Glossar · EU-souveräne Cloud Cloud de Confiance (Trusted Cloud (französische Zertifizierung für souveräne Cloud))
Im Jahr 2021 eingeführte Zertifizierungsregelung der französischen Regierung, die Cloud-Anbieter ausweist, welche die Anforderungen an Souveränität und Sicherheit für sensible Workloads im öffentlichen Sektor und bei Betreibern wesentlicher Bedeutung erfüllen.
## Was Cloud de Confiance tatsächlich ist
Cloud de Confiance ('Vertrauenswürdige Cloud') ist eine politische Initiative und ein Zertifizierungsrahmen der französischen Regierung, der **2021** eingeführt wurde, um Cloud-Anbieter zu kennzeichnen, die ein verschärftes Bündel an Souveränitäts- und Sicherheitsanforderungen erfüllen. Er bietet französischen Verwaltungen, Krankenhäusern, Verteidigungsbehörden und Betreibern wesentlicher Bedeutung (*opérateurs d'importance vitale* — OIVs) eine rechtliche und operative Grundlage, um Cloud-Dienste für sensible Workloads zu nutzen, ohne extraterritorialem ausländischem Recht ausgesetzt zu sein.
Der Rahmen wird gemeinsam von der **ANSSI** (französische Cybersicherheitsbehörde) und dem digitalen Arm der französischen Regierung (DINUM, secrétariat général pour l'investissement) verwaltet. Die technische Grundlage ist **SecNumCloud** — die Qualifikation der ANSSI für Cloud-Dienste.
## Was Cloud de Confiance verlangt
Um sich zu qualifizieren, muss ein Anbieter mehrere aufeinander aufbauende Kriterien erfüllen:
### 1. SecNumCloud-Qualifikation
Die Cloud-Plattform des Anbieters muss die SecNumCloud-Qualifikation der ANSSI besitzen — ein Sicherheitsstandard mit hoher Assurance, der über ISO 27001 / ISO 27017 hinausgeht.
### 2. Immunität gegen extraterritoriales Recht
Der Anbieter muss so strukturiert sein, dass **kein Recht außerhalb der EU** (insbesondere der US-[CLOUD Act](/de/glossary/cloud-act/), FISA Section 702 oder chinesische nationale Sicherheitsverpflichtungen) die Offenlegung von Kundendaten erzwingen kann. In der Praxis erfordert dies mehrheitlich europäisches Eigentum und europäische Unternehmenskontrolle.
### 3. Datenresidenz in der EU
Kundendaten und Metadaten müssen ausschließlich in der EU gespeichert und verarbeitet werden.
### 4. Operative Souveränität
Personal mit administrativem Zugriff muss in der EU ansässig und dem EU-Recht unterworfen sein.
## Zertifizierte Anbieter (Stand 2026)
Die Gruppe der Anbieter mit Cloud-de-Confiance-Status bleibt bewusst klein. Bemerkenswerte Zertifizierungen:
- **S3NS** — das Joint Venture von Thales / Google Cloud (Thales ist Mehrheitsaktionär; betreibt Technologie der Google Cloud Platform unter französischer Rechtskontrolle)
- **Bleu** — Joint Venture von Capgemini / Orange mit Microsoft-Azure-Technologie unter französischer Kontrolle (kommerzieller Start 2024-2025)
- **OVHcloud** — für bestimmte qualifizierte Angebote (der historische französische Hyperscaler)
- **Outscale** (Dassault Systèmes) — früh SecNumCloud-qualifiziert
- **Numspot** — Joint Venture von Docaposte / Bouygues / Dassault / Banque des Territoires (gestartet 2024)
- Verschiedene kleinere Anbieter für spezialisierte Dienste
Die Joint Ventures mit Hyperscalern (S3NS, Bleu) sind operativ am bedeutendsten — sie ermöglichen es der französischen Regierung und OIVs, Google- oder Microsoft-Cloud-Technologie zu nutzen und gleichzeitig das Souveränitätsrecht zu erfüllen.
## Warum Cloud de Confiance wichtig ist
### 1. Sie machte Hyperscaler-Technologie für souveräne Workloads rechtlich nutzbar
Die Joint Ventures S3NS und Bleu zeigten, dass der Technologiestack von der rechtlichen Kontrollstruktur entkoppelt werden kann. Französische Behörden können vertraute Google-/Microsoft-Werkzeuge ohne Exposition gegenüber dem CLOUD Act nutzen.
### 2. Sie setzte das in Europa übernommene Regulierungsmuster
Das deutsche BSI C5, das italienische ACN-Schema, das spanische ENS und der breitere EU-Entwurf [EUCS](/de/glossary/eucs/) sind dem Cloud-de-Confiance-/SecNumCloud-Ansatz strukturell verpflichtet.
### 3. Sie definierte 'echte' Souveränität
Cloud de Confiance unterscheidet zwischen *Marketing-Souveränität* (AWS-'Sovereign Cloud Regions' mit in den USA ansässiger Kontrolle) und *rechtlicher Souveränität* (Anbieter ist strukturell immun gegen ausländisches Recht). Diese Unterscheidung verbreitet sich nun in der EU-Beschaffung.
### 4. Sie klärte den Fahrplan für den öffentlichen Sektor
Die französische 'doctrine cloud au centre' schreibt vor, dass neue Cloud-Projekte des öffentlichen Sektors Cloud de Confiance für sensible Daten verwenden. Dies ist eine konkrete Beschaffungs-Pipeline für zertifizierte Anbieter.
## Cloud de Confiance vs. verwandte Regelungen
| Regelung | Land | Fokus | Status |
|--------|---------|-------|--------|
| Cloud de Confiance | Frankreich | Souveränität + Sicherheit | Operativ seit 2021 |
| BSI C5 | Deutschland | Sicherheitsbasis | Operativ |
| EUCS | EU | EU-weite Cloud-Cybersicherheit | In Entwicklung |
| ENS | Spanien | Sicherheit im öffentlichen Sektor | Operativ |
| ACN | Italien | Nationaler Cyberrahmen | Operativ |
| SecNumCloud | Frankreich | Technische Sicherheitsbasis | Operativ |
SecNumCloud ist das technische Fundament; Cloud de Confiance ist die breitere Souveränitätshülle darum herum.
## Was Cloud de Confiance in der Praxis bedeutet
### Für französische Käufer im öffentlichen Sektor
Cloud de Confiance wird für sensible Workloads zunehmend verpflichtend. Beschaffungstexte verweisen direkt darauf.
### Für europäische Unternehmen allgemein
Die zertifizierten Anbieter sind unabhängig von Nationalität glaubwürdige Optionen. Ein französisches SaaS-Unternehmen, das auf S3NS oder OVHcloud hostet, signalisiert Souveränitätsorientierung.
### Für US-Hyperscaler
Das Muster S3NS / Bleu ist die Vorlage für die Teilnahme an der regulierten europäischen Cloud — *mehrheitliche rechtliche Kontrolle an europäischen Partner abgeben, Technologiestack lizenzieren*. Für die meisten US-Hyperscaler kommerziell unattraktiv.
### Für andere europäische Cloud-Anbieter
Cloud de Confiance schafft einen legitimen Wettbewerbsgraben gegenüber Hyperscalern in regulierten französischen Segmenten.
## Was 2026-2027 bringt
- **Fortgesetzter Roll-out von S3NS / Bleu**, sobald die JV-Betriebsmodelle reifen
- **Ausweitung auf KI-Workloads** — Cloud-de-Confiance-Prinzipien auf KI-Infrastruktur unter dem EU AI Act
- **Koordination mit EUCS** — wenn EUCS finalisiert wird, wird Cloud de Confiance vermutlich der höchsten Assurance-Stufe entsprechen
- **Mehr Joint Ventures**, da US-Anbieter versuchen, über französische Partner teilzunehmen
- **Reifung von Numspot** — das vollfranzösische JV positioniert sich als die souveränitätsreinste Option
## Praktische Implikationen
Für die meisten europäischen Tech-Käufer:
- **Wenn Sie eine französische öffentliche Einrichtung sind**: Das betrifft Sie direkt
- **Wenn Sie französische öffentliche Kunden bedienen**: Cloud-de-Confiance-Anbieter werden strategisch
- **Wenn Sie Cloud-Souveränität breit bewerten**: Dies ist der reifste europäische Rahmen — studieren Sie ihn
- **Wenn Sie anderswo in Europa tätig sind**: Ähnliche nationale Rahmen entstehen; Cloud de Confiance ist die Vorlage
Für alltägliche SaaS-Entscheidungen ist dies Hintergrundkontext. Für Souveräne-Cloud-Strategie ist es grundlegend.
War das hilfreich?
Danke für Ihr Feedback!