Digitale Souveränität : Wie die Verwaltung in der Cloud handlungsfähig wird
Das Next Netzwerk und der Digital Service untersuchen in einem gemeinsamen Papier die digitale Unabhängigkeit der Verwaltung anhand des Beispiels von Cloud-Souveränität. Wie gelingt es, die Hoheit über Anwendungen zu wahren und was sind dabei die entscheidenden Erfolgsfaktoren?
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden
So allgegenwärtig der Begriff der „digitalen Souveränität“ geworden ist, so wenig wurde bisher bedacht, wie er für die Verwaltung operabel werden kann. Denn der politische Wunsch nach digitaler Souveränität zieht strategische Fragestellungen und Abwägungen nach sich, die auf der Führungsebene getroffen werden müssen. Bislang jedoch werden Verwaltungsmitarbeitende mit diesen Herausforderungen zu häufig allein gelassen.
Wie können wir also die Handlungsfähigkeit der Verwaltung stärken und digitale Souveränität in die Anwendung bringen? In einem gemeinsamen Papier gehen Next und der Digital Service dieser Frage am Beispiel der Cloud-Souveränität nach. Die Ergebnisse zeigen: Wir müssen vom Reden ins Machen kommen, denn die geopolitischen und wirtschaftlichen Risiken sind längst Realität.
Eine verlässliche Cloud-Infrastruktur, die frei von externer Einflussnahme bleibt, ist ein kritischer Erfolgsfaktor für diese Handlungsfähigkeit. Sie ist außerdem die fundamentale Voraussetzung für moderne digitale Verwaltungsleistungen. Denn Cloud-Infrastrukturen ermöglichen es, Software flexibel zu skalieren, akute Lastspitzen abzufedern und KI-Anwendungen in Verwaltungsprozesse zu integrieren.
Die Realität der Cloud-Souveränität bleibt jedoch hinter diesem Anspruch zurück. Während 53 Prozent der öffentlichen IT-Dienstleister den Ausbau ihrer Cloud-Angebote planen, verharrt der Markt in strategischen Abhängigkeiten: Über 70 Prozent des europäischen Marktes werden von den US-Anbietern AWS, Google Cloud und Microsoft Azure kontrolliert. Wie so oft in der Verwaltungsdigitalisierung liegt das Problem nicht im Erkennen, sondern in der konkreten Umsetzung.
Warum Prüfbarkeit allein das Problem nicht löst
Ob durch US-Sanktionen, Rechtsunsicherheit, Datenzugriffe, extreme Preissteigerungen oder Lock-in-Effekte – die Verwaltung läuft Gefahr, die Kontrolle über ihre Infrastruktur zu verlieren. Vermeintlich souveräne Angebote US-amerikanischer Hyperscaler bieten oft keinen wirksamen Schutz vor unbefugten Zugriffen oder automatisierten Updates. Außerdem lösen sie Abhängigkeiten nicht auf, sie verstetigen sie.
Das im April 2026 eingeführte C3A - Criteria enabling Cloud Computing Autonomy des BSI bietet zwar endlich einen klaren Prüfrahmen für digitale Souveränität, doch die reine Prüfbarkeit löst das strukturelle Problem nicht. Denn fehlende Souveränität ist das Resultat einer blockierten Entscheidungskultur. Da die Souveränitätsvorgaben nicht verbindlich sind, verlagert sich die Verantwortung auf Mitarbeitende. Aus Angst vor individuellen Fehlentscheidungen greifen diese in der Praxis oft zu global etablierten Standardprodukten – oder bleiben gleich bei On-Premises-Lösungen. Diese Dynamik verfestigt Abhängigkeiten und lähmt Organisationen bei der digitalen Transformation.
Wenn wir die staatliche Handlungsfähigkeit dauerhaft sichern wollen, brauchen wir echte strukturelle Maßnahmen auf vier unterschiedlichen Ebenen.
Abhängigkeiten erfassen und Migrationen priorisieren
Um Risiken im System zu steuern, müssen wir sie erst einmal systematisch erfassen. Doch aktuell fehlt der Verwaltung die nötige Transparenz über bestehende Abhängigkeiten und Lock-in-Effekte. Das ist ungesteuert und ineffizient. Hier bietet der IT-Zustimmungsvorbehalt einen direkten Ansatzpunkt: Die bereits erfassten Anschaffungsvorgänge müssen konsequent genutzt und erweitert werden, um Cloud-Ausgaben und Lieferkettenrisiken ressortübergreifend transparent zu machen.
Nicht jede administrative Anwendung erfordert sofort maximale Souveränität. Ein gestuftes Risikomodell nach Reichweite und Schutzbedarf erlaubt eine sinnvolle Priorisierung der Migrationsprozesse. Angelehnt an den vorgeschlagenen EU Cloud and AI Development Act lenkt dieser Ansatz Ressourcen dahin, wo sie die größte Wirkung entfalten. Der Fokus muss zuerst auf den großen Hebeln liegen, etwa digitalen Arbeitsplätzen und KI-Infrastrukturen.
Mit Souveränitätsfonds und Roll-in-Teams den Wechsel unterstützen
Souveräne Alternativen aufzubauen, kostet Kraft, Zeit und Geld. Weil europäische Anbieter oft noch nicht die funktionale Tiefe der globalen Marktführer besitzen, entstehen beim Wechsel anfangs höhere Integrationsaufwände. Damit dieser Aufwand die lokalen Behörden angesichts des Fachkräftemangels nicht komplett lähmt, braucht es flankierende Unterstützungsstrukturen.
Ein zweckgebundener Souveränitätsfonds nach dem Beispiel des Effizienzfonds aus der Modernisierungsagenda schafft Anreize, auf souveräne Lösungen umzusteigen. Finanzielle Mittel sind dabei strikt an das Erreichen messbarer Meilensteine beim Abbau von Abhängigkeiten gekoppelt. Zentral finanzierte interdisziplinäre Roll-in-Teams unterstützen die Migrationsprozesse vor Ort, sichern den Kompetenzaufbau in den Behörden und fördern den Wissensaustausch. Vorbilder existieren bereits in Hessen und Bayern zur Umsetzung des Onlinezugangsgesetzes. So können auch kleinere Kommunen und lokale Behörden mit wenig spezialisiertem IT-Personal den Wechsel bewältigen.
Verbindliche Beschaffungsregeln und Exit-Strategien
Um die eigene Marktmacht effektiv zu nutzen und die seit langem geforderte Rolle als Ankerkunde zu etablieren, benötigt die Verwaltung vor allem eines: verbindliche Regeln für die IT-Beschaffung. Rechtssichere und zukunftsfähige Beschaffungen erfordern in den Vergabestellen einen interdisziplinären Kompetenzmix und starke Unterstützungsstrukturen. Sollte eine Vergabe an globale Hyperscaler im Einzelfall unumgänglich sein, müssen Behörden von Anfang an eine technisch geprüfte Exit-Strategie vorlegen. Nur so werden die langfristigen Kosten wirklich vergleichbar. Vorbild ist Frankreich: Dort sind Ministerien verpflichtet, bis zum Herbst 2026 konkrete Pläne für den Wechsel von Windows zu Linux vorzulegen.
Begründungspflichten umkehren und Kultur verändern
Das größte Hindernis für digitale Souveränität ist kein technologisches, sondern ein kulturelles: die tief sitzende Risikoaversion in der Verwaltung. Weil Richtlinien unklar und Verantwortungen diffus sind, verbleibt die Last der Risikoabwägung meist bei den einzelnen Mitarbeitenden auf der Umsetzungsebene. Unter diesem Druck werden notwendige Migrationsprojekte im Zweifel blockiert oder vertagt. Das schadet der staatlichen Handlungsfähigkeit.
Wir müssen digitale Souveränität daher endlich als das begreifen, was sie ist: eine Führungsaufgabe, die klare Rückendeckung und aktive Risikoübernahme erfordert. Der wirksamste Hebel dafür ist die konsequente Umkehr der Begründungspflicht: Nicht der Einsatz souveräner Lösungen braucht Rechtfertigung, sondern das Eingehen neuer strategischer Abhängigkeiten.
Digitale Souveränität ist kein statischer Zustand, sondern ein fortlaufender Prozess des Risikomanagements. Sie wird operativ nur gelingen, wenn die Regierungsspitze durch ein klares politisches Mandat die notwendigen Ressourcen sichert und Souveränität als Standard setzt.
Ann Cathrin Riedel ist Geschäftsführerin von Next. Anke Obendiek ist Research Manager bei Digital Service.
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden