Der C3A-Kriterienkatalog adressiert die Souveränitätsdimension von Cloud-Diensten — von Datenhoheit und EU-Jurisdiktion bis zu Exit-Strategie und Schlüsselkontrolle. Wir machen Ihre Cloud-Nutzung nachweisbar souverän — im Hyperscaler genauso wie auf europäischer Infrastruktur.
EUSouveränitätskriterien jenseits von US CLOUD Act und FISA 702
KRITISErhöhte Anforderungen an Cloud-Nutzung in regulierten Sektoren
Gaia-XAnschlussfähig an europäische Souveränitätsinitiativen
6
Dimensionen
EU
Jurisdiktion ohne Drittstaatenzugriff
BYOK
Schlüsselhoheit beim Kunden
0
Lock-in dank offener Standards
Die 6 Dimensionen
Souveränität ist mehr als nur ein Datenstandort.
Sechs Dimensionen entscheiden, ob eine Cloud-Nutzung wirklich souverän ist — oder ob „sovereign" nur ein Marketingbegriff bleibt. Jede Dimension hat eigene Prüfkriterien, Nachweise und Eskalationsfragen.
01
Datensouveränität
Wer kontrolliert die Daten — und wo liegen sie?
Lokalisierung in der EU, durchgängige Verschlüsselung at-rest und in-transit, Schlüsselhoheit beim Kunden (BYOK / HYOK), nachvollziehbare Datenflüsse und Löschnachweise. Kontrolle endet nicht beim Provider, sondern erst bei der Schlüsselverwaltung.
Datenstandort EU / DACH (vertraglich, nicht nur technisch)
BYOK / HYOK · externes Key Management
Verschlüsselung Ende-zu-Ende, auch in der Verarbeitung
Datenflüsse, Subprocessor-Listen, Löschnachweise
02
Operative Souveränität
Wer betreibt — und wer hat administrativen Zugriff?
Steuerung des Betriebs durch europäische Teams, klare Trennung administrativer Rollen, dokumentierte Notfall- und Eskalationsprozesse. „Sovereign Cloud" beginnt nicht bei der Marketing-Aufschrift, sondern beim Privileged-Access-Modell.
Privileged Access nur durch EU/EWR-Personal
Just-in-Time-Zugriff, vollständig protokolliert
Operatives 4-Augen-Prinzip für administrative Eingriffe
Notfall- und Wiederanlaufprozesse unter EU-Kontrolle
03
Technologische Souveränität
Offene Standards, Portabilität, kein Vendor Lock-in.
Offene Schnittstellen, dokumentierte APIs, Container- und Datenformate, die einen Anbieterwechsel realistisch ermöglichen. Souveränität bedeutet nicht „raus aus der Cloud" — sondern: jederzeit umziehen können, technisch wie kommerziell.
EU-Jurisdiktion — kein extraterritorialer Zugriff.
Vertragsverhältnis mit einer EU-Gesellschaft, ausschließliche EU-Jurisdiktion, kein Datenzugriff auf Basis US CLOUD Act, FISA 702 oder vergleichbarer Drittstaatenregelungen. Adressiert Schrems-II-Folgen und sektorspezifische Aufsichtsanforderungen.
Vertragspartner mit Sitz und Steuerlicht in der EU
Wirtschaftliche Abhängigkeit ist die unsichtbarste Form von Lock-in. Klare Exit-Pfade, Kostenmodelle ohne FX-Risiken, Multi-Cloud-Optionen und ein dokumentierter Plan B verhindern, dass Migration aus betriebswirtschaftlichen Gründen unmöglich wird.
Dokumentierte Exit-Strategie inkl. Kosten- und Zeitplan
Multi-Cloud / Multi-Region als Designprinzip
Kostenmodell in EUR · keine versteckten Egress-Fallen
Lokale / europäische Provider in der Auswahl
06
Strategische Souveränität
Audit-Rechte, Transparenz, Vertrauensnachweise.
Vollständige Audit-Rechte (auf Wunsch durch Dritte), transparente Subprocessor-Ketten, nachweisbare Sicherheitsarchitektur — getragen durch C5-Testat, ISO 27001, ISO 27017/27018 und ergänzende C3A-Kriterien. Vertrauen ist nachweisbar, nicht behauptet.
Kontinuierliche Bewertung, Surveillance Audits, Re-Assessment bei Änderungen am Anbieter oder Recht.
Für wen relevant
Wer C3A jetzt braucht.
Souveränität ist kein Nice-to-have mehr. Diese Sektoren spüren den Druck zuerst — durch Aufsicht, Lieferketten oder Kundennachfragen.
Öffentliche Hand & KRITIS
Bundes-, Landes- und Kommunalbehörden sowie KRITIS-Betreiber, die Cloud-Dienste mit nachweisbarer Souveränität beschaffen müssen — über C5 hinaus.
→ C3A-Bewertung starten
Finanzdienstleister
Banken, Versicherer und Asset Manager unter BaFin-Aufsicht (KAIT/VAIT/BAIT), DORA und ICT-Drittparteienregulierung.
→ Aufsichtsfähig werden
Gesundheits- & Forschungssektor
Kliniken, Forschungseinrichtungen und Pharmaunternehmen mit besonders schutzbedürftigen Daten und steigenden EU-Anforderungen (EHDS, GDPR).
→ Datenhoheit sichern
Industrielle DACH-Mittelständler
Fertigung, Engineering, Automotive — Schutz von IP, Konstruktionsdaten und Produktionswissen vor Drittstaatenzugriff.
→ IP-Schutz strukturieren
FAQ
Häufige Fragen zu BSI C3A.
Was ist BSI C3A — und worin unterscheidet es sich vom C5?
C3A (Cloud Computing Compliance Criteria Catalogue — Autonomie) adressiert die Souveränitätsdimension von Cloud-Diensten und ergänzt damit den auf Informationssicherheit fokussierten C5. Während C5 prüft, „wie sicher" eine Cloud betrieben wird, ergänzt C3A die Frage „wie souverän": Datenhoheit, Jurisdiktion, Betreibermodell, Exit-Fähigkeit. Beide Kataloge sind komplementär — wir empfehlen ein integriertes Audit-Programm.
Welche der 6 Dimensionen ist in der Praxis am schwierigsten zu erfüllen?
Erfahrungsgemäß die rechtliche und die strategische Souveränität — beide brechen bei genauerer Prüfung an Konzernstrukturen, Standardvertragsklauseln und fehlenden Audit-Rechten auf. Technologische und operative Souveränität sind dagegen mit den richtigen Tooling- und Architekturentscheidungen gut beherrschbar.
Müssen wir aus US-Hyperscalern raus, um souverän zu sein?
Nicht zwingend. Mehrere Hyperscaler bieten europäische Sovereign-Cloud-Konstellationen mit EU-Betreiber, BYOK/HYOK und vertraglich gehärtetem Drittstaatenausschluss an. Entscheidend ist die nachweisbare Architektur, nicht das Logo. C3A liefert das Bewertungsraster, mit dem sich Marketing-Souveränität von echter Souveränität unterscheiden lässt.
Wie lange dauert eine C3A-Bewertung?
Ein Initial-Assessment für 5–15 zentrale Cloud-Services dauert typischerweise 4–8 Wochen, abhängig von der bestehenden Doku-Lage. Daran anschließend folgen Maßnahmenphase und Aufbau der Nachweisstruktur, die je nach Reifegrad 6–12 Monate beansprucht.
Wie verhält sich C3A zu Gaia-X und EU-CoC?
C3A ist anschlussfähig: Gaia-X-Self-Descriptions decken große Teile von technischer und operativer Souveränität ab, der EU Cloud Code of Conduct adressiert die DSGVO-Schicht. C3A bündelt diese Bausteine in einem prüffähigen 6-Dimensionen-Modell und erweitert sie um strategische Souveränität (Audit-Rechte, Schlüsselhoheit, Exit-Tests).
Wer prüft C3A — und wie wird der Nachweis erbracht?
Die Prüfung erfolgt analog zum C5 durch unabhängige Wirtschaftsprüfer nach ISAE 3000 (revised) bzw. IDW PS 860 — auf Basis der Systembeschreibung des Cloud-Anbieters. Wir begleiten Anbieter im Aufbau und Betreiber bei der Nachweisanforderung gegenüber ihren Cloud-Dienstleistern.
Schützen Sie Ihr Unternehmen jetzt!
Kontaktieren Sie uns für eine individuelle Beratung und Sicherheitslösung, die auf Ihre Anforderungen abgestimmt ist.
