Weekly Backlog KW 22/2026

🧠 Editorial

Diese Woche fühlt sich Europas Tech-Debatte an wie ein Reality-Check nach zehn Jahren Cloud-Marketing.

Während die Niederlande amerikanischen Zugriff auf staatliche Infrastruktur plötzlich als Sicherheitsproblem behandeln, verkauft die SCHUFA ihre AWS-Migration ernsthaft als „digitale Souveränität". Offenbar reicht inzwischen ein „European" im Produktnamen und alle tun so, als wäre der CLOUD Act nur ein schlechtes Gerücht gewesen.

Gleichzeitig merkt Kalifornien, dass Open Source nicht funktioniert wie Big Tech. Kubernetes erklärt öffentlich, dass manche Sicherheitslücken nie vollständig verschwinden werden. Und plötzlich geht es wieder um etwas, das in der IT lange verdrängt wurde: technische Realität.

Vielleicht ist genau das die eigentliche Story dieser Woche: Cloud wird geopolitisch. Open Source wird politisch. Und Security ist wieder Architektur statt Compliance-Theater.

Teile Europas wachen langsam auf - andere Schlafwandeln noch immer.

📰Tech-News:

Die SCHUFA geht als eines der ersten Unternehmen in Deutschland in die AWS European Souvereign Cloud

Die SCHUFA Holding AG verkauft ihre Migration zu Amazon Web Services (AWS) als „digitale Souveränität". Ich halte das für gefährliches #SovereignWashing.

Denn egal wie oft AWS das Wort „European" vor seine Cloud schreibt: AWS ist und bleibt ein US-Konzern. Der CLOUD Act verschwindet dadurch nicht. FISA verschwindet dadurch nicht. Und der Zugriff amerikanischer Behörden verschwindet nicht einfach durch EU-Rechenzentren oder europäische Mitarbeitende.

Genau deshalb irritiert mich diese Debatte inzwischen massiv. Es wird so getan, als sei digitale Souveränität eine Frage des Serverstandorts. Das ist sie nicht. Souveränität bedeutet Kontrolle über Infrastruktur, Wechselfähigkeit, Rechtsraum und technologische Abhängigkeiten. Und all das liegt bei AWS weiterhin in den USA.

Die SCHUFA lagert die Daten von 69 Millionen Menschen an einen Konzern aus, der unmittelbar dem amerikanischen Rechtsrahmen unterliegt — und verkauft das gleichzeitig als europäischen Fortschritt. Ehrlich gesagt: Das ist absurd.

Besonders problematisch finde ich die politische Dimension dahinter. Europa redet permanent über strategische Autonomie, digitale Resilienz und den Schutz kritischer Infrastruktur. Gleichzeitig werden genau diese kritischen Systeme immer und immer wieder an amerikanische Hyperscaler gebunden.

Und jedes Mal läuft dieselbe PR-Maschinerie an: „Innovation und Souveränität." „Das Beste aus beiden Welten." „Europäische Kontrolle."

Nein. Das ist keine europäische Kontrolle. Das ist ein amerikanischer Konzern mit europäischem Branding.

Mich stört vor allem, wie bereitwillig viele Unternehmen inzwischen auf diese Narrative aufspringen. Sobald „Sovereign Cloud" draufsteht, scheint jede kritische Prüfung zu enden. Dabei hat sich am grundlegenden Machtverhältnis exakt garnichts geändert.

Wer wirklich digitale Souveränität will, muss europäische Anbieter, offene Standards und Open-Source-Infrastrukturen stärken - statt die Abhängigkeit von US-Konzernen immer weiter auszubauen und sie anschließend als Fortschritt zu verkaufen.

Dass ausgerechnet die SCHUFA diesen Weg geht, halte ich für ein fatales Signal. Denn hier geht es nicht um irgendeinen Dienst. Hier geht es um die sensibelsten Daten von Millionen Menschen. Und genau diese Daten landen jetzt noch tiefer im Einflussbereich eines Konzerns, der enger mit amerikanischer Machtpolitik verflochten ist, als viele es wahrhaben wollen.

Das ist keine digitale Souveränität. Da ist einfach jemand auf das AWS-Marketing reingefallen.

🔗https://www.schufa.de/newsroom/schufa/schufa-geht-amazon-aws-european-sovereign-cloud/index.jsp

Kalifornien merkt plötzlich: Open Source ist nicht Big Tech

Kalifornien musste gerade ein Problem lösen, das viele Regulierungsbehörden bis heute nicht verstanden haben: Open Source funktioniert nicht wie Big Tech.

Eigentlich sollte das neue Gesetz zur Altersverifikation Betriebssysteme verpflichten, das Alter ihrer Nutzer zu prüfen und diese Informationen an Apps und Plattformen weiterzugeben. Betroffen gewesen wären damit theoretisch auch Linux-Distributionen und andere Open-Source-Systeme.

Das Problem: Wer genau soll diese Kontrolle in dezentralen Open-Source-Projekten überhaupt umsetzen?

Die meisten Linux-Distributionen bestehen nicht aus zentralisierten Konzernen mit Account-Systemen, Datensilos und Überwachungsinfrastruktur. Sie werden von Communities entwickelt, oft ohne zentrale Benutzerverwaltung oder Telemetrie. Genau deshalb hätte das Gesetz Open-Source-Projekte faktisch gezwungen, sich in Überwachungsplattformen zu verwandeln.

Jetzt rudert Kalifornien zurück und definiert den Begriff „Anbieter eines Betriebssystems" neu. Open Source soll ausgenommen werden. Das ist mehr als eine juristische Korrektur. Es zeigt ein grundlegendes Problem moderner Digitalpolitik: Regulierung wird oft für Plattformkonzerne geschrieben, trifft aber am Ende offene Technologien gleich mit.

Dabei sind gerade Open-Source-Systeme häufig die letzten digitalen Räume, die nicht vollständig auf Identitätszwang, Datensammlung und zentrale Kontrolle ausgelegt sind.

Die Debatte ist deshalb größer als Jugendschutz oder Altersverifikation. Sie betrifft die Frage, ob digitale Infrastruktur künftig grundsätzlich auf Überwachung basieren soll oder ob es weiterhin technische Räume ohne permanente Identitätsprüfung geben darf.

Und genau dort beginnt die eigentliche Auseinandersetzung um digitale Freiheit.

🔗https://www.golem.de/news/open-source-kalifornien-definiert-anbieter-eines-betriebssystems-neu-2605-209045.html

Die Niederlande machen vor, was Europa längst tun müsste

Die Niederlande haben gerade ein Signal gesetzt, das weit über einen einzelnen Unternehmenskauf hinausgeht: Kritische digitale Infrastruktur gehört nicht unter die Kontrolle von Unternehmen, die dem US CLOUD Act unterliegen. Genau deshalb wurde die Übernahme des niederländischen Cloud-Anbieters Solvinity durch das US-Unternehmen Kyndryl untersagt.

Es geht hier nicht um irgendeinen Hosting-Anbieter. Solvinity betreibt zentrale Systeme des niederländischen Staates: DigiD, MijnOverheid und Digipoort. Also genau die Plattformen, über die Bürger Steuern zahlen, Gesundheitsdaten abrufen oder mit Behörden kommunizieren. Wer diese Infrastruktur kontrolliert, kontrolliert den digitalen Zugang zum Staat.

Der entscheidende Punkt: Mit der Übernahme wäre diese Infrastruktur indirekt dem US CLOUD Act unterworfen worden. Das bedeutet, amerikanische Behörden könnten Zugriff auf Daten verlangen – selbst wenn diese physisch in Europa liegen. Genau diese juristische Extraterritorialität wird in Europa seit Jahren unterschätzt. Die Niederlande ziehen nun die Konsequenz daraus.

Bemerkenswert ist dabei nicht nur die Entscheidung selbst, sondern ihre politische Klarheit. Die niederländische Investitionsprüfung empfahl keine Auflagen, keine Kompromisse, keine „Sicherheitsgarantien". Sondern ein vollständiges Verbot. Das ist ein fundamentaler Unterschied zur bisherigen europäischen Praxis, in der digitale Abhängigkeit oft als unvermeidbar akzeptiert wurde.

Denn die Realität ist unbequem: Europas digitale Infrastruktur läuft zu großen Teilen auf amerikanischen Plattformen. AWS, Microsoft Azure und Google Cloud dominieren den europäischen Cloudmarkt. Gleichzeitig reden Regierungen von digitaler Souveränität, während ihre sensibelsten Systeme technisch und rechtlich von außereuropäischen Konzernen abhängig bleiben.

Die Niederlande entlarven genau diesen Widerspruch.

Interessant ist auch der geopolitische Kontext. Die Entscheidung fällt unmittelbar vor dem angekündigten EU Tech Sovereignty Package. Die Richtung ist klar: Europa beginnt zu verstehen, dass technologische Abhängigkeit keine reine Wirtschaftsfrage mehr ist, sondern eine Frage staatlicher Handlungsfähigkeit.

Wer heute Cloud-Infrastruktur kontrolliert, kontrolliert Datenzugriffe, Verwaltungsprozesse und im Zweifel politische Souveränität. Genau deshalb reicht „Datenschutz" als Debatte längst nicht mehr aus. Es geht um Machtstrukturen.

Besonders entlarvend ist dabei ein Detail aus dem Artikel: Selbst europäische „Sovereign Cloud"-Projekte basieren teilweise weiterhin auf US-Technologie. Das zeigt, wie tief die strukturelle Abhängigkeit bereits reicht. Europa hat den Infrastrukturkampf der letzten 15 Jahre weitgehend verschlafen. Jetzt beginnt die politische Realität aufzuholen.

Die Niederlande liefern damit möglicherweise einen Vorgeschmack auf das, was bald europaweit Standard werden könnte: Kein Zugriff ausländischer Rechtsräume auf kritische öffentliche Infrastruktur.

Und ehrlich gesagt: Das ist keine Radikalität. Das ist digitale Selbstverteidigung.

🔗https://thenextweb.com/news/the-netherlands-just-blocked-a-us-company-from-buying-the-cloud-provider-that-runs-dutch-digital-identity

📖Buchtipp:

Panopticon 2.0: Dieses Buch zerlegt die Illusion digitaler Kontrolle

Die Debatte über digitale Souveränität bleibt oft abstrakt. Thierry Gilgen macht in Panopticon 2.0 – Governing in an Age of Total Surveillance genau das Gegenteil: Er zeigt präzise, wo Kontrolle heute tatsächlich liegt – und warum Europa technologisch gefährlich abhängig geworden ist.

Das Buch analysiert, wie sich Überwachung verändert hat. Weg von klassischer Spionage, hin zu unsichtbaren Abhängigkeiten durch Cloud-Infrastrukturen, Plattformmonopole, Sensorik und KI-Systeme. Nicht Geheimdienste allein definieren Macht, sondern Anbieter von Chips, Hyperscalern, API-Ökosystemen und proprietären Standards.

Besonders stark ist Gilgens Ansatz der „Five Layers of Control". Er beschreibt digitale Macht nicht als politisches Schlagwort, sondern als technische Realität – von Halbleitern über Cloud-Gesetze bis zu vertraglichen Lock-ins. Genau dort entscheidet sich heute, wer digitale Handlungsfähigkeit besitzt und wer nur Nutzer fremder Systeme bleibt.

Das Buch verbindet geopolitische Entwicklungen mit konkreten technischen Strukturen. CLOUD Act, KI-Plattformen, Lieferketten, Datenräume und Governance-Vakuum werden nicht isoliert betrachtet, sondern als zusammenhängendes Machtsystem analysiert. Dadurch entsteht ein selten klarer Blick auf die eigentliche Schwachstelle vieler Organisationen: fehlende Kontrolle über die eigene digitale Infrastruktur.

Wichtig: Panopticon 2.0 bleibt nicht bei der Kritik stehen. Gilgen liefert einen praktischen Rahmen, um digitale Risiken systematisch zu bewerten und technologische Abhängigkeiten sichtbar zu machen. Gerade für Unternehmen, Behörden und Strategieverantwortliche ist das relevant. Denn digitale Souveränität entsteht nicht durch Sonntagsreden, sondern durch Architekturentscheidungen.

Das Buch richtet sich an Menschen, die Technologie nicht nur konsumieren, sondern ihre politischen und strategischen Konsequenzen verstehen wollen. Wer sich mit europäischer Digitalpolitik, Open Source, Cloud-Abhängigkeit oder KI-Governance beschäftigt, sollte es lesen.

Denn die zentrale Frage lautet längst nicht mehr, ob wir überwacht werden. Sondern wer die Systeme kontrolliert, über die unsere Gesellschaft funktioniert.

ISBN: 978-3-6951-2427-5

📌Short-News:

Abschied von Windows und US-Big-Tech: Linux-Partys feiern digitale Souveränität

Diskussion über digitale Souveränität in Europa, OS-Unabhängigkeit und Abhängigkeiten von US-Plattformen. Praktische Auswirkungen auf Alltagsinfrastruktur und politische Debatten um Alternative zu Big Tech.

🔗 https://www.golem.de/news/abschied-von-windows-und-us-big-tech-linux-partys-feiern-digitale-souveraenitaet-2605-208959.html

Maintal: Widerstand gegen Rechenzentrum in Deutschland

Lokaler Widerstand gegen Datenzentrum in Deutschland wirft Fragen zu Regulierung, Standortwahl, Infrastrukturabhängigkeiten, regionaler Datensouveränität und staatlicher Steuerung von Cloud-Infrastruktur auf.

🔗 https://www.golem.de/news/maintal-widerstand-gegen-rechenzentrum-in-deutschland-2605-208999.html

Geolokalisierung: Netryx als Alternative zu Google Lens

Geolokalisierung: Netryx als Open-Source-Alternative zu Google Lens; betont Datenschutz, Standorte statt externer Bilder; stärkt offene Standards und Souveränität in Geolokalisierung.

🔗 https://www.golem.de/news/geolokalisierung-netryx-als-alternative-zu-google-lens-2605-208132.html

🔥Linkedin-Beitrag der Woche:

Digitale Souveränität wird oft diskutiert, aber selten konkret definiert. Genau das macht Ari Albertini, CEO der FTAPI Software GmbH, in seinem aktuellen Beitrag bemerkenswert klar.

Im Zentrum steht das neue Tech Sovereignty Package der EU und die Frage, was „souveräne Cloud" künftig überhaupt bedeutet. Der Artikel zeigt, warum sich die Debatte längst nicht mehr nur um Datenschutz oder Serverstandorte dreht, sondern um echte Kontrolle über digitale Infrastruktur, Datenzugriffe und technologische Abhängigkeiten.

Besonders spannend ist die Verbindung zwischen dem geplanten Cloud and AI Development Act (CADA) der EU und dem neuen C3A-Kriterienkatalog des BSI. Während die EU politisch festlegt, dass sensible staatliche Daten künftig nur noch in souveränen Cloud-Umgebungen verarbeitet werden sollen, liefert der C3A erstmals technische und auditierbare Kriterien dafür, wie digitale Souveränität tatsächlich messbar wird.

Der Beitrag