„There is NO CLOUD, just other people's computers.“ So steht es auf einem Aufkleber der Free Software Foundation Europe [1], den ich vor vielen Jahren auf einer Entwicklerkonferenz mitgenommen habe. Lange, bevor „die Cloud“ die Bedeutung hatte, die sie heute hat. Irgendwie war er mir immer zu wichtig, um ihn irgendwo hinzukleben, also liegt er seit Jahren auf meinem Schreibtisch, ordentlich einsortiert neben OSGeo-Aufkleber [2], GNU-Button [3] und FOSSGIS-Pin [4].

Natürlich ist die Cloud grundsätzlich eine gute Idee. Sie macht uns flexibel, spart Geld und Zeit und bietet jedem den schnellen und unkomplizierten Zugang zu Rechenpower, die man früher nur mit eigenen Servern erreichen konnte. Aber es sind eben auch einfach irgendwelche Computer, die in Rechenzentren stehen, die sich unserer Kontrolle entziehen, und Daten an Stellen abspeichern, die wir üblicherweise nicht kennen. Im Bedarfsfall gewähren sie unter politischem Druck Leuten und Organisationen Zugriff, denen diese Freiheit eigentlich gar nicht zugestanden wurde.

Interessant ist hier, warum die „Cloud“ eigentlich „Cloud“ heißt. „Die Cloud steht [...] für Rechnernetze, deren Inneres unbedeutend oder unbekannt ist“, heißt es bei Wikipedia [5]. In diesem Sinne wurden Wolken in Architekturdiagrammen, Präsentationen oder Flipchart-Skizzen als ein Symbol für „das Netz“ mit all seinen Computern, Geräten, Prozessen und Nutzern verwendet. Sprich: für ein System, das wir letztlich nicht durchschauen und erst recht nicht kontrollieren können.

Genau an dieser Stelle wird es interessant. Wir speichern also unsere Daten, berechnen unsere Kennzahlen und betreiben unsere Software in einem System, dessen Inneres uns unbekannt ist.

Hier setzt Digitale Souveränität an.

Das Kompetenzzentrum Öffentliche IT des Bundesministeriums des Innern fasst Digitale Souveränität zusammen als „die Summe aller Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“ [6].

Dieser Beitrag konzentriert sich auf Organisationen, Firmen und Behörden und betrachtet daher folgende Punkte. Demnach ist Digitale Souveränität unter anderem [6]:

• selbstbestimmtes Handeln und Entscheiden von Menschen, Unternehmen und anderen Institutionen im digitalen Raum, wobei sie die Hoheit über ihre eigenen Sicherheits- und Datenschutzinteressen behalten sollen,
• die Fähigkeit, die Vertrauenswürdigkeit, Integrität, Verfügbarkeit der Datenübertragung, -speicherung und -verarbeitung durchgängig kontrollieren zu können,
• die Selbstbestimmung von Dateneigentümern über die Nutzungsbedingungen für ihre Daten,
• über eigene Fähigkeiten auf internationalem Spitzenniveau bei digitalen Schlüsseltechnologien, entsprechenden Diensten und Plattformen zu verfügen und darüber hinaus in der Lage zu sein, selbstbestimmt und selbstbewusst zwischen Alternativen leistungsfähiger und vertrauenswürdiger Partner zu entscheiden, sie bewusst und verantwortungsvoll einzusetzen und sie im Bedarfsfall weiterzuentwickeln und zu veredeln.

Diese Punkte gelten selbstverständlich nicht nur für die Cloud, sondern für alle Komponenten einer IT-Infrastruktur, wie die Hardware, das Betriebssystem, die eingesetzte Software oder Kommunikationswege und Schnittstellen. Alle Bestandteile sollten im Hinblick auf die eigene Digitale Souveränität getestet, bewertet und ausgewählt werden. Ziel muss es dabei immer sein, sich unabhängig von einzelnen Anbietern und Produkten zu machen und so Flexibilität, Resilienz und nicht zuletzt Innovation sicherzustellen [8].

Was für die Öffentliche Verwaltung gilt, gilt natürlich im gleichen Maße für die Freie Wirtschaft, vor allem da, wo es um Unternehmensdaten, personenbezogene Informationen oder kritische Infrastruktur geht. Firmen und Behörden stehen in der heutigen Zeit vor immensen Herausforderungen. Aktuelle Themen, wie DSGVO-konformer Datenschutz, NIS-2-Richtlinie, Software Bill of Materials (SBOM) oder IT-Security, lassen Digitale Souveränität als nebensächlich erscheinen. De facto sind das aber alles Facetten des gleichen Problems.

Seit einigen Monaten gewinnt das Thema Digitale Souveränität in allen Medien immer größere Bedeutung. In Zeiten zunehmender politischer Instabilität, in denen einst verlässliche Partner in unwägbare politische Strukturen abdriften, scheinen die Themen wie Datenhoheit, technologische Unabhängigkeit, Cybersicherheit oder Rechtsrahmen und Governance, weiter an Bedeutung zu gewinnen. Das alles sind zentrale Themen der Digitalen Souveränität.

Der Bitkom e.V. hat sich mit dem Thema der digitalen Abhängigkeit beschäftigt und dazu Anfang 2025 eine Studie veröffentlicht [7]. Demnach sehen sich rund 90% der befragten Unternehmen in einer zum Teil starken Abhängigkeit zu ausländischen Technologien, größtenteils aus Ländern, deren Rechtsempfinden zumindest aktuell deutlich vom europäischen Standard abweicht.

Der Bitkom stellt zusammenfassend der Digitalen Souveränität in Deutschland ein „schlechtes Zeugnis“ aus.

Demnach ist es sehr wichtig, nicht nur Cloud-Anbieter sorgfältig auszuwählen, sondern auch Softwareanbieter nebst eingesetzten Produkten sowie IT-Dienstleister. Und das nicht nur im Hinblick auf technische Fragestellungen, sondern zunehmend auch mit Blick auf die politisch-gesellschaftliche Ebene.

Warum sind offene Standards und Freie Software wichtige Bausteine der Digitalen Souveränität?

Warum stehen im Kaufhaus des Bundes Rahmenverträge zur Verfügung, die die öffentliche Verwaltung beim Umstieg auf Freie Software unterstützen sollen, beispielsweise bei der Ablösung von Oracle durch PostgreSQL [8]?

Warum definiert die Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers Open Source Software als ein zentrales Element und wichtige Voraussetzung zur Stärkung der Digitalen Souveränität [9]?

Ein wichtiger Baustein zur Wahrung der Digitalen Souveränität ist es, Abhängigkeiten zu reduzieren, vor allem von Herstellern und Dienstleistern. Der CIO-Bund identifiziert eingeschränkte Informationssicherheit, rechtliche Unsicherheit, unkontrollierbare Kosten, eingeschränkte Flexibilität und fremdgesteuerte Innovation als mögliche Risiken von solchen Abhängigkeiten [8].

Selbstverständlich ist es den Herstellern von Software und deren Dienstleistern nicht vorzuwerfen, dass sie Abhängigkeiten schaffen möchten. Denn schließlich bindet sie Kunden und schafft verlässliche und planbare Umsätze. Ob das für die Kunden aber das Beste ist, sei an dieser Stelle in Frage gestellt, denn letztlich ist man den Entscheidungen des Herstellers ausgeliefert. Das

• beginnt bei technischen Themen, wie Datenformaten, Schnittstellen oder Aufwärtskompatibilität,
• geht über wirtschaftliche Themen, wie Preisgestaltung oder Lizenzmodelle, und
• endet nicht zuletzt bei Security-Themen wie dem Standort der Server oder der Frage, welche staatliche Behörde sich vielleicht das Recht herausnimmt, mal nachzuschauen, wer denn da was abgespeichert hat.

Mit Freier Software und offenen Standards hat man diese Probleme nicht. An dieser Stelle sei (sorry, mal wieder) auf die Rechte hingewiesen, die Freie Software einräumt [10]:

• Die Freiheit, das Programm auszuführen, wie man möchte und für jeden Zweck.
• Die Freiheit, die Funktionsweise des Programms zu untersuchen und eigenen Datenverarbeitungsbedürfnissen anzupassen.
• Die Freiheit, das Programm zu redistribuieren und damit Mitmenschen zu helfen.
• Die Freiheit, das Programm zu verbessern und diese Verbesserungen für die Öffentlichkeit freizugeben, damit die gesamte Gesellschaft davon profitiert.

Man stellt relativ schnell fest, dass diese Rechte größtenteils deckungsgleich sind mit den Kriterien, welche die Digitale Souveränität sicherstellen. Freie Software macht eine Organisation unabhängig von Software-Anbietern und ihren strategisch motivierten technischen Vorgaben. Denn nicht selten werden unter dem Deckmantel der angeblichen Leistungsfähigkeit proprietäre Strukturen und Datenformate manifestiert, deren einziger Zweck der technologische Ausschluss von Mitbewerbern ist. Im Ergebnis ist man dem Anbieter und seinen Entscheidungen ausgeliefert und wird unflexibel.