Cloud-basierte Kommunikationstools sind heute fester Bestandteil des Arbeitsalltags. Plattformen für Messaging, Dateiaustausch und Videokonferenzen tragen das Tagesgeschäft, von der internen Zusammenarbeit bis zur Kundenkommunikation. Remote- und Hybridarbeit haben diese Entwicklung beschleunigt. Für die meisten Organisationen sind diese Tools längst nicht mehr optional.
Gleichzeitig schauen Unternehmen heute genauer hin, wie und wo ihre Daten verarbeitet werden. Fragen nach Jurisdiktion, Kontrolle und Compliance betrafen lange vor allem Speichersysteme und Datenbanken. Heute betreffen sie genauso die Echtzeit-Kommunikationstools.
In Deutschland und Europa ist das Thema 2026 besonders präsent: 82 Prozent der deutschen Unternehmen wünschen sich starke deutsche oder europäische Cloud-Anbieter, die mit den US-Hyperscalern konkurrieren können. Gleichzeitig halten 78 Prozent Deutschland für zu abhängig von US-Cloud-Anbietern (Bitkom Cloud Report 2025). Laut Gartner steigen die weltweiten Sovereign-Cloud-IaaS-Ausgaben 2026 auf 80 Milliarden Dollar, ein Plus von 36 Prozent gegenüber 2025. In Europa fast verdoppeln sich die Ausgaben in 2026 von 6,9 auf 12,6 Milliarden Dollar; bis 2027 sollen es 23,1 Milliarden sein.
Dieser Beitrag erklärt, was Souveränität im Kontext von Videokonferenzen bedeutet: warum Jurisdiktion entscheidend ist, wie sich Sovereign Cloud von einfacheren Konzepten wie Datenresidenz unterscheidet und welche Fragen du einem Anbieter stellen solltest, bevor du dich entscheidest.
Inhaltsverzeichnis
Eine „Sovereign Cloud" (souveräne Cloud) ist eine Cloud-Umgebung, in der Daten ausschließlich den Gesetzen und Governance-Vorgaben eines bestimmten Landes oder einer Region unterliegen. Typischerweise gilt das Recht des Ortes, an dem die Daten verarbeitet und kontrolliert werden.
Eine praxistaugliche Definition stützt sich auf vier Kernelemente:
Souveränität geht damit über den physischen Standort der Server hinaus. Echte Souveränität verlangt, dass Infrastruktur, Eigentümerstruktur und rechtliche Kontrolle zusammenpassen. Fehlt eines dieser drei Elemente, bleibt das externe Rechtsrisiko bestehen.
Diese Begriffe werden oft synonym verwendet, bedeuten aber etwas Unterschiedliches.
Datenresidenz heißt nur, dass Daten an einem bestimmten Ort gespeichert werden. Sie sagt nichts darüber aus, wer auf die Daten zugreifen darf oder nach welchem Recht. Beispiel: Daten in einem EU-Rechenzentrum eines ausländischen Anbieters können trotzdem nicht-europäischer Gesetzgebung unterliegen.
„EU-Region"-Hosting geht oft nur einen kleinen Schritt weiter. Viele Anbieter werben damit, dass ihre Server in Europa stehen. Das allein reicht aber nicht. Wenn der Anbieter selbst seinen Hauptsitz außerhalb der EU hat, bleibt seine Konzernstruktur Pflichten ausländischer Behörden ausgesetzt. Im Ernstfall muss er Rechtsanfragen oder Offenlegungspflichten nicht-europäischer Behörden nachkommen, und auf die Daten kann unter ausländischer Jurisdiktion zugegriffen werden.
Der Unterschied im Überblick:
| Szenario | Datenstandort | Eigentümerstruktur | Rechtliche Exposition |
|---|---|---|---|
| EU-Rechenzentrum (ausländischer Anbieter) | EU | Nicht-EU | Möglicher ausländischer Zugriff |
| Souveräne Cloud-Umgebung | EU | EU-kontrolliert | Nur EU-Jurisdiktion |
Für Organisationen, die DSGVO-Anforderungen erfüllen müssen, ist diese Unterscheidung wichtig. Die DSGVO stellt strenge Anforderungen an Verarbeitung, Übermittlung und Zugriff auf personenbezogene Daten. Wer sich allein auf Datenresidenz verlässt, ohne die Eigentums- und Kontrollfrage zu klären, bleibt ausländischen Rechtsrahmen ausgesetzt, die mit diesen Anforderungen kollidieren können.
Deutschland hat in Europa eine Vorreiterrolle übernommen, wenn es darum geht, Cloud-Souveränität messbar zu machen.
BSI C5 und C3A. Der „Cloud Computing Compliance Criteria Catalogue" (C5) des BSI ist seit Jahren der deutsche Standard für Cloud-Sicherheit. Im April 2026 hat das BSI mit den „Criteria Enabling Cloud Computing Autonomy" (C3A) einen ergänzenden Kriterienkatalog veröffentlicht, der explizit Souveränitätsanforderungen definiert. C5 beantwortet die Frage „Ist der Cloud-Dienst sicher?". C3A fragt zusätzlich „Ist er souverän?". Die C3A können als Mindestanforderung in Vergabeverfahren und Beschaffungsrahmen festgelegt werden.
EU Cloud Sovereignty Framework (CSF). Die EU-Kommission hat mit dem CSF (Version 1.2.1, Oktober 2025) ein strukturiertes Bewertungsmodell vorgelegt. Es definiert acht Souveränitätsziele und fünf Assurance-Stufen. Der geplante EU Cloud and AI Development Act (CADA) orientiert sich Berichten zufolge am CSF.
ANSSI-BSI-Kooperation. Im November 2025 haben ANSSI (Frankreich) und BSI vereinbart, gemeinsame Cloud-Souveränitätskriterien auf Basis des EU CSF zu entwickeln. In bestimmten Fällen soll ein Nichterfüllen disqualifizierend wirken.
Marktreaktion. Deutsche Sovereign-Cloud-Anbieter wie STACKIT (Schwarz Digits), IONOS, Hetzner (mit C5 Typ 2 ab Anfang 2026) und die von T-Systems betriebene Google Sovereign Cloud bauen unabhängige Alternativen auf. AWS, Microsoft Azure und Google Cloud haben zwar ebenfalls C5-Testate, ihre CLOUD-Act-Exposition bleibt aber bestehen. C5 attestiert technische Sicherheit, nicht rechtliche Souveränität.
Die rechtliche Jurisdiktion ist einer der wichtigsten Aspekte der Souveränität, und einer der am häufigsten übersehenen.
Der US CLOUD Act erlaubt es US-Behörden, von US-basierten Unternehmen Daten anzufordern, auch wenn diese Daten außerhalb der Vereinigten Staaten gespeichert sind. Daten in einem europäischen Rechenzentrum können also weiterhin unter ausländisches Recht fallen, wenn der Anbieter ein US-Unternehmen ist.
Das Schrems-II-Urteil des Europäischen Gerichtshofs (2020) hat diese Problematik bestätigt. Standardvertragsklauseln allein reichen nicht aus, wenn der Anbieter Überwachungsgesetzen unterliegt, die mit EU-Datenschutzstandards kollidieren. Seit Juli 2023 erlaubt das EU-US Data Privacy Framework wieder Datenübermittlungen in die USA an zertifizierte Anbieter, ohne dass Standardvertragsklauseln nötig sind. Im September 2025 hat das Gericht der EU eine erste Klage gegen das DPF abgewiesen. Das ändert aber nichts an der CLOUD-Act-Exposition: Das DPF regelt die Übermittlung personenbezogener Daten in die USA, der CLOUD Act den späteren Zugriff durch US-Behörden. Das sind zwei getrennte Fragen.
Microsoft hat in öffentlichen Anhörungen eingeräumt, dass das Unternehmen gezwungen werden kann, in EU-Rechenzentren gespeicherte Daten an US-Behörden herauszugeben. Vor dem französischen Senat erklärte Anton Carniaux, Director of Public and Legal Affairs bei Microsoft France, im Juni 2025 unter Eid, dass Datensouveränität nicht garantiert werden kann, solange der CLOUD Act gilt. AWS hat mit der European Sovereign Cloud (seit Januar 2026 in Brandenburg verfügbar) selbst eingeräumt, dass Standard-EU-Hosting nicht ausreicht.
Im März 2026 hat CISPE in einem offenen Brief an EU-Kommissarin Henna Virkkunen vor „Sovereignty-Washing" gewarnt: der Praxis, EU-Rechenzentren als souveräne Lösung zu vermarkten, obwohl die rechtliche Kontrolle weiterhin in den USA liegt. Den Brief unterzeichneten der CISPE-Vorsitzende und 24 CEOs europäischer Cloud-Anbieter.
Was folgt daraus? Drei Punkte sind wichtig: Eigentümerstruktur zählt mehr als der Standort der Server. Auch wenn die Infrastruktur in der EU steht, können Unternehmen mit Hauptsitz anderswo verpflichtet sein, ausländischen Anfragen nachzukommen. Daraus folgt eine doppelte Unsicherheit für Organisationen, die mehreren Jurisdiktionen ausgesetzt sind. Und genau das macht es schwer, die Vorhersehbarkeit, Transparenz und Kontrolle herzustellen, die europäische Datenschutzrahmen verlangen.
Für Organisationen im Gesundheitswesen, im Bildungsbereich und in der öffentlichen Verwaltung sind diese Fragen besonders heikel. Die ENISA hat festgestellt, dass insbesondere Gesundheitsdienstleister erheblichen Risiken ausgesetzt sind, wenn Cloud-Dienste von Organisationen betrieben werden, die extraterritorialen Gesetzen unterliegen (ENISA, 2021). Diese Sektoren verarbeiten Gesundheitsdaten, Schülerinformationen und Bürgerdaten. Hier gelten besonders strenge Vertraulichkeitspflichten, oft mit nationalen oder sektorspezifischen Regeln zusätzlich zur DSGVO.
In Deutschland kommt seit Dezember 2025 das NIS-2-Umsetzungsgesetz hinzu. Es verschärft die Cybersicherheitspflichten für Betreiber kritischer Infrastrukturen und „wichtige Einrichtungen" deutlich. DORA, seit Januar 2025 für den Finanzsektor anwendbar, fordert zudem, dass IKT-Drittparteirisiken aktiv gemanagt und dokumentiert werden. Dazu gehört auch die CLOUD-Act-Exposition deiner Cloud-Anbieter.
Videokonferenz-Plattformen unterscheiden sich von klassischen Cloud-Diensten in einem wichtigen Punkt: Sie verarbeiten Daten kontinuierlich und in Echtzeit.
Audio- und Videoströme werden gleichzeitig übertragen, verarbeitet und manchmal über mehrere Knoten weitergeleitet. Anders als eine gespeicherte Datei sind diese Daten ständig in Bewegung. Deshalb ist es entscheidend zu wissen, wo die Verarbeitung stattfindet und unter welcher Jurisdiktion.
Hinzu kommen die Metadaten, die jede Plattform erzeugt: Teilnehmeridentitäten, Beitritts- und Verlassenszeiten, Geräte- und Netzwerkinformationen. In regulierten Umgebungen können diese Metadaten genauso sensibel sein wie der Inhalt der Gespräche.
Viele Plattformen bieten zusätzlich Aufzeichnungen, automatische Transkripte und Chat-Protokolle. Das erzeugt persistente Daten, die gespeichert, verwaltet und im Einklang mit den jeweiligen Vorschriften geschützt werden müssen. Eine weitere Compliance-Aufgabe.
Moderne Plattformen integrieren sich oft mit Drittanbieter-Diensten oder unterstützen Live-Streaming. Das öffnet zusätzliche Datenflüsse und vergrößert die Zahl der Systeme, die deine Daten berühren.
Im Ergebnis verschärft Videokonferenz die Souveränitätsfrage gegenüber der reinen Datenspeicherung: Daten werden laufend verarbeitet statt nur abgelegt, mehrere Datentypen sind gleichzeitig beteiligt, und externe Integrationen können die Datenflüsse über die primäre Plattform hinaus ausweiten. Es reicht also nicht, zu prüfen, wo Daten gespeichert werden. Du musst verstehen, wie sie über ihren gesamten Lebenszyklus behandelt werden.
Bei der Bewertung eines Anbieters helfen diese Fragen, hinter das Marketing zu schauen:
In der Praxis heißt souveräne Videokonferenz Folgendes: Echtzeit-Kommunikationsdaten werden innerhalb einer definierten Jurisdiktion verarbeitet. Die Infrastruktur wird von Organisationen betrieben, die dieser Jurisdiktion unterliegen. Datenflüsse sind vorhersehbar und transparent. Und du behältst die Kontrolle über optionale Funktionen wie Aufzeichnungen oder Integrationen.
Das deckt sich mit den Kernprinzipien des Datenschutzes: Datenminimierung, Rechenschaftspflicht und Kontrolle. Und es entspricht dem, was Organisationen heute brauchen: digitale Infrastruktur, die regulatorische Anforderungen erfüllt, ohne dass du auf Funktionalität verzichten musst.
(Anbieter-Hinweis: Der folgende Abschnitt beschreibt das Angebot von Digital Samba und ist als Vendor-View zu verstehen.)
Digital Samba ist um europäischen Datenschutz und operative Kontrolle herum aufgebaut. Diese Aspekte der Plattformarchitektur sind für Organisationen relevant, die Souveränität bewerten:
Für Organisationen, die sensible Daten verarbeiten, ist Souveränität bei Videokonferenzen kein abstraktes Thema. Live-Kommunikation erzeugt Echtzeit-Streams, Metadaten und unter Umständen persistente Aufzeichnungen, alles verarbeitet unter dem Recht, das für den Anbieter gilt. Wer eine fundierte Entscheidung treffen will, muss drei Dinge verstehen: welche Jurisdiktion gilt, wer die Infrastruktur kontrolliert und wie Daten durch die Plattform fließen.
In Deutschland werden die regulatorischen Vorgaben weiter verschärft. BSI C3A (April 2026), EU Data Act (September 2025), NIS-2 (Dezember 2025) und DORA (Januar 2025) bewegen das Feld in eine klare Richtung: Souveränität ist mehr als Datenresidenz. Sie braucht rechtliche, operative und technische Kontrolle.
Wenn du mehr über die Cloud-Architektur von Digital Samba erfahren möchtest, schau in unsere Rechtsinformationen oder lies unsere Datenschutz- und DSGVO-Erklärung. Du kannst auch unser Vertriebsteam kontaktieren, um zu besprechen, wie unsere Infrastruktur zu deinem Anwendungsfall passt.