Neu

Digitale Souveränität: Klar sehen, souverän entscheiden mehr erfahren

Kontakt
Logo
m4b - Gradient farblos 4
Header_Digitale_Souveraenitaet

Digitale Souveränität

Grundlage staatlicher Handlungsfähigkeit in der DACH-Region

Digitale Souveränität als Voraussetzung für staatliches Handeln

Digitale Souveränität ist im öffentlichen Sektor längst kein theoretisches Leitbild mehr, sondern ein Gradmesser staatlicher Handlungsfähigkeit in einer digitalisierten Welt. Sie entscheidet darüber, ob Verwaltungen und Behörden in der DACH-Region zentrale Aufgaben selbst steuern können oder ob Updates, Datenzugriffe und Betriebsbedingungen faktisch von Unternehmen und Rechtsordnungen außerhalb Europas vorgegeben werden.

In den vergangenen Jahren haben Sanktionen, gestörte Lieferketten, wachsende Cyberbedrohungen und geopolitische Spannungen deutlich gemacht, wie anfällig vernetzte Infrastrukturen sind, wenn Schlüsseltechnologien und Plattformen im Ausland entwickelt und kontrolliert werden. Hinzu kommt ein Rechtsrahmen wie der US CLOUD Act, der unter bestimmten Voraussetzungen Datenzugriffe durch US-Behörden auch dann ermöglicht, wenn Informationen physisch in europäischen Rechenzentren liegen.

In dieser Gemengelage ist fehlende digitale Souveränität nicht nur ein reines IT-Thema, sondern ein Risiko für kritische Infrastrukturen, wirtschaftliche Stabilität und demokratische Entscheidungsprozesse. Gerade im föderal geprägten DACH-Raum mit seinen zahlreichen historisch gewachsenen Strukturen und Prozessen stellt sich folgende Frage dringlicher denn je: Können Staat und Verwaltung in der DACH-Region auf allen Ebenen – vom Bund über die Länder oder Kantone bis hin zu den Gemeinden – in kritischen Situationen noch eigenständig handeln, oder schränken technische und rechtliche Abhängigkeiten ihre Handlungsoptionen ein?

Digitale Souveränität im Public Sector:

Risiko- und Abhängigkeitslagen verstehen

Digitale Souveränität beschreibt die Fähigkeit des Staates und der Verwaltung, digitale Technologien, Daten und Prozesse selbstbestimmt zu nutzen und weiterzuentwickeln. Im Kern geht es um die Kontrolle über kritische IT-Systeme, Datenflüsse und Architekturen sowie darum, einseitige Abhängigkeiten von einzelnen Herstellern oder Plattformen zu vermeiden. Praktisch heißt das: Verwaltungen müssen in der Lage sein, Systeme zu verstehen, zu steuern und bei Bedarf zu ersetzen, statt technische und organisatorische Gestaltungsfähigkeit komplett abzugeben.[1]

Digitale Souveränität ist dabei keine Entweder-oder-Frage, sondern eine Frage des Grades: Auch internationale Anbieter können Teil eines souveränen Setups sein, sofern Abhängigkeiten transparent sind, sich auf ein Minimum beschränken lassen und im Notfall auflösbar sind.

Digitale Souveränität wird konkreter, wenn man die Risiken betrachtet, denen der öffentliche Sektor heute ausgesetzt ist. Ein zentraler Punkt ist dabei der Umgang mit extraterritorialer Gesetzgebung wie dem US CLOUD Act. Dieser verpflichtet US-Anbieter unter bestimmten Bedingungen zur Herausgabe von Daten an US-Behörden – unabhängig davon, ob diese Daten physisch in Europa gespeichert sind. Entscheidend ist somit nicht nur der Standort des Rechenzentrums, sondern auch, wer rechtlich und technisch Zugriff auf die Systeme hat.[2]

Hinzu kommt das Risiko des Vendor-Lock-Ins. Fachverfahren, Plattformen und Cloud-Services können so stark mit proprietären Schnittstellen und Diensten eines einzelnen Anbieters verwoben sein, dass ein Wechsel de facto kaum noch möglich ist – zumindest nicht ohne hohe Kosten, lange Projektlaufzeiten und operative Risiken. Dieses Risiko besteht grundsätzlich für alle Anbieter, unabhängig von ihrer Herkunft. Daraus lassen sich vier Risikoebenen ableiten: 

  • Sicherheit: Können ausländische Behörden trotz technischer Schutzmaßnahmen (z.B. Verschlüsselung) auf Daten zugreifen?
     
  • Verfügbarkeit: Was passiert, wenn Updates ausbleiben, Dienste eingestellt werden oder bei Störungen kein Wechsel möglich ist?
     
  • Politisches Restrisiko: Welche Folgen drohen bei geopolitischem Druck, Sanktionen oder strategischer Leistungsverweigerung? [3]
     
  • Innovationskraft: Welche Auswirkungen hat es, wenn Systeme langfristig an einen einzigen Anbieter gebunden sind, sodass neue Entwicklungen oder alternative Lösungsansätze nur schwer integriert werden können?

Die Vier Säulen digitaler Souveränität

Digitale Souveränität in der Verwaltung ist ein Zusammenspiel von vier Gestaltungsbereichen, die nur mit ausreichenden Kompetenzen erreicht werden können. Die vier Säulen – Technische Souveränität durch standardisierte Bausteine, operative Souveränität durch entkoppelte Module, Datensouveränität durch portable Datenflüsse, also die Möglichkeit, Daten möglichst einfach zwischen Systemen oder Anbietern zu übertragen und Governance durch bewusste Architekturentscheidungen – beschreiben die konkreten Ebenen, auf denen digitale Selbstbestimmtheit umgesetzt wird. Sie sind die Hebel, um Abhängigkeiten bewusst zu gestalten und zu kontrollieren. Sie stellen einen analytischen Rahmen von Souveränitätskriterien für digitale Infrastrukturen und Plattformen dar. [4]

 

Technische Souveränität sorgt durch offene Standards, dokumentierte Schnittstellen und den Einsatz von Open-Source-Lösungen dafür, dass Systeme interoperabel und portierbar bleiben. Das ist eine zentrale Voraussetzung dafür, um später wirklich zwischen Lösungen und Anbietern wechseln zu können. Konkret bedeutet das: Wo es technisch und organisatorisch möglich ist, werden Open‑Source‑Lösungen eingesetzt. Zugleich kommen Multi‑Cloud‑Strategien zum Einsatz, um Abhängigkeiten von einzelnen Plattformen zu vermeiden. Durch portable Technologien wie Container und standardisierte Datenbankformate bleiben Anwendungen migrationsfähig, ohne dass eine vollständige Neuentwicklung erforderlich ist.

In der DACH‑Region manifestiert sich technische Souveränität durch die Prinzipien offener Standards, Förderung von Open Source, Portabilität und die gezielte Reduktion von Herstellerabhängigkeiten. In Österreich und Deutschland orientiert man sich dabei unter anderem am Cloud Sovereignty Framework der EU, das als Referenzrahmen für die Bewertung und Beschaffung souveräner Cloud‑Dienste dient. In Deutschland setzt das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) außerdem auf den Ausbau einer interoperablen und modularen föderalen Cloud‑Infrastruktur, der Deutschen Verwaltungscloud (DVC) sowie auf die Schaffung des Deutschland‑Stacks als gemeinsamer Technologieplattform. In Österreich spielt das Bundesrechenzentrum BRZ als zentraler Infrastruktur‑ und Kompetenzträger eine Schlüsselrolle sowie die Einbindung der föderalen IT‑Landschaft. In der Schweiz ist die zukünftige Swiss Government Cloud (SGC) im Bundesamt für Informatik und Telekommunikation (BIT) ein Beispiel für technische Souveränität – eine Hybrid‑Multi‑Cloud‑Lösung, die technische Steuerbarkeit, Portabilität und kontrollierte Abhängigkeiten im Bundesbetrieb sicherstellen soll.

Operative Souveränität betrifft den laufenden Betrieb: Handlungsfähig im Alltag bleibt, wer den Betrieb kritischer Anwendungen eigenständig steuern, Providerwechsel organisieren und zentrale Administrationsaufgaben selbst verantworten kann. Entscheidend ist also, die Kontrolle über den Betrieb zu behalten und einen Wechsel zwischen Anbietern zu ermöglichen. Ein Schlüsselprinzip dafür ist Modularität: Systeme bestehen aus austauschbaren Komponenten, die unabhängig voneinander weiterentwickelt oder ersetzt werden können, ohne die Gesamtlösung zu gefährden. Offene Standards und interoperable Schnittstellen spielen dabei eine zentrale Rolle, weil sie Provider‑ und Systemwechsel erleichtern und Risiken bei Modernisierungen deutlich reduzieren.

In der DACH‑Region zeigt sich operative Souveränität insbesondere daran, dass Bund, Länder beziehungsweise Bundes‑ und Kantonsbehörden kritische Anwendungen selbst steuern und bei Bedarf Anbieter wechseln können. Entscheidend dafür ist die Schaffung einer interoperablen und modularen IT‑Architektur. In Deutschland spielt hier beispielsweise auch die Deutsche Verwaltungscloud (DVC) eine Rolle, die die operative Gestaltungsfähigkeit gegenüber Anbietern unterstützt. In Österreich gelingt die Umsetzung modularer Architekturen und offener Schnittstellen im Zusammenspiel mit dem Bundesrechenzentrum BRZ als zentralem Infrastruktur‑ und Kompetenzträger.

Datensouveränität stellt schließlich sicher, dass Staat und Verwaltung jederzeit kontrollieren können, wo Daten liegen, wer darauf zugreifen darf und wie sie geschützt werden – inklusive der Fähigkeit, auf extraterritoriale Zugriffsansprüche angemessen zu reagieren.

In der DACH‑Region konkretisiert sich Datensouveränität durch die Verbindung von Datenschutzrecht, Standort‑ und Verarbeitungssteuerung sowie technischer Architektur mit dem Ziel, eine angemessene Kontrolle über die Ressourcen und Daten ausüben zu können. Dabei geht es insbesondere um den Umgang mit extraterritorialen Gesetzen wie dem US‑CLOUD‑Act, um den Aufbau regionaler Rechenzentrumskapazitäten sowie um die Verbesserung und Weiterentwicklung von Datenschutzregulierungen. In Deutschland und Österreich bestimmt maßgeblich die europäische Datenschutz‑Grundverordnung (DSGVO) – ergänzt durch nationale Datenschutzvorgaben beziehungsweise Landesdatenschutzgesetze [5][6] – die Thematik, während in der Schweiz das revidierte Datenschutzgesetz (revDSG) als modernisiertes Datenschutzrecht eine schärfere Kontrolle über die Datenverarbeitung etabliert. Dabei ist die Kompatibilität des Schweizer Rechts mit dem EU‑Recht (DSGVO) ein wichtiger Aspekt des neuen Gesetzes. [7] Ein weiteres Beispiel von Datensouveränität in der Schweiz ist auch die Empfehlung der Schweizer Datenschutzkonferenz Privatim, internationale Cloud‑SaaS‑Angebote großer US‑Hyperscaler für Behörden mit besonders schützenswerten oder geheimhaltungspflichtigen Personendaten faktisch zu beschränken. [8]

Governance legt fest, welcher Rechtsordnung digitale Infrastrukturen und Anbieter unterliegen und welche Leitplanken für Beschaffung, Architektur und Sicherheit gelten. Damit schaffen sie den Rahmen, in dem Souveränität überhaupt ausgeübt werden kann.

In der DACH‑Region prägt Governance, wie digitale Souveränität in der Verwaltung verstanden und verankert werden. In Deutschland bilden etwa die IT‑Planungsrat‑Strategie zur digitalen Souveränität sowie der Koalitionsvertrag und die Modernisierungsagenda die politischen Leitplanken und Rahmen für die Zielsetzung im Bereich digitaler Souveränität. In Österreich erfolgt die Steuerung unter anderem über den Digital Austria Act 2.0 als strategischen Rahmen für souveräne Digitalisierung sowie über die BKA-Digitalisierungsstrategien. In der Schweiz gibt zum Beispiel der Bereich Digitale Transformation und IKT‑Lenkung (DTI) der Bundeskanzlei Weisungen zur Verankerung der digitalen Souveränität für die Bundesverwaltung vor, damit digitale Souveränität in allen relevanten Projekten systematisch geprüft, gefördert und dokumentiert wird.

Diese Gestaltungsbereiche sind notwendig für die Erreichung zentraler Ziele digitaler Souveränität: Wahlfreiheit, Gestaltungsfähigkeit und Einflussnahme auf Anbieter. Solche Zielsetzungen finden sich auch in nationalen und europäischen Governance-Ansätzen, etwa beim IT-Planungsrat in Deutschland oder den BKA‑Digitalisierungsstrategien in Österreich. Der entscheidende Faktor, damit diese Ziele umgesetzt werden können, sind jedoch ausreichende Kompetenzen in der Verwaltung. Fach- und Führungskräfte müssen Architekturkonzepte verstehen, Daten‑ und Sicherheitsanforderungen bewerten, Verträge und Betriebsmodelle einschätzen und technologische Alternativen einordnen können. Erst dann wird aus einem politischem Leitbegriff gelebte Realität.

Fazit: Digitale Souveränität als Daueraufgabe

Bei aller Notwendigkeit digitaler Selbstbestimmung gilt es stets zu bedenken: Digitale Souveränität ist für Deutschland, Österreich sowie die Schweiz kein Zustand, den die öffentliche Verwaltung einmal erreicht und dann abhaken kann. Sie ist ein kontinuierlicher Gestaltungsprozess.

Jede Technologieentscheidung wirkt sich auf Effizienz, Innovationfähigkeit und die Abhängigkeit von einzelnen Anbietern und IT-Systemen aus. Absolute Autarkie wäre weder realistisch noch wirtschaftlich sinnvoll. Entscheidend ist daher nicht, völlig ohne externe Partner auszukommen, sondern Abhängigkeiten zu kennen, zu steuern und bei Bedarf verändern zu können. Grenzen setzen dabei die Komplexität moderner IT-Stacks, extraterritoriale Rechtsrahmen und die Verfügbarkeit europäischer Lösungen. Umso wichtiger ist ein realistisches Verständnis von Souveränität als „beherrschte Abhängigkeit“ und eine klare strategische Ausrichtung von Architektur, Beschaffung und Kompetenzaufbau über Bund, Länder und Gemeinden hinweg.

Digitale Souveränität im Public Sector DACH

Verantwortung für eine digitale und souveräne Zukunft

Unabhängige Beratung ist der Schlüssel zu digitaler Gestaltungsfreiheit. Unsere gebündelte Expertise im DACH-Raum bringt vielfältige Perspektiven auf souveräne IT-Strategien und eine erfolgreiche Umsetzung zusammen. Hier finden Sie Fachartikel, Experten-Einblicke und Use-Cases aus Deutschland, Österreich und der Schweiz – mit konkreten Ansätzen, wie Verwaltungen technologische Abhängigkeiten minimieren und ihre Datensouveränität langfristig sichern können. 

 

Jetzt tiefer eintauchen und Handlungsfähigkeit sichern

Visual Digitale Souveränität Public

[1] Digitale Souveränität in der öffentlichen Verwaltung - Bundesministerium für Digitales und Staatsmodernisierung

[2] Cloud-Souveränität in Europa: Warum Unternehmen jetzt handeln sollten – und wie! - Handelsblatt Live

[3] Delos, AWS und Google : Das Jahr der souveränen Clouds - Tagesspiegel Background

[4] Digitale Souveränität: Was ist das? | Bundesdruckerei Gruppe GmbH

[5] BfDI - Basiswissen zum Datenschutz - Die Grundlagen des Datenschutzrechts

[6] EU-Datenschutz-Grundverordnung (DSGVO): Das österreichische Datenschutzgesetz - DSG - WKO

[7] Neues Datenschutzgesetz (revDSG)

[8] Schweiz: Datenschützer empfehlen breites Cloud-Verbot für Behörden | heise online