Sovereign Washing, KI-Ermittlungen und die Illusion von Kontrolle

🧠 Editorial

Diese Woche im Backlog: AWS liefert Zertifikate statt Antworten, Deutschland diskutiert KI-Ermittlungen und Europa stellt mal wieder fest, dass es eigentlich alles hat – außer Konsequenz.

Dazu kommt die vielleicht wichtigste Erkenntnis: Digitale Souveränität scheitert selten an Technologie. Fast immer an Entscheidungen.

🚨 Die Tech-News der Woche

AWS European Sovereign Cloud: Zertifiziert souverän – oder souverän zertifiziert?

AWS hat seiner European Sovereign Cloud den nächsten Anstrich verpasst – diesmal nicht mit neuen Features, sondern mit Prüfberichten und Zertifikaten. SOC 2 Type 1, ein C5-Type-1-Attest des BSI und gleich sieben ISO-Zertifizierungen sollen zeigen, dass man es mit europäischer Souveränität ernst meint. 69 Services sind laut AWS bereits unter diesem Setup verfügbar, betrieben durch EU-Personal, organisatorisch getrennt und mit Datenhaltung innerhalb der EU.

Auf dem Papier klingt das genau nach dem, was viele öffentliche Auftraggeber hören wollen: klare Prozesse, geprüfte Sicherheitsmechanismen und ein Setup, das sich sauber in regulatorische Anforderungen einfügt. Und genau darin liegt auch die Stärke dieses Moves – nicht technisch, sondern politisch und vertrieblich. Zertifikate sind anschlussfähig. Sie lassen sich in Ausschreibungen einbauen, sie lassen sich abhaken, sie lassen sich gegenüber Aufsichtsgremien rechtfertigen.

Das eigentliche Problem bleibt dabei allerdings unangetastet, und es ist kein kleines Detail, sondern die strukturelle Grundlage des gesamten Konstrukts: AWS ist und bleibt ein US-Unternehmen. Damit unterliegt es potenziell extraterritorialen Zugriffsmöglichkeiten wie dem Cloud Act – unabhängig davon, wo die Daten liegen oder wer den Betrieb durchführt. Die viel zitierte „organisatorische Unabhängigkeit" innerhalb der EU ist letztlich eine Governance-Konstruktion innerhalb eines Konzerns, keine rechtliche Entkopplung.

Genau hier setzt die Kritik am sogenannten „Sovereign Washing" an. Zertifizierungen prüfen, ob Prozesse sauber definiert und eingehalten werden. Sie prüfen nicht, wer im Zweifel die Kontrolle hat. Sie beantworten nicht die Frage, was passiert, wenn rechtliche Systeme kollidieren. Und sie ersetzen keine echte technische oder rechtliche Autonomie.

Man kann AWS an dieser Stelle kaum vorwerfen, das Spiel falsch zu spielen – im Gegenteil. Der Konzern reagiert präzise auf die Anforderungen des Marktes und liefert genau die Artefakte, die Beschaffungsprozesse verlangen. Die eigentliche Frage ist daher weniger, ob AWS hier etwas „falsch" macht, sondern ob wir uns mit den richtigen Dingen zufriedengeben.

Oder anders formuliert: Wir sind gerade dabei, Abhängigkeit sauber zu zertifizieren – und nennen das Souveränität.

🔗 https://aws.amazon.com/de/blogs/security/aws-european-sovereign-cloud-achieves-first-compliance-milestone-soc-2-and-c5-reports-plus-seven-iso-certifications/

Digitale Souveränität: Europa hat alles – außer Entscheidungsfähigkeit

Arthur Mensch hat mit seiner Forderung nach mehr digitaler Souveränität keinen neuen Gedanken formuliert, aber einen, der aktuell wieder unangenehm klar wird. Europa ist in zentralen Bereichen der KI nicht deshalb abhängig, weil es an Talent, Forschung oder Kapital mangelt, sondern weil es diese Ressourcen nicht in vergleichbarer Konsequenz bündelt und skaliert.

Gerade bei KI-Systemen zeigt sich, wie tief diese Abhängigkeit reicht. Wer die Modelle baut und betreibt, kontrolliert nicht nur Technologie, sondern auch Zugänge zu Wissen, Entscheidungslogiken und letztlich gesellschaftliche Diskurse. Chatbots sind dabei nur das sichtbarste Beispiel – im Hintergrund geht es um Infrastruktur, Trainingsdaten, Plattformökonomie und Integrationspunkte in bestehende Systeme.

Die oft reflexhafte Antwort auf diese Lage ist der Ruf nach Regulierung oder Abschottung. Mensch argumentiert differenzierter: Es geht nicht darum, sich vom globalen Markt zu isolieren, sondern darum, eigene Handlungsfähigkeit zu entwickeln. Souveränität bedeutet nicht, alles selbst zu machen – aber die Fähigkeit zu haben, es zu können.

Und genau diese Fähigkeit scheitert in Europa erstaunlich oft an organisatorischen und politischen Realitäten. Nationale Einzelinteressen, langsame Entscheidungsprozesse und eine gewisse Risikoaversion sorgen dafür, dass Initiativen fragmentiert bleiben oder zu spät skaliert werden. Währenddessen bauen US-Unternehmen und zunehmend auch chinesische Akteure ihre Position weiter aus – nicht unbedingt, weil sie bessere Ideen haben, sondern weil sie schneller in die Umsetzung kommen.

Das eigentlich Frustrierende daran: Die Ausgangslage ist nicht schlecht. Europa verfügt über exzellente Universitäten, eine starke industrielle Basis und eine wachsende Start-up-Szene im KI-Bereich. Was fehlt, ist weniger die Vision als die Fähigkeit, sie in Infrastruktur zu übersetzen.

Solange sich das nicht ändert, bleibt Europa in einer Rolle, die strategisch unangenehm ist: nicht Gestalter, sondern Nutzer fremder Systeme.

🔗 https://www.deutschlandfunk.de/ki-unternehmer-mensch-fordert-mehr-digitale-souveraenitaet-fuer-europa-102.html

KI-Ermittlungen und biometrische Websuche: Der lange Schatten von Palantir

Der neue Entwurf aus dem Bundesjustizministerium wird als Modernisierung der Strafprozessordnung verkauft, liest sich bei genauerem Hinsehen aber wie der Einstieg in eine neue Qualität algorithmischer Ermittlungsarbeit. Mit §98d soll der automatisierte Abgleich biometrischer Merkmale mit frei zugänglichen Internetbildern ermöglicht werden, während §98e die Grundlage für KI-gestützte Analysen und die Verknüpfung polizeilicher Datenbestände schafft.

Formal bleibt dabei vieles beruhigend formuliert. Es ist von „keinen neuen Datenbanken" die Rede und davon, dass Entscheidungen weiterhin von Ermittlern getroffen werden. Technisch und strukturell halten diese Aussagen jedoch nur begrenzt stand. Wer biometrische Abgleiche in großem Maßstab durchführen will, benötigt zwangsläufig vorstrukturierte Datenbestände. Und genau hier beginnt die Kollision mit europäischen Regulierungen wie dem AI Act, der das massenhafte Sammeln und Verarbeiten solcher Daten sehr eng begrenzt.

Noch interessanter wird es beim zweiten Teil des Entwurfs. Die geplanten KI-gestützten Analysen zielen darauf ab, Zusammenhänge zwischen Datenpunkten sichtbar zu machen, die für menschliche Auswertung zu komplex wären. Genau diese Logik war zentraler Bestandteil der Kritik des Bundesverfassungsgerichts an bestehenden Systemen wie Palantir: intransparente Analysemechanismen, deren Funktionsweise sich kaum nachvollziehen lässt, obwohl sie tief in Grundrechte eingreifen.

Der neue Entwurf schafft nun etwas, das bislang gefehlt hat: eine explizite gesetzliche Grundlage für genau diese Art von Analyse. Damit verschiebt sich die Debatte. Es geht nicht mehr nur um die Frage, ob bestimmte Tools eingesetzt werden dürfen, sondern darum, ob die strukturellen Voraussetzungen für ihren Einsatz geschaffen werden.

Die oft wiederholte Aussage, dass am Ende immer ein Mensch entscheidet, greift dabei zu kurz. Denn die eigentliche Macht liegt nicht in der finalen Entscheidung, sondern in der Vorauswahl – in der Definition dessen, was überhaupt als relevant, auffällig oder verdächtig gilt. Diese Definition wird zunehmend von Algorithmen übernommen, deren Logik weder transparent noch einfach überprüfbar ist.

Vor diesem Hintergrund wirkt die Frage fast zwangsläufig: Wird hier gerade der rechtliche Rahmen geschaffen, um Systeme wie Palantir – oder funktional vergleichbare Plattformen – wieder einzuführen, diesmal auf stabilerer gesetzlicher Basis?

Unabhängig vom konkreten Anbieter bleibt das strukturelle Problem bestehen. Wenn staatliche Ermittlungslogik auf proprietären Analyseplattformen aufbaut, verschiebt sich ein Teil der staatlichen Entscheidungsarchitektur in private, schwer kontrollierbare Systeme.

Das ist keine technische Detailfrage. Das ist eine Frage von Rechtsstaatlichkeit im Zeitalter von KI.

🔗 https://www.heise.de/news/Digitale-Rasterfahndung-Justizministerium-will-biometrischen-Internet-Abgleich-11209379.html

Nextcloud vs. Microsoft: Die Ausrede ist nicht mehr technisch

Die Debatte um Alternativen zu Microsoft 365 wird seit Jahren geführt, und eigentlich ist sie technisch längst entschieden. Plattformen wie Nextcloud bieten heute einen Funktionsumfang, der für viele Organisationen vollkommen ausreichend ist: Dateiablage, Kollaboration, Kalender, Kommunikation – ergänzt um einen entscheidenden Unterschied, der in den meisten Marketingfolien nur am Rand auftaucht: Kontrolle über die eigene Infrastruktur.

Besonders spannend ist dabei das Konzept der Föderation. Statt alle Nutzer in eine zentrale Plattform zu zwingen, können Organisationen eigene Instanzen betreiben und trotzdem übergreifend zusammenarbeiten. Daten bleiben dort, wo sie entstehen, und sind dennoch teilbar. Technisch ist das genau die Art von Architektur, die man sich unter digitaler Souveränität vorstellt.

Und trotzdem bleibt die Realität eine andere. Behörden und Unternehmen verlängern ihre Microsoft-Verträge, oft ohne ernsthafte Prüfung von Alternativen. Die Begründung ist selten offen politisch oder strategisch, sondern fast immer operativ: Migration ist aufwendig, Nutzer müssen umgewöhnt werden, bestehende Prozesse funktionieren – irgendwie.

Genau hier liegt der Kern des Problems. Souveränität ist kein Feature, das man aktivieren kann. Sie ist das Ergebnis von Entscheidungen, die zunächst mehr Aufwand bedeuten. Wer diesen Aufwand scheut, entscheidet sich implizit gegen Souveränität – auch wenn er sie in Strategiepapiere schreibt.

Das führt zu einer bemerkenswerten Diskrepanz zwischen Anspruch und Realität. Auf der einen Seite stehen politische Programme und Positionspapiere, die digitale Unabhängigkeit betonen. Auf der anderen Seite stehen konkrete Beschaffungsentscheidungen, die bestehende Abhängigkeiten weiter verstärken.

Die unbequeme Wahrheit ist deshalb relativ einfach: Die Technologie für mehr Souveränität ist vorhanden. Was fehlt, ist die Bereitschaft, die Konsequenzen daraus zu ziehen.

🔗 https://www.heise.de/meinung/Kommentar-Digitale-Souveraenitaet-Haben-wir-schon-uns-fehlt-nur-der-Mut-11192309.html

⚡ Short News

Atlassian streicht rund 1.600 Stellen, um stärker in KI zu investieren – ein klassisches Beispiel dafür, dass technologische Transformation selten ohne strukturelle Einschnitte kommt. 🔗 https://www.heise.de/news/Atlassian-Chef-KI-ersetzt-bei-uns-keine-Menschen-aber-wir-feuern-sie-trotzdem-11208681.html

Google hat die Übernahme von Wiz abgeschlossen und positioniert sich damit noch aggressiver im Cloud-Security-Markt – mit klarem Fokus auf Multicloud-Umgebungen. 🔗 https://retail-news.de/google-cloud-wiz-acquisition-abgeschlossen/

📖Lesenswert

Verträge sind keine Kontrolle – sie sind Eintrittskarten

Der Artikel von Hannah Kremer-Hennig bringt eine Debatte auf den Punkt, die oft erstaunlich oberflächlich geführt wird. Die Annahme, man könne digitale Souveränität über Vertragswerke herstellen, hält sich hartnäckig – obwohl sie der Realität moderner Cloud-Plattformen kaum standhält.

Denn die eigentliche Steuerung findet nicht im Vertrag statt, sondern in den operativen Details: in Konfigurationen, Policies, APIs und kontinuierlich veränderten Plattformlogiken. Verträge beschreiben einen Zustand, Plattformen verändern ihn permanent. Wer diese Dynamik nicht aktiv managen kann, verliert Kontrolle – unabhängig davon, was juristisch vereinbart wurde.

Besonders deutlich wird das bei Themen wie Haftung, Audit und Exit. Haftung ist begrenzt, während die Verantwortung beim Nutzer bleibt. Audits liefern Momentaufnahmen, aber keine Eingriffsmöglichkeiten. Und Exit-Strategien existieren häufig nur auf dem Papier, während sie in der Praxis an Architekturentscheidungen scheitern.

Die zentrale Verschiebung, die daraus entsteht, ist unbequem: Souveränität ist keine juristische Disziplin mehr, sondern eine operative Fähigkeit. Sie hängt davon ab, ob Organisationen in der Lage sind, ihre Systeme aktiv zu verstehen, zu steuern und notfalls zu verändern.

Solange Beschaffung und Governance diese Realität nicht abbilden, bleibt digitale Souveränität ein gut formulierter Anspruch ohne praktische Entsprechung.

🔗 https://www.linkedin.com/pulse/digitale-souveränität-als-institutionelle-governance-kremer-hennig-ociwf/

🧪 LinkedIn-Post der Woche

Ein kurzer Post von Fernando Fernandez schafft mehr Klarheit als viele offizielle Strategiepapiere und erinnert daran, dass digitale Souveränität keine Kompromissformel ist, sondern eine Grundsatzentscheidung.

🔗 https://www.linkedin.com/posts/fernando-fernandez-5038a426_httpslnkdine79dxj2i-für-alle-die-share-7438209799516913664-JY-f/

🎙 Event

CloudFest 2026 Vor Ort, diesmal ohne Stand – dafür mit mehr Raum für echte Gespräche über genau die Themen, die in Panels oft zu kurz kommen: Open Source, europäische Cloud-Modelle und die Frage, wie ernst es die Branche mit Souveränität wirklich meint.

Livestream ist auch geplant.

🔗 https://www.twitch.tv/weareayedo

🧠 Meme der Woche

How to fake a sovereign cloud

Bis nächste Woche.