Ud af den amerikanske cloud: En oversigt over suveræne SaaS-tilbud + anbefalinger til handling

Behovet for digital suverænitet for europæiske virksomheder

Digital transformation skrider uophørligt frem, og cloud computing, især Software-as-a-Service (SaaS), er blevet et uundværligt værktøj for virksomheder i alle størrelser. Det muliggør fleksibilitet, skalerbarhed og adgang til innovative teknologier. Samtidig har denne udvikling ført til en betydelig afhængighed af nogle få, primært amerikanske, cloududbydere.

Relateret til dette:

• Hvorfor den amerikanske CLOUD Act er et problem og en risiko for Europa og resten af ​​verden: En lov med vidtrækkende konsekvenser

Problemformulering: Voksende afhængighed af amerikanske cloududbydere

Det europæiske cloudmarked er klart domineret af de store amerikanske hyperscalere: Amazon Web Services (AWS), Microsoft Azure og Google Cloud Platform (GCP). Disse udbydere kontrollerer en stor andel af det globale marked. Selv førende europæiske udbydere som SAP og Deutsche Telekom opnår til sammenligning kun små markedsandele i Europa. Denne koncentration indebærer en iboende risiko: en stor del af den globale, og især den europæiske, cloudinfrastruktur er potentielt underlagt amerikansk jurisdiktion. Derfor vokser bevidstheden om de risici, der er forbundet med denne afhængighed, i europæiske virksomheder og i stigende grad også i offentlige forvaltninger. Bekymringer vedrørende databeskyttelse, datasikkerhed og tab af kontrol over kritiske data og processer træder i forgrunden. Spørgsmålet om digital suverænitet er ved at blive et strategisk imperativ.

Relevansen af ​​datasuverænitet og GDPR-overholdelse

Kernen i europæiske bekymringer ligger den generelle forordning om databeskyttelse (GDPR). Siden 2018 har den dannet den strenge juridiske ramme for beskyttelse af personoplysninger i Den Europæiske Union og regulerer i detaljer behandlingen og overførslen heraf, især til lande uden for EU. For europæiske virksomheder er overholdelse af GDPR ikke kun en juridisk forpligtelse, men også en afgørende faktor for at opretholde kundernes og forretningspartnernes tillid. Parallelt hermed vinder konceptet om digital suverænitet i betydning. Det beskriver Europas ambition om at genvinde eller bevare kontrollen over sine egne data, teknologier og digitale infrastrukturer. Dette er ikke kun et spørgsmål om databeskyttelse, men også et industripolitisk mål, der sigter mod at styrke den europæiske økonomi og konkurrenceevnen i en globaliseret digital verden. For virksomheder betyder det behovet for at gentænke cloudstrategier og proaktivt søge løsninger, der både er juridisk kompatible og troværdige, og som sikrer deres operationelle kapacitet.

Relateret til dette:

• AI-integration af en uafhængig og tværgående AI-platform til alle forretningsbehov

Rapportens mål og struktur

Denne rapport er rettet mod europæiske erhvervs- og IT-beslutningstagere, der står over for udfordringen med at udvikle en fremtidssikret og risikobevidst cloudstrategi. Dens mål er at skabe et solidt grundlag for beslutningstagning ved at:

• Analyserer de specifikke risici, der opstår for europæiske virksomheder ved brug af amerikansk-baserede SaaS-tjenester, især med hensyn til konflikten mellem GDPR og amerikanske love såsom CLOUD Act og FISA 702.
• Definerer, hvad der menes med "sovereign SaaS-tilbud" i europæisk sammenhæng, og hvilke kriterier de skal opfylde.
• Dette er en markedsoversigt over europæiske SaaS-udbydere, der positionerer sig som suveræne alternativer, kategoriseret efter anvendelsesområder.
• Den sammenligner vigtige alternativer i nøglekategorier med hensyn til funktioner, prisfastsættelse og, vigtigst af alt, implementering af datasuverænitet og GDPR-overholdelse.
• Specialiserede løsninger til følsomme sektorer som offentlig administration, sundhedsvæsen og finans blev fremhævet.
• Præsenterer relevante EU-initiativer (såsom Gaia-X) og certificeringer (såsom EUCS, BSI C5), der fremmer cloudsuverænitet.
• Den drager en konklusion og udleder anbefalinger til virksomhedernes strategiske retning.

Risikoanalyse: Amerikanske cloudtjenester og udfordringerne for europæiske virksomheder

Brugen af ​​cloud-tjenester, især SaaS-tilbud, fra udbydere med base i USA stiller europæiske virksomheder over for betydelige juridiske og operationelle udfordringer. Disse stammer primært fra den grundlæggende konflikt mellem strenge europæiske databeskyttelsesregler og vidtrækkende amerikanske overvågnings- og dataadgangslove.

Kernekonflikten: GDPR vs. amerikanske overvågningslove

Den generelle forordning om databeskyttelse (GDPR) danner grundlaget for europæisk databeskyttelse. Den fastsætter høje standarder for behandling af EU-borgeres personoplysninger. Artikel 44 ff. i GDPR, som regulerer overførsel af sådanne data til tredjelande (lande uden for EU/EØS), er særligt relevante for cloud-brug. En sådan overførsel er kun tilladt, hvis tredjelandet yder et "tilstrækkeligt beskyttelsesniveau" (som fastsat ved en tilstrækkelighedsafgørelse fra EU-Kommissionen), eller hvis "passende garantier" (såsom standardkontraktbestemmelser eller bindende virksomhedsregler) er på plads, og der er håndhævelige rettigheder og effektive retsmidler til rådighed for registrerede. Desuden forbyder artikel 48 i GDPR eksplicit overførsel af data til myndigheder i et tredjeland baseret på deres afgørelser eller domme, medmindre der findes en international aftale, såsom en traktat om gensidig retshjælp. Flere amerikanske love, der giver amerikanske myndigheder omfattende adgangsrettigheder til data, selvom de er lagret uden for USA, modsiger denne europæiske beskyttelsesstandard

• Den amerikanske CLOUD Act (Clarifying Lawful Overseas Use of Data Act): Denne lov, vedtaget i 2018, giver amerikanske retshåndhævende myndigheder og efterretningstjenester beføjelse til at kræve, at amerikanske kommunikations- og teknologivirksomheder udleverer data under deres kontrol – uanset hvor i verden disse data er lagret. Dette omfatter eksplicit data, der er placeret i datacentre i Den Europæiske Union. CLOUD Act underminerer således territorialitetsprincippet for databeskyttelse og er i direkte modstrid med kravene i GDPR, især artikel 48. Den blev delvist vedtaget som et svar på en langvarig juridisk tvist mellem Microsoft og den amerikanske regering om adgang til e-mails, der er lagret på servere i Irland, og den moderniserede ældre adgangsregler fra tiden efter 11. september 2001, såsom Patriot Act. Mens CLOUD Act indeholder mekanismer, der giver en udbyder mulighed for at anfægte en offentliggørelsesordre, hvis den overtræder lovgivningen i en anden stat (såsom GDPR), er den praktiske effektivitet af disse mekanismer, især med hensyn til nationale sikkerhedsordrer, meget kontroversiel og giver ingen pålidelig garanti for europæiske virksomheder. Udbydere er således fanget i et dilemma: Hvis de overholder en CLOUD Act-ordre uden et EU-retsgrundlag, risikerer de massive GDPR-bøder; hvis de nægter at videregive oplysninger med henvisning til GDPR, står de over for sanktioner i henhold til amerikansk lov.
• FISA Section 702 (Foreign Intelligence Surveillance Act): Denne bestemmelse, som er en del af FISA Amendments Act fra 2008, tillader amerikanske efterretningstjenester som NSA at udføre målrettet overvågning af elektronisk kommunikation fra ikke-amerikanske personer, der befinder sig uden for USA. Overvågningen udføres for at indhente "udenlandske efterretningsoplysninger". FISA 702 forpligter amerikanske udbydere af elektroniske kommunikationstjenester (ECSP'er), herunder mange store cloud- og SaaS-udbydere, til at samarbejde med myndighederne. Omfanget af potentielt indsamlede data er meget bredt og kan ikke kun omfatte metadata, men også indholdet af kommunikation, selv kommunikation fra uinvolverede tredjeparter, der blot nævner en målperson. Overvågningsprogrammerne under FISA 702 (såsom PRISM og Upstream) var et centralt kritikpunkt i Schrems II-afgørelsen fra EU-Domstolen (se nedenfor). Der rettes også kritik mod manglen på effektive retsmidler for berørte EU-borgere og potentialet for masseovervågning, selvom amerikanske myndigheder benægter dette.
• Bekendtgørelse 12333 og andre: Ud over CLOUD Act og FISA 702 findes der andre retsgrundlag, såsom bekendtgørelse 12333, som giver amerikanske efterretningstjenester omfattende beføjelser til at udføre overvågning i udlandet, ofte uden retsligt tilsyn eller specifikke juridiske begrænsninger for ikke-amerikanske personer.

Denne grundlæggende juridiske konflikt skaber en situation, hvor brugen af ​​cloudtjenester fra amerikanske udbydere udgør en iboende risiko for europæiske virksomheder.

Specifikke risici for europæiske virksomheder

Den beskrevne juridiske konflikt udgør konkrete risici for europæiske virksomheder, der bruger amerikanske SaaS-tjenester:

• Databrud og bøder: Videregivelse af personoplysninger til amerikanske myndigheder i henhold til CLOUD Act eller FISA 702 uden et gyldigt retsgrundlag i henhold til EU-retten (f.eks. en traktat om gensidig retshjælp) udgør en klar overtrædelse af GDPR, især artikel 48. Dette kan føre til betydelige bøder på op til 4 % af den globale årlige omsætning samt civile erstatningskrav fra registrerede. Den blotte brug af en amerikansk cloudtjeneste kan betragtes som potentielt manglende overholdelse af GDPR, hvis udbyderen ikke kan garantere, at den ikke vil videregive data i strid med GDPR.
• Tab af datasuverænitet og -kontrol: Kontraktlige forsikringer fra amerikanske udbydere om, at data kun lagres i EU's datacentre, tilbyder ikke effektiv beskyttelse mod amerikansk adgang i henhold til CLOUD Act eller FISA. Amerikansk lovgivning kan tilsidesætte disse forsikringer og endda tekniske sikkerhedsforanstaltninger. Selv datakryptering er ikke et universalmiddel, hvis den amerikanske udbyder kontrollerer krypteringsnøglerne, da de kan blive tvunget til at videregive dem. Tilsvarende kan adgangskontrolmekanismer omgås, og revisionslogge kan ses uden dataejerens viden, hvilket overtræder gennemsigtighedskravene i GDPR. Europæiske virksomheder mister dermed effektivt kontrollen over, hvem der tilgår deres data, og under hvilke omstændigheder.
• Industrispionage og tab af forretningshemmeligheder: Den potentielle udstrømning af følsomme virksomhedsdata udgør en særlig alvorlig risiko. Dette omfatter intellektuel ejendom, forsknings- og udviklingsdata, prototyper, strategiske planer, finansielle data og fortrolige kundedata og kommunikation. Bekymringen for, at amerikanske myndigheder kan bruge deres adgangsrettigheder til økonomiske formål (industrispionage), er en væsentlig drivkraft for europæiske virksomheder til at søge alternativer eller implementere yderligere beskyttelsesforanstaltninger. Tabet af sådanne oplysninger kan føre til betydelige økonomiske tab, omdømmeskade og tab af konkurrencefordele.
• Juridisk usikkerhed og tab af tillid: Den uløste konflikt mellem europæisk databeskyttelseslovgivning og amerikanske adgangsrettigheder skaber betydelig juridisk usikkerhed for virksomheder, der bruger amerikanske tjenester. Denne usikkerhed komplicerer langsigtet planlægning og compliance-indsatsen. Desuden kan fortsat brug af tjenester, hvor databeskyttelse ikke kan garanteres, alvorligt underminere kunders, medarbejderes og forretningspartneres tillid.
• Geopolitiske risici: Love som CLOUD Act ses i sammenhæng med globale tendenser mod øget statsovervågning og en potentiel fragmentering af internettet ("Splinternet"). Der drages sammenligninger med lignende love i andre lande, såsom Kinas nationale efterretningslov. Desuden udgør overdreven afhængighed af teknologiudbydere fra en enkelt ikke-europæisk region strategiske risici for Europas digitale autonomi og modstandsdygtighed.

Risiciene ved at bruge amerikanske cloudtjenester rækker langt ud over potentielle GDPR-sanktioner. De omfatter tab af kritiske forretningsdata, omdømmeskade og trussel mod konkurrenceevnen på grund af potentiel misbrug af adgangsrettigheder til industrispionage. Disse ofte vanskeligt kvantificerede, men potentielt eksistentielle, "tilstødende" risici undervurderes let, når man udelukkende fokuserer på GDPR-overholdelse.

Schrems II-dommen og databeskyttelsesrammen (DPF)

Den juridiske usikkerhed omkring transatlantiske dataoverførsler blev betydeligt forværret af EU-Domstolens Schrems II-dom i juli 2020. EU-Domstolen erklærede den daværende gældende EU-US Privacy Shield-aftale ugyldig. Begrundelsen: Amerikanske overvågningslove, især FISA 702 og relaterede programmer, tillader krænkelser af EU-borgeres grundlæggende rettigheder (databeskyttelse, privatliv), der ikke er begrænset til, hvad der er strengt nødvendigt, og som ikke tilbyder tilsvarende beskyttelse som den, der ydes i EU. Derudover mangler der effektive retsmidler for berørte personer i USA mod sådanne overvågningsforanstaltninger. Mens dommen bekræftede den generelle gyldighed af standardkontraktbestemmelser (SCC'er) som et alternativt instrument til dataoverførsler, præciserede EU-Domstolen, at dataeksportører ikke kan stole blindt på SCC'er. Som en del af en individuel vurdering (Transfer Impact Assessment – ​​​​TIA) skal det undersøges, om lovgivningen og praksis i destinationslandet (her USA) garanterer et beskyttelsesniveau, der "i det væsentlige svarer" til det i EU. Hvis dette ikke er tilfældet på grund af overvågningslovgivningen – som EU-Domstolen foreslog for USA – skal der træffes yderligere foranstaltninger (supplerende foranstaltninger) (f.eks. stærk kryptering, hvor modtageren ikke har adgang til nøglerne) for at sikre beskyttelse. Hvis selv dette ikke er muligt, skal dataoverførslen suspenderes. CLOUD Act blev i denne sammenhæng set som en faktor, der yderligere underminerer argumentet for et tilsvarende beskyttelsesniveau. Som reaktion på den juridiske usikkerhed, der blev skabt af Schrems II, og for at give datastrømmene mellem EU og USA et mere solidt grundlag, blev EU-Kommissionen og den amerikanske regering enige om EU-US Data Privacy Framework (DPF). Denne trådte i kraft i juli 2023 gennem en ny tilstrækkelighedsafgørelse fra EU-Kommissionen. Databeskyttelsesrammen (DPF) har til formål at imødekomme de bekymringer, som EU-Domstolen (EF-Juristen) rejste i Schrems II-dommen, ved at give yderligere garantier fra amerikansk side: Amerikanske efterretningstjenesters adgang til EU-borgeres data skal begrænses til, hvad der er nødvendigt og forholdsmæssigt, og der er etableret en ny, todelt retsmiddelmekanisme (herunder Data Protection Review Court – DPRC) for EU-borgere. Virksomheder i USA kan opnå DPF-certificering, og dataoverførsler fra EU til disse certificerede virksomheder anses derefter for tilladte uden behov for yderligere instrumenter såsom standardkontraktbestemmelser (SCC'er) eller andre foranstaltninger. Der er dog fortsat betydelig tvivl og risici vedrørende DPF's stabilitet og effektivitet

• Grundlæggende amerikanske love er fortsat gældende: CLOUD Act og FISA 702 blev ikke ændret af DPF. De amerikanske myndigheders grundlæggende beføjelser til at få adgang til data eksisterer fortsat.
• Tvivl om EU-Domstolens (ECJ) kontrol: Mange databeskyttelseseksperter og -aktivister tvivler på, at de sikkerhedsforanstaltninger, der er fastsat i Databeskyttelsesfonden (DPF) og den nye retsmiddelmekanisme, vil kunne modstå en fornyet kontrol fra EU-Domstolen. Især sættes der spørgsmålstegn ved Databeskyttelseskommissionens (DPRC) uafhængighed og håndhævelsesbeføjelser.
• Løbende overvågning er påkrævet: I henhold til artikel 45(4) i GDPR er Europa-Kommissionen forpligtet til løbende at overvåge udviklingen i USA og regelmæssigt gennemgå dens tilstrækkelighed. Den første gennemgang fandt sted i sommeren 2024. Den seneste udvikling, såsom forlængelsen og den potentielle udvidelse af FISA 702, kan igen bringe grundlaget for DPF i fare.
• Risiko for virksomheder: Virksomheder, der udelukkende er afhængige af DPF, tager en betydelig risiko. Hvis EU-Domstolen også i fremtiden erklærer DPF ugyldig (et "Schrems III"-scenarie), vil dataoverførsler baseret på den blive ulovlige igen natten over. Virksomheder, der derefter mangler en "plan B" (f.eks. skifter til en EU-udbyder eller implementerer effektive yderligere foranstaltninger), kan ikke forvente mildhed.

Den centrale konflikt mellem amerikansk lov om bred dataadgang og EU's grundlæggende ret til databeskyttelse forbliver således selv under DPF. De amerikanske love, der forårsager problemet, forbliver i kraft. DPF repræsenterer mere en politisk og potentielt midlertidig nødløsning end en endelig juridisk løsning. Det grundlæggende problem med potentielt GDPR-overtrædende adgang for amerikanske myndigheder til europæiske borgeres og virksomheders data er ikke blevet løst.

Definition og kriterier: Hvad betyder "suveræn SaaS"?

I betragtning af de beskrevne risici søger europæiske virksomheder i stigende grad alternativer, der tilbyder dem større kontrol, sikkerhed og juridisk overholdelse. I denne sammenhæng bruges udtrykkene "sovereign cloud" eller "sovereign SaaS" ofte. Men hvad betyder disse udtryk præcist, og hvilke kriterier skal et tilbud opfylde for at blive betragtet som suverænt i europæisk sammenhæng?

Nøgleelementer i suverænitet i cloudkontekst

Digital suverænitet i cloudmiljøet er et mangesidet koncept, der rækker ud over blot den tekniske levering af tjenester. Det kan forstås ud fra flere kerneelementer:

• Datasuverænitet: Dette er det centrale princip. Det fastslår, at data er underlagt love og regler i den jurisdiktion, hvor de befinder sig eller er indsamlet. For Europa betyder dette primært fuld anvendelse af EU's databeskyttelseslovgivning (især GDPR) og beskyttelse mod adgang fra myndigheder fra tredjelande baseret på ekstraterritoriale love såsom den amerikanske CLOUD Act. Kunden bevarer fuld kontrol over, hvem der kan få adgang til deres data, og under hvilke betingelser.
• Dataopbevaring og datalokalisering:
  • Dataopbevaring betyder, at kundedata (herunder metadata og sikkerhedskopier) garanteres at blive lagret og behandlet inden for et defineret geografisk område, typisk EU eller EØS. Dette er en nødvendig betingelse for datasuverænitet i EU-sammenhæng, men ikke tilstrækkeligt i sig selv, hvis udbyderen er underlagt ikke-europæiske love.
  • Datalokalisering er et strengere krav, der fastslår, at data ikke må forlade et bestemt lands grænser. Sådanne love er sjældne i EU, men kan være relevante for specifikke nationale regler eller sektorer.
• Operationel suverænitet: Dette element refererer til kontrol over driften af ​​cloudinfrastrukturen og de tjenester, der kører på den. Nøgleaspekter omfatter:
  • Drift af EU-personale og juridiske enheder i EU: Det skal sikres, at personale med fysisk eller logisk adgang til cloudmiljøet og kundedata er baseret i EU og underlagt EU-retten. Adgang fra lande uden for EU skal forhindres eller strengt kontrolleres gennem tekniske og organisatoriske foranstaltninger.
  • EU-virksomhedens hovedkvarter og struktur: Cloududbyderen selv, eller i det mindste den juridiske enhed, der er ansvarlig for driften i EU, bør have sit hovedkvarter i en EU/EØS-medlemsstat og dermed primært være underlagt europæisk lov. Det er også afgørende, at der ikke er afhængigheder af moderselskaber eller datterselskaber i tredjelande (især USA), der kan tvinge overholdelse af deres love (såsom CLOUD Act eller FISA).
  • Gennemsigtighed og revisionsbarhed: Kunder har brug for gennemsigtighed vedrørende driftsprocesser, underleverandører og implementerede sikkerhedsforanstaltninger. Evnen til uafhængigt at gennemgå og revidere adgang og processer er et centralt kendetegn ved operationel suverænitet.
• Teknologisk suverænitet: Dette refererer til evnen til at forstå, kontrollere, validere og ideelt set også (videre)udvikle de underliggende nøgleteknologier. Aspekter af dette omfatter:
  • Brug af åbne standarder og open source-software: Åbne standarder og open source-software fremmer interoperabilitet mellem forskellige udbydere og løsninger, øger gennemsigtigheden (da koden kan revideres), reducerer risikoen for leverandørbinding og letter sikkerhedsrevisioner. De danner ofte grundlag for europæiske teknologistakke såsom Sovereign Cloud Stack (SCS).
  • Interoperabilitet og portabilitet: Muligheden for nemt at migrere data og applikationer mellem forskellige cloud-udbydere eller tilbage til ens egen infrastruktur (on-premise) er et tegn på uafhængighed og fleksibilitet.
  • Kontrol over teknologistakken: På lang sigt sigter teknologisk suverænitet mod at reducere afhængigheden af ​​proprietære hardware- og softwarekomponenter fra ikke-europæiske kilder og at opbygge europæisk ekspertise.

Relateret til dette:

• Uafhængige AI-platforme som et strategisk alternativ for europæiske virksomheder

Afgrænsning og misforståelser

Udtrykket "suveræn cloud" er ikke juridisk beskyttet og bruges ofte af forskellige udbydere som et markedsføringsværktøj, hvor de underliggende koncepter og mål varierer betydeligt. Det er derfor afgørende for virksomheder nøje at undersøge, hvad en udbyder mener med suverænitet, og hvilke specifikke garantier de tilbyder. En almindelig misforståelse er, at lagring af data i et datacenter i EU er tilstrækkeligt til at garantere suverænitet. Dette er ikke tilfældet. Som forklaret i afsnit II giver den amerikanske CLOUD Act adgang til data, der tilhører amerikanske virksomheder, uanset hvor de er lagret. Dataopbevaring i EU beskytter derfor ikke mod amerikansk adgang, hvis udbyderen selv eller dens moderselskab er baseret i USA eller på anden måde underlagt amerikansk jurisdiktion. En anden misforståelse er, at suveræne cloud-tilbud uundgåeligt medfører funktionelle begrænsninger eller et langsommere innovationstempo sammenlignet med globale hyperscalere. Selvom dette kan være sandt i nogle tilfælde, da lokale udbydere ofte mangler de samme stordriftsfordele og forskningsbudgetter, er det primære mål med suveræne løsninger ikke begrænsning, men snarere at kombinere fordelene ved cloud computing (fleksibilitet, skalerbarhed) med kravene til kontrol, sikkerhed og compliance. Mange europæiske udbydere er afhængige af åbne teknologier for at muliggøre innovation og tilpasningsevne.

Kriterier for suveræne SaaS-udbydere fra et EU-perspektiv

Baseret på kerneelementerne i suverænitet kan der udledes konkrete kriterier, som europæiske virksomheder kan bruge til at evaluere SaaS-udbydere ud fra:

• Databeskyttelse og overholdelse: Udbyderen skal påviseligt overholde kravene i GDPR. Dette bør dokumenteres ved en databehandleraftale (DPA) i overensstemmelse med artikel 28 i GDPR og passende tekniske og organisatoriske foranstaltninger (TOM'er). Overholdelse af andre relevante EU- og nationale regler (f.eks. for specifikke sektorer) skal også sikres.
• Dataplacering og -behandling: Det skal kontraktligt garanteres, at alle kundedata, herunder metadata, konfigurationsdata og sikkerhedskopier, udelukkende opbevares og behandles inden for EU eller EØS.
• Drift og adgangskontrol: Driften af ​​tjenesterne og adgangen til kundedata skal udføres af personale, der er baseret i EU og tilhører en juridisk enhed i EU. Strenge tekniske og organisatoriske foranstaltninger skal implementeres for at forhindre uautoriseret adgang, især fra lande uden for EU.
• Virksomhedsstruktur og jurisdiktion: Udbyderen skal have sit hovedkvarter og sin primære juridiske kontrol inden for EU/EØS. Der må ikke være virksomhedsforbindelser eller filialer i tredjelande (især USA), der ville placere udbyderen under deres jurisdiktion og potentielt påtvinge videregivelse af data (f.eks. gennem CLOUD Act eller FISA).
• Gennemsigtighed: Udbyderen bør være gennemsigtig omkring sine driftsprocesser, brugen af ​​underleverandører, placeringen af ​​databehandling og de implementerede sikkerhedsforanstaltninger. Der bør være mulighed for revision foretaget af kunden eller uafhængige tredjeparter.
• Teknologi og interoperabilitet: Den foretrukne brug af åbne standarder (f.eks. API'er) og/eller open source-software letter integration, testning og potentielt skift til andre udbydere (og undgår leverandørbinding).
• Certificeringer og attester: Anerkendte certificeringer og attester kan tjene som bevis for overholdelse af sikkerheds- og compliancestandarder og opbygge tillid. Særligt relevante er ISO 27001, BSI C5 (i Tyskland) og i fremtiden EUCS.

Det bliver tydeligt, at digital suverænitet i SaaS-sammenhæng er et flerdimensionelt koncept. Det handler ikke kun om, hvor data lagres, men også om hvem der behandler dem og hvordan, hvilke love udbyderen er underlagt, og hvilke teknologiske fundamenter der anvendes. Virksomheder skal derfor overveje, hvilke dimensioner af suverænitet der er vigtigst for dem, når de vælger en udbyder, og hvor godt udbyderen opfylder disse specifikke krav. Det er ofte utilstrækkeligt blot at have dataopbevaring i EU til effektivt at afbøde risici, især dem, der er forbundet med amerikansk lovgivning. Samtidig står virksomheder ofte over for et dilemma: Ønsket om maksimal suverænitet og kontrol skal afbalanceres mod potentielle ulemper med hensyn til funktionalitet, innovationshastighed eller omkostninger, som kan opstå hos nogle europæiske eller strengt suveræne udbydere sammenlignet med globale hyperscalere. Mange europæiske udbydere ser brugen af ​​open source-software som en strategisk tilgang til at sikre gennemsigtighed, tillid og tilpasningsevne, selvom de måske ikke er på forkant med enhver ny teknologisk udvikling.

Drag fordel af Xpert.Digital's omfattende, femdobbelte ekspertise i en omfattende servicepakke | R&D, XR, PR & optimering af digital synlighed - Billede: Xpert.Digital

Xpert.Digital besidder dybdegående viden på tværs af forskellige brancher. Dette giver os mulighed for at udvikle skræddersyede strategier, der er præcist afstemt med kravene og udfordringerne i dit specifikke markedssegment. Ved løbende at analysere markedstendenser og overvåge brancheudviklingen kan vi handle proaktivt og tilbyde innovative løsninger. Kombinationen af ​​erfaring og ekspertise skaber merværdi og giver vores kunder en afgørende konkurrencefordel.

Mere information her:

• Drag fordel af Xpert.Digital's 5 ekspertiseområder i én pakke – fra kun €500/måned

Markedsoversigt: Statske SaaS-alternativer fra EU

Det europæiske marked for Software-as-a-Service (SaaS) tilbyder et stigende antal udbydere, der positionerer sig som alternativer til de dominerende amerikanske aktører. Mange af dem lægger særligt vægt på databeskyttelse, GDPR-overholdelse og digital suverænitet for at imødekomme de specifikke behov hos europæiske virksomheder og organisationer.

Kriterier for udvælgelse af udbydere

Følgende oversigt fokuserer på SaaS-udbydere, der opfylder følgende kriterier:

• Oprindelse: Virksomhedens hovedkvarter er placeret i en medlemsstat i Den Europæiske Union (EU), Det Europæiske Økonomiske Samarbejdsområde (EØS) eller Schweiz (CH), da Schweiz har en tilstrækkelighedsafgørelse fra EU-Kommissionen og ofte er tæt integreret i Det Europæiske Økonomiske Samarbejdsområde.
• Positionering: Udbyderen positionerer sig eksplicit som et suverænt eller databeskyttelsesmæssigt kompatibelt alternativ eller udviser væsentlige karakteristika for digital suverænitet (f.eks. eksklusiv hosting i EU/EØS, påviselig overholdelse af GDPR, ingen underkastelse af amerikanske love såsom CLOUD Act/FISA, brug af open source).
• Relevans: Udbyderen blev nævnt i de underliggende forskningskilder eller er kendt som et relevant alternativ i sin kategori.

For bedre klarhed er udbyderne grupperet efter almindelige SaaS-kategorier.

Kategoriseret oversigt over europæiske SaaS-udbydere

Følgende tabel giver en oversigt over udvalgte europæiske SaaS-udbydere, organiseret efter funktionsområde. Den tjener som udgangspunkt for en mere detaljeret evaluering.

Oversigt over europæiske SaaS-udbydere efter kategori

Oversigt over europæiske SaaS-udbydere efter kategori – Billede: Xpert.Digital

(Bemærk: Denne tabel er et udvalg og er ikke udtømmende. Oplysningerne er baseret på tilgængelige kilder og kan ændres. Uafhængig verifikation fra virksomhedens side er afgørende.)

Oversigten over europæiske SaaS-udbydere viser en bred vifte af løsninger, kategoriseret efter type. Inden for samarbejds- og kontorsektoren tilbyder udbydere som Nextcloud Hub fra Tyskland en open source-platform til filer, kommunikation, groupware og kontorapplikationer. Denne platform kan hostes selv eller hostes af en udbyder og prioriterer datasuverænitet. Open-Xchange App Suite, også fra Tyskland, leverer en omfattende løsning til e-mail, groupware, Drive og dokumenter, især til udbydere og virksomheder, og overholder ISO 27001-standarderne. ONLYOFFICE fra Letland leverer en kontorpakke med samarbejdsfunktioner og et arbejdsområde (inklusive CRM og e-mail). Den er både cloud- og on-premise-kompatibel og GDPR-kompatibel. Collabora Online, baseret på LibreOffice, integreres ofte med platforme som Nextcloud. TeamDrive, også fra Tyskland, fokuserer på yderst sikker cloud-lagring med end-to-end-kryptering og et zero-knowledge-princip. Conceptboard, også fra Tyskland, tilbyder en online whiteboard til visuelt samarbejde ved hjælp af EU-servere og uden amerikansk involvering. CryptPad fra Frankrig kombinerer open source og end-to-end krypteret samarbejde. Stackfield fra Tyskland leverer en GDPR-kompatibel platform til chat, opgaver og video.

Inden for CRM- og salgssektoren skiller Zeeg fra Tyskland sig ud med sin GDPR-kompatible aftaleplanlægning, mens CentralStationCRM tilbyder en simpel CRM-løsning til SMV'er. SAP CRM, som en del af SAP-pakken, er rettet mod virksomheder. Inden for cloud-lagringsløsninger tilbyder udbydere som pCloud fra Schweiz valgfri end-to-end-kryptering og livstidsabonnementer. Tresorit kombinerer høj sikkerhed, nul-viden-adgang og compliance for Europa. Proton Drive, også fra Schweiz, tilbyder krypteret filhosting. Tyske udbydere som IONOS HiDrive og internationale muligheder som Infomaniak kDrive fuldender udvalget af tilbud.

Inden for videokonferencer er OpenTalk fra Tyskland med sit særlige fokus på sikkerhed og GDPR-overholdelse og open source-løsningen Jitsi Meet værd at fremhæve. Eyeson fra Østrig tilbyder cloudbaserede videomøder, mens Univid fra Sverige koncentrerer sig om webinarer. Inden for webanalyse tilbyder Matomo en open source-løsning med fuld datakontrol, Plausible Analytics lægger vægt på brugervenlighed og databeskyttelse, etracker fra Tyskland undgår cookies, og Piwik PRO er rettet mod virksomheder.

Marketingautomatisering dækkes af udbydere som Brevo (tidligere Sendinblue) med servere i Tyskland/EU og Evalanche, der fokuserer på B2B og er ISO-certificeret. Personio er førende inden for HR-software og tilbyder en omfattende platform til SMV'er, suppleret af løsninger som HRworks og Rexx Systems, der tilbyder både cloud- og on-premise-modeller. OpenProject er en tysk open source-projektstyringsløsning, mens Zenkit skiller sig ud med sine fleksible arbejdsområder. Sikre e-mailudbydere som Tutanota og Proton Mail prioriterer databeskyttelse og end-to-end-kryptering. Single sign-on leveres af Bare.ID, der er baseret i Tyskland, med GDPR-kompatibel sikkerhed. For spørgeskemaværktøjer imponerer LamaPoll og LimeSurvey med deres tilpasningsmuligheder og tyske serverstandarder. QuestionPro fuldender i sin EU-version listen med omfattende funktioner og GDPR-overholdelse.

Denne oversigt fremhæver den bemærkelsesværdige diversitet og specialisering inden for det europæiske SaaS-marked. Især inden for områder, hvor databeskyttelse og -sikkerhed traditionelt har spillet en stor rolle – såsom samarbejde, sikker kommunikation, cloudlagring og webanalyse – findes der en bred vifte af alternativer. Mange af disse udbydere er små eller mellemstore virksomheder (SMV'er) eller specialiserede nicheaktører fra forskellige europæiske lande. De lægger ofte stor vægt på GDPR-overholdelse og de specifikke behov på det europæiske marked, hvilket afspejles i funktioner som EU-hosting, tysksproget support eller specifikke compliance-certificeringer.

Den strategiske betydning af open source-software for mange europæiske udbydere er også slående. Især inden for områderne samarbejde (Nextcloud, CryptPad), kontorapplikationer (ONLYOFFICE, Collabora), projektledelse (OpenProject), webanalyse (Matomo) og videokonferencer (Jitsi, OpenTalk) danner open source-teknologier ofte grundlaget. Dette er mere end blot en teknisk detalje; det er en bevidst beslutning, der fremmer gennemsigtighed (gennem tilgængelig kode), tilpasningsevne, revisionsevne og undgåelse af leverandørbinding. Disse aspekter er centrale byggesten for digital suverænitet og gør det muligt for europæiske udbydere at tilbyde pålidelige og fleksible løsninger uden nødvendigvis at have adgang til de enorme udviklingsbudgetter fra globale hyperscalers. Dette giver kunderne større kontrol og indsigt i den teknologi, de bruger.

Sammenligning af udvalgte EU-alternativer

Efter den generelle markedsoversigt følger nu en mere detaljeret sammenligning af udvalgte, repræsentative europæiske SaaS-alternativer i nøglekategorier. Fokus er på kernefunktioner, prismodeller, unikke salgsargumenter og især implementeringen af ​​datasuverænitet og GDPR-overholdelse.

Sammenligningsmetode

Udvælgelsen af ​​udbydere til den detaljerede sammenligning er baseret på deres relevans og hyppighed af omtale i de underliggende kilder, samt deres positionering som direkte europæiske alternativer til velkendte amerikanske tjenester. Sammenligningen er baseret på information fra de specifikke udbyderuddrag og andre relevante datapunkter fra de generelle uddrag. Kriterierne omfatter:

• Kernefunktioner: Hvad gør softwaren i sin kerne?
• Prismodel: Hvad er prisstrukturen (abonnement, freemium, livstidsabonnement, on-premise)?
• Dataplacering/hosting: Hvor hostes dataene (EU/DE garanteret)? Er der muligheder for selvhosting?
• Kryptering: Hvilke krypteringsmetoder anvendes (især end-to-end, zero-knowledge)?
• Certificeringer/Overholdelse: Hvilke relevante certifikater (ISO 27001, BSI C5 osv.) og overholdelsesforpligtelser (GDPR) findes der?
• Styrker/svagheder vedrørende suverænitet: Særlige træk eller begrænsninger vedrørende datakontrol, gennemsigtighed og uafhængighed.

Detaljeret sammenligning efter kategori

Detaljeret sammenligning af vigtige SaaS-alternativer i EU

Detaljeret sammenligning af vigtige SaaS-alternativer i EU – Billede: Xpert.Digital

En detaljeret sammenligning af vigtige SaaS-alternativer i EU afslører, at Nextcloud Hub, som en modulær platform, tilbyder funktioner som filsynkronisering og -deling, videokonferencer, groupware og kontorintegration, mens Open-Xchange App Suite, som en integreret pakke, fokuserer på e-mail, kalender, kontakter og lagring. Nextcloud Hub giver mulighed for fuld kontrol gennem selvhosting og tilbyder valgfri end-to-end-kryptering, men har højere IT-krav til selvhosting. Open-Xchange skiller sig ud med sin ISO-certificering og EU-kompatible databeskyttelse, men er cloud-afhængig af udbyderen. Inden for CRM-sektoren scorer Zeeg point med sin klare GDPR-overholdelse og hosting i Tyskland, mens CentralStationCRM imponerer med sin enkelhed og fokus på SMV'er. Begge udbydere tilbyder freemium-modeller og garanterer GDPR-kompatible dataplaceringer. Inden for cloud-lagringssektoren tilbyder pCloud fordele med hensyn til fleksibilitet med livstidsabonnementer og EU-lagringsmuligheder; end-to-end-kryptering er dog valgfri og koster penge. Tresorit scorer derimod point med konsekvent zero-knowledge-kryptering og høj compliance, men er dyrere. ONLYOFFICE og Collabora Online tilbyder omfattende kontoralternativer med et stærkt EU-fokus og open source-muligheder, hvor ONLYOFFICE skinner igennem med sin Microsoft-kompatibilitet og samarbejdsfunktioner. Collabora Online er tæt integreret med platforme som Nextcloud og er derfor mindre fokuseret på standalone-funktionalitet. Inden for videokonferencer skiller OpenTalk sig ud med funktioner som webinarer, afstemninger og et klart GDPR-fokus, mens Jitsi Meet, som en gratis open source-løsning, tilbyder maksimal selvkontrol og enkelhed. Begge løsninger tilbyder on-premise muligheder og stærke databeskyttelsesfunktioner, hvor OpenTalk kendetegnes af sit BSI IT-sikkerhedsstempel.

En detaljeret sammenligning understreger, at der sjældent findes ét enkelt "bedste" europæisk alternativ. Valget afhænger i høj grad af virksomhedens specifikke krav og prioriteter. Der opstår f.eks. klare afvejninger mellem maksimal sikkerhed og pris (pCloud vs. Tresorit) eller mellem omfattende kontrol via self-hosting og bekvemmeligheden ved en administreret SaaS-løsning (Nextcloud vs. OX App Suite Cloud). Virksomheder skal afveje, hvilket aspekt – funktionsudvalg, brugervenlighed, omkostninger eller graden af ​​suverænitet og sikkerhed – der er vigtigst for dem.

Et centralt kendetegn ved mange europæiske udbydere er fleksibiliteten i deres driftsmodeller. Løsninger som Nextcloud, ONLYOFFICE, OpenTalk og Jitsi tilbyder både cloudbaserede (SaaS) og lokale eller selvhostede muligheder. Dette giver virksomheder mulighed for at bestemme deres eget niveau af kontrol og suverænitet. De kan vælge bekvemmeligheden ved en SaaS-løsning fra en betroet europæisk udbyder eller vælge maksimal kontrol over data og infrastruktur ved at drive den i deres eget datacenter. Dette valg adresserer direkte det centrale behov for kontrol, der driver suverænitetsdebatten.

Integration af en uafhængig og tværgående AI-platform til alle forretningsbehov - Billede: Xpert.Digital

AI Game Changer: Den mest fleksible AI-platform - Skræddersyede løsninger, der reducerer omkostninger, forbedrer dine beslutninger og øger effektiviteten

Uafhængig AI-platform: Integrerer alle relevante virksomhedsdatakilder

• Denne AI-platform interagerer med alle specifikke datakilder
  • Fra SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox og mange andre datastyringssystemer
• Hurtig AI-integration: Skræddersyede AI-løsninger til virksomheder på timer eller dage i stedet for måneder
• Fleksibel infrastruktur: Cloudbaseret eller hosting i dit eget datacenter (Tyskland, Europa, frit valg af lokation)

• Maksimal datasikkerhed: brugen i advokatfirmaer er et uomtvisteligt bevis
• Implementering på tværs af en bred vifte af virksomhedsdatakilder
• Valg af egne eller forskellige AI-modeller (Tyskland, EU, USA, Canada)

Udfordringer som vores AI-platform løser

• Manglende tilpasning af konventionelle AI-løsninger
• Databeskyttelse og sikker håndtering af følsomme data
• Høje omkostninger og kompleksitet ved individuel AI-udvikling
• Mangel på kvalificerede AI-specialister
• Integration af AI i eksisterende IT-systemer

Mere information her:

• AI-integration af en uafhængig og tværgående AI-platform til alle forretningsbehov

Specialiserede løsninger: Suveræn SaaS til følsomme sektorer

Selvom de SaaS-løsninger, der er blevet diskuteret indtil videre, ofte er anvendelige på tværs af brancher, er der sektorer med særligt høje krav til sikkerhed, compliance og digital suverænitet. Disse omfatter især offentlig forvaltning, sundhedsvæsenet og den finansielle sektor. Specialiserede tilbud og lovgivningsmæssige rammer er under udvikling på disse områder, hvilket fremmer eller endda pålægger brugen af ​​suveræne cloudløsninger.

Offentlig administration

Den offentlige sektor i Tyskland og Europa har en iboende interesse i digital suverænitet for at sikre kontrol over borgernes data og kritiske forvaltningsprocesser. Kravene går ofte ud over standard GDPR-overholdelse og omfatter specifikke sikkerhedsstandarder såsom BSI IT Baseline Protection eller BSI C5-kriteriekataloget. Interoperabilitet mellem forskellige myndigheder og forvaltningsniveauer, samt en præference for open source-software for at undgå afhængigheder, er også vigtige aspekter.

Flere initiativer sigter mod at skabe en suveræn cloud-infrastruktur til administration:

• Tysk administrativ cloudstrategi (DVS): Denne strategi, der er drevet af IT-planlægningsrådet og FITKO, sigter mod at etablere et føderalt, sikkert, interoperabelt og suverænt cloud-økosystem for den føderale regering, stater og kommuner. Den er afhængig af åbne standarder, en multi-cloud-tilgang og integration af offentlige IT-tjenesteudbydere (såsom Dataport, AKDB og IT.NRW), som spiller en central rolle og nyder en høj grad af tillid. I fremtiden vil eksterne, DVC-kompatible udbydere også kunne integreres. Et centralt element er Cloud Service Portal (CSP) som en markedsplads for standardiserede og certificerede cloud-tjenester.
• Federal Cloud / Federal IT Operations Platform: ITZBund driver allerede cloudplatforme (SaaS, PaaS) for føderale myndigheder, som skal konsolideres i 2025 og opfylder høje krav til sikkerhed og databeskyttelse.
• Center for Digital Suverænitet (ZenDiS): Denne institution fremmer specifikt brugen af ​​open source-software i offentlig forvaltning og støtter projekter som OpenDesk, et open source-alternativ til Microsoft 365, der er specifikt udviklet til den offentlige sektor.
• Gaia-X og Sovereign Cloud Stack (SCS): Disse europæiske initiativer giver vigtige tekniske fundamenter og standarder for opbygning af suveræne cloud-infrastrukturer, som DVS også har til hensigt at udnytte. SCS, en open source-stak baseret på OpenStack og Kubernetes, bruges allerede af flere tyske udbydere (f.eks. plusserver).

Konkrete, uafhængige SaaS-tilbud til offentlig forvaltning kommer fra både offentlige IT-tjenesteudbydere (f.eks. Conceptboard fra IT.NRW, dDataBox fra Dataport) og specialiserede kommercielle udbydere, der ofte har BSI C5-certificeringer og er tilgængelige via markedspladser som govdigital (f.eks. plusserver, STACKIT, IONOS, OVHcloud). Open source-løsninger som Nextcloud eller OpenDesk spiller også en vigtig rolle.

Relateret til dette:

• Afhængig af den amerikanske cloud? Tysklands kamp om clouden: Hvordan planlægger de at konkurrere med AWS (Amazon) og Azure (Microsoft)

sundhedspleje

Sundhedssektoren behandler ekstremt følsomme personoplysninger (sundhedsoplysninger som defineret i artikel 9 i GDPR), som er underlagt særlig beskyttelse. Ud over GDPR og lægelig tavshedspligt gælder specifikke nationale love, såsom patientdatabeskyttelsesloven (PDSG) og, for nylig, loven om digital sundhedspleje (DigiG). Sikkerhed, tilgængelighed og fortrolighed er af afgørende betydning i denne sammenhæng.

En central drivkraft for brugen af ​​suveræne cloudløsninger i det tyske sundhedssystem er den digitale lov (DigiG), som trådte i kraft i marts 2024. Mens den nye paragraf 393 i den tyske sociallov, bog V (SGB V), eksplicit tillader behandling af sociale og sundhedsmæssige data ved hjælp af cloud computing, sætter den meget strenge betingelser for dette:

• Databehandling kun i EU/EØS/CH eller landet, der er truffet afgørelse om tilstrækkelighed: Behandling af data må kun finde sted inden for EU, i en EU/EØS-stat, Schweiz eller et tredjeland med en tilstrækkelighedsafgørelse fra EU-Kommissionen.
• BSI C5-certificering bliver obligatorisk: Fra 1. juli 2024 skal cloud-tjenesteudbydere, der behandler sociale eller sundhedsmæssige data på vegne af sundhedsudbydere (læger, hospitaler, sygeforsikringer osv.), kunne fremvise en gyldig BSI C5-certificering. Indtil 30. juni 2025 er en type 1-certificering (tilstrækkelighed af kontroller) tilstrækkelig; fra 1. juli 2025 er en type 2-certificering (bevis for effektivitet over en periode) obligatorisk.
• Dette gælder også for SaaS-udbydere: Denne forpligtelse gælder ikke kun for infrastrukturudbydere (IaaS) eller platformudbydere (PaaS), men også eksplicit for Software-as-a-Service (SaaS)-udbydere, hvis applikationer bruges i skyen (f.eks. hospitalsinformationssystemer (HIS), praksisstyringssystemer (PMS), aftalebookingssystemer, DiGA'er).
• Implementering af kundekontroller: Den brugerinstitution (klinik, praksis osv.) skal til gengæld implementere de slutbrugerkontroller, der er nævnt i cloududbyderens revisionsrapport.

Denne forordning strammer kravene til cloud-tjenester i sundhedssektoren betydeligt, hvilket effektivt gør BSI C5-certificeringen til en forudsætning for udbydere på dette marked. Cloud-udbydere som Open Telekom Cloud, AWS (Frankfurt-regionen), Azure, GCP og tyske udbydere som plusserver, STACKIT og IONOS har allerede C5-certificeringer for deres infrastrukturer. Nu skal SaaS-løsninger til sundhedsvæsenet, der er bygget på disse infrastrukturer (HIS, praksisstyringssystemer, elektroniske patientjournalkomponenter osv.), også levere denne certificering. Eksempler på virksomheder, der er aktive i sundhedscloud-miljøet og/eller søger relevante certificeringer, omfatter Gini, Doctolib og Kite Consult. Ifølge Gematik hostes selve den elektroniske patientjournal på servere i Tyskland og EU i overensstemmelse med GDPR.

Finansiere

Finanssektoren (banker, forsikringsselskaber, finansielle tjenesteudbydere) er også stærkt reguleret og behandler ekstremt følsomme data. Her gælder strenge regulatoriske krav, pålagt af den tyske føderale finanstilsynsmyndighed (BaFin) (f.eks. BAIT, KAIT, VAIT, ZAIT), samt stadig mere harmoniserede europæiske regler. Høje standarder for IT-sikkerhed, risikostyring, robusthed og revisionsbarhed er standardpraksis.

De vigtigste regulatoriske drivkræfter for implementeringen af ​​sikre og uafhængige cloudløsninger omfatter:

• NIS2-direktivet: Banker og finansielle markedsinfrastrukturer falder generelt ind under kategorierne "væsentlige" eller "vigtige" enheder i henhold til NIS2. De skal derfor opfylde strengere krav vedrørende risikostyring, forsyningskædesikkerhed (herunder cloududbydere), hændelsesrapportering og ledelsesansvar.
• DORA (Digital Operational Resilience Act): Denne EU-forordning har specifikt til formål at styrke den digitale operationelle robusthed i den finansielle sektor. Den fastsætter detaljerede krav til håndtering af IKT-risici, rapportering af alvorlige IKT-relaterede hændelser, test af digital robusthed og især risikostyring foretaget af tredjeparts IKT-tjenesteudbydere, herunder cloududbydere. DORA kræver blandt andet klare kontraktlige aftaler med cloududbydere og revisionsrettigheder.

Cloud-udbydere, der ønsker at betjene finansielle institutioner, skal demonstrere deres evne til at opfylde disse lovgivningsmæssige krav. Dette opnås ofte gennem certificeringer som BSI C5 eller ISO 27001, specifikke kontraktlige garantier og transparent offentliggørelse af deres sikkerhedsarkitektur og -processer. Udbydere som plusserver, T-Systems, Microsoft med sin EU Data Boundary og AWS med sin European Sovereign Cloud positionerer sig specifikt til dette regulerede marked.

Derudover findes der specialiserede SaaS-udbydere, der tilbyder compliance-løsninger til den finansielle sektor, såsom bekæmpelse af hvidvaskning af penge (AML), Know Your Customer (KYC), screening af sanktionslister, afsløring af svindel og overvågning af markedsmisbrug. Eksempler på udbydere med en europæisk tilstedeværelse inkluderer ACTICO (Tyskland), Pelican AI (Storbritannien?), Sopra Financial Technology (Tyskland/Frankrig), Otris (Tyskland) og ViClarity (Irland/USA?).

I disse meget følsomme sektorer bliver det tydeligt, at beslutningen om at bruge suveræne cloudløsninger ikke længere udelukkende er et spørgsmål om risikominimering, men i stigende grad er drevet af juridiske krav og strenge compliance-forpligtelser. Behovet for at demonstrere certificeringer som BSI C5 flytter grundlaget for beslutningstagning fra en frivillig risikovurdering til en obligatorisk forudsætning for markedsdeltagelse.

Dette stiller SaaS-udbydere over for nye udfordringer. Hvor infrastrukturudbyderen (IaaS/PaaS) tidligere ofte havde de relevante certificeringer, kræver regler som § 393 i den tyske sociallov, bog V (SGB V) nu eksplicit, at SaaS-udbydere også skal fremlægge tilsvarende dokumentation, såsom BSI C5-certificeringen. Omkostningerne og indsatsen forbundet med at opnå og vedligeholde sådanne certificeringer er betydelige og kan udgøre en betydelig hindring, især for mindre, innovative SaaS-virksomheder, hvilket potentielt kan føre til markedskonsolidering i disse regulerede sektorer.

Relateret til dette:

• Styrker amerikansk politik EU's teknologivirksomheder? Datasuverænitet vs. amerikansk dominans: Fremtiden for cloud computing i Europa

Fremme af suverænitet: EU-initiativer og certificeringer

For at styrke Europas digitale suverænitet og skabe en troværdig ramme for cloud computing er der blevet lanceret forskellige initiativer og certificeringsstandarder på europæisk og nationalt niveau. Disse har til formål at fremme interoperabilitet, harmonisere sikkerhedsstandarder og øge tilliden til cloudtjenester.

Gaia-X: Vision om en fødereret europæisk datainfrastruktur

Gaia-X er et af de mest fremtrædende europæiske initiativer til styrkelse af digital suverænitet. Det blev lanceret i 2019 af Tyskland og Frankrig og involverer nu adskillige partnere fra erhvervslivet, videnskaben og politik i mange europæiske lande.

• Mål: Gaia-X' kerneformål er at skabe en sikker, samlet og interoperabel datainfrastruktur baseret på europæiske værdier som databeskyttelse (GDPR), gennemsigtighed, tillid og selvbestemmelse. Det sigter mod at øge Europas digitale uafhængighed af ikke-europæiske udbydere, muliggøre innovation gennem sikker dataudveksling og styrke europæiske virksomheders konkurrenceevne.
• Arkitektur og tilgang: Det er vigtigt at forstå, at Gaia-X ikke i sig selv er en cloud-udbyder, og at de heller ikke bygger deres egen "europæiske super-cloud". I stedet definerer Gaia-X et sæt regler, fælles standarder og arkitektoniske elementer for et decentraliseret økosystem af netværksforbundne, interoperable dataområder og cloud-infrastrukturtjenester. Det er baseret på principper som åbenhed, gennemsigtighed, modularitet og brugen af ​​åbne standarder og open source-software. Gaia-X Association for Data and Cloud (AISBL) udvikler specifikationer, regler, politikker og en ramme for verifikation af overholdelse (Gaia-X Compliance), som skal implementeres gennem såkaldte Gaia-X Digital Clearing Houses (GXDCH).
• Komponenter og projekter: Inden for Gaia-X-rammen dukker der konkrete byggesten og projekter op. Sovereign Cloud Stack (SCS) er et vigtigt eksempel: en standardiseret, open source-baseret teknologistak (baseret på OpenStack, Kubernetes osv.) til opbygning af Gaia-X-kompatible, suveræne cloud-infrastrukturer (IaaS/PaaS). Den er beregnet til at fungere som det tekniske fundament for interoperable og suveræne cloud-tilbud, herunder den tyske administrative cloud.
• Anvendelsesscenarier: For at demonstrere fordelene ved Gaia-X udvikles konkrete dataområder og applikationer inden for forskellige områder. Eksempler kan findes i Industri 4.0 (f.eks. Catena-X til bilindustrien), mobilitet, energi, finans, offentlig administration og især inden for sundhedsvæsenet. Projekter som TEAM-X, Health-X dataLOFT og GAIA-Med sigter mod at muliggøre sikker og uafhængig udveksling af sundhedsdata for at forbedre pleje og forskning.
• Udfordringer: Trods sine ambitiøse mål står Gaia-X også over for udfordringer og kritik. Disse omfatter projektets kompleksitet, langsomme fremskridt i den praktiske implementering, til tider uklare definitioner og frygten for, at initiativet kan blive domineret af etablerede globale hyperscalere. Det er også blevet kritiseret for, at fokus var for stærkt på infrastrukturlaget (IaaS/PaaS) i for lang tid og forsømte applikationslaget (SaaS).

EUCS: Europæisk cybersikkerhedscertificeringsordning for cloudtjenester

Den europæiske cybersikkerhedscertificeringsordning for cloudtjenester (EUCS) er en certificeringsramme udviklet af Det Europæiske Cybersikkerhedsagentur (ENISA) under EU's cybersikkerhedslov (CSA).

• Formål: Hovedformålet er at harmonisere cybersikkerhedskrav og -certificeringer for cloudtjenester (IaaS, PaaS, SaaS) i hele EU. Det sigter mod at skabe en samlet standard for at overvinde fragmentering forårsaget af forskellige nationale certificeringsordninger (såsom SecNumCloud i Frankrig eller C5 i Tyskland) og at styrke det digitale indre marked. For cloudbrugere har EUCS til formål at skabe større gennemsigtighed og tillid ved at demonstrere, at certificerede tjenester opfylder specifikke sikkerhedsstandarder.
• Sikkerhedsniveauer: Ordningen definerer tre (eller i tidligere udkast fire) sikkerhedsniveauer ("Grundlæggende", "Væsentlig", "Høj" og muligvis "Høj+"), der afspejler forskellige risikoniveauer og angriberkapaciteter. Med stigende niveauer stiger også kravene til implementerede sikkerhedsforanstaltninger (f.eks. netværk, lagring, krypteringssikkerhed, penetrationstest) og grundigheden ved evaluering foretaget af akkrediterede overensstemmelsesvurderingsorganer (CAB'er).
• Frivillig vs. obligatorisk: EUCS-certificering er generelt frivillig. Cybersikkerhedsloven og NIS2-direktivet giver dog EU-medlemsstater mulighed for at pålægge brugen af ​​certificerede IKT-tjenester for visse sektorer, især for kritisk infrastruktur (KRITIS). Det er derfor sandsynligt, at EUCS de facto vil blive et obligatorisk krav eller et nøglekriterium i udbud, i det mindste i regulerede sektorer.
• Suverænitetsdebat: Et centralt og kontroversielt punkt i udviklingen af ​​EUCS var spørgsmålet om specifikke suverænitetskrav, især for det højeste sikkerhedsniveau ("Høj" eller "Høj+"). Tidligere udkast fastslog, at datalokalisering inden for EU var obligatorisk for dette niveau, og at udbyderen skulle have sit hovedkvarter og globale center i en EU-medlemsstat for at sikre beskyttelse mod ikke-europæiske love (såsom CLOUD Act). Disse krav blev dog tilsyneladende fjernet eller svækket i senere udkast (fra 2024). Dette medførte skarp kritik fra europæiske cloududbydere (især SMV'er), brancheforeninger og databeskyttelsesforkæmpere, der frygter, at det svækker Europas digitale suverænitet, cementerer afhængigheden af ​​ikke-europæiske hyperscalere og udsætter europæiske borgeres og virksomheders data for øget risiko. Debatten om den endelige udformning af disse krav fortsætter.

BSI C5: Tysk standard for cloud-sikkerhed

Kataloget over kriterier for cloud computing-overholdelse (C5) fra det tyske forbundskontor for informationssikkerhed (BSI) er et etableret katalog over kriterier, der definerer specifikke minimumskrav til informationssikkerheden for cloud-tjenester.

• Formål og indhold: C5 er designet til at vejlede cloudkunder i at vælge sikre udbydere og etablere et fundament for deres risikostyring. Den er baseret på internationalt anerkendte standarder som ISO/IEC 27001, men supplerer disse med cloudspecifikke krav og lægger særlig vægt på gennemsigtighed gennem såkaldte miljøparametre. Disse parametre giver information om aspekter som dataplacering, jurisdiktion, certificeringer og oplysningsforpligtelser over for offentlige myndigheder, hvilket skal hjælpe kunderne med bedre at vurdere risici (f.eks. fra industrispionage eller databrud). Kataloget omfatter 17 emneområder, herunder informationssikkerhedsorganisation, personalesikkerhed, aktivstyring, kryptografi, identitets- og adgangsstyring, hændelsesstyring og fysisk sikkerhed.
• Revisionscertifikat (Type 1 & Type 2): Overholdelse af C5-kriterierne demonstreres af et revisionscertifikat udstedt af en uafhængig, kvalificeret revisor. Der findes to typer revisionscertifikater: Type 1 bekræfter tilstrækkeligheden af ​​designet og implementeringen af ​​sikkerhedskontrollerne pr. en bestemt dato. Type 2 bekræfter desuden den operationelle effektivitet af disse kontroller over en defineret revisionsperiode (normalt 6 til 12 måneder). Type 2-revisionscertifikatet anses for at være mere omfattende og vil være påkrævet til opfølgende revisioner og i sundhedssektoren fra juli 2025.
• Relevans: C5 er blevet en de facto-standard for sikker cloud computing i Tyskland, især for offentlig forvaltning og stærkt regulerede sektorer såsom sundhedsvæsen og finans. Som tidligere nævnt vil C5-certificering blive juridisk obligatorisk for cloud-tjenester inden for sundhedsvæsenet gennem Digital Infrastructure Act (DigiG) fra juli 2024/2025. Mange tyske og europæiske, såvel som internationale, cloud-udbydere (for deres EU-regioner) har C5-certificeringer for deres tjenester.

Andre relevante standarder

Ud over de førnævnte initiativer og certificeringer spiller etablerede internationale standarder også en vigtig rolle:

• ISO/IEC 27001: Den globalt anerkendte standard for informationssikkerhedsstyringssystemer (ISMS). Den definerer en systematisk tilgang til håndtering af følsomme forretningsoplysninger for at sikre deres fortrolighed, integritet og tilgængelighed. ISO 27001-certificering er ofte en forudsætning for cloud-udbydere og fungerer som grundlag for mere specifikke standarder såsom C5.
• ISO/IEC 27017: Denne standard indeholder en praksiskodeks med specifikke kontrolforanstaltninger for informationssikkerhed i cloud-miljøer, som supplement til ISO/IEC 27002.
• ISO/IEC 27018: Fokuserer på beskyttelse af personligt identificerbare oplysninger (PII) i offentlige clouds, der fungerer som databehandlere. Den indeholder retningslinjer, der er nøje afstemt med europæiske databeskyttelsesprincipper og kan tjene som et supplement til C5, som ikke primært dækker databeskyttelse.

Disse forskellige initiativer og standarder bør ikke nødvendigvis ses som konkurrenter, men snarere som komplementære elementer. Gaia-X leverer visionen og reglerne for et suverænt økosystem, EUCS sigter mod at harmonisere certificering i hele EU, og nationale standarder som BSI C5 tilbyder allerede konkrete, etablerede krav og testmekanismer. Udfordringen bliver at integrere disse tilgange meningsfuldt og skabe en sammenhængende ramme, der opfylder Europas suverænitetsambitioner, samtidig med at den er praktisk for udbydere og brugere. Den nuværende debat omkring suverænitetskravene i EUCS viser dog, at der stadig er behov for yderligere politisk og teknisk arbejde.

Det er vigtigt for virksomheder at forstå, at certificeringer som BSI C5 eller ISO 27001 er værdifulde tillidsankre, der skaber gennemsigtighed og letter demonstrationen af ​​sikkerhedsindsatsen. De er dog ikke universalmidler og erstatter ikke kundens egen risikovurdering og due diligence. For eksempel ændrer en C5-certificering for en amerikansk udbyder ikke dens underkastelse af CLOUD Act. Det delte ansvar for sikkerheden ved cloudbrug forbliver mellem udbyder og kunde, og virksomheder skal altid verificere, om udbyderens foranstaltninger er tilstrækkelige i forhold til deres specifikke krav og risici.

Relateret til dette:

• Datahåndteringssystemer i overgang: Strategier for forretningssucces i AI-tidsalderen

Strategiske fordele ved at skifte til EU SaaS-udbydere

Analysen af ​​risiciene forbundet med brugen af ​​amerikansk-baserede cloudtjenester og undersøgelsen af ​​det voksende marked for suveræne europæiske SaaS-alternativer giver mulighed for en klar konklusion: For europæiske virksomheder er det ikke kun tilrådeligt, men i stigende grad en strategisk nødvendighed at adressere deres cloudstrategi ud fra et digitalt suverænitetsperspektiv.

Oversigt over resultater

De vigtigste resultater i denne rapport kan opsummeres som følger:

• Vedvarende risici med amerikanske udbydere: Brug af SaaS-tjenester fra virksomheder underlagt amerikansk jurisdiktion udgør betydelige og løbende risici for europæiske virksomheder. Den grundlæggende konflikt mellem EU's GDPR og amerikanske love såsom CLOUD Act og FISA 702 fører til potentielle databrud, høje bøder, tab af datakontrol og risiko for industrispionage. Selv den nuværende EU-US Data Privacy Framework (DPF) løser ikke denne grundlæggende konflikt, og dens langsigtede stabilitet er usikker (se afsnit II).
• Suverænitet som et flerdimensionelt koncept: "Suveræn SaaS" i europæisk sammenhæng betyder mere end blot lagring af data i EU-datacentre. Det omfatter overholdelse af europæisk lovgivning (især GDPR), beskyttelse mod ikke-europæisk adgang, drift af EU-enheder og -personale og ideelt set teknologisk åbenhed og interoperabilitet for at undgå afhængigheder (se afsnit III).
• Voksende marked for EU-alternativer: Der findes et mangfoldigt og voksende marked af SaaS-udbydere med hovedkontor og opererer i EU/EØS/CH. Disse udbydere tilbyder løsninger i adskillige kategorier, ofte med et stærkt fokus på databeskyttelse, sikkerhed og lokale behov. Mange er strategisk afhængige af open source for at maksimere gennemsigtighed og kontrol (se afsnit IV og V).
• Reguleringspres i følsomme sektorer: Inden for områder som offentlig forvaltning, sundhedsvæsenet og den finansielle sektor bliver brugen af ​​påviseligt sikre og suveræne cloudløsninger (ofte med BSI C5-certificering eller sammenlignelig dokumentation) i stigende grad obligatorisk gennem lovgivning (f.eks. DigiG, DORA, NIS2) og strategiske krav (f.eks. DVS) (se afsnit VI).
• Rammebetingelser gennem initiativer og standarder: Europæiske initiativer som Gaia-X og certificeringer som det planlagte EUCS, samt etablerede nationale standarder som BSI C5, skaber vigtige rammebetingelser, fremmer interoperabilitet og har til formål at styrke tilliden til suveræne cloud-tilbud (se afsnit VII).

Strategiske fordele ved EU SaaS-alternativer

At skifte til eller primært vælge europæiske SaaS-udbydere, der opfylder suverænitetskriterier, giver virksomheder strategiske fordele ud over blot risikominimering:

• Forbedret compliance og retssikkerhed: Brug af udbydere, der udelukkende er underlagt EU-lovgivningen og garanterer, at data behandles inden for EU, reducerer risikoen for overtrædelser af GDPR og konflikter med ikke-europæiske love betydeligt. Dette skaber et mere stabilt og forudsigeligt retsgrundlag for databehandling.
• Øget datakontrol og -sikkerhed: Europæiske udbydere med fokus på suverænitet tilbyder ofte et højere niveau af kontrol over dine egne data. Dette kan opnås gennem selvhosting, ensartet end-to-end-kryptering (zero-knowledge), transparente driftsprocesser og udelukkelse af adgang fra tredjelandsmyndigheder.
• Styrket digital suverænitet: Valg af europæiske udbydere reducerer strategisk afhængighed af ikke-europæiske teknologivirksomheder. Det støtter udviklingen af ​​et robust digitalt økosystem i Europa og styrker den lokale digitale økonomi.
• Lokal støtte og kulturel nærhed: Europæiske udbydere kan ofte tilbyde mere tilgængelig og forståelig kundeservice på det lokale sprog og i den lokale tidszone. De har ofte en dybere forståelse af de specifikke krav og skikke på det europæiske marked, hvilket kan fremme samarbejde og kontraktforhandlinger.
• Opbygning af tillid: Brugen af ​​påviseligt databeskyttelseskompatible og suveræne løsninger signalerer et stærkt engagement i databeskyttelse og -sikkerhed over for kunder, partnere og medarbejdere. Dette kan blive en betydelig fordel med hensyn til tillid og konkurrenceevne.

Anbefalinger til europæiske virksomheder

For at udnytte fordelene ved suveræne SaaS-løsninger og håndtere risiciene ved cloud-adoption bør europæiske virksomheder overveje følgende trin:

• Foretag en individuel risikoanalyse: Evaluer kritisk de SaaS-tjenester, du bruger i øjeblikket (især dem, der er baseret i USA). Analysér typen af ​​data, der behandles (følsomhed, personoplysninger), de gældende lovgivningsmæssige krav (GDPR, branchespecifikke regler) og den potentielle indvirkning af uautoriseret dataadgang eller serviceafbrydelser på din virksomhed.
• Definer suverænitetskrav: Bestem niveauet af datasuverænitet, operationel kontrol og teknologisk uafhængighed, der er nødvendigt og ønskeligt for din organisation. Ikke alle applikationer kræver det samme niveau af suverænitet. Prioritér baseret på risiko og strategisk betydning.
• Evaluer systematisk markedet for EU-alternativer: Brug markedsoversigter (som den i denne rapport) og din egen research til at identificere potentielle europæiske SaaS-udbydere, der opfylder dine funktionelle og suverænitetsrelaterede krav. Overvej udbyderens størrelse, specialisering, referencer og fremtidig levedygtighed.
• Grundig due diligence er afgørende, når du vælger en udbyder: Stol ikke på markedsføringspåstande. Undersøg kritisk udbyderens oplysninger vedrørende dataplaceringer (herunder sikkerhedskopier og metadata), driftspersonale, virksomhedsstruktur (ejerskab, registreret kontor), anvendte underleverandører, krypteringsteknologier (især end-to-end/zero-knowledge-kryptering) og sikkerhedsforanstaltninger. Anmod om databehandlingsaftaler (DPA'er), tekniske og organisatoriske foranstaltninger (TOM'er) og relevante certifikater eller attester (f.eks. ISO 27001, BSI C5), og gennemgå dem omhyggeligt.
• Udvikl en migreringsstrategi og exitplan: Planlæg omhyggeligt enhver potentiel migrering. Overvej omkostninger, den tekniske indsats, der kræves til datamigrering, nødvendige grænsefladejusteringer og ændringsstyring for dine medarbejdere. Sørg for interoperabilitet, og definer en klar exitstrategi for at lette et fremtidigt leverandørskift eller reversibilitet af data.
• Overvej open source som en mulighed: Vurder, om open source-baserede SaaS-løsninger, enten som en administreret tjeneste fra en EU-udbyder eller selvhostet, repræsenterer et passende alternativ til at opnå maksimal gennemsigtighed, tilpasningsevne og kontrol.
• Overvåg det regulatoriske landskab: Hold dig informeret om udviklingen inden for transatlantisk datatrafik (DPF-verifikation), europæiske certificeringsstandarder (EUCS) og relevante love (NIS2, DORA, branchespecifikke regler), da disse kan have betydelig indflydelse på din cloudstrategi.

Beslutningen for eller imod brugen af ​​specifikke cloud-tjenester, især hvad angår amerikanske udbydere versus europæiske alternativer, er langt mere end et teknisk eller rent compliance-relateret spørgsmål. Det er en strategisk beslutning med langsigtede konsekvenser for retssikkerhed, datasikkerhed, kontrol over kritiske forretningsprocesser og i sidste ende virksomhedens modstandsdygtighed og konkurrenceevne på den globale digitale arena. De analyserede risici ved afhængighed af ikke-europæiske udbydere er betydelige og forværres snarere end afbødes af den nuværende geopolitiske og juridiske situation.

Samtidig er det ikke en selvfølge at skifte til europæiske alternativer. Virksomheder skal nøje overveje, om fordelene med hensyn til compliance og kontrol opvejer de potentielle ulemper med hensyn til funktionalitet, innovationshastighed eller migreringsindsats. En grundig analyse af deres egne behov, en realistisk vurdering af de tilgængelige alternativer og omhyggelig overgangsplanlægning er afgørende for succes. Det europæiske marked tilbyder dog i stigende grad levedygtige og troværdige muligheder, der giver virksomheder mulighed for at udnytte fordelene ved skyen uden at gå på kompromis med deres digitale suverænitet.

☑️ SMV-support inden for strategi, rådgivning, planlægning og implementering

☑️ Oprettelse eller omlægning af AI-strategien

☑️ Pioner inden for forretningsudvikling

Konrad Wolfenstein

Jeg vil med glæde fungere som din personlige rådgiver.

Du kan kontakte mig ved at udfylde kontaktformularen nedenfor eller blot ringe til mig på +49 89 89 674 804 (München) .

Jeg glæder mig til vores fælles projekt.

Xpert.Digital er et knudepunkt for industrien med fokus på digitalisering, maskinteknik, logistik/intralogistik og solceller.

Med vores 360° forretningsudviklingsløsning understøtter vi anerkendte virksomheder fra nye forretninger til eftersalg.

Markedsinformation, smarketing, marketingautomatisering, indholdsudvikling, PR, postkampagner, personlige sociale medier og lead nurturing er en del af vores digitale værktøjer.

Du kan finde mere information på: www.xpert.digital - www.xpert.solar - www.xpert.plus