Digitale Unabhängigkeit : Europa wirkt – Souveränität trotz Tech-Giganten

Europa wirkt. Der EU‑Gipfel zur europäischen digitalen Souveränität Ende vergangenen Jahres in Berlin war mehr als Symbolik. Er war der sichtbare Startschuss für ein wettbewerbsfähigeres und souveräneres Europa – und das klare Signal: Wir Europäer können und wollen bei Schlüsseltechnologien zu den Spitzenreitern gehören. Vor allem aber: Wir sind strategisch und digital handlungsfähig, unsere Zukunft selbst zu gestalten, wenn wir gemeinsam an einem Strang ziehen.

Oft wird Europa als digitaler Nachzügler beschrieben – dieses Bild ist aber unvollständig. Denn digitale Souveränität bedeutet nicht völlige Autarkie, sondern die Fähigkeit, informierte, selbstbestimmte Entscheidungen über Infrastrukturen, Daten, Software und Abhängigkeiten zu treffen. Genau hier setzte auch der Berliner Gipfel an: bei der Frage, wie wir unseren wirtschaftlichen und regulatorischen Gestaltungsspielraum hier in der EU konsequent nutzen.

Wettbewerbsfähigkeit als Basis souveräner Entscheidungen

Wettbewerbsfähigkeit ist der Ausgangspunkt digital souveräner Beschaffung, wie auch die Bundesregierung betont hat. Solange Verwaltungen und Unternehmen faktisch kaum Alternativen zu wenigen großen Anbietern haben, ist jede „freie“ Beschaffungsentscheidung nur eingeschränkt souverän. Erst ein Markt mit realen, zugänglichen Optionen schafft echte Wahlfreiheit.

Deshalb auch muss digitale Souveränität entlang der gesamten digitalen Wertschöpfungskette gedacht werden – von Infrastruktur und Cloud über Betriebssysteme und Kollaborationssoftware bis hin zu Datenräumen, KI und Cybersecurity‑Lösungen. Besonders querschnittliche Schlüsseltechnologien und flexible, interoperable Konzepte entscheiden darüber, ob Europa seine Digitalisierung sicher, nachhaltig und zukunftsorientiert gestalten kann – oder in einseitige Abhängigkeiten gerät.

Ein starker Ordnungsrahmen – und ein klarer Adressat

Die EU hat dafür ein einzigartiges Instrumentarium geschaffen: einen Binnenmarkt als größten Wirtschaftsraum der Welt, flankiert von einem kohärenten Regelwerk – von Datenschutzgrundverordnung über Digital Markets Act (DMA) und Digital Services Act (DSA) bis hin zum Data Act (DA) und der Anfang Dezember 2025 auch in Deutschland umgesetzten NIS‑2-Richtlinie. Und dieses Rahmenwerk ist kein wie mancherorts postulierter Selbstzweck, sondern verfassungsrechtlich fundierte Standortpolitik, die es in unsicheren Zeiten zu verteidigen gilt: Denn genau ebenjener Rahmen soll verhindern, dass einzelne Tech‑Monopolisten unsere Märkte, Daten und Infrastrukturen nach ihren eigenen Regeln dominieren und auf diese Weise über unsere digitale Zukunft entscheiden.

Dabei rückt ein Akteur immer wieder besonders in den Fokus: Microsoft. Der Konzern ist für Unternehmen, Behörden und viele Bürgerinnen und Bürger zum zentralen Zugangstor zur Digitalisierung geworden – von Betriebssystem und Office‑Suite über Teams bis hin zu Azure‑Cloud und Sicherheitsdiensten. Diese Rolle als „digitaler Torwächter“ ist nicht nur wirtschaftlich relevant, sondern gar systemisch: Denn Störungen, Preismodelle und Lizenzbedingungen strahlen unmittelbar in die Arbeits‑ und Funktionsfähigkeit ganzer Organisationen aus.

Selbst wenn die Daten in staatlichen Rechenzentren verbleiben sollten, bleibt die strategische Bindung an die technischen Plattformen dieses marktdominierenden Anbieters bestehen – über Lizenzlogiken, Update-Zyklen, Schnittstellen bis hin zu Sicherheits- und Ökosystementscheidungen. Souveränität entsteht nicht erst dort, wo Daten liegen, sondern da, wo ein Wechsel in alternative Angebote realistisch möglich ist. Ohne Kontrollverlust, ohne explodierende Migrationskosten und ohne den Zwang, ganze Arbeitsabläufe an einen einzigen Anbieter anzupassen.

Wie aktuell und politisch aufgeladen diese Abhängigkeit inzwischen ist, zeigt der jüngste öffentlich ausgetragene Streit in der bayerischen Staatsregierung über einen möglichen Microsoft-Lizenzvertrag und eine flächendeckende Umstellung auf Microsoft 365. Während der Digitalminister eine ergebnisoffene Neubewertung fordert und dabei geopolitische Risiken sowie digitale Souveränität betont, verweist der Finanzminister auf Kosteneinsparungen, die Konsolidierung bestehender Lizenzen und weist Souveränitätsbedenken zurück.

Letztlich ist der Tonfall dieser in den Medien ausgetragenen politischen Debatte vor allem das Symptom eines strukturellen Problems, das viel tiefer reicht: Digitale Abhängigkeiten sind längst Staatsräson, werden aber noch zu oft als reine Budget- oder IT-Betriebsfrage behandelt. Insoweit bringt auch der Cloud-Streit in der bayerischen Staatsregierung keine neuen Erkenntnisse, da er die bestehenden und bereits seit langem bekannten Probleme und Diskussionen lediglich rhetorisch anders aufbereitet, anstelle die jetzt dringend notwendigen Schlüsse und Handlungsbedarfe abzuleiten.

Cloud‑Untersuchung als Lackmustest für den EU DMA

Genau deshalb ist auch der jüngste Schritt der Europäischen Kommission umso konsequenter: Zum Ende des vergangenen Jahres hat sie eine Marktuntersuchung zu Cloud‑Computing‑Diensten von Microsoft im Rahmen des DMA eingeleitet. Untersucht werden unter anderem Netzwerkeffekte, Skalen‑ und Verbundvorteile, Lock‑in‑Effekte, Wechselkosten sowie die vertikale Integration von Diensten. Im Mittelpunkt steht die Frage, ob große Cloud-Gatekeeper ihre Marktmacht so nutzen, dass sie Wettbewerb systematisch einschränken.

Gerade im Umfeld des Konzerns aus Redmond geht es jedoch um mehr als nur Preise: Wie leicht können Unternehmen von einer Cloud‑Plattform zu anderen Anbietern wechseln? Sind Datenexport, Interoperabilität und offene Schnittstellen praktisch möglich – oder durch technische und vertragliche Hürden faktisch blockiert? Werden Software‑Pakete, Security‑Services und Cloud‑Funktionen so gebündelt, dass alternative Lösungen zwar theoretisch existieren, aber real kaum noch in Frage kommen?

Der EU Data Act als wirksamer Hebel gegen Cloud Lock-in

Mit dem EU Data Act wird diese Debatte erstmals mit konkreten, durchsetzbaren Anforderungen an Cloud- und andere Datenverarbeitungsdienste unterlegt. Ziel ist gerade, ebenjene Wechselbarrieren abzubauen: Verträge müssen den Wechsel und den Exit technisch wie organisatorisch ermöglichen, Anbieter müssen Portabilität sowie Interoperabilität unterstützen und transparente Migrationsbedingungen vorab offenlegen. Besonders relevant: Wechselentgelte werden stufenweise reduziert und ab dem 12. Januar 2027 vollständig untersagt – inklusive sogenannter „Egress-Fees“ für den Datenabzug.

Mit diesem Instrumentarium ist der Data Act mehr als nur Marktregulierung im Abstrakten. Für den öffentlichen Sektor und die Industrie kann er zu einem echten Verhandlungsvorteil werden, weil Exit-Strategien, digitalsouveräne Multi-Cloud-Ansätze und offene Standards nicht länger als „nice to have“ gelten, sondern zur regulatorischen Erwartung werden. Wer bei Vergabe und Vertragsgestaltung künftig somit konsequent auf standardisierte Formate, realistische Wechselzeiträume und klare Migrationspfade pocht, kann Lock-in-Effekte spürbar reduzieren – und damit Wettbewerb und eine größere digitale Souveränität ermöglichen. Über den nationalen Durchsetzungsrahmen hat in der vergangenen Woche Freitag der Deutsche Bundestag in erster Lesung für ein Data Act-Durchführungsgesetz beraten, womit aus dem europäischen Anspruch erst praktische Wirklichkeit wird.

Gleichwohl gilt auch hier: Der Data Act nimmt den bestehenden Cloud Lock-in und die Abhängigkeit von einem einzelnen Anbieter nicht über Nacht aus dem System. Ohne technische Standards, ohne konsequente Aufsicht und ohne den Mut, bestehende Vertrags- und Lizenzstrukturen neu zu verhandeln, bleibt Datenportabilität Theorie. Die eigentliche Stärke des europäischen Data Act liegt daher auch in seiner Funktion als Katalysator, indem er Cloud-Anbieter zwingt, den Ausstieg mitzudenken – und den Kunden dadurch ein Instrument an die Hand gibt, um Wahlfreiheit und digitale Souveränität in der Praxis einzufordern.

Europa ist handlungsfähig – wenn es handeln will

Wer in Europa digitale Souveränität ernst nimmt, muss jetzt bereit sein, verkrustete Strukturen aufzubrechen: Lizenzmodelle, die Alternativen erschweren; technische Lock‑ins, die Wechsel faktisch verhindern, sowie Vertragsklauseln, die Datenportabilität und den Wechsel zu neuen Diensten behindern. Es geht nicht darum, Erfolg zu bestrafen, sondern darum, Lock-in-Praktiken so zu begrenzen, dass Innovation und Wahlfreiheit möglich bleiben.

Die gute Nachricht lautet: Europa verfügt über die rechtlichen, wirtschaftlichen und politischen Instrumente, um genau das zu tun. Der Digitalgipfel in Berlin, die Ende 2025 gestartete DMA‑Marktuntersuchung der EU-Kommission und der Ausblick auf den europäischen Data Act sind ein Anfang, denn sie markieren den Übergang von der Klage über technologische Abhängigkeiten hin zu einem aktiven Gestalten der eigenen digitalen Ordnung. Auf das neue Jahr 2026 kommt es jetzt an, dass wir nicht nur über Digitalsouveränität und die Reduzierung technologischer Abhängigkeiten sprechen, sondern diese auch mit Nachdruck zu einer effektiven Umsetzung bringen.

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht, Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und des Advisory Boards des Anbieters für verschlüsselte Kommunikation NordVPN. Kipker ist zudem wissenschaftlicher Direktor des Cyberintelligence Institute in Frankfurt am Main.

In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Dennis-Kenji Kipker erschienen: Warum wir die Debatte um die digitale Souveränität neu definieren müssen