Digitale Souveränität oder nur Souveränitätswashing?

Deutschland spricht seit Jahren von digitaler Souveränität. Behörden, Ministerien und Sicherheitsbehörden erklären regelmäßig, wie wichtig Unabhängigkeit von internationalen Technologiekonzernen geworden sei. Gleichzeitig erleben wir jedoch, dass dieselben Institutionen weiterhin auf Infrastrukturen und Dienste setzen, die tief in den Händen amerikanischer Hyperscaler wie Amazon, Google oder Microsoft liegen.

Die aktuelle Diskussion rund um die neuen C3A-Kriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt exemplarisch, wie weit Anspruch und Realität inzwischen auseinanderliegen.

34.900 digitale Endgeräte für Lehrkräfte. Knapp 35.000 Notebooks und Tablets, angeschafft mit Steuergeldern, verteilt an Schulen in Schleswig-Holstein. Die Rechnung ist einfach: Jedes Gerät kostet im Schnitt zwischen 500 und 800 Euro. Das macht insgesamt mindestens 17,5 bis 28 Millionen Euro – eine Investition, die Lehrkräften die digitale Arbeit ermöglichen soll.

Doch die Realität, die eine kleine Anfrage der SPD-Fraktion offenlegte, ist ernüchternd: Von diesen knapp 35.000 Geräten wurden nur 31.120 jemals eingeschaltet. 3.780 Geräte warten noch immer auf ihren ersten Einsatz – doppelt so viele, wie als Reserve vorgesehen sind. Doch das ist noch nicht alles: Im gesamten Jahr 2025 wurden lediglich 24.021 Geräte überhaupt benutzt.

Es ist einer dieser Momente, in denen man als Datenschutzaktivist nicht weiß, ob man lachen oder weinen soll. Die Stadt Hannover hat 60.000 bis 75.000 Microsoft-365-Lizenzen im Wert von 324.000 bis 342.000 Euro für Schulen gekauft – und kann sie nicht nutzen. Warum? Weil die Datenschutzvereinbarung nicht den städtischen Vorgaben entspricht. Die Lizenzen sind unbrauchbar. Das Geld ist – möglicherweise – verloren. Die Schüler stehen ohne funktionierende Lösung da.

Heise online berichtet, dass der Fehler kurz vor Ostern bekannt wurde. Die Stadt musste die Nutzung von Word, PowerPoint und Co. an Schulen sofort stoppen. Wie es zu diesem „Vertragsfehler" kommen konnte, wird derzeit geprüft. Ob das investierte Geld verloren ist, ist noch unklar.

Die Europäische Kommission führt derzeit eine Evaluation der Hinweisgeberschutz-Richtlinie durch. Bis zum 17. Dezember 2025 muss die Kommission dem Parlament und dem Rat einen Bericht vorlegen, der die Auswirkungen der von den Mitgliedstaaten zur Umsetzung ergriffenen Maßnahmen bewertet. Diese Evaluation ist kein bürokratischer Formalismus. Sie ist eine historische Chance – und gleichzeitig ein dringend notwendiger Realitätscheck.

Denn während auf dem Papier ein europäischer Schutzrahmen für Whistleblower existiert, sieht die Realität in den Mitgliedstaaten oft ganz anders aus. Repressalien, Karrierevernichtung, soziale Isolation – wer in Europa Missstände meldet, riskiert nach wie vor alles. Die Frage ist: Will die EU das wirklich wissen? Oder soll die Evaluation zur Schönfärbungs-Veranstaltung verkommen?

“Most of us would have blamed the network, rebooted something, and moved on with our day. He didn’t.”

Am 29. März 2024 veröffentlichte Andres Freund, ein Microsoft-Entwickler und PostgreSQL-Contributor, eine E-Mail auf der Openwall-Mailingliste, die die Open-Source-Community in Aufruhr versetzte. Der Betreff: “backdoor in upstream xz/liblzma leading to ssh server compromise”. Was als routinemäßige Performancemessung begann, endete mit der Entdeckung einer der raffiniertesten Backdoors, die jemals in Open-Source-Software eingeschleust wurden.

Die Schwachstelle CVE-2024-3094 erhielt den maximalen CVSS-Score von 10.0 – kritisch im wahrsten Sinne des Wortes. Denn wäre sie nicht entdeckt worden, hätte ein unbekannter Angreifer potenziell Zugriff auf Millionen von Servern weltweit gehabt. Ein Video auf YouTube erklärt die technischen Details anschaulich – doch die eigentliche Geschichte ist weitaus erschreckender.

“Wir kannten Teheran, als wäre es Jerusalem.” Mit diesen Worten beschrieb ein israelischer Geheimdienstoffizier gegenüber der Financial Times, wie Israel jahrelang das Leben in der iranischen Hauptstadt überwachte. Nicht durch Agenten auf der Straße. Nicht durch menschliche Quellen. Sondern durch Verkehrskameras.

Am 28. Februar 2026 wurde der iranische Oberste Führer Ali Khamenei bei einem gezielten Luftangriff getötet. Dieser Schlag war das Ergebnis einer jahrelangen digitalen Infiltration – einer Infiltration, die zeigt, wie verwundbar moderne Staaten geworden sind. Und die Europa eine dringliche Frage stellen sollte: Sind wir die Nächsten?

Es ist ausdrücklich zu begrüßen, dass große europäische Leitmedien sich der Thematik rund um Microsoft 365, Cloud-Infrastrukturen und digitale Souveränität widmen. Eine faktenbasierte Auseinandersetzung ist überfällig. Allerdings greift es zu kurz, aktuelle Risiken primär oder gar ausschließlich mit einem neu gewählten US-Präsidenten zu verknüpfen. Die strukturellen Probleme bestehen seit Jahrzehnten – unabhängig von parteipolitischen Konstellationen.

Eine nüchterne chronologische Betrachtung zeigt dies deutlich. Das kürzlich auf YouTube veröffentlichte Video zu Microsoft 365 und digitaler Souveränität verdeutlicht diese Zusammenhänge anschaulich. Doch um die Tragweite zu verstehen, müssen wir vier Jahrzehnte zurückblicken.

Der Moment der Wahrheit

Europa kann oder möchte den Stecker zu den USA nicht ziehen. So lautet das ernüchternde Fazit einer aktuellen Umfrage unter den 27 EU-Regierungen. Finnland hat kürzlich das Szenario eines amerikanischen “Kill Switches” simuliert – die gezielte Abschaltung kritischer Dienste durch US-Behörden. Das Ergebnis: Die Auswirkungen wären “weitreichend”. Lettland und Litauen gestehen offen ein, ohne Microsoft, Amazon und Google kaum funktionieren zu können.

Das ist kein Unfall. Das ist kein Naturereignis. Das ist das Ergebnis von jahrzehntelangem politischem Versagen. Schlimmer noch: Es ist das Ergebnis bewusster politischer Entscheidungen, die Europa systematisch in diese Abhängigkeit getrieben haben.

Der perfekte Zeitpunkt für einen politischen Angriff

Es gibt Zufälle, die keine sind. Nordrhein-Westfalens Ministerpräsident Hendrik Wüst treibt seit Monaten eine enge Zusammenarbeit mit Microsoft im Bildungsbereich voran. Milliarden fließen an den US-Konzern, Tausende Lehrkräfte sollen mit Microsoft-Produkten geschult werden, Schulkinder werden systematisch an eine Plattform gewöhnt, die nach Einschätzung von Datenschutzbehörden gegen geltendes Recht verstößt. Die unabhängige Landesdatenschutzbeauftragte Bettina Gayk kritisiert diese Entwicklung scharf – und wird prompt zur Zielscheibe.

Eine weit verbreitete Falschbehauptung

In Diskussionen über Datenschutz fällt immer wieder ein Satz, der so selbstsicher wie falsch ist: “Datenschutz ist doch gar kein Grundrecht!” Diese Behauptung wird in Kommentarspalten, Podiumsdiskussionen und sogar in juristischen Debatten vorgebracht – meist von Menschen, die entweder die rechtlichen Grundlagen nicht kennen oder bewusst verschleiern wollen, welchen verfassungsrechtlichen Rang der Schutz personenbezogener Daten tatsächlich hat.

Die Wahrheit ist eine andere: Datenschutz ist sehr wohl ein Grundrecht. Und zwar auf mehreren Ebenen gleichzeitig. Diese Tatsache ist nicht nur juristisch eindeutig belegt, sondern bildet das Fundament unserer gesamten Datenschutzgesetzgebung. Wer das bestreitet, stellt sich gegen vier Jahrzehnte Rechtsprechung, gegen europäisches Verfassungsrecht und gegen die ausdrücklichen Feststellungen höchster Gerichte.