auf öffentlich verfügbaren Quellen: Produkt- und Compliance-Dokumentation, Zertifikate (z. B. BSI C5, ISO 27001), Atteste und offizielle Anbieter-Stellungnahmen. Der Compass ist unabhängig – es bestehen keine Werbe- oder Provisionsbeziehungen mit den verglichenen Anbietern. Details finden Sie auf der Methodik-Seite.

What does cloud sovereignty mean? Why is data residency alone not enough? And how can sovereign cloud providers be compared systematically? This page provides an overview – from the concept to concrete evaluation.

What is “Sovereign Cloud”?

“Sovereign Cloud” refers to cloud services that are designed and operated to meet the sovereignty requirements of European organisations. At its core, it addresses three questions:

Where is data processed and stored – and who has physical access?
Who controls operations, access, keys, and governance – and under which jurisdiction?
How independent is the service from technology, supply chains, and decisions outside the EU?

“Sovereign Cloud” is neither a protected term nor a certification. Any provider can use the label. That is why a structured, evidence-based comparison matters – and that is exactly what the Sovereign Cloud Compass provides.

Compare providers now Methodology & evidence

Why does cloud sovereignty matter?

Cloud services have become critical infrastructure for government, industry, and society. At the same time, requirements for the protection of European data and processes are increasing:

Regulatory framework: The GDPR, EU Data Act, NIS-2, DORA, and the upcoming EUCS certification scheme impose concrete requirements on data processing, operations, and evidence obligations in the cloud.
Extraterritorial access: Laws such as the US CLOUD Act or FISA 702 can compel cloud providers with corporate structures outside the EU to disclose data – even when that data resides in EU data centres.
Strategic autonomy: Dependencies on single non-EU providers carry risks related to geopolitical changes, licensing policies, or sanctions. Sovereign alternatives strengthen the ability of European organisations to act.
Trust and traceability: Public administration, healthcare, the financial sector, and critical infrastructure operators require demonstrable control over data, access, and operational paths – not just contractual promises.

The six dimensions of cloud sovereignty

Sovereignty cannot be reduced to a single attribute. The Compass evaluates each provider along six dimensions that together form the sovereignty profile:

Data Residency: Processing and storage of customer content and metadata within the EU/EEA – including backup, logging, and support access.
Operational Sovereignty: Operations, support, and evolution by EU actors; independence from non-EU operators and decisions.
Legal & Jurisdiction: Ownership structure, parent company domicile, contractual anchoring in EU law, and shielding from extraterritorial legal claims.
Cryptography & Key Control: Encryption of data at rest and in transit, customer key sovereignty, exclusion of operator access to plaintext data.
Transparency & Auditability: Availability of audit reports (BSI C5, ISO 27001), independent verification, traceability of architecture and operational processes.
Portability & Interoperability: Open standards, API-compatible interfaces, avoidance of vendor lock-in, and support for multi-cloud strategies.

All 31 criteria in detail

Sovereignty levels (SEAL 0–4)

The EU Cloud Sovereignty Framework (CSF v1.2.1) defines five levels that describe the degree of European control over a cloud service:

SEAL 0 – No Sovereignty: Service and operations entirely under the control of non-EU third parties, governed in non-EU jurisdictions.
SEAL 1 – Jurisdictional Sovereignty: EU law formally applies but with limited practical enforceability; service and technology remain under exclusive control of non-EU actors.
SEAL 2 – Data Sovereignty: EU law applicable and enforceable, but material non-EU dependencies remain; indirect control by non-EU third parties.
SEAL 3 – Digital Resilience: EU actors have meaningful but not full influence; marginal residual dependencies on non-EU third parties.
SEAL 4 – Full Digital Sovereignty: Technology and operations under complete EU control, subject only to EU law, with no critical non-EU dependencies.

The Compass calculates an EU-SEAL proxy for each provider based on the eight CSF objectives (SOV‑1 through SOV‑8). This is a data-driven approximation – not an official EU certification. It helps place providers in the context of the European sovereignty framework.

Common misconception: “Data in the EU = sovereign”

Data residency – storing data in EU data centres – is a necessary but not a sufficient condition for cloud sovereignty. A service can run physically in Frankfurt and still:

be owned by a non-EU parent company subject to extraterritorial disclosure obligations,
allow operational and support access from non-EU locations,
run critical control plane components outside the EU,
manage key material centrally without giving customers real key sovereignty.

That is why the Compass covers all six dimensions – not just location.

15 providers compared

The Compass currently evaluates 15 cloud providers focused on the European market – from EU-native providers to sovereignty offerings by global hyperscalers:

All ratings are based on publicly available evidence. Source links are provided per provider and criterion on the detail pages.

Provider overview Comparison table

Frequently asked questions

What does “Sovereign Cloud” mean exactly?

“Sovereign Cloud” refers to cloud services designed so that European organisations retain control over data, operations, and governance. This encompasses data residency, ownership structure, jurisdiction, operating model, key control, and technological independence. There is no uniform standard – the degree of sovereignty varies considerably between providers.

Is data residency in the EU the same as sovereignty?

No. Data residency is necessary but not sufficient. Equally important are: the provider’s ownership structure and jurisdiction, the location of operations and support staff, control over key material, transparency of the control plane, and dependency on non-EU sub-processors and technology suppliers.

What is the difference between the EU sovereignty score and the SEAL proxy?

The EU sovereignty score (0–100) is a weighted aggregate based on the EU Cloud Sovereignty Framework – independent of your personal configuration. The SEAL proxy (0–4) is the most conservative single rating across all eight CSF objectives: it shows the lowest sovereignty level a provider reaches in any target area. Both values are approximations, not official certifications.

What does N/A mean for a criterion?

N/A means that there is no reliable evidence in the dataset to assign a score. You can configure how N/A is treated in the Compass: Tolerant (ignore), Conservative (count as 0), or Strict (count as 0 and exclude for dealbreaker criteria).

Who is the Compass for?

IT decision-makers, architects, procurement leads, and compliance teams who need to compare cloud providers from a sovereignty perspective – for example in public administration, critical infrastructure, healthcare, the financial sector, or other regulated industries. The Compass does not replace individual due diligence but provides a transparent starting point with source links and validation questions.

How can I use the criteria detail pages?

The criteria detail pages serve as an evidence index: each criterion explains why it matters, how it is measured, which sources were used, and which validation questions you can pose during an RFP or audit. They are organised by the eight CSF objectives (SOV‑1 through SOV‑8).

Where does the rating data come from?

All ratings are based exclusively on publicly available sources: product and compliance documentation, certificates (e.g. BSI C5, ISO 27001), attestations, and official provider statements. The Compass is independent – there are no advertising or commission relationships with the compared providers. Details are available on the methodology page.