Schlagwort 2025: digitale Souveränität

Henna Virkkunen ist Exekutiv-Vizepräsidentin der Europäischen Kommission für technologische Souveränität, Sicherheit und Demokratie. Sie sagt:

Digitale Souveränität ist grundlegend unsere Fähigkeit, selbst zu wählen, mit wem und wie wir zusammenarbeiten. Das heißt sicherzustellen, dass wir nicht abhängig von einem einzelnen Unternehmen oder Drittland sind. Das bedeutet, wir müssen über bestimmte Kapazitäten selbst verfügen. Wir brauchen auch mehrere Partner, damit wir immer weitere Optionen haben und echte Unabhängigkeit bewahren.

Bei Cloud-Kapazität und souveräner Cloud arbeiten wir gerade wieder an der Definition, während wir den Cloud und AI Development Act vorbereiten. Was ich sehe ist, dass Wettbewerb und europäische Alternativen für Cloud-Dienste wichtig sind. Wir brauchen einen echten Markt. Zum Beispiel haben wir vor wenigen Wochen eine Ausschreibung für souveräne Cloud-Dienste im Wert von 180 Millionen Euro veröffentlicht.

Mira Mezini ist Professorin für Informatik an der TU Darmstadt und Leiterin des Software Technology Lab. Ihre Einschätzung:

Unter europäischer digitaler Souveränität verstehe ich die Fähigkeit Europas, seiner Staaten, Unternehmen und Individuen, die Kontrolle und Entscheidungsgewalt über digitale Infrastrukturen, Daten und Schlüsseltechnologien selbstbestimmt und unabhängig auszuüben. Sie bedeutet technische und rechtliche Unabhängigkeit von Drittstaaten ebenso wie die Befähigung, digitale Wertschöpfungsketten eigenständig zu gestalten, digitale Innovationen voranzutreiben.

Doch dazu braucht es einen Moment der Ehrlichkeit: Wir in Europa müssen anerkennen, dass wir dabei sind, unsere digitale Souveränität und damit unsere Zukunftsfähigkeit zu verlieren. Wir haben IT-Technologie zu lange als importierte Dienstleistung begriffen, statt als strategische Grundlage unseres Wohlstands und unserer Zukunft. Ebenso wichtig ist: Regulierung ist wichtig, aber ohne technische Beherrschung wirkungsschwach. Wer Technologie nicht beherrscht, kann sie auch nicht kontrollieren. Wirkliche Souveränität entsteht erst dann, wenn wir Chips, Cloud, KI und Dateninfrastrukturen selbst gestalten und beherrschen – nicht nur nutzen und verwalten.

Europa erlebt derzeit „Sovereignty Washing“, insbesondere im Cloud-Bereich. Große US-Anbieter bewerben ihre Dienste als „europakompatibel“, weil sie Rechenzentren in Europa betreiben oder Compliance-Zertifikate vorlegen. Letztere bescheinigen formale Regelkonformität nach Standards wie ISO 27001 oder SOC 2, belegen Verschlüsselung, Zugriffskontrollen oder Auditierbarkeit – ersetzen aber meiner Meinung nach keine tatsächliche Kontrolle.

Tatsächlich bleibt unklar, inwieweit echte Kontrolle über Daten und Schlüsseltechnologien besteht. Der US CLOUD Act erlaubt US-Behörden weiterhin den Zugriff auf Daten – auch wenn diese in Europa liegen. Bei sogenannten „Sovereign Clouds“ behalten die Mutterkonzerne Zugriff auf Architekturen, Schlüssel und Code. Das mag verständlich aus der Perspektive dieser Unternehmen sein. Aus der europäischen Souveränitätsperspektive bedeutet das allerdings, dass Compliance faktische Eigenständigkeit ersetzt.

Michael Hanisch, Head of Technology bei Amazon Web Services (AWS) DACH. Er betont:

Tatsächlich wird unter digitaler Souveränität Unterschiedliches verstanden. Da geht es einmal darum, die Hoheit über seine Daten zu behalten und ein anderes Mal darum, komplette Technologie-Autonomie oder sogar Autarkie zu erreichen. Digitale Souveränität steht auf vier Säulen. Erstens, die Kontrolle über den Ort, an dem die Daten gespeichert werden. Zweitens, die verifizierbare Kontrolle darüber, wer auf die Daten zugreifen kann. Drittens, umfangreiche Möglichkeiten zur Datenverschlüsselung – mit verschiedenen Wegen, Schlüssel zu verwalten – und viertens, die Resilienz der Cloud, um die Daten und Anwendungen der Kunden verfügbar zu halten, unabhängig von externen Einflüssen.

Der CLOUD Act gewährt Strafverfolgungsbehörden keinen Zugang zu Dienstanbietern und auch keinen direkten Zugriff auf Kundendaten. Stattdessen stellt er lediglich einen Mechanismus bereit, der es Strafverfolgungsbehörden ermöglicht, vor einem US-Gericht einem Richter nachzuweisen, dass sie die strengen rechtlichen Standards für einen Durchsuchungsbefehl erfüllen können. Die USA sind nicht das einzige Land mit der Befugnis, Daten außerhalb ihrer Grenzen anzufordern, da Länder wie Belgien, Dänemark, Frankreich, Irland, Norwegen, Portugal, Spanien und andere diese Befugnis ebenfalls besitzen.

Es ist richtig, dass wir derzeit eine Vielzahl von Ankündigungen und Lösungen im Markt sehen, die sich mit dem Thema Souveränität befassen. Dies zeigt einerseits, dass die Branche die Bedeutung von Souveränitätsanforderungen verstanden hat – was grundsätzlich zu begrüßen ist. Natürlich sind auch Lösungen dabei, denen einfach das Etikett „digitale Souveränität“ aufgeklebt wurde, ohne zu erläutern, was das bedeuten soll oder was damit eigentlich gemeint ist – Marketing ist einfacher als wirklich souveräne Lösungen zu bauen.

Statt von „Sovereignty Washing“ zu sprechen, sollten wir uns darauf konzentrieren, wie Cloud-Anbieter konkret nachweisen können, dass ihre Lösungen die Souveränitätsanforderungen ihrer Kunden tatsächlich erfüllen – sowohl technisch als auch operativ.

Mark Neufurth ist Public Sector Strategist beim deutschen Internet- und Cloud-Anbieter Ionos. Seine Sichtweise:

Digitale Souveränität ist eine Notwendigkeit, um Europas Wettbewerbsfähigkeit zu erhalten und politische Gestaltungsfähigkeit zu wahren. Europäische digitale Souveränität bedeutet, dass Unternehmen und der öffentliche Sektor ihre Daten und Prozesse in einer digitalen Welt auf einer Infrastruktur speichern und ausführen können, die vollständig europäischen Gesetzen und Standards unterliegt.

Das heißt: ohne versteckte Abhängigkeiten von Drittstaaten oder außereuropäischen Anbietern. Das umfasst nicht nur die Einhaltung der DSGVO, sondern auch die technologische Kontrolle über Cloud-Stacks, offene Standards und Interoperabilität. Operative Gestaltungsfähigkeit und politische wie wirtschaftliche Handlungsfähigkeit brauchen digitale Souveränität.

Die Bemühungen von Marktteilnehmern, ein Mehr an digitaler Souveränität im europäischen Cloud-Markt zu erreichen, sind sicher anzuerkennen. Wir müssen uns aber vor Augen halten, dass digitale Souveränität nicht erreicht werden kann, wenn ein „europäischer“ Cloud-Anbieter letztlich einen außereuropäischen Eigentümer hat. Regelungen wie der US CLOUD Act, FISA Sec. 702 oder die IEEPA Sanctions werden stets im Widerspruch stehen mit den gesellschaftsrechtlichen Regeln des GmbH-Gesetzes, das etwa für eine „souveräne“ deutsche Tochter eines US-Hyperscalers gilt. Welchen Gesetzen soll der Geschäftsführer folgen?

Welchen Mehrwert haben Cloud- und KI-Services aus den USA, wenn sie von deutschen Anbietern gehostet und wiederverkauft werden? Versprechen für einen dauerhaften Weiterbetrieb laufen auch dort ins Leere. Denn Souveränität ist nicht nur eine Frage des Standortes, sondern auch der Kontrolle über die Technologie und der rechtlichen Rahmenbedingungen.