Souveränität ist kein Luxus: Wie Regierungen und Unternehmen über Kontrolle nachdenken sollten
Regierungen und Unternehmen benötigen fundierte Souveränitätsbewertungen, um rechtliche, betriebliche, kryptografische und Lieferkettenbezogene Aspekte zu steuern.
2. Juli 2026
·Blog
·Jay Goodman
%3Aquality(100)&w=3840&q=75)
„Souveränität“ ist zu einem der am häufigsten überstrapazierten Begriffe in der Unternehmens-IT geworden. Er wird verwendet, um Datenstandort, Eigentumsverhältnisse vor Ort, Verschlüsselung im Ruhezustand, die Staatsangehörigkeit von Führungskräften vor Ort oder die Einhaltung der einen oder anderen Vorschrift zu bezeichnen. Der Begriff bedeutet oft genau das, was der Sprecher darunter verstehen möchte. Ein Unternehmen verwendet ihn, um den Datenstandort zu beschreiben, ein anderes, um die Eigentumsverhältnisse zu beschreiben, und ein Anbieter nutzt ihn möglicherweise, um etwas ganz anderes zu beschreiben. Infolgedessen artet die Diskussion über Souveränität häufig in Debatten über Definitionen aus, anstatt sich auf den Inhalt zu konzentrieren.
Diese Flexibilität lässt sich immer schwerer aufrechterhalten. In zahlreichen Ländern haben Regierungen in den Jahren 2025 und 2026 das Thema Souveränität aus dem Marketingdiskurs herausgenommen und in Beschaffungsrahmenwerke, regulatorische Anforderungen und formelle Bewertungsprogramme integriert. Regierungen, Branchenaufsichtsbehörden und Beschaffungsstellen veröffentlichen strukturierte Rahmenwerke, verbindliche Bewertungssysteme und Mindestanforderungen für die Beschaffung, die sowohl Anbieter als auch Käufer verpflichten. Die Rahmenwerke unterscheiden sich zwar im Detail, laufen jedoch auf dieselben Kernfragen hinaus: Wer kontrolliert was?
Für Unternehmen, die mit sensiblen Daten, kritischen Betriebsabläufen oder regulierten Arbeitslasten umgehen, ist Datenhoheit kein optionales Thema mehr. Die Herausforderung besteht nun darin, zu verstehen, welche Rahmenbedingungen gelten, und die internen Kapazitäten aufzubauen, um mit der Entwicklung neuer Rahmenbedingungen Schritt zu halten.
Die Frameworks, die bereits verfügbar sind
Hier finden Sie einen Überblick über die wichtigsten Rahmenwerke, die bereits in Kraft sind oder deren Umsetzung kurz bevorsteht.
EU-Rahmenwerk für Cloud-Souveränität (SEAL)
Die Europäische Kommission veröffentlichte im Oktober 2025 die Version 1.2.1 und setzte sie im April 2026 operativ um, um staatliche Cloud-Aufträge im Wert von 180 Millionen Euro zu vergeben. Das Rahmenwerk bewertet Anbieter anhand von acht Souveränitätszielen über fünf Stufen der Souveränitätswirksamkeitssicherung (SEAL-0 bis SEAL-4). SEAL-2 dient als Mindestanforderung für die Auftragsvergabe, und eine gewichtete Punktzahl bestimmt die Vergabereihenfolge unter den qualifizierten Anbietern. Die Kommission hat erklärt, dass sie dieselben Kriterien auch auf weitere digitale Dienste anwendet, die sie für EU-Institutionen bereitstellt, und es wird erwartet, dass das künftige Gesetz KI Cloud- und KI die Grundsätze des Rahmenwerks in verbindliches EU-Recht umsetzt.
Das britische Rahmenwerk zur Cyber-Risikobewertung und GovAssure
Das „Cyber Assessment Framework“ (CAF) des britischen National Cyber Security Centre (NCSC) ermöglicht eine strukturierte, ergebnisorientierte Bewertung der Cyber-Resilienz in kritischen nationalen Infrastrukturen und Regierungssystemen. Der im Januar 2026 veröffentlichte Cyber-Aktionsplan der Regierung, bekräftigt das CAF als Standard-Bewertungsmechanismus und nutzt „GovAssure“, um es auf Regierungssysteme anzuwenden. Ab dem Zyklus 2026–27 ersetzen Audits durch Dritte die Selbstbewertung, und die Auditoren verlangen dokumentierte technische Nachweise anstelle von Grundsatzerklärungen. Es wird erwartet, dass der britische Gesetzentwurf zur Cybersicherheit und Resilienz die entsprechenden Verpflichtungen auf Betreiber wesentlicher Dienste im privaten Sektor ausweitet.
DORA (Gesetz zur digitalen Betriebsresilienz)
DORA ist eine seit Januar 2025 geltende direkte EU-Verordnung, die für rund 22.000 Finanzunternehmen in der gesamten EU sowie deren kritische IKT-Drittanbieter gilt. Sie schreibt IKT-Drittanbieterregister, vertragliche Bestimmungen zu Prüfungsrechten und Kündigungsrechten sowie die Meldung schwerwiegender Vorfälle innerhalb von vier Stunden nach deren Einstufung vor. Für Finanzunternehmen ist DORA der operative Rahmen für Risiken durch IKT-Drittanbieter, wobei die europäischen Aufsichtsbehörden , die eine direkte Aufsicht über kritische Anbieter ausüben.
NIS2-Richtlinie
Die NIS-Richtlinie wird ersetzt durch erweitert NIS2 den Geltungsbereich von rund 20.000 auf rund 160.000 Organisationen in wesentlichen und wichtigen Sektoren, darunter Energie, Verkehr, Gesundheitswesen, Wasserversorgung, digitale Infrastruktur, verarbeitendes Gewerbe und öffentliche Verwaltung. Die Mitgliedstaaten hatten bis Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen (einige haben die Umsetzung noch nicht abgeschlossen), wobei die vollständige Einhaltung bis Oktober 2026 erforderlich ist. NIS2 schreibt Verpflichtungen zum Cybersicherheits-Risikomanagement, Anforderungen an die Sicherheit der Lieferkette sowie Fristen für die Meldung von Vorfällen vor, die konzeptionell der DORA entsprechen.
Australisches Zertifizierungsrahmenwerk für Hosting-Dienstleistungen
Das seit 2022 in Betrieb befindliche und derzeit einer im November 2025 angekündigten Reform unterzogene HCF schreibt vor, dass alle sensiblen Daten der australischen Regierung, regierungsweite Systeme sowie Systeme mit der Geheimhaltungsstufe „PROTECTED“ bei HCF-zertifizierten Anbietern gehostet werden müssen. Die Zertifizierung setzt nachweisliche Eigentums- und Kontrollstrukturen voraus, die mit den Interessen des Commonwealth im Einklang stehen, sowie eine widerstandsfähige Lieferkette und Maßnahmen zur Gewährleistung der Datenhoheit.
Nationale Initiativen zur souveränen Cloud
Frankreichs „Cloud de Confiance“, Deutschlands „Souveräner Cloud“sowie ähnliche nationale Programme in den europäischen Mitgliedstaaten schaffen landesspezifische Anforderungen, die parallel zu den Rahmenwerken auf EU-Ebene gelten. Eine strukturell eigenständige, aber häufig mit diesen Programmen verwechselte Kategorie ist das Treuhandmodell für lizenzierte Technologien: Dabei handelt es sich um Vereinbarungen wie „Bleu“ (Orange und Capgemini betreiben Microsoft-Technologie in Frankreich) und „Delos“ (SAP betreibt Microsoft-Technologie in Deutschland), bei denen europäische Unternehmen lizenzierte US-Technologie im Rahmen vertraglicher Souveränitätskonstrukte betreiben. Ob solche Treuhandstrukturen die rechtlichen Mindestanforderungen eines bestimmten Rahmens erfüllen, hängt davon ab, ob die Rechtsordnung des zugrunde liegenden Lizenzgebers eine extraterritoriale Haftung begründet, die sich über das Lizenzverhältnis auswirkt. Diese Analyse wird derzeit von europäischen Vergabebehörden intensiv diskutiert und bleibt eine der folgenreichen offenen Fragen in der aktuellen Souveränitätspolitik. Außerhalb Europas wurden ähnliche Anforderungen in Japan, Malaysia, Südkorea (CSAP), Südafrika, Nigeria, Pakistan, Bolivien, Kolumbien, Panama und anderen Ländern veröffentlicht oder vorgeschlagen. Der „US National Trade Estimate Report on Foreign Trade Barriers“ von 2026 verweist auf Anforderungen an die Cloud-Souveränität in rund fünfzig Prozent mehr Ländern als der Bericht von 2025. Ob man diese Anforderungen als sinnvolle öffentliche Politik oder als Handelshemmnisse betrachtet, ist für Beschaffungszwecke nebensächlich: Sie existieren, sie gelten, und man muss sich darauf einstellen.
Branchenspezifische Prüfungssysteme
Leitlinien der Finanzaufsichtsbehörden FCA, PRA, OCC und vergleichbarer Behörden. Anforderungen an die Widerstandsfähigkeit im Gesundheitswesen gemäß HIPAA und vergleichbaren nationalen Regelungen. Sowie Anforderungen an die Widerstandsfähigkeit im Energie- und kritischen Infrastrukturbereich gemäß CER und vergleichbaren Vorschriften. Jede dieser Vorschriften bringt ihre eigenen, mit der Souveränität zusammenhängenden Verpflichtungen hinsichtlich Datenstandort, Risikomanagement bei Dritten und operativer Widerstandsfähigkeit mit sich.
Diese Liste ist nicht vollständig und wird wahrscheinlich noch länger werden. Entscheidend ist die Richtung, in die die Entwicklung geht: Überall – in verschiedenen Rechtsräumen, Branchen und Beschaffungssystemen – tauchen Anforderungen an die Souveränität auf. Souveränität ist mittlerweile ein Bereich, der mehrere Rahmenwerke umfasst, und Organisationen, die dies als eine auf ein einziges Rahmenwerk beschränkte Compliance-Maßnahme betrachten, werden stets hinterherhinken.
Was die Frameworks gemeinsam haben
Vergleicht man diese Rahmenwerke nebeneinander, zeichnet sich ein gemeinsames Muster ab. Bei SEAL, CAF, DORA, NIS2, HCF und den nationalen Programmen tauchen dieselben Kernfragen in unterschiedlicher Terminologie auf.
Wer ist rechtlich befugt, die Offenlegung zu erzwingen? Wo befinden sich die Daten physisch und unter welcher Gerichtsbarkeit? Wer ist für den Betrieb zuständig, und könnte der Kunde den Betrieb fortsetzen, falls der Anbieter nicht mehr verfügbar wäre? Wie sieht die Lieferkette aus und wo liegen ihre Abhängigkeiten? Welche Nachweise gibt es dafür, dass das System wie angegeben funktioniert? Wie werden Vorfälle gemeldet und an wen? Kann der Kunde aus dem Vertrag aussteigen und zu welchen Bedingungen?
Die Rahmenwerke unterscheiden sich hinsichtlich Gewichtung, Beschaffungsschwellenwerten und Berichtspflichten, doch letztlich versuchen sie alle, dieselben grundlegenden Fragen zu beantworten. Eine Organisation, die sich in Bezug auf diese Fragen eine interne Disziplin erarbeitet hat, kann sich mit angemessener Sicherheit in jedem spezifischen Rahmenwerk zurechtfinden. Eine Organisation, die ihre Compliance ausschließlich auf ein einziges Rahmenwerk ausgerichtet hat, wird sich immer wieder neu ausrichten müssen, sobald neue Rahmenwerke hinzukommen.
Aus diesem Grund sollten Organisationen eher Fähigkeiten zur Selbstbestimmung aufbauen, anstatt sich auf eine einzelne Vorschrift zu optimieren. Rahmenbedingungen werden sich ändern. Die entscheidenden Fragen sind weitaus beständiger.
Souveränität ist kein Eigentum eines Anbieters
Sobald der Rahmen abgesteckt ist, erleichtert ein konzeptioneller Schritt die weitere Diskussion: Souveränität ist keine Eigenschaft eines Anbieters.
Anbieter haben keine Entscheidungshoheit. Die Entscheidungshoheit liegt bei den Kunden, und eine Geschäftsbeziehung mit einem Anbieter kann diese entweder erhalten oder untergraben.
Es mag wie ein feiner Unterschied erscheinen, doch er verändert die gesamte Einschätzung. Sobald man die Souveränität aus der Perspektive des Kunden betrachtet, verlagert sich die Diskussion von den Behauptungen der Anbieter hin zur tatsächlichen Kontrolle.
Wenn ein Kunde einen Vertrag mit einem Anbieter abschließt, wird ein gewisses Maß an Kontrolle über Daten, Infrastruktur oder Betriebsabläufe übertragen. Bei der Souveränitätsbewertung wird untersucht, in welchem Umfang Kontrolle übertragen wurde, um welche Art von Kontrolle es sich dabei handelt und wer diese Kontrolle letztendlich ausübt.
Stellen Sie sich einen Anbieter vor, dessen Hauptsitz sich in einem Rechtsraum mit extraterritorialer Rechtsdurchsetzung befindet und der einen SaaS-Dienst von lokalen Rechenzentren aus bereitstellt, mit vor Ort ansässigem Supportpersonal und lokal verwahrten Verschlüsselungsschlüsseln. Dieser Anbieter hat eine teilweise operative Fassade aufgebaut, ohne die Souveränität an den Kunden zu übertragen. Die Entscheidungsgewalt verbleibt bei der Muttergesellschaft, dem Rechtsraum der Muttergesellschaft und dem dort geltenden Rechtsdurchsetzungssystem. Die Souveränität des Kunden ist eine Funktion dieser Realität, nicht der sichtbaren Fassade.
Bei der Souveränität geht es letztendlich um Kontrolle: Wer hat sie, wo liegt sie und welche Instanz regelt sie? Neuere Konzepte gehen das Problem zwar unterschiedlich an, nähern sich jedoch zunehmend diesem Grundprinzip an.
Fünf Aspekte, die bei jeder Bewertung der Souveränität berücksichtigt werden müssen
Lässt man die Bezeichnungen einmal beiseite, lassen sich die meisten Bewertungen der Souveränität auf fünf Fragen zurückführen. Je nach Rahmenkonzept werden diese Fragen zwar etwas unterschiedlich gegliedert, doch die grundlegenden Fragen sind dieselben.
1. Rechtsgrundlage
Wer ist rechtlich befugt, den Anbieter zur Offenlegung, Änderung oder Herausgabe von Daten und Betriebsabläufen zu zwingen, und liegt diese Befugnis außerhalb der Gerichtsbarkeit des Kunden? Der Begriff „ausländisch“ bezieht sich stets auf die Organisation, die die Bewertung durchführt, sei es eine Beschaffungsstelle, eine Aufsichtsbehörde oder ein Leitungsgremium. Die Heimatgerichtsbarkeit eines Anbieters ist an sich nicht problematisch; entscheidend ist vielmehr, ob diese Gerichtsbarkeit Befugnisse in einer Weise ausüben kann, die im Widerspruch zu den Souveränitätsanforderungen des Kunden steht. Bei der EU-Vergabe wird geprüft, ob der Anbieter einem Zwang von außerhalb der EU ausgesetzt ist. Bei der US-Bundesvergabe wird geprüft, ob er einem Zwang von außerhalb der USA ausgesetzt ist. Verbündete Regierungen prüfen, ob er einem Zwang durch Gerichtsbarkeiten außerhalb des Bündnisses ausgesetzt ist. Jedes Rahmenwerk definiert in diesem Sinne seine eigene rechtliche Mindestanforderung. Dies ist auch der Grund, warum die Rechtsordnung der Muttergesellschaft eine größere Rolle spielt als die der operativen Tochtergesellschaft: Die Muttergesellschaft behält die rechtliche Befugnis, die Tochtergesellschaft zu zwingen, unabhängig davon, wo die Tochtergesellschaft eingetragen ist. Extraterritoriale Zwangsregelungen – Gesetze, die einen Staat ermächtigen, seine Unternehmen zur Herausgabe von Daten zu zwingen, unabhängig davon, wo sich diese Daten physisch befinden – sind das zentrale Anliegen, und sie stehen im Mittelpunkt der Überlegungen der bewertenden Behörde. Die eidesstattliche Aussage einer lokalen Tochtergesellschaft eines großen Hyperscalers vor dem französischen Senat im Jahr 2025, in der bestätigt wurde, dass die Sicherheit lokaler Daten vor Zwangsmaßnahmen der Muttergesellschafts-Gerichtsbarkeit nicht garantiert werden könne, ist das klassische Beispiel aus öffentlichen Unterlagen speziell für die Bewertung der EU-Souveränität. Dieselbe Aussage würde im Kontext des US-Bundesbeschaffungswesens anders gewertet werden, wo die Einhaltung des US-Rechts ein konstitutives Merkmal akzeptabler Souveränität ist und keinen Verstoß gegen diese darstellt. Das Prinzip ist einheitlich; das Ergebnis hängt von der Gerichtsbarkeit ab, die die Bewertung vornimmt.
2. Operative Zuständigkeit
Wer ist für den täglichen Betrieb des Systems zuständig, und könnte der Kunde es weiterhin betreiben, falls der Anbieter nicht mehr verfügbar wäre? Dies wird manchmal als „operative Autonomie“ oder „Ausstiegskosten“ bezeichnet, doch im Kern geht es um die Frage, ob der Kunde technischen und vertraglichen Zugang zu den operativen Kernkomponenten des Dienstes hat: Quellcode, Build-Pipelines, Bereitstellungsinfrastruktur und Eskalationswege für den Support. Ein SaaS-Dienst ohne On-Premise-Option bietet strukturell weniger betriebliche Souveränität als ein Dienst, den der Kunde innerhalb seiner eigenen Infrastruktur bereitstellen und betreiben kann – unabhängig davon, wie robust der Betrieb des Anbieters ist. Die Umstellung des Internationalen Strafgerichtshofs (ICC) im Jahr 2025 von einem großen Hyperscaler auf Open-Source-Alternativen, ausgelöst durch US-Sanktionen gegen ICC-Mitarbeiter, ist ein Beispiel aus der Praxis dafür, dass betriebliche Souveränität zu einem dringenden Anliegen wird.
3. KI für Kryptografie und KI
Wer verwahrt die Schlüssel und wo verlaufen KI ? Verschlüsselungsschlüssel, die sich im Besitz des Anbieters befinden – selbst wenn dieser vertraglich verpflichtet ist, sie nicht zu verwenden –, unterscheiden sich strukturell von Schlüsseln, die sich im Besitz des Kunden befinden. Ein Anbieter, der die Schlüssel besitzt, kann rechtlich dazu gezwungen oder technisch übergangen werden, ohne dass der Kunde dies verhindern kann. Die gleiche Logik gilt für KI : Wenn Kundendaten durch ein Modell fließen, das in einer nicht vom Kunden kontrollierten Infrastruktur gehostet wird, hat der Kunde die Kontrolle über diesen Datenfluss verloren – selbst wenn der Anbieter sich verpflichtet, diese Daten nicht zu speichern oder zum Trainieren des Modells zu verwenden. Da KI in jede Kategorie digitaler Dienste eingebunden sind, wird dieser Aspekt zur am schnellsten wachsenden Quelle unbeabsichtigter Aushöhlung der Souveränität.
4. Behörde für die Lieferkette
Wo wird die Software entwickelt und über welche Lieferkette gelangt sie zum Kunden? Dies ist die Frage mit der längsten Kausalkette und oft der geringsten Transparenz. Software wird selten von Anfang bis Ende an einem einzigen Ort entwickelt. Sie setzt sich aus Abhängigkeiten, Bibliotheken, Build-Tools und einer Betriebsinfrastruktur zusammen, die weltweit bezogen werden können. Bei der Souveränität geht es hier um die Widerstandsfähigkeit dieser Lieferkette gegenüber Störungen, Sanktionen oder Kompromittierungen – nicht nur um den Standort des Hauptsitzes des genannten Anbieters. Das Rahmenwerk der EU zur Cloud-Souveränität berücksichtigttdie Lieferkette mit zwanzig Prozent gewichtet – der höchste Wert aller einzelnen Dimensionen –, was eine politische Einschätzung widerspiegelt, dass die Herkunft der Lieferkette die beständigste und am wenigsten nachträglich anpassbare der Souveränitätsdimensionen ist.
5. Nachgewiesene Sicherheit und Betriebsintegrität
Welche Belege gibt es dafür, dass das System hält, was es verspricht? Souveränität ist im Abstrakten bedeutungslos, wenn das System wiederholt kompromittiert wurde. Zertifizierungen spielen hier zwar eine Rolle, jedoch als Nachweis für die operative Reife und nicht als Marketing-Auszeichnungen. Relevant sind jene Zertifizierungen, die das System im Einsatz validieren, wie beispielsweise die „NATO Restricted“-Akkreditierung, „NSA Commercial Solutions for Classified“, BSI-Zertifizierungen auf Bundesebene und CAF-Bewertungen mit entsprechenden Profilen – und nicht solche, die lediglich die Prozesse des Anbieters im Abstrakten validieren.
Diese fünf Dimensionen sind nicht erschöpfend. Auch Nachhaltigkeit, technologische Offenheit und strategische Stabilität spielen eine Rolle und werden in fundierten Rahmenwerken berücksichtigt. Diese fünf Aspekte bilden jedoch den Kern der Debatte um Souveränität, und jede Anbieterbewertung, die nicht alle fünf berücksichtigt, liefert nur eine unvollständige Antwort.
Das Problem mit dem Boden
Einer der häufigsten Fehler bei der Bewertung der Souveränität besteht darin, jede Dimension als Kompromiss zu betrachten. Aus dem gewichteten Durchschnitt der fünf Dimensionen ergibt sich zwar eine Gesamtpunktzahl, doch ist diese irreführend, wenn auch nur eine einzige Dimension den Wert Null aufweist.
Ein Anbieter mit einer robusten kryptografischen Architektur, ausgereiften Betriebsabläufen, einer transparenten Lieferkette und umfangreichen Sicherheitszertifizierungen, der jedoch ausländischen rechtlichen Zwangsmaßnahmen ausgesetzt ist, weist eine Lücke in der Souveränität auf, die die anderen vier Dimensionen nicht schließen können. Diese Lücke befindet sich nicht im sichtbaren Teil der Architektur, sondern in der zugrunde liegenden rechtlichen Autorität, die über der Architektur steht. Kryptografie schützt nicht vor der Herausgabe von Schlüsseln aufgrund einer gerichtlichen Anordnung. Operative Reife schützt nicht vor erzwungenem Zugriff. Die Transparenz der Lieferkette ändert nichts an der Gerichtsbarkeit der Muttergesellschaft.
Aus diesem Grund behandeln ausgefeilte Rahmenwerke bestimmte Dimensionen (wobei die rechtliche Autorität das klassische Beispiel ist) als Mindestanforderungen: Mindestschwellenwerte, die unabhängig voneinander erfüllt werden müssen, anstatt mit anderen Dimensionen gemittelt zu werden. Die zweistufige Bewertung des EU-Rahmenwerks zur Cloud-Souveränität – eine Mindestanforderung in jeder Dimension, gefolgt von einer gewichteten Bewertung der qualifizierten Anbieter – ist ein Ausdruck dieser Vorgehensweise. Die ergebnisorientierten Grundsätze des CAF, die anhand profilspezifischer Schwellenwerte bewertet werden, sind ein weiterer. Dieses Muster wiederholt sich, da es widerspiegelt, wie Souveränität unter Druck funktioniert.
Für Organisationen, die ihre eigenen Bewertungskriterien entwickeln, ist die Festlegung der Mindestanforderungen die wichtigste Entscheidung in der Anfangsphase. Die Frage lautet: Welche Aspekte würden – sollten sie nicht erfüllt sein – die gesamte Lieferantenbeziehung unhaltbar machen, unabhängig von kompensierenden Stärken? Bei den meisten regulierten Beschaffungsprozessen ist die rechtliche Befugnis ein solcher Aspekt. Die kryptografische Kompetenz ist oft ein weiterer Faktor, da keine noch so hohe operative Exzellenz den Umstand kompensieren kann, dass der Anbieter Ihre Schlüssel besitzt, wenn Ihr Bedrohungsmodell eine Kompromittierung oder Nötigung des Anbieters einschließt. Die Integrität der Lieferkette kann ein dritter Faktor für Systeme sein, bei denen Angriffe auf die Lieferkette ein vorrangiges Problem darstellen.
Die Vergabediskussion, also die gewichtete Bewertung der Anbieter, die die Mindestanforderungen erfüllen, ist zweitrangig. Sie ist zwar wichtig, stellt aber eine andere Art von Frage dar. Es geht dabei um die Präferenz unter den akzeptablen Optionen. Bevor Unternehmen Anbieter miteinander vergleichen, müssen sie zunächst festlegen, welche Anbieter überhaupt als Kandidaten in Frage kommen.
Warum die operative Substanz wichtiger ist als die Unternehmensstruktur
In Diskussionen zum Thema Souveränität taucht immer wieder ein Muster auf: die Nutzung von Unternehmensstrukturen, um Souveränität zu beanspruchen, ohne die operative Substanz zu verändern. Ein Anbieter mit Hauptsitz in einer Rechtsordnung gründet eine Tochtergesellschaft in einer rechtsordnungssensiblen Region, bezeichnet diese als lokalen souveränen Anker und beansprucht Souveränität. Bei genauerer Betrachtung zeigt sich jedoch, dass die Tochtergesellschaft lediglich eine vertragliche Ebene über einem von der Muttergesellschaft kontrollierten Betrieb darstellt. Die technische Entwicklung findet bei der Muttergesellschaft statt. Der Aufbau der Infrastruktur erfolgt in der Rechtsordnung der Muttergesellschaft. Aktualisierungskanäle laufen über die Kontrolle der Muttergesellschaft. Der Souveränitätsanspruch ist inhaltlich dünn.
Die operative Substanz ist der Maßstab, der echte souveräne Tätigkeiten von einer bloßen Fassade in Form einer Unternehmensstruktur unterscheidet. Dieser Maßstab gilt jedoch innerhalb des rechtlichen Rahmens und nicht außerhalb davon. Eine operativ substanzstarke Einheit in einer souveränitätssensiblen Rechtsordnung ändert nichts an der rechtlichen Autorität, die über der gesamten Struktur steht. Ist die Muttergesellschaft in einer Rechtsordnung eingetragen, deren Rechtssystem die Zwangsvollstreckung durch eine Behörde außerhalb der Rechtsordnung des Kunden zulässt, bleibt die Muttergesellschaft diesem Zwangsvollstreckungsrisiko ausgesetzt, unabhängig davon, wie viel operative Kontrolle die Tochtergesellschaft ausübt. Operative Substanz kann SOV-4, SOV-5, SOV-6 und SOV-7 in Richtung Souveränität verschieben. Sie kann SOV-2 (Rechtlich) jedoch nicht über die Untergrenze hinaus verschieben, die die rechtliche Stellung der Muttergesellschaft gegenüber dem Kunden vorgibt. Kunden und Aufsichtsbehörden, die Souveränitätsansprüche bewerten, sollten funktionale Kontrolle und rechtliche Zuständigkeit als getrennte Fragen behandeln, die separat beantwortet werden, wobei die rechtliche Untergrenze zuerst und relativ zur eigenen Rechtsordnung des Kunden festgelegt wird.
Nachdem diese Einschränkung klar dargelegt wurde, ist es der „Operational-Substance-Test“, der echte souveräne Operationen von einer bloßen Unternehmensfassade bei Anbietern unterscheidet, deren Muttergesellschaftsstandort es ihnen überhaupt erst ermöglicht, die rechtlichen Mindestanforderungen zu erfüllen. Bei diesen Anbietern führt das daraus resultierende Muster, bei dem die Unternehmensstruktur der operativen Kontrolle folgt, zu dauerhafter Souveränität. Ein operatives Unternehmen, das die lokalen Varianten bereitstellt, zur ortsspezifischen Codebasis beiträgt, die Build-Infrastruktur in der lokalen Gerichtsbarkeit betreibt und die Update-Kanäle für lokale Kunden kontrolliert, gewährleistet Souveränität in der operativen Kontrolle. Die Unternehmensstruktur spiegelt die operative Realität wider, anstatt sich an die Muttergesellschaft anzupassen.
Um echte operative Substanz von einer Fassade zu unterscheiden, muss man über die Schlagzeilen hinausblicken und den Test auf der richtigen Detailebene anwenden. Ein Anbieter mit globalen Aktivitäten passt selten bei all seinen Produkten und Kundensegmenten eindeutig in das eine oder andere Muster. Derselbe Anbieter kann für eine bestimmte Produktkonfiguration – typischerweise die für souveränitätssensible Kunden in einer bestimmten Rechtsordnung konzipierte Bereitstellungsvariante – eine operativ substanzstarke Tochtergesellschaft unterhalten, während andere Produktlinien über konventionellere, von der Muttergesellschaft geführte Strukturen betrieben werden. Der Test zur Unterscheidung zwischen substanzreicher und substanzarmer Geschäftstätigkeit ist daher am nützlichsten auf der Ebene der konkret zu beschaffenden Einsatzkonfiguration und nicht auf der Ebene des Anbieters als globale Marke. Die Frage „Ist dieser Anbieter souverän?“ liefert weniger aussagekräftige Antworten als zwei nacheinander gestellte, enger gefasste Fragen: „Erlaubt die Rechtsordnung der Muttergesellschaft, dass diese Konfiguration die rechtlichen Mindestanforderungen erfüllt?“ und erst danach: „Ist die spezifische Einsatzkonfiguration, die wir erwerben, zusammen mit der spezifischen operativen Einheit, die sie bereitstellt, für einen substanzreichen Betrieb in unserer Rechtsordnung strukturiert?“
Beginnen Sie mit dem Zuständigkeitsbereich. Bewerten Sie anschließend die Abläufe.
Unter welcher Gerichtsbarkeit unterliegt die Muttergesellschaft, und setzt diese Gerichtsbarkeit die Muttergesellschaft der rechtlichen Zwangsmaßnahmen einer Behörde aus, die nicht der Gerichtsbarkeit des Kunden unterliegt?
Wer beschäftigt die Ingenieure, die den Code schreiben, der in dieser speziellen Bereitstellungskonfiguration ausgeliefert wird?
Wo wird die Build-Pipeline für diese Konfiguration ausgeführt und wer hat Zugriff darauf?
Woher stammen die Update-Kanäle für diese Konfiguration und wer trifft die Entscheidungen über die Veröffentlichung?
Falls die Muttergesellschaft nicht zur Verfügung stünde, könnte die lokale Betriebsgesellschaft den Dienst für die Kunden in dieser Konfiguration weiterhin betreiben?
Wenn die gerichtliche Zuständigkeit der Muttergesellschaft für den Kunden im Ausland liegt, versagt die rechtliche Grundlage, unabhängig davon, wie die operativen Fragen beantwortet werden. Die auf einer nicht-souveränen rechtlichen Grundlage aufbauende Substanz erreicht für diesen Kunden keine Souveränität – sie ist lediglich eine glaubwürdigere Fassade. Wenn die Gerichtsbarkeit der Muttergesellschaft im Rahmen des Kunden akzeptabel ist und die operativen Antworten auf die lokale Betriebsgesellschaft als operative Substanz hinweisen, ist die Souveränität für diese Konfiguration real. Wenn die Gerichtsbarkeit der Muttergesellschaft zwar akzeptabel ist, die operativen Antworten jedoch auf die Muttergesellschaft zurückverweisen, handelt es sich bei dem Souveränitätsanspruch um eine Marketingebene, unabhängig davon, wie die Vertragsstruktur dargestellt wird.
Weiterführende Literatur: Souveränität bekommt eine Bewertung: Was SEAL ist und warum es über die Cloud hinaus von Bedeutung ist
Souveränität ist kein Luxus: Wie Regierungen und Unternehmen über Kontrolle nachdenken sollten
Regierungen und Unternehmen benötigen fundierte Souveränitätsbewertungen, um rechtliche, betriebliche, kryptografische und Lieferkettenbezogene Aspekte zu steuern.
2. Juli 2026
·Blog
·Jay Goodman
%3Aquality(100)&w=3840&q=75)
„Souveränität“ ist zu einem der am häufigsten überstrapazierten Begriffe in der Unternehmens-IT geworden. Er wird verwendet, um Datenstandort, Eigentumsverhältnisse vor Ort, Verschlüsselung im Ruhezustand, die Staatsangehörigkeit von Führungskräften vor Ort oder die Einhaltung der einen oder anderen Vorschrift zu bezeichnen. Der Begriff bedeutet oft genau das, was der Sprecher darunter verstehen möchte. Ein Unternehmen verwendet ihn, um den Datenstandort zu beschreiben, ein anderes, um die Eigentumsverhältnisse zu beschreiben, und ein Anbieter nutzt ihn möglicherweise, um etwas ganz anderes zu beschreiben. Infolgedessen artet die Diskussion über Souveränität häufig in Debatten über Definitionen aus, anstatt sich auf den Inhalt zu konzentrieren.
Diese Flexibilität lässt sich immer schwerer aufrechterhalten. In zahlreichen Ländern haben Regierungen in den Jahren 2025 und 2026 das Thema Souveränität aus dem Marketingdiskurs herausgenommen und in Beschaffungsrahmenwerke, regulatorische Anforderungen und formelle Bewertungsprogramme integriert. Regierungen, Branchenaufsichtsbehörden und Beschaffungsstellen veröffentlichen strukturierte Rahmenwerke, verbindliche Bewertungssysteme und Mindestanforderungen für die Beschaffung, die sowohl Anbieter als auch Käufer verpflichten. Die Rahmenwerke unterscheiden sich zwar im Detail, laufen jedoch auf dieselben Kernfragen hinaus: Wer kontrolliert was?
Für Unternehmen, die mit sensiblen Daten, kritischen Betriebsabläufen oder regulierten Arbeitslasten umgehen, ist Datenhoheit kein optionales Thema mehr. Die Herausforderung besteht nun darin, zu verstehen, welche Rahmenbedingungen gelten, und die internen Kapazitäten aufzubauen, um mit der Entwicklung neuer Rahmenbedingungen Schritt zu halten.
Die Frameworks, die bereits verfügbar sind
Hier finden Sie einen Überblick über die wichtigsten Rahmenwerke, die bereits in Kraft sind oder deren Umsetzung kurz bevorsteht.
EU-Rahmenwerk für Cloud-Souveränität (SEAL)
Die Europäische Kommission veröffentlichte im Oktober 2025 die Version 1.2.1 und setzte sie im April 2026 operativ um, um staatliche Cloud-Aufträge im Wert von 180 Millionen Euro zu vergeben. Das Rahmenwerk bewertet Anbieter anhand von acht Souveränitätszielen über fünf Stufen der Souveränitätswirksamkeitssicherung (SEAL-0 bis SEAL-4). SEAL-2 dient als Mindestanforderung für die Auftragsvergabe, und eine gewichtete Punktzahl bestimmt die Vergabereihenfolge unter den qualifizierten Anbietern. Die Kommission hat erklärt, dass sie dieselben Kriterien auch auf weitere digitale Dienste anwendet, die sie für EU-Institutionen bereitstellt, und es wird erwartet, dass das künftige Gesetz KI Cloud- und KI die Grundsätze des Rahmenwerks in verbindliches EU-Recht umsetzt.
Das britische Rahmenwerk zur Cyber-Risikobewertung und GovAssure
Das „Cyber Assessment Framework“ (CAF) des britischen National Cyber Security Centre (NCSC) ermöglicht eine strukturierte, ergebnisorientierte Bewertung der Cyber-Resilienz in kritischen nationalen Infrastrukturen und Regierungssystemen. Der im Januar 2026 veröffentlichte Cyber-Aktionsplan der Regierung, bekräftigt das CAF als Standard-Bewertungsmechanismus und nutzt „GovAssure“, um es auf Regierungssysteme anzuwenden. Ab dem Zyklus 2026–27 ersetzen Audits durch Dritte die Selbstbewertung, und die Auditoren verlangen dokumentierte technische Nachweise anstelle von Grundsatzerklärungen. Es wird erwartet, dass der britische Gesetzentwurf zur Cybersicherheit und Resilienz die entsprechenden Verpflichtungen auf Betreiber wesentlicher Dienste im privaten Sektor ausweitet.
DORA (Gesetz zur digitalen Betriebsresilienz)
DORA ist eine seit Januar 2025 geltende direkte EU-Verordnung, die für rund 22.000 Finanzunternehmen in der gesamten EU sowie deren kritische IKT-Drittanbieter gilt. Sie schreibt IKT-Drittanbieterregister, vertragliche Bestimmungen zu Prüfungsrechten und Kündigungsrechten sowie die Meldung schwerwiegender Vorfälle innerhalb von vier Stunden nach deren Einstufung vor. Für Finanzunternehmen ist DORA der operative Rahmen für Risiken durch IKT-Drittanbieter, wobei die europäischen Aufsichtsbehörden , die eine direkte Aufsicht über kritische Anbieter ausüben.
NIS2-Richtlinie
Die NIS-Richtlinie wird ersetzt durch erweitert NIS2 den Geltungsbereich von rund 20.000 auf rund 160.000 Organisationen in wesentlichen und wichtigen Sektoren, darunter Energie, Verkehr, Gesundheitswesen, Wasserversorgung, digitale Infrastruktur, verarbeitendes Gewerbe und öffentliche Verwaltung. Die Mitgliedstaaten hatten bis Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen (einige haben die Umsetzung noch nicht abgeschlossen), wobei die vollständige Einhaltung bis Oktober 2026 erforderlich ist. NIS2 schreibt Verpflichtungen zum Cybersicherheits-Risikomanagement, Anforderungen an die Sicherheit der Lieferkette sowie Fristen für die Meldung von Vorfällen vor, die konzeptionell der DORA entsprechen.
Australisches Zertifizierungsrahmenwerk für Hosting-Dienstleistungen
Das seit 2022 in Betrieb befindliche und derzeit einer im November 2025 angekündigten Reform unterzogene HCF schreibt vor, dass alle sensiblen Daten der australischen Regierung, regierungsweite Systeme sowie Systeme mit der Geheimhaltungsstufe „PROTECTED“ bei HCF-zertifizierten Anbietern gehostet werden müssen. Die Zertifizierung setzt nachweisliche Eigentums- und Kontrollstrukturen voraus, die mit den Interessen des Commonwealth im Einklang stehen, sowie eine widerstandsfähige Lieferkette und Maßnahmen zur Gewährleistung der Datenhoheit.
Nationale Initiativen zur souveränen Cloud
Frankreichs „Cloud de Confiance“, Deutschlands „Souveräner Cloud“sowie ähnliche nationale Programme in den europäischen Mitgliedstaaten schaffen landesspezifische Anforderungen, die parallel zu den Rahmenwerken auf EU-Ebene gelten. Eine strukturell eigenständige, aber häufig mit diesen Programmen verwechselte Kategorie ist das Treuhandmodell für lizenzierte Technologien: Dabei handelt es sich um Vereinbarungen wie „Bleu“ (Orange und Capgemini betreiben Microsoft-Technologie in Frankreich) und „Delos“ (SAP betreibt Microsoft-Technologie in Deutschland), bei denen europäische Unternehmen lizenzierte US-Technologie im Rahmen vertraglicher Souveränitätskonstrukte betreiben. Ob solche Treuhandstrukturen die rechtlichen Mindestanforderungen eines bestimmten Rahmens erfüllen, hängt davon ab, ob die Rechtsordnung des zugrunde liegenden Lizenzgebers eine extraterritoriale Haftung begründet, die sich über das Lizenzverhältnis auswirkt. Diese Analyse wird derzeit von europäischen Vergabebehörden intensiv diskutiert und bleibt eine der folgenreichen offenen Fragen in der aktuellen Souveränitätspolitik. Außerhalb Europas wurden ähnliche Anforderungen in Japan, Malaysia, Südkorea (CSAP), Südafrika, Nigeria, Pakistan, Bolivien, Kolumbien, Panama und anderen Ländern veröffentlicht oder vorgeschlagen. Der „US National Trade Estimate Report on Foreign Trade Barriers“ von 2026 verweist auf Anforderungen an die Cloud-Souveränität in rund fünfzig Prozent mehr Ländern als der Bericht von 2025. Ob man diese Anforderungen als sinnvolle öffentliche Politik oder als Handelshemmnisse betrachtet, ist für Beschaffungszwecke nebensächlich: Sie existieren, sie gelten, und man muss sich darauf einstellen.
Branchenspezifische Prüfungssysteme
Leitlinien der Finanzaufsichtsbehörden FCA, PRA, OCC und vergleichbarer Behörden. Anforderungen an die Widerstandsfähigkeit im Gesundheitswesen gemäß HIPAA und vergleichbaren nationalen Regelungen. Sowie Anforderungen an die Widerstandsfähigkeit im Energie- und kritischen Infrastrukturbereich gemäß CER und vergleichbaren Vorschriften. Jede dieser Vorschriften bringt ihre eigenen, mit der Souveränität zusammenhängenden Verpflichtungen hinsichtlich Datenstandort, Risikomanagement bei Dritten und operativer Widerstandsfähigkeit mit sich.
Diese Liste ist nicht vollständig und wird wahrscheinlich noch länger werden. Entscheidend ist die Richtung, in die die Entwicklung geht: Überall – in verschiedenen Rechtsräumen, Branchen und Beschaffungssystemen – tauchen Anforderungen an die Souveränität auf. Souveränität ist mittlerweile ein Bereich, der mehrere Rahmenwerke umfasst, und Organisationen, die dies als eine auf ein einziges Rahmenwerk beschränkte Compliance-Maßnahme betrachten, werden stets hinterherhinken.
Was die Frameworks gemeinsam haben
Vergleicht man diese Rahmenwerke nebeneinander, zeichnet sich ein gemeinsames Muster ab. Bei SEAL, CAF, DORA, NIS2, HCF und den nationalen Programmen tauchen dieselben Kernfragen in unterschiedlicher Terminologie auf.
Wer ist rechtlich befugt, die Offenlegung zu erzwingen? Wo befinden sich die Daten physisch und unter welcher Gerichtsbarkeit? Wer ist für den Betrieb zuständig, und könnte der Kunde den Betrieb fortsetzen, falls der Anbieter nicht mehr verfügbar wäre? Wie sieht die Lieferkette aus und wo liegen ihre Abhängigkeiten? Welche Nachweise gibt es dafür, dass das System wie angegeben funktioniert? Wie werden Vorfälle gemeldet und an wen? Kann der Kunde aus dem Vertrag aussteigen und zu welchen Bedingungen?
Die Rahmenwerke unterscheiden sich hinsichtlich Gewichtung, Beschaffungsschwellenwerten und Berichtspflichten, doch letztlich versuchen sie alle, dieselben grundlegenden Fragen zu beantworten. Eine Organisation, die sich in Bezug auf diese Fragen eine interne Disziplin erarbeitet hat, kann sich mit angemessener Sicherheit in jedem spezifischen Rahmenwerk zurechtfinden. Eine Organisation, die ihre Compliance ausschließlich auf ein einziges Rahmenwerk ausgerichtet hat, wird sich immer wieder neu ausrichten müssen, sobald neue Rahmenwerke hinzukommen.
Aus diesem Grund sollten Organisationen eher Fähigkeiten zur Selbstbestimmung aufbauen, anstatt sich auf eine einzelne Vorschrift zu optimieren. Rahmenbedingungen werden sich ändern. Die entscheidenden Fragen sind weitaus beständiger.
Souveränität ist kein Eigentum eines Anbieters
Sobald der Rahmen abgesteckt ist, erleichtert ein konzeptioneller Schritt die weitere Diskussion: Souveränität ist keine Eigenschaft eines Anbieters.
Anbieter haben keine Entscheidungshoheit. Die Entscheidungshoheit liegt bei den Kunden, und eine Geschäftsbeziehung mit einem Anbieter kann diese entweder erhalten oder untergraben.
Es mag wie ein feiner Unterschied erscheinen, doch er verändert die gesamte Einschätzung. Sobald man die Souveränität aus der Perspektive des Kunden betrachtet, verlagert sich die Diskussion von den Behauptungen der Anbieter hin zur tatsächlichen Kontrolle.
Wenn ein Kunde einen Vertrag mit einem Anbieter abschließt, wird ein gewisses Maß an Kontrolle über Daten, Infrastruktur oder Betriebsabläufe übertragen. Bei der Souveränitätsbewertung wird untersucht, in welchem Umfang Kontrolle übertragen wurde, um welche Art von Kontrolle es sich dabei handelt und wer diese Kontrolle letztendlich ausübt.
Stellen Sie sich einen Anbieter vor, dessen Hauptsitz sich in einem Rechtsraum mit extraterritorialer Rechtsdurchsetzung befindet und der einen SaaS-Dienst von lokalen Rechenzentren aus bereitstellt, mit vor Ort ansässigem Supportpersonal und lokal verwahrten Verschlüsselungsschlüsseln. Dieser Anbieter hat eine teilweise operative Fassade aufgebaut, ohne die Souveränität an den Kunden zu übertragen. Die Entscheidungsgewalt verbleibt bei der Muttergesellschaft, dem Rechtsraum der Muttergesellschaft und dem dort geltenden Rechtsdurchsetzungssystem. Die Souveränität des Kunden ist eine Funktion dieser Realität, nicht der sichtbaren Fassade.
Bei der Souveränität geht es letztendlich um Kontrolle: Wer hat sie, wo liegt sie und welche Instanz regelt sie? Neuere Konzepte gehen das Problem zwar unterschiedlich an, nähern sich jedoch zunehmend diesem Grundprinzip an.
Fünf Aspekte, die bei jeder Bewertung der Souveränität berücksichtigt werden müssen
Lässt man die Bezeichnungen einmal beiseite, lassen sich die meisten Bewertungen der Souveränität auf fünf Fragen zurückführen. Je nach Rahmenkonzept werden diese Fragen zwar etwas unterschiedlich gegliedert, doch die grundlegenden Fragen sind dieselben.
1. Rechtsgrundlage
Wer ist rechtlich befugt, den Anbieter zur Offenlegung, Änderung oder Herausgabe von Daten und Betriebsabläufen zu zwingen, und liegt diese Befugnis außerhalb der Gerichtsbarkeit des Kunden? Der Begriff „ausländisch“ bezieht sich stets auf die Organisation, die die Bewertung durchführt, sei es eine Beschaffungsstelle, eine Aufsichtsbehörde oder ein Leitungsgremium. Die Heimatgerichtsbarkeit eines Anbieters ist an sich nicht problematisch; entscheidend ist vielmehr, ob diese Gerichtsbarkeit Befugnisse in einer Weise ausüben kann, die im Widerspruch zu den Souveränitätsanforderungen des Kunden steht. Bei der EU-Vergabe wird geprüft, ob der Anbieter einem Zwang von außerhalb der EU ausgesetzt ist. Bei der US-Bundesvergabe wird geprüft, ob er einem Zwang von außerhalb der USA ausgesetzt ist. Verbündete Regierungen prüfen, ob er einem Zwang durch Gerichtsbarkeiten außerhalb des Bündnisses ausgesetzt ist. Jedes Rahmenwerk definiert in diesem Sinne seine eigene rechtliche Mindestanforderung. Dies ist auch der Grund, warum die Rechtsordnung der Muttergesellschaft eine größere Rolle spielt als die der operativen Tochtergesellschaft: Die Muttergesellschaft behält die rechtliche Befugnis, die Tochtergesellschaft zu zwingen, unabhängig davon, wo die Tochtergesellschaft eingetragen ist. Extraterritoriale Zwangsregelungen – Gesetze, die einen Staat ermächtigen, seine Unternehmen zur Herausgabe von Daten zu zwingen, unabhängig davon, wo sich diese Daten physisch befinden – sind das zentrale Anliegen, und sie stehen im Mittelpunkt der Überlegungen der bewertenden Behörde. Die eidesstattliche Aussage einer lokalen Tochtergesellschaft eines großen Hyperscalers vor dem französischen Senat im Jahr 2025, in der bestätigt wurde, dass die Sicherheit lokaler Daten vor Zwangsmaßnahmen der Muttergesellschafts-Gerichtsbarkeit nicht garantiert werden könne, ist das klassische Beispiel aus öffentlichen Unterlagen speziell für die Bewertung der EU-Souveränität. Dieselbe Aussage würde im Kontext des US-Bundesbeschaffungswesens anders gewertet werden, wo die Einhaltung des US-Rechts ein konstitutives Merkmal akzeptabler Souveränität ist und keinen Verstoß gegen diese darstellt. Das Prinzip ist einheitlich; das Ergebnis hängt von der Gerichtsbarkeit ab, die die Bewertung vornimmt.
2. Operative Zuständigkeit
Wer ist für den täglichen Betrieb des Systems zuständig, und könnte der Kunde es weiterhin betreiben, falls der Anbieter nicht mehr verfügbar wäre? Dies wird manchmal als „operative Autonomie“ oder „Ausstiegskosten“ bezeichnet, doch im Kern geht es um die Frage, ob der Kunde technischen und vertraglichen Zugang zu den operativen Kernkomponenten des Dienstes hat: Quellcode, Build-Pipelines, Bereitstellungsinfrastruktur und Eskalationswege für den Support. Ein SaaS-Dienst ohne On-Premise-Option bietet strukturell weniger betriebliche Souveränität als ein Dienst, den der Kunde innerhalb seiner eigenen Infrastruktur bereitstellen und betreiben kann – unabhängig davon, wie robust der Betrieb des Anbieters ist. Die Umstellung des Internationalen Strafgerichtshofs (ICC) im Jahr 2025 von einem großen Hyperscaler auf Open-Source-Alternativen, ausgelöst durch US-Sanktionen gegen ICC-Mitarbeiter, ist ein Beispiel aus der Praxis dafür, dass betriebliche Souveränität zu einem dringenden Anliegen wird.
3. KI für Kryptografie und KI
Wer verwahrt die Schlüssel und wo verlaufen KI ? Verschlüsselungsschlüssel, die sich im Besitz des Anbieters befinden – selbst wenn dieser vertraglich verpflichtet ist, sie nicht zu verwenden –, unterscheiden sich strukturell von Schlüsseln, die sich im Besitz des Kunden befinden. Ein Anbieter, der die Schlüssel besitzt, kann rechtlich dazu gezwungen oder technisch übergangen werden, ohne dass der Kunde dies verhindern kann. Die gleiche Logik gilt für KI : Wenn Kundendaten durch ein Modell fließen, das in einer nicht vom Kunden kontrollierten Infrastruktur gehostet wird, hat der Kunde die Kontrolle über diesen Datenfluss verloren – selbst wenn der Anbieter sich verpflichtet, diese Daten nicht zu speichern oder zum Trainieren des Modells zu verwenden. Da KI in jede Kategorie digitaler Dienste eingebunden sind, wird dieser Aspekt zur am schnellsten wachsenden Quelle unbeabsichtigter Aushöhlung der Souveränität.
4. Behörde für die Lieferkette
Wo wird die Software entwickelt und über welche Lieferkette gelangt sie zum Kunden? Dies ist die Frage mit der längsten Kausalkette und oft der geringsten Transparenz. Software wird selten von Anfang bis Ende an einem einzigen Ort entwickelt. Sie setzt sich aus Abhängigkeiten, Bibliotheken, Build-Tools und einer Betriebsinfrastruktur zusammen, die weltweit bezogen werden können. Bei der Souveränität geht es hier um die Widerstandsfähigkeit dieser Lieferkette gegenüber Störungen, Sanktionen oder Kompromittierungen – nicht nur um den Standort des Hauptsitzes des genannten Anbieters. Das Rahmenwerk der EU zur Cloud-Souveränität berücksichtigttdie Lieferkette mit zwanzig Prozent gewichtet – der höchste Wert aller einzelnen Dimensionen –, was eine politische Einschätzung widerspiegelt, dass die Herkunft der Lieferkette die beständigste und am wenigsten nachträglich anpassbare der Souveränitätsdimensionen ist.
5. Nachgewiesene Sicherheit und Betriebsintegrität
Welche Belege gibt es dafür, dass das System hält, was es verspricht? Souveränität ist im Abstrakten bedeutungslos, wenn das System wiederholt kompromittiert wurde. Zertifizierungen spielen hier zwar eine Rolle, jedoch als Nachweis für die operative Reife und nicht als Marketing-Auszeichnungen. Relevant sind jene Zertifizierungen, die das System im Einsatz validieren, wie beispielsweise die „NATO Restricted“-Akkreditierung, „NSA Commercial Solutions for Classified“, BSI-Zertifizierungen auf Bundesebene und CAF-Bewertungen mit entsprechenden Profilen – und nicht solche, die lediglich die Prozesse des Anbieters im Abstrakten validieren.
Diese fünf Dimensionen sind nicht erschöpfend. Auch Nachhaltigkeit, technologische Offenheit und strategische Stabilität spielen eine Rolle und werden in fundierten Rahmenwerken berücksichtigt. Diese fünf Aspekte bilden jedoch den Kern der Debatte um Souveränität, und jede Anbieterbewertung, die nicht alle fünf berücksichtigt, liefert nur eine unvollständige Antwort.
Das Problem mit dem Boden
Einer der häufigsten Fehler bei der Bewertung der Souveränität besteht darin, jede Dimension als Kompromiss zu betrachten. Aus dem gewichteten Durchschnitt der fünf Dimensionen ergibt sich zwar eine Gesamtpunktzahl, doch ist diese irreführend, wenn auch nur eine einzige Dimension den Wert Null aufweist.
Ein Anbieter mit einer robusten kryptografischen Architektur, ausgereiften Betriebsabläufen, einer transparenten Lieferkette und umfangreichen Sicherheitszertifizierungen, der jedoch ausländischen rechtlichen Zwangsmaßnahmen ausgesetzt ist, weist eine Lücke in der Souveränität auf, die die anderen vier Dimensionen nicht schließen können. Diese Lücke befindet sich nicht im sichtbaren Teil der Architektur, sondern in der zugrunde liegenden rechtlichen Autorität, die über der Architektur steht. Kryptografie schützt nicht vor der Herausgabe von Schlüsseln aufgrund einer gerichtlichen Anordnung. Operative Reife schützt nicht vor erzwungenem Zugriff. Die Transparenz der Lieferkette ändert nichts an der Gerichtsbarkeit der Muttergesellschaft.
Aus diesem Grund behandeln ausgefeilte Rahmenwerke bestimmte Dimensionen (wobei die rechtliche Autorität das klassische Beispiel ist) als Mindestanforderungen: Mindestschwellenwerte, die unabhängig voneinander erfüllt werden müssen, anstatt mit anderen Dimensionen gemittelt zu werden. Die zweistufige Bewertung des EU-Rahmenwerks zur Cloud-Souveränität – eine Mindestanforderung in jeder Dimension, gefolgt von einer gewichteten Bewertung der qualifizierten Anbieter – ist ein Ausdruck dieser Vorgehensweise. Die ergebnisorientierten Grundsätze des CAF, die anhand profilspezifischer Schwellenwerte bewertet werden, sind ein weiterer. Dieses Muster wiederholt sich, da es widerspiegelt, wie Souveränität unter Druck funktioniert.
Für Organisationen, die ihre eigenen Bewertungskriterien entwickeln, ist die Festlegung der Mindestanforderungen die wichtigste Entscheidung in der Anfangsphase. Die Frage lautet: Welche Aspekte würden – sollten sie nicht erfüllt sein – die gesamte Lieferantenbeziehung unhaltbar machen, unabhängig von kompensierenden Stärken? Bei den meisten regulierten Beschaffungsprozessen ist die rechtliche Befugnis ein solcher Aspekt. Die kryptografische Kompetenz ist oft ein weiterer Faktor, da keine noch so hohe operative Exzellenz den Umstand kompensieren kann, dass der Anbieter Ihre Schlüssel besitzt, wenn Ihr Bedrohungsmodell eine Kompromittierung oder Nötigung des Anbieters einschließt. Die Integrität der Lieferkette kann ein dritter Faktor für Systeme sein, bei denen Angriffe auf die Lieferkette ein vorrangiges Problem darstellen.
Die Vergabediskussion, also die gewichtete Bewertung der Anbieter, die die Mindestanforderungen erfüllen, ist zweitrangig. Sie ist zwar wichtig, stellt aber eine andere Art von Frage dar. Es geht dabei um die Präferenz unter den akzeptablen Optionen. Bevor Unternehmen Anbieter miteinander vergleichen, müssen sie zunächst festlegen, welche Anbieter überhaupt als Kandidaten in Frage kommen.
Warum die operative Substanz wichtiger ist als die Unternehmensstruktur
In Diskussionen zum Thema Souveränität taucht immer wieder ein Muster auf: die Nutzung von Unternehmensstrukturen, um Souveränität zu beanspruchen, ohne die operative Substanz zu verändern. Ein Anbieter mit Hauptsitz in einer Rechtsordnung gründet eine Tochtergesellschaft in einer rechtsordnungssensiblen Region, bezeichnet diese als lokalen souveränen Anker und beansprucht Souveränität. Bei genauerer Betrachtung zeigt sich jedoch, dass die Tochtergesellschaft lediglich eine vertragliche Ebene über einem von der Muttergesellschaft kontrollierten Betrieb darstellt. Die technische Entwicklung findet bei der Muttergesellschaft statt. Der Aufbau der Infrastruktur erfolgt in der Rechtsordnung der Muttergesellschaft. Aktualisierungskanäle laufen über die Kontrolle der Muttergesellschaft. Der Souveränitätsanspruch ist inhaltlich dünn.
Die operative Substanz ist der Maßstab, der echte souveräne Tätigkeiten von einer bloßen Fassade in Form einer Unternehmensstruktur unterscheidet. Dieser Maßstab gilt jedoch innerhalb des rechtlichen Rahmens und nicht außerhalb davon. Eine operativ substanzstarke Einheit in einer souveränitätssensiblen Rechtsordnung ändert nichts an der rechtlichen Autorität, die über der gesamten Struktur steht. Ist die Muttergesellschaft in einer Rechtsordnung eingetragen, deren Rechtssystem die Zwangsvollstreckung durch eine Behörde außerhalb der Rechtsordnung des Kunden zulässt, bleibt die Muttergesellschaft diesem Zwangsvollstreckungsrisiko ausgesetzt, unabhängig davon, wie viel operative Kontrolle die Tochtergesellschaft ausübt. Operative Substanz kann SOV-4, SOV-5, SOV-6 und SOV-7 in Richtung Souveränität verschieben. Sie kann SOV-2 (Rechtlich) jedoch nicht über die Untergrenze hinaus verschieben, die die rechtliche Stellung der Muttergesellschaft gegenüber dem Kunden vorgibt. Kunden und Aufsichtsbehörden, die Souveränitätsansprüche bewerten, sollten funktionale Kontrolle und rechtliche Zuständigkeit als getrennte Fragen behandeln, die separat beantwortet werden, wobei die rechtliche Untergrenze zuerst und relativ zur eigenen Rechtsordnung des Kunden festgelegt wird.
Nachdem diese Einschränkung klar dargelegt wurde, ist es der „Operational-Substance-Test“, der echte souveräne Operationen von einer bloßen Unternehmensfassade bei Anbietern unterscheidet, deren Muttergesellschaftsstandort es ihnen überhaupt erst ermöglicht, die rechtlichen Mindestanforderungen zu erfüllen. Bei diesen Anbietern führt das daraus resultierende Muster, bei dem die Unternehmensstruktur der operativen Kontrolle folgt, zu dauerhafter Souveränität. Ein operatives Unternehmen, das die lokalen Varianten bereitstellt, zur ortsspezifischen Codebasis beiträgt, die Build-Infrastruktur in der lokalen Gerichtsbarkeit betreibt und die Update-Kanäle für lokale Kunden kontrolliert, gewährleistet Souveränität in der operativen Kontrolle. Die Unternehmensstruktur spiegelt die operative Realität wider, anstatt sich an die Muttergesellschaft anzupassen.
Um echte operative Substanz von einer Fassade zu unterscheiden, muss man über die Schlagzeilen hinausblicken und den Test auf der richtigen Detailebene anwenden. Ein Anbieter mit globalen Aktivitäten passt selten bei all seinen Produkten und Kundensegmenten eindeutig in das eine oder andere Muster. Derselbe Anbieter kann für eine bestimmte Produktkonfiguration – typischerweise die für souveränitätssensible Kunden in einer bestimmten Rechtsordnung konzipierte Bereitstellungsvariante – eine operativ substanzstarke Tochtergesellschaft unterhalten, während andere Produktlinien über konventionellere, von der Muttergesellschaft geführte Strukturen betrieben werden. Der Test zur Unterscheidung zwischen substanzreicher und substanzarmer Geschäftstätigkeit ist daher am nützlichsten auf der Ebene der konkret zu beschaffenden Einsatzkonfiguration und nicht auf der Ebene des Anbieters als globale Marke. Die Frage „Ist dieser Anbieter souverän?“ liefert weniger aussagekräftige Antworten als zwei nacheinander gestellte, enger gefasste Fragen: „Erlaubt die Rechtsordnung der Muttergesellschaft, dass diese Konfiguration die rechtlichen Mindestanforderungen erfüllt?“ und erst danach: „Ist die spezifische Einsatzkonfiguration, die wir erwerben, zusammen mit der spezifischen operativen Einheit, die sie bereitstellt, für einen substanzreichen Betrieb in unserer Rechtsordnung strukturiert?“
Beginnen Sie mit dem Zuständigkeitsbereich. Bewerten Sie anschließend die Abläufe.
Unter welcher Gerichtsbarkeit unterliegt die Muttergesellschaft, und setzt diese Gerichtsbarkeit die Muttergesellschaft der rechtlichen Zwangsmaßnahmen einer Behörde aus, die nicht der Gerichtsbarkeit des Kunden unterliegt?
Wer beschäftigt die Ingenieure, die den Code schreiben, der in dieser speziellen Bereitstellungskonfiguration ausgeliefert wird?
Wo wird die Build-Pipeline für diese Konfiguration ausgeführt und wer hat Zugriff darauf?
Woher stammen die Update-Kanäle für diese Konfiguration und wer trifft die Entscheidungen über die Veröffentlichung?
Falls die Muttergesellschaft nicht zur Verfügung stünde, könnte die lokale Betriebsgesellschaft den Dienst für die Kunden in dieser Konfiguration weiterhin betreiben?
Wenn die gerichtliche Zuständigkeit der Muttergesellschaft für den Kunden im Ausland liegt, versagt die rechtliche Grundlage, unabhängig davon, wie die operativen Fragen beantwortet werden. Die auf einer nicht-souveränen rechtlichen Grundlage aufbauende Substanz erreicht für diesen Kunden keine Souveränität – sie ist lediglich eine glaubwürdigere Fassade. Wenn die Gerichtsbarkeit der Muttergesellschaft im Rahmen des Kunden akzeptabel ist und die operativen Antworten auf die lokale Betriebsgesellschaft als operative Substanz hinweisen, ist die Souveränität für diese Konfiguration real. Wenn die Gerichtsbarkeit der Muttergesellschaft zwar akzeptabel ist, die operativen Antworten jedoch auf die Muttergesellschaft zurückverweisen, handelt es sich bei dem Souveränitätsanspruch um eine Marketingebene, unabhängig davon, wie die Vertragsstruktur dargestellt wird.
Weiterführende Literatur: Souveränität bekommt eine Bewertung: Was SEAL ist und warum es über die Cloud hinaus von Bedeutung ist
%3Aquality(100)&w=3840&q=75)