Was ist eine souveräne Cloud?

Eine souveräne Cloud erfüllt fünf Kriterien gleichzeitig: 1) Mutterkonzern in der EU/EWR ohne US- oder Drittstaaten-Kontrollmehrheit, 2) Datenresidenz inklusive Backups, Logs, Sub-Prozessoren in der EU, 3) Verschlüsselungs-Hoheit beim Kunden via BYOK oder HYOK, 4) Vertragliche Garantie des Widerstands gegen Drittstaaten-Behörden, 5) Code- und Vertrags-Transparenz mit öffentlich auditierbaren Sub-Prozessor-Listen und DPAs.

Was bedeutet Schrems II für Cloud-Anbieter?

Das Schrems-II-Urteil des EuGH vom 16. Juli 2020 hat das Privacy Shield gekippt. Datenübermittlungen in die USA sind seither nur unter strengen Bedingungen zulässig. Standardvertragsklauseln allein reichen nicht. Es braucht zusätzliche technische und organisatorische Maßnahmen, die in der Praxis bei US-Cloud-Anbietern selten vollständig erfüllt werden. US-Behörden können nach FISA 702 und Executive Order 12333 auf Daten zugreifen, ohne dass EU-Bürger wirksamen Rechtsschutz haben.

Schützt EU-Hosting allein vor dem CLOUD Act?

Nein. Der CLOUD Act knüpft an den Sitz des Mutterkonzerns an, nicht an den Datenstandort. Ein US-Anbieter mit Datenzentrum in Frankfurt unterliegt weiterhin US-Behörden-Anweisungen. EU-Hosting reduziert die Schrems-II-Risiken bei der reinen Datenübertragung, schützt aber nicht vor behördlichem Zugriff über den Anbieter. Echter Schutz braucht zusätzlich BYOK und einen EU-Mutterkonzern.

Was ist BYOK und warum ist es wichtig?

BYOK (Bring Your Own Key) bedeutet, dass der Kunde den Verschlüsselungsschlüssel verwaltet, nicht der Cloud-Anbieter. Praktisch über AWS KMS, Azure Key Vault oder ein eigenes HSM. Vorteil: Selbst wenn der Anbieter unter behördlicher Anweisung Zugriff gewährt, bleibt der Schlüssel beim Kunden, die Daten sind unentschlüsselbar. HYOK (Hold Your Own Key) geht noch weiter: Schlüssel verlässt nie das Kunden-System.

Wie prüfe ich Sovereign Washing bei einem Vendor?

Stelle fünf konkrete Fragen: 1) Wo ist der Beneficial Owner registriert? 2) Liste alle Sub-Auftragsverarbeiter und ihren Standort. 3) Wer hält den Verschlüsselungs-Schlüssel und in welchem Plan ist BYOK enthalten? 4) Welche vertragliche Zusage gibt es zum Widerstand gegen Drittstaaten-Anfragen? 5) Sind Sub-Prozessor-Liste, DPA, SCC und Pen-Test-Zusammenfassungen öffentlich? Drei oder mehr Punkte abgedeckt = souverän-fähig. Weniger = Sovereign Washing.

Welche EU-Cloud-Anbieter sind tatsächlich souverän?

Echte EU-Souveränität bieten Open Telekom Cloud (Deutsche Telekom), STACKIT (Schwarz Gruppe), IONOS Cloud, OVHcloud (Frankreich), Scaleway (Frankreich) und einige spezialisierte BSI-C5-zertifizierte Anbieter. Wichtig: Souveränität ist nicht gleich Resilienz, das hat OVH 2021 mit dem Strasbourg-Brand gezeigt. Beide Eigenschaften müssen separat geprüft werden. Plus: Auch souveräne Anbieter haben unterschiedliche Reifegrade bei BYOK, BSI C5 und EU Cloud Code of Conduct.

Blog/Brancheneinblicke

Sovereign Washing: Wann ist eine Cloud wirklich europäisch?

Sovereign Washing erkennen: Wie du in 5 Schritten prüfst, ob ein Cloud-Anbieter echte digitale Souveränität liefert oder nur EU-Marketing macht. Mit Schrems-II-Bezug, US Cloud Act, BYOK und Vendor-Assessment-Checkliste für CISOs und Datenschutzbeauftragte.

Julian Köhn

11. Mai 2026|Lesezeit: 8 Minuten

"EU-Hosted." "Datenzentrum in Frankfurt." "DSGVO-konform." Drei Marketing-Versprechen, die du auf jeder zweiten Cloud-Anbieter-Webseite findest. Drei Versprechen, die für sich allein genommen nichts darüber sagen, ob deine Daten wirklich vor US-Behörden, chinesischen Geheimdiensten oder dem CLOUD Act geschützt sind.

Das Phänomen hat einen Namen: Sovereign Washing. Analog zum Greenwashing: das Etikettieren eines Produkts als "souverän" oder "europäisch", obwohl die rechtliche und technische Realität dahinter ganz anders aussieht. Für CISOs, Datenschutzbeauftragte und Compliance-Verantwortliche, die nach einer GRC-Plattform, einem CRM oder einem ERP suchen, ist Sovereign Washing eine reale Falle, in die regelmäßig auch sicherheitsbewusste Organisationen tappen.

Dieser Artikel zeigt dir, wie du Sovereign Washing in fünf konkreten Punkten erkennst, was Schrems II, der CLOUD Act und der DSK-Beschluss zu Microsoft 365 dafür bedeuten und wie eine ehrliche Vendor-Assessment-Checkliste aussieht. Plus: eine schonungslose Selbst-Einordnung von Kopexa am Ende.

Was ist Sovereign Washing?

Sovereign Washing beschreibt das Marketing eines Cloud-Dienstes als "europäisch", "souverän" oder "DSGVO-sicher", ohne dass die rechtlichen, organisatorischen oder technischen Voraussetzungen für echte digitale Souveränität gegeben sind. Klassische Muster:

EU-Datenzentrum, US-Mutterkonzern. Die Daten liegen physisch in Frankfurt. Der Konzern dahinter ist eine US-Corporation, fällt unter den US CLOUD Act und kann von US-Behörden zur Herausgabe verpflichtet werden, unabhängig vom Datenstandort.
"DSGVO-konform" als Allzweck-Label. Eine Plattform kann DSGVO-konform betreibbar sein und trotzdem keinen Schutz vor Drittstaaten-Behörden bieten.
Standardvertragsklauseln (SCCs) als Persilschein. SCCs allein reichen seit Schrems II nicht. Die EuGH-Rechtsprechung verlangt zusätzliche technische Maßnahmen, die in der Praxis selten erfüllt sind.
"Verschlüsselung at rest und in transit" ohne Aussage darüber, wer den Schlüssel verwaltet. Wenn der Anbieter den Schlüssel hält, schützt Verschlüsselung nichts vor behördlichem Zugriff über den Anbieter.
"BYOK verfügbar" in Klein-gedruckt, in der Realität oft nur im teuersten Enterprise-Tier oder erst nach individueller Verhandlung.

Sovereign Washing ist nicht immer absichtlich. Viele Anbieter haben einfach keine klare Begrifflichkeit und übernehmen Marketing-Vokabeln aus Pitch-Decks. Das macht es für die Käufer-Seite nicht einfacher.

Der rechtliche Hintergrund: Schrems II, CLOUD Act, DSK-Beschluss

Drei Entwicklungen erklären, warum Sovereign Washing 2026 ein dringliches Thema ist:

1. Schrems II (EuGH 16.07.2020). Das Privacy Shield wurde gekippt. Datenübermittlungen in die USA sind seither nur unter strengen Bedingungen zulässig. Der EuGH stellte fest, dass US-Behörden gesetzlich auf personenbezogene Daten von EU-Bürgern zugreifen können (FISA 702, Executive Order 12333) und EU-Bürger keinen wirksamen Rechtsschutz dagegen haben. Der Datenstandort allein schützt nicht, wenn der Anbieter rechtlich US-amerikanisch ist.

2. CLOUD Act (USA, 2018). Der "Clarifying Lawful Overseas Use of Data Act" verpflichtet US-Anbieter, Daten an US-Behörden herauszugeben, auch wenn diese außerhalb der USA gespeichert sind. Das gilt für jede Tochtergesellschaft, jedes EU-Datenzentrum, jeden europäischen Sub-Auftragsverarbeiter, solange der Mutterkonzern in den USA sitzt. Microsoft, Amazon, Google, Salesforce, Oracle: alle betroffen.

3. DSK-Beschluss zu Microsoft 365 (24.11.2022). Die deutsche Datenschutzkonferenz stellte formal fest, dass Microsoft 365 in der getesteten Konfiguration keinen Nachweis der DSGVO-Konformität erbringen konnte. Mehrere Bundesländer haben darauf mit eingeschränkten Empfehlungen für den Einsatz in Schulen reagiert. Das Verfahren ist nicht abgeschlossen.

Die Konsequenz: Eine Cloud-Lösung ist erst dann souverän, wenn sie auch im Worst-Case (US-Behörde verlangt Zugriff) keine EU-Daten herausgeben kann oder muss.

Die 5-Punkt-Checkliste für echte Souveränität

Wenn ein Vendor von "souveräner Cloud" oder "EU-Hosting" spricht, prüfe diese fünf Punkte. Drei davon abgedeckt: souverän-fähig. Weniger: Sovereign Washing.

1. Mutterkonzern-Sitz und Beneficial Ownership

Wer kontrolliert das Unternehmen rechtlich? Nicht "wo ist die deutsche GmbH eingetragen?", sondern: Welcher Konzern steht ganz oben in der Kette? Welche Gerichte können auf den Vorstand Druck ausüben?

Klares Signal: Der Konzern hat seinen Sitz und seine Hauptniederlassungen ausschließlich in der EU/EWR/CH. Kein US-Mutterkonzern, keine US-Investoren mit Kontrollmehrheit, keine US-Listings, die US-SEC-Pflichten auslösen.

Geschickte Vendor-Frage: "Stellt euer Mutterkonzern jährlich einen Transparency Report über behördliche Datenanforderungen aus, unter US-Recht oder anderen Drittstaaten-Rechtsordnungen?"

2. Datenresidenz und Sub-Auftragsverarbeiter

Wo liegen die Daten wirklich? Inklusive Backups, Logs, Metadaten und temporären Caches. Inklusive aller Sub-Auftragsverarbeiter (CDN, Mail-Versand, Analytics, Support-Tools).

Klares Signal: Datenverarbeitungsverzeichnis (Art. 30 DSGVO) listet alle Sub-Prozessoren explizit auf, alle in der EU/EWR. Keine "Region kann variieren" Klauseln.

Vorsicht bei: "Daten in Deutschland, aber Logs gehen an einen US-Anbieter", "Email-Versand über SendGrid (US)", "Analytics über Google" — alles potenziell US-Datenfluss.

3. Verschlüsselungs-Hoheit (Key-Management)

Wer hält den Schlüssel? Verschlüsselung schützt nur dann, wenn der Anbieter den Schlüssel nicht hat oder ihn nur in Echtzeit über Kunden-API zugreifen kann.

Klares Signal: BYOK (Bring Your Own Key) oder noch besser HYOK (Hold Your Own Key) wird angeboten. Im Idealfall mit AWS/Azure-Key-Management-Service-Integration oder mit eigenem HSM (Hardware Security Module). Schlüsselrotation und Schlüsselentzug liegen beim Kunden.

Vorsicht bei: "AES-256-verschlüsselt" als einzige Aussage, ohne wer den Schlüssel verwaltet. Wenn der Anbieter den Schlüssel hält, kann er die Daten unter behördlicher Anweisung selbst entschlüsseln.

4. Behörden-Zugriff und Rechtsweg

Welches Recht gilt für eine Datenanforderung? Die Frage ist nicht: "Liegen die Daten in Frankfurt?" Die Frage ist: "Welche Behörden können den Anbieter zwingen, Daten herauszugeben?"

Klares Signal: Im Vertrag (DPA) explizit zugesagter Widerstand gegen behördliche Anfragen aus Drittstaaten, ohne richterlichen Beschluss durch ein EU-Gericht. Plus: Transparency-Report mit nachvollziehbarer Statistik. Plus: Pflicht zur Information des Kunden bei jeder Anfrage, sofern rechtlich nicht ausgeschlossen.

Vorsicht bei: "Wir geben Daten nur auf rechtskonforme Anweisung heraus" — das schließt CLOUD-Act-Anweisungen explizit ein.

5. Code- und Vertrags-Transparenz

Kannst du nachprüfen, was tatsächlich passiert? Geschlossene Black-Box-Anbieter sind aus Souveränitäts-Sicht riskant, weil Kunde keinen Beweis hat, dass die Marketing-Versprechen technisch eingehalten werden.

Klares Signal: Open-Source-Komponenten, öffentlich auditierbare Sub-Prozessoren-Liste, Auftragsverarbeitungsvertrag (DPA) öffentlich downloadbar, Standardvertragsklauseln in der modernsten Version (Modul 2 oder 3), regelmäßige unabhängige Pen-Tests mit veröffentlichten Zusammenfassungen.

Vorsicht bei: "Audits sind unter NDA verfügbar" — das ist meist ein Marketing-Trick. Wer wirklich nachweisen kann, dass er DSGVO-konform ist, hat kein Problem mit Transparenz.

Drei reale Cases zum Mitnehmen

Microsoft 365 in deutschen Schulen. Mehrere deutsche Datenschutzbehörden, darunter Bayern, Hessen, Baden-Württemberg und Niedersachsen, haben Microsoft 365 als nicht ohne weiteres datenschutzkonform in Schulen eingestuft. Die Bewertungen variieren im Detail und sind über mehrere Jahre öffentlich kommuniziert worden. Microsofts "EU Data Boundary" ist ein Schritt zur Adressierung, aber kein Vollzug von Schrems II — der CLOUD Act bleibt anwendbar.

OVHcloud-Brand 2021. OVHcloud ist europäischer Anbieter mit Sitz in Frankreich, also souverän nach Punkt 1. Aber: Der Brand des Strasbourg-Datenzentrums 2021 zerstörte Kundendaten ohne ausreichende Backup-Strategie auf Anbieterseite. Souveränität ist nicht Resilienz. Beide Eigenschaften müssen separat geprüft werden.

Salesforce Hyperforce / AWS European Sovereign Cloud. Beide US-Konzerne haben "souveräne" Cloud-Angebote für die EU angekündigt. Die rechtliche Konstruktion ist komplex: separate Tochtergesellschaften, EU-Personal mit Need-to-Know, Datenresidenz in der EU. Ob der CLOUD Act dann nicht mehr greift, ist juristisch umstritten und gerichtlich nicht abschließend geklärt. Aktuell sind diese Angebote eher Versuche der Risiko-Minderung als echte souveräne Lösungen.

Vendor-Assessment-Checkliste für CISOs

Wenn du eine GRC-Plattform, ein CRM, ein HR-System oder eine Marketing-Cloud bewertest, frage konkret:

Wo ist der Beneficial Owner des Unternehmens registriert? Welche Anteile hält ein US- oder Drittstaaten-Akteur?
Liste alle Sub-Auftragsverarbeiter und deren Standort. Kann ich die Liste öffentlich einsehen?
Liegen Daten, Backups, Logs, Mailversand und CDN alle in der EU/EWR?
Wird BYOK angeboten? In welchem Tier? Mit welchem Key-Management-Service?
Gibt es einen Transparency Report zu behördlichen Datenanforderungen aus den letzten drei Jahren?
Welche vertragliche Garantie gibt der Anbieter, sich CLOUD-Act-Anfragen entgegenzustellen oder den Kunden zu informieren?
Sind die Standardvertragsklauseln (SCC) in der aktuellen Modul-2/3-Version Teil des DPA?
Gibt es Open-Source-Komponenten, Pen-Test-Zusammenfassungen, Sub-Prozessor-Listen öffentlich?

Eine Plattform, die diese Fragen offen und konkret beantwortet, ist auf dem Pfad zur echten Souveränität. Eine Plattform, die mit "wir sind DSGVO-konform" abblockt, ist es nicht.

Wo Kopexa steht: ehrliche Selbst-Einordnung

Wir sind keine Marketing-Maschine, wir sind eine GRC-Plattform. Hier unsere Position zu jedem der fünf Punkte:

Kriterium	Kopexa-Status
1. Mutterkonzern	Kopexa GmbH, Sitz Deutschland. Keine US-Mutter, keine US-Kontrollmehrheit.
2. Datenresidenz	SaaS in EU (aktuell Region Paris). Backups + Logs + Metadaten in derselben Region. Sub-Prozessor-Liste öffentlich unter /legal/sub-processors.
3. Verschlüsselungs-Hoheit	Im SaaS-Setup anbieter-verwaltete Schlüssel mit AES-256. BYOK ausschließlich im On-Premise-Setup, wo Kopexa auf eurem eigenen Cloud-Tenant oder Rechenzentrum läuft und mit eurem KMS oder HSM integriert.
4. Behörden-Zugriff	Kein US-Recht auf Kopexa anwendbar (kein US-Konzern in der Eigentümerkette). AVV/DPA im Self-Service unter avv.kopexa.com abschließbar, ohne Sales-Kontakt.
5. Code-Transparenz	KSPEC (unser Compliance-Check-Standard) ist Open Source unter Elastic License v2 auf GitHub.

Was wir nicht behaupten:

Wir haben aktuell keine BSI-C5-Testierung.
Wir bieten kein Air-Gap-Setup für streng regulierte Behörden ohne Internet-Anbindung.
Wir sind aktuell nicht ISO-27001-zertifiziert.
Wir hosten nicht auf einem souveränen Cloud-Anbieter wie Open Telekom Cloud, sondern auf europäischer Hyperscaler-Infrastruktur (Region Paris).

Das ist die ehrliche Position. Kein Marketing-Spin. Wer auf Kopexa setzt, weiß, was er bekommt: eine moderne, OSCAL-native GRC-Plattform mit europäischer Eigentümerstruktur und transparenter Sub-Prozessor-Kette. Kein Air-Gap-Hochsicherheits-Setup für Verteidigungsministerien.

Was du jetzt tun kannst

Wenn dein Unternehmen Cloud-Services beschafft, ist Vendor-Souveränität ein Compliance-Thema, kein IT-Thema. Drei konkrete nächste Schritte:

Audit deine bestehende Vendor-Liste mit der 5-Punkt-Checkliste oben. Markiere jeden, der drei oder weniger Punkte erfüllt, als "Sovereign-Risk-Vendor".
Erweitere dein VVT (Verarbeitungsverzeichnis) um eine kurze Souveränitäts-Notiz pro Verarbeitung: Anbieter-Sitz, Datenresidenz, anwendbares Recht. Bei einer Datenpannen-Meldung nach Art. 33 DSGVO oder einer Betroffenen-Beschwerde willst du diese Information nicht erst suchen müssen.
Definiere eine Sourcing-Policy für Neuanschaffungen, die mindestens vier der fünf Punkte voraussetzt, oder eine dokumentierte Begründung für Ausnahmen.

Wenn du eine Plattform suchst, die diese Anforderungen out-of-the-box erfüllt, schau dir die Kopexa ISMS-Software an, oder lies, wie unsere souveräne Cloud-Architektur konkret aussieht.

Sovereign Washing ist kein Randthema. Es ist die Lücke zwischen dem Anspruch der DSGVO und der Realität der globalen Cloud-Wirtschaft. Wer die Lücke kennt, kann sie schließen.

Häufige Fragen

Was ist Sovereign Washing?: Sovereign Washing beschreibt das Marketing eines Cloud-Dienstes als europäisch oder souverän, ohne dass die rechtlichen, organisatorischen oder technischen Voraussetzungen für echte digitale Souveränität gegeben sind. Klassische Beispiele: EU-Datenzentrum bei US-Mutterkonzern (CLOUD Act greift trotzdem), DSGVO-konform als Allzweck-Label ohne Schutz vor Drittstaaten-Behörden, oder anbieterseitige Verschlüsselung ohne BYOK.
Was ist eine souveräne Cloud?: Eine souveräne Cloud erfüllt fünf Kriterien gleichzeitig: 1) Mutterkonzern in der EU/EWR ohne US- oder Drittstaaten-Kontrollmehrheit, 2) Datenresidenz inklusive Backups, Logs, Sub-Prozessoren in der EU, 3) Verschlüsselungs-Hoheit beim Kunden via BYOK oder HYOK, 4) Vertragliche Garantie des Widerstands gegen Drittstaaten-Behörden, 5) Code- und Vertrags-Transparenz mit öffentlich auditierbaren Sub-Prozessor-Listen und DPAs.
Was bedeutet Schrems II für Cloud-Anbieter?: Das Schrems-II-Urteil des EuGH vom 16. Juli 2020 hat das Privacy Shield gekippt. Datenübermittlungen in die USA sind seither nur unter strengen Bedingungen zulässig. Standardvertragsklauseln allein reichen nicht. Es braucht zusätzliche technische und organisatorische Maßnahmen, die in der Praxis bei US-Cloud-Anbietern selten vollständig erfüllt werden. US-Behörden können nach FISA 702 und Executive Order 12333 auf Daten zugreifen, ohne dass EU-Bürger wirksamen Rechtsschutz haben.
Was ist der US Cloud Act und wen betrifft er?: Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) verpflichtet US-Anbieter, Daten an US-Behörden herauszugeben, auch wenn diese außerhalb der USA gespeichert sind. Das gilt für jede Tochtergesellschaft, jedes EU-Datenzentrum, jeden europäischen Sub-Auftragsverarbeiter, solange der Mutterkonzern in den USA sitzt. Microsoft, Amazon, Google, Salesforce und Oracle fallen alle darunter, unabhängig davon, wo die Daten physisch liegen.
Schützt EU-Hosting allein vor dem CLOUD Act?: Nein. Der CLOUD Act knüpft an den Sitz des Mutterkonzerns an, nicht an den Datenstandort. Ein US-Anbieter mit Datenzentrum in Frankfurt unterliegt weiterhin US-Behörden-Anweisungen. EU-Hosting reduziert die Schrems-II-Risiken bei der reinen Datenübertragung, schützt aber nicht vor behördlichem Zugriff über den Anbieter. Echter Schutz braucht zusätzlich BYOK und einen EU-Mutterkonzern.
Was ist BYOK und warum ist es wichtig?: BYOK (Bring Your Own Key) bedeutet, dass der Kunde den Verschlüsselungsschlüssel verwaltet, nicht der Cloud-Anbieter. Praktisch über AWS KMS, Azure Key Vault oder ein eigenes HSM. Vorteil: Selbst wenn der Anbieter unter behördlicher Anweisung Zugriff gewährt, bleibt der Schlüssel beim Kunden, die Daten sind unentschlüsselbar. HYOK (Hold Your Own Key) geht noch weiter: Schlüssel verlässt nie das Kunden-System.
Wie prüfe ich Sovereign Washing bei einem Vendor?: Stelle fünf konkrete Fragen: 1) Wo ist der Beneficial Owner registriert? 2) Liste alle Sub-Auftragsverarbeiter und ihren Standort. 3) Wer hält den Verschlüsselungs-Schlüssel und in welchem Plan ist BYOK enthalten? 4) Welche vertragliche Zusage gibt es zum Widerstand gegen Drittstaaten-Anfragen? 5) Sind Sub-Prozessor-Liste, DPA, SCC und Pen-Test-Zusammenfassungen öffentlich? Drei oder mehr Punkte abgedeckt = souverän-fähig. Weniger = Sovereign Washing.
Welche EU-Cloud-Anbieter sind tatsächlich souverän?: Echte EU-Souveränität bieten Open Telekom Cloud (Deutsche Telekom), STACKIT (Schwarz Gruppe), IONOS Cloud, OVHcloud (Frankreich), Scaleway (Frankreich) und einige spezialisierte BSI-C5-zertifizierte Anbieter. Wichtig: Souveränität ist nicht gleich Resilienz, das hat OVH 2021 mit dem Strasbourg-Brand gezeigt. Beide Eigenschaften müssen separat geprüft werden. Plus: Auch souveräne Anbieter haben unterschiedliche Reifegrade bei BYOK, BSI C5 und EU Cloud Code of Conduct.

Quellen

Schrems II: Urteil C-311/18 des EuGH — Europäischer Gerichtshof [Abgerufen am 11. Mai 2026]
DSK-Beschluss zu Microsoft 365 in der öffentlichen Verwaltung — Datenschutzkonferenz (24. Nov. 2022) [Abgerufen am 11. Mai 2026]
EDPB Recommendations 01/2020 on supplementary measures — European Data Protection Board [Abgerufen am 11. Mai 2026]
EU Cloud Code of Conduct — SCOPE Europe [Abgerufen am 11. Mai 2026]
BSI C5 Kriterienkatalog 2024 — Bundesamt für Sicherheit in der Informationstechnik [Abgerufen am 11. Mai 2026]