EU Framework
Cloud Souveränität
Digitale Souveränität umfasst weit mehr als Datensouveränität, für die Uptime IT seit Unternehmensgründung einsteht.
Wer Datensouveränität erreicht, legt den Grundstein für echte digitale Souveränität – und stärkt damit nachhaltig Kontrolle, Sicherheit und Unabhängigkeit über die eigenen Daten.
Uptime IT erreicht einen hervorragenden SEAL-Level von 95,6 %1 und unterstützt somit hervorragend Ihre digitale Souveränität.
Souveränität messbar gemacht
Das EU-Framework zur „Cloud Sovereignty“ ist juristisch betrachtet kein Gesetz. Es wird allerdings einen quasi-verbindlichen Charakter entfalten, da das Ausschreibungsrecht der EU damit verknüpft ist.
Die Europäische Union hat im Oktober 2025 mit dem „Cloud Sovereignty Framework“ verbindliche Kriterien für die digitale Souveränität von Cloud-Diensten eingeführt.
Das Framework definiert acht zentrale Souveränitätsziele. Diese bewerten Anbieter anhand klarer Stufen, den SEALS-Level (Sovereignty Effective Assurance Levels) – mit direkten Auswirkungen auf Behörden und Unternehmen.
Die neuen Vorgaben schaffen Transparenz und Sicherheit, stellen Cloud-Anbieter aber auch vor konkrete Herausforderungen. Denn volle Souveränität wird es nicht geben, bis Hardware-Produktion und Lieferketten nur innerhalb der EU aufgebaut sind.
Die europäischen Souveränitätsziele
| Bezeichner | Ziel | Beschreibung |
|---|---|---|
| SOV-1 | Strategische Souveränität | Strategische Souveränität beschreibt den Grad, in dem die Dienste eines Cloud-Anbieters (oder Technologieunternehmens) im rechtlichen, finanziellen und industriellen Ökosystem der Europäischen Union verankert sind. Dabei werden die Stabilität der Eigentumsverhältnisse, der Einfluss der Unternehmensführung und die Übereinstimmung mit den strategischen Prioritäten der EU bewertet. |
| SOV-2 | Juristische & jurisdiktionelle Souveränität | Die rechtliche und gerichtliche Souveränität bewertet das rechtliche Umfeld, die Abhängigkeit von ausländischen Behörden und die Durchsetzbarkeit von Rechten, die die Services eines Technologieanbieters regeln. Sie bestimmt, inwieweit die Services in der europäischen Gerichtsbarkeit verankert und vor externen Rechtsansprüchen geschützt sind. |
| SOV-3 | Daten- und KI-Souveränität | Die Daten- und KI-Souveränität konzentriert sich auf den Schutz, die Kontrolle und die Unabhängigkeit von Datenbeständen und KI-Diensten innerhalb der EU. Sie befasst sich damit, wie Daten gesichert werden, wo sie verarbeitet werden und inwieweit Kunden die Kontrolle über KI-Funktionen behalten. |
| SOV-4 | Operative Souveränität | Die operative Souveränität misst die praktische Fähigkeit der EU-Akteure, eine Technologie unabhängig von ausländischer Kontrolle zu betreiben, zu unterstützen und weiterzuentwickeln. Sie konzentriert sich auf die Kontinuität des Betriebs, die Verfügbarkeit von Fachkräften und die Widerstandsfähigkeit gegenüber externen Abhängigkeiten. |
| SOV-5 | Lieferketten-Souveränität | Lieferketten-Souveränität bewertet die geografische Herkunft, Transparenz und Widerstandsfähigkeit der Technologie-Lieferkette und konzentriert sich dabei darauf, inwieweit kritische Komponenten und Prozesse unter der Kontrolle der EU bleiben oder Abhängigkeiten außerhalb der EU ausgesetzt sind. |
| SOV-6 | Technologische Souveränität | Technologische Souveränität bewertet den Grad an Offenheit, Transparenz und Unabhängigkeit der zugrunde liegenden Technologieplattform und stellt sicher, dass Akteure in der EU Lösungen interoperabel einsetzen, prüfen und weiterentwickeln können, ohne an ausländische proprietäre Systeme gebunden zu sein. |
| SOV-7 | Sicherheits- und Compliance-Souveränität | Sicherheits- und Compliance-Souveränität mißt das Ausmaß, in dem Sicherheitsmaßnahmen, Compliance-Verpflichtungen und Resilienzmaßnahmen innerhalb der EU kontrolliert werden, um die Unabhängigkeit von ausländischen Gerichtsbarkeiten und die langfristige Betriebssicherheit zu gewährleisten. |
| SOV-8 | Umweltbezogene Nachhaltigkeit | Die ökologische Nachhaltigkeit bewertet die Autonomie und Widerstandsfähigkeit von Cloud-Diensten auf lange Sicht in Bezug auf Energieverbrauch, Abhängigkeit und Rohstoffknappheit. |
Der Grad der Erfüllung: SEAL-Level
SEAL-Level Sovereignty Effectiveness Assurance Levels
| Souveränitätswirksamkeitsstufen | Beschreibung |
|---|---|
| SEAL-0 | Keine Souveränität: Services, Technologien oder Operationen unter der ausschließlichen Kontrolle von Nicht-EU-Dritten, die vollständig in Nicht-EU-Rechtsordnungen geregelt sind. |
| SEAL-1 | Jurisdiktionelle Souveränität: EU-Recht gilt formal mit begrenzter praktischer Durchsetzbarkeit; Services, Technologien oder Operationen unter der ausschließlichen Kontrolle von Nicht-EU-Dritten. |
| SEAL-2 | Datensouveränität: EU-Recht anwendbar und durchsetzbar, wobei wesentliche Abhängigkeiten von Nicht-EU-Ländern bestehen bleiben; Services, Technologien oder Operationen unter indirekter Kontrolle von Nicht-EU-Dritten. |
| SEAL-3 | Digitale Resilienz: EU-Recht anwendbar und durchsetzbar, EU-Akteure üben bedeutenden, aber nicht vollständigen Einfluss aus. Services, Technologien oder Operationen unter marginaler Kontrolle von Nicht-EU-Dritten. |
| SEAL-4 | Volle digitale Souveränität: Technologien und Operationen unter vollständiger EU-Kontrolle, unterliegen ausschließlich EU-Recht, ohne kritische Abhängigkeiten von Nicht-EU-Ländern. |
Assesment und Sovereignty Score
Neben den SEAL-Leveln führt die EU den Sovereignty Score ein – ein Bewertungssystem, das Cloud-Angebote nicht nur auf Mindeststandards prüft, sondern ihre Gesamtsouveränität quantitativ vergleicht. Selbst wenn alle Anbieter die geforderten SEAL-Level erfüllen, ermöglicht der Score eine qualitative Differenzierung: Wie unabhängig ist das Angebot? – technisch, rechtlich, operativ und strategisch? Welche Nachweise und Zusicherungen kann der Anbieter konkret vorlegen?
| Souveränitätsziele | Kriterien | Umsetzung bei Uptime IT (Uptime Cloud auf OpenStack) | Selbsteinschätzung |
|---|---|---|---|
| SOV-1 Strategische Souveränität | Sicherstellen, dass die Stellen, die maßgeblichen Einfluss auf Ihre Dienste haben, ihren Sitz im Zuständigkeitsbereich der EU haben | Uptime IT ist ein unabhängiges deutsches Unternehmen mit ausschließlich deutschen Gesellschaftern. | SEAL-4 |
| Prüfung der Zusicherungen im Zusammenhang mit einem Kontrollwechsel | Die AGB enthalten einen Passus, der den Kunden ein Sonderkündigungsrecht zusichert, falls Uptime IT an Investoren außerhalb der EU verkauft werden sollte. | SEAL-4 | |
| Abhängigkeitsgrad von Finanzierungen aus EU-Quellen | Es gibt keine Finanzierung außerhalb der EU. | SEAL-4 | |
| Umfang von Investitionen, Arbeitsplätzen und Wertschöpfung innerhalb der EU | Uptime IT hat seinen Sitz, alle Arbeitsplätze und die Wertschöpfung nur in Deutschland. | SEAL-4 | |
| Beteiligung an EU-Initiativen, Konsistenz mit den digitalen, grünen und industriellen Souveränitätszielen der EU | Uptime IT hat schon auf Datensouveränität gesetzt als die EU den Begriff noch nicht diskutierte. Wo sinnvoll und die EU auch mit mittelständischen Unternehmen zusammenarbeitet, beteiligen wir uns gerne. | SEAL-4 | |
| Fähigkeit, sichere Operationen gegen Aufforderungen zur Einstellung oder Aussetzung des Dienstes aufrechtzuerhalten, oder falls die Herstellerunterstützung entzogen oder unterbrochen wird | Die Uptime Cloud beruht auf Open Source wie dem KVM-Hypervisor und OpenStack. | SEAL-4 | |
| SOV-2 Juristische & jurisdiktionelle Souveränität | Das nationale Rechtssystem, das die Operationen und Verträge des Anbieters regelt | Uptime IT unterliegt ausschließlich deutschem/europäischem Recht. | SEAL-4 |
| Expositionsgrad gegenüber nicht-EU-Rechten mit grenzüberschreitender Reichweite (z. B. US CLOUD Act, Chinesisches Cybersicherheitsgesetz) | Keine Exposition. | SEAL-4 | |
| Vorhandensein rechtlicher, vertraglicher oder technischer Kanäle, über die nicht-EU-Behörden Zugriff auf Daten oder Systeme erzwingen könnten | Keine Kanäle. | SEAL-4 | |
| Anwendbarkeit internationaler Regime, die die Nutzung oder Übertragung einschränken könnten | Keine. | SEAL-4 | |
| Ort der Schaffung, Registrierung und Entwicklung geistigen Eigentums (EU vs. Drittländer), rechtliche Zuständigkeit, in der IP geschaffen und entwickelt wird | Ausschließlich Deutschland bzw. Open Source. | SEAL-4 | |
| SOV-3 Daten- und KI-Souveränität | Sicherstellen, dass nur der Kunde, nicht der Anbieter, effektive Kontrolle über den kryptografischen Zugriff auf seine Daten hat | Für die Kryptografie ist ausschließlich der Kunde verantwortlich. | SEAL-4 |
| Transparenz darüber, wann, wo und von wem auf Daten zugegriffen wird, inklusive Prüfbarkeit der Nutzung von KI-Modellen, Mechanismen zur irreversiblen Löschung von Daten mit nachweisbaren Belegen | Die Löschung der Kunden-Workload bei Vertragsende ist vertraglich zugesichert. | SEAL-4 | |
| Strenge Beschränkung der Speicherung und Verarbeitung auf europäische Jurisdiktionen, ohne Rückgriff auf Drittländer | Uptime IT betreibt seine Datacenter ausschließlich in Deutschland. | SEAL-4 | |
| Maß, inwieweit KI-Modelle und Datenpipelines unter EU-Kontrolle entwickelt, trainiert, gehostet und verwaltet werden, um die Abhängigkeit von Technologie-Stacks außerhalb der EU zu minimieren? | Sämtliche von Uptime IT aufgesetzten KI-Systeme basieren auf Open-Source-Modellen und werden von Uptime IT auf eigener Plattform betrieben. | SEAL-4 | |
| SOV-4 Operative Souveränität | Einfache Migration von Workloads oder Integration mit alternativen EU-kontrollierten Lösungen ohne Vendor-Lock-in | Es gibt keine Provider- oder Vendor-Lock-ins. Kunden können ihre Workload jederzeit in branchenüblichen Formaten herunterladen und migrieren. | SEAL-4 |
| Fähigkeit von EU-Betreibern, die Technologie ohne Beteiligung nicht-EU-Hersteller zu verwalten, zu warten und zu unterstützen | Nur Mitarbeiter von Uptime IT arbeiten an den Systemen. Es gibt keinerlei Remote-Zugänge für Hersteller. | SEAL-4 | |
| Vorhandensein eines EU-basierten Talentpools mit dem Know-how, um den Dienst zu betreiben und zu erhalten | Nur Mitarbeiter mit deutschem Pass arbeiten für Uptime IT. Es gibt keinerlei Remote-Zugänge für Hersteller. | SEAL-4 | |
| Sicherstellung, dass operativer Support ausschließlich aus der EU erbracht wird und EU-Rechtsrahmen unterliegt | Nur Mitarbeiter von Uptime IT arbeiten an den Systemen bzw. unterstützen die Kunden. Es gibt keinerlei Remote-Zugänge für Hersteller. | SEAL-4 | |
| Verfügbarkeit vollständiger technischer Dokumentation, Quellcode und operativem Know-how zur Gewährleistung langfristiger Autonomie | Die wichtigsten Komponenten sind Open Source. | SEAL-4 | |
| Standort und rechtliche Kontrolle kritischer Zulieferer oder Subunternehmer, die an der Serviceerbringung beteiligt sind | Sämtliche kritische Zulieferer haben ihren Sitz in Europa. | SEAL-4 | |
| SOV-5 Lieferketten-Souveränität | Geografische Herkunft wichtiger physischer Komponenten, Produktionsstandort – Länder, in denen Hardware hergestellt oder montiert wird | In der EU gibt es keine Hersteller für die benötigte Hardware. | SEAL-3 |
| Jurisdiktion und Herkunft des eingebetteten Codes, der die Hardware und Firmware steuert | Wo immer möglich, wird die Hardware mit Open-Source-Software betrieben. | SEAL-3 | |
| Herkunft der Software: Wo und von wem die Software architektonisch gestaltet und programmiert wird, Standort und Jurisdiktion, die die Software-Paketierung, -Verteilung und -Updates regeln | Es wird Open Source verwendet. | SEAL-4 | |
| Abhängigkeitsgrad von nicht-EU-Herstellern, Einrichtungen oder proprietären Technologien | Es wird Open Source verwendet. | SEAL-4 | |
| Transparenz über die gesamte Liefer- und Unterlieferantenkette, einschließlich Prüfungsrechten | Ist für keinen Hersteller realisierbar. | SEAL-3 | |
| SOV-6 Technologische Souveränität | Fähigkeit zur Integration mit anderen Technologien über gut dokumentierte und nicht-proprietäre APIs oder Protokolle, Grad der Einhaltung öffentlich verwalteter und weit verbreiteter Standards zur Reduzierung der Abhängigkeit von einzelnen Herstellern | Es wird Open Source verwendet. | SEAL-4 |
| Ob die Software unter offenen Lizenzen zugänglich ist, mit Rechten zur Prüfung, Modifikation und Weiterverbreitung, um Transparenz und Anpassungsfähigkeit zu gewährleisten | Open Source mit den entsprechenden Rechten. | SEAL-4 | |
| Transparenz über Design und Funktionsweise des Dienstes, einschließlich architektonischer Dokumentation, Datenflüsse und Abhängigkeiten | In den Vertragsanlagen und Whitepapern für die Kunden sowie in den Prüfberichten zu BSI C5 und ISAE 3402 sind die notwendigen Angaben gemacht. | SEAL-4 | |
| Grad der EU-Unabhängigkeit bei Hochleistungsrechenfähigkeiten, einschließlich Prozessoren, Beschleunigern und Software-Ökosystemen | Die Virtualisierungssoftware ist Open Source. Hardware, wie Prozessoren, werden in der EU nicht gefertigt. | SEAL-3 | |
| SOV-7 Sicherheits- & Compliance-Souveränität | Erlangung von EU- und international anerkannten Zertifizierungen (z. B. ISO, ENISA-Schemata) | Uptime IT bzw. die Uptime Cloud sind umfassend ISO-zertifiziert und haben Typ2-Testate nach BSI C5 und ISAE 3402. | SEAL-4 |
| Einhaltung von DSGVO, NIS2, DORA und anderen EU-Rahmenwerken | Uptime IT hält die DSGVO ein. Weitere EU-Rahmenwerke gelten nicht. | SEAL-4 | |
| Sicherheitsoperationszentren und Reaktionsteams, die ausschließlich der EU-Jurisdiktion unterliegen, Kontrolle über Sicherheitsüberwachung/Protokollierung – Fähigkeit des Kunden oder der EU-Behörde, Protokolle, Warnmeldungen und Überwachungsfunktionen direkt zu überwachen | Ausschließlich eigene Mitarbeiter arbeiten an den Assets. | SEAL-4 | |
| Transparente, zeitnahe und EU-konforme Meldung von Verstößen oder Schwachstellen, Wartungsautonomie – Fähigkeit, Sicherheitsupdates unabhängig von nicht-EU-Herstellern zu entwickeln, zu testen und anzuwenden | Uptime IT entwickelt keine eigene Software. Die eingesetzte Software zur Virtualisierung ist Open Source. Uptime IT wartet die Systeme selbst. | SEAL-4 | |
| Möglichkeit für EU-Unternehmen, unabhängige Sicherheits- und Compliance-Prüfungen mit uneingeschränktem Zugriff durchzuführen | Uptime IT ermöglicht seinen Kunden Sicherheits- und Compliance-Audits durchzuführen und sichert dies vertraglich zu. | SEAL-4 | |
| SOV-8 Umweltbezogene Nachhaltigkeit | Einsatz energieeffizienter Infrastruktur (z. B. niedriger PUE) und messbare Verbesserungsziele | Das Kriterium hat wenig mit digitaler Souveränität zu tun. Die EU-Colocation-Geber sind Rechenzentrumsbetreiber, die zahlreiche Umweltschutzziele systematisch verfolgen und die gesetzliche Anforderungen umsetzen. | SEAL-4 |
| Kreislaufwirtschaftspraktiken zur Wiederverwendung, Aufarbeitung und verantwortungsvollen Entsorgung von Hardware am Lebensende | Es werden nur zertifizierte Entsorgungsunternehmen beauftragt. | SEAL-4 | |
| Transparente Messung und Offenlegung von CO₂-Emissionen, Wasserverbrauch und anderen Nachhaltigkeitskennzahlen | Das Kriterium hat wenig mit digitaler Souveränität zu tun. Die EU-Colocation-Geber sind Rechenzentrumsbetreiber, die zahlreiche Umweltschutzziele systematisch verfolgen und die gesetzliche Auflagen umsetzen. | SEAL-3 |
Der Score wird aus gewichteten Teilergebnissen für alle acht Souveränitätsziele berechnet und entscheidet so über die Platzierung im Ausschreibungsranking.
| Souveränitätsziel | Gewichtung |
|---|---|
| Strategische Souveränität (SOV-1) | 15 % |
| Juristische & rechtliche Souveränität (SOV-2) | 10 % |
| Daten- und KI-Souveränität (SOV-3) | 10 % |
| Operative Souveränität (SOV-4) | 15 % |
| Lieferketten-Souveränität (SOV-5) | 20 % |
| Technologische Souveränität (SOV-6) | 15 % |
| Sicherheits- und Compliance-Souveränität (SOV-7) | 10 % |
| Umweltbezogene Nachhaltigkeit (SOV-8) | 5 % |
Die Lieferketten-Souveränität (20 %) und strategische Souveränität (15 %) sind die am stärksten gewichteten Kriterien, während ökologische Nachhaltigkeit (5 %) zwar berücksichtigt, aber weniger stark gewichtet wird.
Berechnung des Sovereignty Score: Der Score wird nach einer festen Formel berechnet und ergibt ein prozentuales Gesamtergebnis. Er dient als eigenständiges Qualitätskriterium in der Ausschreibung – neben klassischen Faktoren wie Preis oder Leistungsumfang. Ein höherer Score bedeutet eine bessere Bewertung der digitalen Souveränität.
Uptime IT kommt mit der Uptime Cloud, basierend auf OpenStack, auf einen Sovereignty Score von 95,6 %.
1 Wo immer möglich, wird die Hardware mit Open-Source-Software betrieben, z.B. bei Switches und Routern. Bei den Mainboards der Server ist dies nicht möglich und es gibt keine europäischen Anbieter.
Unsere Services
Uptime Cloud
Ihr eigenes Software Defined Data Center
Managed Hosting
Was Managed Hosting für Ihr Unternehmen tun kann
Kubernetes für Ihr Business
Diese Vorteile bietet Managed Kubernetes Ihrem Unternehmen