Nutzung außereuropäischer Cloud-Dienste: Zwischen Datenschutz, Digitaler Souveränität und Praxisrealität – Teil III

III. Rechtlicher Rahmen für öffentliche Einrichtungen

1. Cloud-Sovereignty-Framework der EU

Die EU-Kommission veröffentlichte im Oktober 2025 das Cloud-Sovereignty-Framework. In diesem Framework sind acht Souveränitätsziele genannt, die bei der Vergabe von Leistungen an Cloud-Anbieter durch europäische und mitgliedstaatliche Institutionen zu beachten sind. Europäische Institutionen sollen auf den Einsatz von Cloud-Anbietern verzichten, wenn diese kein Mindestniveau der definierten Ziele (sog. Sovereinty Effectiveness Assurance Level) erfüllen.

Auch in Deutschland sollen bei Vergabeverfahren für Cloud-Lösungen Souveränitätskriterien mit einbezogen werden. Es wäre mithin zumindest denkbar, dass im Rahmen von deutschen Vergabeverfahren hauptsächlich europäische Unternehmen ausgewählt werden könnten. Gleichzeitig könnte dies mit dem herrschenden Gleichbehandlungsgrundsatz aus § 97 Abs. 1 GWB nicht vereinbar sein. Ebenso kann die Nichteinhaltung des Datenschutzrechts zum Ausschluss aus dem Vergabeverfahren führen. Insgesamt könnte es mithin dazu führen, dass Kunden vorsichtshalber einen europäischer Cloud-Anbieter beauftragen, um weiterhin am Vergabeverfahren teilnehmen zu können.

2. C5-Kriterien des BSI für Bundesbehörden und die Gesundheitsbranche

Ferner hat das BSI auch Mindeststandards für die Nutzung externer Clouds durch Bundesbehörden veröffentlicht, die auf § 8 Abs. 1 BSIG basieren und für die öffentliche Hand verbindlich sind. Externe Cloud-Anbieter müssen diesen Anforderungen gerecht werden. Bei diesen Anforderungen handelt es sich u.a. um Transparenzanforderungen und Kontrollanforderungen bezüglich Ermittlungsersuchen aus anderen Staaten sowie der Orte, an denen Daten verarbeitet werden.

B. Fazit

Das Unionsrecht verfolgt keinen pauschalen Lokalisierungsansatz. Der Einsatz außereuropäischer Cloud-Dienste bleibt grundsätzlich zulässig, ist jedoch mit komplexen Prüf- und Sicherheitspflichten verbunden. Insbesondere bei personenbezogenen und sensiblen Daten steigt der rechtliche Aufwand erheblich.

Unternehmen sind daher gut beraten, Cloud-Strategien nicht allein technisch oder wirtschaftlich, sondern stets auch regulatorisch fundiert zu entwickeln.

More contributions

Begriff des KI Systems 3/3 : Der Graubereich anhand eines Beispieles.

In den ersten beiden Blogs zu dem Thema hatte ich schon gezeigt, was der Begriff der KI nach der KI VO umfasst und Beispiele für eindeutige Anwendungsfälle gegeben. Hier der Fall, der zeigt dass und warum der geltende Begriff Schwachstellen

Begriff des KI Systems und Schwächen der Definition

II. Die Legaldefinition des KI Systems hat Schwächen Die Legaldefinition des Begriffs KI Systems hat Schwächen, die man im Wege der Auslegung kaum ausräumen kann. Man wird warten müssen, bis die Rechtsprechung hierzu eine Entscheidung getroffen hat. 1.) Einfach zu

Anwendungsbereich des 6.Kap Data Act auf SaaS Systeme

Worum es geht Seit dem 12. September 2025 gilt Kapitel VI des Data Act. Anbieter von Datenverarbeitungsdiensten müssen Kunden den Wechsel ermöglichen — zwei Monate Ankündigungsfrist, Exportpflicht in strukturiertem Format, spätestens ab 12. Januar 2027 keine Wechselentgelte mehr. Die Regeln