Recht & ComplianceFortgeschritten
Was ist das Cloud Sovereignty Disclosure (CSD) Framework?
Strukturiertes Disclosure-Modell für Cloud-Souveränität: Stufen, Kriterien und Abgrenzung zu BSI C5 und EUCS

Definition: Was ist das CSD Framework?
Das Cloud Sovereignty Disclosure (CSD) Framework ist ein strukturiertes Modell, mit dem Cloud-Anbieter ihren Souveränitäts-Status transparent und vergleichbar offenlegen. Statt Souveränität als Marketing-Label zu nutzen, zerlegt CSD die Frage in einzelne, prüfbare Dimensionen — Datenstandort, Subprocessor, Personalzugriff, Rechtsraum, Audit-Rechte, Exit-Optionen — und ordnet das Ergebnis in abgestufte Souveränitäts-Stufen.
Der Begriff wurde 2024 im Umfeld der Microsoft Cloud for Sovereignty erstmals breit verwendet, als Microsoft eine Cloud-Sovereignty-Disclosure-Spezifikation für eigene Sovereign-Cloud-Produkte veröffentlichte. Inzwischen wird CSD allgemeiner verwendet — als Sammelbegriff für Disclosure-orientierte Souveränitäts-Frameworks neben Zertifizierungs-Schemata wie BSI C5 oder EUCS.
Der Kerngedanke ist Disclosure statt Zertifizierung: Anbieter beantworten einen festen Fragenkatalog präzise und nachprüfbar, statt einen einheitlichen Mindest-Standard zu erfüllen. Damit wird Souveränität zur Anforderungs-Liste — Kunden ordnen die Antworten ihrer eigenen Schutzbedarfs-Klassifikation zu.
Souveränitäts-Stufen und Bewertungs-Kriterien
CSD-Frameworks operieren typischerweise mit drei bis fünf Souveränitäts-Stufen, die unterschiedliche Schutzniveaus definieren.
Stufe 1 — Basis: Daten werden in EU-Rechenzentren gespeichert. Anbieter kann US-Mutter haben, US-Subprocessor sind möglich, Standard-Verträge greifen. Geeignet für nicht-personenbezogene oder niedrig-sensible Workloads.
Stufe 2 — Erweitert: EU-Datenstandort plus Verschlüsselung mit kunden-eigenen Schlüsseln (BYOK), eingeschränkter Personalzugriff, EU-Support-Operationen. Reduziert CLOUD-Act-Risiken, eliminiert sie aber nicht.
Stufe 3 — Sovereign: Anbieter mit EU-Holding-Struktur, ausschließlich EU-Subprocessor, vollständige Audit-Rechte, Exit-Klauseln mit definierten Fristen. Erfüllt typische DSGVO- und KRITIS-Anforderungen.
Stufe 4 — Hochsouverän: Air-gapped oder dedizierte Infrastruktur, kein Remote-Zugriff durch Anbieter, Schlüssel ausschließlich beim Kunden, fortlaufende Disclosure-Pflichten. Für Verteidigung, Geheimschutz, höchste KRITIS-Stufen.
Geprüft werden in jeder Stufe vier Kategorien: Daten-Standort und -Reichweite, Personalzugriff und Subprocessor, Rechts- und Vertrags-Rahmen, Operative Souveränität (Patches, Updates, Konfiguration). CSD-Frameworks unterscheiden sich darin, welche Kriterien sie pro Stufe verlangen — die Microsoft-Variante legt andere Schwerpunkte als ein anbieter-unabhängiger Branchen-Konsens.
Abgrenzung zu BSI C5 und EUCS
CSD ist nicht das einzige Cloud-Souveränitäts-Framework im deutschen und europäischen Markt. Die Abgrenzung zu BSI C5 und EUCS ist 2026 wichtig, weil die drei Modelle unterschiedliche Funktionen erfüllen.
BSI C5 (Cloud Computing Compliance Criteria Catalogue) ist seit 2016 etabliert und vom BSI verantwortet. C5 ist ein Sicherheits-Standard mit über 100 Kontrollen — Information Security Management, Verschlüsselung, Backup, Incident Response. C5 deckt Sicherheit ab, nicht Souveränität: Ein C5-zertifizierter US-Hyperscaler kann CLOUD-Act-pflichtig bleiben.
EUCS (EU Cybersecurity Certification Scheme for Cloud Services) ist die EU-Schwester von C5 — entwickelt von ENISA, soll 2025/2026 schrittweise verbindlich werden. EUCS hat drei Stufen (Basic, Substantial, High). Die Frage, ob die High-Stufe Sovereignty-Anforderungen einschließt — kein US-Subprocessor, keine US-Holding — ist seit 2023 politisch umkämpft. Stand 2026 ist die strenge Auslegung in Frankreich, Spanien und Italien gefordert; Deutschland und die Niederlande tendieren zur weniger strengen Variante.
CSD ist komplementär: ein Disclosure-Format für Anbieter-Aussagen, das mit C5 oder EUCS kombinierbar ist. C5/EUCS sagen, ob ein Anbieter ein Mindest-Sicherheits-Niveau erfüllt; CSD sagt, welche Souveränitäts-Eigenschaften er konkret bietet. Für die Anbieter-Auswahl braucht es 2026 typischerweise alle drei Perspektiven.
CSD in der Praxis: wie nutzt man es?
CSD-Disclosure-Dokumente sind das Werkzeug, mit dem Procurement und Compliance Souveränitäts-Aussagen vergleichbar machen. Drei Schritte sind in der Praxis üblich.
Erstens: Schutzbedarfs-Klassifikation. Welche Workloads brauchen welche Souveränitäts-Stufe? Standard-Office-Daten landen oft in Stufe 1 oder 2, Personal- und Kundendaten in Stufe 2 oder 3, KRITIS-Anwendungen und besondere Kategorien personenbezogener Daten in Stufe 3 oder 4. Die Klassifikation richtet sich nach DSGVO-Art-32-Risiko-Bewertung und brancheneigenen Anforderungen (BAIT, VAIT, KRITIS).
Zweitens: Anbieter-Disclosure einholen. CSD-Anbieter veröffentlichen ihre Disclosure-Dokumente öffentlich oder unter NDA. Geprüft werden die Antworten auf rund 40 bis 80 Fragen — Standort, Subprocessor, Audit-Rechte, Exit-Optionen. Wichtig: Disclosure ist Selbstauskunft. Validierung durch unabhängige Prüfer (Wirtschaftsprüfer, ISO-Auditoren) erhöht den Vertrauenswert deutlich.
Drittens: Mapping auf Schutzbedarf. Nicht jede Stufe-3-Aussage des Anbieters erfüllt automatisch die eigene Stufe-3-Anforderung. Beispiel: Anbieter A bezeichnet sich als 'sovereign', weil seine Holding in Frankreich sitzt — Anbieter B, weil seine Subprocessor-Kette komplett EU-intern ist. Beide nennen sich Stufe 3, decken aber unterschiedliche Risiken ab. Praktiker:innen erstellen deshalb eigene Mapping-Tabellen.
Wichtig: CSD allein ist 2026 keine Compliance-Bescheinigung. Es ist ein Vergleichs-Werkzeug, das in Kombination mit Zertifizierungen (C5, EUCS) und vertraglichen Klauseln (DPA, AVV) wirksam wird.
Stand 2026 und Ausblick
2026 ist CSD im deutschen und europäischen Markt etabliert, aber nicht standardisiert. Mehrere Frameworks koexistieren.
Microsoft Cloud for Sovereignty Disclosure ist das bekannteste anbieter-spezifische CSD, mit detaillierten Aussagen zu Datenstandort, Personalzugriff und Operativer Souveränität für Azure-Sovereign-Konfigurationen. Microsoft hat das Framework 2024 erstmals veröffentlicht und seither halbjährlich aktualisiert.
GAIA-X Trust Framework Self-Descriptions sind ein weiteres CSD-ähnliches Modell — Anbieter beschreiben ihre Services maschinenlesbar und kryptografisch signiert in JSON-LD, Drittparteien validieren gegen GAIA-X-Regeln. Das ist technisch reifer, aber adoption-seitig auf GAIA-X-Datenräume beschränkt.
Bitkom und einzelne Branchenverbände arbeiten 2026 an einem branchen-übergreifenden CSD-Standard, der mit EUCS-High-Stufe kompatibel sein soll. Ergebnis ist offen — die Diskussion zwischen strenger Auslegung (kein US-Subprocessor) und pragmatischer Auslegung (Risiko-basierter Ansatz) ist parallel zur EUCS-Debatte.
Für Praktiker:innen heißt das: bis ein verbindlicher EU-CSD-Standard existiert, sind anbieter-spezifische Disclosures plus eigene Mapping-Tabellen die einzige verlässliche Vergleichs-Grundlage. Der Aufwand verschiebt sich dabei vom Zertifikat zum Vertrag.
Häufige Fragen zu Cloud Sovereignty Disclosure Framework
Was bedeutet CSD im Cloud-Kontext?
CSD steht für Cloud Sovereignty Disclosure — ein strukturiertes Offenlegungs-Modell, mit dem Cloud-Anbieter ihren Souveränitäts-Status transparent darstellen. Statt Souveränität als Marketing-Label zu nutzen, zerlegt CSD die Frage in prüfbare Dimensionen wie Datenstandort, Subprocessor, Personalzugriff, Rechtsraum, Audit-Rechte und Exit-Optionen. Das Ergebnis wird typischerweise in abgestufte Souveränitäts-Stufen eingeordnet.
Wie unterscheidet sich CSD von BSI C5?
BSI C5 ist ein Sicherheits-Standard mit über 100 Kontrollen — Information Security Management, Verschlüsselung, Backup, Incident Response. C5 deckt Sicherheit ab, nicht Souveränität: Auch ein C5-zertifizierter US-Hyperscaler kann CLOUD-Act-pflichtig bleiben. CSD beantwortet genau die Souveränitäts-Frage, die C5 offenlässt — Standort, Rechtsraum, Subprocessor, Personalzugriff. In der Praxis braucht es beide Frameworks.
Was sind die typischen CSD-Souveränitäts-Stufen?
Drei bis fünf Stufen sind üblich. Basis: EU-Datenstandort, US-Subprocessor möglich. Erweitert: zusätzlich Kunden-eigene Schlüssel und eingeschränkter Personalzugriff. Sovereign: EU-Holding, EU-Subprocessor, volle Audit-Rechte, Exit-Klauseln. Hochsouverän: dedizierte oder air-gapped Infrastruktur, kein Remote-Zugriff, Schlüssel ausschließlich beim Kunden. Die genauen Definitionen variieren je nach Framework.
Ersetzt CSD eine EUCS-Zertifizierung?
Nein. CSD ist ein Disclosure-Format — Selbstauskunft des Anbieters, optional durch Dritte validiert. EUCS ist eine echte Zertifizierung mit verbindlichen Mindest-Anforderungen, durchgeführt von akkreditierten Prüfstellen. Beide ergänzen sich: EUCS bestätigt, dass ein Anbieter ein Mindest-Niveau erfüllt; CSD beschreibt, welche Souveränitäts-Eigenschaften er konkret bietet. Für regulierte Workloads sind 2026 zunehmend beide gefordert.
Welche Anbieter veröffentlichen CSD-Dokumente?
Microsoft (Cloud for Sovereignty), Google Cloud (Sovereign Controls), AWS (European Sovereign Cloud), T-Systems, Stackit, IONOS und mehrere kleinere europäische Anbieter veröffentlichen 2026 CSD-ähnliche Dokumente. Die Detailtiefe und der Standardisierungs-Grad unterscheiden sich erheblich. GAIA-X-Mitglieder publizieren zusätzlich strukturierte Self-Descriptions. Ein einheitlicher EU-Standard ist 2026 in Arbeit, aber noch nicht verbindlich.