Souveränität bekommt eine Bewertung: Was SEAL ist und warum es über die Cloud hinaus von Bedeutung ist
Der neue Rahmen der EU macht digitale Unabhängigkeit zu einem messbaren Kriterium für Beschaffungsentscheidungen im Technologiebereich.
23. Juni 2026
·Blog
·Jay Goodman
%3Aquality(100)&w=3840&q=75)
In den letzten 18 Monaten sind mehrere Rahmenwerke zur Souveränität entstanden, doch das EU-Rahmenwerk zur Cloud-Souveränität „SEAL“ verdient die größte Aufmerksamkeit. Es ist der bislang strukturell stringenteste Versuch, die Bewertung der Souveränität in die Praxis umzusetzen. Seine Konzeption zeigt, wie eine erfahrene Vergabebehörde die Souveränität in messbare Komponenten unterteilt. Wer sich eingehend mit SEAL befasst, befasst sich damit mit dem strukturellen Modell, das andere Rechtsordnungen wahrscheinlich übernehmen werden.
Im Oktober 2025 veröffentlichte die Europäische Kommission die Version 1.2.1 des „Cloud Sovereignty Framework“. Im April 2026 wurde das Rahmenwerk von einem politischen Dokument zur operativen Realität, als die Kommission es zur Vergabe von Aufträgen im Bereich der souveränen Cloud im Wert von 180 Millionen Euro nutzte. Die Anbieter mussten in jeder Dimension eine festgelegte Souveränitätsschwelle überschreiten, bevor ihre Angebote überhaupt bewertet wurden. Das Rahmenwerk funktionierte wie vorgesehen: Die meisten Gewinner erreichten SEAL-3 (Digitale Resilienz), und die Ausschlusskriterien sorgten bereits für den Großteil der Selektion, bevor überhaupt die Spalte mit den gewichteten Punktzahlen herangezogen wurde.
Genau diese zweistufige Struktur haben die meisten Beobachter übersehen, als das Rahmenwerk erstmals vorgestellt wurde. SEAL ist keine einzelne Zahl, sondern eine Mindestpunktzahl für die Auftragsvergabe in Kombination mit einer gewichteten Vergabewertung, wobei die Mindestpunktzahl den entscheidenden Anteil ausmacht.
Was ist SEAL?
SEAL steht für „Sovereignty Effective Assurance Levels“. Es handelt sich um eine Bewertungsmethode auf einer Skala von 0 bis 4, die in einen umfassenderen Rahmen eingebettet ist und acht strukturelle Fragen zum Service eines Anbieters umfasst:
SOV-1 Strategisch. Wo sind die Gremien angesiedelt, die die entscheidende Weisungsgewalt über den Dienst haben, und wie stabil ist diese Struktur?
SOV-2 Rechtliches. Kann eine ausländische Regierung den Anbieter zur Offenlegung von Daten zwingen?
SOV-3-Daten und KI. Wer verwahrt die kryptografischen Schlüssel? Wo verlaufen die KI ?
SOV-4 ist betriebsbereit. Können EU-Kunden den Dienst unabhängig von Ressourcen außerhalb der EU betreiben, unterstützen und weiterentwickeln?
SOV-5-Lieferkette. Wo wird die Software entwickelt, programmiert, verpackt und vertrieben?
SOV-6-Technologie. Sind die Schnittstellen offen und überprüfbar, oder besteht eine Bindung an proprietäre Systeme?
SOV-7-Sicherheit. Liegen EU-anerkannte Zertifizierungen vor, und bestätigen diese sowohl den Betrieb als auch die Architektur?
SOV-8 Umwelt. Ist die Nachhaltigkeitsleistung messbar und wird sie tatsächlich erreicht oder bleibt sie bloß ein Ziel?
Jedes Ziel wird auf einer Skala von SEAL-0 (keine nennenswerte Souveränität) bis SEAL-4 (vollständige digitale Souveränität, keine kritischen Abhängigkeiten von Nicht-EU-Ländern) bewertet. Der öffentliche Auftraggeber legt anschließend zwei Schwellenwerte fest: einen Mindest-SEAL-Wert für jedes Ziel (die Untergrenze) und einen Mindestwert für den gewichteten Souveränitätswert (die Zuschlagschwelle).
Warum das Spielgeschehen wichtiger ist als das Ergebnis
Die zweistufige Bewertung ist die folgenreichste Entscheidung bei der Gestaltung des Rahmenwerks. Ein Anbieter mit soliden Sicherheitszertifizierungen, ausgereiften Betriebsabläufen und einem umfangreichen Ökosystem dennoch vollständig ausgeschlossen werden, wenn bei einem einzigen Souveränitätsziel die Bewertung „SEAL-0“ – eine klare Ablehnung – erzielt wird.
Die Bewertung der rechtlichen Souveränität (SOV-2) hat das größte operative Gewicht. SEAL ist ein Rahmenwerk zur Bewertung der EU-Souveränität, was bedeutet, dass bei SOV-2 geprüft wird, ob der Anbieter rechtlichem Zwang durch Behörden außerhalb der EU ausgesetzt ist. Anbieter, die extraterritorialen Zwangsmaßnahmen unterliegen, die von außerhalb der EU auf EU-Operationen wirken – vor allem der US-amerikanische CLOUD Act und FISA Section 702 –, erhalten bei der rechtlichen Souveränität die Bewertung SEAL-0, unabhängig davon, in welchem Umfang sie Daten in der EU speichern, verschlüsseln oder dort operativ präsent sind. Das Rahmenwerk betrachtet die Rechtshoheit von Ländern außerhalb der EU als maßgeblichen Faktor: Wenn eine Nicht-EU-Gerichtsbarkeit die Offenlegung erzwingen kann, ändern die vertraglichen oder technischen Barrieren, die dieser Hoheitsgewalt übergeordnet sind, nichts an der zugrunde liegenden Souveränitätsbewertung für EU-Beschaffungszwecke.
Diese Bewertung ist von der jeweiligen Rechtsordnung abhängig. Ein US-amerikanischer Beschaffungsbeauftragter des Bundes, der SEAL liest, würde erkennen, dass dieselbe strukturelle Logik auch in seinen eigenen Rahmenwerken zum Tragen kommt. FedRAMP, die Impact-Levels des Verteidigungsministeriums (DoD) und die Zertifizierungen für Geheimhaltungsstufen in den USA stellen alle die Frage, ob der Anbieter dem Zwang durch Behörden außerhalb der Vereinigten Staaten ausgesetzt ist. Jede Beschaffungsbehörde definiert ihre Souveränitätsschwelle in Bezug auf ihre eigene Gerichtsbarkeit. Die Logik ist symmetrisch. Die Schlussfolgerungen einer bestimmten Bewertung hängen davon ab, wessen Souveränität bewertet wird und welche Gerichtsbarkeiten über dem Anbieter stehen.
Bei der Vergabe im April 2026 wurden mehrere große Anbieter bereits vor Beginn der Bewertung ausgeschlossen, da ihre rechtlichen Risiken trotz ihrer soliden Technologie- und Compliance-Referenzen nicht den SEAL-2-Anforderungen entsprachen.
Was die Gewichtung über die Prioritäten der EU aussagt
Unter den Anbietern, die die Mindestanforderungen erfüllen, berechnet das Framework einen gewichteten „Sovereignty Score“ unter Verwendung der folgenden Gewichtungen:
SOV-5-Lieferkette: 20 Prozent
SOV-1 (Strategie), SOV-4 (Operativ), SOV-6 (Technologie): jeweils 15 Prozent
SOV-2 Recht, SOV-3 Daten und KI, SOV-7 Sicherheit: jeweils 10 Prozent
SOV-8 Umwelt: 5 Prozent
Zwei Aspekte stechen besonders hervor. Erstens ist die Lieferkette der Faktor mit dem höchsten Gewicht. Die Formulierung der Kommission, betrachtet im Zusammenhang mit den einflussgebenden Faktoren, macht deutlich, dass die EU die Souveränität über die Lieferkette als die dauerhafteste Form betrachtet: Der rechtliche Status kann sich durch einen Vertrag ändern und operative Aktivitäten können verlagert werden, doch wo Software entworfen, entwickelt und ausgeliefert wird, lässt sich weitaus schwerer auf Abruf umgestalten.
Zweitens macht die rechtliche Souveränität zwar nur 10 Prozent der Gesamtpunktzahl aus, gilt jedoch uneingeschränkt als Mindestanforderung. Ein Anbieter, der in allen anderen Dimensionen die Bewertung „SEAL-4“ erreicht, kann ein „SEAL-0“ bei der rechtlichen Souveränität nicht ausgleichen. Dies ist eine bewusste Umkehrung der Herangehensweise, die bei der Bewertung von Anbietern manchmal verfolgt wird, bei der Stärken in einem Bereich Schwächen in einem anderen ausgleichen. Im Rahmen des SEAL-Systems führt eine strukturelle Anfälligkeit gegenüber ausländischem Rechtszwang zur Disqualifikation und kann nicht ausgeglichen werden.
Wie sich das Framework erweitert
SEAL wurde für Cloud-Dienste entwickelt, und die Auftragsvergaben im April 2026 haben gezeigt, dass es bei der Beschaffung von Cloud-Diensten wie vorgesehen funktioniert. Das Rahmenwerk ist jedoch nicht auf die Cloud beschränkt geblieben.
Die Europäische Kommission hat öffentlich erklärt, dass sie bei anderen digitalen Diensten, die sie für EU-Institutionen bereitstellt, dieselben Souveränitätskriterien anwendet; das geplante Gesetz KI Cloud- und KI soll die Grundsätze des Rahmenwerks voraussichtlich in verbindliches EU-Recht umsetzen. Branchenanalysten haben SEAL als den sich abzeichnenden Maßstab für die Bewertung der Souveränität bei regulierten Beschaffungsvorgängen im weiteren Sinne bezeichnet. In Medienberichten außerhalb der EU wurde darauf hingewiesen, dass es in Märkten wie beispielsweise Australien als Referenzpunkt herangezogen wird.
Der strukturelle Grund für diese Erweiterung liegt darin, dass die acht Souveränitätsziele domänenunabhängig sind. Die Fragen, die sie aufwerfen (wer hat die Autorität, wer leitet den Betrieb, wer kontrolliert die Schlüssel, wo hat die Lieferkette ihren Ursprung), sind in keiner Weise cloud-spezifisch. Sie lassen sich problemlos auf jede Kategorie digitaler Dienste übertragen: sichere Kommunikation, Verwaltung mobiler Geräte, Critical Event Management, Produktivitätssoftware, Datenanalyse und KI . Überall dort, wo ein Anbieter einen Dienst bereitstellt, der sensible Daten oder sensible Abläufe betrifft, gelten die strukturellen Fragen des Rahmenwerks.
Was dies für Unternehmen bedeutet, die Anbieter bewerten
Für Organisationen, deren Beschaffungswesen den EU-Vorschriften unterliegt, ist SEAL nun ein aktives Bewertungsrahmenwerk. Anbieter werden anhand dieses Rahmens bewertet, und Beschaffungsteams sollten davon ausgehen, dass die SEAL-2-Mindestanforderungen bereits vor Beginn der Vergabeverhandlungen eine erhebliche Vorauswahl bewirken.
Für Organisationen, die nicht an die EU-Vergabevorschriften gebunden sind, bleibt das Rahmenwerk als struktureller Ansatz wertvoll. Die acht Souveränitätsziele bieten eine fundiertere Aufschlüsselung der Souveränitätsdebatte als die meisten internen Beschaffungskriterien. Das Stellen derselben Fragen im Kontext der US-Bundesregierung, verbündeter Regierungen, regulierter Unternehmen oder kritischer Infrastrukturen führt zu einer fundierteren Lieferantenbewertung als das alleinige Verlassen auf die Anzahl der Zertifizierungen oder auf Marketingaussagen zur Souveränität. Die Rechtsordnung des Hauptsitzes ist ein entscheidender Faktor, der im Verhältnis zur Rechtsordnung des Kunden selbst bewertet wird; die SEAL-Gliederung macht jedoch deutlich, dass eine Souveränitätsbewertung auch die Beantwortung von Fragen zu Betriebsabläufen, Schlüsseln, Lieferkette, Ausstiegskosten und nachgewiesener Sicherheit erfordert. Jede Beschaffungsbehörde legt ihre eigenen rechtlichen Mindestanforderungen entsprechend ihrer jeweiligen Rechtsordnung fest, und die operativen Fragen werden dann im Rahmen dieser festgelegten Mindestanforderungen behandelt.
Die zentrale Erkenntnis, die SEAL formalisiert, ist, dass Souveränität kein einzelnes Merkmal ist. Es handelt sich um ein System struktureller Fakten darüber, wer was kontrolliert, verteilt auf die Dimensionen Recht, Betrieb, Lieferkette, Technologie, Sicherheit und Umwelt. Einige dieser Dimensionen (insbesondere die rechtliche) stellen Mindestanforderungen dar: Ein Versagen in einer dieser Dimensionen führt zur Disqualifizierung des Anbieters, unabhängig von seinen Stärken in anderen Bereichen. Andere tragen zu einer gewichteten Bewertung unter den qualifizierten Anbietern bei. Souveränität so zu behandeln, als handele es sich um eine einzige Punktzahl oder als könne man sie durch das Hinzufügen ausgleichender Vertragsklauseln verhandeln, zeugt von einem Missverständnis der Funktionsweise des Rahmenwerks.
Was als Nächstes zu tun ist
Wenn Ihr Unternehmen digitale Dienstleistungen beschafft, bei denen Souveränität eine Rolle spielt – und dies trifft zunehmend auf die meisten regulierten Beschaffungsprozesse zu –, sollten Sie jetzt drei Schritte unternehmen:
Lesen Sie das Rahmenwerk. Das Rahmenwerk ist ein öffentlich zugängliches Dokument. Die unter den einzelnen Souveränitätszielen aufgeführten Einflussfaktoren enthalten die operativen Einzelheiten und sind konkreter, als es die übergeordneten Bewertungskategorien vermuten lassen.
Bewerten Sie die derzeitigen Lieferanten anhand der acht SOVs. Nicht formell und nicht im Rahmen einer Beschaffungsmaßnahme, sondern als interne Übung. Wie schneiden die derzeitigen Lieferanten ab? Welche SEAL-0-Bewertung würden sie erhalten, und was bedeutet das für zukünftige Beschaffungen?
Betrachten Sie die Mindestanforderungen als die strategische Frage. Ein Anbieter, der in einer einzelnen Dimension die Bewertung „SEAL-0“ erhält, wird es mit zunehmend schwierigen Verhandlungen im Beschaffungsprozess zu tun haben. Die Diskussion über die Vergabepunktzahl ist weniger wichtig als die Diskussion über die Mindestanforderungen, und bei dieser Diskussion geht es in der Regel um rechtliche Risiken, die Herkunft der Lieferkette oder operative Autonomie – also um Faktoren, die sich am schwersten nachträglich anpassen lassen.
SEAL ist das strukturell ehrlichste Souveränitätsrahmenwerk, das derzeit entwickelt wird. Sein Wert liegt in der Disziplin, die es auferlegt, indem es klarstellt, welche Beziehungen zu Anbietern die Souveränität gewährleisten können und welche nicht. Diese Disziplin ist übertragbar, und die Fragen, die sie formalisiert, werden jede konkrete Gewichtung oder Schwelle überdauern, auf die sich die EU letztendlich einigen wird.
Souveränität bekommt eine Bewertung: Was SEAL ist und warum es über die Cloud hinaus von Bedeutung ist
Der neue Rahmen der EU macht digitale Unabhängigkeit zu einem messbaren Kriterium für Beschaffungsentscheidungen im Technologiebereich.
23. Juni 2026
·Blog
·Jay Goodman
%3Aquality(100)&w=3840&q=75)
In den letzten 18 Monaten sind mehrere Rahmenwerke zur Souveränität entstanden, doch das EU-Rahmenwerk zur Cloud-Souveränität „SEAL“ verdient die größte Aufmerksamkeit. Es ist der bislang strukturell stringenteste Versuch, die Bewertung der Souveränität in die Praxis umzusetzen. Seine Konzeption zeigt, wie eine erfahrene Vergabebehörde die Souveränität in messbare Komponenten unterteilt. Wer sich eingehend mit SEAL befasst, befasst sich damit mit dem strukturellen Modell, das andere Rechtsordnungen wahrscheinlich übernehmen werden.
Im Oktober 2025 veröffentlichte die Europäische Kommission die Version 1.2.1 des „Cloud Sovereignty Framework“. Im April 2026 wurde das Rahmenwerk von einem politischen Dokument zur operativen Realität, als die Kommission es zur Vergabe von Aufträgen im Bereich der souveränen Cloud im Wert von 180 Millionen Euro nutzte. Die Anbieter mussten in jeder Dimension eine festgelegte Souveränitätsschwelle überschreiten, bevor ihre Angebote überhaupt bewertet wurden. Das Rahmenwerk funktionierte wie vorgesehen: Die meisten Gewinner erreichten SEAL-3 (Digitale Resilienz), und die Ausschlusskriterien sorgten bereits für den Großteil der Selektion, bevor überhaupt die Spalte mit den gewichteten Punktzahlen herangezogen wurde.
Genau diese zweistufige Struktur haben die meisten Beobachter übersehen, als das Rahmenwerk erstmals vorgestellt wurde. SEAL ist keine einzelne Zahl, sondern eine Mindestpunktzahl für die Auftragsvergabe in Kombination mit einer gewichteten Vergabewertung, wobei die Mindestpunktzahl den entscheidenden Anteil ausmacht.
Was ist SEAL?
SEAL steht für „Sovereignty Effective Assurance Levels“. Es handelt sich um eine Bewertungsmethode auf einer Skala von 0 bis 4, die in einen umfassenderen Rahmen eingebettet ist und acht strukturelle Fragen zum Service eines Anbieters umfasst:
SOV-1 Strategisch. Wo sind die Gremien angesiedelt, die die entscheidende Weisungsgewalt über den Dienst haben, und wie stabil ist diese Struktur?
SOV-2 Rechtliches. Kann eine ausländische Regierung den Anbieter zur Offenlegung von Daten zwingen?
SOV-3-Daten und KI. Wer verwahrt die kryptografischen Schlüssel? Wo verlaufen die KI ?
SOV-4 ist betriebsbereit. Können EU-Kunden den Dienst unabhängig von Ressourcen außerhalb der EU betreiben, unterstützen und weiterentwickeln?
SOV-5-Lieferkette. Wo wird die Software entwickelt, programmiert, verpackt und vertrieben?
SOV-6-Technologie. Sind die Schnittstellen offen und überprüfbar, oder besteht eine Bindung an proprietäre Systeme?
SOV-7-Sicherheit. Liegen EU-anerkannte Zertifizierungen vor, und bestätigen diese sowohl den Betrieb als auch die Architektur?
SOV-8 Umwelt. Ist die Nachhaltigkeitsleistung messbar und wird sie tatsächlich erreicht oder bleibt sie bloß ein Ziel?
Jedes Ziel wird auf einer Skala von SEAL-0 (keine nennenswerte Souveränität) bis SEAL-4 (vollständige digitale Souveränität, keine kritischen Abhängigkeiten von Nicht-EU-Ländern) bewertet. Der öffentliche Auftraggeber legt anschließend zwei Schwellenwerte fest: einen Mindest-SEAL-Wert für jedes Ziel (die Untergrenze) und einen Mindestwert für den gewichteten Souveränitätswert (die Zuschlagschwelle).
Warum das Spielgeschehen wichtiger ist als das Ergebnis
Die zweistufige Bewertung ist die folgenreichste Entscheidung bei der Gestaltung des Rahmenwerks. Ein Anbieter mit soliden Sicherheitszertifizierungen, ausgereiften Betriebsabläufen und einem umfangreichen Ökosystem dennoch vollständig ausgeschlossen werden, wenn bei einem einzigen Souveränitätsziel die Bewertung „SEAL-0“ – eine klare Ablehnung – erzielt wird.
Die Bewertung der rechtlichen Souveränität (SOV-2) hat das größte operative Gewicht. SEAL ist ein Rahmenwerk zur Bewertung der EU-Souveränität, was bedeutet, dass bei SOV-2 geprüft wird, ob der Anbieter rechtlichem Zwang durch Behörden außerhalb der EU ausgesetzt ist. Anbieter, die extraterritorialen Zwangsmaßnahmen unterliegen, die von außerhalb der EU auf EU-Operationen wirken – vor allem der US-amerikanische CLOUD Act und FISA Section 702 –, erhalten bei der rechtlichen Souveränität die Bewertung SEAL-0, unabhängig davon, in welchem Umfang sie Daten in der EU speichern, verschlüsseln oder dort operativ präsent sind. Das Rahmenwerk betrachtet die Rechtshoheit von Ländern außerhalb der EU als maßgeblichen Faktor: Wenn eine Nicht-EU-Gerichtsbarkeit die Offenlegung erzwingen kann, ändern die vertraglichen oder technischen Barrieren, die dieser Hoheitsgewalt übergeordnet sind, nichts an der zugrunde liegenden Souveränitätsbewertung für EU-Beschaffungszwecke.
Diese Bewertung ist von der jeweiligen Rechtsordnung abhängig. Ein US-amerikanischer Beschaffungsbeauftragter des Bundes, der SEAL liest, würde erkennen, dass dieselbe strukturelle Logik auch in seinen eigenen Rahmenwerken zum Tragen kommt. FedRAMP, die Impact-Levels des Verteidigungsministeriums (DoD) und die Zertifizierungen für Geheimhaltungsstufen in den USA stellen alle die Frage, ob der Anbieter dem Zwang durch Behörden außerhalb der Vereinigten Staaten ausgesetzt ist. Jede Beschaffungsbehörde definiert ihre Souveränitätsschwelle in Bezug auf ihre eigene Gerichtsbarkeit. Die Logik ist symmetrisch. Die Schlussfolgerungen einer bestimmten Bewertung hängen davon ab, wessen Souveränität bewertet wird und welche Gerichtsbarkeiten über dem Anbieter stehen.
Bei der Vergabe im April 2026 wurden mehrere große Anbieter bereits vor Beginn der Bewertung ausgeschlossen, da ihre rechtlichen Risiken trotz ihrer soliden Technologie- und Compliance-Referenzen nicht den SEAL-2-Anforderungen entsprachen.
Was die Gewichtung über die Prioritäten der EU aussagt
Unter den Anbietern, die die Mindestanforderungen erfüllen, berechnet das Framework einen gewichteten „Sovereignty Score“ unter Verwendung der folgenden Gewichtungen:
SOV-5-Lieferkette: 20 Prozent
SOV-1 (Strategie), SOV-4 (Operativ), SOV-6 (Technologie): jeweils 15 Prozent
SOV-2 Recht, SOV-3 Daten und KI, SOV-7 Sicherheit: jeweils 10 Prozent
SOV-8 Umwelt: 5 Prozent
Zwei Aspekte stechen besonders hervor. Erstens ist die Lieferkette der Faktor mit dem höchsten Gewicht. Die Formulierung der Kommission, betrachtet im Zusammenhang mit den einflussgebenden Faktoren, macht deutlich, dass die EU die Souveränität über die Lieferkette als die dauerhafteste Form betrachtet: Der rechtliche Status kann sich durch einen Vertrag ändern und operative Aktivitäten können verlagert werden, doch wo Software entworfen, entwickelt und ausgeliefert wird, lässt sich weitaus schwerer auf Abruf umgestalten.
Zweitens macht die rechtliche Souveränität zwar nur 10 Prozent der Gesamtpunktzahl aus, gilt jedoch uneingeschränkt als Mindestanforderung. Ein Anbieter, der in allen anderen Dimensionen die Bewertung „SEAL-4“ erreicht, kann ein „SEAL-0“ bei der rechtlichen Souveränität nicht ausgleichen. Dies ist eine bewusste Umkehrung der Herangehensweise, die bei der Bewertung von Anbietern manchmal verfolgt wird, bei der Stärken in einem Bereich Schwächen in einem anderen ausgleichen. Im Rahmen des SEAL-Systems führt eine strukturelle Anfälligkeit gegenüber ausländischem Rechtszwang zur Disqualifikation und kann nicht ausgeglichen werden.
Wie sich das Framework erweitert
SEAL wurde für Cloud-Dienste entwickelt, und die Auftragsvergaben im April 2026 haben gezeigt, dass es bei der Beschaffung von Cloud-Diensten wie vorgesehen funktioniert. Das Rahmenwerk ist jedoch nicht auf die Cloud beschränkt geblieben.
Die Europäische Kommission hat öffentlich erklärt, dass sie bei anderen digitalen Diensten, die sie für EU-Institutionen bereitstellt, dieselben Souveränitätskriterien anwendet; das geplante Gesetz KI Cloud- und KI soll die Grundsätze des Rahmenwerks voraussichtlich in verbindliches EU-Recht umsetzen. Branchenanalysten haben SEAL als den sich abzeichnenden Maßstab für die Bewertung der Souveränität bei regulierten Beschaffungsvorgängen im weiteren Sinne bezeichnet. In Medienberichten außerhalb der EU wurde darauf hingewiesen, dass es in Märkten wie beispielsweise Australien als Referenzpunkt herangezogen wird.
Der strukturelle Grund für diese Erweiterung liegt darin, dass die acht Souveränitätsziele domänenunabhängig sind. Die Fragen, die sie aufwerfen (wer hat die Autorität, wer leitet den Betrieb, wer kontrolliert die Schlüssel, wo hat die Lieferkette ihren Ursprung), sind in keiner Weise cloud-spezifisch. Sie lassen sich problemlos auf jede Kategorie digitaler Dienste übertragen: sichere Kommunikation, Verwaltung mobiler Geräte, Critical Event Management, Produktivitätssoftware, Datenanalyse und KI . Überall dort, wo ein Anbieter einen Dienst bereitstellt, der sensible Daten oder sensible Abläufe betrifft, gelten die strukturellen Fragen des Rahmenwerks.
Was dies für Unternehmen bedeutet, die Anbieter bewerten
Für Organisationen, deren Beschaffungswesen den EU-Vorschriften unterliegt, ist SEAL nun ein aktives Bewertungsrahmenwerk. Anbieter werden anhand dieses Rahmens bewertet, und Beschaffungsteams sollten davon ausgehen, dass die SEAL-2-Mindestanforderungen bereits vor Beginn der Vergabeverhandlungen eine erhebliche Vorauswahl bewirken.
Für Organisationen, die nicht an die EU-Vergabevorschriften gebunden sind, bleibt das Rahmenwerk als struktureller Ansatz wertvoll. Die acht Souveränitätsziele bieten eine fundiertere Aufschlüsselung der Souveränitätsdebatte als die meisten internen Beschaffungskriterien. Das Stellen derselben Fragen im Kontext der US-Bundesregierung, verbündeter Regierungen, regulierter Unternehmen oder kritischer Infrastrukturen führt zu einer fundierteren Lieferantenbewertung als das alleinige Verlassen auf die Anzahl der Zertifizierungen oder auf Marketingaussagen zur Souveränität. Die Rechtsordnung des Hauptsitzes ist ein entscheidender Faktor, der im Verhältnis zur Rechtsordnung des Kunden selbst bewertet wird; die SEAL-Gliederung macht jedoch deutlich, dass eine Souveränitätsbewertung auch die Beantwortung von Fragen zu Betriebsabläufen, Schlüsseln, Lieferkette, Ausstiegskosten und nachgewiesener Sicherheit erfordert. Jede Beschaffungsbehörde legt ihre eigenen rechtlichen Mindestanforderungen entsprechend ihrer jeweiligen Rechtsordnung fest, und die operativen Fragen werden dann im Rahmen dieser festgelegten Mindestanforderungen behandelt.
Die zentrale Erkenntnis, die SEAL formalisiert, ist, dass Souveränität kein einzelnes Merkmal ist. Es handelt sich um ein System struktureller Fakten darüber, wer was kontrolliert, verteilt auf die Dimensionen Recht, Betrieb, Lieferkette, Technologie, Sicherheit und Umwelt. Einige dieser Dimensionen (insbesondere die rechtliche) stellen Mindestanforderungen dar: Ein Versagen in einer dieser Dimensionen führt zur Disqualifizierung des Anbieters, unabhängig von seinen Stärken in anderen Bereichen. Andere tragen zu einer gewichteten Bewertung unter den qualifizierten Anbietern bei. Souveränität so zu behandeln, als handele es sich um eine einzige Punktzahl oder als könne man sie durch das Hinzufügen ausgleichender Vertragsklauseln verhandeln, zeugt von einem Missverständnis der Funktionsweise des Rahmenwerks.
Was als Nächstes zu tun ist
Wenn Ihr Unternehmen digitale Dienstleistungen beschafft, bei denen Souveränität eine Rolle spielt – und dies trifft zunehmend auf die meisten regulierten Beschaffungsprozesse zu –, sollten Sie jetzt drei Schritte unternehmen:
Lesen Sie das Rahmenwerk. Das Rahmenwerk ist ein öffentlich zugängliches Dokument. Die unter den einzelnen Souveränitätszielen aufgeführten Einflussfaktoren enthalten die operativen Einzelheiten und sind konkreter, als es die übergeordneten Bewertungskategorien vermuten lassen.
Bewerten Sie die derzeitigen Lieferanten anhand der acht SOVs. Nicht formell und nicht im Rahmen einer Beschaffungsmaßnahme, sondern als interne Übung. Wie schneiden die derzeitigen Lieferanten ab? Welche SEAL-0-Bewertung würden sie erhalten, und was bedeutet das für zukünftige Beschaffungen?
Betrachten Sie die Mindestanforderungen als die strategische Frage. Ein Anbieter, der in einer einzelnen Dimension die Bewertung „SEAL-0“ erhält, wird es mit zunehmend schwierigen Verhandlungen im Beschaffungsprozess zu tun haben. Die Diskussion über die Vergabepunktzahl ist weniger wichtig als die Diskussion über die Mindestanforderungen, und bei dieser Diskussion geht es in der Regel um rechtliche Risiken, die Herkunft der Lieferkette oder operative Autonomie – also um Faktoren, die sich am schwersten nachträglich anpassen lassen.
SEAL ist das strukturell ehrlichste Souveränitätsrahmenwerk, das derzeit entwickelt wird. Sein Wert liegt in der Disziplin, die es auferlegt, indem es klarstellt, welche Beziehungen zu Anbietern die Souveränität gewährleisten können und welche nicht. Diese Disziplin ist übertragbar, und die Fragen, die sie formalisiert, werden jede konkrete Gewichtung oder Schwelle überdauern, auf die sich die EU letztendlich einigen wird.
%3Aquality(100)&w=3840&q=75)