Digitale Infrastrukturen sind heute unverzichtbare Grundlage für wirtschaftliches Handeln. Gleichzeitig wachsen die Anforderungen an Datenschutz, Verfügbarkeit und rechtliche Absicherung. Mit den aktuellen Diskussionen um den CLOUD Act, den Auswirkungen internationaler Sanktionen und der Debatte über Trainingsdaten für KI-Systeme rückt eine Frage in den Vordergrund:
Wie können Unternehmen ihre technologische Handlungsfähigkeit und Unabhängigkeit langfristig sichern?
IT-Souveränität, verstanden als die Fähigkeit, in allen Aspekten volle Kontrolle über Daten, Systeme und technologische Entscheidungen zu haben, wird zu einem strategischen Unternehmensziel.
Mit diesem Text erörtern wir, welche technischen und organisatorischen Maßnahmen Unternehmen konkret helfen, Entscheidungs- und Gestaltungsfreiheit über kritische Systeme und Daten zurückzugewinnen und nachhaltig zu sichern. Hierfür beleuchten wir den Begriff IT-Souveränität aus unserer konkreten Beratungspraxis heraus – immer bezogen auf reale Projektanforderungen. Es geht uns nicht um eine allgemeingültige Definition oder politische Positionierung, sondern um praktische Fragen: Welche Herausforderungen hinsichtlich IT-Souveränität werden heutzutage in IT-Projekten sichtbar und welche Ansätze helfen Unternehmen dabei, damit verbundene Risiken abzuwägen?
Warum IT-Souveränität für Unternehmen zunehmend entscheidend ist
Digitale Abhängigkeiten können schnell zur geschäftskritischen Schwachstelle werden – aus unterschiedlichsten Gründen. Laut einer Studie von BARC [1] sehen Unternehmen insbesondere gesetzliche Vorgaben (69%), die politische Entwicklung in den USA (46%), Cybersecurity-Vorfälle (42%) sowie generelle Risiken der Abhängigkeit von Public Cloud Angeboten (40%) als Treiber des Themas.
Dieses Stimmungsbild speist sich aus einer Vielzahl von Entwicklungen.
Auf regulatorischer Seite spielen rechtliche Spannungen zwischen europäischen Vorgaben wie der DSGVO und internationalen Gesetzen wie dem US CLOUD Act, der US-Behörden auch Zugriff auf Daten außerhalb der USA ermöglicht, die prominenteste Rolle. Für unsere Kunden im DACH-Raum entsteht daraus erhebliche Unsicherheit, sowohl in juristischer Hinsicht – Stichwort Rechtssicherheit – als auch strategisch mit Blick auf die eigene IT-Souveränität.
Diese zunehmende Unsicherheit wird durch konkrete Vorfälle verstärkt, bei denen Zugänge zu Clouddiensten einzelner Personen auf behördliche Anordnung hin gesperrt wurden. Besonders aufsehenerregend war im Frühjahr 2025 der Fall des Chefanklägers des Internationalen Strafgerichtshofs: dieser nutzte die E-Mail-Services eines großen amerikanischen Cloudanbieters, welche aufgrund von US-Sanktionen kurzfristig gesperrt wurden. Diese Aktion wurde weltweit als Warnsignal für mangelnde digitale Souveränität interpretiert [2,3]
Auch frühere Vorfälle zeigen, wie stark politische Entscheidungen digitale Dienste beeinflussen können: So beschränkten eine global genutzte Code-Sharing Plattform sowie ein weit verbreitetes Kommunikations- und Kollaborationstool den Zugang für Nutzer in Ländern wie Iran, Syrien und Kuba, teilweise ohne Vorwarnung und mit unmittelbaren Auswirkungen auf laufende Projekte [4,5]
Ein weiterer Treiber der IT-Souveränitätsdebatte ist die zunehmende Bedeutung von Daten als wirtschaftliches Asset: Trainingsdaten für KI-Anwendungen, Forschungsdaten oder technische Betriebsdaten sind nicht nur sensibel, sondern häufig auch geschäftsentscheidend. Wer die Hoheit über diese Daten verliert, riskiert mehr als einen Datenschutzverstoß - er verliert unter Umständen die Fähigkeit, eigene Innovation voranzutreiben.
Änderungen in Lizenzmodellen oder der Preisgestaltung von Software können ebenfalls erhebliche Auswirkungen auf Unternehmen haben und sowohl wirtschaftliche als auch legislative Herausforderungen mit sich bringen. IT-Souveränität in der Form von Portabilität der IT-Systeme ermöglicht es, flexibel auf solche Veränderungen zu reagieren – etwa indem man bei ungünstigen Entwicklungen den Softwareanbieter wechselt, anstatt einem einzelnen Anbieter ausgeliefert zu sein.
Diese Beispiele verdeutlichen: Technologische Abhängigkeiten treten häufig erst im Ausnahmefall zu Tage, entstehen aber schleichend über einen längeren Zeitraum – etwa durch vertragliche Bindungen, proprietäre Standards oder unflexible Lizenzmodelle. In vielen Fällen führt die langfristige Bindung an bestimmte Anbieter zu einem sogenannten Vendor Lock-in – also einer Abhängigkeit, die den Wechsel zu anderen Lösungen erschwert oder wirtschaftlich unattraktiv macht. Auch hier setzt IT-Souveränität an: Sie schafft technische und vertragliche Voraussetzungen, um solche Lock-in-Situationen bewusst zu vermeiden.
Was IT-Souveränität für verschiedene Akteure bedeutet
Bei der Umsetzung von IT-Souveränität treffen unterschiedliche Interessen und Perspektiven aufeinander – das erschwert nicht nur die Auswahl geeigneter Lösungen, sondern auch die Kommunikation darüber. Deshalb ist es wichtig zu verstehen, welche Zielsetzungen die jeweils beteiligten Akteure verfolgen:
Diese unterschiedlichen Vorstellungen führen dazu, dass „Souveränität“ je nach Kontext anders interpretiert wird.
Herausforderungen für IT-Verantwortliche: Abhängigkeiten in drei Handlungsfeldern sichtbar machen
Die Diskussion um IT-Souveränität lässt sich aus Sicht von Unternehmen auf drei zentrale Handlungsfelder herunterbrechen.
Datenvertraulichkeit: Bei jedweder Speicherung von Daten entstehen potenzielle Risiken durch nicht autorisierten Zugriff. Hier ergeben sich unmittelbar grundlegende Sicherheitsanforderungen – völlig unabhängig davon, wo die Daten gespeichert werden. In der Cloud kommen jedoch weitere Dimensionen hinzu: Zum einen besteht die Möglichkeit eines behördlichen Zugriffs, wie es bei US Hyperscalern im Rahmen der CLOUD Acts oder FISA geregelt ist. Zum anderen ist man im Shared Responsibility Model auch generell davon abhängig, dass der Cloud Provider seinen Verpflichtungen hinsichtlich Sicherheit und Vertraulichkeit gewissenhaft nachkommt.
Serviceverfügbarkeit: Die Bereitstellung digitaler Dienste hängt häufig von einzelnen Anbietern ab. Kommt es zu politischen Maßnahmen, Handelskonflikten, Anpassungen im Lizenzmodell oder auch zu kritischen Veränderungen an der Funktion des Services im Rahmen eines Update, können zentrale Prozesse der Wertschöpfungskette plötzlich und akut gefährdet sein. Dieses Risiko betrifft nicht nur die Infrastruktur, sondern auch Dienste auf Applikationsebene. Ein Beispiel: Nach dem Beginn des russischen Angriffskriegs gegen die Ukraine kündigten die drei großen Hyperscaler im Gleichschritt an, keine neuen Produkte oder Dienstleistungen mehr in Russland anzubieten – ein Schritt, der als klares Signal für geopolitisch bedingte Einschränkungen digitaler Services gewertet wurde [6].
Rechtssicherheit: Gesetzliche Anforderungen verändern sich dynamisch – auf europäischer Ebene etwa durch DSGVO, Data Act oder DORA, auf nationaler Ebene durch Gesetze wie das IT-Sicherheitsgesetz 2.0. Letzteres verpflichtet Betreiber kritischer Infrastrukturen unter anderem zum Einsatz von Systemen zur Angriffserkennung und zum Nachweis gegenüber dem BSI [7]. Für Unternehmen bedeutet das: IT-Systeme müssen nicht nur den aktuellen Rechtsrahmen erfüllen, sondern auch mit Blick auf zukünftige Änderungen flexibel anpassbar sein, etwa bei Meldepflichten, Kontrollmechanismen oder Schutzvorgaben.
IT-Souveränität bildet für diese drei Handlungsfelder die strukturelle Grundlage. Sie schafft Gestaltungsräume, um regulatorischen und technologischen Wandel nicht nur zu bewältigen, sondern vorausschauend zu integrieren – in IT-Architekturentscheidungen, Softwarestrategien und die Auswahl externer Dienstleister.
IT-Souveränität ist kein Alles-oder-nichts
In der öffentlichen Debatte wird IT-Souveränität häufig mit vollständiger technologischer Unabhängigkeit gleichgesetzt. In der betrieblichen Realität gestaltet sich die Frage differenzierter: Welche Abhängigkeiten sind tolerierbar und welche Abhängigkeiten sind kritisch – und welche lassen sich mit vertretbarem Aufwand reduzieren?
Nicht jede technologische Abhängigkeit ist per se ein Nachteil – im Gegenteil: Zum Beispiel kann der gezielte Einsatz von Cloud-Diensten großer Hyperscaler Unternehmen natürlich auch erhebliche Vorteile bringen. Diese Lösungen sind oft technologisch ausgereift, hochgradig skalierbar und ermöglichen eine schnelle Umsetzung innovativer Ideen. Sie bieten Zugang zu modernsten Technologien wie KI, Datenanalyse oder globaler Infrastruktur, ohne dass Unternehmen diese selbst aufbauen und betreiben müssen. Hier kann der unmittelbare geschäftliche Nutzen die potenziellen Risiken einer Abhängigkeit überwiegen – insbesondere dann, wenn diese bewusst eingegangen und strategisch gemanagt wird. IT-Souveränität bedeutet in diesem Kontext nicht zwangsläufig vollständige Eigenständigkeit, sondern vielmehr die Fähigkeit, technologische Entscheidungen informiert und selbstbestimmt zu treffen – auch wenn dies hier den Einsatz externer Dienste einschließt.
Entscheidend ist, technologische Abhängigkeiten bewusst zu steuern – nicht pauschal zu vermeiden. Wer Daten souverän verwaltet und bei technologischen Entscheidungen unabhängig bleibt, schafft die Grundlage für Innovation, Anpassungsfähigkeit und nachhaltige digitale Wertschöpfung.
So werden Daten nicht nur geschützt, sondern gezielt nutzbar: etwa für KI-gestützte Geschäftsmodelle, personalisierte Services oder die Integration in digitale Ökosysteme. Unternehmen gewinnen dadurch die Freiheit, ihre Digitalstrategie eigenständig auszurichten – und sich flexibel auf veränderte Marktbedingungen einzustellen.
Wer Daten, Prozesse und Systeme strategisch steuert und dabei bewusst abwägt, wo eine Technologiepartnerschaft echten Mehrwert bringt und wo sie zur kritischen Abhängigkeit wird, sichert sich klare Vorteile: schnellere Entwicklungszyklen, höhere Anpassungsfähigkeit, stärkere Kundenbindung und mehr Unabhängigkeit in der Wertschöpfung. IT-Souveränität wird so zum Motor für Innovation und Differenzierung – weit über reine Sicherheitsfragen hinaus.
Architekturentscheidungen: Der technische Hebel zur Souveränität
Die Grundlage für digitale Unabhängigkeit liegt in den Architekturentscheidungen. Bereits bei der Planung einer Lösung, etwa für Datenverarbeitung, Benutzerverwaltung oder Systemintegration, wird festgelegt, wie stark ein Unternehmen von externen Komponenten abhängig ist.
Technische Souveränität entsteht, wenn Unternehmen die Kontrolle über zentrale Komponenten behalten: Datenhaltung, Betriebsumgebung und Softwareentwicklung. Das bedeutet nicht zwangsläufig, alles selbst zu betreiben. Entscheidend ist, welche Wahlmöglichkeiten bestehen, wenn sich Rahmenbedingungen ändern.
Dazu gehören zum einen die Möglichkeit, Anbieter zu wechseln, ohne grundlegende Softwareanpassung oder Datenformatänderung bei einer Migration (z.B. durch den Einsatz von standardisierten Schnittstellen und portablen Technologien) und zum anderen die klare vertragliche und technische Regelung von Betriebsverantwortung und Datenverantwortung. Diese Prinzipien ermöglichen nicht nur Autonomie, sondern verbessern auch die Resilienz gegenüber externen Störungen.
Die Umsetzung einer maßgeschneiderten, souveränen Architektur bringt einige Herausforderungen mit sich. Unternehmen müssen vorab zahlreiche Fragen klären: Welche Daten und Systeme sind tatsächlich geschäftskritisch? Wo bestehen heute schon Abhängigkeiten? Welche regulatorischen Anforderungen gelten im jeweiligen Geschäftsbereich und kommen in Zukunft? Bieten proprietäre Angebote einen signifikanten Mehrwert, der es rechtfertigt, punktuell Abhängigkeiten einzugehen?
Erst mit dieser Analyse kann entschieden werden, welche Architektur langfristig tragfähig und strategisch sinnvoll ist.
Drei Leitfragen für mehr Transparenz
Ob eine Lösung IT-souverän ist, lässt sich anhand dreier zentraler Fragen beurteilen – sie helfen dabei, bestehende Abhängigkeiten systematisch zu analysieren und Handlungsfelder und -spielräume zu erkennen:
Diese Leitfragen schaffen die Grundlage für tragfähige Entscheidungen auf technischer, vertraglicher und organisatorischer Ebene und machen deutlich, wo die Kontrolle im Unternehmen liegt und wo nicht.
Optionen und ihre Abwägung: Drei Infrastrukturstrategien im Vergleich
Die Umsetzung von IT-Souveränität kann unterschiedlich erfolgen – je nach Branche, Risikobereitschaft und technischer Komplexität. Für unser Projektgeschäft sehen wir drei Ansätze für die Umsetzung von IT-Infrastrukturen mit erhöhten Ansprüchen hinsichtlich IT-Souveränität:
In vielen Fällen ist eine hybride Lösung sinnvoll – beispielsweise mit kritischen Systemen in europäischer Infrastruktur und ergänzenden Cloud-Diensten der US Hyperscaler für skalierbare Verarbeitung oder KI-gestützte Analysen.
Auch Softwaredesign beeinflusst IT-Souveränität maßgeblich
Ein durchdachtes Software-Design, das Aspekte wie Datenlokalisierung, Verschlüsselung, Modularität und Interoperabilität berücksichtigt, kann die Abhängigkeit von externen Anbietern verringern und dadurch die Kontrolle über kritische Daten und Prozesse erhöhen. Die Nutzung von Open-Source-Software kann dabei helfen, Transparenz und Flexibilität zu erhöhen, da sie Unternehmen ermöglicht, den Quellcode zu überprüfen, anzupassen und weiterzuentwickeln, ohne von proprietären Lösungen abhängig zu sein. Durch die Implementierung offener Standards und die Vermeidung von Vendor-Lock-in-Situationen können Unternehmen ihre Flexibilität und Unabhängigkeit stärken. Wenn ein Unternehmen seine Software so gestaltet, dass sie flexibel, transparent und unabhängig ist, kann es leichter sicherstellen, dass es alle relevanten Vorschriften und Gesetze einhält. Dies reduziert das Risiko von Compliance-Verstößen und stärkt die Autonomie des Unternehmens in Bezug auf seine IT-Infrastruktur und Datenverwaltung.
Gerade innovationsgetriebene Unternehmen können von einem Softwaredesign profitieren, das Datenportabilität, Offenheit und Interoperabilität ermöglicht – denn nur so können sie neue Technologien flexibel integrieren, eigene digitale Services entwickeln oder datenbasierte Geschäftsmodelle skalieren. Hier gilt es besonders gründlich zu prüfen, welche IT-Abhängigkeiten man eingehen sollte, um die eigene Innovationsgeschwindigkeit zu erhöhen: Wer auf geschlossene Plattformen setzt, kann Gefahr laufen, seine Innovationsfähigkeit mittelfristig einzuschränken und sich der Dynamik am Markt anzupassen, statt sie mitzugestalten. Auf der anderen Seite kann es auch mit unverhältnismäßigem Aufwand verbunden sein, konkurrenzfähige offene Systeme zu unterhalten. Das prominenteste Beispiel hierfür ist aktuell mit Sicherheit das kommerzielle Angebot an leistungsfähigen Large Language Models, was je nach Anwendung, nicht wirklich durch eine offene Alternative ersetzt werden kann.
IT-Souveränität ist eine strategische Entscheidung
IT-Souveränität bedeutet für Unternehmen nicht, radikal mit bestehenden Strukturen zu brechen. Vielmehr handelt es sich um eine strukturierte Weiterentwicklung der Organisation und der von ihr genutzten IT-Systeme. Unternehmen stehen nicht vor der Frage „Cloud oder nicht“, sondern vor der Aufgabe, die Kontrolle über ihre Daten und Systeme so zu gestalten, dass sie langfristig flexibel, regelkonform und wirtschaftlich arbeiten können. Obgleich die initiale Architekturentscheidung eine herausragende Rolle spielt hinsichtlich IT-Souveränität, ist die Umsetzung einer IT-Souveränitätsstrategie kein abgeschlossenes Projekt, sondern ein kontinuierlicher Gestaltungsprozess. Organisationen, die sich fortwährend mit ihren Abhängigkeiten auseinandersetzen und eigene Handlungsoptionen definieren, schaffen die Basis für technologische Entscheidungen, die auch unter veränderten regulatorischen, politischen oder wirtschaftlichen Rahmenbedingungen tragfähig bleiben. Sie stärken nicht nur ihre Resilienz – sie schaffen die Grundlage für Zukunftsprojekte, für digitale Unabhängigkeit und für die Fähigkeit, ihre eigene Rolle im Markt aktiv zu gestalten. IT-Souveränität ist damit auch ein Ausdruck von unternehmerischer Mündigkeit: Die Freiheit, zu entscheiden, wie man mit Daten, Technologie und Innovation umgeht – um nicht nur reagieren zu müssen.
Nur wer eine solide IT-Souveränitätsstrategie entwickelt und regelmäßig auf den Prüfstand stellt, kann bewusste Entscheidungen bezüglich seiner digitalen Infrastruktur und IT-Souveränität treffen, als Teil seiner unternehmerischen Gestaltungsfreiheit.
Im nächsten Beitrag zeigen wir, wie sich die Prinzipien der IT-Souveränität speziell auf Data-Analytics-Architekturen auswirken – mit praxisnahen Beispielen, zugeschnitten auf die unterschiedlichen Anforderungen unserer Kunden.
Quellen:
[1] BARC (Abgerufen am 08.07.2025): Datensouveränität sichern – Handlungsempfehlungen für Unternehmen.
[2] Heise (2025): Strafgerichtshof: Microsofts E-Mail-Sperre als Weckruf für digitale Souveränität.
[3] Golem (2025): Microsoft sperrt E-Mail-Konto – US-Sanktionen behindern Arbeit des IStGH.
[4] The Verge (29.07.2019): GitHub restricts developers in Iran, Syria and other sanctioned nations.
[5] BBC (21.12.2018): GitHub code-sharing site hit by takedown over anti-censorship tool.
[6] TechCrunch (10.03.2022): Amazon, Microsoft and Google suspend cloud sales in Russia.
[7] BSI (Abgerufen am 10.07.2025): IT-Sicherheitsgesetz 2.0 – Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme.
