Wissen · Grundlagen
Digitale Souveränität: Wann Abhängigkeit zum Risiko wird – und was Sie tun können
„Digitale Souveränität" klingt nach großer Politik. Für den Mittelstand ist sie sehr konkret: Wo liegen Ihre Daten, wer darf darauf zugreifen, und könnten Sie den Anbieter im Ernstfall wechseln? Dieser Beitrag ordnet nüchtern ein, was hinter dem Begriff steckt – ohne Ideologie und ohne Angstmacherei.
·
Fachlich verantwortlich: Peter Neubert, Geschäftsführer einfach.digital
Kaum ein Begriff ist in der IT gerade so präsent wie „digitale Souveränität". Er steht in Regierungsprogrammen, in Herstellerbroschüren und in Ausschreibungen. Für ein mittelständisches Unternehmen wirft das zunächst Fragen auf: Muss ich jetzt alles selbst betreiben? Ist die Cloud böse? Die kurze Antwort lautet nein. Souveränität heißt nicht, sich abzuschotten – sondern die Kontrolle über die eigenen Daten und Systeme zu behalten und im Ernstfall handlungsfähig zu bleiben.
Dieser Beitrag erklärt, was der Begriff wirklich bedeutet, wann Abhängigkeit von großen Anbietern zum Risiko wird, welche Regeln sich gerade bewegen – und wie wir bei einfach.digital das Thema in drei ehrlichen Ebenen angehen. Ohne Marketing-Versprechen, aber mit den entscheidenden Fakten und einer klaren Handlungsanleitung.

Was „digitale Souveränität" wirklich heißt – und was nicht
Am nüchternsten fasst es das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. Souveränität ist demnach kein Zustand, den man kauft, sondern eine Fähigkeit:
„… die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können."
Wichtig ist der zweite Halbsatz. Es geht um Selbstbestimmung, nicht um vollständige Unabhängigkeit. Genau diese Unterscheidung betont auch BSI-Präsidentin Claudia Plattner immer wieder: Souveränität ist nicht gleich Autarkie. Ein Betrieb, der ausschließlich selbst gebaute Software auf eigenen Servern im Keller einsetzt, wäre maximal unabhängig – aber selten sicher, wirtschaftlich oder zukunftsfähig. Das Ziel ist ein anderes: bewusst entscheiden zu können, statt in Abhängigkeiten hineinzurutschen.
Man kann sich Souveränität wie den Hausschlüssel vorstellen. Es ist völlig in Ordnung, Handwerker ins Haus zu lassen. Kritisch wird es erst, wenn Sie nicht mehr wissen, wer alles einen Nachschlüssel hat, und die Schlösser nicht mehr selbst tauschen können. Übertragen heißt das: Nicht jede Nutzung eines großen Anbieters ist ein Problem – wohl aber der Verlust des Überblicks darüber, wer Zugriff hat und wie Sie wieder herauskommen.
Warum das Thema gerade jetzt Fahrt aufnimmt
Drei Entwicklungen kommen zusammen. Erstens die Marktkonzentration: Nach Zahlen von Synergy Research entfallen rund 70 Prozent des europäischen Cloud-Marktes auf die drei US-Hyperscaler Amazon, Microsoft und Google; europäische Anbieter kommen zusammen auf etwa 15 Prozent.

Zweitens eine spürbar gewachsene Sensibilität: Im Bitkom Cloud Report 2026 halten 85 Prozent der Unternehmen Deutschland für zu abhängig von US-Cloud-Anbietern – ein Jahr zuvor waren es 78 Prozent. Der Wunsch nach großen europäischen Anbietern bleibt mit 80 Prozent sehr hoch (im Vorjahr 82 Prozent). Die wahrgenommene Abhängigkeit ist also gestiegen, der Wunsch nach Alternativen bleibt konstant hoch.
Drittens das Preisrisiko: Wer tief in einem einzelnen Ökosystem steckt, verhandelt aus einer schwachen Position. Das deutlichste Beispiel der letzten Jahre ist VMware: Nach der Übernahme durch Broadcom wurden Einzellizenzen durch große Abo-Pakete ersetzt – viele Betriebe berichten seither von einem Vielfachen der bisherigen Kosten, und kurzfristig wechseln kann kaum jemand. Auch Microsoft hat zum 1. Juli 2026 die Listenpreise für Microsoft-365-Abonnements angehoben – deutlich moderater, je nach Tarif um etwa 5 bis 25 Prozent. Ob drastisch oder schleichend: Ohne realistische Wechseloption bleibt einem Betrieb nur, die neuen Preise zu akzeptieren. Wer ohnehin über Verträge nachdenkt, sollte Souveränität deshalb gleich mitdenken.
Dabei hilft es, drei Betriebsmodelle sauber auseinanderzuhalten. Keines ist grundsätzlich „richtig" – sie unterscheiden sich in Datenhoheit, Aufwand und Flexibilität:
Public Cloud (Hyperscaler)
- Datenhoheit
- beim Anbieter
- Typische Stärke
- sofort verfügbar, riesiger Funktionsumfang, wenig eigener Betrieb
- Grenze
- Jurisdiktion & Lock-in schwer steuerbar
Souveräne / EU-Cloud
- Datenhoheit
- in der EU, oft mit Zusatzgarantien
- Typische Stärke
- Kompromiss aus Komfort und Datenhoheit
- Grenze
- Restrisiko je nach Konzernmutter, höhere Kosten
Self-hosted (Open Source)
- Datenhoheit
- beim Unternehmen
- Typische Stärke
- volle Kontrolle, keine Lizenzbindung, Exit-fähig
- Grenze
- erfordert Betrieb, Updates, Sicherung
Wann Abhängigkeit zum Risiko wird
Abhängigkeit an sich ist normal – jeder Betrieb hängt von Lieferanten ab. Kritisch wird es, wenn drei Ebenen gleichzeitig außerhalb Ihrer Reichweite liegen: das Recht, dem der Anbieter unterliegt, der Betrieb der Systeme und die Daten selbst. Liegen alle drei in einer Hand außerhalb der EU, entscheidet fremdes Recht über Ihre Unterlagen mit – ohne dass Sie das steuern oder im Zweifel überhaupt davon erfahren.

Das bekannteste Beispiel ist der US CLOUD Act von 2018. Er verpflichtet US-Unternehmen zur Herausgabe von Daten – ausdrücklich unabhängig davon, wo diese gespeichert sind:
“A provider of electronic communication service or remote computing service shall comply with the obligations […] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”
Übersetzt: „Ein Anbieter elektronischer Kommunikations- oder Cloud-Dienste muss Inhalte von Kommunikation sowie Aufzeichnungen und andere Informationen über einen Kunden, die sich in seinem Besitz oder unter seiner Kontrolle befinden, sichern und herausgeben – unabhängig davon, ob sich diese Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden."
Wie real das ist, zeigte eine Anhörung vor dem französischen Senat. Auf die Frage, ob er garantieren könne, dass Daten französischer Nutzer niemals ohne Zustimmung der französischen Behörden an die USA übermittelt würden, antwortete Microsoft-Frankreich-Justiziar Anton Carniaux unter Eid:
„Nein, das kann ich nicht garantieren – auch wenn es bislang noch nie vorgekommen ist."
Ein reiner EU-Serverstandort löst das nicht automatisch: Gehört der Betreiber zu einem US-Konzern, greift die Herausgabepflicht trotzdem. Der Europäische Gerichtshof hat diese Spannung im Urteil Schrems II (2020) bestätigt und den damaligen „Privacy Shield" gekippt. Der Nachfolger, das EU-US Data Privacy Framework, ist aktuell in Kraft, wird aber juristisch angegriffen – ein Restrisiko, das man kennen sollte, statt sich darauf blind zu verlassen.
Die Fachbegriffe kurz erklärt
Hyperscaler sind die ganz großen Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud: enorm leistungsfähig – aber es gelten deren Regeln und deren Preislisten. Vendor Lock-in bezeichnet die feste Bindung an einen Anbieter: Der Wechsel wäre technisch oder finanziell so aufwendig, dass er in der Praxis unterbleibt. Egress-Gebühren sind Kosten für den Rückweg: Sie zahlen dafür, Ihre eigenen Daten wieder aus der Cloud herauszuholen. Fairerweise muss man sagen: Für den vollständigen Wechsel weg von einem Anbieter haben die Hyperscaler diese Gebühren inzwischen weitgehend gestrichen, und der EU Data Act verbietet Wechselgebühren zwischen Cloud-Anbietern schrittweise ganz. Im laufenden Betrieb und bei verteilten Architekturen bleibt Lock-in aber ein reales Thema.
Was sich rechtlich und politisch bewegt
Die gute Nachricht: Souveränität ist längst kein bloßer Appell mehr – sie bekommt messbare Kriterien und verbindliche Regeln. Für Entscheider lohnt sich ein grober Überblick: nicht, um jedes Detail zu kennen, sondern um einordnen zu können, wovon Anbieter sprechen. Alle Angaben sind eine Momentaufnahme (Stand Juli 2026):
EU Data Act
- Was es bringt
- Recht auf Cloud-Wechsel, Abbau von Wechselgebühren, faire Vertragsklauseln
- Stand
- anwendbar seit 09/2025; Wechselgebühren ab 01/2027 untersagt
Digital Markets Act (DMA)
- Was es bringt
- Faire Bedingungen bei marktbeherrschenden Diensten
- Stand
- EU-Kommission hat AWS & Azure am 25.06.2026 vorläufig als Gatekeeper eingestuft
NIS-2
- Was es bringt
- Höhere Cybersecurity-Pflichten für viele Betriebe
- Stand
- Registrierungsfrist war 06.03.2026; BSI erwartet Nachmeldungen bis Ende Juli 2026
BSI C3A
- Was es bringt
- Kriterien für Cloud-Autonomie (ergänzt den C5-Katalog um Souveränität)
- Stand
- veröffentlicht am 27.04.2026, dt. Fassung folgt
EU Cloud Sovereignty Framework
- Was es bringt
- Souveränität wird über acht Ziele und die SEAL-Skala bewertbar
- Stand
- v1.2.1 seit 10/2025; SEAL = „Sovereignty Effectiveness Assurance Level“
Cyber Resilience Act
- Was es bringt
- Sicherheitspflichten für Produkte mit digitalen Elementen
- Stand
- Kernpflichten ab 12/2027
Dass es dabei nicht bei Papier bleibt, zeigt ein aktueller Fall aus den Niederlanden. Der US-Konzern Kyndryl wollte den niederländischen Cloud-Betreiber Solvinity übernehmen, der unter anderem Daten des staatlichen Identitätsdienstes DigiD und der Steuerverwaltung verwaltet. Die niederländische Regierung untersagte die Übernahme im Mai 2026 aus Souveränitätsgründen – die erste blockierte US-Übernahme seit Einführung der dortigen Investitionsprüfung. Der Fall ist kein Grund zur Schwarzmalerei – im Gegenteil: Er zeigt, dass Staaten digitale Infrastruktur inzwischen als schützenswertes Gut behandeln und im Ernstfall auch eingreifen.
Auch in der Praxis tut sich viel. Schleswig-Holstein hat bis Ende 2025 rund 80 Prozent der Arbeitsplätze außerhalb der Steuerverwaltung auf LibreOffice umgestellt und spart nach eigenen Angaben einen zweistelligen Millionenbetrag an Lizenzkosten pro Jahr; Dänemarks Digitalisierungsministerium wechselt schrittweise zu Open-Source-Bürosoftware. Beides zeigt: Der Umstieg ist machbar – er braucht aber Vorbereitung, Schulung und Geduld.
Unser Souveränitätssystem: ehrlich in drei Ebenen
Aus all dem ziehen wir bei einfach.digital eine pragmatische Konsequenz. Statt pauschal zur Cloud oder zum kompletten Eigenbetrieb zu raten, ordnen wir jede Lösung ehrlich in eine von drei Souveränitäts-Ebenen ein. Ebene 1 – die digitale Souveränität – ist der Kern; die beiden anderen Ebenen haben ihren festen, klar benannten Platz. Dieselbe Kennzeichnung finden Sie auf unserer Startseite und auf den Branchenseiten wieder.
Digitale Souveränität
Der Kern. Open-Source-Systeme wie Paperless-ngx, Zammad und Docmost betreiben wir souverän auf dedizierten Servern in Deutschland. Ihre Daten liegen unter Ihrer Kontrolle – ohne Lizenzbindung, mit der Option, den Betrieb später selbst zu übernehmen.
EU-SaaS
Wo ein Cloud-Dienst fachlich die bessere Wahl ist, setzen wir auf EU-Anbieter – etwa Kizeo Forms für mobile Erfassung, Protokolle und Fotodokumentation. Wir legen dabei offen, dass die Infrastruktur teils auf AWS läuft, und was das rechtlich bedeutet.
Drittland-SaaS
Bewusst nachgeordnet und nie abgewertet: Wo Drittland-Dienste im Spiel sind, begleiten wir mit Security- und Datenschutzberatung sowie sauberer Anbindung – als ergänzende Leistung, nicht als Lizenzvertrieb.
Der Vorteil dieser Kennzeichnung ist einfach: Sie sehen auf einen Blick, worauf Sie sich einlassen. Ein Werkzeug auf Ebene 1 gibt Ihnen maximale Datenhoheit; eines auf Ebene 2 nimmt Ihnen den Betrieb ab und bleibt in der EU; und wo Ebene 3 ins Spiel kommt, sagen wir das offen und begleiten Sie beratend. So wird aus einer Bauchentscheidung eine bewusste Entscheidung.
Transparenz statt Zertifikats-Versprechen
Viele Anbieter beantworten die Souveränitätsfrage mit einem Zertifikats-Siegel. Wir halten das für zu kurz gegriffen: Ein Siegel sagt wenig darüber aus, ob Ihre konkrete Installation im Alltag sauber betrieben wird. Deshalb setzen wir auf Nachweis und Offenlegung statt auf pauschale Konformitäts-Behauptungen. Konkret legen wir offen, was wir umsetzen:
Technische Transparenz statt Zertifizierungs-Behauptung
Wir arbeiten ohne formale Zertifizierung, aber mit viel Erfahrung. Was wir konkret umsetzen, legen wir offen:
- Umgesetzte technische & organisatorische Maßnahmen (TOM)
- Orientiert an ISO/IEC 27001 bzw. BSI IT-Grundschutz
- Gehärteter SSH-Zugriff, restriktive Firewall, kein direkter Root-Login
- Hosting- und Zugriffslage transparent dokumentiert
- Eigene Instanz je Kunde, Serverstandort Deutschland
- Verschlüsseltes Backup nach Paket
Was das für Ihren Betrieb bedeutet
Zusammengefasst heißt unser Ansatz: so viel Datenhoheit wie sinnvoll, so viel Komfort wie nötig – und in jedem Fall die Freiheit, den Weg später zu ändern. Die folgende Gegenüberstellung ist bewusst fair gehalten: Der typische Hyperscaler-Ansatz hat seine Berechtigung, passt aber nicht zu jedem Betrieb und nicht zu jeder Art von Daten.
Datenstandort
- Typischer Hyperscaler-Default
- global verteilt, oft schwer nachvollziehbar
- Unser Ansatz
- self-hosted in Deutschland (Ebene 1) oder EU-SaaS (Ebene 2), offengelegt
Betrieb
- Typischer Hyperscaler-Default
- vollständig beim Anbieter
- Unser Ansatz
- wir betreiben Open-Source-Systeme für Sie – übergabefähig
Lizenzkosten
- Typischer Hyperscaler-Default
- Listenpreise, regelmäßige Erhöhungen
- Unser Ansatz
- keine Lizenzbindung bei Open Source; Kizeo-Lizenz 1:1 weitergegeben
Exit / Wechsel
- Typischer Hyperscaler-Default
- durch Formate & Integrationen erschwert
- Unser Ansatz
- Exit-Fähigkeit von Anfang an mitgedacht, Ihre Daten bleiben Ihre
Ansprechpartner
- Typischer Hyperscaler-Default
- anonymer Support-Tunnel
- Unser Ansatz
- fester persönlicher Ansprechpartner aus der Region Hannover
Wir verkaufen dabei keine Ideologie. Wenn ein EU-Cloud-Dienst für Ihren Anwendungsfall die bessere Wahl ist, sagen wir das – und ordnen ihn ehrlich auf Ebene 2 ein. Souveränität ist für uns kein Dogma, sondern ein Werkzeug, das Sie gezielt und im passenden Maß einsetzen.
In drei Schritten zu mehr Souveränität
Schritt 1 – Abhängigkeiten sichtbar machen
Verschaffen Sie sich zuerst einen ehrlichen Überblick: Welche Dienste nutzen Sie, wo liegen die Daten, wer betreibt sie, und wie käme Ihr Unternehmen im Zweifel wieder heraus? Schon diese Bestandsaufnahme macht oft sichtbar, wo unbemerkt kritische Abhängigkeiten entstanden sind – und wo eigentlich alles in Ordnung ist.
Schritt 2 – Kritische Daten priorisieren
Nicht alles muss auf Ebene 1. Sortieren Sie nach Sensibilität: Betriebs- und Nachweisdaten, Dokumentenarchive und Kundendaten wiegen schwerer als ein Terminkalender. Ordnen Sie die wichtigen Bereiche den drei Ebenen zu – und beginnen Sie dort, wo Risiko und Aufwand im besten Verhältnis stehen.
Schritt 3 – Schrittweise umsetzen und Exit sichern
Migrieren Sie in überschaubaren Etappen statt in einem großen Sprung. Achten Sie bei jedem neuen System auf offene Formate und eine dokumentierte Exit-Möglichkeit, damit Sie nicht die nächste Abhängigkeit aufbauen. Genau hier setzen wir an: Wir richten Open-Source-Bausteine auf deutscher Infrastruktur ein, betreiben sie sauber und begleiten die organisatorische Seite – nüchtern und ohne Rechtsversprechen.
Häufige Fragen zur digitalen Souveränität
Bedeutet digitale Souveränität, komplett auf US-Anbieter zu verzichten?
Nein. Souveränität ist nicht Autarkie. Das Ziel ist nicht, jede außereuropäische Technologie zu meiden, sondern handlungsfähig und selbstbestimmt zu bleiben – also zu wissen, wo Ihre Daten liegen, wer darauf zugreifen kann und ob Sie im Ernstfall den Anbieter wechseln könnten. Für viele Betriebe ist eine bewusste Mischung sinnvoll: kritische Nachweise self-hosted in Deutschland, anderes als EU-SaaS.
Reicht es nicht, wenn die Daten in einem EU-Rechenzentrum liegen?
Nicht zwingend. Ein EU-Serverstandort ist wichtig, aber nicht allein entscheidend. Gehört der Anbieter zu einem US-Konzern, kann er über den CLOUD Act zur Herausgabe von Daten verpflichtet werden – unabhängig davon, ob die Server in Frankfurt oder Virginia stehen. Entscheidend ist das Zusammenspiel aus Datenstandort, Betreiber-Jurisdiktion und Ihrer Kontrolle über Zugriff und Schlüssel.
Was ist der CLOUD Act – und betrifft er mein KMU?
Der US CLOUD Act von 2018 verpflichtet US-Unternehmen, herausgabepflichtige Daten auf rechtsgültige US-Anordnung hin herauszugeben, auch wenn diese außerhalb der USA gespeichert sind. Für ein KMU ist das selten ein akutes Alltagsproblem, aber ein strukturelles Restrisiko: Sie haben keine Kontrolle darüber und erfahren im Zweifel nichts davon. Wie hoch Sie es gewichten, hängt von der Sensibilität Ihrer Daten ab.
Was bedeutet Vendor Lock-in konkret?
Lock-in heißt: Der Wechsel weg von einem Anbieter ist so teuer oder aufwendig, dass er praktisch ausgeschlossen ist – etwa durch proprietäre Formate, tief integrierte Dienste oder Datenmengen, deren Transfer Geld kostet. Der EU Data Act baut solche Hürden ab: Wechselgebühren zwischen Cloud-Anbietern werden schrittweise verboten. Trotzdem bleibt Lock-in im laufenden Betrieb ein reales Thema, das man von Anfang an mitdenken sollte.
Ist Open Source automatisch souverän und sicherer?
Nein, Open Source ist ein starker Baustein, aber kein Automatismus. Quelloffenheit gibt Ihnen Nachvollziehbarkeit, Unabhängigkeit vom Lizenzmodell und die Freiheit, den Betrieb selbst zu übernehmen. Sicherheit und Souveränität entstehen aber erst durch sauberen Betrieb: Härtung, Updates, Backups, Zugriffskonzepte. Genau diese Betriebsebene übernehmen wir – auf deutscher Infrastruktur.
Was kostet mehr Souveränität?
Souveränität hat ihren Preis – nicht immer in Euro, aber in Aufwand und manchmal in Komfort. Self-hosted Systeme müssen betrieben, aktualisiert und gesichert werden. Dafür entfallen Lizenzbindung und die Abhängigkeit von fremden Preiserhöhungen. In der Praxis rechnet sich der Schritt oft dann, wenn Lizenzkosten steigen oder die Daten besonders sensibel sind. Wir ordnen das für Ihren Fall nüchtern ein, statt pauschal zu einer Seite zu raten.
Sind Ihre Systeme „revisionssicher“ und „DSGVO-konform“?
Solche pauschalen Zusagen machen wir bewusst nicht – sie wären unseriös. Was wir liefern, sind belastbare technische und organisatorische Maßnahmen und volle Transparenz darüber, was umgesetzt ist. ISO-27001-Zertifizierungen beziehen sich auf das genutzte Rechenzentrum, nicht auf uns. Ob ein System am Ende revisionssicher betrieben wird, entscheiden Konfiguration, Organisation und Verfahrensdokumentation – dazu gibt es unseren Grundlagen-Beitrag zur Revisionssicherheit.
Einordnung: Was dieser Beitrag leistet – und was nicht
Digitale Souveränität ist ein Feld in Bewegung: Marktanteile, Gerichtsverfahren und Regeln ändern sich laufend. Die Zahlen und Rechtsbezüge in diesem Beitrag sind eine sorgfältig geprüfte Momentaufnahme (Stand Juli 2026) und ersetzen keine rechtliche Beratung im Einzelfall. Souveränität gibt es außerdem nicht zum Nulltarif – mehr Kontrolle bedeutet mehr Verantwortung für den Betrieb; was sich für Ihr Unternehmen rechnet, lässt sich nur im konkreten Fall beurteilen. Wir nennen unsere Quellen offen und aktualisieren den Beitrag bei wesentlichen Änderungen.
Quellen & weiterführende Stellen
Die zentralen Primärquellen zum Nachlesen bei den amtlichen und offiziellen Stellen:
- BSI – Digitale Souveränität & Kriterienkatalog C3A · bsi.bund.de
- EU Cloud Sovereignty Framework & DMA (Cloud) · digital-strategy.ec.europa.eu
- Verordnung (EU) 2023/2854 – Data Act · eur-lex.europa.eu
- Verordnung (EU) 2022/1925 – Digital Markets Act · eur-lex.europa.eu
- Richtlinie (EU) 2022/2555 – NIS-2 · eur-lex.europa.eu
- Verordnung (EU) 2024/2847 – Cyber Resilience Act · eur-lex.europa.eu
- CLOUD Act (H.R. 4943, 115th Congress) · congress.gov
- Bitkom – Cloud Report 2026 · bitkom.org
Kostenloses Tool
Souveränität ist eine Entscheidung – kein Alles-oder-nichts.
Machen Sie in 12 Fragen eine ehrliche Standortbestimmung: wo Ihre Daten liegen, wie abhängig Sie heute sind und welcher Schritt sich zuerst lohnt – mit sofortiger Auswertung und konkreten Empfehlungen.
Souveränität ist eine Entscheidung – lassen Sie uns Ihre Ausgangslage ansehen
Wir schauen gemeinsam nüchtern hin: wo heute kritische Abhängigkeiten liegen, welche Daten wirklich auf Ebene 1 gehören und welcher Schritt sich zuerst lohnt. Ohne Ideologie, ohne Rechtsversprechen – aus der Region Hannover.