Nutzung außereuropäischer Cloud-Dienste: Zwischen Datenschutz, Digitaler Souveränität und Praxisrealität – Teil III

III. Rechtlicher Rahmen für öffentliche Einrichtungen

1. Cloud-Sovereignty-Framework der EU

Die EU-Kommission veröffentlichte im Oktober 2025 das Cloud-Sovereignty-Framework. In diesem Framework sind acht Souveränitätsziele genannt, die bei der Vergabe von Leistungen an Cloud-Anbieter durch europäische und mitgliedstaatliche Institutionen zu beachten sind. Europäische Institutionen sollen auf den Einsatz von Cloud-Anbietern verzichten, wenn diese kein Mindestniveau der definierten Ziele (sog. Sovereinty Effectiveness Assurance Level) erfüllen.

Auch in Deutschland sollen bei Vergabeverfahren für Cloud-Lösungen Souveränitätskriterien mit einbezogen werden. Es wäre mithin zumindest denkbar, dass im Rahmen von deutschen Vergabeverfahren hauptsächlich europäische Unternehmen ausgewählt werden könnten. Gleichzeitig könnte dies mit dem herrschenden Gleichbehandlungsgrundsatz aus § 97 Abs. 1 GWB nicht vereinbar sein. Ebenso kann die Nichteinhaltung des Datenschutzrechts zum Ausschluss aus dem Vergabeverfahren führen. Insgesamt könnte es mithin dazu führen, dass Kunden vorsichtshalber einen europäischer Cloud-Anbieter beauftragen, um weiterhin am Vergabeverfahren teilnehmen zu können.

2. C5-Kriterien des BSI für Bundesbehörden und die Gesundheitsbranche

Ferner hat das BSI auch Mindeststandards für die Nutzung externer Clouds durch Bundesbehörden veröffentlicht, die auf § 8 Abs. 1 BSIG basieren und für die öffentliche Hand verbindlich sind. Externe Cloud-Anbieter müssen diesen Anforderungen gerecht werden. Bei diesen Anforderungen handelt es sich u.a. um Transparenzanforderungen und Kontrollanforderungen bezüglich Ermittlungsersuchen aus anderen Staaten sowie der Orte, an denen Daten verarbeitet werden.

B. Fazit

Das Unionsrecht verfolgt keinen pauschalen Lokalisierungsansatz. Der Einsatz außereuropäischer Cloud-Dienste bleibt grundsätzlich zulässig, ist jedoch mit komplexen Prüf- und Sicherheitspflichten verbunden. Insbesondere bei personenbezogenen und sensiblen Daten steigt der rechtliche Aufwand erheblich.

Unternehmen sind daher gut beraten, Cloud-Strategien nicht allein technisch oder wirtschaftlich, sondern stets auch regulatorisch fundiert zu entwickeln.

Weitere Beiträge

Nutzung außereuropäischer Cloud-Dienste: Zwischen Datenschutz, Digitaler Souveränität und Praxisrealität – Teil III

III. Rechtlicher Rahmen für öffentliche Einrichtungen 1. Cloud-Sovereignty-Framework der EU Die EU-Kommission veröffentlichte im Oktober 2025 das Cloud-Sovereignty-Framework. In diesem Framework sind acht Souveränitätsziele genannt, die bei der Vergabe von Leistungen an Cloud-Anbieter durch europäische und mitgliedstaatliche Institutionen zu beachten

Mehr lesen »
Friederike König 20. März 2026

IT-Sicherheit: Rechtliche und technische Grundlagen als Basis der digitalen Infrastruktur – Teil IV

7. Standards und Best Practices 7.1 Internationale Standards ISO/IEC 27000-Serie: Umfassende Standardfamilie für internationale Standards der Informationssicherheitsmanagementsysteme. ISO/IEC 27001 definiert Anforderungen, ISO/IEC 27002 bietet einen Leitfaden für Kontrollen. NIST Cybersecurity Framework: Ein vom US National Institute of Standards and Technology

Mehr lesen »
Miriam-Sheila Bohl 18. März 2026

Nutzung außereuropäischer Cloud-Dienste: Zwischen Datenschutz, Digitaler Souveränität und Praxisrealität – Teil II

4. Nationale Sonderregeln und unverbindliche Leitlinien Zusätzlich zum europäischen Rechtsrahmen können Sektor- oder mitgliedstaatsspezifische Vorgaben relevant werden, etwa im Steuer-, Sozial- oder Gesundheitsrecht. Diese sehen teilweise konkrete Speicher- oder Verarbeitungsorte vor. Diese müssen von den entsprechenden Unternehmen geprüft werden. Daneben

Mehr lesen »
Friederike König 16. März 2026
Nach oben scrollen