Zum Inhalt springen
Souveränitäts-Washing

Digitale Souveränität: echtes Ziel oder leere Verpackung?

Rechenzentrum in Europa, Betreibermodell mit Landesflagge, DSGVO-Stempel: Was souverän klingt, ist oft nur Fassade. Ein Whitepaper des ZenDiS analysiert, wie Cloud-Anbieter mit Begriffen spielen und und zeigt, worauf es wirklich ankommt: Kontrolle statt Kulisse, Substanz statt Standort.

Autor: Diana Künstler • 17.9.2025 • ca. 4:50 Min

N:\connect professional\cpro 2025\cpro10_2025\Souveränitäts-Washing ZenDiS
© StoryTime Studio – shutterstock.com

Digitale Souveränität ist in aller Munde: Als strategisches Ziel der Bundesregierung, als Forderung der Digitalministerkonferenz der Länder, als Kriterium in IT-Beschaffung und Ausschreibungen – und als Verkaufsargument in den Marketingkampagnen globaler Cloud-Anbieter. Doch mit wachsendem Interesse steigt auch das Risiko der Begriffsverzerrung. Cloud-Angebote werden als „souverän“ präsentiert, ohne dass die versprochene Unabhängigkeit faktisch besteht. Statt echter Kontrolle über IT-Infrastrukturen liefern sie Illusionen von Sicherheit und Selbstbestimmung, oft lediglich durch Standortversprechen oder formale Eigentümerstrukturen.

Ein aktuelles Whitepaper des Zentrums für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) analysiert diese Entwicklung und warnt vor einem gefährlichen Trend, den es als „Souveränitäts-Washing“ bezeichnet. Was dabei entstehe, sei eine neue Form des Etikettenschwindels. Wer von souveränen Angeboten spreche, müsse sich an klaren Kriterien messen lassen – nicht an wohlklingenden Etiketten.

Was digitale Souveränität wirklich bedeutet

Der Begriff der digitalen Souveränität ist nicht neu und politisch klar definiert. Bereits im Rahmen der Verwaltungscloud-Strategie und in Stellungnahmen der Föderalen IT-Kooperation (FITKO) wurde festgelegt, dass digitale Souveränität mehr ist als Datensicherheit. Laut ZenDiS beschreibt sie: „Die Fähigkeit eines Staates oder einer Organisation, digitale Infrastrukturen und Dienste selbstständig, selbstbestimmt und sicher zu gestalten, zu betreiben und weiterzuentwickeln – ohne unkontrollierbare Abhängigkeiten von einzelnen Anbietern oder Drittstaaten.“

Das umfasst:

  • rechtliche Souveränität, zum Beispiel Schutz vor Zugriff durch ausländische Behörden
  • technologische Souveränität, also Kontrolle über Quellcode, Updates und Sicherheitsfunktionen
  • operative Souveränität, etwa bei Ausfall oder Wechsel von Dienstleistern
  • sowie Transparenz und Wechselfähigkeit, um Lock-ins zu vermeiden

Diese Anforderungen, so das Whitepaper, seien nicht optional, sondern ergänzen sich. Wer nur einzelne Aspekte – etwa DSGVO-Konformität – erfülle, könne nicht als souverän gelten. Kritisiert wird, dass viele Anbieter den Begriff auf „Datensouveränität“ verengen, also auf den Schutz gespeicherter Inhalte, um strukturelle Abhängigkeiten zu verschleiern. „Damit wird digitale Souveränität auf symbolische Maßnahmen wie Rechenzentrumsstandorte reduziert.“

Das Whitepaper führt dazu einen „Quickcheck“ ein, der die zentralen Kriterien zusammenfasst. Perspektivisch soll daraus ein systematischer Souveränitätscheck entstehen.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+
Quickcheck souveräne Cloud-Dienste
© ZenDiS Whitepaper 2025

Kontrolle in der Cloud oder nur Kulisse?

Zahlreiche Hyperscaler und internationale Anbieter haben auf das gestiegene Interesse reagiert: Sie bieten europäische Betriebsstandorte an, gründen Betreibergesellschaften mit deutschen Anteilseignern oder ziehen „Datengrenzen“, die den Abfluss sensibler Informationen verhindern sollen. Ein Beispiel ist die Delos-Cloud, ein Angebot von SAP auf Basis von Microsoft Azure. Zwar wird sie von einer deutschen Gesellschaft betrieben und erfüllt Anforderungen an Datensouveränität. Doch die Plattform basiert auf proprietärer US-Technologie. Updates, Sicherheitsfunktionen und Kernsteuerungssysteme (IAM, Monitoring, Orchestrierung) bleiben unter Kontrolle des Mutterkonzerns. „Die technologische Kontrolle wesentlicher Komponenten verbleibt bei dem US-Konzern.“

Ein Rechenzentrum in Europa macht noch keine Souveränität.

Ohne Zugriff auf Quellcode, Update-Zyklen und Entscheidungsstrukturen sei echte Souveränität nicht erreichbar, so das Whitepaper. Das Risiko: Kommt es zu einem Bruch in der Softwarelieferkette, etwa durch Exportrestriktionen, wäre der Weiterbetrieb nur begrenzt möglich. Laut Anbieter könne Delos ohne US-Support nur wenige Monate funktionieren. In Krisen fällt damit die Handlungsfähigkeit weg, der Kern digitaler Souveränität.

Juristische Hintertüren und politische Einflussnahme

Ein zentraler Kritikpunkt des ZenDiS: Auch scheinbar sichere europäische Cloud-Angebote sind nicht vor juristischen Zugriffen aus Drittstaaten geschützt. US-amerikanische Gesetze wie der CLOUD Act und FISA 702 verpflichten Anbieter zur Herausgabe von Daten. Auch dann, wenn sie außerhalb der USA gespeichert sind. Diese extraterritoriale Wirkung betrifft nicht nur Inhalte, sondern auch Metadaten, Zugriffsprotokolle und Nutzerinformationen. Selbst „air-gapped“ betriebene Instanzen oder nationale Betreiberstrukturen bieten keinen wirksamen Schutz.

In einer Anhörung vor dem französischen Senat bestätigte im Juli 2025 auch Microsoft Frankreich: Selbst Angebote mit europäischem Standort sind potenziell zugänglich für US-Behörden. „Eine Datenhoheit nach europäischen Maßstäben ist so nicht gewährleistet“, urteilt das Whitepaper.

Darüber hinaus analysiert das Whitepaper gezielte Versuche, den Begriff digitaler Souveränität umzudeuten. Interessenvertreter stellten ihn als unbestimmt oder technisch nicht realisierbar dar oder setzten ihn mit Autarkie gleich – mit dem Ziel, politischen Einfluss auf Beschaffungsentscheidungen zu nehmen.

Die Architektur der Abhängigkeit

Ein weiteres Problem liegt in der Architektur proprietärer Plattformen. Viele Anbieter unterstützen zwar offene Standards wie Kubernetes oder OpenID, doch zentrale Dienste sind proprietär erweitert oder tief integriert. „Die Portabilität von Daten und Workloads ist quasi nur auf dem Papier gegeben.“

Der Aufwand für einen Wechsel ist technisch, organisatorisch und finanziell hoch. Es entsteht ein faktischer Plattform-Lock-in. Hinzu kommt: Cloud-Systeme sind auf tägliche oder wöchentliche Updates angewiesen. Fällt die Verbindung zur zentralen Plattform aus, wird die Umgebung binnen Tagen unbrauchbar.

Das ZenDiS verweist auf Delos: Ohne Support aus den USA sei der Betrieb nur wenige Monate aufrechtzuerhalten. Ein Anbieterwechsel in dieser Phase sei kaum realisierbar. Um dem strukturell zu begegnen, arbeiten ZenDiS und BSI an Sicherheitsstandards, Herkunftsnachweisen und Transparenz in Softwarelieferketten.

Zwischenstandards, Bitkom-Kritik und Data Act

Auch auf regulatorischer Ebene ist Bewegung in der Debatte: Bereits 2019 startete das Projekt „Sovereign Cloud Stack“ mit dem Ziel, offene Cloud-Infrastrukturen zu schaffen. Die Datenschutzkonferenz der Länder (DSK) formulierte 2023 konkrete Kriterien für souveräne Cloud-Nutzung – darunter:

  • vollständige Kontrolle über Standort und Zugriff
  • gestaltbare technische Prozesse
  • die Möglichkeit, Anbieter zu wechseln oder Dienste selbst zu betreiben

Im Mai 2025 beschlossen die Digitalminister der Länder auf der DMK, offene Standards und Open Source in der Verwaltung aktiv zu fördern. Eine Forderung, die auch die Bundesregierung in ihrem Koalitionsvertrag aufgenommen hat.

Mit dem EU Data Act, der im September 2025 in Kraft tritt, wird nun auch europarechtlich geregelt, dass Anbieter ihre Kunden beim Wechsel zu anderen Diensten aktiv unterstützen müssen – technisch, organisatorisch und rechtlich. Anbieter dürfen keine Hürden mehr aufbauen, die Wechsel oder Interoperabilität faktisch blockieren. Doch das ZenDiS bleibt skeptisch: Noch sei der Wechsel zwischen proprietären Plattformen technisch kaum möglich. Selbst der Digitalverband Bitkom stellt in seiner Stellungnahme klar: „Echte Wechselfähigkeit muss nicht nur formell, sondern auch praktisch gegeben sein. Alles andere ist Augenwischerei.“

Open Source als strategischer Schlüssel

Eine Alternative zum Souveränitäts-Washing sieht das ZenDiS im verstärkten Einsatz von Open-Source-Software. Nur wenn Quellcode öffentlich einsehbar, veränderbar und unabhängig weiterentwickelbar ist, kann die öffentliche Verwaltung langfristig Kontrolle und Handlungsfähigkeit sichern.

Das ZenDiS, 2022 durch das Bundesministerium des Innern und für Heimat (BMI) gegründet, konzentriert sich in seiner ersten Ausbaustufe auf die Förderung quelloffener Lösungen. Perspektivisch ist auch eine Beteiligung der Länder vorgesehen. Ziel ist es, den Aufbau und Betrieb souveräner IT-Infrastrukturen nicht nur als Beschaffungsfrage zu behandeln, sondern als Kernfrage demokratischer Selbstbestimmung. Denn wer den digitalen Raum nicht gestalten kann, wird zum Objekt externer Interessen.

Was jetzt zu tun ist

Um Orientierung zu bieten, arbeitet das ZenDiS an einem standardisierten Souveränitätscheck, der künftig helfen soll, Cloud-Angebote und IT-Lösungen entlang klarer Kriterien zu bewerten. Bis dahin diene das Whitepaper als umfassender Leitfaden – nicht nur für Verwaltung, sondern auch für Beschaffer, IT-Dienstleister und politische Entscheider.

Die zentrale Botschaft: Digitale Souveränität darf kein Etikett, kein Schlagwort und kein Marktversprechen sein. Sie ist ein Auftrag zur Kontrolle und zur kritischen Prüfung.

Das könnte Sie auch interessieren
Liste der Superreichen Oracle-Gründer Ellison rückt zu Musk auf
Next Steps
Cloud-Pionier mit Expansionsplänen Cato Networks: Mit Cloud-Backbone und Partnern zum SASE-Wachstum
strategische Partnerschaft, Handschlag
Sichere KI-Cybersicherheit in europäischer Cloud SentinelOne kooperiert mit Schwarz Digits
Achim Weiß, Ionos
Partnerschaft für digitale Souveränität in KMU Ionos und Nobix bieten sichere Cloud für den Mittelstand
Interview mit Starface „Überlappungen, aus denen wir Synergien heben wollen“
Yorizon
Erste Partnerschaften bekanntgegeben Yorizon setzt auf Thold-IT und Kamikom
Ionos
Cloud-Anbieter investieren in KI Steigende Nachfrage nach Public IaaS-Cloud-Services
Cloud
Cloud-Repatriierung richtig planen Empfehlungen für die Rückverlagerung ins eigene Rechenzentrum
Mehr passende Artikel
Barrierefreiheit
Barrierefreiheitsstärkungsgesetz (BFSG) Was jetzt für Websites zählt – und wer handeln muss
Pain Points im Klinikalltag
Pain Points im Klinikalltag Diagnose überlastet
Softwarelokalisierung
KI bei der Softwarelokalisierung Maschinelle Übersetzung als Allheilmittel?
N:\connect professional\cpro 2025\cpro10_2025\Souveränitäts-Washing ZenDiS
Souveränitäts-Washing Digitale Souveränität: echtes Ziel oder leere Verpackung?
Large Language Models Wie LLMs das Marketing neu definieren
Weiter zur Startseite