Was ist digitale Souveränität, und warum hängt Ihr Tech-Stack davon ab?

Im Mai 2025 wurde das Microsoft-Outlook-Konto des Chefanklägers des Internationalen Strafgerichtshofs über Nacht gesperrt. Nicht wegen eines Abrechnungsproblems. Sondern weil die US-Regierung Sanktionen gegen ihn verhängt hatte.

Innerhalb weniger Tage verloren IStGH-Richter in ganz Europa den Zugang zu ihren E-Mails, Kalendern und Cloud-Dateien. Ein französischer Richter wurde von Amazon, PayPal, Airbnb und Expedia ausgesperrt. Seine Hotelreservierung im eigenen Land wurde storniert. Seine gekauften Kindle-Bücher verschwanden. Er beschrieb die Erfahrung als „eine Versetzung zurück in die 1990er Jahre“.

Der IStGH hat seinen Sitz in Den Haag. Seine Mitarbeiter sind Europäer. Seine Server standen in Europa. Nichts davon spielte eine Rolle. Die Software war amerikanisch, und das genügte.

Bis Oktober 2025 kündigte das Gericht an, Microsoft 365 auf allen 1.800 Arbeitsplätzen durch openDesk zu ersetzen, eine europäische Open-Source-Suite. Die Erklärung des IStGH war unmissverständlich: „Wir müssen Abhängigkeiten reduzieren und die technologische Autonomie des Gerichts stärken, auch wenn dies kurzfristig teuer, ineffizient und unbequem ist.“

Das ist keine abstrakte politische Debatte. So sieht digitale Souveränität aus, wenn man sie nicht hat.

Eine Definition, kein Schlagwort

Digitale Souveränität ist in Brüssel zu einem Modewort geworden. Doch wenn man die Politik beiseitelässt, ist das Konzept klar.

Digitale Souveränität ist die Fähigkeit, eigenständige Entscheidungen über die eigene digitale Infrastruktur zu treffen. Wo Ihre Daten liegen. Wer darauf zugreifen kann. Was passiert, wenn eine ausländische Regierung ihre Meinung ändert.

Die Gemeinsame Forschungsstelle der Europäischen Kommission hat es in einem Strategiepapier vom Dezember 2025 klar definiert: „die Fähigkeit der EU, strategische Unabhängigkeit im digitalen Bereich auszuüben.“ Dasselbe Dokument ergänzt, dass dies „nicht mit Isolation oder Protektionismus gleichzusetzen ist“.

Diese Unterscheidung ist wichtig. Souveränität bedeutet nicht, AWS zu verbieten oder Salesforce zu boykottieren. Es geht darum, Alternativen zu haben. Es geht darum, nicht eine einzige Regierungsentscheidung vom Verlust der eigenen E-Mail entfernt zu sein.

Der ehemalige EU-Kommissar Thierry Breton formulierte es schlicht: „Dies ist kein protektionistisches Konzept. Es geht schlicht darum, europäische technologische Alternativen in lebenswichtigen Bereichen zu haben, in denen wir derzeit abhängig sind.“

Drei Säulen: Daten, Infrastruktur, Software

Fachleute und Branche unterteilen digitale Souveränität typischerweise in drei Ebenen. Deren Verständnis hilft CTOs, ihre tatsächlichen Schwachstellen zu erkennen.

Datensouveränität betrifft die Kontrolle. Wo befinden sich Ihre Daten physisch? Unter wessen Rechtshoheit? Wer kann den Zugriff erzwingen? Die zentrale Spannung besteht zwischen der europäischen DSGVO, die Datenübertragungen einschränkt und den Zugriff ausländischer Regierungen ohne entsprechende Abkommen verbietet, und dem US CLOUD Act, der es amerikanischen Behörden erlaubt, Daten von US-Unternehmen einzufordern, unabhängig davon, wo sich die Server befinden. Diese beiden Gesetze widersprechen einander direkt. Wenn Sie AWS, Azure oder Google Cloud nutzen, befinden sich Ihre Daten in dieser rechtlichen Grauzone.

Infrastruktursouveränität betrifft die Frage, wer die Server, Netzwerke und Rechenzentren betreibt, auf denen Ihr Unternehmen läuft. Heute kontrollieren AWS, Microsoft Azure und Google Cloud rund 70 % des europäischen Cloud-Marktes (Synergy Research Group, 2025). Europäische Anbieter halten etwa 15 %, gegenüber 29 % im Jahr 2017. Der Trend geht in die falsche Richtung.

Softwaresouveränität betrifft die Frage, wer den Code kontrolliert. Proprietäre Software erzeugt Abhängigkeit. Als Broadcom VMware übernahm und die Preise über Nacht um 800 bis 1.500 % anhob, stellten Tausende europäischer Organisationen (Krankenhäuser, Universitäten, Kommunalbehörden) fest, dass sie weder Verhandlungsmacht noch einsatzbereite Alternativen hatten. Open-Source-Software hingegen kann auditiert, geforkt und selbst gehostet werden. Deshalb konnte der IStGH innerhalb von Monaten statt Jahren von Microsoft wegmigrieren.

Der Rechtsrahmen: fünf Gesetze, die Sie kennen müssen

Europa hat den umfassendsten digitalen Regulierungsrahmen der Welt geschaffen. Wenn Sie als CTO oder Gründer Ihren Tech-Stack wählen, sind hier die Gesetze, die Ihre Entscheidungen tatsächlich beeinflussen.

Die DSGVO bleibt das Fundament. Nach sieben Jahren hat sie kumulierte Bußgelder von über 7 Milliarden Euro hervorgebracht (DLA Piper, Januar 2026). Die praktische Konsequenz für Stack-Entscheidungen: Artikel 44-49 regeln internationale Datenübertragungen. Wenn Sie Daten an US-Anbieter senden, stützen Sie sich auf das EU-US Data Privacy Framework, den dritten Versuch eines transatlantischen Datenabkommens, nachdem Safe Harbor und Privacy Shield beide vom EuGH für ungültig erklärt wurden. Das DPF wird derzeit angefochten. Planen Sie entsprechend.

Der US CLOUD Act (2018) ist der strukturelle Gegenspieler der DSGVO. Er ermächtigt US-Strafverfolgungsbehörden, jedes US-Technologieunternehmen zur Herausgabe von Daten in seinem Besitz zu zwingen, selbst wenn diese auf einem Server in Frankfurt oder Dublin liegen. Das Unternehmen kann eine Stillschweigeanordnung erhalten, die es daran hindert, Sie zu informieren. In einer Anhörung des französischen Senats räumte der Präsident von Microsoft France ein, dass das Unternehmen nicht garantieren könne, dass EU-Kundendaten niemals unter dem CLOUD Act abgerufen würden. Der EDPB (Europäischer Datenschutzausschuss) kam zu dem Schluss, dass die einzige zuverlässige technische Gegenmaßnahme eine kundenseitig kontrollierte Verschlüsselung ist, bei der die Schlüssel die EU niemals verlassen.

Der EU AI Act trat im August 2024 in Kraft und wird schrittweise umgesetzt. Verbotene KI-Praktiken (Social Scoring, Emotionserkennung am Arbeitsplatz) sind bereits untersagt. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck gelten seit August 2025. Die meisten Pflichten für Hochrisiko-KI greifen bis August 2026. Bußgelder betragen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Für CTOs, die KI einsetzen: Wo Ihr Modell läuft und wer die Infrastruktur kontrolliert, ist für die Compliance entscheidend.

Der Data Act ist seit September 2025 anwendbar und adressiert direkt den Vendor Lock-in. Cloud-Anbieter müssen nun alle Wechselbarrieren beseitigen. Die Migration muss innerhalb von 30 Tagen abgeschlossen werden. Bis Januar 2027 entfallen Wechselgebühren vollständig. Kapitel VII schützt ausdrücklich in der EU gespeicherte Daten vor unrechtmäßigem Zugriff ausländischer Regierungen, eine direkte Antwort auf die Übergriffe des CLOUD Act.

NIS2 bildet die Cybersicherheitsebene. Sie umfasst 18 kritische Sektoren, schreibt eine Pflichtmeldung von Vorfällen vor (Frühwarnung innerhalb von 24 Stunden) und führt eine persönliche Haftung der Geschäftsleitung für Cybersicherheit ein. Entscheidend für Tech-Stack-Entscheidungen: NIS2 verlangt Sicherheitsbewertungen der Lieferkette, was bedeutet, dass Sie prüfen müssen, ob die Exposition Ihres US-Cloud-Anbieters gegenüber dem CLOUD Act ein Risiko darstellt. Etwa 16 Mitgliedstaaten haben sie bisher umgesetzt. Die deutsche Umsetzung trat im Dezember 2025 in Kraft.

Diese Gesetze wirken nicht isoliert. Sie greifen ineinander. Die DSGVO legt den Datenschutzboden. Der Data Act ermöglicht den Wechsel weg von nicht konformen Anbietern. NIS2 zwingt Sie, Lieferkettenrisiken zu bewerten. Der AI Act reguliert, was Sie wo entwickeln dürfen. Zusammen schaffen sie ein regulatorisches Umfeld, in dem digitale Souveränität nicht mehr nur eine gute Idee ist. Sie wird zunehmend zur Compliance-Anforderung.

Was das in der Praxis bedeutet

Falls der Rechtsrahmen abstrakt klingt: Hier sind konkrete Szenarien, die europäische Unternehmen bereits erlebt haben.

Preisschocks über Nacht. Als Broadcom VMware übernahm, beendete es unbefristete Lizenzen, bündelte über 160 Produkte in 4 Pakete und stellte auf verpflichtende 3-Jahres-Abonnements um. Tesco, die größte Supermarktkette Großbritanniens, klagte auf 100 Millionen Pfund, nachdem Broadcom bestehende Verträge nicht anerkannte. VMware betreibt 40.000 Server-Workloads für Tesco, einschließlich Kassensysteme und Lieferkettenlogistik. Tesco warnte, der Streit könne die Lebensmittelversorgung in Großbritannien und Irland gefährden.

Souveränität verloren durch Übernahme. Im November 2025 übernahm das US-Unternehmen Kyndryl Solvinity, einen niederländischen Cloud-Anbieter, der gezielt von niederländischen Regierungskunden (der Gemeinde Amsterdam, dem Justizministerium) gewählt worden war, weil er in niederländischem Besitz war und nicht dem CLOUD Act unterlag. Amsterdam wurde einen Tag vor der Bekanntgabe informiert. Das niederländische Parlament stimmte für eine Blockierung des Deals. Jahre bewusster Souveränitätsplanung, zunichtegemacht durch eine einzige Übernahme.

Geopolitische Vergeltung. Im Dezember 2025 drohte der US-Handelsbeauftragte Jamieson Greer den europäischen Unternehmen SAP, Spotify und Mistral AI ausdrücklich mit Gebühren und Einschränkungen, sollte die EU bei der Technologieregulierung nicht nachgeben. Im selben Monat belegten die USA den ehemaligen Kommissar Breton und vier weitere Personen mit einem Einreiseverbot. Unabhängig davon, ob diese Drohungen eskalieren, zeigen sie, dass die US-Technologiepolitik zunehmend als Waffe eingesetzt wird, und europäische Unternehmen zwischen die Fronten geraten.

Die DPF-Zeitbombe. Das EU-US Data Privacy Framework, das die meisten Datentransfers zwischen EU und USA ermöglicht, überstand seine erste rechtliche Anfechtung im September 2025. Doch eine Berufung liegt nun beim EuGH. Gleichzeitig entließ Trump im Januar 2025 Mitglieder des PCLOB-Aufsichtsgremiums (ein Eckpfeiler des Angemessenheitsbeschlusses) und ließ es ohne Beschlussfähigkeit zurück. Beide Vorgängerabkommen wurden für ungültig erklärt. Fällt das DPF, steht jedes europäische Unternehmen, das Daten an US-Dienste überträgt, vor einer unmittelbaren Compliance-Lücke.

Das Ökosystem ist größer als gedacht

Hier die gute Nachricht: Europas Tech-Ökosystem ist erheblich gereift, und europäische Alternativen existieren in jeder wichtigen Softwarekategorie.

Bei der Cloud-Infrastruktur bieten Anbieter wie OVHcloud, Hetzner und Scaleway Rechenleistung, Speicher und Netzwerk vollständig unter EU-Rechtsprechung, eine echte Option für Teams, die von AWS wegmigrieren möchten. Im CRM-Bereich ist Odoo (Belgien) ein Open-Source-ERP mit über 12 Millionen Nutzern. Im KI-Bereich bietet Mistral AI (Frankreich) offene Sprachmodelle mit einem Souveränitäts-First-Ansatz. Bei der Teamkommunikation basiert Element auf dem Matrix-Protokoll, demselben, das die französische und deutsche Armee verwenden.

Europa hat über 58.000 Tech-Startups, 601 Unicorns und ein Venture-Ökosystem, das 2024 rund 62 Milliarden Euro investiert hat. Der KI-Markt des Kontinents allein soll 2025 voraussichtlich 58 Milliarden Dollar erreichen. Nichts davon bedeutet, dass Europa den Rückstand zu den USA aufgeholt hat. Das hat es nicht. Doch die Vorstellung, es gebe nichts, womit man arbeiten kann, ist schlicht überholt.

Eine Proton-Umfrage von 2025 ergab, dass 73 % der Europäer ihre Gesellschaften für zu abhängig von US-Technologie halten. Über die Hälfte derjenigen, die Nachrichten verfolgen, würden europäische Alternativen bevorzugen. Die Nachfrage ist da. Das Angebot holt auf.

Souveränität ist ein Spektrum, kein Schalter

Kein Unternehmen wird seinen gesamten Tech-Stack über Nacht ersetzen. Und das sollte auch niemand. Digitale Souveränität ist nicht binär. Sie ist eine Risikomanagement-Strategie.

Der pragmatische Ansatz für die meisten CTOs: Klassifizieren Sie Ihre Workloads nach Sensibilität. Behalten Sie Ihre kritischsten, regulierten und sensibelsten Daten auf EU-kontrollierter Infrastruktur. Nutzen Sie kundenseitig kontrollierte Verschlüsselung, wo immer möglich. Bewerten Sie europäische Alternativen Kategorie für Kategorie. Erstellen Sie Exit-Strategien für jeden wichtigen Anbieter. Der Data Act gibt Ihnen jetzt das gesetzliche Recht zum Wechsel.

Der Deutsch-Französische Gipfel zur Digitalen Souveränität im November 2025 brachte über 900 Entscheidungsträger zusammen und sicherte 12 Milliarden Euro an freiwilligen Unternehmenszusagen. Die EU hat Milliarden über den Chips Act, IPCEI-Cloud-Projekte und das Digital Europe Programme mobilisiert. Die Richtung ist klar.

Wie die Erfahrung des IStGH gezeigt hat: Digitale Souveränität ist nicht etwas, woran man denkt, nachdem die E-Mail nicht mehr funktioniert. Es ist etwas, das man plant, solange sie noch funktioniert.