Drei Dimensionen der Souveränität
Der Begriff klingt politisch, ist aber im Alltag sehr praktisch. Es geht um drei Ebenen, die zusammen entscheiden, wie unabhängig eine Organisation wirklich ist.
Datensouveränität
Wo liegen die Daten, wer darf zugreifen, nach welchem Recht?
Betriebssouveränität
Selbst betreiben, prüfen, anpassen, oder den Anbieter wechseln können.
Technologiesouveränität
Die eingesetzte Technik verstehen und kontrollieren, statt einer Black Box zu vertrauen.
Erst alle drei Ebenen zusammen ergeben echte Unabhängigkeit.
Was Souveränität bringt
Souveränität ist kein Selbstzweck, sondern handfester Nutzen:
- Kontrolle und Nachvollziehbarkeit: Sie sehen, was ein System tut, und können es belegen, statt es nur zu glauben.
- Kein Lock-in: Offene Standards und selbst betreibbare Systeme halten die Verhandlungsposition stark und die Kosten planbar.
- Datenstandort und Recht: Daten in der EU, verarbeitet nach europäischem Recht, vermeiden fremde Zugriffsrechte und unklare Rechtswege.
- Regulatorische Sicherheit: NIS2, DORA und die DSGVO verlangen belegbare Kontrolle, souveräne Strukturen erleichtern den Nachweis.
- Resilienz: Unabhängigkeit von einzelnen Anbietern oder Ländern macht widerstandsfähig gegen Ausfälle und politische Verschiebungen.
Der europäische Rahmen
Souveränität ist auch politisch unterlegt. Der EU Data Act ist am 11. Januar 2024 in Kraft getreten und seit dem 12. September 2025 anwendbar, er stärkt unter anderem den Wechsel zwischen Cloud-Anbietern. Initiativen wie Gaia-X zielen auf eine föderierte, europäische Dateninfrastruktur. Für die Praxis besonders relevant ist der BSI C5-Kriterienkatalog (erstmals 2016), an dem sich Cloud-Anbieter mit über hundert Testaten prüfen lassen.
Souveränität ist kein Verzicht auf Cloud oder KI. Es heißt: Sie behalten die Wahl und die Kontrolle, statt sich an eine einzige Black Box zu binden.
Das Abschalt-Risiko: Wenn fremde Regierungen den Stecker ziehen können
Digitale Abhängigkeit ist nicht nur ein Kosten- oder Wettbewerbsthema. Sie ist ein politisches Risiko: Die Regierung des Herkunftslandes einer Technologie kann den Zugang dazu rechtlich einschränken oder ganz entziehen. Für technische Entscheider heißt das, dass eine kritische Komponente, ein Cloud-Dienst oder eine Lizenz unter ungünstigen Umständen nicht mehr verfügbar oder nicht mehr nutzbar ist, ohne dass das eigene Unternehmen etwas falsch gemacht hat.
Das Abschalt-Risiko: ein Ausfall, der politisch ausgelöst wird, nicht technisch.
Mechanismus 1: US-Exportkontrollen. Die Export Administration Regulations (EAR, 15 CFR Teile 730-774) der US-Behörde BIS regeln, welche Güter, Software und Technologien in welche Länder und an welche Empfänger ausgeführt oder weitergegeben werden dürfen. Über Werkzeuge wie die Country Groups und den Commerce Country Chart bindet die US-Regierung Lieferungen an bestimmte Bestimmungsländer an Genehmigungspflichten (Reasons for Control). Die Reichweite der EAR umfasst dabei ausdrücklich auch Reexporte, also Weiterlieferungen aus dem Ausland.
Praktische Folge: Auch ein deutsches Unternehmen kann betroffen sein, wenn ein Produkt US-Ursprungstechnologie enthält oder eine Lieferkette über US-kontrollierte Komponenten läuft. Updates, Ersatzteile oder Lizenzschlüssel können dann genehmigungspflichtig oder gesperrt werden.
Mechanismus 2: Extraterritoriale Gesetze. Der CLOUD Act, von den USA im März 2018 erlassen, beschleunigt den Zugriff auf elektronische Daten, die von US-basierten globalen Anbietern gehalten werden. Laut DOJ ist er darauf ausgelegt, Zugang zu diesen Beweismitteln zu schaffen, gleich wo sie sich physisch befinden. Daten in einem Rechenzentrum in Frankfurt unterliegen damit potenziell US-Recht, sofern der Betreiber ein US-Unternehmen oder dessen Tochter ist. Für eine Souveränitätsbetrachtung zählt: Die rechtliche Kontrolle folgt dem Anbieter, nicht dem Serverstandort.
Mechanismus 3: Anbieter- und Lieferketten-Konzentration. Der Markt für Cloud-Infrastruktur wird von wenigen US-Hyperscalern dominiert, und Halbleiter hängen an global verteilten, aber stark konzentrierten Lieferketten. Die EU hat dieses Risiko offiziell anerkannt:
- Mit dem European Chips Act (in Kraft seit 21. September 2023) will die EU ihre Souveränität und Wettbewerbsfähigkeit bei Halbleitertechnologien stärken und externe Abhängigkeiten reduzieren. Begründung der Kommission: Chips, auch Halbleiter genannt, sind die Bausteine aller elektronischen Produkte, und der jüngste globale Chipmangel hat Lieferketten unterbrochen, Produktknappheit verursacht und teils Werke zum Stillstand gebracht.
- In der Cloud-Politik strebt die EU sichere, nachhaltige und interoperable Cloud-Infrastrukturen in Europa an und verankert dieses Ziel in den Vorgaben der Digitalen Dekade als Teil ihrer digitalen Souveränitätsambition.
Warum das ein Souveränitätsrisiko ist. Die drei Mechanismen greifen ineinander. Eine politische Entscheidung in Washington oder Peking, ein Sanktionsbeschluss oder eine Aufnahme in eine Kontrollliste kann dazu führen, dass:
- Software-Updates und Sicherheits-Patches ausbleiben und Systeme verwundbar oder funktionsunfähig werden,
- Lizenzen oder Cloud-Konten deaktiviert und damit ganze Betriebsabläufe lahmgelegt werden,
- Nachschub an Komponenten stockt und Produktion oder Wartung stillsteht.
Das Ergebnis ist Handlungsunfähigkeit aus fremder Hand: ein Ausfall, der nicht technisch, sondern politisch ausgelöst wird und sich mit den üblichen IT-Mitteln nicht beheben lässt.
Konsequenz für Entscheider. Behandeln Sie die Herkunft kritischer Technologie als Risikoparameter neben Verfügbarkeit und Kosten. Sinnvoll sind eine Inventur der Abhängigkeiten (welche Dienste, Lizenzen, Komponenten kommen woher und unterliegen welcher Rechtsordnung), Ausstiegs- und Ausweichpläne (Exit-Strategien, alternative Anbieter, portable Architekturen) sowie die Bewertung europäischer oder offener Alternativen dort, wo das Abschalt-Risiko geschäftskritische Prozesse träfe.
Warum gerade Sicherheitsprodukte Souveränität brauchen
Bei einem Sicherheitswerkzeug wiegt das Abschalt- und Abhängigkeitsrisiko doppelt schwer, aus drei Gründen:
- Es sieht alles. Ein Security-Tool kennt Ihre Schwachstellen und berührt Ihre sensibelsten Systeme. Seine Befunde sind faktisch ein Angriffsplan auf Ihre Infrastruktur. Liegt dieses Wissen bei einem Anbieter, der fremdem Recht unterliegt (etwa dem CLOUD Act), ist die Landkarte Ihrer Lücken potenziell für Dritte zugänglich.
- Es darf nicht ausfallen, wenn es zählt. Wird ein Sicherheitsdienst aus politischen Gründen gesperrt, verlieren Sie Ihre Verteidigung genau dann, wenn geopolitische Spannungen, und damit das Angriffsrisiko, am höchsten sind.
- Kein Werkzeug braucht mehr Vertrauen. Ein Security-Tool verlangt tiefen Zugriff in Ihre Systeme. Dieses Vertrauen lässt sich nur einlösen, wenn nachvollziehbar ist, was es tut (auditierbar, keine Black Box) und wo die Daten liegen.
Deshalb ist Souveränität bei Sicherheitsprodukten keine Kür, sondern Pflicht: EU-Hosting, volle Auditierbarkeit und keine Abhängigkeit, die jemand von außen kappen kann. Wie sich das konkret auswirkt, vertieft Souveränität im Sicherheitskontext.
Technologische Souveränität und offene strategische Autonomie der EU
Hinter dem Begriff steht eine doppelte Zielsetzung: Die EU will in kritischen Technologien handlungsfähig und nicht erpressbar bleiben, dabei aber offen für Handel und internationale Zusammenarbeit (offene strategische Autonomie statt Protektionismus). Das Konzept wurde von der Kommission unter anderem im Strategischen Vorausschaubericht 2021 ausgearbeitet und prägt seither die Digitalpolitik. Die wichtigsten Hebel im Überblick:
- European Chips Act (Halbleiter). In Kraft seit dem 21. September 2023. Erklärtes Ziel ist ein Schlüsselschritt zur technologischen Souveränität der EU: Stärkung des Halbleiter-Ökosystems, Resilienz der Lieferketten und Reduzierung externer Abhängigkeiten. Das Digitale-Dekade-Ziel lautet, den weltweiten Marktanteil der EU bei Halbleitern auf 20 Prozent zu verdoppeln. Drei Handlungssäulen: die Initiative Chips for Europe (Pilotlinien, Kompetenzzentren), Versorgungssicherheit und Resilienz (bislang 13 Beihilfeentscheidungen für Erstanlagen mit über 32 Milliarden Euro öffentlicher und privater Investitionen) sowie Monitoring und Krisenreaktion über das European Semiconductor Board. Ein Chips Act 2.0 wurde im Juni 2026 vorgeschlagen, um strategische Abhängigkeiten weiter zu verringern.
- Digitale Dekade 2030 (Digital Decade). Das Policy-Programm 2030 schafft einen Kooperations- und Überwachungsmechanismus zwischen Kommission und Mitgliedstaaten mit jährlicher Fortschrittsberichterstattung (State of the Digital Decade). Messbare Ziele in vier Feldern: Konnektivität, digitale Kompetenzen, digitale Wirtschaft und digitale Verwaltung. Multi-Country-Projekte erlauben den Mitgliedstaaten, Investitionen zu bündeln und grenzüberschreitende Grossvorhaben zu starten.
- Europäische Cloud und GAIA-X. Verankert in zwei Dekade-Zielen bis 2030: 75 Prozent der europäischen Unternehmen sollen Cloud-Edge-Technologien nutzen, und 10.000 klimaneutrale, hochsichere Edge-Knoten sollen entstehen. Hebel sind ein IPCEI (Important Project of Common European Interest) für föderierte, vertrauenswürdige Cloud-Infrastrukturen, die Open-Source-Middleware Simpl für Cloud-to-Edge-Föderationen sowie ein geplantes EU Cloud Rulebook. GAIA-X (European Association for Data and Cloud, Sitz Brüssel) zielt auf eine föderierte, sichere Dateninfrastruktur. Im Juni 2026 kam der Vorschlag für einen Cloud and AI Development Act hinzu, der die Datacenter-Kapazität der EU mindestens verdreifachen und die digitale Souveränität im Cloud-Sektor stärken soll.
- EU Data Act. Die Verordnung über harmonisierte Regeln für fairen Datenzugang trat am 11. Januar 2024 in Kraft und gilt seit dem 12. September 2025. Sie gibt Nutzern mehr Kontrolle über Daten vernetzter Geräte. Für die Souveränitätsfrage zentral: neue Regeln, die es Kunden ermöglichen, effektiv zwischen Anbietern von Datenverarbeitungsdiensten zu wechseln (Cloud-Wechsel), um den EU-Cloud-Markt zu öffnen und Daten-Interoperabilität zu fördern. Hinzu kommen Schutz vor unfairen Vertragsklauseln und Regeln zum Datenzugang des öffentlichen Sektors.
Roter Faden: Souveränität bedeutet im EU-Verständnis nicht Abschottung, sondern Kontrolle über kritische Abhängigkeiten, eigene Kapazitäten in Schlüsseltechnologien, durchsetzbare Regeln (Wechselrechte, Interoperabilität) und gebündelte Investitionen. Für technische Entscheider sind vor allem die Data-Act-Wechselrechte und die entstehende EU-Cloud-Politik praktisch relevant, weil sie Lock-in adressieren und Beschaffungskriterien beeinflussen.
Vendor Lock-in vermeiden: Wie Open Source, offene Standards und Self-Hosting digitale Souveränität zurückgeben
Was Vendor Lock-in konkret bedeutet. Anbieterbindung entsteht, wenn ein Wechsel des Anbieters so teuer, langwierig oder technisch riskant wird, dass er praktisch ausgeschlossen ist. Treiber sind proprietäre Datenformate, undokumentierte Schnittstellen, fehlende Datenportabilität und vertragliche Hürden. Das Ergebnis: schwindender Verhandlungsspielraum, steigende Kosten und Abhängigkeit von Entscheidungen, auf die der Kunde keinen Einfluss hat.
↔
Souveränität heißt Wechselfähigkeit: offene Formate und Self-Hosting halten den Ausstieg realistisch.
Der EU Data Act adressiert Cloud-Wechsel ausdrücklich. Die Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act) ist am 11. Januar 2024 in Kraft getreten und gilt seit dem 12. September 2025. Sie ermöglicht Verbrauchern laut EU-Kommission, Daten einfach zu übertragen und zwischen Cloud-Anbietern zu wechseln, und sie verbietet unlautere Vertragsklauseln, die den Datenaustausch verhindern könnten.
Eigens dafür gibt es Kapitel VI zum Wechsel zwischen Datenverarbeitungsdiensten. Danach müssen Anbieter von Cloud- und Edge-Diensten Mindestanforderungen erfüllen, um Interoperabilität zu gewährleisten und den Wechsel zu ermöglichen. Kapitel VIII ergänzt dies um Interoperabilitätsvorgaben für Datenräume; ein EU-Repository soll einschlägige Normen und Spezifikationen für Cloud-Interoperabilität festlegen. Die EU verfolgt damit explizit das Ziel, Wechselhürden abzubauen und den Cloud-Markt zu öffnen.
Warum Open Source und offene Standards gegensteuern. Die Open Source Business Alliance, der nach eigenen Angaben größte Open-Source-Verband Europas mit über 270 Mitgliedsunternehmen, bezeichnet Open Source Software und offene Standards als zwingende Grundlagen für digitale Souveränität, Innovationsfähigkeit und Sicherheit. Begründung: Solche Software ist transparent überprüfbar, kann unabhängig betrieben und nach den eigenen Bedürfnissen gestaltet werden.
Daraus ergeben sich die zentralen Souveränitätshebel:
- Auditierbarkeit: Offener Quellcode lässt sich prüfen. Sicherheitslücken, Datenabflüsse oder versteckte Abhängigkeiten sind nachvollziehbar statt Vertrauenssache.
- Datenportabilität und offene Formate: Wer proprietäre Formate vermeidet, kann Daten ohne Konvertierungsverluste mitnehmen. Das ist die Grundlage jeder ernst gemeinten Exit-Strategie.
- Interoperabilität: Offene Standards und dokumentierte Schnittstellen erlauben den Wechsel oder die Kombination mehrerer Anbieter, statt an eine einzige Plattform gebunden zu sein.
- Self-Hosting: Wird Software unabhängig betrieben, liegen Betrieb, Datenhaltung und Weiterentwicklung in eigener Hand. Der Anbieter verliert die Position, Bedingungen einseitig diktieren zu können.
Souveränität heißt Wechselfähigkeit. Die OSBA verweist auf die in Deutschland etablierte, ganzheitliche Definition des IT-Planungsrats, die Wechselfähigkeit, Gestaltungsfähigkeit und den Einfluss auf Anbieter als zentrale Voraussetzungen digitaler Souveränität beschreibt. Open Source erfüllt diese Anforderungen besonders gut, gerade weil der Code geprüft, betrieben und angepasst werden kann.
Einordnung für Entscheider. Data Act und Open Source greifen ineinander: Die Regulierung senkt die Wechselhürden von außen, offene und self-hostbare Software macht den Wechsel von innen erst praktikabel. Für eine belastbare Exit-Strategie zählt deshalb beides: offene Formate und Schnittstellen als technische Basis sowie vertragliche und architektonische Vorkehrungen, die einen Anbieterwechsel realistisch halten. Wer das früh mitdenkt, behält Verhandlungsmacht und Kontrolle über die eigene digitale Infrastruktur.
Souveränität bei Venedy
Venedy ist konsequent europäisch und nachvollziehbar gebaut: KI-Verarbeitung über einen EU-Anbieter (Mistral statt OpenAI), Betrieb auf europäischer Infrastruktur (STACKIT statt AWS) und auf offenen Standards. Warum gerade in der Sicherheit kein Werkzeug stärker auf Souveränität angewiesen ist, steht im nächsten Artikel.
Quellen
- Digital sovereignty for Europe (EPRS Ideas Paper) Europäisches Parlament (EPRS), 2020
- Data Act Europäische Kommission, 2025
- The Gaia-X Ecosystem BMWK, 2024
- C5 Criteria Catalogue (Cloud Computing) BSI, 2026
- Export Administration Regulations (EAR), 15 CFR Parts 730-774 U.S. Bureau of Industry and Security (BIS), 2026
- CLOUD Act Resources U.S. Department of Justice, 2018
- European Chips Act Europäische Kommission, Shaping Europe's digital future, 2023
- Cloud Computing Europäische Kommission, Shaping Europe's digital future, 2025
- European Chips Act Europäische Kommission - Shaping Europe's digital future, 2026
- Europe's Digital Decade Europäische Kommission - Shaping Europe's digital future, 2026
- 2021 Strategic Foresight Report Europäische Kommission, 2021
- What is Gaia-X (Homepage) Gaia-X European Association for Data and Cloud AISBL, 2026
- Data Act explained (Struktur der Verordnung, Kapitel VI zum Wechsel der Datenverarbeitungsdienste, Kapitel VIII Interoperabilität) Europäische Kommission, Shaping Europe's digital future, 2025
- Datengesetz (Data Act, deutschsprachige offizielle EU-Fassung: Wechsel zwischen Cloud-Anbietern, Verbot unlauterer Verträge) Europäische Kommission, Shaping Europe's digital future, 2025
- Was ist die Open Source Business Alliance? (Open Source und offene Standards als Grundlage digitaler Souveränität und Kontrolle über eigene Daten) Open Source Business Alliance, Bundesverband für digitale Souveränität e.V., 2026
- Weichenstellung für Jahrzehnte: Europa definiert digitale Souveränität neu, OSBA warnt vor Verwässerung (Wechselfähigkeit, Gestaltungsfähigkeit, Einfluss auf Anbieter; transparente Überprüfbarkeit von Open Source) Open Source Business Alliance, 2026