„Wir wollen sichergehen, dass niemand einen Kill Switch hat." Henna Virkkunen, Executive Vice President der EU-Kommission für Technologiesouveränität, Sicherheit und Demokratie, hat es auf den Punkt gebracht. Gemeint ist: Keine fremde Regierung soll die Infrastruktur, auf der Europa läuft, einfach abschalten oder auslesen können. Das ist keine Warnung vor einer fernen Zukunft.
Es ist eine Beschreibung der Gegenwart.
Der Moment, in dem es real wurde
2025 verlor der Chefankläger des Internationalen Strafgerichtshofs zeitweise den Zugriff auf sein Microsoft-E-Mail-Konto im Kontext von US-Sanktionen. Ein einzelner externer Anbieter, ein fremder Rechtsraum, und eine internationale Institution war operativ eingeschränkt.
Dies ist kein Einzelfall. Das Souveränitätsbarometer der öffentlichen IT von Next:Public (Dezember 2025) zeigt, dass 65 Prozent der befragten Verwaltungen eine starke oder sehr starke Abhängigkeit von außereuropäischen IT-Anbietern sehen. Bei Kommunen liegt dieser Wert bei 70 Prozent. Zwei Drittel bewerten ihre Wechselmöglichkeiten als unflexibel oder sehr unflexibel. Der Kill-Switch existiert. Er liegt nur nicht in den eigenen Händen.
Europa zieht die Konsequenzen
Die Signale der letzten Monate sind kein Zufall mehr. Sie sind eine Richtung. Microsoft hat vor dem französischen Senat unter Eid eingeräumt, dass US-Behörden Zugriff auf Daten nicht ausgeschlossen werden kann — auch wenn diese physisch in Europa liegen. Frankreich hat begonnen, 2,5 Millionen Arbeitsplätze aus US-amerikanischer Software herauszulösen. Das EU-Parlament hat mit 471 zu 68 Stimmen entsprechend votiert. Und jetzt schreibt die Kommission die Regeln dazu.
Das „Tech Sovereignty“-Paket definiert erstmals vier Stufen der Cloud-Souveränität. Auf den höchsten Stufen muss ein Anbieter aus der EU kontrolliert werden — mit voller Kontrolle über die Lieferkette, ohne Zugriff aus Drittländern. Wer das nicht erfüllt, soll aus den sensibelsten Staatsaufträgen ausscheiden: Gesundheitsdaten, Finanzdaten, Justizdaten.
Was digitale Souveränität wirklich bedeutet
Das BMDS beschreibt digitale Souveränität in der öffentlichen Verwaltung als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“. Ziel ist es, die Handlungsfähigkeit des Staates zu sichern.
In der Praxis wird digitale Souveränität oft auf Datenhoheit reduziert. Das greift zu kurz.
Datenhoheit ist wichtig. Aber eine Lösung kann Daten in Europa speichern und trotzdem nicht ausreichend souverän sein, wenn Administration, Support, Schlüsselmanagement, Betrieb, proprietäre Schnittstellen oder Anbieterabhängigkeiten nicht bewertet wurden.
Ein Beispiel: „Hosted in Europe“ klingt überzeugend. Der Standort allein sagt aber nicht, wer rechtlich oder technisch Zugriff auf Daten und Systeme haben kann. Gerade bei Anbietern, die außereuropäischen Rechtsräumen unterliegen, muss geprüft werden, ob die öffentliche Einrichtung wirklich die Kontrolle über Daten, Systeme, Metadaten, Schlüssel und Betriebsprozesse behält.
Warum entsteht digitale Souveränität nicht durch ein einzelnes Produkt?
Viele öffentliche Einrichtungen starten bei der Technologieauswahl. Genau dort beginnt oft das Problem.
Die wichtigere Frage lautet: Welche Anforderungen gelten für die öffentliche Einrichtung, den Anwendungsfall und die betroffenen Daten?
Für öffentliche Einrichtungen ist dabei der Schutzbedarf ein zentraler Ausgangspunkt. In der IT-Grundschutz-Methodik des BSI wird danach gefragt, welcher Schaden entstehen kann, wenn Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen, Anwendungen oder IT-Systemen verletzt werden.
Das BSI empfiehlt dafür drei Schutzbedarfskategorien: normal, hoch und sehr hoch.
- Bei normalem Schutzbedarf sind die Schadensauswirkungen begrenzt und überschaubar.
- Bei hohem Schutzbedarf können sie beträchtlich sein.
- Bei sehr hohem Schutzbedarf können sie ein existenziell bedrohliches oder katastrophales Ausmaß erreichen.
Entscheidend ist: Der Schutzbedarf bestimmt die Architektur, nicht umgekehrt.
Nicht jede Anwendung muss maximal abgesichert werden. Gleichzeitig dürfen besonders kritische Kommunikationsprozesse, sensible Daten oder zentrale Verwaltungsaufgaben nicht mit einem Standardmodell behandelt werden.
Digitale Souveränität entsteht deshalb durch das Zusammenspiel von Architektur, Integration und Umsetzung. Voice, Video, Messaging, UC-Plattformen, Netzwerke, Security, Identitäten und bestehende Systeme müssen zusammen betrachtet werden. Einzelne Tools lösen dieses Problem nicht.
Welche Rolle spielt die Infrastruktur?
Eine On-Premise-Infrastruktur ist nicht automatisch souveräner als jede Cloud-Lösung. Sie kann aber entscheidend sein, wenn besonders sensible Daten, Kommunikationswege oder Betriebsprozesse betroffen sind.
Für öffentliche Einrichtungen kann lokale oder dedizierte Infrastruktur relevant sein, wenn:
- Kommunikationsdaten und Metadaten nicht außerhalb definierter Umgebungen verarbeitet werden dürfen
- Systeme auch bei Störungen oder eingeschränkter externer Konnektivität verfügbar bleiben müssen unterbrochen oder eingeschränkt ist
- Administration und Betrieb klar abgegrenzt werden müssen
- Deshalb muss das Betriebsmodell bewusst gewählt werden. Eine souveräne Architektur kann On-Premise-, Hybrid-, Private-Cloud- und Public-Cloud-Modelle kombinieren.
Die Wahl des Betriebsmodells muss daher wohlüberlegt sein. Eine wirklich souveräne Architektur kann auf eine Kombination aus lokalen, hybriden, privaten und öffentlichen Cloud-Lösungen zurückgreifen – es gibt keine allgemeingültige Lösung.
Nicht das Label zählt, sondern ob Datenflüsse, Zugriffe, Betriebsprozesse, Schnittstellen und Exit-Optionen nachvollziehbar geregelt sind.
Warum sind europäische Technologien und Open Source wichtig?
Europäische Technologien können helfen, rechtliche und operative Abhängigkeiten zu reduzieren. Sie sind aber kein Selbstzweck. Eine Lösung ist nicht automatisch souverän, nur weil sie aus Europa kommt.
Wichtig ist, ob die Technologie zur Aufgabe passt, ob sie sicher integriert werden kann und ob sie langfristig weiterentwickelbar bleibt.
Open-Source-Software ist dabei ein zentraler Baustein. Nicht aus Ideologie, sondern aus praktischen Gründen:
- Offener Quellcode erleichtert Transparenz und Prüfbarkeit.
- Offene Standards verbessern Interoperabilität.
- Modulare Ansätze reduzieren Abhängigkeiten von einzelnen Herstellern.
- Anpassbarkeit und Nachnutzbarkeit werden einfacher.
- Der Wechsel zu einer Alternative bleibt eine realistische Option.
Open Source ist damit ein wichtiger Hebel, aber keine fertige Souveränitätsstrategie. Relevant wird Open Source erst, wenn Anwendungen sicher integriert, dokumentiert, betrieben und in bestehende Prozesse eingebettet werden.
Für öffentliche Einrichtungen geht es deshalb nicht um ein Entweder-oder zwischen Open Source und proprietären Lösungen, sondern um eine Architektur, die Transparenz, Interoperabilität, Sicherheit und Wechselfähigkeit zusammenbringt.
Warum reicht Technologie allein nicht aus?
Ein oft unterschätzter Punkt ist die Frage: Wer darf überhaupt an diese Systeme heran?
Bei sicherheitssensiblen Projekten geht es nicht nur um Software, Hardware oder Cloud-Modelle. Es geht auch darum, wer Zugriff auf Systeme, Daten, Betriebsprozesse und Administrationswege erhält.
Wenn es die Anforderungen des Projekts vorsehen, können Mitarbeitende eingesetzt werden, die nach dem Sicherheitsüberprüfungsgesetz (SÜG) überprüft sind. In sensiblen Umgebungen ist das kein Zusatzdetail, sondern ein Teil eines belastbaren Umsetzungskonzepts.
Technologie, Architektur und Personal müssen zusammenpassen. Sonst bleibt Souveränität ein Konzept auf dem Papier.
Wie sollten öffentliche Einrichtungen digitale Souveränität praktisch angehen?
Der erste Schritt ist keine Produktentscheidung, sondern die klare Einordnung der Anforderungen.
Öffentliche Einrichtungen sollten insbesondere klären:
- Welche Daten und Kommunikationsprozesse sind kritisch? Nicht jede Information erfordert denselben Schutz und dasselbe Betriebsmodell.
- Welche Systeme sind bereits vorhanden? Bestehende Voice-, Collaboration-, Video-, Netzwerk- und Security-Lösungen müssen berücksichtigt werden.
- Welche Abhängigkeiten bestehen heute? Dazu gehören Anbieter, Plattformen, Schnittstellen, Datenformate, Supportprozesse und Lizenzmodelle.
- Welche Betriebsmodelle sind zulässig und sinnvoll? On-Premise-, Hybrid-, Private-Cloud-, Public-Cloud- oder Air-Gap-Architekturen müssen aus den Anforderungen abgeleitet werden.
- Welche Technologien passen wirklich? Herstellerneutralität ist hier wichtig. Sonst wird die Architektur zu früh durch ein Produkt bestimmt.
- Wie bleiben Wechseloptionen und Handlungsfähigkeit erhalten? Offene Standards, dokumentierte Schnittstellen und realistische Migrationsszenarien gehören von Anfang an dazu.
Dieser Ansatz vermeidet zwei häufige Fehler: Souveränität nur als Compliance-Thema zu behandeln oder sie durch den Kauf einer einzelnen Plattform lösen zu wollen. In der Praxis braucht es beides: eine klare Einordnung der Anforderungen und die Fähigkeit, daraus eine tragfähige Kommunikations- und Netzwerkinfrastruktur zu bauen. Genau hier setzt Damovo an.
Wie unterstützt Damovo bei der Umsetzung digitaler Souveränität?
Damovo ist herstellerneutraler Beratungs- und Integrationspartner für Kommunikations- und Netzwerkinfrastrukturen im öffentlichen Sektor.
Unsere Rolle ist nicht, eine einzelne Technologie als „souverän“ zu verkaufen. Wir bewerten Anforderungen, empfehlen passende Technologien und integrieren diese zu einer sicheren, nutzbaren und langfristig steuerbaren Gesamtarchitektur.
Konkret unterstützen wir öffentliche Einrichtungen bei:
- der Bewertung regulatorischer, organisatorischer und technischer Anforderungen
- der Einordnung von Schutzbedarf, Kommunikationsbedarf und Betriebsmodellen
- der Auswahl passender europäischer Technologien, Open-Source-Anwendungen und Partnerlösungen
- der Integration von Voice, Video, UC, Messaging, Netzwerk und Security
- der Umsetzung von On-Premise-, Hybrid-, Private-Cloud- und, wo erforderlich, Air-Gap-Architekturen
- dem Einsatz sicherheitsüberprüfter Mitarbeitender nach SÜG, wenn Anforderungen das vorsehenm Personal im Rahmen des SÜG, sofern die Erfordernisse dies gebieten
- der Reduktion von Abhängigkeiten durch Open-Source-Software und Wechseloptionen.
Das Ziel ist nicht maximale Abschottung. Das Ziel ist Handlungsfähigkeit.
Digitale Souveränität ist nicht mehr ptional
Digitale Souveränität entsteht nicht durch ein einzelnes Produkt, einen bestimmten Cloud-Standort oder eine isolierte Technologieentscheidung. Sie entsteht, wenn öffentliche Einrichtungen ihre Anforderungen kennen, Abhängigkeiten bewusst reduzieren und ihre Kommunikations- und Netzwerkinfrastruktur so aufstellen, dass sie sicher, offen, integrierbar und langfristig steuerbar bleibt.
Am Ende geht es nicht um einzelne Bausteine. Es geht darum, handlungsfähig zu bleiben. Digitale Souveränität ist daher nicht optional. Sie ist die Grundlage dafür.
FAQ: Digitale Souveränität im öffentlichen Sektor
Reicht DSGVO-Konformität für digitale Souveränität aus?
Nein. Die DSGVO (Datenschutz-Grundverordnung) regelt den Schutz personenbezogener Daten innerhalb der EU, sagt aber nichts darüber aus, ob eine Organisation die Kontrolle über ihre Systeme, Infrastruktur und Betriebsprozesse behält. Ein Anbieter kann vollständig DSGVO-konform sein und trotzdem exterritorialen Rechtszugriffen unterliegen, zum Beispiel durch den US CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Digitale Souveränität geht weiter: Sie fragt, wer technisch und rechtlich auf Systeme, Daten und Metadaten zugreifen kann und ob eine Organisation ihren Betrieb im Ernstfall auch ohne einen bestimmten Anbieter aufrechterhalten kann.
Was ist der Unterschied zwischen Datenresidenz und Datensouveränität?
Datenresidenz bezeichnet den physischen Speicherort von Daten, also in welchem Land oder Rechenzentrum sie liegen. Datensouveränität beschreibt, wer die tatsächliche Kontrolle über diese Daten hat. Ein Rechenzentrum in Frankfurt garantiert keine Datensouveränität, wenn der Betreiber einem nicht-europäischen Rechtssystem unterliegt und externe Behörden Datenzugriff erzwingen können. Für öffentliche Einrichtungen ist deshalb nicht der Standort entscheidend, sondern wer Verschlüsselungsschlüssel, Zugriffspfade und Betriebsprozesse kontrolliert.
Was bedeutet der US CLOUD Act für deutsche Behörden?
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-amerikanische Unternehmen, US-Behörden auf Anfrage Zugang zu gespeicherten Daten zu gewähren, auch wenn diese Daten physisch außerhalb der USA liegen. Für deutsche Behörden bedeutet das: Wer Dienste von US-Anbietern nutzt, kann sich nicht auf den Serverstandort in Europa verlassen. Das gilt auch für europäische Tochterunternehmen von US-Konzernen, solange der Mutterkonzern US-Recht unterliegt. Eine mögliche Schutzmaßnahme ist der Einsatz von Anbietern, die europäischem Recht unterliegen, kombiniert mit kundenkontrollierter Verschlüsselung.
Muss eine souveräne Architektur bestehende Systeme ersetzen?
Nein. In vielen Fällen ist eine vollständige Ablösung weder realistisch noch sinnvoll. Öffentliche Einrichtungen haben gewachsene IT-Landschaften mit Fachverfahren, Kommunikationsplattformen, Netzwerken und Sicherheitslösungen. Eine souveräne Architektur sollte deshalb zuerst klären, welche bestehenden Systeme weiter genutzt, angebunden, segmentiert oder schrittweise ersetzt werden können. Ziel ist nicht der radikale Neustart, sondern ein kontrollierter Übergang.
Wie verhindert man, dass digitale Souveränität zur Innovationsbremse wird?
Digitale Souveränität sollte nicht bedeuten, jede neue Technologie auszuschließen. Sie sollte helfen, Innovation kontrolliert nutzbar zu machen. Dafür braucht es klare Leitplanken: Welche Daten dürfen in welche Umgebung? Welche Dienste sind für welchen Schutzbedarf geeignet? Welche KI-, Cloud- oder Collaboration-Funktionen dürfen genutzt werden? Wenn diese Fragen sauber beantwortet sind, können öffentliche Einrichtungen moderne Technologien nutzen, ohne die Kontrolle über Daten, Zugriffe und Betriebsmodelle zu verlieren.