SEAL-Framework der EU: Wie souverän ist Ihr Cloud-Dienst?

Was ist das EU Cloud Sovereignty Framework?

Das EU Cloud Sovereignty Framework ist ein Referenzrahmen der Europäischen Kommission. Er soll Unternehmen und Behörden dabei unterstützen, die digitale Souveränität von Cloud-Diensten systematisch zu bewerten.  

Digitale Souveränität ist ein seit Jahren diskutiertes Thema – das EU Cloud Sovereignty Framework macht es anhand von klar definierten Souveränitätszielen erstmals messbar, damit Europa seine strategische Abhängigkeit von außereuropäischen Anbietern verringern und die Kontrolle über die eigenen Daten sicherstellen kann. Das zentrale Bewertungsinstrument dieses Frameworks sind die Sovereignty Effectiveness Assurance Levels (SEAL).

Was ist das SEAL-Framework?

Das SEAL-Framework ist ein mehrstufiges Bewertungssystem, mit dem Unternehmen das Maß an Souveränität bestimmen können, das ein Cloud-Anbieter gewährleistet. So können Entscheider beispielsweise bei Ausschreibungen sicherstellen, dass Anbieter bestimmte Mindestanforderungen an digitale Souveränität erfüllen.

Das Framework setzt die Bestrebungen der EU nach mehr digitaler Souveränität in Europa direkt um. Es definiert, was Souveränität im Kontext von Cloud-Diensten konkret bedeutet, und macht sie messbar.  

So funktioniert die Bewertung anhand von Souveränitätszielen und ihrer Gewichtung

Das Framework basiert auf insgesamt acht Souveränitätszielen (Sovereignty Objectives). Jedes Ziel ist entsprechend der strategischen Prioritäten der EU gewichtet.  

So ist die Lieferkette am höchsten gewichtet, denn sie bildet das Fundament für digitale Souveränität. Rechtliche und Compliance-Aspekte sind zwar ebenfalls wichtig. Hier geht die EU allerdings davon aus, dass diese bereits durch andere Regularien wie DSGVO und das NIS2-Gesetz abgedeckt sind.

Jedes dieser Ziele wird auf einer fünfstufigen Skala bewertet:

• SEAL-0 – Keine Souveränität: Service, Technologie oder Betrieb stehen unter ausschließlicher Kontrolle von Nicht-EU-Drittanbietern und werden vollständig außerhalb der EU-Jurisdiktion geregelt.

• SEAL-1 – Jurisdiktionelle Souveränität: EU-Recht gilt formal, ist aber nur begrenzt durchsetzbar. Service, Technologie oder Betrieb stehen unter ausschließlicher Kontrolle von Nicht-EU-Drittanbietern.

• SEAL-2 – Datensouveränität: EU-Recht ist anwendbar und durchsetzbar, es bestehen aber weiterhin materielle Abhängigkeiten von Nicht-EU-Akteuren. Service, Technologie oder Betrieb stehen unter indirekter Kontrolle von Nicht-EU-Drittanbietern.

• SEAL-3 – Digitale Resilienz: EU-Recht ist anwendbar und durchsetzbar. EU-Akteure üben einen bedeutsamen, aber nicht vollständigen Einfluss aus. Service, Technologie oder Betrieb stehen unter marginaler Kontrolle von Nicht-EU-Drittanbietern.

• SEAL-4 – Volle digitale Souveränität: Technologie und Betrieb stehen unter vollständiger EU-Kontrolle und unterliegen ausschließlich EU-Recht. Es gibt keine kritischen Abhängigkeiten von außerhalb der EU.

Anforderungskatalog für Deutschland

Das EU Cloud Sovereignty Framework ist der europäische Standard. In Deutschland konkretisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Anforderungen des Frameworks mit dem C3A-Katalog (Criteria enabling Cloud Computing Autonomy). Der C3A bietet deutschen Unternehmen und Behörden praktische, prüfbare Kriterien zur Bewertung von Cloud-Anbietern.

Das C3A unterscheidet sich vom EU-Framework dadurch, dass es die abstrakten Souveränitätsziele in konkrete, prüfbare Kriterien übersetzt und sich dabei auf sechs Ziele konzentriert. SOV-7 (Security) wird durch bestehende BSI-Standards wie C5 abgedeckt, SOV-8 (Umwelt) liegt außerhalb des BSI-Fokus.

Beispiel SOV-3 (Data Sovereignty):

• Das EU-Framework sagt: „Kontrolle und Schutz von Datenbeständen“

• Der C3A-Katalog konkretisiert: „Der Cloud-Anbieter MUSS ermöglichen, dass Kundendaten ausschließlich in der EU gespeichert und verarbeitet werden.“

Welche Vorteile bringt das SEAL-Framework für Unternehmen?

Das EU SEAL Framework überführt die bisher oft vagen Diskussionen um digitale Souveränität in konkrete, messbare Kriterien. Für private Unternehmen ist das Framework derzeit noch nicht bindend, es könnte jedoch perspektivisch zum Standard für regulierte Branchen und öffentliche Ausschreibungen werden.  

Bereits jetzt können Unternehmen jedoch profitieren:

• Fundierte Entscheidungen: Unternehmen erhalten ein standardisiertes Werkzeug, um Cloud-Anbieter objektiv zu vergleichen. Anhand der der SEAL-Stufen können sie genau prüfen, welches Maß an Souveränität ein Dienst bietet.  

• Effiziente Compliance: Das Framework orientiert sich an EU-Regularien wie DSGVO, NIS2 und DORA. Durch die Wahl eines Anbieters mit hohem SEAL-Rating können deutsche Unternehmen einfacher nachweisen, dass sie ihre Sorgfaltspflichten in Bezug auf Datenschutz und Cybersicherheit erfüllen.  

• Ganzheitliche Risikobetrachtung: Das Framework zwingt Unternehmen, über den reinen Speicherort ihrer Daten hinauszudenken. Es lenkt den Fokus auf die gesamte Lieferkette, den operativen Betrieb und die rechtliche Kontrolle. Deutsche Unternehmen werden dadurch angehalten, eine 360-Grad-Sicht auf ihre Cloud-Strategie zu entwickeln und können versteckte Abhängigkeiten und Risiken einfacher aufdecken.

Auch deutsche und europäische Cloud-Anbieter können profitieren: Wer künftig souveräne Dienste anbietet, sichert sich einen klaren Wettbewerbsvorteil. Gleichzeitig wächst mit dem neuen Framework der Druck auf internationale Anbieter, die sich stärker auf die Anforderungen des europäischen Markts einstellen müssen, wenn sie weiterhin erfolgreich bleiben wollen.  

Was müssen Unternehmen in Deutschland jetzt tun?

Für Unternehmen in Deutschland, die unabhängiger agieren und in möglichst sicheren Cloud-Umgebungen arbeiten wollen, bietet das SEAL-Framework eine gute Grundlage, um einen Souveränitäts-Fahrplan abzuleiten. So können Sie dabei vorgehen:

Schritt 1: Interne Bestandsaufnahme & Schutzbedarfsanalyse

Bevor Sie die Souveränität externer Anbieter bewerten, sollten Sie über Ihre eigenen Abhängigkeiten im Klaren sein. Folgende Fragen helfen dabei:

• Daten klassifizieren: Welche Daten verarbeitet Ihr Unternehmen? Handelt es sich um öffentliche Marketingdaten, interne Prozessdaten, personenbezogene Kundendaten oder hochsensible Forschungs- und Entwicklungsdaten? Jede Kategorie hat einen anderen Schutzbedarf.

• Prozesse bewerten: Welche Geschäftsprozesse sind von welchen Daten und IT-Systemen abhängig? Welche Prozesse sind absolut kritisch für den Fortbestand des Unternehmens?

• Abhängigkeiten analysieren: Wo liegen Ihre Daten und Anwendungen heute? Bei welchen Anbietern? Welche rechtlichen und operativen Abhängigkeiten bestehen bereits? Gibt es möglicherweise eine Schatten-IT, von der Sie vielleicht gar nichts wissen?

Schritt 2: Cloud-Strategie neu bewerten und definieren

Auf Basis der Bestandsaufnahme gilt es anschließend, die eigene Cloud-Strategie zu schärfen. Definieren Sie für sich, welches SEAL-Level für welche Datenkategorie und welchen Prozess erforderlich ist. Eine differenzierte Strategie ist oft am sinnvollsten, da in der Regel nicht alle Daten SEAL-4 benötigen.

Legen Sie außerdem fest, ob eine Hybrid- oder Multi-Cloud-Strategie am besten zu Ihren Anforderungen passt. Eine Multi-Cloud-Strategie hat den Vorteil, dass Sie souveräne europäische Anbieter für kritische Prozesse und Hyperscaler für unkritische Aufgaben kombinieren können.

Schritt 3: Marktanalyse und Anbieter-Due-Diligence

Nutzen Sie als nächstes das SEAL-Framework als lose Checkliste für Ihre individuelle Anbieterauswahl. Fragen Sie potenzielle und bestehende Cloud-Anbieter dazu am besten direkt nach ihrer Positionierung zum EU-SEAL-Framework. Seriöse Anbieter haben in der Regel schnell eine Antwort darauf.

Gehen Sie für sich schrittweise die Souveränitätsziele und die Kriterien des C3A-Katalogs durch und fordern Sie vom Anbieter konkrete Nachweise für jeden Punkt. Achten Sie dabei auf relevante Zertifizierungen wie das C5-Testat des BSI.

Schritt 4: Vertragsgestaltung und rechtliche Absicherung

Sowohl bei neuen als auch bestehenden Verträgen müssen die Erkenntnisse vertraglich fixiert werden. Erweitern Sie bei bestehender Zusammenarbeit zum Beispiel das Service Level Agreement um die zugesicherten Souveränitäts-Eigenschaften. Definieren Sie auch, was passiert, wenn der Anbieter seine Souveränitäts-Zusagen bricht oder von einem Nicht-EU-Unternehmen übernommen wird.  

Schritt 5: Kontinuierliches Monitoring

Überprüfen Sie regelmäßig, ob Ihre Anbieter die vertraglichen Zusagen noch einhalten. Beobachten Sie außerdem die geopolitische Lage und behalten Sie Änderungen in der Gesetzgebung im Auge, die Ihre Cloud-Strategie beeinflussen könnten. Benennen Sie dafür am besten eine verantwortliche Person oder ein Team für das Thema Cloud-Souveränität, das diesen Prozess steuert.

Alles über NIS2

Was bedeutet die NIS2-Richtlinie für Ihr Unternehmen und welche Pflichten kommen mit der NIS2-Umsetzung in Deutschland auf Sie zu? Unser Leitfaden bringt Klarheit.

Zum kostenlosen NIS2-Leitfaden

Hürden und Grenzen des SEAL-Frameworks

Das SEAL-Framework ist ein wichtiger Schritt zu mehr digitaler Souveränität. Allerdings wird es auch künftig Herausforderungen bei der Wahl von Cloud-Anbietern geben. Unternehmen sollten die folgenden Grenzen kennen:

• Bisher gibt es wenig zertifizierte Anbieter: Da das Framework neu ist, gibt es bisher nur wenige Anbieter mit SEAL-3 oder SEAL-4.  

• Die Bewertung ist aufwendig: Es gibt bisher kein „SEAL-Zertifikat“ von unabhängigen Stellen. Unternehmen müssen die acht Souveränitätsziele selbst anwenden, was vor allem für KMU komplex und zeitaufwendig sein kann.  

• 100%ige Souveränität ist unrealistisch: Fast alle Server weltweit nutzen Prozessoren und Hardware aus den USA oder Asien. Auch Open-Source-Software wird von Entwicklern weltweit geschrieben. SEAL-4 ist deshalb eher als Ideal zu verstehen, nicht als Standard.

• Transparenz ist nicht garantiert: Ein Anbieter kann Daten in der EU speichern, aber Support und Wartung durch externe Partner durchführen lassen. Das Framework adressiert das zwar, aber Unternehmen müssen genau hinschauen, wenn sie Klarheit haben wollen.

• Souveränität vs. Innovation: Wer wirklich souverän sein will, muss möglicherweise bei der Technologie Abstriche in Kauf nehmen. Innovative KI- und Cloud-Lösungen kommen oft von US-Anbietern. Strikte Souveränität bedeutet deshalb möglicherweise weniger Funktionen, aber mehr Kontrolle – je nachdem, was Ihnen wichtiger ist.

Fazit: Ein guter Start für digitale Souveränität mit Einschränkungen

Das SEAL-Framework gibt Unternehmen, die Wert auf digitale Souveränität legen, wichtige Anhaltspunkte für die Wahl ihrer Cloud-Anbieter. Die Ziele und Stufen helfen dabei, die richtigen Fragen zu stellen und Risiken besser zu bewerten. Wichtig ist, das Framework als Orientierung zu verstehen und nicht als strenge Checkliste.  

Die Experten von Proliance unterstützen Sie gern dabei, Ihre Cloud-Infrastruktur sicher und so souverän wie möglich zu planen.