Europäische Digitale Souveränität und Partnerschaften mit US-Unternehmen: Ein Widerspruch?

Digitale Souveränität bezeichnet die Fähigkeit eines Staates, einer Organisation oder auch einer Gesellschaft, die digitale Infrastruktur, die Nutzung von Daten und die eingesetzten Technologien eigenständig, sicher und im Einklang mit den eigenen Werten und Gesetzen gestalten zu können. Für Staaten bedeutet das konkret:

• Kontrolle über kritische digitale Infrastrukturen (Netze, Cloud, Rechenzentren)
• Unabhängigkeit bei der Auswahl und Nutzung von Schlüsseltechnologien
• Hoheit über Daten (insbesondere personenbezogene und sicherheitsrelevante)
• Schutz vor politischer oder wirtschaftlicher Einflussnahme von außen

Ruf nach digitaler Souveränität

In der jüngeren Vergangenheit hat das Thema „Digitale Souveränität“ in Fachkreisen für hitzige Debatten gesorgt, nach dem durch den russischen Angriffskrieg gegen die Ukraine sowie die „dealgesteuerte Regierungsführung“ von Donald Trump, die Erkenntnis einherging, dass Europa nicht nur in Sachen Ennergieversorgung, sondern auch in technologischer und digitaler Hinsicht von außereuropäischen Techkonzernen stark abhängig sein könnte.

Weltpolitische digitale Verunsicherung

Zu dieser Erkenntnis trug bspw. bei, dass die Arbeit eines Teils des internationalen Strafgerichtshofs (IStGH) zum Erliegen kam, nachdem US-Präsident Donald Trump im Februar 2025 Sanktionen gegen den Chefankläger des Internationalen Strafgerichtshofs, Karim Khan, verhängte. Das Ergebnis: Der Chefermittler des IStGH verlor den Zugriff auf seine E-Mails und Bankkonten.

Für Stirnrunzeln in Fachkreisen sorgte wohl aber auch die Nachricht, dass die US-Administration unter Präsident Donald Trump über das sog. DOGE-Programm die Finanzierung von MITRE gestoppt habe, so dass die von dieser Organisation gepflegte CVE-Datenbank, die über Sicherheitslücken informiert, eingestellt werden müsse.

Die Angelegenheit hatte jedoch erst einmal ein gutes Ende: Zum einen lief die Finanzierung doch weiter und zum anderen sorgte diese Nachricht in Europa als Katalysator für den Start einer „eigenen und europäischen“ Schwachstellendatenbank. Die europäische Cyber-Sicherheitsagentur ENISA nahm eine Datenbank für IT-Schwachstellen in Betrieb: Die EUVD (European Vulnerability Database)
Diese wurde nach Angaben der ENISA gemäß der NIS2-Richtline entwickelt und biete verlässliche und umsetzbare Informationen zum Ausnutzungsstatus von IT-Schwachstellen. Für Naserümpfen und den Vorwurf der Halbherzigkeit sorgte hier die Zusatzinfo, dass das Hosting der Schwachstellendatenbank auf Microsofts Azure erfolgt.

Meldungen, dass Donald Trump die Gemeinnützigkeit der freien Online-Enzyklopädie wikipedia bezweifelt (was teilweise mit einem Angriff auf das freie Wissen der Welt gleichgestellt wurde) oder Nachrichten darüber, dass OpenAI die Konversationen aus der Nutzung von APIs und ChatGPT aufgrund einer gerichtlichen Verfügung in den USA vorläufig nicht mehr löschen darf, (mit der Folge, dass europäische Verantwortliche ggf. ihre eigene Datenschutz-Compliance nicht mehr gewährleisten können) können exemplarisch als Mosaiksteinchen für die Verunsicherung und den Ruf nach digitaler Souveränität genannt werden. Dabei soll die Tatsache, dass die Abhängigkeit nicht nur US-amerikanische, sondern auch chinesische Technologien betrifft, gar nicht weiter vertieft werden.

Digitale Souveränität und Digitale Autarkie

Der Ruf nach größerer digitaler Souveränität schien vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhört zu werden. Das BSI gab im März 2025 bekannt mit einem großen Techkonzern eine Partnerschaft eingegangen zu sein, um die Datensouveränität im öffentlichen Sektor zu erhöhen. Die Kooperation umfasst die Entwicklung von quantensicherer Cloud-Lösungen sowie strategischen Austausch. Aber auch hier war das Haar in der digitalen Suppe zügig gefunden: Bei dem neuen Partner handelte es sich um Google. Die Gesellschaft für Informatik (GI) geizte hier nicht mit Kritik an dem Vorhaben. Die Einschätzung der GI:
„Die angestrebte Kooperation zur „Entwicklung von souveränen Cloud-Lösungen für die öffentliche Verwaltung in Deutschland“ wirft sowohl erhebliche sicherheits- und wirtschaftspolitische als auch wettbewerbs- und datenschutzrechtliche Fragen auf. [..] Die Zusammenarbeit widerspricht den Kriterien der digitalen Souveränität„.

Ähnlich kritisch wurde in Fachkreisen die Bekanntmachung der BWI empfunden. Die BWI GmbH ist das zentrale IT-Systemhaus der Bundeswehr und zugleich ein bedeutender IT-Dienstleister des Bundes. Die Google Cloud Public Sector – Deutschland GmbH und die BWI GmbH gaben konkret bekannt, einen
Rahmenvertrag über die Beschaffung der Lösung „Google Cloud Air-Gapped“
geschlossen zu haben. Bis Ende 2027 werde die BWI damit eine weitere Cloud-Umgebung in den
eigenen Rechenzentren aufbauen und betreiben. Sie soll Teil der „private Cloud der
Bundeswehr“ (pCloudBw) werden.

Der Kritik, sich doch auch in diesem Fall weiter in die Abhängigkeit zu einem US-amerikanischen Technologiekonzern zu begeben, steht das Argument entgegen, das Beste aus der aktuellen Situation rauszuholen: Mit Google Cloud Air-Gapped bleibe die Hoheit über alle Daten vollständig bei der Bundeswehr. Die Lösung ermögliche es, die IT-Umgebung komplett isoliert vom öffentlichen Internet und anderen Google-Diensten zu betreiben.

Abwägung und Transparenz erforderlich

Wenn tatsächlich Kritik an den beiden Vorhaben des BSI bzw der BWI angebracht sein sollte, dann wohl am ehesten an der Art der Kommunikation. Wenn Institutionen wie das BSI oder die Bundeswehr mit Google oder anderen US-Firmen kooperieren, sollte dies wohl noch klarer begründet und erläutert werden, insbesondere was die vertraglichen, technischen und organisatorischen Sicherungsmaßnahmen der Vorhaben angeht. Dazu gehört auch die verständliche Darstellung der sicherlich vorangegangen Abwägungen, die den Entscheidungen vorangegangen sein werden und nicht zuletzt auch die Darstellung von Exit-Strategien zur Vermeidung langfristiger Lock-ins.

Fazit

Digitale Souveränität ist ein strategisches Ziel, das nicht absolute Autarkie, sondern selbstbestimmte Abhängigkeiten bedeutet. Partnerschaften mit globalen Anbietern sind möglich, sofern sie unter Bedingungen erfolgen, die die europäischen Werte, Rechtsprinzipien und Sicherheitsinteressen wahren. Dabei sollte im Sinne einer breiten Akzeptanz getroffener und nicht sofort plausibel erscheinender Entscheidungen, nicht daran gespart werden, die Entscheidungen verständlich und detailliert zu erläutern.