GitLab Souveränität: Mehr als «Hosted in Switzerland»
GitLab.com SaaS läuft auf Google Cloud Platform in den USA. Ihr Quellcode, Ihre CI/CD-Pipelines, Issues und Merge Requests liegen auf US-Infrastruktur, unterliegen US-Recht und sind über den CLOUD Act ohne Schweizer Rechtsverfahren zugänglich.
Self-Hosted GitLab auf Schweizer Infrastruktur löst die Frage des Datenstandorts — doch Souveränität umfasst mehr als den Speicherort. Das EU Cloud Sovereignty Framework definiert acht Dimensionen, die bestimmen, ob ein Anbieter tatsächlich souverän ist.
Warum GitLab eine starke Wahl für Souveränität ist
GitLab Community Edition ist vollständig Open Source (MIT-Lizenz). Im Gegensatz zu GitHub (proprietär, Microsoft) oder Bitbucket (proprietär, Atlassian) bietet GitLab CE:
- Kein Vendor-Lock-in — Migration auf jede GitLab-Instanz oder Fork des Projekts möglich
- Vollständige Code-Auditierbarkeit — jede Zeile GitLab CE ist einsehbar
- Keine proprietären Abhängigkeiten — läuft auf Standard-PostgreSQL, Redis und Linux
- Community-gesteuert — nicht abhängig von der Roadmap eines einzelnen Unternehmens
VSHN betreibt GitLab CE auf Schweizer Infrastruktur. Zusammen mit VSHNs Schweizer Eigentümerschaft und Betrieb entsteht eine vollständig souveräne DevOps-Plattform.
GitLab Souveränität im Vergleich
| Dimension | GitLab.com SaaS | GitHub (Microsoft) | VSHN Managed GitLab |
|---|---|---|---|
| Eigentümerschaft | GitLab Inc. (USA) | Microsoft (USA) | VSHN AG (Schweiz) |
| Anwendbares Recht | US-Recht | US-Recht | Schweizer Recht |
| CLOUD Act | Betroffen | Betroffen | Nicht betroffen |
| Datenstandort | USA (Google Cloud) | USA (Azure) | Schweiz (cloudscale.ch, Exoscale oder nach Wahl) |
| Quellcode | Open Core | Proprietär | Open Source (GitLab CE) |
| Operations-Team | USA | USA | Schweiz (Swiss-only-Option) |
| Zertifizierungen | SOC 2 | SOC 2, ISO 27001 | ISO 27001, ISAE 3402 Type II |
VSHN Souveränitäts-Selbstbewertung
Wir haben das EU Cloud Sovereignty Framework (v1.2.1, Oktober 2025) auf unsere eigenen Services angewendet. Dieses Framework wurde zur Bewertung von Anbietern in der EUR-180-Mio.-Ausschreibung der EU für souveräne Cloud-Dienste im April 2026 eingesetzt — drei rein europäische Anbieter erreichten SEAL-3, während ein Konsortium mit Google Cloud nur SEAL-2 erzielte.
Dies ist eine Selbstbewertung, keine formale SEAL-Zertifizierung. Wir veröffentlichen sie aus Transparenzgründen, damit Kunden unser Souveränitätsprofil anhand derselben strukturierten Kriterien beurteilen können, die auch die EU verwendet.
| # | Dimension | Gewicht | Bewertung | Nachweis |
|---|---|---|---|---|
| SOV-1 | Strategisch | 15% | Stark | Schweizer AG, kein ausländischer Mutterkonzern, alle Gesellschafter Schweizer Bürger (Handelsregister) |
| SOV-2 | Rechtlich | 10% | Stark | Schweizer Recht (AGB), kein CLOUD Act, EU-Angemessenheitsbeschluss |
| SOV-3 | Daten & KI | 10% | Stark | Schweizer Rechenzentren als Standard. Souveränes Key Management via Managed OpenBao + Swiss HSM |
| SOV-4 | Operativ | 15% | Stark | Schweizer 24/7-Betrieb, Swiss-only-Support-Option. Alle Services auf Standard-Kubernetes |
| SOV-5 | Lieferkette | 20% | Stark | Infrastruktur-agnostisch — Kunde wählt den Provider. Open-Source-Software |
| SOV-6 | Technologie | 15% | Stark | 100% Open Source. VSHN trägt bei zu K8up (CNCF), Crossplane Providers, Project Syn |
| SOV-7 | Sicherheit | 10% | Stark | ISO 27001, ISAE 3402 Type II, Swiss SOC. FINMA-regulierte Kunden |
| SOV-8 | Umwelt | 5% | Moderat | RZ-Betreiber: Green Datacenter AG (ISO 22301/27001/27701), Exoscale Nachhaltigkeit. VSHN CSR-Richtlinie |
Gesamtbewertung: SEAL-3-Äquivalent — dasselbe Niveau wie die Gewinner der EU-Souveränitätsausschreibung. Kein Anbieter weltweit erreichte SEAL-4, da dies vollständig EU/EWR-basierte Hardware-Lieferketten und Open-Source-Grundlagen erfordert — strukturelle Lücken, die alle Cloud-Anbieter betreffen.
Souveränitäts-Assessment für Ihr GitLab-Setup
Sie nutzen GitLab.com SaaS und haben Bedenken bezüglich CLOUD-Act-Exposition? Wir bewerten Ihr Souveränitätsprofil anhand des EU-Frameworks und planen den Migrationspfad zu self-hosted GitLab auf Schweizer Infrastruktur.