Das BSI macht Cloud-Souveränität messbar und rückt den Datenzugriff ins Zentrum

von

Das Bundesamt für Sicherheit in der Informationstechnik hat heute einen Punkt konkret gemacht, der in vielen Cloud-Debatten sonst schnell abstrakt bleibt. Mit den neuen C3A, den „Criteria enabling Cloud Computing Autonomy“, will das BSI beschreibbar und überprüfbar machen, wann ein Cloud-Dienst nicht nur leistungsfähig oder sicher, sondern auch selbstbestimmt nutzbar ist. Genau darin steckt der Datenschutzkern des Falls. Denn wenn Hersteller oder Betreiber digitaler Infrastrukturen dauerhaft Einfluss auf Systeme und Daten ihrer Kunden behalten, geht es nicht mehr bloß um technische Architektur. Es geht um reale Zugriffsmöglichkeiten, um Abhängigkeiten über Jurisdiktionen hinweg und um die Frage, ob Unternehmen ihre Datenverarbeitung im Ernstfall noch wirksam kontrollieren können.

Die BSI-Pressemitteilung formuliert das ungewöhnlich klar. Neben Cyber Crime und Cyber Conflict rücke eine dritte Bedrohungsart stärker in den Fokus: „Cyber Dominance“, also die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf Systeme und Daten ihrer Kunden zu behalten. Das ist für Datenschutzverantwortliche ein bemerkenswerter Befund. Viele Diskussionen um Cloud-Souveränität wurden lange als industriepolitisch oder sicherheitsstrategisch behandelt. Das BSI verbindet den Begriff nun sichtbar mit praktischer Selbstbestimmtheit auf Ebene des Cloud-Kunden. Unternehmen sollen anhand der C3A prüfen können, ob ein Angebot im jeweiligen Risikokontext überhaupt so nutzbar ist, dass Verfügbarkeit, Vertraulichkeit, Governance und Exit-Fähigkeit nicht an der Betreiberabhängigkeit scheitern.

Aus Cloud-Architektur wird heute ein prüfbarer Datenzugriffs- und Governance-Fall

Wichtig ist dabei, dass das BSI keinen neuen Rechtsakt veröffentlicht hat. Die C3A entfalten laut Behörde keine regulative Wirkung. Gerade deshalb sind sie operativ interessant. Sie übersetzen eine oft diffuse Souveränitätsdebatte in objektivierbare Kriterien, die sich für Beschaffung, Audits und Risikoanalysen nutzen lassen. Das BSI knüpft ausdrücklich an das Modell geteilter Verantwortung zwischen Cloud-Anbieter und Cloud-Kunde an. Genau dieses Modell begrenzt in der Praxis, wie frei Kunden über ihre technische und organisatorische Kontrolle tatsächlich noch entscheiden können.

Heise zeigt in seiner Einordnung, warum das mehr ist als ein Papier für Spezialisten. Dort werden konkrete Prüfpunkte genannt, etwa die Fähigkeit zum dokumentierten Disconnect von außereuropäischen Betreiberstrukturen, die Frage nach Nicht-EU-Jurisdiktionen, die Lokalisierung von Personal oder die Übergabefähigkeit in besonderen Krisenszenarien. Übersetzt in Datenschutzsprache geht es damit um kontrollierbare Datenflüsse, um Zugriffsmöglichkeiten Dritter, um Nachweisbarkeit und um die Glaubwürdigkeit von Exit-Szenarien. Ein Anbieter kann heute technisch in Europa betrieben werden und dennoch so organisiert sein, dass Kunden bei Betrieb, Wartung oder Eskalation nicht wirklich unabhängig handeln können.

Genau hier liegt der Wert des heutigen BSI-Schritts. Der Fall ist nicht bloß ein weiteres Signal zugunsten europäischer Clouds. Er macht aus Souveränität ein prüfbares Kriterienset. Für Datenschutz und Compliance ist das relevant, weil viele Organisationen ihre Risikoabwägungen bislang zu grob führen. Oft wird gefragt, ob ein Dienst funktional passt, zertifiziert ist oder vertraglich sauber eingebunden werden kann. Seltener wird präzise geprüft, wer im laufenden Betrieb auf welche Weise Einfluss behält, wie belastbar die Entkopplung im Krisenfall wäre und ob die dokumentierte Autonomie nur auf dem Papier existiert.

Für Unternehmen wird der Ernstfall damit vom Sonderthema zur Beschaffungsfrage

Das BSI beschreibt selbst Auswahloptionen zur Lokalisierung, etwa beim Standort von Rechenzentren oder bei der Herkunft des Betriebspersonals. Je nach Kritikalität und eigener Risikoanalyse können Cloud-Nutzende entscheiden, ob ihnen eine EU-Lokalisierung genügt oder ob strengere Anforderungen nötig sind. Das ist für Unternehmen unmittelbar anschlussfähig. Wer Gesundheitsdaten, sensible Kundendaten, Entwicklungsdaten, Produktionsinformationen oder kritische Verwaltungsprozesse in die Cloud verlagert, kann sich künftig schlechter darauf zurückziehen, Souveränität sei nur ein politisches Schlagwort. Sie wird zu einer dokumentationsfähigen Beschaffungs- und Governance-Frage.

Gerade für datenschutzintensive Organisationen ist das heikel. Wenn die Fähigkeit zur Abkopplung, zum Anbieterwechsel oder zur eigenständigen Weiterführung des Betriebs nicht belastbar belegt werden kann, berührt das nicht nur Resilienz, sondern auch Rechenschaftspflichten. Datenschutz-Compliance hängt dann stärker davon ab, ob ein Unternehmen seine Dienstleisterabhängigkeit tatsächlich verstanden und bewertet hat. Das betrifft nicht nur Hyperscaler, sondern jeden Cloud-Verbund, bei dem Rechtsräume, Betreiberketten und technische Zuständigkeiten auseinanderfallen.

Hinzu kommt, dass das BSI die C3A ausdrücklich als Ergänzung zum C5 versteht. Sicherheit allein reicht also nicht. Ein Dienst kann sicherheitstechnisch gut aufgestellt sein und trotzdem an Souveränitätskriterien scheitern, die für die Selbstbestimmtheit des Kunden entscheidend sind. Genau dieser Unterschied ist für die Praxis wertvoll. Er zwingt dazu, Datensicherheit und Datenkontrolle nicht länger in einem Topf zu verrühren.

Datenschutz in der Cloud beginnt damit schon vor dem Vertragswerk

Für Unternehmen ist die Botschaft deshalb klar. Wer sensible Kundendaten, Gesundheitsdaten, Entwicklungsinformationen oder kritische Verwaltungsprozesse in die Cloud verlagert, sollte nicht nur auf Zertifikate und Vertragsklauseln schauen. Entscheidend sind drei praktisch überprüfbare Fragen: Welche außereuropäischen oder externen Einflusskanäle bleiben im Betrieb bestehen, wie realistisch ist ein getesteter Exit- oder Disconnect-Prozess und welche Souveränitätsanforderungen sind für das eigene Risikoprofil wirklich unverzichtbar? Wer diese Fragen sauber beantwortet, verbessert nicht nur seine Sicherheitslage, sondern auch seine datenschutzrechtliche Verteidigungsfähigkeit.

Das BSI hat keinen neuen Zwang geschaffen, aber einen neuen Maßstab in die Debatte gelegt. Sobald Souveränität nicht mehr nur als politischer Wunsch, sondern als prüfbare Bedingung für den Umgang mit Systemen und Daten beschrieben wird, verschiebt sich auch die Verantwortung in den Unternehmen. Cloud-Auswahl wird dann nicht erst beim Vertrag, sondern schon bei Kontrollarchitektur, Zugriffspfaden und Krisenfähigkeit zum Datenschutzthema.

Bildquelle: Pexels

Quellen: BSI, „C3A: BSI veröffentlicht Souveränitätskriterien für Cloud-Dienste“; heise online, „BSI definiert, wann eine Cloud wirklich souverän ist“.

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

DSGVOScan News-Rückblick 24.04.2026

vom 24. April 2026

Ihr tägliches Update zu den Datenschutzthemen in Deutschland und Europa. Die CNIL zieht Online-Wahlen enger und macht Black-Box-Wahlsoftware zum Risiko Frankreichs Datenschutzaufsicht macht elektronische Wahlen … Weiterlesen

mehr lesen
Alle Blog-Einträge ansehen