Nidhi's Craft - stock.adobe.com
Digitale Souveränität ist eine Kompetenzfrage
Digitale Abhängigkeiten werden zur Sicherheitsfrage. Warum Europas digitale Selbstbestimmung nicht an der Technik scheitert, sondern an der Fähigkeit, sie zu beherrschen.
Wer im Februar 2026 die Münchner Sicherheitskonferenz oder die begleitende Munich Cyber Security Conference verfolgt hat, konnte eine Verschiebung kaum übersehen: Digitale Abhängigkeiten und Cyberangriffe werden nicht mehr als technische Spezialthemen behandelt, sondern als zentrale sicherheits- und wirtschaftspolitische Risiken. Cloud-Infrastrukturen, KI-Plattformen und Halbleiter stehen heute auf der gleichen Agenda wie Energieversorgung oder Bündnisverteidigung.
BSI-Präsidentin Claudia Plattner brachte es auf eine Formel, die die gesamte Souveränitätsdebatte auf den Punkt bringt: „Wer souverän sein will, muss Technologie beherrschen.“ Nicht besitzen. Nicht abschotten. Beherrschen. Und sie warnte: „Der Schutz unserer Gesellschaft hängt von unseren digitalen Fähigkeiten ab, und davon, wie gut wir den digitalen Raum verteidigen können.“ Technologie, so Plattner, beeinflusse die globalen Kräfteverhältnisse zunehmend. Wenn Deutschland und Europa jetzt nicht kraftvoll gegensteuerten, werde sich dieses Rad ohne uns weiterdrehen.
In diesem Kontext ist digitale Souveränität zu einem Leitbegriff geworden, allerdings zu einem, der unterschiedlich gefüllt wird. Für die einen bedeutet er vor allem Datenresidenz in der EU, für andere geht es um technologische Autarkie, wieder andere verstehen darunter vor allem regulatorische Handlungsfähigkeit. Wenn aus einem politischen Schlagwort eine belastbare Strategie werden soll, braucht es eine nüchterne Bestandsaufnahme.
Keine Autarkie, aber klare Handlungsfähigkeit
Völlige digitale Autarkie ist für offene Volkswirtschaften weder realistisch noch wünschenswert. Europäische Staaten und Unternehmen sind in globale Innovations- und Lieferketten eingebunden, insbesondere bei Cloud-Services, KI-Plattformen und Halbleitern. Der Versuch, sich vollständig von außereuropäischen Anbietern abzukoppeln, würde Innovation verlangsamen und die Kosten erheblich erhöhen, ohne Abhängigkeiten tatsächlich zu eliminieren.
Gleichzeitig haben die letzten Jahre gezeigt, dass rechtliche und technologische Abhängigkeiten geopolitisch instrumentalisiert werden können, von Exportkontrollen über Sanktionen bis hin zu extraterritorialen Gesetzen wie dem US CLOUD Act oder vergleichbaren Regelwerken in anderen Staaten. Diese Gesetzesvorgaben können Anbieter verpflichten, Daten oder Zugriffe bereitzustellen, selbst wenn Rechenzentren physisch in Europa stehen und von europäischen Gesellschaften betrieben werden. Hundertprozentige Immunität gegenüber solchen Zugriffsmöglichkeiten gibt es nicht. Wer etwas anderes suggeriert, weckt falsche Erwartungen.
Souveränität im 21. Jahrhundert bedeutet daher nicht Abschottung, sondern Handlungsfähigkeit: die Fähigkeit, Risiken zu kennen, zu begrenzen und im Krisenfall über tragfähige Alternativen zu verfügen.
Drei Bedrohungsebenen: Eine nüchterne Einordnung
Das BSI hat auf der Münchner Sicherheitskonferenz eine Systematik vorgestellt, die für die Einordnung hilfreich ist. Deutschland und Europa stehen demnach unter dem permanenten Druck dreier Bedrohungskategorien: Cyber Crime, also finanziell motivierte Straftaten im digitalen Raum. Cyber Conflict, also staatlich gelenkte Angriffe mit politischem oder militärischem Hintergrund. Und Cyber Dominance: die Einflussnahme durch digitale Produkte, die ihren Herstellern Zugriff auf Informationen und Funktionen ermöglichen.
Diese dritte Kategorie verdient besondere Aufmerksamkeit. Denn sie beschreibt exakt das, was in der Souveränitätsdebatte oft als abstraktes Risiko abgetan wird: die strukturelle Abhängigkeit von Technologieanbietern, die nicht europäischem Recht unterliegen. Wenn die nationale Cybersicherheitsbehörde eines Landes diese Abhängigkeit in einer Reihe mit staatlich gelenkten Cyberangriffen einordnet, dann ist die Souveränitätsdebatte keine politische Phantomdiskussion. Sie ist eine sicherheitspolitische Realität.
Konkrete Souveränitätswege in Europa
Dass digitale Souveränität mehr ist als eine Debatte auf Podien ist, zeigen mehrere aktuelle Entwicklungen.
Frankreich hat angekündigt, 2,5 Millionen Beamte bis 2027 von US-Videokonferenzdiensten auf die eigene Plattform Visio zu migrieren, gehostet auf einer SecNumCloud-zertifizierten souveränen Infrastruktur. Allein das CNRS stellt 34.000 Mitarbeitende und 120.000 angeschlossene Forschende bis Ende März 2026 von Zoom auf Visio um. Das ist kein Pilotprojekt. Das ist ein bewusst weitgehender Souveränitätsschritt in einem klar abgegrenzten Anwendungsfall.
In Deutschland hat das BSI auf der Münchner Sicherheitskonferenz eine strategische Partnerschaft mit einem deutschen Cloud-Anbieter für souveräne Cloud-Lösungen für die öffentliche Verwaltung vereinbart. Vorgesehen sind Betriebsmodelle bis hin zur Geheimhaltungsstufe VS-NfD. Schleswig-Holstein hat parallel 44.000 E-Mail-Postfächer von Microsoft auf Open-Source-Lösungen umgestellt. Damit wird deutlich: Der Staat beginnt, für besonders sensible Bereiche eigene digitale Handlungsspielräume aktiv aufzubauen.
Gleichzeitig arbeiten internationale Hyperscaler an Souveränitätsmodellen für Europa: von physisch und logisch isolierten Betriebsumgebungen mit milliardenschweren Investitionen über kundenseitig kontrollierte Verschlüsselung bis hin zu eigenen europäischen Gesellschaftsstrukturen. Europäische Anbieter wiederum positionieren sich mit eigenen Sovereign-Cloud-Angeboten, häufig auf Open-Source-Basistechnologien und mit klarer regionaler Verankerung.
Allen Ansätzen ist gemeinsam: Sie können rechtliche und operative Risiken reduzieren, sie aber nicht vollständig eliminieren. Gerade deshalb ist Transparenz über Architektur, Zuständigkeiten, Lieferketten und Rechtslage entscheidend, und nicht das Versprechen absoluter Souveränität.
Regulierung als Orientierung, nicht als Ersatz für Governance
Auf europäischer Ebene entsteht mit dem EU Cloud Sovereignty Framework (PDF) erstmals ein kohärenter Kriterienkatalog, der beschreibt, welche Nachweise Anbieter für unterschiedliche Souveränitätsziele erbringen sollen, von strategischer und rechtlicher Souveränität über Daten- und KI-Souveränität bis hin zu Sicherheit, Compliance und Lieferketten. Dieses Rahmenwerk dient zunächst der Beschaffung der EU-Institutionen, strahlt aber bereits in nationale Strategien und Ausschreibungen aus.
Parallel bereitet die EU-Kommission mit dem Cloud and AI Development Act erstmals eine verbindliche Regulierung für souveräne Cloud- und KI-Infrastrukturen vor, geplant für das erste Quartal 2026. Anders als frühere Initiativen soll dieser Rechtsakt als Verordnung mit unmittelbarer Wirkung in allen Mitgliedstaaten gelten. Entscheidend wird sein, dass solche Regelungen realistische, technologieoffene Pfade eröffnen und nicht den Eindruck erwecken, als ließe sich digitale Souveränität per Verordnung erreichen.
Regulierung kann Orientierung geben und bestimmte Mindeststandards einfordern. Sie ersetzt aber nicht die unternehmerische Aufgabe, konkrete Architekturen, Lieferantenstrategien und Betriebsmodelle souverän zu gestalten.
Souveränität als Portfoliomanagement
Aus Sicht von Unternehmen und öffentlichen Organisationen ist digitale Souveränität vor allem eine Frage des Portfoliomanagements.
Erstens braucht es eine Risikosegmentierung der eigenen IT-Landschaft. Nicht jede Anwendung, nicht jede Datenbank ist gleich kritisch. Personalverwaltung, interne Kollaboration, produktionskritische Steuerungssysteme oder verteidigungsnahe Anwendungen unterscheiden sich fundamental in ihren Anforderungen an Vertraulichkeit, Verfügbarkeit und rechtliche Kontrolle. Wer alles gleich behandelt, über- oder untersteuert zwangsläufig Risiken.
Zweitens sind Exit-Optionen zentral. Organisationen, die ihre gesamte Wertschöpfung an einen einzigen globalen Anbieter knüpfen, machen sich verwundbar, unabhängig davon, ob dieser Anbieter in den USA, in Europa oder anderswo sitzt. Multi-Cloud- und Hybrid-Ansätze sind nicht nur Betriebs-, sondern zunehmend Souveränitätsstrategien: Sie ermöglichen es, Workloads zu verlagern, im Krisenfall alternative Pfade zu nutzen und Verhandlungsmacht zu bewahren.
Drittens müssen rechtliche, technische und organisatorische Kontrollen zusammengedacht werden. Verschlüsselung, Schlüsselhoheit, Härtung von Lieferketten und strikte Zugriffsprozesse reduzieren die Angriffsfläche. Aber sie ersetzen nicht die Notwendigkeit klarer Verträge, Zuständigkeiten und eines gelebten Sicherheits- und Compliance-Managements. Souveränität ist kein einzelnes Produktmerkmal, sondern das Ergebnis eines Bündels von Maßnahmen.
Die eigentliche Knappheit: Fähigkeiten, nicht Rechenzentren
In der politischen Debatte wird digitale Souveränität häufig als Infrastrukturfrage behandelt: Reicht die Zahl der Rechenzentren? Haben wir genügend eigene Chips? Unterstützen wir genügend europäische Anbieter? Diese Fragen sind wichtig. Aber sie verdecken leicht den eigentlichen Engpass.
Meine Erfahrung aus der Zusammenarbeit mit Unternehmen über acht große Technologiepartner hinweg zeigt ein wiederkehrendes Muster: Rund 80 Prozent der Transformationsprojekte scheitern nicht primär an der Technologie, sondern an Menschen, Prozessen und Change Management. Das gilt für klassische Cloud-Migrationen ebenso wie für KI-Einführungen. Und es gilt in besonderem Maße für Souveränitätsstrategien.
Wer ernsthaft digitale Souveränität anstrebt, braucht vor allem eines: qualifizierte Fachkräfte, die komplexe Architektur- und Sicherheitsentscheidungen treffen und verantworten können. Cloud-Architekten, Security-Experten, Daten- und KI-Ingenieure, Produkt- und Service-Owner in Verwaltung und Unternehmen. Ohne diese Kompetenz bleibt jede noch so ambitionierte Strategie ein Papiertiger.
„Wer ernsthaft digitale Souveränität anstrebt, braucht vor allem eines: qualifizierte Fachkräfte, die komplexe Architektur- und Sicherheitsentscheidungen treffen und verantworten können.“
Annariina Komljenovic, valantic
Die Souveränitätsdebatte in Deutschland hat bisweilen den Charakter einer Grundsatzdiskussion, die niemand wirklich operationalisiert. Frankreich migriert 2,5 Millionen Beschäftigte im öffentlichen Dienst. Schleswig-Holstein stellt 44.000 Postfächer um. Das BSI geht strategische Partnerschaften mit deutschen Cloud-Anbieter ein. Und der deutsche Mittelstand diskutiert in vielen Fällen noch, ob er überhaupt anfangen soll.
Souverän handeln statt absolut sicher fühlen
Hundertprozentige digitale Souveränität gibt es ebenso wenig wie hundertprozentige Cybersicherheit. Das ambitionierte, aber realistische Ziel für Europa sollte daher anders formuliert werden: Risiken verstehen, Abhängigkeiten reduzieren, Alternativen aufbauen und im Ernstfall handlungsfähig bleiben, technisch, rechtlich und organisatorisch.
Dazu gehören leistungsfähige europäische Anbieter ebenso wie vertrauenswürdige Kooperationen mit globalen Partnern, klare regulatorische Leitplanken und vor allem: Investitionen in Menschen und Kompetenzen. Gegensteuern, wie Hasso Plattner (Mitgründer und langjähriger Aufsichtsratsvorsitzender von SAP) es fordert, bedeutet nicht, Mauern zu bauen. Es bedeutet, Fähigkeiten aufzubauen.
Souveränität ist kein Zustand. Sie ist eine Praxis. Und sie beginnt nicht im Rechenzentrum. Sie beginnt in den Köpfen.
Über die Autorin:
Annariina Komljenovic ist Executive Vice President Strategic Alliance Management bei dem deutschen Digitalberatungsunternehmen valantic. Sie verantwortet die globalen Partnerschaften mit AWS, Google Cloud, Microsoft, NVIDIA, Snowflake, Databricks, und Stripe. Zuvor war sie in leitenden Funktionen bei AWS EMEA und der Deutsche Börse Group tätig. Sie ist Mitautorin eines Fachbuchs über generationenübergreifende Führung im Zeitalter der KI (Erscheinungstermin 2026) und engagiert sich als Mentorin für weibliche Führungskräfte in der Technologiebranche.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
