离开美国云：主权SaaS在概述 +采取行动建议

欧洲公司的数字主权需求

数字转换正在不可阻挡，云计算，尤其是软件即服务（SaaS），已成为各种规模公司的必不可少的工具。它可以灵活性，可扩展性并访问创新技术。同时，这一发展导致了对少数几个（主要是美国云提供商）的重大依赖。

适合：

• 为什么《美国云行为》是欧洲和世界其他地区的问题和风险：带有远远后果的法律

问题：日益依赖美国云提供商

欧洲云市场显然由美国大型大型标准：亚马逊Web服务（AWS），Microsoft Azure和Google Cloud Platform（GCP）主导。这些提供商结合了全球市场份额的很大一部分。即使是欧洲的SAP或Deutsche Telekom等领先的欧洲提供商，也只能在欧洲实现小市场份额。这种集中构成了固有的危险：全球的很大一部分，尤其是欧洲云基础设施可能受美国法律管辖。在欧洲公司以及在公共行政部门中，人们对与这种依赖性相关的风险的认识正在增长。有关数据保护，数据安全性以及对关键数据和流程失去控制的原因。数字主权问题成为战略必要性。

数据主权和GDPR符合性的相关性

一般数据保护法规（GDPR）是欧洲关注的中心。自2018年以来，它一直是保护欧盟个人数据的严格法律框架，并详细规范其处理和传输，尤其是在欧盟以外的国家。遵守GDPR不仅是欧洲公司的法律义务，还是客户和商业伙伴的信任的重要因素。同时，数字主权的概念变得越来越重要。它描述了欧洲重新控制或控制自己的数据，技术和数字基础设施的努力。这不仅是一个数据保护问题，而且是加强欧洲经济和全球数字世界中竞争力的工业政策目标。对于公司而言，这意味着需要重新思考云战略并积极地寻找既合法且值得信赖的解决方案，并确保自己的行动能力。

适合：

• AI集成了所有公司的独立和跨数据源范围内的AI平台

报告的目的和结构

该报告针对欧洲业务和IT决策者面临的挑战，即制定防止未来和风险的云战略。他追求的目标是为决策建立一个良好的决策基础：

• 分析的具体风险是由为欧洲公司使用基于美国的SaaS服务而引起的，尤其是在GDPR与美国法律（例如《云法》和FISA 702）之间的冲突方面。
• 定义在欧洲背景下的“主权Saas提供”下应理解的内容，以及他们必须满足的标准。
• 欧洲SaaS提供商的市场概述将自己定位为主权替代方案，根据应用领域进行分类。
• 关键类别中重要的替代方案的比较，在功能，定价以及最重要的是实施数据主权和GDPR合规性方面。
• 公共管理，医疗保健和金融等敏感部门的专门解决方案。
• 目前，相关的欧盟倡议（例如Gaia-X）和促进云主权的认证（例如EUC，BSI C5）。
• 为公司战略取向采取行动的结论和建议。

风险分析：美国云服务和欧洲公司面临的挑战

云服务，尤其是SaaS提供的使用，来自美国的提供商，向欧洲公司提出了巨大的法律和运营挑战。这些结果主要来自严格的欧洲数据保护法规与深远的美国监视和数据访问法之间的基本冲突。

核心冲突：GDPR与美国监测法

一般数据保护法规（GDPR）构成了欧洲数据保护的基础。它建立了高标准，用于从欧盟公民那里处理个人数据。第44条FF。调节此类数据向第三国国家（欧盟/EEA以外的国家）传播的GDPR与云使用特别相关。仅当第三国（由欧盟委员会的充分决定决定）或“标准合同条款或有约束力的公司规则）获得“合理的保护”（由欧盟委员会的充分决定决定），才允许进行这种传播，并获得可强制执行的权利和有效的法律补救措施。此外，第48条GDPR明确地禁止将数据传输给第三国当局，因为他们的决定或判决没有国际协议，例如法律援助协议。美国的几项法律反对这一欧洲保护声称，即使将其存储在美国以外的情况下，也授予美国当局对数据的深远访问权利：

• 《美国云法》（澄清对数据法的合法使用）：该2018年在2018年采用的2018年授权美国刑事起诉当局和情报服务，要求在其控制下发布该数据在世界范围内存储在世界范围内的数据。该明确包括位于欧盟内数据中心的数据。因此，《云法案》破坏了数据保护的领土原则，并直接与GDPR的要求矛盾，特别是第48条。除其他外，它是为了响应微软与美国政府之间的长期法律纠纷，涉及访问爱尔兰存储的电子邮件，以及2001年9月从2001年9月开始现代化的旧访问法规，例如Patotiot Act。如果提供商违反了另一个州的法律（例如GDPR），那么云法案机制可以对其进行质疑，但是这些机制的实际有效性，尤其是在国家安全领域，这是有争议的，并且没有为欧洲公司提供可靠的担保。因此，提供者处于冲突状态：如果他们遵循云法案的安排而没有欧盟法律依据，则风险大量GDPR；如果您拒绝出版，请引用GDPR，威胁着美国法律制裁。
• FISA第702条（外国情报监视法）：该规定是2008年《 FISA修正案法》的一部分，允许美国情报服务（例如NSA），即对美国以外的非美国人民的电子通信的有针对性监控。进行监测以获取“外国情报信息”。 FISA 702迫使美国电子通信服务提供商（电子通信服务提供商-ECSP），其中包括许多大云和SaaS提供商，与当局合作。潜在记录的数据的范围非常宽，除了元数据外，还可以包括通信内容，即使来自仅提及一个目标人的未参与的第三方。根据FISA 702（例如Prism和上游）下的监测计划是ECJ的Schrems II判决中的批评中心点（见下文）。即使美国当局否认这一点，也批评了受影响的欧盟公民缺乏有效的法律补救措施以及大规模监视的潜力。
• 行政命令12333等：除了云法案和FISA 702外，还有其他法律基础，例如行政命令12333，赋予美国情报服务对国外监视的深远权力，通常没有司法控制或对非IPS的特定法律限制。

这种基本的法律冲突造成了一种情况，在这种情况下，美国提供商为欧洲公司使用云服务具有固有的风险。

欧洲公司的具体风险

所描述的法律冲突导致使用基于美国SaaS服务的欧洲公司有形风险：

• 数据保护违规和罚款：根据云法或FISA 702向美国当局投降，在欧盟法律下没有有效的法律依据（例如，法律援助协议），明显违反了GDPR，尤其是针对第48条。这可以导致全球年度支出的敏感罚款，以及对民法索赔的全球年度支出中的4％。如果提供商不能保证在违反GDPR时不发布数据，则仅使用美国云服务就不可能被评为不合时宜。
• 数据主权和控制的丢失：美国提供商仅存储数据中的数据中心的合同保证，在《云法案》或《 FISA》下不提供有效的保护美国访问权限。美国法律可能会破坏这些保证以及技术保护措施。如果美国提供商可以控制加密密钥，那么即使数据的加密也不是灵丹妙药，因为它可以被迫披露它们。同样，可以避免访问控制机制，并且可以在不了解数据所有者的情况下查看审核协议，这违反了GDPR的透明度要求。实际上，欧洲公司实际上失去了对哪些情况访问其数据的控制。
• 经济间谍活动和商业秘密丧失：特别严重的风险是敏感公司数据的潜在引流。这包括知识产权，研发数据，原型，战略计划，财务数据或机密客户数据和通信。美国当局还可以将其访问权力用于经济目的（商业间谍活动）是欧洲公司寻找替代方案或采取其他保护措施的重要驱动力。损失此类信息可能会导致巨大的财务损失，声誉损失和竞争优势的损失。
• 法律不确定性和信任丧失：欧洲数据保护法与美国访问权利之间未解决的冲突为使用美国服务的公司带来了相当大的法律不确定性。这种不确定性使长期计划和合规性工作变得复杂。此外，继续使用无法保证数据保护的服务可能会大大破坏客户，员工和业务合作伙伴的信任。
• 地缘政治风险：诸如《云法》之类的法律是在全球趋势促进州监视和可能对互联网的分裂的背景下（“ Splinternet”）。在其他国家（例如中国国家情报法）的类似法律进行比较。来自单个非欧洲地区的技术提供商的过度依赖也为欧洲的数字自主权和弹性带来了战略风险。

因此，美国云的使用风险远远超出了潜在的GDPR惩罚。它们包括损失关键业务数据，声誉损失以及由于可能滥用业务间谍活动的访问权利而危害竞争力。这些通常是难以量化的，但潜在存在的“抵押”风险在纯粹关注GDPR依从性的情况下略微低估了。

Schrems II决定和数据隐私框架（DPF）

欧洲法院（ECJ）在2020年7月的Schrems II判决大规模收紧了跨大西洋数据流量的法律不确定性。原因：美国监视法，尤其是FISA 702和相关计划，允许干预欧盟公民的基本权利（数据保护，隐私），这些权利不限于强制性级别，并且不像欧盟那样提供同等保护。此外，针对美国受到影响的人，缺乏有效的法律补救措施。该判决证实了标准合同条款（标准合同条款-SCC）的基本有效性，作为数据传输的替代工具。但是，ECJ明确表示，数据出口商不允许盲目依靠SCC。作为个别案例测试（转移影响评估-TIA）的一部分，您必须检查目标国家（这里是美国）的正确和实践是否确保欧盟“基本上相同”的保护。如果不是由于监视法律而不是这种情况（ECJ向美国建议的），则必须采取其他措施（补充措施）（例如，接受接收者无法访问钥匙的强加密）以确保保护。如果不可能，则必须暂停数据传输。在这种情况下，云行为被视为进一步破坏保护水平上等价论点的因素。为了回应Schrems II引起的法律不确定性，并以扎实的基础将欧盟和美国之间的数据流放置，欧盟委员会和美国政府同意了欧盟-US数据隐私框架（DPF）。欧盟委员会的新适当性于2023年7月生效。 DPF旨在通过在美国方面提供其他保护措施来解决Schrems II判决中所表达的问题：通过美国情报服务访问欧盟公民的数据，应限于必要的和比例的水平，并为欧盟公民创建了一种新的，两阶段的法律补救措施（包括数据保护审查）。美国公司可以通过DPF进行认证，然后将从欧盟向这些认证公司的数据传输到没有其他工具（例如SCC或其他措施）的情况下被视为允许。但是，关于DPF的稳定性和有效性仍然存在很大的疑问和风险：

• 美国基本法律仍然存在：DPF尚未更改《云法》和FISA 702。美国当局的数据访问的基本权力仍在继续。
• 对ECJ力量的怀疑：许多数据保护专家和激进主义者都怀疑DPF中提供的保护措施以及新的法律补救机制是否会承受欧洲法院的新审查。特别是，质疑DPRC的独立性和自信。
• 需要连续监控：根据艺术。 45 para。 4 GDPR，欧盟委员会有义务不断监视美国的发展并定期检查适当性。第一次审查发生在2024年夏天。最近的发展，例如FISA 702的扩展和潜在扩展，可能再次危害DPF的基础。
• 对公司的风险：专门依靠DPF的公司承担并非不足的风险。如果将来欧洲委员会在将来也使DPF无效（“ schrems iii”场景），则此基础上的数据传输将在此基础上再次非法。那些没有“计划B”的公司（例如，转向欧盟提供者或实施有效的其他措施）不能依靠退出。

美国法律在广泛的数据访问方面与欧盟的基本数据保护权之间的核心冲突仍然存在于DPF之下。引起问题的美国法律仍在生效。 DPF更像是政治上的桥梁，而不是最终的法律解决方案。美国当局可能会访问来自欧洲公民和公司数据的基本问题。

定义和标准：“主权SaaS”是什么意思？

鉴于所描述的风险，欧洲公司越来越多地寻找可以为他们提供更多控制，安全和法律合规的替代方案。在这种情况下，“主权云”或“自信的SaaS”的概念通常会落下。但是，究竟是什么隐藏在它的背后，以及要约必须达到的标准才能在欧洲背景下被视为主权？

云上下文中主权的核心要素

云环境中的数字主权是一个复杂的概念，它超出了服务的纯技术提供。它可以使用几个核心元素来掌握：

• 数据主权（数据主权）：这是中心原则。它说数据受其所在或已提出的管辖权的法律和法规约束。对于欧洲而言，这意味着欧盟数据保护法（特别是GDPR）的所有无限制有效性，以及根据《美国云法》等域外法律（例如，根据《美国云法》）的范围来保护当局的访问权限。客户可以完全控制哪些条件可以访问他的数据。
• 数据驻留和数据本地化：
  • 数据居住地意味着客户数据（包括元数据和备份）是在定义的地理区域内（通常是欧盟或EEA的定义地理区域内）保证的。这是欧盟背景下数据主权的必要先决条件，但如果提供者受非欧洲法律的约束，则本身还不够。
  • 数据定位是更严格的要求，该要求规定不允许数据离开特定国家的限制。此类法律在欧盟中很少见，但可能与特定的国家法规或部门有关。
• 运营主权（运营主权）：此元素是指控制云基础架构及其上的服务的操作。重要方面是：
  • 通过欧盟人员和欧盟法律人士的操作：必须确保人员，对云环境的物理或逻辑访问和客户数据的居民居住在欧盟中，并受欧盟法律的约束。必须在技术，组织或严格控制的情况下从欧盟外部进行访问。
  • 欧盟公司的席位和结构：云提供商本人或至少负责欧盟公司的合法人员应将其总部设在欧盟/EEA国家，因此主要属于欧洲法律。至关重要的是，对第三国（尤其是美国）的母公司或分支机构没有依赖性，可以根据其法律执行提交（例如Cloud Act或FISA）。
  • 透明度和可审核性：客户需要通过操作过程，所使用的分包商和实施的安全措施进行透明度。独立审查和审核访问和过程的可能性是运营主权的重要特征。
• 技术主权（技术主权）：这是指理解，控制，验证和理想地发展基础关键技术本身的能力。其各个方面是：
  • 使用开放标准和开源软件：开放标准和源开放软件可促进不同提供商和解决方案之间的互操作性，提高透明度（因为可以检查代码），降低供应商锁定的风险并促进安全审核。它们通常构成欧洲技术堆栈的基础，例如Soveign Cloud Stack（SCS）。
  • 互操作性和可移植性：轻松迁移数据和不同云提供商之间的应用程序的能力或回到您自己的基础架构（本地）是独立性和灵活性的迹象。
  • 控制技术堆栈：从长远来看，技术主权旨在减少对非欧洲来源的​​专有硬件和软件组件的依赖，并建立自己的欧洲技能。

适合：

• 独立的AI平台作为欧洲公司的战略替代品

分化和误解

“自信的云”一词不受法律保护，并且经常被各种提供商用作营销工具，因此，基本概念和措施可能会有所不同。因此，对于公司而言，至关重要的是，准确检查提供者按主权及其提供的具体保证。一个常见的误解是，欧盟内数据中心中数据的存储足以确保主权。但是，事实并非如此。如第二节中所述，美国云法案可访问美国公司的数据，而不管该位置如何。如果提供商本身或他的母公司是我们或以其他方式受美国管辖权的约束，则欧盟的数据居住地并不能保护我们的访问权限。另一种偏见指出，与全球超级评分者相比，主权云不可避免地提供平均功能限制或较慢的创新速度。尽管这在某些情况下可能适用，但由于本地提供商通常没有相同的规模效果和研究预算，但目标不是主要的限制，而是云计算优势（灵活性，可扩展性）与控制，安全性和合规性要求的组合。许多欧洲提供商依靠开放技术来实现创新和适应性。

从欧盟的角度来看

根据主权的核心要素，可以从欧洲公司可以评估SaaS提供商的具体标准：

• 数据保护与合规性：已显示提供商满足GDPR的要求。应根据艺术品的订单处理合同（AVV）进行记录。 28 GDPR和合适的技术组织措施（TOMS）。必须保证遵守进一步的相关欧盟和国家法规（例如，对于特定部门）。
• 数据位置和处理：必须保证所有客户数据，包括元数据，配置数据和备份，仅在欧盟或EEA内保存和处理。
• 操作和访问控制：服务的运营和对客户数据的访问必须由基于欧盟的人员进行，属于欧盟法律人格。必须采取严格的技术和组织措施，以防止未经授权的访问，尤其是在欧盟以外。
• 公司结构和管辖权：提供商应在欧盟/EEA中拥有其总部及其相关法律控制。在第三国（尤其是美国）必须没有社会法律的干预或分支机构，这将提供商置于其管辖范围内，并可能迫使数据投降（例如，通过Cloud Act或FISA）。
• 透明度：提供者应提供有关其操作过程，分包商的使用，数据处理的位置和实施的安全措施的透明信息。应给予客户或独立第三方审核的可能性。
• 技术与互操作性：首选使用开放标准（例如API）和/或开源软件促进了对其他提供商的集成，测试和潜在变化（避免供应商锁定）。
• 认证和测试：公认的认证和测试可以作为遵守安全和合规标准的证明并建立信任。 ISO 27001，BSI C5（在德国）和EUC将来特别重要。

很明显，在SaaS环境中的数字主权是一个多维概念。这不仅关乎数据存储的位置，还与谁处理数据有关，哪些法律受提供商的约束以及使用了哪些技术基础知识。因此，在选择提供商时，公司必须检查主权的哪个方面是他们优先考虑的，以及提供商满足这些特定要求的程度。欧盟中的纯数据居住地通常不足以有效减轻风险，尤其是通过美国法律。同时，公司经常面临紧张局势：对最大的主权和控制的愿望必须与与全球高标准相比，在某些欧洲或严格的主权提供者中可能发生的功能，创新速度或成本可能发生的潜在缺点。许多欧洲提供商将开源软件的使用视为确保透明，信任和适应性的一种战略方式，即使它们可能不在任何最新技术开发的最前沿。

Xpert.Digital 对各个行业都有深入的了解。 这使我们能够制定量身定制的策略，专门针对您特定细分市场的要求和挑战。 通过不断分析市场趋势并跟踪行业发展，我们可以前瞻性地采取行动并提供创新的解决方案。 通过经验和知识的结合，我们创造附加值并为客户提供决定性的竞争优势。

更多相关信息请点击这里：

• 在一个软件包中使用 Xpert.Digital 的 5 倍专业知识 - 每月仅需 500 欧元起

市场概述：欧盟的主权SaaS替代方案

欧洲软件即服务（SaaS）市场提供了越来越多的提供商，他们将自己定位为占主导地位的美国参与者。他们中的许多人特别关注数据保护，GDPR合规性和数字主权，以满足欧洲公司和组织的具体要求。

选择提供商的标准

以下概述着重于符合以下标准的SaaS提供商：

• 起源：该公司总部位于欧盟（EU），欧洲经济区（EEA）或瑞士（CH）的成员国，因为瑞士有欧盟委员会的适当决定，并且经常被密切融合到欧洲经济领域。
• 定位：提供商明确定位自身为符合符合数据保护的主权或具有数字主权的基本特征（例如，在欧盟/EEA中的独家托管，可证明的GDPR合格，没有根据US法律（例如Cloud Act/fisa）的法律提交的提交，请使用开源）。
• 相关性：基础研究来源中提到了提供者，或者被称为其类别中的相关选择。

根据常见的SaaS类别，将提供商分组以更好地清晰。

分类欧洲SaaS提供商的概述

下表概述了选定的欧洲SaaS提供商，按照功能领域的顺序。它是进行更详细评估的起点。

按类别概述欧洲SaaS提供商

（注意：此表是一个选择，并且不声称已完成。该信息基于可用的来源，可以更改。公司的单独检查至关重要。）

欧洲SaaS提供商的概述显示了各种根据类别订购的解决方案。在协作和办公室的领域，有一些提供商，例如来自德国的NextCloud Hub，其中包括用于文件，谈话，组件和办公室的开源平台，可以托管自我和提供者，并依赖于数据主权。也来自德国的Open-Xchange App Suite为电子邮件，组件，驱动器和文档（尤其是提供者和公司）提供了完整的解决方案，并符合ISO 27001标准。来自拉脱维亚的OnlyOffice提供了一个具有协作选项和工作空间（包括CRM和电子邮件）的办公室套件，它既是云，又是本地功能，并且符合GDPR。基于Libreoffice的Collabora Online通常与NextCloud等平台集成在一起。来自德国的TeamDrive专注于具有端到端加密和零知识原则的高量云记忆。也来自德国的概念板提供了一个在线粪便板，用于与欧盟服务器的视觉合作，而无需我们参与。来自法国的Cryptpad结合了开源和E2E加密的合作。来自德国的Stackfield提供了一个符合GDPR的平台，用于聊天，任务和视频。

在CRM＆Sales地区，来自德国的Zeeg符合GDPR的时间表包括日程安排，而CentralStationCRM为中小企业提供了简单的CRM。 SAP CRM作为SAP套件的一部分，针对公司。在云存储解决方案中，瑞士的Pcloud等提供商在可选的E2E加密和终生计划中脱颖而出。 Tresorite结合了欧洲的高安全性，零知识和合规性。也来自瑞士的Proton Drive提供加密的文件主机。 Ionos Hidrive和国际选择等德国提供商（例如Infomaniak Kdrive）完成了报价。

为了进行视频会议，必须强调来自德国的Opentalk，特别关注安全和GDPR以及开源解决方案JITSI METER必须强调。来自奥地利的Eyeon提供了基于云的视频视频，而瑞典的Univing专注于网络研讨会。在Web分析中，MATOMO提供了一个具有完整数据控制的开源选项，合理的分析侧重于简单的可用性和数据保护，来自德国的Etracker没有Cookie和Piwik Pro。

营销自动化由Brevo（以前是SendInblue）等提供商涵盖，并在德国/欧盟的服务器以及具有B2B Focus和ISO认证的评估。就人力资源软件而言，Personio是一个领导者，是中小型企业的全面平台，并补充了提供云和本地模型的HRWorks和Rexx系统等解决方案。项目管理中的OpenProject是一种德国开源解决方案，而Zenkit则具有灵活的工作区分数。安全的电子邮件提供商（例如Tutanota和Proton Mail）代表数据保护和端到端加密。来自德国的Bare.ID与GDPR合并安全性提供了单一登录。对于调查工具，Lamapoll和Limesurvey可以说服适应性和德国服务器标准。欧盟版本中的QuestionPro以广泛的功能和GDPR合格为由。

该概述说明了欧洲SaaS市场的非凡多样性和专业化。尤其是在数据保护和安全性传统上发挥重要作用的领域，例如协作，安全通信，云存储和网络分析 - 有很多替代方案。这些提供商中的许多是中小型公司（中小型企业）或来自不同欧洲国家的专门利基球员。他们经常专注于遵守GDPR和欧洲市场的特定需求，欧洲市场以欧盟托管，德语支持或特定合规性认证等特征表示。

开源软件对许多欧洲提供商的战略重要性也令人震惊。尤其是在协作领域（NextCloud，CryptPad），Office（OnlateOffice，Collabora），Project Management（OpenProject），Web分析（MATOMO）和视频会议（JITSI，OPENTALK），源开放技术通常构成基础。这不仅仅是技术细节。这是一个有意识的决定，可以通过可见的代码，适应性，可审核性和避免依赖关系（供应商锁定）提高透明度（供应商锁定）。这些方面是数字主权的中心基础，使欧洲提供商能够提供值得信赖和灵活的解决方案，而无需一定要拥有巨大的全球超标准发展预算。这为客户提供了对所使用技术的更多控制和洞察力。

比较选定的欧盟替代方案

根据一般市场的概述，现在可以对关键类别中选定的代表性欧洲SaaS替代方案进行更详细的比较。重点是核心功能，价格模型，独特的销售点，尤其是数据主权和GDPR综合的实施。

比较方法

提供详细比较的提供者的选择是基于其在基础来源中提及的相关性和频率，及其作为已知美国服务的欧洲直接替代方案的定位。比较基于特定提供商片段和其他相关数据点的信息。标准包括：

• 核心功能：软件在核心中做什么？
• 价格模型：价格结构是什么（订阅，免费增值，终生，本地人）？
• 数据位置/托管：数据托管在哪里（欧盟/de保证）？有自托管选项吗？
• 加密：使用了哪些加密方法（特别是端到端，零知识）？
• 认证/合规性：什么是相关证书（ISO 27001，BSI C5等）和合规性承诺（GDPR）？
• 关于主权的优势/缺点：数据控制，透明度和独立性方面的特殊特征或限制。

按类别比较细节

重要的欧盟替代品的详细比较

重要的欧盟SaaS替代方案的详细比较表明，NextCloud Hub作为模块化平台提供诸如文件同步和发布，视频会议，组件和办公室集成之类的功能，而Open-Xchange App Suite则专注于电子邮件，日历，联系人和内存。 NextCloud Hub可以通过自我托管实现完整的控制，并提供可选的端到端加密，但对您自己的托管的IT要求更高。通过ISO认证和数据保护从欧盟的角度脱颖而出，但依赖于提供商云。在CRM地区，Zeeg以明确的GDPR合规得分并在德国托管，而CentralStationCrm则以简单性和中小型企业的重点说服。两个提供商都提供免费增值模型和保证符合GDPR的数据位置。有了云存储器，PCLOUD带有终生计划和欧盟内存选项显示了灵活性方面的优势，但是E2E加密是可选的，并且有收费，而Tresorite则以一致的零知识加密和高遵守率进行评分，但更昂贵。 OnlyOffice和Concomploa Online提供了具有强大欧盟取向和开源选择的广泛办公室替代方案，从而通过MS兼容性和协作功能来发挥作用。在线合作在线紧密集成到NextCloud之类的平台中，因此不再是独立的。在视频会议领域，Opentalk分数具有诸如网络研讨会，调查和明确的GDPR焦点之类的功能，而Jitsi Meet则提供了最大的自我控制和简单性作为免费的开源解决方案。两种解决方案都提供本地选项和强大的数据保护功能，因此Opentalk在BSI IT安全车牌中脱颖而出。

细节比较强调，很少有单一的“最佳”欧洲替代方案。选择在很大程度上取决于公司的特定要求和优先级。有明确的权衡取舍，例如最高安全性和价格（Pcloud vs. Safe），或通过自我托管和托管SaaS解决方案的舒适度（NextCloud与Ox App Suite Suite Suite Suite Cloud）之间的全面控制之间。公司必须权衡哪个方面 - 功能范围，用户 - 友善，成本或主权和安全程度 - 对他们来说是最重要的。

许多欧洲提供商的决定性特征是操作模型的灵活性。诸如NextCloud，OnlyTalk或Jitsi之类的解决方案都提供基于云的（SaaS）和本地或自我托管变体。这使公司有机会确定自己的控制程度和主权。您可以为值得信赖的欧洲提供商选择SaaS解决方案的舒适度，也可以通过在自己的数据中心操作来选择对数据和基础架构的最大控制。此选择解决了控制后的核心需求，这推动了主权辩论。

Ki-Gamechanger：最灵活的AI平台销售解决方案，降低成本，提高决策并提高效率

独立的AI平台：集成所有相关的公司数据源

• 这个AI平台与所有特定数据源进行互动
  • 来自SAP，Microsoft，Jira，Confluence，Salesforce，Zoom，Dropbox和许多其他数据管理系统
• 快速AI集成：在数小时或数月内为公司量身定制的AI解决方案
• 灵活的基础架构：基于云或在您自己的数据中心（德国，欧洲，免费位置选择）的托管

• 最高数据安全：在律师事务所使用是安全的证据
• 在各种公司数据源中使用
• 选择您自己或各种AI模型（DE，欧盟，美国，CN）

我们的AI平台解决的挑战

• 常规AI解决方案缺乏准确性
• 数据保护和敏感数据的安全管理
• 个人AI开发的高成本和复杂性
• 缺乏合格的人工智能
• 将AI集成到现有的IT系统中

更多相关信息请点击这里：

• AI集成了所有公司的独立和跨数据源范围内的AI平台

专业解决方案：敏感部门的主权SaaS

虽然到目前为止所考虑的SaaS解决方案通常可以在行业中使用，但仍有对安全性，合规性和数字主权的领域特别高。这特别是公共管理，医疗保健和金融部门。专门的优惠和监管框架正在这里开发，这些框架促进甚至规定了主权云解决方案的使用。

公共管理

德国和欧洲的公共部门对数字主权具有固有的兴趣，以确保控制公民数据和关键国家流程。这些要求通常超出了标准GDPR的合规性，并包括特定的安全标准，例如BSI IT基本保护或BSI C5标准目录。不同当局和级别之间的互操作性以及对避免依赖性的开源软件的偏爱也是重要方面。

几项旨在为政府创建主权云基础架构的举措：

• 德国行政云战略（DVS）：由IT计划委员会和Fitko驱动的该战略实现了为联邦，州和市政当局建立联邦，安全，可互操作和主权云生态系统的目标。它依靠开放标准，一种多云的方法以及公共IT服务提供商的集成（例如DataPort，AKDB，it.nrw），它们扮演着核心角色并享有高度信任。外部，符合DVC的供应商也应将其集成到透视上。中心要素是云服务门户（CSP），作为标准化和经过测试的云服务的市场。
• Bundescloud / IT操作平台外滩：ITZBUND已经为联邦当局运营云平台（SaaS，PaaS），这些政府应在2025年合并，并满足安全和数据保护的高要求。
• 数字主权中心（Zendis）：该设施专门促进了管理中的开源软件，并支持Opensk等项目，Opensk是Microsoft 365的开源替代品，该替代品是为公共部门专门开发的。
• Gaia-X和Soveign Cloud Stack（SCS）：这些欧洲举措为主权云基础架构的结构提供了重要的技术基础和标准，DVS也将使用它们。 SCS是基于OpenStack和Kubernetes的开源堆栈，已经由几个德国提供商（例如Plus Server）使用。

混凝土主权SaaS提供给管理的优惠来自公共IT服务提供商（例如IT.NRW的概念板，DataPrat by Dataprat的Dddatabox），以及经常接受BSI C5测试的专业商业提供商，并且可以通过MarketPlace提供，例如Govdigital（例如Govdigital）（E.G. Plus Server，Ionos，Ionos，OvhclOud）。 NextCloud或Opendendk等开源解决方案也起着重要作用。

适合：

• 取决于美国云吗？德国争取云的斗争：如何与AWS（亚马逊）和Azure（Microsoft）竞争

卫生保健

医疗保健系统处理受特殊保护的极其敏感的个人数据（根据ART。9GDPR的健康数据）。除了GDPR和医疗机密性外，《患者数据保护法》（PDSG）和《数字法》（Digig）（DIGIG）等特定的国家法律也适用。安全性，可用性和机密性在这里至关重要。

在德国医疗保健系统中使用主权云解决方案的关键驱动力是Digital Act（DIDIG），该法案于2024年3月生效。新的§393SGB V明确允许使用云计算处理社交和健康数据，但这是基于非常严格的条件：非常严格的条件：

• 仅在欧盟/EEA/CH或适当解决国家中进行数据处理：数据的处理只能在德国，欧盟/EEA州，瑞士或第三国进行欧盟委员会的充分决定。
• BSI C5测试是必须的：从2024年7月1日起，必须代表服务提供商（医生，医院，健康保险公司等）处理社交或健康数据的云服务提供商必须能够显示有效的BSI C5测试。直到2025年6月30日，从2025年7月1日起，2型测试是必不可少的（一个类型2测试）是必须的（一段时间内有效证明）。
• 这也适用于SaaS提供商：这项义务不仅影响基础架构（IAAS）或平台提供商（PAAS），而且还会明确地，还明确地将软件即服务（SaaS）提供商（例如，其应用程序使用的云使用的提供商（例如，医院信息系统）（例如，医院信息系统（KIS），实践管理系统（PVS），预约书籍系统，预约书籍系统，挖掘系统，DIGAS，DIGAS，DIGAS，DIGAS。
• 客户控制的实施：用户机构（诊所，实践等）必须依次实施云提供商测试报告中提到的最终用户控件。

该法规大大收紧了医疗保健系统中云服务的要求，事实上，BSI C5的平衡使得该市场的提供商的入门票。云提供商，例如开放的Telekom Cloud，AWS（Frankfurt地区），Azure，GCP或德国提供商，例如加分服务器，Stackit和Ionos，已经对其基础架构进行了C5测试。现在，基于此的SaaS医疗保健解决方案（KIS，PVS，EPA组件等）也必须提供此证据。活跃于健康云环境和/或争取相关认证的公司的例子是Gini，Doctolib或Kite Consult。电子患者文件（EPA）本身托管在德国的服务器和欧盟GDPR符合的服务器上。

金融

金融部门（银行，保险公司，金融服务提供商）也受到高度监管，并且处理非常敏感的数据。德国联邦金融监督管理局（Bafin）的严格监管要求（例如诱饵，凯特，vait，zait）和越来越统一的欧洲准则在这里适用。对IT安全性，风险管理，可靠性和审计安全性的高度要求是标准配置。

使用安全和主权云解决方案的重要监管驱动因素是：

• NIS2指令：根据NIS2，银行和金融市场基础设施通常属于“必不可少”或“重要”设施的类别。因此，您必须满足风险管理，供应链安全性（包括云提供商），事件报告和管理责任的更严格的要求。
• DORA（数字操作弹性法）：该欧盟法规专门旨在增强金融领域的数字运营弹性。它为管理ICT风险的管理详细要求，与ICT相关的严重事件的报告，数字弹性的测试，尤其是ICT第三方服务提供商（包括云提供商）的风险管理。除其他事项外，Dora要求与云提供者和审计权利明确的合同法规。

想要为金融机构服务的云提供商必须证明他们可以满足这些监管要求。这通常是通过检测BSI C5或ISO 27001的认证，特定的合同保证以及对安全体系结构和流程的透明探索来完成的。诸如Plus Server，T-Systems，Microsoft具有欧盟数据边界或具有欧洲主权云的AWS之类的提供商是为该监管市场的专门定位的。

此外，还有一些专业的SaaS提供商为金融领域提供合规解决方案，例如，用于洗钱预防（AML），了解您的客户（KYC），制裁清单测试，欺诈检测或市场滥用监控。具有欧洲关系或存在的提供者的例子是Actico（de），鹈鹕AI（英国？），Sopra Financial Technology（de/fr），Otris（de）或Viclarity（即/美国？）。

在这些高度敏感的部门中，很明显，主权云解决方案的决定不再仅仅是风险最小化的问题，而是越来越多地受到法律要求和严格合规性要求的驱动。诸如BSI C5之类的认证的需求将决定的基础从自愿性风险评估转移到了市场参与的强制性先决条件。

这尤其向SaaS提供商提出了新的挑战。尽管到目前为止，基础设施提供商（IAAS/PAAS）经常拥有相关的认证，但诸如第393 SGB V之类的法规现在明确要求SaaS提供商（例如BSI C5测试）的证据。获取和维护此类测试的成本和精力非常重要，可能是一个障碍，尤其是对于较小的创新SaaS公司，这可能会导致这些受监管的地区的市场巩固。

适合：

• 美国政策激发了欧盟科技公司？美国统治的数据主权：欧洲云的未来

促进主权：欧盟倡​​议和认证

为了加强欧洲的数字主权并为云计算创建一个值得信赖的框架，在欧洲和国家一级启动了各种计划和认证标准。这些旨在促进互操作性，协调安全标准并增加对云服务的信任。

GAIA-X：联合欧洲数据基础设施的愿景

Gaia-X是加强数字主权的欧洲最杰出的举措之一。由德国和法国于2019年创立，许多欧洲国家的商业，科学和政治的众多合作伙伴现在正在参与。

• 目标：GAIA-X的核心目的地是基于欧洲价值观（例如数据保护（GDPR），透明度，信任和自决）的安全，美联储和可互操作的数据基础架构的创建。它旨在提高欧洲与非欧洲提供商的数字独立性，通过安全数据交换来实现创新，并增强欧洲公司的竞争力。
• 体系结构和方法：重要的是要了解Gaia-X本身不是云提供商，也不是建立自己的“欧洲超级云”。取而代之的是，Gaia-X定义了一组规则，通用标准和架构元素，用于由网络，可互操作数据室和云基础架构服务的分散生态系统。它基于开放性，透明度，模块化以及开放标准和开源软件的使用等原则。 GAIA-X数据和云协会（AISBL）开发了检查合格的规范，规则，政策和框架（GAIA-X合规性），该框架将由所谓的Gaia-X数字清算房屋（GXDCH）实施。
• 组件和项目：在Gaia X框架内创建具体的构建块和项目。 SoeGeign Cloud堆栈（SCS）是一个重要的例子：用于建立GAIA-X符合性的主权云基础架构（IAAS/PAAS）的标准化的，基于开源的技术堆栈（基于OpenStack，Kubernetes等）。它旨在作为可互操作和自信的云提供的技术基础，也是德国行政云。
• 应用程序案例（用例）：为了证明GAIA-X的好处，在各个域中开发了混凝土数据室和应用。可以在工业4.0（例如汽车行业的Catena-X），流动性，能源，财务，公共管理，尤其是医疗保健中找到示例。 Team-X，Health-X DataLoft或Gaia-Med等项目旨在使健康数据的安全和主权交换以改进护理和研究。
• 挑战：尽管有雄心勃勃的目标，但Gaia-X也面临着挑战和批评。这包括项目的复杂性，实际实施中的进展缓慢，有时不清楚的定义以及担心该计划可能由已建立的全球大规模主导。还批评了基础设施级别（IAAS/PAA）的重点太强，并且应用级别（SAAS）被忽略了。

EUC：欧洲网络安全认证计划

欧洲网络安全服务计划（EUC）是欧洲网络安全机构（ENISA）根据《欧盟网络安全法》（CSA）制定的认证框架。

• 目的：主要目标是整个欧盟的网络安全要求和云服务的认证（IaaS，PaaS，SaaS）的协调。将创建一个统一的标准，以通过不同的国家认证方案（例如法国的Secnumcloud或德国的C5）克服碎片化并加强数字内部市场。对于云用户，EUC应该通过证明认证服务符合某些安全标准来创造更大的透明度和信任。
• 保证水平：该计划定义了三个（或以前的设计中的四个）安全水平（“基本”，“实质”，“高”和可能的“高+”），这反映了不同的风险水平和攻击技能。随着水平的提高，对实施的安全措施的要求（例如网络，内存，加密安全性，穿透性测试）以及通过认可的合格评估机构（合规评估机构）对评估的严格性。
• 自愿性与强制性：根据EUC的认证通常是自愿的。但是，《网络安全法》或《 NIS2指令》允许欧盟成员国（尤其是针对“基本”或“重要”机构（批评））的成员国指定使用认证的ICT服务的使用。因此，至少在受监管的部门中，EUC可能会成为强制性要求或招标的重要标准。
• 主权辩论：EUC发展中的一个核心和有争议的观点是特定主权要求的问题，尤其是对于最高的安全水平（“高”或“高+”）。早期的设计规定，欧盟内的数据本地化对于此级别是绝对必要的，并且提供商必须在欧盟成员国拥有其总部和全球总部，以确保对非欧洲法律的保护（例如《云法》）。但是，这些要求在以后的设计中显然被删除或削弱（截至2024年）。这受到了欧洲云提供商（特别是中小企业），工业协会和数据保护主义者的暴力批评，他们担心这会削弱欧洲的数字主权，巩固对非欧洲超级标准的依赖，以及欧洲公民和公司的数据暴露于风险增加。关于这些要求的最终设计的辩论仍在继续。

BSI C5：德国云安全标准

德国联邦信息技术办公室（BSI）的云计算合规性标准目录（C5）是一个已建立的标准目录，该目录定义了云服务信息安全性的特定最低要求。

• 目的和内容：C5在选择安全提供者时应为云客户提供导向，并为其风险管理创建基础。它基于国际认可的标准，例如ISO/IEC 27001，但根据所谓的环境参数对它们进行了补充，并具有特定于云的要求，并特别重要地对透明度。这些参数提供了有关诸如数据位置，管辖权地点，认证和披露等方面的信息，该州旨在帮助客户（例如，通过经济间谍或违反数据保护）。该目录包括17个主题领域，包括组织信息安全，人员安全，资产管理，密码学，身份和访问管理，事件管理和物理安全。
• TESTAT（类型1和类型2）：符合C5标准的依从性，由独立的，合格的审核员发行。测试有两种类型：类型1证明设计的适当性以及安全检查的实现将其用于特定的关键日期。类型2还通过定义的检查期（通常为6到12个月）确认这些对照的操作效率。 2型测试被认为更有意义，并且从2025年7月开始进行后续考试和在医疗保健系统中所必需的。
• 相关性：C5已发展为德国安全云计算的事实上的标准，尤其是在公共行政和严格监管的行业（例如医疗保健系统和金融部门）中。如前所述，Digig将从2024/2025年7月的医疗保健系统中法律上强制进行C5测试。许多德国和欧洲，但国际云提供商（对于欧盟地区）都对其服务进行了C5测试。

其他相关标准

除了提到的倡议和证书外，既定的国际标准还起着重要作用：

• ISO/IEC 27001：信息安全管理系统（ISMS）的全球认可标准。它定义了一种系统的管理敏感公司信息的方法，以确保其机密性，完整性和可用性。 ISO 27001认证通常是云提供商的基本要求，是C5等更具体标准的基础。
• ISO/IEC 27017：此标准提供指南（实践守则），除了ISO/IEC 27002外，还具有针对云环境中信息安全性的特定控制措施。
• ISO/IEC 27018：专注于对处理器的公共云中个人数据（个人身份信息-PII）的保护。它包含密切基于欧洲数据保护原则的准则，可以作为C5的补充，主要不涵盖数据保护。

这些不同的举措和标准不一定被视为竞争对手，而是可以相互补充。 Gaia-X提供了主权生态系统的愿景和规则，EUC应该统一整个欧盟的认证，而BSI C5等国家标准已经提供了具体，已建立的要求和测试机制。面临的挑战是明智地整合这些方法，并创建一个连贯的框架，该框架都符合欧洲的主权主张，并且对于提供者和用户而言也是实用的。但是，目前关于EUC中主权要求的辩论表明，这里仍然需要政治和技术细节。

对于公司而言，重要的是要了解，BSI C5或ISO 27001等认证是有价值的信托基础，创造透明度并使证明安全性更容易。但是，它们不是灵丹妙药，并且不会取代客户的风险评估和尽职调查测试。例如，针对美国提供商的C5测试不会改变其在《云法》中的细分。提供者和客户之间的共同责任（“共同责任”）仍保留云的安全性，并且公司必须始终检查提供商的措施是否足以满足其特定要求和风险。

适合：

• 变更中的数据管理系统：公司在AI时代成功的策略

改用欧盟SaaS提供商的战略优势

分析使用基于美国的云服务的风险以及对欧洲主权市场不断增长的市场替代品的调查可以明确结论：对于欧洲公司而言，从数字主权的角度来看，不仅建议处理其云战略，而且是越来越多的战略必要性。

结果摘要

本报告的中心发现可以总结如下：

• 美国提供商中的持续风险：使用美国管辖权的公司的SaaS服务对欧洲公司的危险和持续风险。欧盟GDPR与美国法律（例如FISA 702）之间的基本冲突导致潜在的数据保护伤害，高罚款，数据控制丢失以及业务间谍活动的风险。即使是当前的欧盟数据隐私框架（DPF）也不能消除这种基本冲突，其长期稳定性尚不确定（请参阅第二节）。
• 主权作为一个多维概念：欧洲背景下的“主权SaaS”不仅意味着在欧盟计算中心存储数据。它包括遵守欧洲法律（尤其是GDPR），对非欧洲访问的保护，欧盟实体和人员的运作以及技术开放性和互操作性，以避免依赖性（请参阅第三节）。
• 欧盟替代方案不断增长的市场：SaaS提供商的席位和在欧盟/EEA/CH运营的各种市场都在不断增长。这些提供了许多类别的解决方案，通常非常关注数据保护，安全和本地需求。许多人在战略上依靠开源来最大化透明度和控制（请参见第四节和V节）。
• 敏感部门的监管压力：在公共管理，医疗保健系统和金融领域，使用明显安全和主权的云解决方案（通常具有BSI C5测试或可比证据）的使用越来越多地成为职责（例如Digig，NIS2）和战略规范（请参阅第VI节）。
• 框架条件通过举措和标准：诸如GAIA-X之类的欧洲举措以及计划的EUC和诸如BSI C5之类的国家标准等认证，创造了重要的框架条件，促进互操作性，并旨在增强对主权云报价的信任（请参阅第VII部分）。

欧盟替代方案的战略优势

符合主权标准的欧洲SaaS提供商的主要选择或主要选择的公司为公司提供了超出纯风险最小化的公司：

• 改进的合规性和法律确定性：使用专门的提供者的使用并保证欧盟中的数据可显着降低违反GDPR的风险，并与非欧洲法律发生冲突。这为数据处理创造了更稳定和可预测的法律依据。
• 增加数据控制和安全性：专注于主权的欧洲提供商通常可以更高地控制您自己的数据。这可以通过自托管选项，一致的端到端加密（零知识），透明的操作流程以及第三国当局排除访问权限来实现。
• 鲜明的数字主权：欧洲提供商的决定减少了对非欧洲技术团体的战略依赖性。它支持在欧洲建立抵抗力的数字生态系统，并加强当地的数字经济。
• 当地的支持和文化亲密关系：欧洲提供商通常可以在各自的民族语言和时区提供更易于访问和可理解的客户服务。他们通常对欧洲市场的特定要求和习俗有更深入的了解，这可以促进合作和合同谈判。
• 信任形成：使用可明显的数据保护和自信的解决方案向客户，合作伙伴和员工发出高度对数据保护和安全性的承诺。这可以成为重要的信任和竞争优势。

为欧洲公司采取行动的建议

为了利用主权SaaS解决方案的优势并管理云使用风险，欧洲公司应考虑以下步骤：

• 执行个人风险分析：Calder当前使用的（尤其是基于美国）的SaaS服务。分析已处理数据的类型（敏感性，个人参考），适用的监管要求（GDPR，行业特定要求）以及未经授权的数据访问或服务失败对业务的潜在影响。
• 定义主权要求：确定您公司的数据主权，运营控制和技术独立性的程度。并非每个应用程序都需要相同的主权。根据风险和战略重要性确定优先级。
• 系统地评估欧盟替代方案的市场：使用市场概述（例如本报告中的市场）和您自己的研究来确定符合其功能和主权相关要求的潜在欧洲SaaS提供商。考虑提供商规模，专业化，参考和未来的生存能力。
• 在提供商选择中仔细的尽职调查：不要依靠营销声明。检查提供商有关数据位置（包括备份，元数据），运营人员，公司结构（所有权，座位），所使用的分包商，加密技术（尤其是E2E/零知识）和安全措施的信息。请求订单处理合同（AVV），技术组织措施（TOMS）和相关证书或测试（例如ISO 27001，BSI C5），并仔细检查它们。
• 制定迁移策略和退出计划：仔细计划潜在的变化。考虑到成本，数据迁移的技术努力，对界面的必要调整以及为您的员工变更管理。请注意互操作性并定义明确的退出策略，以使未来的提供商更改或数据返回（可逆性）。
• 将开源作为选项检查：评估开源的SaaS解决方案，无论是作为欧盟提供商的托管服务还是内部的托管服务（自托管），代表了一种合适的替代方案，以实现最大的透明度，适应性和控制。
• 观察监管格局：介绍跨大西洋数据流量（DPF检查）的发展，以欧洲认证标准（EUC）和相关法律（NIS2，DORA，特定于行业的法规）告知，因为这些可能会极大地影响您的云战略。

为了或反对使用某些云服务的决定，尤其是在美国提供商与欧洲替代方案方面，不仅仅是技术或纯合规性问题。这是一门战略课程，对法律确定性，数据安全性，对关键业务流程的控制以及公司在全球数字竞争中的韧性和竞争力最终具有长期影响。对非欧洲提供商的依赖风险分析的风险是实质的，并且会增加，而不是因当前的地缘政治和法律混合物而削弱。

同时，改用欧洲替代方案并不是确定的成功。公司必须仔细考虑合规性和控制的优势是否超过了功能范围，创新速度或移民工作范围的潜在缺点。对您自己的需求进行了详尽的分析，对可用替代方案的现实评估以及对过渡的仔细计划对成功至关重要。但是，欧洲市场提供了越来越可持续和值得信赖的选择，使公司能够利用云的优势而不会危害其数字主权。

☑️ 为中小企业提供战略、咨询、规划和实施方面的支持

AI策略的创建或重组

☑️ 开拓业务发展

 

我很乐意担任您的个人顾问。

您可以通过填写下面的联系表与我联系，或者直接致电+49 89 89 674 804 （慕尼黑） 。

我很期待我们的联合项目。

 

 

Xpert.Digital 是一个专注于数字化、机械工程、物流/内部物流和光伏的工业中心。

凭借我们的360°业务发展解决方案，我们为知名企业提供从新业务到售后的支持。

市场情报、营销、营销自动化、内容开发、公关、邮件活动、个性化社交媒体和潜在客户培育是我们数字工具的一部分。

您可以通过以下网址了解更多信息： www.xpert.digital - www.xpert.solar - www.xpert.plus