von

C3A: Wie souverän ist Ihre Cloud wirklich?

Im April 2026 hat das BSI mit C3A – Criteria enabling Cloud Computing Autonomy – einen Kriterienkatalog veröffentlicht, der die Souveränität von Cloud-Diensten erstmals systematisch messbar macht. Für Unternehmen, die heute noch auf US-Hyperscaler setzen, ist das eine unbequeme Einladung: zum ehrlichen Soll-Ist-Vergleich.

Wir bei HKN beschäftigen uns seit Jahren mit der Frage, was eine Cloud wirklich souverän macht. Mit C3A liegt nun ein Maßstab vor, den wir gegen unsere eigenen Angebote – und gegen die Angebote der globalen Anbieter – halten können. In diesem Artikel ordnen wir ein, was hinter Cloud Computing Autonomy steckt, warum das Thema gerade jetzt drängt und welche Schritte aus unserer Sicht sinnvoll sind.

C3A BSI Digitale Souveränität DSGVO Open Source Nextcloud Zimbra

Was C3A ist – und was es nicht ist

C3A ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik. Er beantwortet eine Frage, die der Markt bislang nur in Slogans beantwortet hat: Wie selbstbestimmt kann ein Cloud-Dienst tatsächlich genutzt werden?

Der Katalog übernimmt die Struktur des EU Cloud Sovereignty Framework und konkretisiert sie in sechs Bereichen:

  • 🏛️ SOV-1 Strategische Souveränität – Jurisdiktion, Hauptsitz, effektive Kontrolle des Anbieters durch EU- bzw. deutsche Unternehmen.
  • ⚖️ SOV-2 Rechtliche und gerichtliche Souveränität – Umgang mit extraterritorialen Rechtsnormen wie dem Cloud Act, Audit-Rechte, Übernahmefähigkeit im Verteidigungsfall.
  • 🔐 SOV-3 Datensouveränität – Speicherort, externes Key Management, externe Identitätsdienste, Logging, Client-Side Encryption.
  • ⚙️ SOV-4 Betriebssouveränität – Betriebspersonal in der EU, administrative Zugriffe ausschließlich aus der EU, redundante Konnektivität, SOC, Disconnect- und Reconnect-Prozesse.
  • 📦 SOV-5 Lieferketten-Souveränität – Software- und Hardware-Abhängigkeiten, externe Dienste, Exportrestriktionen, Kapazitätsmanagement.
  • 🇪🇺 SOV-6 Technologische Souveränität – Quellcode-Verfügbarkeit in der EU, kontinuierliche Service-Lieferung ohne Drittparteien, eigene Entwicklungsumgebungen.

Wichtig ist, was C3A nicht ist. Der Katalog ist nicht verbindlich und keine Zertifizierung. Er setzt voraus, dass ein Anbieter den BSI C5:2026 bereits erfüllt, und ergänzt ihn um die Autonomie-Dimension. Sicherheit deckt der C5 ab, Nachhaltigkeit liegt außerhalb der BSI-Zuständigkeit. C3A ist also ein Werkzeug für die strukturierte Bewertung – nicht das nächste Compliance-Häkchen.

Warum digitale Souveränität jetzt zählt

Die Diskussion um Datensouveränität ist alt, der Handlungsdruck ist neu. Drei Entwicklungen treffen aktuell zusammen:

Geopolitik wird zum Betriebsrisiko

Wer heute mit einem US-Hyperscaler arbeitet, akzeptiert implizit, dass dessen Mutterkonzern unter Cloud Act, FISA 702 und Executive Orders steht. Solange das politische Klima zwischen den USA und Europa stabil ist, bleibt das ein abstraktes Risiko. Sobald es das nicht mehr ist – Stichwort Exportkontrollen, Sanktionen, geänderte Verwaltungsanordnungen – wird aus dem Risiko ein Vorfall. C3A macht genau diese Abhängigkeit explizit prüfbar: über die Kriterien zu Jurisdiktion (SOV-1), extraterritorialer Exposition (SOV-2-01) und die Fähigkeit, alle Nicht-EU-Verbindungen zu trennen (SOV-4-09).

DSGVO ist keine Theorie mehr

Schrems II hat die einfachen Lösungen zerstört, der EU-US Data Privacy Framework ist juristisch umstritten. Datenschutzbehörden prüfen genauer, Aufsichtsbehörden fordern Nachweise. Mit C3A bekommen Unternehmen einen strukturierten Weg, um ihre Cloud-Nutzung gegenüber Auditoren und Aufsichtsbehörden zu belegen – und zwar nicht über Marketingbroschüren, sondern über konkrete Kriterien.

Abhängigkeit kostet Geld – und Beweglichkeit

Vendor-Lock-in ist die teuerste Form der digitalen Abhängigkeit. Wer Daten, Identitäten und Prozesse vollständig in eine Plattform verlagert hat, zahlt jede Preiserhöhung mit. Die Kriterien zu externem Key Management (SOV-3-02), externem Identity Provider (SOV-3-03) und Software-Abhängigkeiten (SOV-5-01) zielen genau darauf: Anbieter müssen offen halten, was vorher gerne geschlossen wurde.

Welche Alternativen es konkret gibt

C3A ist nicht das Problem, sondern die Landkarte. Die spannende Frage ist: Welche Dienste erfüllen die Kriterien heute schon – und für welche Anwendungsfälle? Aus unserer Sicht gibt es drei pragmatische Ansatzpunkte für den Mittelstand.

Datei-Ablage, Zusammenarbeit, KI: Nextcloud

Nextcloud deckt das ab, wofür viele Unternehmen heute Microsoft 365 oder Google Workspace nutzen: Dateien, geteilte Ordner, Online-Office, Kalender, Videokonferenzen, mittlerweile auch KI-Funktionen wie Context-Chat und Nextcloud Flow. Bei uns läuft Nextcloud in deutschen Rechenzentren, betrieben von deutschen Mitarbeitenden – und genau das ist der Punkt, an dem SOV-1, SOV-3 und SOV-4 ineinandergreifen.

E-Mail und Kalender: Zimbra Business Mail

E-Mail ist der sensibelste Datenstrom in fast jedem Unternehmen, und gleichzeitig der, der am schnellsten in einem US-Postfach landet. Mit Zimbra Business Mail bieten wir eine Alternative, die auf bewährter Open-Source-Technologie aufsetzt, in Deutschland betrieben wird und sich sauber in bestehende Mailclients integriert.

Den Stack zusammen denken: Open Cloud Workspace

Einzelne souveräne Bausteine bringen wenig, wenn sie nicht zusammenspielen. Genau dafür gibt es den Open Cloud Workspace: ein abgestimmtes Bündel aus Datei-Cloud, Mail, Office und Kommunikation, gebaut mit europäischen Open-Source-Komponenten und betrieben in Deutschland.

Eine ehrliche Einordnung: Kein Anbieter erfüllt alle C3A-Kriterien für alle denkbaren Szenarien automatisch. Welche Kriterien anwendbar sind, hängt vom Risikoprofil des Kunden ab. Genau deshalb sieht der Katalog auch eine Auswahl durch den Kunden vor – statt eines starren Pass/Fail-Stempels.

Was Sie jetzt tun sollten

Cloud Computing Autonomy ist kein Thema für die nächste Strategierunde, sondern für die nächsten Wochen. Ein pragmatischer Einstieg in vier Schritten:

  1. Lesen Sie den C3A-Katalog des BSI und identifizieren Sie die Kriterien, die für Ihr Geschäftsmodell und Ihre Datenklassen relevant sind. Nicht alles trifft jeden.
  2. Fordern Sie von Ihren aktuellen Cloud-Anbietern eine strukturierte Selbstauskunft entlang dieser Kriterien an. Pauschale „Wir sind DSGVO-konform"-Antworten reichen nicht.
  3. Priorisieren Sie nach Risiko: E-Mail, Identitäten und unstrukturierte Daten (Dateiablage) bergen meist die größte Exposition – und sind gleichzeitig am besten migrierbar.
  4. Definieren Sie für die kritischsten Bereiche einen konkreten Migrationspfad – inklusive Pilotphase, Übergangsbetrieb und Endzustand. Souveränität entsteht nicht über Nacht, aber jeder Schritt zählt.

C3A gegen Ihre aktuelle Cloud halten?

Wir gehen mit Ihnen die Kriterien durch, die für Ihr Unternehmen relevant sind – und zeigen, was eine souveräne Alternative konkret bedeutet.

Fazit

C3A liefert das, was in der Souveränitätsdebatte lange gefehlt hat: eine sachliche, prüfbare Basis. Der Katalog wird US-Hyperscaler nicht über Nacht aus deutschen Rechenzentren verdrängen, aber er macht Abhängigkeiten benennbar – und genau das ist die Voraussetzung dafür, dass Entscheidungen wieder bewusst getroffen werden. Wer jetzt prüft, welche Dienste sich in welchen Bereichen souveräner aufstellen lassen, verschafft sich Handlungsspielraum für die Jahre, in denen er ihn brauchen wird.

Weiterführende Artikel

Häufige Fragen zu Cloud Computing Autonomy

Was ist Cloud Computing Autonomy (C3A)?

C3A ist ein vom BSI im April 2026 veröffentlichter Kriterienkatalog, mit dem sich prüfen lässt, ob ein Cloud-Dienst selbstbestimmt genutzt werden kann. Er greift die Struktur des EU Cloud Sovereignty Framework auf und ergänzt sie um konkrete, auditierbare Kriterien in sechs Bereichen: strategische, rechtliche, Daten-, Betriebs-, Lieferketten- und Technologie-Souveränität. C3A ist nicht bindend, schafft aber eine gemeinsame Sprache für Anbieter und Kunden.

Worin unterscheidet sich C3A vom BSI C5:2026?

Der BSI C5:2026 deckt die Sicherheits- und Compliance-Aspekte einer Cloud ab. C3A setzt den C5 voraus und ergänzt ihn um Kriterien zur Autonomie – also zur Frage, wie unabhängig ein Dienst von außereuropäischen Einflüssen, Lieferketten und Rechtsräumen betrieben werden kann. Beide Kataloge ergänzen sich, sie konkurrieren nicht.

Welche sechs Bereiche deckt C3A ab?

C3A gliedert sich in SOV-1 Strategische Souveränität, SOV-2 Rechtliche und gerichtliche Souveränität, SOV-3 Datensouveränität, SOV-4 Betriebssouveränität, SOV-5 Lieferketten-Souveränität und SOV-6 Technologische Souveränität. Sicherheit (SOV-7) wird über C5:2026 abgedeckt, ökologische Nachhaltigkeit (SOV-8) liegt außerhalb der BSI-Zuständigkeit.

Erfüllen US-Hyperscaler die C3A-Kriterien?

US-Hyperscaler scheitern bereits an grundlegenden Kriterien wie SOV-1 (EU-Jurisdiktion, EU-Hauptsitz, effektive Kontrolle durch EU-Unternehmen) und SOV-4 (Betriebspersonal mit EU-Hauptwohnsitz, administrative Zugriffe ausschließlich aus der EU). Auch das Disconnect-Kriterium SOV-4-09, das einen vollständigen Betrieb ohne Nicht-EU-Verbindungen verlangt, lässt sich mit den Architekturen der großen Hyperscaler nicht erfüllen.

Was sollten Unternehmen jetzt konkret tun?

Erstens den C3A-Katalog lesen und prüfen, welche Kriterien für das eigene Risikoprofil relevant sind. Zweitens den aktuellen Cloud-Anbieter um eine Selbstauskunft zu diesen Kriterien bitten. Drittens für besonders sensible Bereiche – etwa Mail, Datei-Ablage und Wissensmanagement – europäische Alternativen wie Nextcloud oder Zimbra evaluieren und einen Migrationspfad definieren.

Schreibe einen Kommentar