E-Mail-Infrastruktur für öffentliche Stellen, die auf die Drittlandsrecht-Frage „nein" antworten müssen
Öffentliche Beschaffung 2026 wird von einer Frage dominiert: Ist der Anbieter einem Drittlandsrecht mit extraterritorialer Reichweite unterworfen? Der EU-Cloud-Souveränitätsrahmen vom Oktober 2025 kodifizierte die Frage in acht spezifische Souveränitätsziele. C5 in Deutschland (BSI), SecNumCloud in Frankreich (ANSSI), und Gaia-X EU-weit stellen die gleiche Forderung aus verschiedenen Blickwinkeln. Der US CLOUD Act 2018 bedeutet, dass die Antwort für jeden US-besitzenden Anbieter — einschließlich AWS Frankfurt und Azure Germany — „ja, US-Gerichte können die Offenlegung von Daten erzwingen, die auf EU-Boden gespeichert sind" lautet. Authorize Hosting ist eine schwedisch-inkorporierte Entität ohne US-Eigentum in der Unternehmenskette, mit Infrastruktur in Stockholm und Frankfurt, und einem Beschaffungsprofil strukturiert für öffentliche Käufer in der EU und DACH-Jurisdiktionen mit ihren spezifischen Souveränitätsrahmen.
Schrems II hat neu verkabelt, was „EU-Datenresidenz" bedeutet. Der CLOUD Act machte die Neuverkabelung dauerhaft.
Am 16. Juli 2020 entschied der Gerichtshof der Europäischen Union in Schrems II, dass das EU-US-Privacy Shield ungültig war, weil das US-Überwachungsrecht — FISA Sektion 702 und Executive Order 12333 — keine essentielle Äquivalenz zum EU-Datenschutz bot. Das Gericht erhielt die Standardvertragsklauseln (SCC) als Transfermechanismus, fügte aber eine kritische Bedingung hinzu: Der Datenexporteur muss eine Transfer-Folgenabschätzung (TIA) durchführen und „ergänzende Maßnahmen" hinzufügen, wenn das Überwachungsrecht des Ziellandes den Verhältnismäßigkeitstest nicht besteht.
Der 2023 verabschiedete EU-US Data Privacy Framework ersetzte das Privacy Shield durch eine neue Angemessenheitsentscheidung, aber die zugrunde liegenden Überwachungsgesetze änderten sich nicht. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act), unterzeichnet im März 2018, erlaubt US-Strafverfolgungsbehörden weiterhin, jeden US-besitzenden Anbieter elektronischer Kommunikationsdienste — wo auch immer die Daten physisch liegen — zur Offenlegung gespeicherter Inhalte zu zwingen. AWS Frankfurt, Azure Germany, Google Cloud Belgien sind alle in US-Eigentum, alle dem US-Recht unterworfen, alle extraterritorial durch US-Gerichte erreichbar. Das Rechenzentrum liegt in der EU; die juristische Person, die es betreibt, in den USA. EU-Datenresidenz ohne souveräne juristische Person ist Datenlokalisierung, nicht Souveränität.
Für öffentliche Käufer wurde diese Unterscheidung im Oktober 2025 zu Beschaffungspolitik, als die Europäische Kommission den EU-Cloud-Souveränitätsrahmen veröffentlichte. Der Rahmen definiert acht Souveränitätsziele für EU-Institutionen bei der Beschaffung von Cloud-Diensten: jurisdiktionelle Souveränität (juristische Person außerhalb der Reichweite des Drittlandsrechts), operative Souveränität (Schlüsselpersonal und operative Kontrollen in der EU), Datensouveränität (Datenstandort, Transit und Verarbeitung innerhalb der EU), technologische Souveränität (Tech-Stack nicht abhängig von Drittlands-IP), Lieferketten-Souveränität, wirtschaftliche Souveränität, Sicherheits-Souveränität (NIS2-Alignment), und Zugangs-Souveränität (keine Drittlands-Strafverfolgungs-Compellation).
Für Deutschland ist das nationale Äquivalent C5 (Cloud Computing Compliance Criteria Catalogue) des BSI, mit 17 Kontrollbereichen, und das IT-Sicherheitsgesetz 2.0 (2021), das den Anwendungsbereich erweitert und KRITIS-Anforderungen verschärft. Für föderale Beschaffung wird zusätzlich die Bundescloud-Initiative (eine deutsche Bundesinitiative für souveräne föderale Cloud-Infrastruktur) als bevorzugter Anbieter-Pool genannt. Gaia-X ist als deutsche-französische Initiative ein zentraler Bestandteil der EU-Cloud-Souveränitätsstrategie, und deutsche Behörden waren Gründungsmitglieder. Für Österreich: ÖNORM A 7700 für IT-Sicherheit + BVA-Anforderungen. Für die Schweiz: eCH-0199 (IKT-Minimalstandard) + ENSI für Behörden + revidiertes DSG.
Was das in der Praxis für E-Mail-Infrastruktur bedeutet: Regierungs-Korrespondenz, Bürgerkommunikation, internes Beamten-E-Mail, Steuerbenachrichtigungen (Finanzamt, Krankenkassen), Gesundheitskommunikation von öffentlichen Krankenhäusern, justizielle Benachrichtigungen, Verteidigungsbeschaffung — all diese Workloads werden zunehmend unter souveränitäts-rahmen-abgestimmten Ausschreibungen beschafft, die US-besitzende Anbieter per Vertragsdefinition ausschließen. Authorize Hosting wurde 2003 in Schweden inkorporiert ohne US-Eigentum in der Unternehmenskette; die operative Basis ist Stockholm mit Sekundärinfrastruktur in Frankfurt; das Schlüsselpersonal sind EU-Bürger; der Tech-Stack ist Open Source (PowerMTA ist die einzige Ausnahme, aber betrieben unter eigener Lizenz aus einer EU-Jurisdiktion); Unterauftragsverarbeiter sind EU-jurisdiktionell.
Wie viel Ihres E-Mail-Bestands ist gerade dem Drittlandsrecht ausgesetzt
Bewegen Sie die Schieberegler. Die Mathematik bildet Ihren Sende-Bestand gegen die acht Souveränitätsziele des EU-Cloud-Souveränitätsrahmens ab.
Multiplikatoren (relativ zu den 8 Souveränitätszielen): US-Hyperscaler = 1,0 (versagt bei 6 von 8); US-ESP = 0,85 (5 von 8); EU gemischt = 0,30 (2 von 8); EU-souverän = 0,05 (besteht 8 von 8).
Wechseln Sie zu EU-souverän, und die Exposition sinkt auf ~5%. Eine typische Migration für einen öffentlichen Käufer dauert 90-120 Tage end-to-end.
Wie Authorize Hosting auf den EU-Cloud-Souveränitätsrahmen Oktober 2025 abbildet
Der Rahmen definiert acht Souveränitätsziele. Unten: wie jedes auf einen US-besitzenden E-Mail-Anbieter versus unsere Infrastruktur abbildet.
Juristische Person außerhalb der Drittlandsrecht-Reichweite
Authorize Hosting ist schwedisch inkorporiert (Stockholm, 2003 gegründet), ohne US-Eigentum in der Unternehmenskette. Nicht dem CLOUD Act, FISA 702 oder Executive Order 12333 unterworfen.
US-Alternative: CLOUD Act gilt unabhängig vom EU-Rechenzentrumsstandort.
Schlüsselpersonal und operative Kontrollen in der EU
Operatives Team ist in der EU ansässig (Schweden, Deutschland, Spanien). On-Call-Rotation Stockholm-Frankfurt. Root-Zugang zu Produktionsinfrastruktur erfordert EU-Bürger-Berechtigung.
US-Alternative: Engineering- und Produktteams typischerweise US-basiert; „EU sovereign cloud"-Varianten bieten EU-Support, aber Architektur und Root-Anmeldedaten fließen durch das US-Mutterunternehmen.
Datenstandort, Transit und Verarbeitung in der EU
Primärinfrastruktur in Stockholm; Sekundär in Frankfurt. Beide sind EU-Jurisdiktionen. Standard-Routing hält die Nachricht innerhalb der EU für ihren gesamten Lebenszyklus.
US-Alternative: EU-Rechenzentrum verfügbar; Spam-Filterung und Telemetrie fließen typischerweise durch US-basierte Dienste.
Tech-Stack nicht abhängig von Drittlands-IP
Stack: AlmaLinux + Dovecot + Postfix + PowerMTA + EU-eigenes Tooling. PowerMTA ist die einzige Komponente US-Ursprungs; Migration zu KumoMTA (Apache 2.0, Rust) machbar bei Null-US-IP-Anforderung.
US-Alternative: Architektur proprietär; Vendor-Lock-in strukturell.
Keine kritischen Komponenten von Drittlands-Lieferanten
Hardware ist Enterprise-Xeon (Intel, US-Ursprung) — die universelle Ausnahme, die heute keine EU-Cloud vermeiden kann. CPU-Souveränität ist das offene Problem, das der European Chips Act auf einem mehrjährigen Horizont angeht.
US-Alternative: Gleiche CPU-Abhängigkeit, plus US-kontrolliertes Networking, US-kontrollierte Software-Lieferkette.
Vermeidung von Lock-in zu Nicht-EU-Wirtschaftsabhängigkeit
Preise in EUR, Verträge nach schwedischem oder deutschem Recht, EU-USt-Compliance. Einnahmen sind europäisch; Körperschaftsteuer wird in der EU bezahlt.
US-Alternative: EU-Einnahmen fließen an die US-Muttergesellschaft zurück.
Alignment mit EU-Cybersicherheitsstandards (NIS2)
NIS2-abgestimmte operative Kontrollen, Vorfalls-Reporting nach 24h+72h-Kadenz, ISO 27001 ISMS dokumentiert, Alignment mit C5-Kontrollbereichen für BSI-Audit.
US-Alternative: NIS2-Compliance möglich, aber mit ungelöster jurisdiktioneller Frage.
Keine Drittlands-Strafverfolgungs-Compellation
Authorize Hosting unterliegt keiner erzwungenen Offenlegung unter CLOUD Act, FISA 702, EO 12333, NSLs. Offenlegungsanfragen folgen EU-Rechtsverfahren.
US-Alternative: CLOUD Act gilt direkt. Der Microsoft-Ireland-Fall (2018) wurde durch die Verabschiedung des CLOUD Act gegenstandslos.
Wie öffentliche Beschaffungsrahmen nach Jurisdiktion variieren — und wo wir passen
| Jurisdiktion | Standard | Behörde | Unser Alignment |
|---|---|---|---|
| EU-Institutionen | EU-Cloud-Souveränitätsrahmen (Okt 2025) | Europäische Kommission DG CNECT | 8 von 8 erfüllt (CPU-Caveat) |
| Deutschland Bund | C5 + IT-Sicherheitsgesetz 2.0 | BSI | In Kontrollen abgestimmt; C5-Audit für föderale Engagements verfügbar |
| Deutschland föderal | Bundescloud-Initiative | BMI / IT-Beauftragter der BReg | Komplementäre Position; passend für Workloads außerhalb klassifiziert |
| Deutschland KRITIS | BSI-Kritisverordnung (BSI-KritisV) | BSI | §8a BSIG-Audit-Vorbereitung dokumentiert; geeignet für KRITIS-Sektoren ab Schwellenwerten |
| Frankreich | SecNumCloud 3.2 | ANSSI | Profil-aligned; SecNumCloud-Qualifikation projektweise |
| Österreich | ÖNORM A 7700 + BVA-Anforderungen | BVA | Aligned; Wiener Engagements mit BVA-Vorgaben unterstützt |
| Schweiz | eCH-0199 (IKT-Minimalstandard) + revidiertes DSG | NCSC / EDÖB | Aligned; Schweizer kantonale und Bundesbehörden-Engagements unterstützt |
| EU-Föderation | Gaia-X | Gaia-X AISBL | Auf Gaia-X-Prinzipien ausgerichtet; Souveränitäts-Labels für Datenraum-Teilnahme verfügbar |
| EU NIS2 | Transposition NIS2-Richtlinie | Nationale zuständige Behörden | NIS2-aligned; Vorfalls-Reporting-Workflow nach Art. 23 |
Standards verifiziert gegen aktuelle publizierte Dokumentation: EU-Cloud-Souveränitätsrahmen (Europäische Kommission Okt 2025), C5 (BSI 2020), IT-Sicherheitsgesetz 2.0 (2021), BSI-Kritisverordnung, SecNumCloud 3.2 (ANSSI 2024-Update), Gaia-X AISBL Trust Framework, NIS2-Richtlinie (EU 2022/2555), ÖNORM A 7700, eCH-0199.
Die Infrastrukturteile und der vertragliche Rahmen, die die Souveränitätsziele erfüllen
Was wir für öffentliche Käufer bereitstellen, ist die regulierte Sendeschicht plus das beschaffungsbereite Dokumentationspaket. Wir ersetzen nicht Ihre Collaboration-Suite (Microsoft 365 oder Google Workspace bleibt die Wahl der meisten öffentlichen Stellen), aber wir ersetzen die SMTP-Infrastruktur für bürgergerichtete E-Mails, Transaktionsbenachrichtigungen und jede hochsensible Korrespondenz, in der der Souveränitätsrahmen gilt.
- Nur-EU-Routing in Stockholm und Frankfurt, mit dokumentierten Datenflüssen Primärinfrastruktur in Stockholm, Sekundär in Frankfurt. Das Datenflussdiagramm ist für die Beschaffungsprüfung dokumentiert. Jeder Schritt bleibt in der EU-Jurisdiktion.
- AVV Art. 28 DSGVO + beschaffungsbereite ergänzende Maßnahmen (Schrems-II-konform) Vorgefertigter AVV nach Art. 28, mit ergänzenden Maßnahmen aus EDPB-Empfehlungen 01/2020 dokumentiert. TIA-Vorlage vorausgefüllt für das EU-only-Baseline-Szenario.
- SLA pro Domain mit benannten Kontakten und Eskalationsbaum Benannter operativer Kontakt in EU-Geschäftszeiten; Bereitschaftsrotation mit dokumentierten Antwortzeiten; vierteljährliche Servicebewertung mit dem benannten Ansprechpartner der beschaffenden Behörde.
- Audit- und Exit-Assistenz-Rahmen Recht-auf-Audit-Klausel zur Unterstützung von Beschaffungsaudits und Aufsichtsbehörden-Audits (BfDI, Landesdatenschutzbeauftragte, BSI, EDÖB). Exit-Assistenz dokumentiert: bei Beendigung werden Daten exportiert, Unterauftragsverarbeiter-Beziehungen abgewickelt, operativer Handover bis 90 Tage unterstützt.
- Per-Ministerium / Per-Behörde Reputations-Isolation Eine typische Bundesregierung hat 20-40 Ministerien und Behörden, jede mit eigener Sende-Domain. Wir isolieren jede mit eigenen DKIM-Schlüsseln und (wo Volumen rechtfertigt) eigenen dedizierten IPs.
- Bürgerdaten-Handhabung nach DSGVO Art. 6(1)(e) Verarbeitung durch die öffentliche Hand unter Art. 6(1)(e) (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) erfordert spezifische Garantien. Unser System unterstützt das Recht auf Auskunft (Art. 15) und Berichtigung (Art. 16).
- NIS2-Vorfalls-Reporting-Workflow für Cloud-Anbieter im Anwendungsbereich Als EU-ansässiger Cloud-Anbieter sind wir für NIS2 als „wichtige Einrichtung" im Anwendungsbereich. Unser Reporting-Workflow folgt der 24h-Frühwarnung + 72h-Meldung + 1-Monat-Endbericht-Kadenz nach NIS2 Art. 23.
- Beschaffungs-Dokumentationspaket (beschaffungsbereit Tag 1) Für RFPs und Wettbewerbsbeschaffungen liefern wir das vorausgefüllte Dokumentationsset: Unternehmensstruktur (kein US-Eigentum), Datenfluss-Diagramme, Unterauftragsverarbeiter-Liste, AVV + TIA-Paket, Souveränitätsziel-Mapping, Sicherheits-Kontrollmatrix auf C5 / Gaia-X abgebildet, Finanzstabilitäts-Dokumentation.
Wie öffentliche Engagements typischerweise dimensioniert werden
SMTP Relay Pro + AVV · €749/Monat
20 dedizierte IPs, komplettes AVV + TIA-Paket, nur-EU-Routing dokumentiert, NIS2-Vorfalls-Workflow. Konfiguration für kommunale Dienste, regionale Behörden, und kleinere Bundesbehörden.
SMTP Relay ansehenPowerMTA Pro + Managed Deliverability · €2.699/Monat
PowerMTA Pro (€1.499) + Managed Deliverability (€1.200). 20 dedizierte IPs, 150K Nachrichten/h, benannte Beschaffungs- und operative Kontakte, vierteljährliche Servicebewertung, vollständige Souveränitätsziel-Dokumentations-Auffrischung.
Managed Deliverability ansehenCustom · ab €7.500/Monat
Multi-Server-Architektur über Stockholm + Frankfurt, dedizierter /24-IP-Raum, Per-Ministerium-Isolation, C5-Audit-Unterstützung, ENS-Hoch-Alignment, KRITIS §8a BSIG-Audit-Vorbereitung, Custom-AVV.
Beschaffungs-Gespräch eröffnenWas Beschaffungsteams vor Vertragsausschreibung fragen
Haben Sie heute eine C5- oder SecNumCloud-Zertifizierung?
+
Ehrliche Antwort: Wir sind auf die Kontrollen ausgerichtet, aber nicht pauschal zertifiziert. C5 ist näher an einem Kontrollbereich-Audit-Rahmen; wir führen Dokumentation entlang der C5-Kontrollbereiche und können auf Anfrage ein C5-Audit anbieten, typischerweise abgeschlossen innerhalb von 3 Monaten. SecNumCloud 3.2 ist ein französischer nationaler Qualifikationsprozess, der an bestimmte Dienste gebunden ist; wir verfolgen ihn auf Engagement-Basis mit typischer Vorbereitungszeit von 4-6 Monaten.
Das Muster, das wir Beschaffungsteams empfehlen: Schließen Sie die Zertifizierung als Vertragsbedingung ein und nicht als Ausschreibungs-Vorbedingung. Dies erlaubt es, den besten Anbieter auf technischen und Souveränitäts-Grundlagen auszuwählen, dann den Vertragsabschluss an die Zertifizierungsfertigstellung in einer definierten Zeitlinie zu binden.
Wie stehen Sie zu Bundescloud und der deutschen souveränen Cloud-Initiative?
+
Die Bundescloud-Initiative ist die föderale deutsche Strategie für souveräne Cloud-Infrastruktur, die hauptsächlich Workloads des Bundes adressiert. Unsere Position ist komplementär: Für föderale Workloads, die strikt unter der Bundescloud-Vorgabe fallen (klassifizierte oder hochsensible Workloads), ist die Bundescloud der geeignete Anbieter. Für Workloads, die unter die EU-Cloud-Souveränitäts-Rahmen-Anforderungen fallen, aber nicht unter die Bundescloud-Klassifizierungsstufen, sind wir eine wettbewerbsfähige Alternative mit dem gleichen Souveränitäts-Compliance-Profil und besserer operativer Flexibilität.
Praktisch: Unsere meisten DACH-öffentlichen Engagements sind auf Landes- und Kommunalebene, sowie föderale Workloads, die nicht zur Bundescloud passen (z.B. Kommunikation zwischen Bundesbehörden und Bürgern, Statistik, nicht-klassifizierte interne Kommunikation). Für Workloads, die explizit Bundescloud erfordern, leiten wir an die entsprechende Stelle weiter.
Wie verhalten Sie sich zur CPU-Souveränitäts-Ausnahme?
+
Ehrlich: Jeder Cloud-Anbieter, der heute in Europa operiert, hängt auf der Silizium-Schicht von CPUs US-Ursprungs oder ostasiatischen Ursprungs ab. Intel Xeon und AMD EPYC für Server-Compute. Der European Chips Act, der 2023 verabschiedet wurde, hat einen 5-10-Jahres-Horizont, um indigene europäische Siliziumherstellung im Großmaßstab zu etablieren.
Unser Beschaffungs-Pitch zu CPU-Souveränität: Die Abhängigkeit klar offenlegen, die Minderungen dokumentieren (Hardware-Lebenszyklus-Management, Lieferketten-Diversifizierung, Secure Boot und Firmware-Verifikation), und die CPU-Frage als sektorweites architektonisches Anliegen behandeln statt als anbieterspezifisches Risiko.
Wie geht Ihr AVV mit Schrems II TIA um?
+
Schrems II und EDPB-Empfehlungen 01/2020 erfordern, dass jeder Datenexporteur, der SCC zu einem Drittlandanbieter verwendet, ein TIA durchführt. Für unsere Kundenbasis kehrt sich diese Frage um: Unsere Kunden sind EU-Verantwortliche, wir sind EU-Auftragsverarbeiter, in der normalen Operation findet keine Drittland-Übertragung statt, sodass die TIA-Frage gar nicht greift.
Wir liefern eine vorausgefüllte TIA-Vorlage in unserem AVV-Paket, die das EU-only-Baseline, die operativen Datenflüsse, die jurisdiktionelle Unterauftragsverarbeiter-Analyse, und die technischen und vertraglichen Maßnahmen dokumentiert.
Wie ist die realistische Migrationszeit von einem etablierten US-besitzenden ESP?
+
90-120 Tage end-to-end für eine typische bundesministeriums-Skala-Migration. Aufschlüsselung: 30 Tage für Beschaffungsbereitschaft und Vertragsabschluss; 30 Tage für technisches Onboarding einschließlich DNS-Vorbereitung, DKIM-Schlüsselgenerierung, DMARC-Progression zu p=quarantine, IP-Warmup; 30 Tage für Parallel-Run-Validierung; 30 Tage für vollständigen Umstieg.
Für größere ressortübergreifende Deployments erstreckt sich die Zeitlinie auf 6-9 Monate. Die Beschaffungsseite dauert typischerweise länger als die technische Seite: EU-Verträge über dem Schwellenwert erfordern formelle Ausschreibungsverfahren mit obligatorischen Wartefristen.
Was passiert mit klassifizierten oder eingeschränkt-handhabbaren Workloads?
+
Für die meisten Workloads im öffentlichen Sektor — bürgergerichtete E-Mails, Steuermitteilungen, Gesundheitskommunikation, gerichtliche Mitteilungen, Bildungskommunikation — ist unsere Standardinfrastruktur mit dem beschaffungsbereiten Paket ausreichend. Für klassifizierte oder formell eingeschränkt-handhabbare Workloads (EU RESTRICTED, NfD-Bundesregierung) skalieren die Anforderungen erheblich, und das geeignete Modell ist ein dediziertes Deployment mit mitgliedsstaatsspezifischen Zertifizierungen.
Praktisch: für EU RESTRICTED und niedriger kann unsere Infrastruktur mit zusätzlichen Kontrollen konfiguriert werden. Für EU CONFIDENTIAL und höher ist die Standardantwort, die beschaffende Behörde auf die relevante mitgliedsstaatliche nationale Cloud zu verweisen (Bundescloud in Deutschland) statt zu versuchen, eine souveränitäts-abgestimmte kommerzielle Cloud in eine Klassifizierungsstufe einzupassen, für die sie nicht entworfen wurde.
Wie interagiert NIS2-Vorfalls-Reporting mit unseren internen Eskalationsverfahren?
+
NIS2 (Richtlinie EU 2022/2555) verlangt von „wesentlichen" und „wichtigen" Einrichtungen, signifikante Vorfälle ihrer nationalen zuständigen Behörde (BSI für Deutschland, NCSC für Schweiz, NIS-Büro für Österreich) innerhalb von 24 Stunden (Frühwarnung), 72 Stunden (Vorfallsmeldung), und einem Monat (Endbericht) zu melden.
Das Interaktionsmodell: Wenn ein Vorfall auf unserer Infrastruktur auftritt, der Ihre Operationen betreffen könnte, benachrichtigen wir Ihren benannten operativen Kontakt innerhalb einer Stunde während EU-Geschäftszeiten, mit dem technischen Beweispaket strukturiert für Ihr internes Klassifizierungsteam, um zu bestimmen, ob der Vorfall Ihre NIS2-Schwelle erfüllt.
Beschaffungsbereites Gespräch
Erzählen Sie uns von Ihrer beschaffenden Behörde: Jurisdiktion, die Standards, die Sie erfüllen müssen (EU-Cloud-Souveränitätsrahmen, C5, IT-SiG 2.0, BSI-KritisV, SecNumCloud, Gaia-X), die Workload-Sensibilitätsstufe, die Beschaffungs-Uhr. Wir kommen mit einem dimensionierten Angebot, dem Dokumentationspaket und dem AVV vorausgerichtet auf Ihre Jurisdiktion zurück.