Was ist der BSI C3A-Kriterienkatalog?

Der C3A (Criteria enabling Cloud Computing Autonomy) ist ein im April 2026 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichter Katalog mit Kriterien, anhand derer bewertet werden kann, ob ein Cloud-Dienst selbstbestimmt – also souverän – genutzt werden kann. Er ergänzt den bestehenden C5-Sicherheitskatalog um den Aspekt der digitalen Souveränität.

Wann ist eine Cloud wirklich souverän?

Eine Cloud ist wirklich souverän, wenn der Betrieb auch ohne Mitwirkung eines nicht-europäischen Betreibers vollständig funktioniert, alle zugriffberechtigten Mitarbeitenden EU-Bürger mit EU-Wohnsitz sind und kein fremdes Recht wie der US CLOUD Act auf die gespeicherten Daten angewandt werden kann. Die sicherste Form echter Souveränität ist Self-Hosting auf eigener oder europäischer Infrastruktur mit Open-Source-Software.

Gilt der US CLOUD Act auch für Server in Deutschland?

Ja. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, seit 2018) verpflichtet amerikanische Unternehmen dazu, Daten auf Anfrage US-amerikanischer Behörden herauszugeben – unabhängig davon, wo die Server physisch stehen. Ein Server in Frankfurt, der von einem US-Konzern betrieben wird, unterliegt amerikanischem Recht. DSGVO und EU-Serverstandort schützen davor nicht.

Brauche ich ein C3A-Zertifikat für digitale Souveränität?

Nein. Wer seine Software selbst hostet – auf eigenem Server oder bei einem deutschen Anbieter – und Open-Source-Lösungen ohne Abhängigkeit von amerikanischen Konzernen nutzt, ist by design souverän. Kein Audit, kein Zertifikat, kein Kleingedrucktes. C3A-Zertifizierungen sind vor allem für Organisationen relevant, die auf fremde Cloud-Infrastruktur angewiesen sind.

FREIHEIT

Souveränitätswashing: Was BSI C3A wirklich bedeutet – und wann Souveränität kein Label ist

Q: Was ist Souveränitätswashing?

Souveränitätswashing bezeichnet das Phänomen, wenn Anbieter den Begriff 'digital souverän' als Marketingversprechen nutzen, ohne echte technische oder rechtliche Souveränität zu gewährleisten. Typisch: Das Unternehmen erfüllt nur die günstigsten Minimalkriterien eines Zertifikats, unterliegt aber weiterhin fremdem Recht – etwa dem US CLOUD Act.

20. May 2026 · 7 Min.

Das Bundesamt für Sicherheit in der Informationstechnik hat im April 2026 etwas veröffentlicht, das lange fehlte: konkrete Kriterien, wann eine Cloud wirklich souverän ist. Der Katalog heißt C3A – „Criteria enabling Cloud Computing Autonomy". Die Reaktion in der Fachpresse war erwartbar: Gut gemeint. Aber möglicherweise eine Einladung fürs Souveränitätswashing.

Was ist Souveränitätswashing?

Souveränitätswashing ist das digitale Pendant zum Greenwashing: Ein Anbieter schmückt sich mit dem Begriff „souverän" – und meint damit eigentlich: „Wir erfüllen die günstigsten Kriterien auf der untersten Stufe, die wir uns ausgesucht haben." Das Zertifikat ist echt. Die Souveränität ist es nicht.

Das funktioniert, weil die C3A-Kriterien des BSI freiwillig sind und in Stufen aufgeteilt: Es gibt Basiskriterien – und Zusatzkriterien. Anbieter können wählen, was sie erfüllen. Ein Anbieter, der nur die Basiskriterien erfüllt, darf sich trotzdem „C3A-konform" nennen. Was das konkret bedeutet, steht im Kleingedruckten des Auditberichts – nicht im Marketing-Folder.

„Souveränität ist kein Zertifikat. Es ist eine Architekturentscheidung."

Was der BSI C3A wirklich fordert – und was nicht

Die C3A-Kriterien sind technisch durchdacht. Im Kern geht es darum, ob ein Cloud-Dienst auch dann funktioniert, wenn der Anbieter aus einem Nicht-EU-Land abgekoppelt wird. Das BSI nennt das den „Disconnect-Fall". Konkret: Bleibt Betrieb, Integrität und Vertraulichkeit erhalten, wenn der Betreiber aus dem Ausland keinen Zugriff mehr hat? Gibt es einen dokumentierten, getesteten Prozess dafür?

Das klingt hart. Ist es in der Praxis aber nicht immer. Denn: Der strengste Stufe des C3A verlangt, dass alle Mitarbeitenden mit Zugriff auf die Infrastruktur EU-Bürger mit Wohnsitz in Deutschland sein müssen. Aber diese Stufe ist optional. Die Basisversion setzt voraus, dass es einen Disconnect-Plan gibt – nicht, dass dieser Plan Ihren Daten auch wirklich nutzt.

Und das Wichtigste: Die C3A-Kriterien setzen voraus, dass der Anbieter bereits den C5-Katalog des BSI erfüllt. Ohne C5 kein C3A. Das schränkt den Kreis möglicher Anbieter ein – macht aber aus einem abhängigen Großkonzern mit EU-Niederlassung noch keinen souveränen Anbieter.

Das Problem mit fremden Gesetzen und eigenen Servern

Seit 2018 gilt der CLOUD Act. Er zwingt amerikanische Unternehmen dazu, Daten auf Anfrage US-amerikanischer Behörden herauszugeben – egal ob die Server in Frankfurt, Amsterdam oder Wien stehen. Kein EU-Audit, kein C3A-Label, keine DSGVO hebt dieses Gesetz auf. Es gilt, solange das Unternehmen amerikanisch ist.

Das BSI weiß das. Deshalb enthält C3A das Kriterium SOV-4-01: Mitarbeitende müssen EU-Bürger mit EU-Wohnsitz sein. In der strengsten Variante mit deutschem Wohnsitz. Das ist der Versuch, den CLOUD-Act-Hebel zu umgehen – denn ein Anbieter, der strukturell kein Personal unter US-Jurisdiktion hat, kann nicht so einfach zur Herausgabe gezwungen werden.

Aber: Dieses Kriterium ist Zusatzkriterium. Nicht Pflicht. Wer ein Basis-Audit macht, kann diese Anforderung weglassen. Und dann haben wir wieder: schönes Label, fremdes Recht.

Der Unterschied zwischen Zertifikat und Architektur

Es gibt zwei Wege zu digitaler Souveränität. Weg eins: Man nimmt eine fremde Infrastruktur, hängt ein Audit dran und hofft, dass die gewählten Kriterien im Ernstfall ausreichen. Das ist der C3A-Weg für die meisten Großanbieter.

Weg zwei: Man baut die Infrastruktur so, dass die Frage nach dem Zertifikat sich gar nicht erst stellt. Open-Source-Software, die man selbst hostet, unterliegt nicht dem Recht eines fremden Konzerns. Sie unterliegt dem Recht des Servers – und der steht auf Ihrem Gelände, in Ihrem Rechenzentrum oder bei einem deutschen Hoster. Kein Disconnect-Szenario. Kein Audit. Kein Kleingedrucktes.

Das ist keine Kritik am BSI. Die C3A-Kriterien sind für Organisationen gedacht, die zwingend Cloud-Dienste nutzen müssen – Behörden, Kliniken, kritische Infrastrukturen. Für diese Zielgruppe sind klare, prüfbare Kriterien besser als das bisherige Rauschen aus Marketing-Versprechen. Nur: Für kleine und mittlere Unternehmen gibt es oft einen einfacheren Weg.

Wann brauchen Sie kein Zertifikat?

Dann, wenn Ihr Stack keine fremde Infrastruktur voraussetzt. Konkret: Wenn Ihre Geschäftsdaten auf einem Server liegen, den Sie oder ein deutsches Rechenzentrum betreiben. Wenn Ihre Software Open Source ist und Sie den Quellcode einsehen oder wechseln könnten. Wenn kein amerikanisches Unternehmen an Ihrer Infrastruktur beteiligt ist – weder als Anbieter, noch als Unterauftragnehmer.

Das ist keine Utopie. Das ist der Stand der Technik, 2026. Reife Open-Source-Lösungen für Betrieb, Automation, Kommunikation und Datenspeicherung existieren. Sie brauchen dafür kein C3A-Audit. Sie brauchen dafür eine Entscheidung: Wem gehört Ihre digitale Infrastruktur?

Tycho Platform: Souverän by Design. Kein Audit nötig.

Selbst gehostet, Open Source, auf deutschen Servern. Ihre Daten bleiben dort, wo Sie es entscheiden – nicht dort, wo ein Zertifikat es vorschreibt.

Tycho Platform entdecken →

Was jetzt?

Souveränität beginnt mit einer Frage.

Wer betreibt Ihre Infrastruktur – und unter welchem Recht? Die Antwort darauf ist wichtiger als jedes Zertifikat.

Tycho Platform entdecken →
Freiheits-Check starten
Tiefer: Was Freiheit bedeutet →

Über den Autor Kerstin Dambaur

Kerstin Dambaur hat über 30 Jahre im präklinischen Bereich gearbeitet und kennt aus erster Hand, was passiert, wenn Systeme versagen. Heute studiert sie internationales Gesundheitsmanagement und baut mit ihrem Team die digitale Infrastruktur, die sie sich damals gewünscht hätte.

Neue Artikel im Telegram-Kanal folgen

Ihr digitaler Raum wartet.

Tycho Platform entdecken Freiheits-Check starten