Digitale Souveränität? Leider (noch) Wunschdenken

Klingt stark, ist aber noch weit weg: digitale Souveränität für Deutschland – also die volle Kontrolle über eigene Daten, Technologien und Systeme ohne Abhängigkeit von US-Riesen wie Google, Microsoft oder OpenAI. Doch genau das sei laut BSI-Präsidentin Claudia Plattner derzeit „unerreichbar“.

Der Grund: Deutschland hängt bei Cloud-Lösungen, Künstlicher Intelligenz, Betriebssystemen und Infrastruktur immer noch massiv von außereuropäischen Anbietern ab. Besonders die USA seien uns in zentralen Bereichen zehn Jahre voraus – durch frühzeitige Investitionen, Marktdominanz und Know-how-Vorsprung.

Cloud-Giganten kontrollieren die Infrastruktur

Das bedeutet: Selbst zentrale Bereiche der Verwaltung – von Gesundheitsdaten über Verkehrssteuerung bis hin zu internen IT-Systemen – laufen über Strukturen, auf die US-Gesetze wie der CLOUD Act zugreifen können. Damit können US-Behörden – auch ohne deutsches Gericht – auf Daten zugreifen, selbst wenn diese physisch in Europa liegen.

Beispiel: Die umstrittene Kooperation zwischen dem BSI und Google Cloud, bei der es um sichere Cloudlösungen für deutsche Behörden geht. Das Ziel sei zwar „Datensouveränität“ – aber wie souverän kann ein System sein, wenn ein ausländisches Unternehmen unter fremder Rechtsordnung steht?

Kritik kommt u. a. von der Gesellschaft für Informatik, die vor einem Erpressungspotenzial durch die US-Regierung warnt. Denn: „Google kann laut US-Recht keinen vollständig souveränen Dienst anbieten.“

Sicherheit nur mit Kontrolle

BSI-Chefin Plattner fordert deshalb klare technische Kontrollmechanismen. Es gehe nicht nur darum, zu verhindern, dass Daten unbemerkt abfließen, sondern auch darum, dass niemand Systeme von außen abschalten kann – etwa Clouds, Solaranlagen oder ganze Fahrzeugflotten.

Technisch heißt das: Verschlüsselung, Zugriffskontrolle, Schlüsselhoheit. Politische Absprachen reichen nicht – die Sicherheit muss in der Technik selbst verankert sein.

Ein Hoffnungsschimmer: Ionos, ein deutscher Cloud-Anbieter, baut derzeit für die Bundesverwaltung eine „Private Enterprise Cloud“ – strikt vom öffentlichen Internet getrennt und vom BSI zertifiziert. Ein Schritt in die richtige Richtung, aber eben nur ein erster Schritt.

Und was ist mit Künstlicher Intelligenz?

Auch hier zeigt sich das gleiche Problem: Systeme wie ChatGPT oder Gemini dominieren den Markt – aber die Kontrolle liegt nicht in Europa. Seit dem 2. August gelten zwar EU-weite Regeln für sichere KI, doch wer in Deutschland konkret die Verantwortung übernimmt, ist noch unklar.

Das BSI will diese Rolle – und zu Recht: Sicherheitslücken, Manipulationen (wie Prompt Injections) oder missbräuchliche Anwendungen dürfen nicht zur tickenden Zeitbombe werden. Doch solange es an klaren Strukturen, Zuständigkeiten und Investitionen fehlt, bleibt die KI-Sicherheit ein ungelöstes Baustellen-Projekt.

Nicht souverän, sondern erpressbar

Statt souverän, sind wir abhängig. Statt führend, hinken wir hinterher. Während wir debattieren, bauen andere längst die Infrastruktur von morgen – und behalten die Schlüssel.

Datensouveränität darf kein PR-Begriff sein, sondern muss verbindlicher Rechts- und Technikstandard werden. Kooperation mit US-Konzernen? Ja, wenn es nicht anders geht. Aber bitte nicht ohne Notbremse und Kontrollmöglichkeit.

Denn wer Cloud & KI nur „nutzt“, ohne sie zu verstehen und abzusichern, macht sich erpressbar. Und das ist keine technische Frage – das ist ein sicherheitspolitisches Risiko.