Digitale Souveränität wird oft nur durch die Linse der Infrastruktur betrachtet. Jedoch steht die Kontrolle über Daten auf Dokumentenebene im Vordergrund. Der Chef von Easy äußert seine Ansichten und bringt frische Perspektiven in den Diskurs um den Cloud Act ein.
Digitale Souveränität ist keine passive Eigenschaft, sondern muss aktiv hergestellt werden.
(Bild: Midjourney / KI-generiert)
Für Digitale Souveränität gibt es viele Definitionen, manche davon sind sehr breit gefasst. Fragt man Andreas Zipser, Vorstandsvorsitzender bei Easy Software, stellt er drei Aspekte in den Vordergrund der Betrachtung:
Infrastruktur,
Schlüsseltechnologien und
Datenhoheit.
„Diese Themenblöcke stehen auch auf der politischen Agenda meist ganz oben“, blickt der Manager auf den Gipfel für europäische Digitale Souveränität in Berlin zurück, auf dem er in seiner Rolle als Bitkom-Hauptvorstand im vergangenen November teilgenommen hat. Digitale Unabhängigkeit stand dort im Vordergrund.
Die Aussage dort war klar: Europa soll digitale Unabhängigkeit erreichen und über eine sichere Cloud- und Dateninfrastruktur sowie ‚eigene‘ Schlüsseltechnologien verfügen.
Andreas Zipser, Vorstandsvorsitzender, Easy Software
Betriebsmodelle, Plattformen und Infrastruktur
Dieser Ansatz sei deswegen vernünftig weil die Wahl der passenden Infrastruktur darüber entscheidet, ob Unternehmen ihre Betriebsmodelle, Cloud-Anbieter und Plattformen wechseln können oder ob sie technisch gebunden sind. Die Frage, ob man in die Cloud soll, stellt sich für viele gar nicht. Vielmehr gehe es um die Frage: „Public oder Private Cloud?“ Sowie darum, mit welchem hybriden Mix am besten gearbeitet werden kann. Souverän sei eine IT-Landschaft nur dann, wenn Betrieb, Cloud-Modell, Datenstandort und Wechselpfade transparent geklärt sind, führt der Manager aus.
Hintergrund
Souveränität zwischen Idealvorstellung und Wirklichkeit
Souveräne Clouds vereinen in der Idealvorstellung Daten-, Software- und betriebliche Souveränität, sodass Unternehmen selbstbestimmt handeln können. Dem könnte man einen Spruch des österreichischen Schriftstellers Helmut Qualtinger entgegenhalten, nämlich „Die Wirklichkeit ist eine Sense für Ideale.“ Denn in der IT-Praxis ist Souveränität häufig nur ein Schein, ein schöner Begriff, ein Marketing-Buzzword. Was nutzt einem beispielsweise die Möglichkeit, den Cloud-Anbieter wechseln zu können, wenn der Aufwand dafür zu groß und risikobehaftet ist? Oder wenn rechtliche Unsicherheiten formuliert werden, zu denen drei Juristen fünf Meinungen haben.
Grundsatzentscheidung first
Andreas Zipser, Vorstandsvorsitzender, Easy Software
(Bild: Easy Software)
Letztlich setzen Anwendungen, Datenbanken, Systeme und Plattformen auf dieser besagten Infrastruktur auf. Deshalb gilt es an dieser Stelle eine Grundsatzentscheidung zu treffen, so Zipser, die er wie folgt formuliert: „Entwickelt man kritische Technologien selbst oder lässt man sie entwickeln?“ Bei der Betrachtung der Anbieter stellt sich die Frage: „Wer ermöglicht die größtmögliche Freiheit?“ Ein KI-Assistent, der nur mit aufwändigen Spezialanpassungen des Herstellers funktioniert, sei keine Innovation, sondern letztlich ein Vendor-Lock-in mit neuem Etikett. Zipser postuliert: „Erst die Offenheit und Integrationsfähigkeit von Lösungen schafft Raum für die Digitale Transformation.“ Sie hält Unternehmen anpassungsfähig, auch wenn neue Technologien wie KI oder Automatisierung hinzukommen.
Erst die Offenheit und Integrationsfähigkeit von Lösungen schafft Raum für die Digitale Transformation.
Andreas Zipser, Vorstandsvorsitzender, Easy Software
Der Kern Digitaler Souveränität ist seiner Meinung nach die Datenhoheit. „Und wenn wir bei Easy über Daten sprechen, dann meinen wir immer auch Dokumente“, so der Manager. Schließlich stecken dort die Informationen, nämlich in:
Verträgen,
Rechnungen,
technischen Unterlagen,
Personalakten,
Compliance-Berichten,
internen Briefings und
Projektdokumenten.
Dokumente sind so betrachtet das operative Gedächtnis eines Unternehmens, das teilweise jahrzehntelang zurückreicht.
Hintergrund
Wer ist Andreas Zipser?
Andreas Zipser ist seit März 2021 Vorstandsvorsitzender bei Easy Software. Zuvor verantwortete er für die Sage Group als Executive Vice President und Managing Director Central Europe das Geschäft in Deutschland, Österreich, Schweiz und Polen. Unter anderem leitete er auch die Einführung der Sage Business Cloud in Zentraleuropa. Der diplomierte Wirtschaftsmathematiker arbeitete in den letzten 25 Jahren außerdem in der Geschäftsführung für CAS Software, in leitenden Positionen unter anderem für SAS-Institute sowie als Partner zweier Unternehmensberatungsgesellschaften.
Datenhoheit – wer hat den Zugriff?
In der DMS-Branche wollen Kunden nicht nur genau wissen, wo die Dokumente abgelegt sind, sondern auch wer darauf zugreifen darf. „Und das übrigens schon lange vor DSGVO und AI Act – und unabhängig von Branche oder Unternehmensgröße“, blickt Zipser zurück. Wenn beispielsweise externe Dienstleister oder Lieferanten Zugriff auf Systeme erhalten, muss klar geregelt sein, welche Dokumente sie sehen dürfen und welche nicht. Zugriff auf Bestellungen bedeutet daher nicht automatisch Zugriff auf Preislisten, Margen oder interne Auswertungen. „Wer nicht weiß, welche Verträge gelten oder welche Laufzeiten und Kündigungsfristen bestehen, verliert schnell Handlungsspielraum“, weiß der Vorstandsvorsitzende.
Hintergrund:
IT-Verantwortliche im Cloud-Struggle
„Nix gwiß woas ma net“, so eine bayerische Redensart, die gut zusammenfasst, was IT-Verantwortliche beim Thema Cloud in den Grübelmodus bringt. Einerseits sind US-Hyperscaler eine feste Größe im Cloud-Business, zumal sie spezielle Angebote für die geforderte Cloud-Souveränität in Europa bieten. Andererseits kursiert die Rechtsauffassung, dass der Cloud Act in den USA im Lichte einer Datenschutzfolgenabschätzung juristische Probleme in Hinblick auf die Datenschutzgrundverordnung verursacht.
Eine Frage der Berechtigungen
Im Dokumentenmanagement wird Datenhoheit über klar definierte Berechtigungen und Zugriffsregeln hergestellt. Grundsätzlich gilt: Je sensibler Dokumente sind, desto höher ist das rechtliche und operative Risiko, das mit ihrer Verarbeitung verbunden ist. „Moderne Dokumenten- und Archivsysteme müssen deshalb mehr leisten, als Informationen lediglich abzulegen“, sagt Zipser. Sie schaffen zentrale und nachvollziehbare Speicherorte, ermöglichen feingranulare Zugriffsrechte und stellen sicher, dass Zugriffe und Änderungen lückenlos dokumentiert werden.
Wie man Dokumente nicht verteilt
In der Praxis heißt das, dass Informationen nicht mehr verteilt über Fileshares, E-Mails oder einzelne Cloud-Dienste vorgehalten werden sollten. Vielmehr gilt es Dokumente zentral zu bündeln, strukturiert abzulegen und revisionssicher zu führen. Zugriffsrechte lassen sich dann bis auf Dokumentenebene steuern, Bearbeitungen bleiben jederzeit nachvollziehbar und jeder Zugriff wird erfasst. „Gerade in stark regulierten Branchen wie der Finanzwirtschaft, dem Gesundheitswesen oder der öffentlichen Verwaltung ist das eine zentrale Voraussetzung, um Compliance-Anforderungen dauerhaft und verlässlich zu erfüllen“, weiß der Manager.
Eine Frage der Identität
Womit wir zum nächsten Knackpunkt kommen: Identitätsmanagement. Derjenige, der mit entsprechenden Rechten zugreift, muss auch wirklich die richtige Person sein. Welche Prinzipien für Zugriffskontrolle und Identitätsmanagement sind vor diesem Hintergrund sinnvoll, welche unverzichtbar, um sensible Dokumente zu schützen? „Diese Frage lässt sich gut beantworten, wenn man zunächst einen Blick auf die rechtlichen und regulatorischen Rahmenbedingungen wirft“, sagt Zipser. „In der EU setzen Regelwerke wie die DSGVO, die NIS2-Richtlinie oder auch internationale Standards wie ISO 27001 klare Anforderungen an den Schutz sensibler Daten.“ Diese Vorgaben verlangen unter anderem
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zugriffskonzepte,
Identitätsverwaltung sowie
technische und organisatorische Maßnahmen, die unbefugten Zugriff verhindern.
Diese Vorgaben gelten für alle Anbieter, die in der EU tätig sind oder hier Dienstleistungen erbringen. Kunden profitieren dadurch grundsätzlich von einem hohen Maß an Rechtssicherheit und Transparenz im Markt, sagt der Manager.
Die Krux mit dem Cloud Act
Demgegenüber stehen laut Zipser Regelungen wie der US Cloud Act, der in den vergangenen Jahren immer wieder Kritik und Verunsicherung ausgelöst hat. US-Behörden können demnach unter bestimmten Voraussetzungen auch auf Daten zugreifen, die außerhalb der USA gespeichert sind. Ein Rechtsgutachten der Universität Köln, das im Auftrag des Bundesministeriums des Innern und für Heimat (BMI) erstellt wurde, äußert sich in diese Richtung. Demnach seien Daten, die von US-Unternehmen oder deren Tochtergesellschaften in Europa gehostet werden, nicht grundsätzlich vor einem US-Zugriff geschützt – „auch wenn die Marketingbotschaften oft anderes versprechen“, fügt Zipser hinzu. Es herrsche vor diesem Hintergrund viel Unsicherheit. Grundsätzlich lasse sich aber sagen: „Bleiben Hosting, Datenverarbeitung sowie Sitz, Führung und Eigentümerstruktur konsequent im europäischen Rechtsraum, ist die eigene Datenhoheit deutlich robuster abgesichert“, so der Easy-Chef.
Das Prinzip der minimalen Rechtevergabe
Diese Gemengenlage sei der Hintergrund, vor dem sich Zugriffskontrollen und Identitätsmanagement in der Praxis abspielen müssen. Ein grundlegender Leitgedanke lautet dabei: „Nicht jeder darf alles sehen oder alles tun“, so Zipser.
Unverzichtbar sei daher auch das Prinzip der minimalen Rechtevergabe. Jeder Nutzer erhält dabei ausschließlich die Berechtigungen, die er für seine konkrete Tätigkeit benötigt. Rollen wie Buchhaltung, Projektleitung oder Einkauf sind dafür mit klar definierten und zentral gepflegten Rechteprofilen ausgestattet. Wechselt eine Person die Rolle, passen sich die Zugriffsrechte entsprechend an.
Unverzichtbar ist das Prinzip der minimalen Rechtevergabe.
Andreas Zipser, Vorstandsvorsitzender, Easy Software
Wer darf was?
Es gibt eine weitere Dimension in dieser Problematik, denn ergänzend dazu braucht es fein abgestufte Zugriffskontrollen auf Dokumenten- und Prozessebene. „Moderne ECM-Systeme (Enterprise Content Management) ermöglichen es, genau festzulegen, wer ein Dokument ansehen, bearbeiten, freigeben oder archivieren darf. In der Praxis heißt das: Ein Vertriebsmitarbeiter kann ein Angebot beispielsweise einsehen und bearbeiten, aber nicht löschen. Führungskräfte verfügen über weitergehende Rechte, etwa im Freigabe- oder Archivierungsprozess.
Ein Protokoll macht jeden Schritt nachvollziehbar
Eine lückenlose Protokollierung stellt schließlich sicher, dass jederzeit nachvollziehbar bleibt, wer auf welches Dokument zugegriffen hat und welche Änderungen vorgenommen wurden. „Und natürlich sind all diese Mechanismen nur so gut wie ihre regelmäßige Kontrolle“, betont Zipser. Wiederkehrende Prüfungen von Prozessen und Berechtigungen sorgen dafür, dass Zugriffskonzepte nicht statisch bleiben, sondern sich an veränderte Anforderungen, Arbeitsrealitäten und die nächste Runde Compliance-Vorgaben anpassen können.
Zugriff, Nutzung, Auswertung
Wie läuft das bei Easy Software?
Bei Easy will man die Hoheit über Zugriff, Nutzung und Auswertung sicherstellen, indem man die Entscheidungen darüber nicht einmalig festlegt, sondern dauerhaft steuerbar hält. Konkret bedeutet das: „Zugriffsrechte, Prozesse und Auswertungsmöglichkeiten sind bei uns nicht fest im System ‚verdrahtet‘, sondern bewusst veränderbar“, erläutert Andreas Zipser, Vorstandsvorsitzender, Easy Software. Die Kunden können in den Easy-Lösungen Berechtigungen anpassen, Prozesse umbauen oder Auswertungen neu definieren, ohne bestehende Daten migrieren oder Anwendungen austauschen zu müssen. Das gilt laut Zipser etwa für zentrale Systeme wie Easy Archive, mit denen Anwender ihre Dokumente über den gesamten Lebenszyklus hinweg steuern. Dokumente und Metadaten bleiben dabei vollständig im Zugriff des Unternehmens. Sie sind strukturiert abgelegt, versioniert und über Standardschnittstellen nutzbar. Damit würden sich Informationen nicht nur innerhalb der Easy-Lösungen verwenden lassen. Vielmehr können sie auch in andere Systeme integriert oder bei Bedarf vollständig übernommen werden. Das soll auf die volle Kontrolle über den Speicherort, die Daten und die Data Portability hinauslaufen. „Genau diese Kombination aus Änderbarkeit, Transparenz und technischer Offenheit sorgt dafür, dass Unternehmen die absolute Datenhoheit behalten – auch wenn sich Organisationen, regulatorische Anforderungen oder Betriebsmodelle ändern“, so der Easy-Chef.
Die Standortfrage
Mit dem Cloud Act stellt sich die Rechenzentrumsstandortfrage unter besonderen juristischen Vorzeichen: Wo sollen Ihre Daten physisch liegen – und warum ist das wichtig? Für Easy sei klar, dass die Daten der europäischen Kunden im Falle der langfristigen Speicherung physisch in Europa, also in Rechenzentren innerhalb der EU liegen sollten. „Das ist für uns keine abstrakte Standortfrage, sondern eine bewusste Entscheidung für Rechtssicherheit und Kontrolle“, sagt der Easy-Chef, der verrät, dass diese Erwartungshaltung „uns übrigens auch sehr klar im Austausch mit unseren Kunden begegnet – und nicht nur dort, wo sensible oder geschäftskritische Informationen verarbeitet werden.“
Europäischer Rechtsrahmen
Der ausschlaggebende Punkt sei an dieser Stelle der gemeinsame europäische Rechtsrahmen. Er schaffe klare und verlässliche Vorgaben zu Datenschutz, Haftung und Compliance, betont der Manager. Das heißt, dass Unternehmen genau wissen, welchen Regeln ihre Daten unterliegen und welche Anforderungen sie erfüllen müssen. Diese Klarheit sei eine zentrale Voraussetzung, um sensible Informationen dauerhaft zu schützen und Verantwortung übernehmen zu können. Hinzu komme, dass europäische Rechenzentrumsbetreiber und Dienstleister regulatorische Entwicklungen in der Regel frühzeitig antizipieren würden. Diese kennen die branchenspezifischen Anforderungen und setzen neue Vorgaben oft schneller und konsistenter um. „Das erleichtert es uns, regulatorische Veränderungen nicht nur zu erfüllen, sondern planbar in unsere Systeme und Prozesse zu integrieren“, so Zipser. Für Kunden außerhalb Europas würden dabei selbstverständlich die jeweils passenden regionalen Betriebsmodelle und Rechenzentrumsstandorte gelten.
Hintergrund
Initiativen
Das steckt hinter Gaia-X und 8ra
Gaia-X ist ein europäisches Projekt zur Schaffung einer sicheren, offenen und transparenten Dateninfrastruktur, die den souveränen Datenaustausch und die Interoperabilität zwischen verschiedenen Cloud-Diensten fördert. Das Projekt 8ra, ehemals bekannt als IPCEI-CIS (Important Project of Common European Interest – Cloud Infrastructure Services), ist eine von der Europäischen Union initiierte Maßnahme zur Entwicklung einer souveränen, interoperablen und sicheren Cloud-Edge-Infrastruktur in Europa. Sowohl 8ra als auch Gaia-X verfolgen als Initiativen das Ziel, eine souveräne, sichere und interoperable Cloud-Infrastruktur in Europa zu etablieren. Während Gaia-X 2019 als Projekt zum Aufbau einer vertrauenswürdigen Dateninfrastruktur für Europa gestartet wurde, hat es in den letzten Jahren etwas an Schwung verloren.
Die Rolle der Hyperscaler
Easy speichert und verarbeitet vor diesem Hintergrund sämtliche Daten ausschließlich innerhalb der Europäischen Union und verzichtet auf den Einsatz transatlantischer Hyperscaler, betont der Manager. Diese Ausrichtung habe man sich auch zertifizieren lassen, mit den Siegeln „Software made in Germany“ und „Software hostet in Germany“. Im Easy-Produkt „Archiv 8.0“ wird beispielsweise ein 24/7-WebClient bereitgestellt, der in einer europäischen Cloud betrieben wird. Damit können dann bestehende On-Premises- oder Managed-Service-Archive um ein Cloud-Archiv ergänzt werden, ohne den Rechtsraum zu verlassen oder neue Abhängigkeiten aufzubauen.
Der Hintergrund sei simpel: „Solange Anbieter rechtlich an außereuropäische Rechtsräume angebunden sind, lassen sich Zugriffsrechte von außen selbst bei europäischen Rechenzentren nicht vollständig ausschließen“, sagt Zipser. Für Easy sei es deshalb konsequenter, solche Abhängigkeiten gar nicht erst entstehen zu lassen, statt sie später über technische Leitplanken abfedern zu müssen.
On-Premises und Cloud
Die Aufteilung zwischen On-Premises und Cloud erfolgt dabei nicht pauschal. Ausgangspunkt sei stets die Bewertung von Schutzbedarf und Prozess auf Kundenseite. Unternehmen prüfen, welche Informationen besonders sensibel oder geschäftskritisch sind und wo gleichzeitig Cloud-Services ihre Stärken ausspielen können, etwa bei Skalierbarkeit oder Automatisierung. In der Praxis ergibt sich daraus nach der Beobachtung von Zipser häufig ein zweigeteiltes Bild. „Dokumente mit hohem Schutzbedarf und langfristigen Aufbewahrungsanforderungen bleiben lokal, also typischerweise On-Premises“. Dazu zählen beispielsweise Vertragsdokumente oder Anlagenbücher am Produktionsstandort, bei denen Verfügbarkeit, Kontrollbedarf und regulatorische Vorgaben besonders stark ins Gewicht fallen. Standardisierte, weniger sensitive Abläufe lassen sich dagegen gut cloudbasiert abbilden, „vor allem dort, wo ein hoher Automatisierungsgrad sinnvoll ist“. So können beispielsweise unkritische Rechnungen automatisiert in der Cloud verarbeitet werden, während Fachbereiche wie das Marketing ihre Freigabe-Workflows cloudbasiert abbilden.
Exit-Fähigkeit bewahren
Digital souverän ist man nicht, wenn man per Vendor-Lock-In an Systeme gebunden ist. Es gilt also Abhängigkeiten zu vermeiden, sich interoperabel und exit-fähig zu halten – über offene Standards, portable Formate und klare Migrationspfade.
Interoperabilität beginnt für Zipser vor diesem Hintergrund mit einer klaren Haltung: „Systeme dürfen keine Sackgasse sein“. Proprietäre Lösungen fühlen sich am Anfang bequem an, so der Manager, weil sie schnell laufen und vieles aus einer Hand liefern. Das Problem komme später, wenn jede Erweiterung, jede Schnittstelle und jede Weiterentwicklung vom gleichen Anbieter abhängt. In einer Welt, in der sich KI, Automatisierung und Datenanalyse rasant entwickeln, wird genau diese Abhängigkeit schnell zum Risiko, so der Easy-Chef.
Systeme dürfen keine Sackgasse sein.
Andreas Zipser, Vorstandsvorsitzender, Easy Software
Kommentar
Die EU-Chatkontrolle wäre der Datenschutz-Fiebertraum
von Stefan Riedl
Wie man es dreht und wendet: Technische Aspekte der Souveränen Cloud scheinen einfacher lösbar zu sein, als die juristischen. Open Source, Gaia-X, Sovereign Cloud Stack – hier gibt es greifbare Lösungen. Doch wann werden die Juristen aufhören zu „meckern“? Wie real ist das Cloud-Act-Problem wirklich? Zuletzt gab es einen „Angemessenheitsbeschluss“ der EU-Kommission, der den transatlantischen Datenverkehr freiräumen soll. Der Cloud Act in den USA, der bei Datenhaltung im EU-Raum eine Rolle spielt, soll sowieso nur ab schweren Verbrechen greifen, was soll also der ganze Zirkus, könnte man durchaus fragen.
Auf der anderen Seite laufen sich die Datenschützer bereits warm, und solange vom Gesetzgeber Prozesse wie „Datenschutzfolgenabschätzungen“ gefordert werden, bleibt das „Verkaufsargument“ (die Anführungszeichen wurden bewusst gesetzt) Rechtssicherheit durch EU-Anbieter für viele Kunden bestehen. Und wenn man kein US-Hyperscaler ist, wird man das tendenziell eher gut finden. Auf der anderen Seite: Warum sollte man wie auch immer geartete Abhängigkeiten und Rechtsunsicherheiten in Kauf nehmen? Wie viel ist man bereit dafür auszugeben? Was davon ist real und was ist mit einem „Buhei-Faktor“ beladen, wie das Buzzword „Killswitch“, das nahelegt, die US-Cloud-Infrastruktur werde sich womöglich vom Rest der Welt abkoppeln. Wer das glaubt, lebt in einer Angstphantasie.
Wie heißt es so schön: Man soll auch vor der eigenen Türe kehren, also werfen wir einen Blick auf das Thema „Chatkontrolle“, welches vermutlich lange nicht vollständig vom Tisch sein wird. Sollte dieser Fiebertraum vom Ende der Ende-zu-Ende-Verschlüsselung der Chat-Dienste – und damit dem Nummer-1-Kommunikationsmedium – wahr werden, kann man sich durchaus fragen, ob man bei US-Diensten nicht grundsätzlich besser aufgehoben ist, als in der Überwachungs-EU, die doch tatsächlich anlasslos eine KI über Chatverläufe laufen lassen will. Ohne VPN-Verbindung und einem gerüttelt Maß an zivilem Ungehorsam, den man allenfalls als Privatperson, nicht aber als Unternehmen aufbringen kann, wird das aber nicht gehen.
Was bleibt vom „Datenschutz-Standortvorteil EU“ eigentlich noch übrig, wenn beim Äquivalent zu privatem Briefverkehr digitale Umschläge aufgedampft, die Inhalte per KI gelesen, die Umschläge wieder zugeklebt und dann abgeschickt werden? Meiner Meinung nach nicht viel, denn die moralisch aufgeladene Attitüde zerbröselt dieser Tage bereits, weil so etwas ernsthaft erwogen wird.
Wer den Diskurs rund um die Chatkontrolle verfolgt, kann antizipieren, wie es ausgehen könnte: Nachdem die kritische Berichterstattung und der öffentliche Druck zu groß wurde, hat man seitens der verantwortlichen politischen Akteure „anlasslose Chatkontrolle“ abgelehnt. Kurze Zeit später wird aber bereits munter mit dem Begriff „präventive Kommunikationsüberwachung“ derartiges begrüßt. Nachtigall, ich hör‘ Dir trapsen.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/41/75/41755062d6019da04cfc7a8d8cdece50/0129024223v1.jpeg "Jakob Saga ist neuer Vorstand bei dem IT-Distributor Herweck. (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/33/cb/33cb307d4589586381bd14375db1b0fd/0128956017v1.jpeg "Digitale Souveränität ist keine passive Eigenschaft, sondern muss aktiv hergestellt werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/ca/65caf26a0edab21ed681959e43563a72/0129034174v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/cb/53cbcd51e8acac98d6143c439041a659/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/d3/b8d38ddfbd4bce34f4583bc69c94e184/0129050070v1.jpeg "Das Dell Pro Education 11 2-in-1 ist eher für jüngere Schüler bestimmt, während das Dell Pro Education 14 Laptop in der Oberstufe zum Einsatz kommen soll. Auf Intel-Prozessoren der N-Serie basien beide Geräte. (Bild: Dell, GPT Imgae Editor (KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/ad/1f/ad1f9112b6fbb20d996ed43967b24018/0128993706v1.jpeg "Der Dokumentenscanner ADS-4550W verarbeitet mit seinen beiden Scanzeilen bis zu 35 doppelseitig bedruckte DIN-A4-Seiten pro Minute. Der automatische Vorlageneinzug fasst bis zu 70 Blatt. (Bild: Brother)")
:quality(80)/p7i.vogel.de/wcms/07/e0/07e07ee324199940b030411e90ffb7a7/0128970749v2.jpeg "KI-Security kann nur mit klaren Governance-Strukturen, Verantwortlichkeiten und menschlichem Einsatz wirksam zur Prävention beitragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/85/aa853f49052d57a3aee3e482f5a4f052/0129026996v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/af/ce/afce5487372fbc39afed6f4f90415961/0127418639v1.jpeg "Staatliche Auftraggeber für souveräne Cloud-Infratrukturen würden der Branche in Europa helfen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/18/de18c439717bb40782a7485204a47c0d/0128527753v1.jpeg "Auch der Schutz vor Cybergefahren ist Teil des Konzeptes „Digitale Souveränität“. (Bild: Midjourney / KI-generiert)")