Cloud-Souveränität für Forschung und Lehre
Forschungsdaten, Studierendenakten und institutionelle Workloads erfordern mehr als "gehostet in Europa." Das EU-Cloud-Souveränitäts-Framework definiert acht Dimensionen, die bestimmen, ob ein Cloud-Anbieter wirklich souverän ist, von Eigentümerschaft und Rechtsordnung bis hin zu Lieferkettentransparenz und Open-Source-Technologie.
VSHN und Exoscale liefern Cloud-Dienste über den GÉANT-OCRE-2024-Rahmenvertrag mit einem Souveränitätsprofil, das die höchsten von der EU definierten Standards erfüllt.
Warum Souveränität für Forschungsinstitutionen wichtig ist
Die meisten Hyperscale-Cloud-Anbieter (AWS, Azure, Google Cloud) haben ihren Hauptsitz in den USA und unterliegen dem CLOUD Act, der es US-Behörden erlaubt, die Herausgabe weltweit gespeicherter Daten zu erzwingen, ohne die betroffene Person oder Institution zu benachrichtigen.
Für Forschungsinstitutionen, die sensible Daten verarbeiten (klinische Studien, Genomik, Studierendenakten, vorpublikative Forschung), entstehen dadurch rechtliche und ethische Risiken, die "EU-Region"-Deployments nicht lösen. Der CLOUD Act gilt für das Unternehmen, nicht den Standort des Rechenzentrums.
VSHN und Exoscale sind beide Schweizer Unternehmen. Schweizer Recht regelt die gesamte Datenverarbeitung, und keines der beiden Unternehmen unterliegt dem CLOUD Act oder vergleichbaren ausländischen Zugangsgesetzen.
Kürzester DSGVO-Compliance-Pfad
Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss. Übermittlungen personenbezogener Daten in die Schweiz werden unter der DSGVO wie innereuropäische Übermittlungen behandelt. Für Institutionen, die Exoscales Schweizer oder EU-Rechenzentren nutzen, entfällt die Pflicht für Standardvertragsklauseln (SCCs) oder eine Datentransfer-Folgenabschätzung (TIA).
Im Gegensatz dazu müssen Institutionen, die AWS, Azure oder Google Cloud nutzen, eine vollständige TIA durchführen und SCCs implementieren, da diese Anbieter ihren Hauptsitz in den USA haben und FISA Section 702 unterliegen. Der GÉANT DSGVO-Transfer-Leitfaden für NRENs hebt diesen Unterschied ausdrücklich hervor: Bei EU/EWR-betriebenen Plattformen von Nicht-US-Unternehmen reduziert sich die Compliance-Checkliste auf die Überprüfung der Verschlüsselung bei Übertragung und Speicherung.
VSHN-Souveränitäts-Selbstbewertung
Wir haben das EU-Cloud-Souveränitäts-Framework (v1.2.1, Oktober 2025) auf unsere eigenen Dienste angewandt. Dieses Framework wurde verwendet, um Anbieter in der EUR-180-Mio.-Ausschreibung der EU für souveräne Cloud im April 2026 zu bewerten. Drei rein europäische Anbieter erreichten SEAL-3, während ein Konsortium mit Google Cloud nur SEAL-2 erzielte.
Dies ist eine Selbstbewertung, keine formelle SEAL-Zertifizierung. Wir veröffentlichen sie aus Transparenzgründen, damit Institutionen unser Souveränitätsprofil anhand der gleichen strukturierten Kriterien bewerten können, die auch die EU verwendet.
| # | Dimension | Gewicht | Bewertung | Nachweis |
|---|---|---|---|---|
| SOV-1 | Strategisch | 15% | Stark | Schweizer AG, keine ausländische Muttergesellschaft, alle Aktionäre Schweizer Staatsbürger (Handelsregister) |
| SOV-2 | Rechtlich | 10% | Stark | Schweizer Recht (AGB), kein CLOUD Act, EU-Angemessenheitsbeschluss |
| SOV-3 | Daten & KI | 10% | Stark | Rechenzentren in CH/DE/AT/HR/BG mit garantiertem Datenspeicherort. Souveränes Schlüsselmanagement via Managed OpenBao + Swiss HSM |
| SOV-4 | Operativ | 15% | Stark | Schweizer 24/7-Betrieb, Swiss-only-Support-Option. Alle Dienste auf Vanilla Kubernetes |
| SOV-5 | Lieferkette | 20% | Stark | Infrastruktur-unabhängig: Kunde wählt Anbieter. Durchgängig Open-Source-Software |
| SOV-6 | Technologie | 15% | Stark | 100% Open Source. VSHN trägt bei zu K8up (CNCF), Crossplane-Providern, Project Syn |
| SOV-7 | Sicherheit | 10% | Stark | ISO 27001, ISAE 3402 Typ II, Schweizer SOC. FINMA-regulierte Kunden |
| SOV-8 | Umwelt | 5% | Stark | 90% erneuerbare Energie über alle Exoscale-Zonen (100% in CH/DE/AT). Equinix + A1 Group streben Klimaneutralität bis 2030 an. Exoscale Nachhaltigkeit. VSHN-CSR-Richtlinie |
Gesamt: SEAL-3-Äquivalent, die gleiche Stufe, die von den Gewinnern der EU-eigenen Souveränitätsausschreibung erreicht wurde. Kein Anbieter weltweit erreichte SEAL-4: Dies erfordert vollständig aus der EU/dem EWR stammende Hardware-Lieferketten und Open-Source-Grundlagen, strukturelle Lücken, die alle Cloud-Anbieter teilen.
Exoscale: Europäische Cloud-Infrastruktur
Exoscale hat seinen Hauptsitz in der Schweiz (Teil der A1 Telekom Austria Group) und betreibt Rechenzentren in sieben europäischen Städten in Equinix- und A1-Group-Einrichtungen:
| Zone | Stadt | Einrichtung | Erneuerbare Energie |
|---|---|---|---|
| CH-DK-2 | Zürich | Equinix | 100% (Schweizer Wasserkraft) |
| CH-GVA-2 | Genf | Equinix | 100% (Schweizer Wasserkraft) |
| DE-FRA-1 | Frankfurt | Equinix | 100% |
| DE-MUC-1 | München | — | 100% |
| AT-VIE-1 | Wien | Arsenal | 100% |
| AT-VIE-2 | Wien | A1 Next Generation DC | 100% |
| HR-ZAG-1 | Zagreb | A1 Hrvatska DC | 91% |
| BG-SOF-1 | Sofia | — | 75% |
90% des Stroms von Exoscale stammen aus erneuerbaren Quellen über alle Zonen hinweg. Sowohl Equinix als auch die A1 Group streben Klimaneutralität bis 2030 an. Nachhaltigkeit hat 10% Gewicht (AC8) in der GÉANT-Bewertung, wobei Exoscales Profil für erneuerbare Energien wettbewerbsfähig abschnitt. Details und Grünstromzertifikate unter Exoscale Nachhaltigkeit.
Wichtige Souveränitätsmerkmale:
- Garantierter Datenspeicherort: Sie wählen, in welcher Rechenzentrumszone Ihre Workloads laufen
- Keine US-Muttergesellschaft: Die A1 Telekom Austria Group ist in europäischem Besitz
- ISO 27001, ISO 27018, BSI C5 und SOC 2 zertifiziert, ISAE-3402-Auditberichte verfügbar
- DSGVO-konforme Auftragsverarbeitungsvereinbarung (AVV) kostenlos bereitgestellt
- Kostenloser Traffic zu GÉANT und verbundenen NRENs, keine Egress-Gebühren für akademische Netzwerke
Souveränität im Vergleich: Hyperscaler vs. VSHN + Exoscale
| Dimension | AWS / Azure / Google Cloud | VSHN + Exoscale |
|---|---|---|
| Hauptsitz | USA | Schweiz |
| Geltendes Recht | US-Recht (CLOUD Act gilt) | Schweizer Recht (kein CLOUD Act) |
| DSGVO-Compliance | Erfordert SCCs + Datentransfer-Folgenabschätzung | Keine SCCs nötig (Schweizer Angemessenheitsbeschluss) |
| Datenspeicherort | Konfigurierbar, aber Unternehmen unterliegt US-Gerichtsbarkeit | Nur Europa, garantierter Datenspeicherort |
| Eigentümerschaft | US-börsennotiert | Schweizer AG + österreichische Gruppe |
| Daten-Egress zu GÉANT | Standard-Egress-Gebühren | 100% befreit |
| Open Source | Proprietäre Plattformen | Open-Source-Betriebsstack |
| OCRE-Rahmenvertrag | Über OCRE verfügbar | Über OCRE verfügbar |
Souveränitätsbewertung anfordern
Besorgt über die Datensouveränität Ihrer Forschungs-Workloads? Wir können Ihr aktuelles Cloud-Setup anhand des EU-Frameworks bewerten und einen Migrationspfad zu souveräner europäischer Infrastruktur vorschlagen.