Die Debatte über digitale Souveränität in Europa leidet seit langem an Unschärfe. Der Begriff wurde gleichbedeutend für Handelsprotektionismus, regulatorischen Ehrgeiz, Datenlokalisierung und politisches Selbstbewusstsein verwendet. Bis 2026, nach fünf Jahren Erfahrung mit der Umsetzung von GDPR, NIS2, DORA, dem AI Act und dem Cyber Resilience Act, liegt genug empirisches Material vor, um den Begriff sorgfältiger zu untergliedern.
Die Arbeitsdefinition dieser Website lautet: Digitale Souveränität ist die Fähigkeit einer Organisation, über ihre digitalen Vermögenswerte nach eigenem Willen zu verfügen — innerhalb der jeweils geltenden physischen Grenzen und unter aktiver Nutzung aller Optionen, die der internationale Rechts- und Vertragsrahmen zulässt. Es geht nicht um „Made in EU". Es geht nicht um Isolationismus. Es geht um eine technische und rechtliche Architektur, die die Möglichkeit des Wechsels bewahrt — die Fähigkeit, Anbieter, Jurisdiktion oder Technologie zu wechseln, ohne ruinöse Kosten zu verursachen.
Diese Fähigkeit lässt sich in drei Schichten zerlegen, von denen jede unabhängig von den anderen kompromittiert werden kann.
Die Bit-Schicht
Die Daten selbst. Folgen von Einsen und Nullen, im Ruhezustand und in Bewegung. Die entscheidende Frage: Wo leben meine Daten physisch, und wer hat Zugang zu ihnen?
Europa adressiert diese Schicht vergleichsweise gut. Die GDPR, das Schrems II-Urteil , Judgment of the Court (Grand Chamber) of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Case C-311/18) , 2020-07-16 · link · archived und der anschließende EU–US-Datenschutzrahmen haben das rechtliche Gerüst errichtet; technisch gesehen sind BYOK und HYOK inzwischen Standardangebote jedes Hyperscalers. Die Bit-Schicht versagt dort, wo Daten in einem proprietären Format vorliegen, das nur der aktuelle Anbieter lesen kann. Wer seine Daten nicht innerhalb von Tagen — nicht Jahren — in einem Standardformat exportieren kann, ist auf der Bit-Schicht nicht souverän. Er ist Mieter.
Der EU Data Act , Regulation (EU) 2023/2854 — Data Act, switching provisions in application , Directorate-General for Communications Networks, Content and Technology, 2025-09-12 · link · archived , dessen Wechselvorschriften am 12. September 2025 in Kraft traten, adressiert genau dieses Problem. Seitdem müssen Cloud-Dienstanbieter Kunden die Migration zu Alternativen innerhalb festgelegter Fristen, in Standardformaten und — ab Januar 2027 — ohne Wechselgebühren ermöglichen. Ob die Verordnung so umgesetzt wird, wie sie geschrieben ist, ist eine gesonderte Frage, die im Abschnitt Durchsetzung behandelt wird.
Die Interpretationsschicht
Die Fähigkeit, Daten ohne Mitwirkung des Anbieters mit Bedeutung zu versehen. Diese Schicht wird häufig übersehen, weil sie weniger sichtbar ist als physische Speicherung. Interpretationsautonomie ist nicht bloß der Besitz von Entschlüsselungsschlüsseln; sie ist die Kontrolle über die Algorithmen, Schemata und Logiken, die Bits in menschlich verständliche Informationen verwandeln.
Ein Beispiel: Eine Organisation hat ihre gesamte Kommunikation auf eine Plattform migriert, die Nachrichten in einem proprietären Protokoll mit anbieterseitiger Verschlüsselung speichert. Selbst mit einer physischen Sicherungskopie der Daten hat man ohne den Anbieter nur nutzbares Rauschen. Dasselbe gilt für KI-Modelle: Hängen unternehmerische Entscheidungen von einem geschlossenen Drittanbietermodell ab, dessen Abfragen und Ausgaben nicht geprüft, repliziert oder migriert werden können, liegt die Interpretationsschicht beim Anbieter — nicht bei der Organisation.
Die Instrumentierungsschicht
Die Werkzeuge — Hardware und Software —, die Daten verwalten. In einem souveränen Rahmen gelten diese Werkzeuge als austauschbar: Die Organisation muss in der Lage sein, den „Traktor" (das Werkzeug) zu tauschen, ohne das „Saatgut" (die Daten) oder das „Wissen um den Anbau" (die Interpretationsfähigkeit) zu verlieren. Das ist der Unterschied zwischen gesunder Abhängigkeit und Anbieterbindung. Abhängigkeit ist bequem und oft wirtschaftlich rational. Bindung ist eine Falle.
Die Instrumentierungsschicht ist jene, auf die extraterritoriale Rechtssysteme unmittelbar einwirken. Der CLOUD Act , Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , Public Law 115-141, Consolidated Appropriations Act, 2018, Division V, 2018-03-23 · link · archived ermächtigt US-Behörden, Daten bei US-Anbietern unabhängig vom physischen Speicherort herauszuverlangen; FISA Section 702 , Section 702 of the Foreign Intelligence Surveillance Act (FISA) , 2008-07-10 · link · archived erlaubt die Überwachung der Kommunikation von Nicht-US-Personen. Keines dieser Gesetze setzt bösen Willen des Anbieters voraus. Der Anbieter unterliegt schlicht aufgrund seiner Konzernstruktur dem US-Recht. Aus Kundensicht zählt das Ergebnis: Eine externe Jurisdiktion kann jederzeit in die Instrumentierungsschicht der europäischen Cloud eingreifen, wenn ihre rechtliche Eingriffsschwelle erreicht ist.
Europäische Jurisdiktion ist kein symmetrischer Schutz. Der kanadische Gerichtsbeschluss gegen OVHcloud vom September 2024 , Canadian data order risks blowing a hole in EU sovereignty , 2025-11-27 · link · archived , bei dem ein kanadisches Gericht versuchte, OVHcloud zur Herausgabe von in Frankreich, dem Vereinigten Königreich und Australien gespeicherten Daten zu zwingen, verdeutlicht diese Grenze. OVHcloud berief sich auf das französische Blockierungsgesetz (loi de blocage) und verweigerte die Herausgabe. Der Fall zeigt, dass selbst europäische Anbieter extraterritorialem Druck ausgesetzt sein können; der Unterschied besteht darin, dass sie über rechtliche Instrumente — nationale Blockierungsgesetze — verfügen, die ihnen zumindest eine prozedurale Verteidigung ermöglichen.
Warum die Schichten strategisch wichtig sind
Nicht jede Abhängigkeit ist ein Problem. Manche sind wirtschaftlich rational. Andere sind existenzbedrohend. Der Schlüssel zur Unterscheidung liegt genau darin, über welche Schicht man spricht.
Drei typische Situationen zur Veranschaulichung.
Ein mittelgroßes europäisches Unternehmen betreibt Webshop, ERP und Kollaborationswerkzeuge auf einer einzigen Hyperscaler-Cloud. Das ist eine Abhängigkeit auf der Instrumentierungsschicht — von einem Werkzeug. Erweist sich der Anbieter als ungeeignet, hat das Unternehmen Arbeit vor sich, aber die Migration ist machbar: Daten werden exportiert, Anwendungen neu installiert, der Betrieb geht weiter. Unbequem, nicht existenzgefährdend. Hier ist die Konsolidierung bei einem Anbieter in der Regel rational — Skaleneffekte überwiegen das Risiko.
Dasselbe Unternehmen entscheidet, dass interne Kommunikation, Wissensbasis und Entscheidungsunterstützung vollständig über einen einzigen KI-Anbieter mit geschlossenem Modell laufen — Prompts, Embeddings, Vektordatenbanken, alles innerhalb eines proprietären Ökosystems. Das ist eine Abhängigkeit auf der Interpretationsschicht. Verliert das Unternehmen den Anbieter, hält es physisch seine Daten, aber ohne das Werkzeug, das sie lesen kann, sind die Daten praktisch unbrauchbar. Eine Konsolidierung ist hier strategisch gefährlich, auch wenn sie kurzfristig günstiger ist.
Schließlich: Das Unternehmen speichert sein produktives Data Warehouse bei einem einzigen Anbieter, der sich das Recht vorbehält, Vertragsbedingungen einseitig zu ändern, und dessen Exportschnittstelle proprietär und gebührenpflichtig ist. Das ist eine Abhängigkeit auf der Bit-Schicht. Es gibt kein rationales Argument für eine Konsolidierung hier ohne verhandelte Austrittsoptionen, unabhängig davon, wie bequem oder günstig die aktuelle Vereinbarung aussieht. Wer seine Daten nicht innerhalb von Tagen in einem Standardformat herausbekommt, ist nicht der Eigentümer der Daten. Er ist Mieter.
Regel: Je tiefer im Stack eine Abhängigkeit liegt, desto teurer wird ihre Materialisierung in einer Krise, und desto höher ist die Prämie, die es rational ist, für die Wahrung der Ausstiegsoption zu zahlen.
Minimum Viable Sovereignty
Dieses Drei-Schichten-Modell ist die Grundlage von Minimum Viable Sovereignty (MVS) — einem Konzept, das der Forrester-Analyst Dario Maisto , Minimum Viable Sovereignty: A Smarter Path For Tech Leaders , Forrester Research, 2025-09-29 · link · archived geprägt hat. MVS ist kein binärer Zustand; es ist ein Spektrum, auf dem jede Organisation ihre Tiefe gemäß ihrem eigenen Risikoprofil wählt.
MVS akzeptiert, dass vollständige Souveränität über alle drei Schichten für die meisten Organisationen unerreichbar und weitgehend unerwünscht ist. Was sie verlangt, ist ein Mindestsatz vertraglicher, architektonischer und betrieblicher Maßnahmen, der es der Organisation erlaubt, Anbieter in einem Horizont von Monaten — nicht Jahren — zu wechseln: ohne Datenverlust, ohne Verlust der Interpretationsfähigkeit und ohne rechtliche oder kommerzielle Falle, die den Wechsel verhindern würde.
Die DORA-Einstufungen vom November 2025 , Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex, 2022-12-14 · link · archived — die neunzehn IKT-Anbieter, darunter AWS, Azure und Google Cloud, als kritische Drittanbieter unter direkte EU-Aufsicht stellen — operationalisieren genau diese Sichtweise. Der Aufsichtsrahmen verlangt nicht, dass europäische Finanzinstitute diese Anbieter aufgeben. Er verlangt, dass sie eine nachgewiesene und getestete Fähigkeit besitzen, zu ihnen zu wechseln.
Der Rest dieser Website entwickelt MVS zu konkreten Entscheidungen: wie Abhängigkeiten kartiert werden (Abhängigkeiten), wo europäische Alternativen tatsächlich existieren (Alternativen), mit wem Partnerschaften zu schließen sind (Partnerschaften), was in Verträge aufzunehmen ist und in welcher Reihenfolge (Betrieb), und was regulatorische Durchsetzung leisten kann und was nicht (Durchsetzung).
Zitierte Quellen
- Dario Maisto, Minimum Viable Sovereignty: A Smarter Path For Tech Leaders , Forrester Research , 2025-09-29 . link · archived
- U.S. Congress, Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , Public Law 115-141, Consolidated Appropriations Act, 2018, Division V , 2018-03-23 . link · archived
- U.S. Office of the Director of National Intelligence, Section 702 of the Foreign Intelligence Surveillance Act (FISA) , 2008-07-10 . link · archived
- Court of Justice of the European Union (Grand Chamber), Judgment of the Court (Grand Chamber) of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (Case C-311/18) , 2020-07-16 . link · archived
- European Commission, Regulation (EU) 2023/2854 — Data Act, switching provisions in application , Directorate-General for Communications Networks, Content and Technology , 2025-09-12 . link · archived
- European Parliament and Council of the European Union, Regulation (EU) 2022/2554 — Digital Operational Resilience Act (DORA) , EUR-Lex , 2022-12-14 . link · archived
- The Register, Canadian data order risks blowing a hole in EU sovereignty , 2025-11-27 . link · archived