Ich trage seit einiger Zeit eine Art "Unruhe im Bauch" mit mir. Es begann nicht mit einer Schlagzeile oder einem Bericht, sondern mit unzähligen Gesprächen und Dialogen in der Branche. Von Jura-Studierenden, Informatikern, Verhaltenswissenschaftlern, Cybersicherheitsexperten bis hin zu vielen anderen mit Einblicken und Meinungen formte sich eine Überzeugung in meinem Kopf. Sie nahm nach vielen Gesprächen mit klugen, unter Druck stehenden und menschlichen Führungskräften Gestalt an, die andere Schwerpunkte setzen als Cybersicherheitsexperten wie ich. Immer wieder zeigte sich dasselbe Muster: Wenn wir über digitale Souveränität oder digitale Unabhängigkeit sprechen, zeigen wir oft sehr deutlich auf einen Ort, ein Land, eine Flagge – aber sind weniger bereit, die unbequeme Frage zu beantworten: Wer hat die Kontrolle, wenn der Sturm kommt?
In einer digitalen Welt kommt der Sturm früher oder später, Vorfälle passieren und werden weiter passieren. Das ist nicht dramatisch, es ist einfach... Wetter. Unbeständige Politiker kommen und gehen, Entscheidungsträger mit unterschiedlichem Verständnis und Einblick in die digitale Welt. Geopolitische Situationen wechseln zwischen Sturm und Flaute mit klarem Himmel und freundlichen Wolken (bewusster Wortwitz). Unternehmen sind wie Boote auf diesem riesigen digitalen Meer. Und genau hier möchte ich die Debatte ansetzen: Digitale Souveränität ist keine Frage des Heimathafens des Bootes. Es geht darum, welche Rettungsboote tatsächlich zu Wasser gelassen werden können, wer die Schlüssel hat und ob die Crew geübt ist, bei Sturm an Land zu kommen. Seetüchtigkeit auf vernünftiger Basis mit Kontrolle.
Das mag selbstverständlich klingen. Trotzdem sind wir in einer Diskussion gefangen, die oft in zwei Extreme abgleitet. Die eine Seite meint, Geografie löse alle Probleme. Die andere denkt, Größe löse alles. Ich glaube, beide Seiten übersehen etwas. Aber ich glaube auch, dass die "geografische" Sichtweise am meisten und teuersten für die digitale Gesellschaft verfehlen könnte.
Die ernsthafte Einwendung: Jurisdiktion ist kein Verschwörungsmythos, sondern ein Risiko
Ich möchte das gleich zu Beginn sagen, denn es ist wichtig für die Glaubwürdigkeit dieses Beitrags: Es gibt berechtigte Gründe, skeptisch gegenüber Abhängigkeiten und Jurisdiktion zu sein. Wenn europäische Akteure die extraterritoriale Anwendung nicht-europäischer Gesetze als Cybersicherheitsrisiko ansprechen, ist das kein Automatismus für Verschwörung. So hat etwa der französische Präsidentenpalast ausdrücklich die extraterritoriale Anwendung nicht-europäischer Rechtsnormen im Zusammenhang mit digitaler Technologie als Risikofaktor genannt, den Europa bewältigen muss (Élysée, 2025).
Es gibt auch Versuche, die Debatte deutlich zu versachlichen, insbesondere im Hinblick auf den amerikanischen CLOUD Act, der einige in Panik versetzt hat. Verschiedene Analysen bemühen sich, die tatsächlichen Auswirkungen in der Praxis zu klären, Missverständnisse aufzuzeigen und Kontrollmechanismen zu diskutieren, die das Risiko mindern können (CMS, 2026).
Der Punkt ist einfach: Jurisdiktion kann eine relevante Schwachstelle sein, besonders bei besonders sensiblen und gesellschaftlich kritischen Daten. So zu tun, als gäbe es sie nicht, ist ebenso unehrlich wie zu behaupten, dass sie automatisch Überwachung bedeutet. Beide Extreme erzeugen mehr Verwirrung als Klarheit.
Aber hier kommt meine Position: Jurisdiktion ist keine geografische Festlegung, sondern ein Risikofaktor, der in proportionale Kontrollanforderungen übersetzt werden muss.
Wenn die Debatte den Halt verliert: Souveränitätstheater
Was mich ärgert, ist wenn Souveränität darauf reduziert wird, die Flagge auf der Rechnung des Dienstleisters zu wechseln und das dann als Kontrolle und Compliance abzuhaken. Das ist Souveränitätstheater: Wir streichen die Rettungsboote an und hoffen, der Sturm ist beeindruckt. Das ist nichts anderes als falsche Sicherheit und Kontrolle.
Hier sehe ich die Europäische Kommission auf einem guten Weg: Sie versucht, Souveränität messbar und evidenzbasiert statt symbolisch zu machen. Ihr Cloud Sovereignty Framework beschreibt Souveränität in mehreren Dimensionen und zielt darauf ab, sie prüfbar statt nur spürbar zu machen (Europäische Kommission, 2025).
Das Joint Research Centre der Kommission nimmt eine Position ein, die ich in der polarisierten Debatte für ungewöhnlich vernünftig halte: Europa soll offen, aber nicht machtlos sein. Digitale Souveränität bedeutet strategische Handlungsspielräume und Fähigkeiten, nicht Isolation oder Protektionismus um des Protektionismus willen (Europäische Kommission, Joint Research Centre, 2025).
Genau hier möchte ich ankommen: Souveränität als Kontrolle, nicht als "Hier steht der Server".
Die zweite ernsthafte Einwendung: "Aber amerikanische Clouds sind doch auch ein Risiko, oder?"
Ja, selbstverständlich. Wer behauptet, es wäre sicher, nur weil es Azure, Amazon Web Services oder Google Cloud heißt, verwechselt Marketing mit Meteorologie. Der Sturm interessiert das nicht. Gleichzeitig müssen wir uns eines sehr klar machen: Hyperscale-Anbieter verfügen über eine Größe, die echte operative Fähigkeiten ermöglicht. Microsofts Digital Defense Report beschreibt etwa die Größe ihrer Sicherheitsorganisation und Signalverarbeitung (Microsoft, 2025), was kaum zu übertreffen ist, wenn es um echte und einfache Sicherheit geht.
Ich zitiere das nicht, um zu sagen "darum sind amerikanische Clouds die besten". Ich zitiere es, um zu sagen: Wenn wir Sicherheit vergleichen, müssen wir Fähigkeiten vergleichen. Es reicht nicht zu sagen "Wir bauen selbst" und zu glauben, das liefert automatisch dieselbe Rettungsbootkapazität, Übungsintensität und Rettungskette.
Hier sehe ich, dass die geografische Debatte gefährlich werden kann. Nicht, weil sie Abhängigkeiten verringern will, sondern weil sie manchmal so tut, als ließe sich operative Tiefe durch politische Phrasen ersetzen. Und beachten Sie: Genau hier wollen EU-Gesetzgeber echte Resilienz, wo die Fähigkeit zur Kontinuität messbar ist.
"Splinternet" und Datenlokalisierung: Wenn Mauern zur Schwachstelle werden
Ein weiteres oft vergessenes Problem: Wenn wir Souveränität als Mauern bauen, riskieren wir Fragmentierung und digitalen Ausschluss. Solche Fragmentierung hat Kosten – wirtschaftlich und sicherheitstechnisch.
Der Untersuchungsausschuss des Europäischen Parlaments beschreibt, wie Internetfragmentierung ("Splinternets") zu divergierenden Standards und Protokollen führt und Innovation, Interoperabilität sowie Governance beeinträchtigen kann (European Parliamentary Research Service, 2022).
Die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung zeigt ebenfalls, wie Maßnahmen zur Datenlokalisierung zunehmen und restriktiver werden und wie sie Unternehmen und grenzüberschreitende Datenflüsse beeinflussen können (Ferencz & López González, 2023).
Hier höre ich oft die Haltung, "lokal ist immer besser" oder "schwedische Clouds sind besser als amerikanische". Aber lokal kann auch bedeuten: kleinere Ökosysteme, weniger Kompetenzpools, teurere Redundanz und mehr Speziallösungen. Und Speziallösungen sind oft Sicherheitsrisiken, weil Komplexität ein Lieblingsfutter für Vorfälle und Angreifer ist. Tatsächlich sind Sie mit lokalem und regionalem Ansatz anfälliger. Schauen Sie sich nur die jüngsten Vorfälle bei Miljödata an.
Ich sage nicht, dass Lokalisierung immer falsch ist. Ich sage, Lokalisierung ist eine Maßnahme mit klaren Vor- und Nachteilen. Und so zu tun, als gäbe es keine Kompromisse, heißt, ein Rettungsboot ohne Bodenloch zu verkaufen. Oder aus Kontrollsicht: Haben Sie die Kontrolle über Ihre Daten in lokalen Clouds und technischen Lösungen tatsächlich auf dem gleichen Niveau wie bei Alternativen? Wo sind Ihre Daten am besten geschützt und sicher im Hinblick auf Ihr Kerngeschäft, Kosten, Fähigkeiten und Verhältnismäßigkeit?
Der innere Konflikt der EU: Technik wird politisch
Wer sehen will, dass "beide Seiten" tatsächlich in der EU existieren, sollte die Debatte um Cloud-Zertifizierung und Souveränitätsanforderungen verfolgen. Das EU-Institut für Sicherheitsstudien beschreibt, wie eine technische Frage zum politischen Stresstest wurde: Wie Europa Sicherheit, Leistung und Abhängigkeit von dominierenden amerikanischen Anbietern ausbalancieren kann (European Union Institute for Security Studies, 2025).
Das ist wichtig, um zu verstehen, dass es nicht einfach um "Anti-USA" oder "Pro-Cloud" geht. Es ist ein echter Interessenkonflikt zwischen Risikotypen: rechtliche Kontrolle, operative Robustheit, Marktdynamik und geopolitische Handlungsspielräume.
Mein Fazit: Kontrolle ist das Rettungsboot, Geografie nur der Hafen
Hier liegt mein Kernpunkt, zu dem ich auch nach intensiver Auseinandersetzung mit der "anderen Seite" stehe: Digitale Souveränität ist real, wenn wir Kontrolle in drei einfachen Fragen nachweisen können:
Erstens: Können wir Zugriff und Schlüssel so steuern, dass sie technischen und rechtlichen Schocks standhalten?
Zweitens: Können wir Schäden schnell erkennen und isolieren, auch wenn die Lieferkette Probleme macht?
Drittens: Können wir uns wirklich erholen und dies durch Übungen belegen – nicht nur mit Dokumenten?
Es spielt keine Rolle, ob das Boot europäisch oder amerikanisch ist, wenn die Rettungsboote nicht einsatzbereit sind. Und hier sehe ich ein Problem bei den oft verschwörungstheoretisch geprägten Argumenten: Nicht weil sie immer unrecht hätten, sondern weil sie viele wichtige Schritte überspringen, um ihre Thesen zu beweisen. Sie ersetzen Risikobewertung durch moralische Panik. Sie scheinen Kontrolle zu wollen, liefern aber meist nur Angst, Unwissenheit und manchmal Panik.
Angst kann uns in Bewegung setzen. Aber Angst kann uns auch in die falsche Richtung treiben.
Herdenimmunität als erwachsene Antwort in einem grenzenlosen Sturm
Meine eigene Position ist daher eine Kombination, die ich für realistisch und verantwortungsvoll halte: Zusammenarbeit mit gleichgesinnten Demokratien, wo möglich, und selektive, evidenzbasierte Souveränität, wo Konsequenzen es erfordern.
EU und USA haben bereits Strukturen für Zusammenarbeit in Technik, Standards und Resilienzdenken über den Trade and Technology Council, was zeigt, dass "Allianzenlogik" im digitalen Raum eine konkrete, laufende Strategie ist, keine bloße Idee (U.S. Trade Representative, 2024).
Das heißt nicht, dass wir naiv sein sollten. Es heißt, wir müssen erwachsen handeln. In einer Welt, in der Angreifer, Lieferketten und Geopolitik Grenzen wie Linien im Sand überschreiten, ist die praktischste Form von Souveränität oft gemeinsame Mindestanforderungen, ein gemeinsames Bedrohungsbild und gemeinsame Fähigkeiten zur Erholung.
Ich glaube, die künftige Wettbewerbsfähigkeit wird daran gemessen, wie gut wir in Stürmen auf den globalen digitalen Ozeanen Kurs halten können – nicht daran, wie laut wir "Unabhängigkeit" von Deck aus rufen, während wir in einem Optimist-Jolle im heimischen Hafen segeln.
Fazit: Der Sturm kommt trotzdem – die Frage ist, ob wir geübt sind
Wenn ich Ihnen als Leser ein Bild mitgeben darf, dann dieses: Stellen Sie sich einen Kapitän auf der Brücke vor, der eine Karte mit allen Gefahren vor sich hat. Die Karte ist schön. Aber sie ist wertlos, wenn die Rettungsboote nie getestet wurden, die Schlüssel am falschen Schlüsselbund hängen und die Crew nie geübt hat, wie sie im Notfall handeln soll.
Digitale Souveränität ist keine Adresse. Sie ist eine Fähigkeit. Sie ist Kontrolle.
Und wenn wir eine ehrliche Debatte führen wollen, müssen wir gleichzeitig sagen: Ja, Jurisdiktion und Abhängigkeiten sind echte Risiken. Ja, Hyperscale kann eine echte Stärke sein. Ja, Mauern können eine echte Schwachstelle sein. Und nein, wir dürfen Sicherheit nicht zum Theater machen.
Denn der Sturm kümmert sich nicht um unsere Slogans. Er kümmert sich um unsere Rettungsboote.
Quellen
Europäische Kommission. (2025). Cloud Sovereignty Framework (PDF).
Europäische Kommission, Gemeinsames Forschungszentrum. (2025). Open but Not Powerless: Towards a Common Understanding of EU Digital Sovereignty (Policy brief).
European Parliamentary Research Service. (2022). "Splinternets": Addressing the renewed debate on internet fragmentation (PE 729.530).
European Union Institute for Security Studies. (2025). Technical is political: When a cloud certification scheme divides Europe.
Élysée. (2025). Achieving Europe's Cloud and Data Sovereignty.
Ferencz, J., & López González, J. (2023). The Nature, Evolution and Potential Implications of Data Localisation Measures (OECD Trade Policy Papers, Nr. 278). OECD Publishing.
Microsoft. (2025). Microsoft Digital Defense Report 2025.
U.S. Trade Representative. (2024). U.S.–EU Joint Statement of the Trade and Technology Council.
