Security

Sovereign Cloud erklärt: Was sie für Videokonferenzen bedeutet

Nina Benkotic
by Nina Benkotic
11 min read
Mai 12, 2026

Cloud-basierte Kommunikationstools sind heute fester Bestandteil des Arbeitsalltags. Plattformen für Messaging, Dateiaustausch und Videokonferenzen tragen das Tagesgeschäft, von der internen Zusammenarbeit bis zur Kundenkommunikation. Remote- und Hybridarbeit haben diese Entwicklung beschleunigt. Für die meisten Organisationen sind diese Tools längst nicht mehr optional.

Gleichzeitig schauen Unternehmen heute genauer hin, wie und wo ihre Daten verarbeitet werden. Fragen nach Jurisdiktion, Kontrolle und Compliance betrafen lange vor allem Speichersysteme und Datenbanken. Heute betreffen sie genauso die Echtzeit-Kommunikationstools.

In Deutschland und Europa ist das Thema 2026 besonders präsent: 82 Prozent der deutschen Unternehmen wünschen sich starke deutsche oder europäische Cloud-Anbieter, die mit den US-Hyperscalern konkurrieren können. Gleichzeitig halten 78 Prozent Deutschland für zu abhängig von US-Cloud-Anbietern (Bitkom Cloud Report 2025). Laut Gartner steigen die weltweiten Sovereign-Cloud-IaaS-Ausgaben 2026 auf 80 Milliarden Dollar, ein Plus von 36 Prozent gegenüber 2025. In Europa fast verdoppeln sich die Ausgaben in 2026 von 6,9 auf 12,6 Milliarden Dollar; bis 2027 sollen es 23,1 Milliarden sein.

Dieser Beitrag erklärt, was Souveränität im Kontext von Videokonferenzen bedeutet: warum Jurisdiktion entscheidend ist, wie sich Sovereign Cloud von einfacheren Konzepten wie Datenresidenz unterscheidet und welche Fragen du einem Anbieter stellen solltest, bevor du dich entscheidest.

Inhaltsverzeichnis

  1. Was ist eine Sovereign Cloud?
  2. Sovereign Cloud vs. Datenresidenz vs. „EU-Region"-Hosting
  3. Wo steht Deutschland bei der Cloud-Souveränität?
  4. Sovereign Cloud und rechtliche Jurisdiktion
  5. Warum Sovereign Cloud für Videokonferenzen wichtig ist
  6. Sovereign Cloud in der Praxis: Fragen an deinen Anbieter
  7. Was „souveräne Videokonferenz" wirklich bedeutet
  8. Fazit
  9. FAQ

Was ist eine Sovereign Cloud?

Eine „Sovereign Cloud" (souveräne Cloud) ist eine Cloud-Umgebung, in der Daten ausschließlich den Gesetzen und Governance-Vorgaben eines bestimmten Landes oder einer Region unterliegen. Typischerweise gilt das Recht des Ortes, an dem die Daten verarbeitet und kontrolliert werden.

Eine praxistaugliche Definition stützt sich auf vier Kernelemente:

  • Datenstandort: Daten werden innerhalb einer definierten geografischen Region gespeichert und verarbeitet, zum Beispiel in der Europäischen Union.
  • Rechtliche Jurisdiktion: Daten unterliegen ausschließlich dem Recht dieser Region, ohne dass widersprüchliche ausländische Gesetze greifen können.
  • Betreiberkontrolle: Die Infrastruktur wird von Organisationen betrieben, die der lokalen Jurisdiktion unterliegen und nicht von ausländischen Muttergesellschaften kontrolliert werden.
  • Schutz vor ausländischem Behördenzugriff: Auf die Daten kann nicht durch ausländische Behörden über extraterritoriale Gesetze zugegriffen werden.

Souveränität geht damit über den physischen Standort der Server hinaus. Echte Souveränität verlangt, dass Infrastruktur, Eigentümerstruktur und rechtliche Kontrolle zusammenpassen. Fehlt eines dieser drei Elemente, bleibt das externe Rechtsrisiko bestehen.

Sovereign Cloud vs. Datenresidenz vs. „EU-Region"-Hosting

Diese Begriffe werden oft synonym verwendet, bedeuten aber etwas Unterschiedliches.

  1. Datenresidenz heißt nur, dass Daten an einem bestimmten Ort gespeichert werden. Sie sagt nichts darüber aus, wer auf die Daten zugreifen darf oder nach welchem Recht. Beispiel: Daten in einem EU-Rechenzentrum eines ausländischen Anbieters können trotzdem nicht-europäischer Gesetzgebung unterliegen.

  2. „EU-Region"-Hosting geht oft nur einen kleinen Schritt weiter. Viele Anbieter werben damit, dass ihre Server in Europa stehen. Das allein reicht aber nicht. Wenn der Anbieter selbst seinen Hauptsitz außerhalb der EU hat, bleibt seine Konzernstruktur Pflichten ausländischer Behörden ausgesetzt. Im Ernstfall muss er Rechtsanfragen oder Offenlegungspflichten nicht-europäischer Behörden nachkommen, und auf die Daten kann unter ausländischer Jurisdiktion zugegriffen werden.

Der Unterschied im Überblick:

Szenario Datenstandort Eigentümerstruktur Rechtliche Exposition
EU-Rechenzentrum (ausländischer Anbieter) EU Nicht-EU Möglicher ausländischer Zugriff
Souveräne Cloud-Umgebung EU EU-kontrolliert Nur EU-Jurisdiktion

 

Für Organisationen, die DSGVO-Anforderungen erfüllen müssen, ist diese Unterscheidung wichtig. Die DSGVO stellt strenge Anforderungen an Verarbeitung, Übermittlung und Zugriff auf personenbezogene Daten. Wer sich allein auf Datenresidenz verlässt, ohne die Eigentums- und Kontrollfrage zu klären, bleibt ausländischen Rechtsrahmen ausgesetzt, die mit diesen Anforderungen kollidieren können.

Wo steht Deutschland bei der Cloud-Souveränität?

Deutschland hat in Europa eine Vorreiterrolle übernommen, wenn es darum geht, Cloud-Souveränität messbar zu machen.

  • BSI C5 und C3A. Der „Cloud Computing Compliance Criteria Catalogue" (C5) des BSI ist seit Jahren der deutsche Standard für Cloud-Sicherheit. Im April 2026 hat das BSI mit den „Criteria Enabling Cloud Computing Autonomy" (C3A) einen ergänzenden Kriterienkatalog veröffentlicht, der explizit Souveränitätsanforderungen definiert. C5 beantwortet die Frage „Ist der Cloud-Dienst sicher?". C3A fragt zusätzlich „Ist er souverän?". Die C3A können als Mindestanforderung in Vergabeverfahren und Beschaffungsrahmen festgelegt werden.

  • EU Cloud Sovereignty Framework (CSF). Die EU-Kommission hat mit dem CSF (Version 1.2.1, Oktober 2025) ein strukturiertes Bewertungsmodell vorgelegt. Es definiert acht Souveränitätsziele und fünf Assurance-Stufen. Der geplante EU Cloud and AI Development Act (CADA) orientiert sich Berichten zufolge am CSF.

  • ANSSI-BSI-Kooperation. Im November 2025 haben ANSSI (Frankreich) und BSI vereinbart, gemeinsame Cloud-Souveränitätskriterien auf Basis des EU CSF zu entwickeln. In bestimmten Fällen soll ein Nichterfüllen disqualifizierend wirken.

  • Marktreaktion. Deutsche Sovereign-Cloud-Anbieter wie STACKIT (Schwarz Digits), IONOS, Hetzner (mit C5 Typ 2 ab Anfang 2026) und die von T-Systems betriebene Google Sovereign Cloud bauen unabhängige Alternativen auf. AWS, Microsoft Azure und Google Cloud haben zwar ebenfalls C5-Testate, ihre CLOUD-Act-Exposition bleibt aber bestehen. C5 attestiert technische Sicherheit, nicht rechtliche Souveränität.

Sovereign Cloud und rechtliche Jurisdiktion

Die rechtliche Jurisdiktion ist einer der wichtigsten Aspekte der Souveränität, und einer der am häufigsten übersehenen.

Der US CLOUD Act erlaubt es US-Behörden, von US-basierten Unternehmen Daten anzufordern, auch wenn diese Daten außerhalb der Vereinigten Staaten gespeichert sind. Daten in einem europäischen Rechenzentrum können also weiterhin unter ausländisches Recht fallen, wenn der Anbieter ein US-Unternehmen ist.

Das Schrems-II-Urteil des Europäischen Gerichtshofs (2020) hat diese Problematik bestätigt. Standardvertragsklauseln allein reichen nicht aus, wenn der Anbieter Überwachungsgesetzen unterliegt, die mit EU-Datenschutzstandards kollidieren. Seit Juli 2023 erlaubt das EU-US Data Privacy Framework wieder Datenübermittlungen in die USA an zertifizierte Anbieter, ohne dass Standardvertragsklauseln nötig sind. Im September 2025 hat das Gericht der EU eine erste Klage gegen das DPF abgewiesen. Das ändert aber nichts an der CLOUD-Act-Exposition: Das DPF regelt die Übermittlung personenbezogener Daten in die USA, der CLOUD Act den späteren Zugriff durch US-Behörden. Das sind zwei getrennte Fragen.

Microsoft hat in öffentlichen Anhörungen eingeräumt, dass das Unternehmen gezwungen werden kann, in EU-Rechenzentren gespeicherte Daten an US-Behörden herauszugeben. Vor dem französischen Senat erklärte Anton Carniaux, Director of Public and Legal Affairs bei Microsoft France, im Juni 2025 unter Eid, dass Datensouveränität nicht garantiert werden kann, solange der CLOUD Act gilt. AWS hat mit der European Sovereign Cloud (seit Januar 2026 in Brandenburg verfügbar) selbst eingeräumt, dass Standard-EU-Hosting nicht ausreicht.

Im März 2026 hat CISPE in einem offenen Brief an EU-Kommissarin Henna Virkkunen vor „Sovereignty-Washing" gewarnt: der Praxis, EU-Rechenzentren als souveräne Lösung zu vermarkten, obwohl die rechtliche Kontrolle weiterhin in den USA liegt. Den Brief unterzeichneten der CISPE-Vorsitzende und 24 CEOs europäischer Cloud-Anbieter.

Was folgt daraus? Drei Punkte sind wichtig: Eigentümerstruktur zählt mehr als der Standort der Server. Auch wenn die Infrastruktur in der EU steht, können Unternehmen mit Hauptsitz anderswo verpflichtet sein, ausländischen Anfragen nachzukommen. Daraus folgt eine doppelte Unsicherheit für Organisationen, die mehreren Jurisdiktionen ausgesetzt sind. Und genau das macht es schwer, die Vorhersehbarkeit, Transparenz und Kontrolle herzustellen, die europäische Datenschutzrahmen verlangen.

Für Organisationen im Gesundheitswesen, im Bildungsbereich und in der öffentlichen Verwaltung sind diese Fragen besonders heikel. Die ENISA hat festgestellt, dass insbesondere Gesundheitsdienstleister erheblichen Risiken ausgesetzt sind, wenn Cloud-Dienste von Organisationen betrieben werden, die extraterritorialen Gesetzen unterliegen (ENISA, 2021). Diese Sektoren verarbeiten Gesundheitsdaten, Schülerinformationen und Bürgerdaten. Hier gelten besonders strenge Vertraulichkeitspflichten, oft mit nationalen oder sektorspezifischen Regeln zusätzlich zur DSGVO.

In Deutschland kommt seit Dezember 2025 das NIS-2-Umsetzungsgesetz hinzu. Es verschärft die Cybersicherheitspflichten für Betreiber kritischer Infrastrukturen und „wichtige Einrichtungen" deutlich. DORA, seit Januar 2025 für den Finanzsektor anwendbar, fordert zudem, dass IKT-Drittparteirisiken aktiv gemanagt und dokumentiert werden. Dazu gehört auch die CLOUD-Act-Exposition deiner Cloud-Anbieter.

Warum Sovereign Cloud für Videokonferenzen wichtig ist

Videokonferenz-Plattformen unterscheiden sich von klassischen Cloud-Diensten in einem wichtigen Punkt: Sie verarbeiten Daten kontinuierlich und in Echtzeit.

Audio- und Videoströme werden gleichzeitig übertragen, verarbeitet und manchmal über mehrere Knoten weitergeleitet. Anders als eine gespeicherte Datei sind diese Daten ständig in Bewegung. Deshalb ist es entscheidend zu wissen, wo die Verarbeitung stattfindet und unter welcher Jurisdiktion.

Hinzu kommen die Metadaten, die jede Plattform erzeugt: Teilnehmeridentitäten, Beitritts- und Verlassenszeiten, Geräte- und Netzwerkinformationen. In regulierten Umgebungen können diese Metadaten genauso sensibel sein wie der Inhalt der Gespräche.

Viele Plattformen bieten zusätzlich Aufzeichnungen, automatische Transkripte und Chat-Protokolle. Das erzeugt persistente Daten, die gespeichert, verwaltet und im Einklang mit den jeweiligen Vorschriften geschützt werden müssen. Eine weitere Compliance-Aufgabe.

Moderne Plattformen integrieren sich oft mit Drittanbieter-Diensten oder unterstützen Live-Streaming. Das öffnet zusätzliche Datenflüsse und vergrößert die Zahl der Systeme, die deine Daten berühren.

Im Ergebnis verschärft Videokonferenz die Souveränitätsfrage gegenüber der reinen Datenspeicherung: Daten werden laufend verarbeitet statt nur abgelegt, mehrere Datentypen sind gleichzeitig beteiligt, und externe Integrationen können die Datenflüsse über die primäre Plattform hinaus ausweiten. Es reicht also nicht, zu prüfen, wo Daten gespeichert werden. Du musst verstehen, wie sie über ihren gesamten Lebenszyklus behandelt werden.

Sovereign Cloud in der Praxis: Fragen an deinen Anbieter

Bei der Bewertung eines Anbieters helfen diese Fragen, hinter das Marketing zu schauen:

  • Wo werden Videodaten in Echtzeit verarbeitet? Kläre, ob die Medienströme innerhalb einer definierten Region bleiben.
  • Wer betreibt und kontrolliert die Infrastruktur? Finde heraus, ob der Anbieter ausländischer Eigentümerschaft oder ausländischem Einfluss unterliegt.
  • Welche Jurisdiktion regelt Zugriffsanfragen? Verstehe, wie der Anbieter auf rechtliche Datenanfragen reagiert.
  • Sind Aufzeichnungen und Transkripte optional? Stelle sicher, dass du persistente Datenfunktionen je nach Bedarf an- und ausschalten kannst.
  • Können Features pro Organisation konfiguriert werden? Achte auf Flexibilität bei der Datenverarbeitung.
  • Hat der Anbieter BSI C5 oder vergleichbare Zertifizierungen? In Deutschland ist C5 der Maßstab. Aber: C5 attestiert Sicherheit, nicht Souveränität. Für die Souveränitätsbewertung werden künftig die C3A-Kriterien relevant.
  • Kann der Anbieter einen AVV nach Art. 28 DSGVO vorlegen? Der Auftragsverarbeitungsvertrag ist in Deutschland Pflicht, wenn personenbezogene Daten durch externe Dienstleister verarbeitet werden.

Was „souveräne Videokonferenz" wirklich bedeutet

In der Praxis heißt souveräne Videokonferenz Folgendes: Echtzeit-Kommunikationsdaten werden innerhalb einer definierten Jurisdiktion verarbeitet. Die Infrastruktur wird von Organisationen betrieben, die dieser Jurisdiktion unterliegen. Datenflüsse sind vorhersehbar und transparent. Und du behältst die Kontrolle über optionale Funktionen wie Aufzeichnungen oder Integrationen.

Das deckt sich mit den Kernprinzipien des Datenschutzes: Datenminimierung, Rechenschaftspflicht und Kontrolle. Und es entspricht dem, was Organisationen heute brauchen: digitale Infrastruktur, die regulatorische Anforderungen erfüllt, ohne dass du auf Funktionalität verzichten musst.

Wie Digital Samba dies umsetzt

(Anbieter-Hinweis: Der folgende Abschnitt beschreibt das Angebot von Digital Samba und ist als Vendor-View zu verstehen.)

Digital Samba ist um europäischen Datenschutz und operative Kontrolle herum aufgebaut. Diese Aspekte der Plattformarchitektur sind für Organisationen relevant, die Souveränität bewerten:

  • EU-basierte Infrastruktur. Videodaten werden ausschließlich in europäischen Rechenzentren verarbeitet: Leaseweb Amsterdam (Produktion), Scaleway (Frankreich, Niederlande, Polen) und Leaseweb Frankfurt (Backup und Disaster Recovery). Keine Anwendungs- oder Sitzungsdaten werden außerhalb der EU oder des EWR gespeichert. Alle Sub-Prozessoren sind EU-ansässig.
  • Europäische Eigentümerstruktur und Betrieb. Digital Samba ist ein europäisches Unternehmen mit Hauptsitz in Spanien, vollständig der EU-Jurisdiktion unterworfen. Keine ausländische Muttergesellschaft, keine Exposition gegenüber extraterritorialen Zugriffsanfragen aus nicht-europäischen Jurisdiktionen wie dem CLOUD Act.
  • Kontrolle über datenverarbeitende Features. Du kannst wählen, ob du Aufzeichnungen, Transkripte, KI-Zusammenfassungen und andere datenerzeugende Features aktivierst. Damit lässt sich Datensparsamkeit in der Praxis umsetzen.
  • Transparente Architektur. Die Plattform legt offen, wie Daten verarbeitet werden, mit vollständigem AVV nach Art. 28 DSGVO, einem benannten Datenschutzbeauftragten und einer dokumentierten Sub-Prozessor-Liste. Das erleichtert Compliance-Bewertungen für interne Teams.
  • API- und SDK-Integration. Digital Samba Embedded lässt sich in bestehende Systeme einbetten, sodass du die Kontrolle über deine gesamten Datenflüsse behältst, anstatt sie an eine separate Plattform abzugeben. Mit dem kostenlosen Starter-Plan bekommst du 10.000 Minuten pro Monat, mit vollem API-Zugang.

Fazit

Für Organisationen, die sensible Daten verarbeiten, ist Souveränität bei Videokonferenzen kein abstraktes Thema. Live-Kommunikation erzeugt Echtzeit-Streams, Metadaten und unter Umständen persistente Aufzeichnungen, alles verarbeitet unter dem Recht, das für den Anbieter gilt. Wer eine fundierte Entscheidung treffen will, muss drei Dinge verstehen: welche Jurisdiktion gilt, wer die Infrastruktur kontrolliert und wie Daten durch die Plattform fließen.

In Deutschland werden die regulatorischen Vorgaben weiter verschärft. BSI C3A (April 2026), EU Data Act (September 2025), NIS-2 (Dezember 2025) und DORA (Januar 2025) bewegen das Feld in eine klare Richtung: Souveränität ist mehr als Datenresidenz. Sie braucht rechtliche, operative und technische Kontrolle.

Wenn du mehr über die Cloud-Architektur von Digital Samba erfahren möchtest, schau in unsere Rechtsinformationen oder lies unsere Datenschutz- und DSGVO-Erklärung. Du kannst auch unser Vertriebsteam kontaktieren, um zu besprechen, wie unsere Infrastruktur zu deinem Anwendungsfall passt.

Häufig gestellte Fragen

Was ist eine Sovereign Cloud einfach erklärt?

Eine Sovereign Cloud ist eine Cloud-Umgebung, in der Daten ausschließlich den Gesetzen einer bestimmten Region unterliegen, typischerweise dort, wo sie verarbeitet werden. Anders als beim normalen Cloud-Hosting garantiert eine souveräne Cloud nicht nur den Datenstandort, sondern auch, dass die Eigentümerstruktur und der Betrieb des Anbieters derselben Jurisdiktion unterliegen. In der Praxis heißt das: keine ausländische Muttergesellschaft, keine Exposition gegenüber extraterritorialen Gesetzen wie dem US CLOUD Act.

Was ist der Unterschied zwischen Datenresidenz und Datensouveränität?

Datenresidenz heißt nur, dass deine Daten physisch an einem bestimmten Ort gespeichert sind, zum Beispiel in einem Rechenzentrum in Frankfurt. Datensouveränität geht weiter. Sie stellt sicher, dass die Daten ausschließlich dem Recht dieses Standorts unterliegen und niemand von außerhalb darauf zugreifen kann. Ein EU-Rechenzentrum eines US-Anbieters erfüllt Datenresidenz, aber nicht Datensouveränität.

Warum reicht ein EU-Rechenzentrum allein nicht für die DSGVO?

Weil der US CLOUD Act US-Unternehmen verpflichten kann, Daten herauszugeben, unabhängig davon, wo sie gespeichert sind. Microsoft hat das vor dem französischen Senat im Juni 2025 unter Eid bestätigt. Das Schrems-II-Urteil des EuGH (2020) hat klargestellt: Standardvertragsklauseln allein reichen nicht, wenn der Anbieter Überwachungsgesetzen unterliegt, die mit der DSGVO kollidieren. Auch das EU-US Data Privacy Framework (seit Juli 2023) ändert daran nichts, weil es die Übermittlung regelt, nicht den späteren Zugriff durch US-Behörden.

Was ist BSI C5, und reicht es für Sovereign Cloud?

BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist der deutsche Standard für Cloud-Sicherheit. Er belegt, dass ein Cloud-Dienst bestimmte Sicherheitsanforderungen erfüllt. Allerdings adressiert C5 Sicherheit, nicht Souveränität. Auch AWS und Azure haben C5-Testate, bleiben aber dem CLOUD Act ausgesetzt. Für die Souveränitätsbewertung hat das BSI im April 2026 die C3A-Kriterien (Criteria Enabling Cloud Computing Autonomy) veröffentlicht. Sie ergänzen C5 um eine Souveränitätsdimension.

Was sind die BSI C3A-Kriterien?

Die C3A ergänzen den C5-Katalog um Souveränitätsanforderungen. Während C5 fragt „Ist der Cloud-Dienst sicher?", fragt C3A „Ist er souverän?". Die Kriterien bewerten unter anderem die Eigentümerstruktur, die operative Kontrolle und die rechtliche Exposition des Anbieters. Sie können als Mindestanforderung in Vergabeverfahren festgelegt werden und werden voraussichtlich zum Maßstab für die Bundesverwaltung.

Warum ist Sovereign Cloud für Videokonferenzen besonders wichtig?

Weil Videokonferenzen Daten kontinuierlich in Echtzeit verarbeiten, nicht nur speichern. Audio, Video und Metadaten fließen gleichzeitig durch die Infrastruktur. Hinzu kommen optionale Funktionen wie Aufzeichnungen, Transkripte und Chat-Protokolle, die persistente Daten erzeugen. Wer diese Daten kontrolliert und unter welchem Recht, ist für die Compliance entscheidend. 

 

Ist Digital Samba eine Sovereign Cloud für Videokonferenzen?

Digital Samba erfüllt die Kernelemente der Cloud-Souveränität: EU-only-Infrastruktur (Niederlande, Frankreich, Polen, Deutschland), europäische Eigentümerstruktur ohne ausländische Muttergesellschaft, ausschließlich EU-ansässige Sub-Prozessoren und keine Datenverarbeitung außerhalb der EU oder des EWR. Ein AVV nach Art. 28 DSGVO ist verfügbar, ein Datenschutzbeauftragter ist benannt. Optionale E2EE mit AES-256-GCM stellt sicher, dass bei aktivierter Verschlüsselung selbst die Infrastruktur keinen Zugang zu Klartext-Medien hat. 

Betrifft der EU Data Act auch Videokonferenz-Anbieter?

Ja. Der EU Data Act (anwendbar seit September 2025) verpflichtet Cloud-Anbieter zur Datenportabilität und erleichtert den Anbieterwechsel. Ab Januar 2027 dürfen keine Wechselgebühren mehr erhoben werden. Kapitel VII fordert zudem Schutzmaßnahmen gegen unrechtmäßigen Behördenzugriff aus Drittstaaten auf Daten, die in der EU gehalten werden. 

Was sollte ich als deutsches Unternehmen bei der Wahl eines Videokonferenz-Anbieters beachten?

Prüfe fünf Punkte: Datenstandort (EU-only?), Eigentümerstruktur (EU-Unternehmen ohne US-Mutter?), Sub-Prozessoren (alle EU-ansässig?), Verfügbarkeit eines AVV nach Art. 28 DSGVO und ob sich Features wie Aufzeichnungen und Transkripte abschalten lassen (Datensparsamkeit). Für regulierte Sektoren (KRITIS, Finanzwesen, Gesundheit, Bildung) prüfe zusätzlich BSI C5, C3A und NIS-2-Konformität. 

Back to top

 

Quellen

  • European Commission. (2020). A European strategy for data.
  • European Commission. (2023). Adequacy decision for the EU-US Data Privacy Framework, 10. Juli 2023.
  • European Data Protection Board. (2020). Recommendations 01/2020 on measures that supplement transfer tools.
  • Congressional Research Service. (2018). Clarifying Lawful Overseas Use of Data (CLOUD) Act.
  • ENISA. (2021). Cloud security for healthcare services.
  • Schrems II Judgment. (2020). Court of Justice of the European Union, Case C-311/18.
  • BSI. (2026). Criteria Enabling Cloud Computing Autonomy (C3A).
  • EU-Kommission. (2025). Cloud Sovereignty Framework, Version 1.2.1.
  • Gartner. (2026). Sovereign Cloud IaaS Spending Forecast.
  • Bitkom. (2025). Cloud Report 2025.
  • CISPE. (2026). Offener Brief an EU-Kommissarin Virkkunen, 17. März 2026.
  • Digital Samba. (2026). Security Whitepaper, Version 1.0. März 2026.
Previous story
← Best Practices für API-Sicherheit