Toxische Tech-Abhängigkeit:

Warum Deutschlands digitale Souveränität zur Sicherheitsfrage geworden ist

Digitale Souveränität ist kein industriepolitisches Schlagwort mehr. Sie ist eine Frage staatlicher Resilienz. Wer zentrale Verwaltungsprozesse, Polizeiarbeit, militärische Systeme und Kommunikationsinfrastrukturen auf Technologien weniger US-Konzerne stützt, begibt sich in eine strategische Abhängigkeit, die unter veränderten geopolitischen Bedingungen zum Risiko wird.

Genau das ist die Lage.

US-Clouds dominieren den europäischen Markt. Microsoft, Amazon, Google strukturieren die digitale Grundversorgung von Behörden und Unternehmen. Analyseplattformen wie Palantir sind in mehreren Bundesländern operative Realität. Gleichzeitig verschärft sich der politische Ton aus Washington. Die Trump-Administration greift europäische Regulierung offen an, attackiert den Digital Services Act und formuliert Einflussansprüche gegenüber der EU. Tech-CEOs suchen demonstrativ die Nähe zur Macht.

In diesem Kontext ist Abhängigkeit nicht neutral. Sie ist verwundbar.

Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten, die von US-Unternehmen gespeichert werden – unabhängig vom Serverstandort. „Sovereign Cloud"-Angebote europäischer Rechenzentren ändern nichts am strukturellen Problem, solange Mutterkonzern, Kernsoftware und Updatehoheit außerhalb Europas liegen. Wer die Codebasis, die Lieferkette und die rechtliche Letztkontrolle nicht selbst bestimmt, kontrolliert sein System nicht.

Das ist keine theoretische Debatte. IT-Sicherheitsforscher warnen seit Jahren: Fielen große US-Cloud-Dienste kurzfristig aus, wären Verwaltung und Wirtschaft in der EU binnen Tagen handlungsunfähig. Digitale Infrastruktur ist kein Komfort. Sie ist Funktionsvoraussetzung von Staatlichkeit.

Es gibt Gegenbewegungen. Schleswig-Holstein migriert zehntausende Postfächer von Microsoft Exchange zu Open-Xchange, stellt flächendeckend auf LibreOffice um und plant den Wechsel zu Linux. Das Motiv ist politisch und ökonomisch: Abhängigkeiten reduzieren, Lizenzkosten sparen, Kontrolle zurückgewinnen. Das Zentrum für Digitale Souveränität (ZenDiS) entwickelt mit openDesk eine staatlich getragene Office- und Kollaborationssuite auf Open-Source-Basis. Auch Thüringen baut an einer eigenen Verwaltungscloud.

Diese Schritte sind konkret. Sie zeigen: Souveränität ist machbar, wenn politischer Wille vorhanden ist.

Doch gleichzeitig konterkariert die Beschaffungspraxis das Ziel. Bayern plant milliardenschwere Verträge mit Microsoft. Behörden sprechen von „strategischen Partnerschaften", während sie faktisch Vendor Lock-in zementieren. Studien zur digitalen Souveränität zeigen eine deutliche Diskrepanz zwischen Anspruch und Realität: Politisch wird europäische Technologie gefordert, operativ dominieren weiter US-Anbieter.

Besonders heikel wird die Lage im Sicherheitsbereich. Mehrere Bundesländer setzen bei Polizeianalysen auf Palantir-Software. Der Konzern ist tief im US-Sicherheitsapparat verwurzelt, arbeitet mit Geheimdiensten und Militär und positioniert sich politisch klar. Wenn proprietäre Big-Data-Plattformen eines US-Unternehmens zur zentralen Analyseinstanz deutscher Sicherheitsbehörden werden, entsteht eine doppelte Abhängigkeit: technisch und politisch.

Die Risiken sind strukturell. Proprietäre Systeme schaffen Intransparenz. Sie erschweren unabhängige Sicherheitsprüfungen. Sie binden Know-how an externe Anbieter. Sie machen Exit-Strategien teuer und komplex. Und sie verlagern Entscheidungsmacht über Updates, Weiterentwicklungen und Integrationen in andere Rechtsräume.

Die Bundeswehr steht vor ähnlichen Herausforderungen. Moderne Streitkräfte sind softwaredefiniert. Lieferketten sind global, Komponenten verschachtelt, Abhängigkeiten oft intransparent. Jede Fremdkomponente ist potenzielles Einfallstor. Wer hier keine vollständige Übersicht über Herkunft, Wartung und Kontrolle besitzt, operiert mit blinden Flecken. Dass parallel Partnerschaften mit US-Cloud-Anbietern geschlossen werden, während digitale Souveränität politisch beschworen wird, zeigt die strategische Inkonsistenz.

Andere Länder reagieren vorsichtiger. In der Schweiz raten Gutachten im militärischen Kontext von Palantir ab und verweisen auf europäische Alternativen oder Eigenentwicklungen. Begründung: Datenhoheit, Souveränität, Abhängigkeit von externem Spezialpersonal. Das sind keine ideologischen Argumente, sondern sicherheitspolitische.

Digitale Souveränität entsteht nicht durch Absichtserklärungen im Koalitionsvertrag. Sie entsteht durch klare Prioritäten in der Beschaffung. Offene Standards müssen verpflichtend werden. Open Source sollte im öffentlichen Sektor der Default sein, nicht die Ausnahme. Europäische Anbieter brauchen strukturelle Förderung statt symbolischer Pilotprojekte. Und jede strategische IT-Entscheidung muss eine Exit-Strategie enthalten.

Souveränität bedeutet nicht Autarkie. Europa wird weiterhin global vernetzt sein. Aber es bedeutet Kontrolle über Kerninfrastrukturen, Transparenz über Code und Lieferketten sowie rechtliche Unabhängigkeit in Krisenszenarien. Wer digitale Schlüsseltechnologien vollständig externalisiert, externalisiert auch Handlungsspielräume.

Die Frage ist nicht, ob US-Technologie leistungsfähig ist. Sie ist es. Die Frage ist, ob demokratische Staaten ihre Funktionsfähigkeit an externe Machtzentren koppeln dürfen, deren politische Agenda sie nicht kontrollieren.

Schleswig-Holstein zeigt, dass Migration möglich ist. ZenDiS zeigt, dass staatliche Koordination Alternativen hervorbringen kann. Die technische Hürde ist überwindbar. Die politische Bequemlichkeit ist das eigentliche Problem.

Digitale Souveränität ist kein Luxusprojekt. Sie ist die Voraussetzung dafür, dass europäische Demokratien ihre Regeln selbst setzen – und im Ernstfall durchsetzen können.