Verschlüsselung und Datensicherheit : Digitale Souveränität ist kein Selbstläufer

Wie werden wir digital souverän? Diese Frage muss heute im Zentrum jeder Digitalisierungsstrategie stehen, gerade im öffentlichen Sektor. Es geht längst nicht mehr nur um mehr Cloud, mehr Datenräume oder mehr Software. Entscheidend ist, wer die Kontrolle über diese Ressourcen hat.

In der Debatte um digitale Souveränität geht es oft um Standorte: Wo steht das Rechenzentrum? Welchem Recht unterliegt es? Das klingt naheliegend, ist aber zweitrangig. Wirkliche Souveränität heißt, dass niemand außer dem Dateneigentümer Zugriff hat – technisch abgesichert, nicht nur juristisch zugesichert. Entscheidend sind Ende-zu-Ende-Verschlüsselung, offene Standards und die Wahlfreiheit, Anwendungen jederzeit von einer Cloud in eine andere verschieben zu können.

Jenseits der Territorialität

Server können mitten in Deutschland stehen und dennoch außerhalb unserer Kontrolle sein. Zwar gilt auf Servern in Europa europäisches Datenschutzrecht, gleichzeitig aber greifen extraterritoriale Vorschriften wie der US Cloud Act oder Chinas Data Security Law. Sie verpflichten Anbieter, auf Anforderung der eigenen Behörden Daten herauszugeben, inklusive der Schlüssel, wenn diese beim Anbieter liegen. So entsteht eine paradoxe Situation: Die Daten stehen in Frankfurt oder Paris, aber die Kontrolle darüber kann in Washington oder Peking liegen. Das Problem ist nicht die Postleitzahl des Rechenzentrums, sondern fehlende technische Selbstbestimmung.

Wirklich digital souverän sind wir nur, wenn wir unsere technologische Infrastruktur selbst gestalten, betreiben und weiterentwickeln können, und zwar unabhängig von geopolitischen Interessen, wirtschaftlichen Abhängigkeiten oder proprietären Lock-ins.

Das ist heute selten der Fall. Selbst bei Diensten, die auf europäischen Servern laufen, liegt die Schlüsselverwaltung oft beim Anbieter und damit außerhalb unserer vollen Kontrolle. Viele Public-Cloud-Dienste der großen US-Anbieter bieten zwar Optionen wie „Customer Managed Keys“ oder „Bring Your Own Key“, doch in der Praxis behält der Anbieter Teile des Schlüsselmanagements, etwa bei der Schlüsselrotation, der Speicherung von Metadaten oder im Supportfall. Das bedeutet: Er könnte – rechtlich verpflichtet oder technisch in der Lage – auf die Daten zugreifen.

Status quo: bequem abhängig

Während die Bundesregierung regelmäßig zu Recht für mehr digitale Souveränität plädiert, sind viele öffentliche Einrichtungen faktisch von außereuropäischen Cloud-Anbietern abhängig.

In der Bundesverwaltung etwa herrscht eine überwältigende Abhängigkeit von US-Hyperscalern, die oft bewusst so konzipiert sind, dass sie Nutzer binden, nicht-modulare Architekturen bevorzugen und keine Open-Source-Komponenten einsetzen. Die sogenannte Bundescloud – als exklusive Private Cloud in staatlicher Hand gedacht – sollte eigentlich zentrale Plattform werden. Doch mangels Ressourcen greift der Bund zunehmend auf Public Clouds von Amazon, Microsoft & Co. zurück. Nutzerdaten landen so aktuell in 32 verschiedenen Diensten außerhalb staatlicher Kontrolle.

Die Folge: steigende Kosten, ausufernde Komplexität, fehlende Steuerbarkeit. Die Cloud-Ausgaben des Bundes haben sich von 2021 bis 2024 auf 286 Millionen Euro verdoppelt und jedes Ressort verwendet eigene Werkzeuge. Es fehlen gemeinsame Standards, was Wiederverwendbarkeit behindert, Innovationszyklen lähmt und Ressourcen vergeudet.

In den Ländern sieht es ähnlich wenig souverän aus. In sechs Bundesländern ist Microsoft 365 trotz Datenschutzbedenken bereits fest eingeplant, Niedersachsen und Bayern nutzen Microsoft Teams intensiv, und Hamburg will bis Ende 2025 rund 10.000 Verwaltungsarbeitsplätze entsprechend ausstatten. Nordrhein-Westfalen und Bremen haben ähnliche Vorhaben angekündigt. All diese Dienste unterliegen dem US-amerikanischen Cloud Act, selbst dann, wenn sie in Deutschland gehostet werden.

Auch die Bundeswehr manövriert sich aktuell in die Abhängigkeit von US-Hyperscalern und plant zentrale IT-Dienste auf Google-Cloud-Instanzen. Zwar sollen diese „abgeschottet“ sein, doch bei Sicherheitsupdates, Support oder Plattformweiterentwicklungen bleibt die Abhängigkeit bestehen.

Der Grund? Ein Wechsel zu europäischen Alternativen wird als nicht nur technisch, sondern auch politisch unattraktiv gewertet. Wer einen internationalen Standardanbieter wählt, kann sich im Problemfall auf die Masse berufen, nach dem Motto „alle machen es so“. Wer dagegen eine heimische Lösung einführt, steht persönlich in der Verantwortung, wenn es hakt. Diese Kultur der Risikovermeidung hält uns in Abhängigkeit und kostet uns langfristig unsere Souveränität.

Souveränität braucht Einkaufsmut

Technische Unabhängigkeit beginnt bei der Beschaffung. In Deutschland gibt es längst leistungsfähige Cloud- und Softwarelösungen, die europäischen Datenschutz vollständig einhalten und Lock-ins vermeiden. Doch sie werden selten gekauft. Das hat weniger mit technischer Qualität zu tun als mit einer strategischen Lücke im Einkauf: Beschaffung orientiert sich zu oft an kurzfristiger Risikominimierung statt an langfristiger Handlungsfreiheit.

Wer digitale Souveränität ernst meint, muss Einkauf als strategisches Werkzeug begreifen:

• Ziele definieren: Nicht nur Kosten und Funktionalität, sondern Portabilität, offene Standards und eigene Schlüsselverwaltung müssen verpflichtende Kriterien werden.
• Markt entwickeln: Europäische Anbieter müssen durch Nachfrage wachsen können. Ohne Aufträge bleiben sie Nischenakteure, und die Abhängigkeit von Hyperscalern wächst.
• Verantwortung wagen: Ja, eigene Entscheidungen können Fehler bergen. Aber wer Souveränität will, muss diesen Preis in Kauf nehmen.

Der Deutschland-Stack als Chance

Wenn er wie geplant funktioniert, könnte der Deutschland-Stack den aktuellen Missstand beheben. Er soll die Verwaltungs-IT modernisieren und die technologische Souveränität des öffentlichen Sektors sichern. Statt eines Flickenteppichs aus Insellösungen entsteht ein modulares, skalierbares und EU-kompatibles Schichtenmodell für Infrastruktur, Entwicklungs- und Laufzeitumgebungen, auf Basis europäischer Produkte. Der Stack gibt strategische Leitlinien vor, ohne konkrete Produkte festzulegen, und definiert, wie Infrastruktur betrieben und digitale Dienste bereitgestellt werden. Bis 2028 soll daraus eine bundeseinheitliche Plattform entstehen, die Bund, Länder und Kommunen über standardisierte Schnittstellen verbindet, sich in europäische Systeme integriert und auch der Wirtschaft offensteht.

Der Deutschland-Stack kann Abhängigkeiten reduzieren – wenn er konsequent umgesetzt wird. Dazu gehört: Sicherheitsstandards müssen technisch erzwungen werden, Schnittstellen müssen offen sein, Migration muss einfach funktionieren. Verschlüsselung darf nicht ein optionales Feature sein, sondern muss Kern der Architektur werden.

Digitale Souveränität ist kein politisches Schlagwort, sondern ein technischer Zustand. Sie entsteht nicht durch Standortpolitik, sondern durch Verschlüsselung, offene Standards und den Mut, eigene Lösungen einzusetzen.

Das erfordert politischen Willen und eine neue, mutigere Beschaffungskultur. Wer weiter auf „bequeme“ Abhängigkeiten setzt, entscheidet sich aktiv gegen Selbstbestimmung, egal, wo die Server stehen.

Elias Schneider ist Chef und Gründer des Karlsruher Start-ups Codesphere.