Souveränitäts-Washing bei Cloud-Diensten

Der Begriff der digitalen Souveränität ist in aller Munde. In Deutschland, der Schweiz und ganz Europa bekräftigen Verwaltungen, Unternehmen, Medien und politische Institutionen die Notwendigkeit, sich von digitalen Abhängigkeiten zu lösen. Konkret geht es vor allem darum, die kritischen Abhängigkeiten von grossen, zumeist nicht-europäischen Software- und Cloud-Anbietern aufzubrechen, deren Lösungen über die letzten Jahrzehnte fester Teil vieler staatlicher IT-Infrastrukturen geworden sind. Doch der Weg raus aus der Abhängigkeit ist nicht immer leicht zu erkennen. Mit ihrer Grösse und Marktmacht haben vor allem die US-amerikanischen Hyperscaler in den vergangenen Jahren faktisch ein Oligopol geschaffen. Diese Stellung versuchen die Konzerne nun mit allen Mitteln zu behaupten. Ihre Reaktion auf das europäische Streben nach mehr digitaler Souveränität sind neue Produkte, die Souveränität versprechen – aber faktisch nicht liefern. Was dabei entsteht, ist eine neue Form des Etikettenschwindels: Souveränitäts-Washing – also die Vermarktung von scheinbar souveränen Lösungen, die sich bei genauerer Betrachtung jedoch als neue Verpackung altbekannter Abhängigkeiten entpuppen. Im Artikel werden verschiedene Aspekte beleuchtet, die die digitale Souveränität von Verwaltungen gefährden, wenn sie weiter auf proprietäre Software aus dem nicht-europäischen Ausland bauen.

Was bedeutet digitale Souveränität?

Digitale Souveränität beschreibt die Fähigkeit eines Staates oder einer Organisation, digitale Infrastrukturen und Dienste selbstständig, selbstbestimmt und sicher zu gestalten, zu betreiben und weiterzuentwickeln – ohne unkontrollierbare Abhängigkeiten von einzelnen Anbietern oder Drittstaaten. Digitale Souveränität geht damit weit über die reine Datensouveränität, die vor allem die Kontrolle über die eigenen Daten meint, hinaus und umfasst auch den Zugriff auf Quellcode, Entscheidungsstrukturen und Standards. Auch das Netzwerk Souveräne Digitale Schweiz (SDS) definiert digitale Souveränität als die Hoheit über Daten und schliesst die Fähigkeit, technologische Komponenten und Systeme eigenständig zu entwickeln, zu verändern, zu kontrollieren und durch andere Komponenten zu ergänzen, mit in die Definition ein.


Die politischen und gesellschaftlichen Forderungen nach Unabhängigkeit sind auch den globalen IT-Konzernen nicht verborgen geblieben. Zunehmend positionieren sich US-Hyperscaler und andere Anbieter mit vermeintlich souveränen Angeboten. Dazu gehören zum Beispiel spezielle Rechenzentren in Europa, Kooperationen mit nationalen Unternehmen und besondere Datenschutzversprechen (beispielsweise «Datengrenzen»). All das soll Vertrauen schaffen und Geschäft sowie Einfluss sichern. Was aber verschwiegen wird: Die technologische Kontrolle – und damit auch die technologische Souveränität – wesentlicher Komponenten verbleibt bei den US-Konzernen. Das gilt auch für die Bereitstellung von Sicherheits- und Funktions-Updates. Damit werden kritische strukturelle Abhängigkeiten nicht aufgelöst. Weder Betriebssicherheit noch Operational Continuity können dauerhaft gewährleistet werden. Zudem fehlt es an der geforderten Transparenz, Gestaltungs- und Wechselfähigkeit.

Update-Zyklen und Betriebsabhängigkeit

Cloud-Infrastrukturen sind komplexe, hochdynamische Systeme, die auf tägliche oder wöchentliche Software- und ­Sicherheitsupdates angewiesen sind. Diese Updates betreffen Hypervisor, Ressourcen-Management (Compute, Storage, Networking), Verwaltungsschnittstellen (APIs, Dashboards) sowie alle Security- und Monitoring-Dienste. Auch die zentralen Steuerungsmechanismen (beispielsweise IAM-Systeme, Container-Orchestrierung, Verschlüsselungsdienste) sind integraler Bestandteil der globalen Plattformarchitektur. Bei proprietären Systemen können sie nicht unabhängig betrieben oder von Dritten gewartet werden. Das bedeutet: Fällt die Verbindung zur zentralen Plattform des Anbieters weg – etwa durch politische Entscheidungen oder Exportrestriktionen –, wird die Infrastruktur innerhalb kürzester Zeit unsicher und letzten Endes unbrauchbar. Das gilt gleichermassen für die Public- oder Private-Cloud-Services der Anbieter selbst wie auch für Cloud-Instanzen, die in Partnerschaft mit hiesigen Anbietern oder abgeschottet in eigenen Rechenzentren (air-gapped) bereitgestellt werden.

Die grossen Hyperscaler betonen selbst, dass Updates innerhalb von fünf bis sieben Tagen eingespielt werden sollten, um den sicheren Betrieb zu gewährleisten. Stünden diese Updates plötzlich nicht mehr zur Verfügung (Unterbrechung der Softwarelieferkette) – ein durchaus denkbares Druckmittel der US-Regierung, um Einfluss auf die Politik in anderen Ländern zu nehmen und eigene Interessen durchzusetzen –, wäre keine Zeit mehr für einen Anbieterwechsel.


Ein weiteres Problem liegt in der Struktur moderner Cloud-Plattformen. Zwar werben die meisten Anbieter mit der Unterstützung offener Standards (wie Kubernetes oder OpenID), doch in der Praxis sind viele zentrale Dienste proprietär erweitert oder monolithisch integriert. Die Portabilität von Daten und Workloads ist quasi nur auf dem Papier gegeben, denn der Aufwand eines Plattformwechsels ist hoch – und zwar technisch, organisatorisch sowie finanziell.

US-Recht kennt keine Grenzen

Spätestens seit dem NSA-Skandal ist bekannt, dass sich die USA mit Hilfe von Technologie Einfluss sichern und die Souveränität anderer Staaten untergraben. Durch Gesetze wie den Cloud Act und FISA 702 unterliegen alle US-Cloud-Anbieter der Pflicht, Daten auch dann offenzulegen, wenn sie ausserhalb der USA gespeichert sind. Dasselbe gilt für entsprechende Executive Orders des US-Präsidenten. Sie entfalten eine extraterritoriale Wirkung, selbst wenn dies mit nationalem Recht kollidiert. Dies gilt auch für Metadaten, Betriebsprotokolle oder Systemzugriffe.

Diese Macht wird von der US-Regierung auch eingesetzt: Kontosperrungen von Accounts von Mitarbeitenden des Internationalen Strafgerichtshof (IStGH) belegen den Einfluss der US-Regierung auf US-Unternehmen. Hier wurden nicht nur Microsoft-Konten gesperrt, sondern auch die Zugänge zum Bank-Zahlungsverkehr und Buchungsplattformen.


Eine Datenhoheit, wie sie europäische Datenschutzstandards fordern, ist bei der Nutzung US-amerikanischer Lösungen somit nicht gewährleistet. Dies gilt selbst dann, wenn «souveräne» Rechenzentren in Frankfurt, München oder Amsterdam stehen oder «Datengrenzen» eingezogen werden. Zuletzt bestätigt wurde dies im Juli 2025 durch den Chefjustiziar von Microsoft Frankreich im Rahmen einer Anhörung vor dem französischen Senat. Dort gab er an, nicht unter Eid garantieren zu können, dass Microsoft keine Daten an die US-Regierung weiterleiten müsse.

Massnahmen für digitale Souveränität

Auf EU-Ebene wird bereits gegen den Architektur-Lock-in gegengesteuert: 2025 trat der EU Data Act in Kraft. Er verpflichtet Cloud-Provider, ihren Kunden jederzeit mit zweimonatiger Kündigungsfrist und danach innerhalb von 30 Tagen unproblematisch einen Wechsel zu anderen Anbietern und sogar zu On-Premises-Lösungen zu ermöglichen – Stichworte Cloud-Switching und Datenportabilität. Zudem macht der Data Act technische Vorgaben zur Interoperabilität und verpflichtet die Cloud-Anbieter, Schnittstellen für Wechsel-Tools bereitzustellen. Hersteller haben reagiert und ihre Cloud-Dienste bereits anschlussfähiger gestaltet. Ob das reicht, um die technischen, organisatorischen und auch finanziellen Belastungen, die ein Wechsel mit sich bringt, aufzuwiegen, muss nach gegebener Zeit analysiert werden. Auch bleibt abzuwarten, inwiefern ein weiteres EU-Reformpaket auf den Data Act einwirken wird: Der sogenannte Digitale Omnibus soll den Data Act, insbesondere im Hinblick auf Verhältnismässigkeit, Übergangsregelungen und Ausnahmen für kleinere Anbieter oder hochspezialisierte Cloud-Dienste flankieren.


In Deutschland hat die Verwaltung bereits gehandelt: Seit 2024 hat der Bund dort mit dem Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZendiS) ein eigenes Service- und Kompetenzzentrum geschaffen, dessen Aufgabe es ist, die kritischen Abhängigkeiten der Verwaltung aufzulösen. Angelehnt an das Zendis hat sich in der Schweiz 2025 das Netzwerk Souveräne Digitale Schweiz (SDS) gegründet. In enger Zusammenarbeit stellen ZendiS und SDS Lösungsangebote bereit. Zum einen durch Beratung, zum anderen durch konkrete Produkte.

Angebote hinterfragen, digitale Souveränität einfordern

Digitale Souveränität ist in Politik und Verwaltung seit vielen Jahren klar definiert. Auch, wenn sich offizielle Definitionen im Detail und Formulierung unterscheiden: Im Kern ist man sich vielerorts in Deutschland und der Schweiz einig. Es geht um Handlungsfähigkeit, Selbstbestimmung und Sicherheit – allesamt Aspekte, die Kontrolle, Wechselfähigkeit und Transparenz über die eigene IT voraussetzen. Dennoch werden zunehmend Cloud-Angebote als «souverän» vermarktet, die diese Kriterien nicht oder nur teilweise erfüllen.


Um sicherzustellen, dass ein Cloud-Angebot die Anforderungen an digitale Souveränität nicht nur auf dem Papier, sondern auch faktisch erfüllt, müssen die Marketingversprechen der Provider entsprechend kritisch entlang der in der Verwaltung festgelegten Definition von digitaler Souveränität hinterfragt werden. Alternativen müssen gefunden und politisch gefördert werden.