Wie scheinbar „souveräne" Cloud-Angebote Abhängigkeiten verschleiern – und was das ZenDiS klarstellt

Digitale Souveränität hat in den vergangenen Jahren einen festen Platz in politischen Strategien, Verwaltungsmodernisierung und IT-Planung eingenommen. Angesichts geopolitischer Spannungen, wachsender Cyberrisiken und internationaler Rechtskonflikte ist die Frage nach Kontrolle über digitale Infrastrukturen längst nicht mehr abstrakt. Sie entscheidet über Handlungsfähigkeit, Sicherheit und wirtschaftliche Stabilität.

Mit dem neuen Whitepaper zeigt das Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS), wie groß die Lücke zwischen Marketingversprechen und tatsächlicher technischer Unabhängigkeit bei vielen Cloud-Angeboten ist. Der Begriff „Sovereign Washing" beschreibt dabei ein Problem, das im Markt zunehmend sichtbar wird: Dienstleistungen werden als souverän beworben, erfüllen aber nur sehr begrenzt die notwendigen Anforderungen.

Dieser Beitrag ordnet die Inhalte des Whitepapers ein, erläutert die technischen Hintergründe und zeigt, warum echte Digitale Souveränität weit mehr ist als ein Rechenzentrum in Europa.

1. Was Digitale Souveränität bedeutet – und was nicht

Politik und Verwaltung in Deutschland nutzen seit Jahren eine klare Definition: Digitale Souveränität beschreibt die Fähigkeit, digitale Infrastrukturen und Dienste selbstständig, sicher und unabhängig zu gestalten, zu betreiben und weiterzuentwickeln.

Dafür braucht es vier miteinander verknüpfte Dimensionen:

1. Datensouveränität Kontrolle über Daten – inklusive rechtssicherem Betrieb, DSGVO -Konformität und Schutz vor unkontrollierten Zugriffen durch Drittstaaten.

2. Technologische Souveränität Einsehbare, gestaltbare technische Grundlagen: Quellcode, Schnittstellen, Standards, Updateprozesse.

3. Operative Souveränität Fähigkeit, Systeme auch bei Ausfall eines Dienstleisters oder Unterbrechung einer Lieferkette weiter zu betreiben.

4. Wechselfähigkeit / Interoperabilität Kein Vendor-Lock-in, klare Migrationpfade, offene Standards.

Echte Digitale Souveränität entsteht nur, wenn alle dieser Kriterien erfüllt sind. Genau hier setzt das Problem an.

2. Wenn Marketing und Realität auseinanderfallen: Was „Sovereign Washing" bedeutet

Viele internationale Cloud-Anbieter reagieren auf die europäischen Souveränitätsanforderungen mit neuen Labels: „Sovereign Cloud", „Data Boundary", „European Cloud" oder „National Cloud".

Diese Begriffe suggerieren Unabhängigkeit. Doch das Whitepaper zeigt, dass solche Angebote oft lediglich Teilaspekte erfüllen – vor allem die Datensouveränität im engeren Sinn, etwa durch lokale Rechenzentren oder europäische Betreibermodelle.

Was fehlt, sind jedoch die zentralen technischen Voraussetzungen:

• keine Kontrolle über Update-Mechanismen,
• keine Einsicht in kritische Softwarekomponenten,
• keine unabhängige Betriebsfähigkeit,
• keine strukturelle Wechselfähigkeit,
• Abhängigkeit von US-Recht wie CLOUD Act oder FISA 702.

Damit entsteht eine Situation, in der Kunden zwar das Gefühl von Souveränität erhalten, strukturell aber weiterhin hochgradig abhängig sind – nur anders verpackt.

Genau das bezeichnet das ZenDiS als Sovereign Washing.

3. Warum proprietäre Cloud-Infrastrukturen technisch unsouverän bleiben

Das Whitepaper erklärt detailliert, warum dieser Unterschied nicht nur politisch, sondern technisch relevant ist. Die wichtigsten Faktoren:

3.1 Update-Zyklen: Sicherheitskritische Abhängigkeit von US-Anbietern

Moderne Cloud-Plattformen bestehen aus hunderten Komponenten, die täglich sicherheitsrelevante Updates erhalten:

• Hypervisor
• Netzwerk-Stacks
• IAM-Systeme
• Container -Orchestrierung
• Überwachungs- und Monitoring-Services
• Verschlüsselungsdienste
• Verwaltungs-APIs und Dashboards

Diese Updates können nur vom Plattformhersteller selbst bereitgestellt werden.

Fällt diese Softwarelieferkette – etwa durch geopolitische Konflikte, Exportbeschränkungen oder politische Entscheidungen – aus, verlieren Betreiber innerhalb weniger Wochen die Fähigkeit, ihre Plattform sicher zu betreiben.

Das Whitepaper zitiert Beispiele, in denen selbst „abgeschottete" Betreiber lediglich einige Monate funktionsfähig wären, bevor Sicherheitslücken unkontrollierbar werden.

3.2 Architekturbedingter Vendor-Lock-in

Obwohl viele Hyperscaler offene Standards unterstützen, sind zentrale Dienste tief proprietär:

• Identitäts- und Berechtigungssysteme
• Orchestrierungsmechanismen
• Verwaltungsportale
• Cluster-Management
• Sicherheitsmodule

Daten und Workloads lassen sich daher nur mit erheblichem Aufwand migrieren – technisch wie organisatorisch.

Der EU Data Act (ab September 2025) verpflichtet Anbieter zwar zur Interoperabilität und zu Wechselwerkzeugen. Die praktische Umsetzung ist jedoch noch offen, und die Realität vieler Unternehmen zeigt: Lock-ins bestehen weiter fort.

3.3 Extraterritoriale Wirkung von US-Recht

Sobald ein Dienstleister dem CLOUD Act oder FISA 702 unterliegt, müssen Daten offengelegt werden – auch wenn sie:

• in Europa gespeichert sind,
• durch ein europäisches Unternehmen betrieben werden,
• in „souveränen" Rechenzentren liegen.

Auch Metadaten, Logfiles oder Administrationszugriffe sind davon betroffen.

Mehrere Fälle – darunter jüngst Kontosperrungen beim Internationalen Strafgerichtshof – belegen die Wirksamkeit dieser Regulierung.

Diese juristische Realität steht in direktem Widerspruch zu europäischem Datenschutzrecht und macht vollständige Datensouveränität unmöglich.

4. Politische Entwicklungen: Souveränität wird konkret messbar

Das Whitepaper zeigt, dass Politik und Verwaltung zunehmend auf klar definierte Kriterien setzen:

• Die Datenschutzkonferenz (2023) definiert detaillierte Anforderungen an souveräne Cloud-Nutzung.
• Die Digitalministerkonferenz (2025) fordert normierte offene Standards und Open Source.
• Der EU Data Act stärkt Interoperabilität und Wechselrechte.
• Der Sovereign Cloud Stack (SCS) etabliert offene, vollständig einsehbare Cloud-Technologien.

Parallel entwickelt das ZenDiS einen Souveränitätscheck, der IT-Angebote entlang transparenter Kriterien bewertbar machen soll.

Damit wird Souveränität operationalisierbar – und Anbieter können sich nicht mehr auf vage Begriffe zurückziehen.

5. Was das für Organisationen bedeutet

Viele Unternehmen und Behörden gehen heute davon aus, dass „europäische Rechenzentren" oder „lokale Cloud-Betriebsmodelle" Souveränität garantieren. Die technischen und rechtlichen Fakten zeigen ein anderes Bild.

Die zentrale Erkenntnis des Whitepapers: Souveränität entsteht nicht durch Standort, sondern durch Kontrolle.

Und Kontrolle benötigt:

• offene Schnittstellen,
• einsehbare Plattformkomponenten,
• unabhängige Betriebsfähigkeit,
• transparente Lieferketten,
• Interoperabilität.

Technisch ausgereifte europäische Alternativen existieren längst – oft einfacher und kostengünstiger als erwartet. Offene Technologien wie der Sovereign Cloud Stack oder europäische Plattformansätze bieten überprüfbare Unabhängigkeit statt marketinggetriebener Versprechen.

Fazit

Das ZenDiS-Whitepaper zeigt deutlich, dass Digitale Souveränität weit über das Herauslösen einzelner Datenpunkte hinausgeht. Sie ist ein strukturelles Merkmal digitaler Resilienz – und ein zentraler Faktor für die Handlungsfähigkeit von Staat und Wirtschaft.

Proprietäre Cloud-Angebote können Datensouveränität teilweise gewährleisten, aber keine technologische oder operative Unabhängigkeit. Sie bleiben juristisch angreifbar, technisch abhängig und strategisch riskant.

Wer langfristige Stabilität und echte Kontrolle über seine IT-Infrastruktur erreichen will, braucht transparent gestaltbare, interoperable, offen implementierte Technologien.

Sovereign Washing lässt sich nur mit Fakten entkräften – und das ZenDiS liefert genau diese Transparenz.