Cloud-Poker: Wer hat die Kontrolle über Europas Daten 

Gastbeitrag von Heiko Friedrich, CEO von GEMA International, ein auf weltweites Device-Management und End-User-Computing spezialisiertes Unternehmen.

Als der Staatsrechtler Jean Bodin im 16. Jahrhundert die Idee der „Souveränität“ als unveräußerliche Machtvollkommenheit eines Staates definierte, legte er den Grundstein für ein Prinzip, das bis heute Maßstab bleibt. Souveränität war nie bloßes Gedankenspiel, sondern stets Kern gesellschaftlicher und politischer Selbstbestimmung. Heute verlagert sich das Ringen um Souveränität zunehmend ins Digitale. Daten sind das neue Terrain, auf dem Selbstbestimmung und Unabhängigkeit ausgehandelt werden. Die Kontrolle über die eigenen Informationen ist längst kein Nice-to-have mehr, sondern eine wesentliche Voraussetzung für Handlungsfähigkeit und Resilienz. Die Herausforderung indes bleibt dieselbe wie zu Zeiten Bodins: Es geht darum, die eigenen Geschicke selbst in die Hand zu nehmen, nur dass heute Unternehmen und ihre digitalen Ökosysteme im Mittelpunkt stehen. 

Das Spiel mit den Daten: Wer diktiert die Regeln?

Flexibilität, Skalierbarkeit, Innovation – Cloud-Hosting verspricht viel. Die Nutzung US-amerikanischer Anbieter zur Datenspeicherung und für geschäftskritische Anwendungen eröffnet US-Behörden jedoch weitreichende Zugriffsmöglichkeiten: Seit 2018 können US-Tech-Anbieter auf Basis des US CLOUD Acts dazu verpflichtet werden, jegliche digitale Informationen – unabhängig davon, ob es sich um Geschäftsprozesse, Kommunikationsdienste oder Collaboration-Anwendungen handelt – weltweit herauszugeben. Es überrascht daher kaum, dass diese Regelung europäische Unternehmen und Organisationen vor erhebliche Herausforderungen stellt, wenn es um die Wahrung der digitalen Souveränität und die Einhaltung europäischer Datenschutzstandards geht.

Wer sich diesem Zugriff entziehen will, kommt um souveräne, unabhängige IT-Infrastrukturen nicht herum. Diese halten geschäftskritische Daten und Systeme in eigenen oder vertrauenswürdigen Strukturen und sichern so die Kontrolle und Hoheit über Daten und Betriebsabläufe. Der Verzicht auf eine solche Risikomanagementstrategie – sei es aus bewusster Entscheidung oder aus Unterschätzung der Lage – kann dazu führen, dass Unternehmen und öffentliche Organisationen nicht nur technische, sondern auch strategische und geschäftspolitische Handlungsoptionen einbüßen. Die Aufgabe digitaler Souveränität bedeutet, von den eigenen Regeln abzuweichen und sich den Spielräumen anderer zu unterwerfen – ein Schritt, der im historischen Verständnis von Souveränität stets mit dem Verlust von Gestaltungsmacht einherging.

Dass ein solches Szenario keineswegs bloße Theorie ist, zeigt der Fall des Internationalen Strafgerichtshofs: Als Chefankläger Karim Khan im Februar 2025 plötzlich den Zugriff auf seine E-Mails verlor, weil Microsoft auf politischen Druck aus dem Weißen Haus reagierte, wurde klar: Digitale Souveränität ist keine trendige Option, sondern zentrales Prinzip digitaler Selbstbestimmung und entscheidend für die eigene Handlungsfähigkeit. 

Leistungsstarke Technologie vs. digitale Unabhängigkeit: Ein strategisches Dilemma?

Allerdings ist die Lage komplex: US-Dienste und -Anwendungen sind bekanntlich technisch oft führend, Alternativen nicht immer verfügbar oder ausreichend ausgereift. Im Spannungsfeld zwischen der technologischen Überlegenheit US-amerikanischer Anbieter und dem strategischen Ziel digitaler Souveränität gibt es verschiedene Ansätze, diesem Dilemma zu begegnen. Die bewusste Entscheidung für souveräne europäische Lösungen stellt eine nachhaltige Antwort dar – ist aber weder die einzige Option noch aus technologischer Sicht zwingend die beste. Wer sich dennoch für US-Anbieter entscheidet, muss sich der Risiken für Datenkontrolle und die Unabhängigkeit von Geschäftsprozessen bewusst sein.

Die Debatte um Datensouveränität ist längst eine globale Herausforderung. Unternehmen, Behörden und internationale Organisationen weltweit erkennen, dass digitale Souveränität eine unverhandelbare Grundlage für Resilienz, Innovation und Wettbewerbsfähigkeit ist. Dennoch scheitert die Umsetzung oft an technischen, organisatorischen oder rechtlichen Hürden. Oder sie wird fälschlicherweise mit dem Verzicht auf moderne Technologien gleichgesetzt. Dabei geht es im Kern nicht um technologischen Rückschritt, sondern um die Wahrung der Kontrolle über die eigenen Daten, selbst dann, wenn leistungsfähige Cloud-Anwendungen genutzt werden.

Die Gretchenfrage der Cloud-Ära mag daher lauten: Wie bleibt man technologisch up-to-date, ohne die digitale Kontrolle aus der Hand zu geben – gerade, wenn man auf führende Software- und Cloud-Lösungen setzt? Die Wahl einer fortschrittlich gestalteten europäischen, souveränen Cloud ist nur die eine Seite der Medaille. Auch wenn der Name CLOUD Act anderes suggeriert, betrifft er weitreichende Systemzugriffe in Verbindung mit praktisch jedem amerikanischen Unternehmen. Eine souveräne Cloud, in der US-Software inklusive Verbindung in die USA gehostet wird, ist daher nicht automatisch der Schlüssel zur digitalen Unabhängigkeit – solange die Software weiterhin dem Zugriff durch US-Behörden unterliegt. Entscheidend ist, dass sowohl die Infrastruktur als auch die genutzte Software als auch der Betrieb nicht der US-Jurisdiktion unterliegen.

Die Zeitenwende: All-in auf Souveränität

Nationale Sovereign-Cloud-Modelle sind längst keine Utopie mehr. Sie bieten eine echte Alternative zu US-Diensten und US-Hyperscalern, ermöglichen DSGVO-konforme, lokal betriebene Cloud-Anwendungen und schützen vor Zugriffen ausländischer Anbieter. Die Daten bleiben im eigenen Rechtsraum, sind vor externer Einflussnahme geschützt und unterliegen ausschließlich europäischen und nationalen Datenschutzstandards. Nicht ohne Grund erkennen inzwischen auch US-Softwarehersteller den Bedarf nach Souveränität und reagieren darauf: Beispielsweise erlaubt Omnissa™, dass ihre führende Endgeräte-Management-Software nicht nur aus der eigenen US-Cloud, sondern in Deutschland in Kooperation mit GEMA Germany und in Österreich mit GEMA Austria betrieben werden kann – vollständig losgelöst vom Zugriff der Hersteller oder des US CLOUD Acts. Die Einführung in weiteren europäischen Ländern ist geplant. Solche Modelle zeigen, dass Souveränität keine Frage langwieriger Eigenentwicklung ist. Vielmehr können etablierte Anwendungen schnell und sicher in souveräne Strukturen integriert werden, sofern Hersteller die Anforderungen an digitale Souveränität ernst nehmen und konsequent umsetzen.

Doch wie sieht die Praxis aus? Die Implementierung souveräner Lösungen fordert mehr als nur technische Kompetenz: Sie verlangt eine klare Strategie, die Zusammenarbeit mit erfahrenen Partnern und die Bereitschaft, bestehende Prozesse kritisch zu hinterfragen. Einige europäische Organisationen beweisen bereits, dass marktführende Software und Souveränität kein Widerspruch sind. Sie setzen auf nationale Lösungen, in denen leistungsfähige Software in lokalen Rechenzentren mit höchsten Sicherheitsstandards gehostet wird, ohne Hintertüren für externe Anbieter. 

Der Trumpf, der doppelt sticht: Datenhoheit

Digitale Souveränität ist kein Blatt, das einmal ausgespielt ist, sondern ein fortlaufendes Spiel, das strategische Entscheidungen und kontinuierliche Anpassungen verlangt. Moderne Architekturen, die unabhängigen Betreibern und Kunden volle Kontrolle über ihre Systeme ermöglichen, sind längst kein Wunsch mehr, sondern eine Notwendigkeit. Softwarehersteller, die diesen Anspruch nicht erfüllen, verlieren an Relevanz und riskieren, im globalen Wettbewerb ins Hintertreffen zu geraten.

Auf Kundenseite entscheidet die Bereitschaft, lokale Standards und den Schutz des geistigen Eigentums zu priorisieren, über die eigene Zukunftsfähigkeit. Wer sich auf die Bequemlichkeit alter Spielregeln verlässt, zahlt dafür mit digitaler Abhängigkeit. Innovatoren und Entscheider, die technologisch up-to-date bleiben und gleichzeitig konsequent auf Datenhoheit setzen, sichern sich nicht nur Handlungsspielraum, sondern auch die Möglichkeit, neue Märkte und Geschäftsmodelle aktiv zu gestalten.