Digitale Souveränität. Der Begriff wird in europäischen Hauptstädten beschworen wie ein Mantra. Politiker fordern sie, Strategiepapiere preisen sie, EU-Kommissare versprechen sie. Es klingt gut. Es klingt nach Selbstbestimmung, nach Unabhängigkeit, nach Stärke.

Es ist eine Lüge.

Nicht in böser Absicht vielleicht. Aber eine Lüge bleibt eine Lüge, auch wenn man sie sich selbst erzählt. Europa hat keine digitale Souveränität. Es hatte sie nie. Und solange die grundlegenden Strukturen bleiben, wird es sie auch in absehbarer Zeit nicht haben.

Die Wahrheit ist unbequem, aber sie muss ausgesprochen werden: Echte digitale Souveränität erfordert Plattformen, die technologisch, rechtlich und organisatorisch an europäische Anforderungen angepasst sind. Davon ist Europa Lichtjahre entfernt.

Die strukturelle Abhängigkeit: Tiefer als gedacht

Fangen wir bei den Fakten an. Über 65–70 % des europäischen Cloud-Marktes werden von Amazon Web Services (AWS), Microsoft Azure und Google Cloud kontrolliert. Das ist keine Nische. Das ist die Basis.

Europäische Behörden speichern ihre Daten in AWS. Deutsche Unternehmen verwalten ihre Kundendaten in Azure. Französische Schulen nutzen Google Workspace. Die digitale Infrastruktur Europas läuft auf amerikanischen Servern, mit amerikanischer Software, unter amerikanischem Recht.

Aber es geht noch tiefer. Selbst wenn europäische Cloud-Anbieter existieren – und sie tun das, in homöopathischen Dosen –, basieren viele von ihnen auf amerikanischen Hypervisoren, amerikanischen Firmware-Stacks, amerikanischen Management-Systemen. Gerade in Cloud-Umgebungen verstärkt sich das Problem.

Kritische Entwicklerplattformen: GitHub, Docker Hub, npm, PyPI – alles unter US-Jurisdiktion. Die Tools, mit denen europäische Programmierer arbeiten, die Bibliotheken, die sie nutzen, die Container-Images, die sie deployen: amerikanisch.

Betriebssysteme? Windows, macOS, iOS, Android – alle vier unter US-Recht. Linux? Open Source, ja. Aber wer kontrolliert die Kernel-Entwicklung? Die großen Beiträge kommen von Intel, Red Hat (gekauft von IBM), Google. Amerikanische Unternehmen.

Halbleiter? TSMC ist taiwanesisch, ja. Aber ohne amerikanische Lithografie-Maschinen von ASML (niederländisch, aber mit US-Technologie) und amerikanische Chip-Designs läuft gar nichts.

Das ist keine Abhängigkeit. Das ist totale Durchdringung.

Der CLOUD Act: Wenn Rechenzentren Standorte keine Rolle spielen

Nehmen wir an – rein hypothetisch –, Europa würde eigene Rechenzentren bauen. Deutsche Daten werden in Frankfurt gespeichert. Französische in Paris. Das sollte doch helfen, oder?

Nein. Denn es gibt den CLOUD Act.

Der CLOUD Act erlaubt US-Behörden, amerikanische Firmen zur Herausgabe von Daten zu verpflichten – auch wenn die Daten außerhalb der USA gespeichert sind, etwa in EU-Rechenzentren.

Lies das noch einmal. Der physische Speicherort ist irrelevant. Solange das Unternehmen, das die Daten verwaltet, US-Recht unterliegt, können US-Behörden zugreifen. Daten physisch in Europa zu speichern, garantiert keine Souveränität, wenn dein Provider letztlich Washington und der US-Regierung verpflichtet ist – und nicht Brüssel.

Noch perfider: In vielen Fällen dürfen die betroffenen europäischen Unternehmen nicht einmal über diesen Zugriff informiert werden (“Gag Orders”). Die Daten sind weg, und niemand darf es dir sagen.

Die Schweiz hat das Problem erkannt und Konsequenzen gezogen. Die Schweizer Position lässt sich in einem Satz zusammenfassen: „Was ich nicht kontrollieren kann, gebe ich nicht aus der Hand."

Deutschland? Bayern will fast eine Milliarde an Microsoft zahlen. Ohne DSGVO-konforme Lösung. Ohne Exit-Strategie. Ohne Plan B.

Edward Snowden: Als die Wahrheit noch schockierte

Es gab einmal eine Zeit, da schockierte die Erkenntnis, dass die Vereinigten Staaten seit spätestens 2007 in großem Umfang die Telekommunikation und insbesondere das Internet global und verdachtsunabhängig überwachen.

Edward Snowden enthüllte 2013 das Ausmaß dieser Überwachung. PRISM. Tempora. XKeyscore. Boundless Informant. Programme, deren Namen klingen wie aus einem Spionage-Thriller – aber es war Realität.

Bereits 2012 analysierte die NSA täglich rund 20 Millionen Telefon- und 10 Millionen Internetdatensätze allein in Deutschland. Deutschland, der enge Verbündete. Deutschland, Mitglied der NATO. Deutschland, Partner seit Jahrzehnten.

Und es war nicht nur Deutschland. EU-Institutionen in Washington, New York und Brüssel waren mit Abhörgeräten ausgestattet. Die Europäische Kommission. Das Europäische Parlament. Die NATO.

Deutschland wurde intern als „Partner dritter Klasse" geführt – ein Verbündeter, dessen Kommunikation bei Bedarf umfassend ausgespäht werden darf.

Snowden warnte nicht vor abstrakten Gefahren. Er zeigte konkret: Agenten – sowohl befreundete als auch befeindete – suchen Brocken nützlicher (oder auch nur eingebildeter) Information in den immer perfekteren Aufzeichnungen über unsere Privatleben.

Seine Botschaft war klar: Staaten, die ihre digitale Infrastruktur fremden Mächten überlassen, geben damit auch politische und wirtschaftliche Kontrolle aus der Hand. Hintertüren in Hard- und Software sind kein Ausnahmefall, sondern strategisches Mittel.

Die politische Reaktion: Von Empörung zu Business as usual

Die Reaktion war vorhersehbar. Zunächst Empörung. Angela Merkel: “Abhören unter Freunden – das geht gar nicht.” Schöne Worte.

Dann: Nichts.

Echte Korrekturen durch die Regierungen dieser Länder hat es seither allerdings nicht gegeben. Eher kosmetischer Natur bleiben die Anpassungen der Regeln für Überwachungstätigkeit der Nachrichtendienste wie NSA und BND.

Die DSGVO kam. Ein großer Wurf, sagten manche. Endlich Datenschutz mit Zähnen. Bußgelder bis 20 Millionen Euro oder 4% des Jahresumsatzes.

Aber: Die Europäische Datenschutzreform wird weder das massenhafte Abfischen von Daten an den Überseekabeln des GCHQ in Großbritannien unterbinden (Tempora), noch die Datensammlung der NSA in Zusammenarbeit mit dem BND in Bad Aibling (Operation Eikonal).

Die DSGVO regelt, wie Unternehmen mit Daten umgehen müssen. Sie regelt nicht, was Geheimdienste dürfen. Sie schützt nicht vor dem CLOUD Act. Sie verhindert nicht, dass US-Behörden auf europäische Daten zugreifen können.

Die Datenschutzgrundverordnung ist eine Laterne, die überall aber eben nicht an dem Ort scheint, wo Snowden seine Brille verloren hat.

Die Scheinlösungen: Wenn Marketing sich als Souveränität tarnt

Die Antwort der Industrie? “Sovereignty Clouds”. Microsoft bietet Sovereignty Cloud an. Mit “EU-Cleared Operators” und “regionaler Datenhaltung”.

Das klingt gut. Es klingt nach Lösung.

Es ist keine.

Wenn ein US-Unternehmen verpflichtet wird, Daten herauszugeben, steht kein Vertrag darüber. Der CLOUD Act bricht jeden Vertrag. Jede Zusicherung. Jede technische Maßnahme.

Der CLOUD Act ermöglicht es amerikanischen Behörden, Daten von US-Unternehmen anzufordern, unabhängig vom Speicherort der Daten. Punkt.

GAIA-X sollte die europäische Antwort sein. Eine föderi

erte Dateninfrastruktur. Made in Europe. Digitale Souveränität durch Design.

Dann traten Google und Microsoft bei. Und plötzlich war GAIA-X keine europäische Alternative mehr, sondern ein Ökosystem, in dem amerikanische Hyperscaler mitspielen.

Das ist wie ein Wettbewerb um Unabhängigkeit, bei dem die Gegenseite in der Jury sitzt.

Die juristische Zwickmühle: DSGVO vs. CLOUD Act

Die DSGVO erlaubt Datenübermittlungen in Drittländer nur auf klarer rechtlicher Grundlage. Üblicherweise sind das bilaterale Rechtshilfeabkommen (MLATs).

Der CLOUD Act umgeht diese jedoch, was Unternehmen in ein Dilemma bringt: Erfüllen sie US-Vorladungen, verstoßen sie womöglich gegen die DSGVO. Verweigern sie, drohen rechtliche Konsequenzen in den USA.

Das ist die Realität für jedes europäische Unternehmen, das US-Cloud-Dienste nutzt. Man kann entweder europäisches Recht brechen oder amerikanisches. Tertium non datur.

Das EU-US Data Privacy Framework sollte das lösen. Eine Executive Order von Joe Biden. Mehr Transparenz, mehr Schutz.

Aber: Dieses Abkommen beruht allein auf einer Executive Order – also auf politischem Willen, nicht auf festem Recht. Die nächste Regierung kann es mit einem Federstrich aufheben.

Und sie hat es getan. Präsident Trump entließ am 3. Februar 2025 gleich drei demokratische Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB). Das Board, das das Framework überwachen sollte.

Digitale Souveränität auf Basis einer Executive Order ist wie ein Haus auf Treibsand.

Die geopolitische Dimension: Wenn Abhängigkeit zur Waffe wird

Europäische Bürgerinnen und Bürger befinden sich damit de facto unter amerikanischer Rechtsaufsicht.

Das ist keine Übertreibung. Es ist die logische Konsequenz der technologischen Abhängigkeit.

Was passiert, wenn die geopolitischen Spannungen zunehmen? Wenn Europa und die USA in einem wichtigen Punkt uneinig sind? Wenn Washington Druck aufbauen will?

Die Antwort liegt auf der Hand: Die digitale Infrastruktur wird zum Druckmittel.

Denn digitale Souveränität ist keine technische Nebensache, sondern eine demokratische Notwendigkeit. Wer über unsere Daten, unsere Kommunikation und unsere Infrastrukturen verfügt, verfügt letztlich auch über unsere Freiheit.

Die Schweiz hat das verstanden. Staatliche Daten – insbesondere geheime oder besonders schützenswerte – bleiben im Land oder werden so verschlüsselt, dass niemand außer der Behörde selbst Zugriff hat.

Europa? Lagert Behördendaten bei AWS. Kommuniziert über Microsoft Teams. Speichert E-Mails in Gmail.

Was echte Souveränität bedeuten würde

Echte digitale Souveränität ist nicht kompliziert zu definieren. Sie bedeutet:

1. Eigene technologische Gestaltungsmacht

Das heißt: Eigene Entwicklung von Hardware, Software, Betriebssystemen. Nicht nur Nutzung, sondern Kontrolle über die gesamte Kette.

2. Eigene rechtliche Kontrolle

Das heißt: Daten unterliegen ausschließlich europäischem Recht. Kein fremder Staat kann Zugriff erzwingen.

3. Eigene infrastrukturelle Unabhängigkeit

Das heißt: Rechenzentren, Netzwerke, Kabel, DNS-Root Server, Glasfasern – alles unter europäischer Kontrolle.

4. Eigene Fähigkeit zur Reaktion

Das heißt: Wenn ein Anbieter ausfällt, die Preise verdoppelt oder den Zugang sperrt, gibt es Alternativen. Echte Alternativen, nicht nur Papierpläne.

Nichts davon ist derzeit gegeben.

Zwei Drittel der befragten Unternehmen nennen in der Studie die „Kontrolle über die Dateninfrastruktur" als wichtigstes Kriterium für digitale Souveränität. Aber Kontrolle hat Europa nicht.

Die Ausnahmen: Wo es funktioniert – und warum

Es gibt Lichtblicke. Schleswig-Holstein hat fast 80 Prozent der Microsoft-Lizenzen gekündigt. LibreOffice, Open-Xchange, Linux. Open Source. Europäische Lösungen.

Das funktioniert. Es spart Geld. Es schafft Unabhängigkeit.

Frankreich: Die Gendarmerie läuft seit 20 Jahren auf Open Source. 105.000 Mitarbeiter. 50 Millionen Euro gespart.

Diese Beispiele zeigen: Es geht. Technisch. Wirtschaftlich. Praktisch.

Warum macht es dann nicht jeder?

Weil es politischen Willen erfordert. Weil es Widerstand gibt. Weil es bequemer ist, bei Microsoft zu bleiben. Weil Lobbyisten gut bezahlt werden. Weil Politiker lieber auf “bewährte” Lösungen setzen, auch wenn diese Lösung heißt: Abhängigkeit.

Was jetzt passieren müsste

Die Schritte sind klar:

1. Ehrlichkeit

Aufhören, von digitaler Souveränität zu reden, solange sie nicht existiert. Nennen wir das Kind beim Namen: Europa ist digital abhängig. Total.

2. Strategie

Eine echte, verbindliche, mit Ressourcen unterlegte Strategie zum Aufbau eigener Infrastruktur. Nicht Papierpläne. Nicht Absichtserklärungen. Konkrete Investitionen.

3. Open Source fördern

Jeder Euro, der an Microsoft, Google, Amazon fließt, ist ein Euro, der fehlt für europäische Entwicklung. Public Money, Public Code muss Gesetz werden.

4. Regulierung mit Zähnen

Der CLOUD Act ist mit europäischem Recht unvereinbar. Punkt. Unternehmen, die dem CLOUD Act unterliegen, dürfen keine sensiblen europäischen Daten verarbeiten. Ende der Diskussion.

5. Eigene Champions aufbauen

Nextcloud, Open-Xchange, LibreOffice – das sind Tropfen auf dem heißen Stein. Europa braucht eine koordinierte Anstrengung, eigene Alternativen aufzubauen. Mit Geld, Personal, politischem Rückhalt.

6. Transatlantische Illusionen begraben

Die Vorstellung, man könne mit den USA ein “Abkommen” schließen, das echten Schutz bietet, ist naiv. Solange US-Gesetze wie der CLOUD Act existieren, gibt es keine Sicherheit.

Fazit: Die unbequeme Wahrheit

Europa braucht dringend mehr digitale Souveränität. Das ist richtig. Aber der Satz ist unvollständig.

Vollständig lautet er: Europa hat keine digitale Souveränität, braucht sie dringend, und tut fast nichts, um sie zu erlangen.

Die politische Rhetorik ist Augenwischerei. Man redet von Souveränität, während man Milliarden an US-Konzerne überweist. Man fordert Unabhängigkeit, während man die eigene Infrastruktur in fremde Hände legt. Man beschwört Datenschutz, während man Daten in Rechtsräumen speichert, die dem CLOUD Act unterliegen.

Die Snowden-Enthüllungen haben deutlich gemacht: Globale Überwachung untergräbt Vertrauen, demokratische Kontrolle und internationale Rechtsstandards.

Aber offenbar haben wir nichts gelernt.

Solange europäische Verwaltungen Microsoft-Infrastrukturen nutzen, solange kritische Kommunikationssysteme über US-Clouds laufen, solange Sicherheitsupdates, Firmware und Schlüsselverwaltung außerhalb europäischer Kontrolle liegen, bleibt der Begriff “digitale Souveränität” eine politische Erzählung ohne operative Substanz.

Echte Souveränität bedeutet nicht diplomatische Abgrenzung oder symbolische Erklärungen. Sie bedeutet die praktische Fähigkeit, unabhängig entscheiden und handeln zu können.

Diese Fähigkeit hat Europa nicht.

Und solange es kein fundamentales Umdenken gibt, wird es sie auch nicht bekommen.

Es darf nicht länger sein, dass unsere digitale Zukunft in Washington entschieden wird. Europa muss den Mut finden, den Stecker selbst in der Hand zu behalten.

Aber Mut erfordert mehr als Reden. Er erfordert Taten.

Und davon sehe ich zu wenig.

Weiterführende Quellen:

• Wire: CLOUD Act vs. EU-Datenschutz
• Security Insider: US-Recht gefährdet Datensouveränität
• ÖkologiePolitik: Europa braucht mehr digitale Souveränität
• Markus Schall: Cloud Act und die Schweiz
• Digital Samba: Warum der CLOUD Act eine Bedrohung ist
• Mailbox.org: CLOUD Act und europäische Unternehmen
• Proact: Souveräne Cloud und Datensouveränität
• ÖkologiePolitik: Digitale Totalüberwachung – Was Snowden aufdeckte
• Heinrich-Böll-Stiftung: Drei Jahre nach Snowden

Die Wahrheit ist unbequem. Aber sie zu ignorieren macht sie nicht weniger wahr.

Siehe auch

• Wie Israel Teherans Überwachungskameras hackte – und warum Europa sich das nicht leisten kann
• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Digitale Geiselhaft: Wie die Politik Deutschland und Europa wissentlich in die Abhängigkeit trieb
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird