Das Trojanische Pferd der „sovereign cloud“

Das trojanische Pferd der „Sovereign Cloud"

Warum Europas neue Souveränität oft nur amerikanisch lackiert ist

Das Meme ist genial in seiner Schlichtheit:

Ein trojanisches Pferd rollt vor die Tore Europas.

Darauf steht: „Sovereign Cloud".

Im Bauch sitzen: AWS, Microsoft, Google – fröhlich lächelnd.

Und an den Toren der Stadt stehen zwei europäische Männer, die das Seil ziehen und sagen: „Lasst uns das mal reinholen – sieht ja sicher aus."

Diese Karikatur bringt auf den Punkt, was gerade in Deutschland und Europa geschieht:

Wir reden von digitaler Unabhängigkeit, bauen aber unsere Souveränität auf denselben Fundamenten auf, die uns abhängig gemacht haben.

Wir nennen es Fortschritt, aber oft ist es nur ein Rebranding alter Strukturen – politisch gewollt, technisch geschönt, strategisch bequem.

Delos Cloud: Ein Microsoft-Kern im deutschen Kleid

Das prominenteste Beispiel ist die Delos Cloud.

Sie soll die „souveräne Cloud für die öffentliche Verwaltung" werden – entwickelt von Arvato Systems (Bertelsmann) in Partnerschaft mit Microsoft.

Der Bund, genauer gesagt die Bundesagentur für Arbeit, testet bereits.

Und das Versprechen klingt überzeugend:

Alle Daten bleiben in Deutschland, der Betrieb unterliegt deutschem Recht, das Personal wird sicherheitsüberprüft, Microsoft hat „keinen direkten Zugriff".

Doch wer genauer hinsieht, erkennt: Die Architektur bleibt dieselbe.

Die Basis ist Azure – dieselbe Plattform, dieselben API-Strukturen, dieselben Update-Mechanismen.

Delos ist eine Zwischenebene – ein deutscher Vermittler, der Microsofts Technologie lokalisiert, reguliert, absichert.

Das ist kein Betrug, aber auch keine Unabhängigkeit.

Es ist eine pragmatische Krücke, um mit politisch tragfähigem Vokabular wirtschaftlich unvermeidliche Abhängigkeiten zu übertünchen.

Oder, um im Meme zu bleiben: Wir haben das Pferd aus Holz gebaut, aber die Soldaten im Inneren dürfen bleiben.

StackIT + Google Workspace: Souveränität light

Ein zweiter Ansatz stammt von der Schwarz-Gruppe, die mit ihrer Cloud-Marke STACKIT gemeinsam mit Google Workspace ein „souveränes" Produktivitätsangebot für Deutschland und Europa gestartet hat.

Das Prinzip:

Die Daten liegen in deutschen Rechenzentren von STACKIT, die Verschlüsselungsschlüssel bleiben beim Kunden, Google selbst hat keinen Zugriff auf Inhalte.

Alles klingt nach Kontrolle, Selbstbestimmung und DSGVO–Treue.

Doch auch hier gilt: Der Code bleibt amerikanisch.

Die Softwarelogik, die APIs, die Integrationen – all das liegt außerhalb europäischer Handlungsfähigkeit.

Was wir also „Souveränität" nennen, ist oft nur ein smarter Kompromiss: Wir dürfen entscheiden, wo die Daten liegen, nicht wie die Plattform funktioniert.

Man könnte sagen: Wir sitzen auf dem Pferd, aber die Zügel hält jemand anderes.

Der Reflex: Vertrauen outsourcen, Verantwortung gleich mit

Beide Projekte zeigen, wie stark der Wunsch nach Kontrolle ist – und wie tief gleichzeitig die Angst sitzt, diese Kontrolle tatsächlich auszuüben.

Echte digitale Souveränität ist unbequem.

Sie verlangt technisches Know-how, langfristige Investitionen, politische Konsequenz.

Und sie widerspricht kurzfristiger Effizienzlogik.

Darum haben wir uns in Europa an einen gefährlichen Reflex gewöhnt:

Wir outsourcen Vertrauen.

Wir delegieren Verantwortung an Anbieter, Zertifikate, Audits, Label.

Und nennen es Governance.

„Sovereign Cloud" ist in diesem Sinne oft weniger ein technischer Fortschritt als ein semantischer Trick:

Wir verschieben die Grenze der Kontrolle, ohne sie wirklich zu besitzen.

Das Ergebnis ist ein gefühlter Schutzschild – und eine reale Abhängigkeit in eleganter Verpackung.

Das juristische Feigenblatt

Die gängigen Argumente klingen immer gleich:

„Unsere Daten liegen in Deutschland."

„Die Gesellschaft ist nach deutschem Recht organisiert."

„Es gibt keine transatlantischen Zugriffsmöglichkeiten."

All das ist richtig – aber eben auch unvollständig.

Denn juristische Souveränität ist nicht gleich technologische Kontrolle.

Wenn der Code proprietär bleibt, die Update-Pipelines zentralisiert sind und die Plattformlogik extern verwaltet wird, dann nützt der Gerichtsstand herzlich wenig.

Ein Vertrag ersetzt kein Verständnis.

Und ein deutsches Rechenzentrum macht noch keine europäische Architektur.

Souveränität, richtig verstanden, bedeutet:

Man kann selbst entscheiden, selbst prüfen, selbst ändern.

Alles andere ist betreute Unabhängigkeit.

Der ökonomische Magnetismus der Bequemlichkeit

Natürlich gibt es auch gute Gründe für diesen Weg.

US-Hyperscaler bieten massive Skaleneffekte, eine globale Innovationsgeschwindigkeit und Servicequalität, die kaum jemand in Europa replizieren kann.

Ein souveräner Alleingang wäre teuer, riskant und politisch schwer zu verkaufen.

Doch genau darin liegt das Dilemma:

Die Bequemlichkeit der Integration ist stärker als der Wille zur Kontrolle.

Wir nutzen dieselben Werkzeuge, nur in anderer Verpackung – und nennen das „strategische Partnerschaft".

Aber am Ende sitzen dieselben Entwickler in Redmond, Mountain View und Seattle an der Codebasis.

Wir betreiben also Souveränität im Frontend – und Abhängigkeit im Backend.

Das strukturelle Missverständnis: Souveränität als Produkt

Souveränität lässt sich nicht kaufen.

Und sie lässt sich auch nicht lizenzieren.

Sie entsteht durch Kompetenz, Kontrolle und Kontinuität – durch eigene Fähigkeit, Dinge zu verstehen, zu betreiben, zu verändern.

Doch die Industrie – und zunehmend auch die Politik – behandelt Souveränität wie ein Feature, das man „aktivieren" kann.

Ein Abo-Modell für Unabhängigkeit.

Delos, STACKIT, Google, AWS – sie alle liefern diese Narrative inzwischen gleich mit:

„Wir machen euch souverän, ihr müsst nur unterschreiben."

Das ist bequem.

Und gefährlich.

Denn es suggeriert, dass Unabhängigkeit ein Service ist – nicht eine Fähigkeit.

Der gefährliche Zwischenzustand

Europa befindet sich derzeit in einer Zwischenwelt:

zu abhängig, um souverän zu sein – zu reguliert, um innovativ zu bleiben.

Die „Sovereign Cloud"-Projekte sind Ausdruck dieser Spannung.

Sie sind nicht falsch, im Gegenteil: Sie sind wichtige Schritte.

Aber sie dürfen nicht Endpunkt sein, sondern Übergang.

Wenn wir uns damit zufriedengeben, sind wir wieder in derselben Lage wie beim letzten technologischen Zyklus:

Wir standardisieren fremde Innovation und wundern uns später, warum Wertschöpfung und Kontrolle wieder woanders liegen.

Was wirkliche Souveränität bedeuten würde

Echte digitale Souveränität wäre unbequem, aber machbar.

Sie würde bedeuten:

• Eigene Open-Source-Stacks fördern, die reproduzierbar, auditiert und interoperabel sind.
• Europäische Build- und Deploy-Infrastrukturen aufbauen – nicht als Showcase, sondern als Produktionsbasis.
• Langfristige Finanzierung von Wartung sichern – damit kritische Komponenten gepflegt werden, nicht nur entwickelt.
• Kompetenzzentren schaffen, die nicht Berater, sondern Betreiber sind.
• Und vor allem: Technologiepolitik nicht als Sicherheitsfrage, sondern als Industriepolitik begreifen.

Nur so entsteht ein Fundament, das mehr ist als ein neues Etikett auf einer alten Abhängigkeit.

Zwischen Ironie und Ernst

Das Trojanische-Pferd-Meme ist witzig, aber die Wahrheit dahinter ist bitter.

Europa hat eine reiche Geschichte darin, das Richtige zu wollen – und das Bequeme zu tun.

„Sovereign Cloud" könnte das nächste Kapitel dieser Geschichte werden:

Ein Konzept mit edlem Anspruch, das in der Praxis von denselben Kräften gelenkt wird, denen man eigentlich entkommen wollte.

Doch noch ist es nicht zu spät.

Delos und STACKIT können – wenn sie offen, transparent und strukturell mutig weiterentwickelt werden – zu Keimzellen einer echten europäischen Cloud werden.

Dafür müssten sie aber den Mut haben, das Pferd zu zerlegen und die Soldaten rauszuschicken.

Fazit: Souveränität beginnt dort, wo Vertrauen endet

Souveränität ist kein Label.

Sie ist die Fähigkeit, im Zweifel „Nein" zu sagen – technisch, juristisch und operativ.

Solange wir das nicht können, bleiben wir freundlich bewirtete Gäste in fremden Systemen.

Europa kann sich keine symbolische Unabhängigkeit leisten.

Nicht in einer Zeit, in der Technologie nicht nur Infrastruktur ist, sondern Identität.

Das trojanische Pferd steht längst in der Stadt. Die Frage ist: Wer traut sich, es wieder rauszuschieben?