Zwischen Freiheit und Abhängigkeit

Digitale Souveränität beginnt nicht bei der Technologie, sondern bei der Abhängigkeit. Laut aktuellen Erhebungen beziehen rund 96 Prozent der Unternehmen digitale Technologien oder Leistungen aus dem Ausland. Besonders ausgeprägt ist dies bei Endgeräten, Software und Hardware-Komponenten wie Chips oder Sensoren. Diese Abhängigkeit ist historisch gewachsen. Globale Plattformanbieter haben es ermöglicht, IT-Infrastrukturen schneller, günstiger und skalierbarer aufzubauen. Hyperscaler, internationale Softwareanbieter und globale Lieferketten haben die Digitalisierung beschleunigt – allerdings um den Preis einer strukturellen Bindung an externe Anbieter und Rechtsräume.

Gleichzeitig zeigt sich ein Spannungsfeld: Während Unternehmen operativ auf globale Technologien angewiesen sind, wächst das Bedürfnis nach Kontrolle. Daten gelten längst als kritische Ressource, vergleichbar mit Energie oder Rohstoffen. Entsprechend rückt die Frage in den Fokus, wer Zugriff hat, wo Daten gespeichert werden und unter welchen rechtlichen Rahmenbedingungen sie verarbeitet werden.

Ein Blick auf die Präferenzen bei IT-Sicherheitslösungen verdeutlicht diese Entwicklung: Über 70 Prozent der Unternehmen würden bei neuen Sicherheitsanbietern Lösungen aus der Europäischen Union bevorzugen. Anbieter aus den USA oder anderen Regionen spielen zwar weiterhin eine Rolle, werden aber deutlich kritischer bewertet.

Diese Diskrepanz – faktische Abhängigkeit bei gleichzeitiger strategischer Distanzierung – ist der Ausgangspunkt der aktuellen Debatte um Datensouveränität.

Strategisches Konzept

Datensouveränität ist kein rein technischer Begriff, sondern ein mehrdimensionales Konzept. Es umfasst die Fähigkeit von Unternehmen und Staaten, die Kontrolle über ihre Daten, deren Nutzung und deren Infrastruktur zu behalten – unabhängig von externen Einflüssen. Dabei geht es nicht nur um den physischen Speicherort von Daten. Vielmehr lassen sich vier zentrale Dimensionen unterscheiden:

• Daten-Souveränität: Wo liegen die Daten? Wer darf darauf zugreifen? Welche regulatorischen Vorgaben gelten?
• Technische Souveränität: Welche Infrastruktur wird genutzt? Wie sind Daten verschlüsselt? Wie unabhängig sind Systeme von einzelnen Anbietern?
• Betriebliche Souveränität: Wer betreibt die Systeme? Wo sitzen Administratoren und Wartungsteams?
• Juristische Souveränität: Welchem Recht unterliegt die Datenverarbeitung? Welche Gerichtsbarkeit greift im Konfliktfall?

Datensouveränität ist kein Zustand, sondern ein Kontinuum. Unternehmen bewegen sich entlang eines Spektrums zwischen vollständiger Abhängigkeit und maximaler Kontrolle. Souveränität bedeutet nicht, alles selbst zu machen – sondern jederzeit entscheiden zu können, was man selbst macht und was nicht.

Regulierung, Risiko und Resilienz

Die Dynamik hinter dem Thema Datensouveränität wird im Wesentlichen durch drei Faktoren bestimmt: Regulierung, Risiko und Resilienz.

1. Regulierung: Mit Initiativen wie DSGVO, EU Data Act oder nationalen Datenschutzgesetzen wird der Umgang mit Daten zunehmend normiert. Unternehmen müssen nachvollziehbar dokumentieren, wo ihre Daten liegen und wie sie verarbeitet werden.
2. Risiko: Cyberangriffe, geopolitische Spannungen und wirtschaftliche Abhängigkeiten machen deutlich, dass digitale Infrastruktur ein potenzieller Angriffsvektor ist. Wer kritische Systeme vollständig auslagert, gibt auch ein Stück Kontrolle ab.
3. Resilienz: Digitale Souveränität ist eng mit Widerstandsfähigkeit verknüpft. Unternehmen, die ihre Datenflüsse, Systeme und Anbieterlandschaften verstehen und steuern können, sind besser in der Lage, auf Krisen zu reagieren.

Diese drei Faktoren verstärken sich gegenseitig. Regulierung zwingt zu mehr Transparenz, Risiken erhöhen den Handlungsdruck, und Resilienz wird zum strategischen Ziel.

Zwischen Anspruch und Realität

Seit wenigen Jahren macht sich eine Strategie breit, die Abhängigkeit von globalen Technologieanbietern zu reduzieren, ohne die Vorteile internationaler Innovation vollständig aufzugeben. Initiativen wie Gaia-X oder nationale Cloud-Projekte sind Ausdruck dieses Anspruchs. In der Praxis zeigt sich jedoch, dass vollständige Unabhängigkeit kaum realistisch ist. Zu dominant sind die grossen Plattformanbieter, zu komplex die globalen Lieferketten, zu hoch die Innovationsgeschwindigkeit. Stattdessen zeichnet sich ein hybrider Ansatz ab:

• Multi-Cloud-Strategien, um Abhängigkeiten zu reduzieren
• Regionale Hosting-Modelle, um regulatorische Anforderungen zu erfüllen
• Zero-Trust-Architekturen, um Zugriff und Kontrolle granular zu steuern
• Datenklassifizierung, um kritische von weniger kritischen Daten zu trennen

Die Realität zeigt, dass wir vermutlich mittelfristig keine Chance haben, komplett unabhängig zu sein. Immerhin haben wir Stellhebel, um zu entscheiden, wo Abhängigkeiten sinnvoll sind und wie weit wir diese beeinflussen können. 

Zwischen Anspruch und Realität

Seit wenigen Jahren macht sich eine Strategie breit, die Abhängigkeit von globalen Technologieanbietern zu reduzieren, ohne die Vorteile internationaler Innovation vollständig aufzugeben. Initiativen wie Gaia-X oder nationale Cloud-Projekte sind Ausdruck dieses Anspruchs. In der Praxis zeigt sich jedoch, dass vollständige Unabhängigkeit kaum realistisch ist. Zu dominant sind die grossen Plattformanbieter, zu komplex die globalen Lieferketten, zu hoch die Innovationsgeschwindigkeit. Stattdessen zeichnet sich ein hybrider Ansatz ab:

• Multi-Cloud-Strategien, um Abhängigkeiten zu reduzieren
• Regionale Hosting-Modelle, um regulatorische Anforderungen zu erfüllen
• Zero-Trust-Architekturen, um Zugriff und Kontrolle granular zu steuern
• Datenklassifizierung, um kritische von weniger kritischen Daten zu trennen

Die Realität zeigt, dass wir vermutlich mittelfristig keine Chance haben, komplett unabhängig zu sein. Immerhin haben wir Stellhebel, um zu entscheiden, wo Abhängigkeiten sinnvoll sind und wie weit wir diese beeinflussen können. 

Operativen Umsetzung

Die grösste Herausforderung liegt nicht im Konzept, sondern in der Umsetzung. Unternehmen müssen Transparenz schaffen: Welche Daten existieren überhaupt, wo sind diese gespeichert und wer kann darauf zugreifen. Darauf aufbauend gilt es, Abhängigkeiten zu analysieren: Welche Anbieter sind geschäftskritisch, und wo bestehen realistische Alternativen? Diese Erkenntnisse fliessen direkt in die Anpassung der IT-Architektur ein, etwa durch den gezielten Einsatz hybrider oder souveräner Cloud-Modelle. Parallel dazu ist es entscheidend, eine klare Governance zu etablieren, die Verantwortlichkeiten für Daten, Compliance und Sicherheit eindeutig regelt. Nicht zuletzt müssen Unternehmen gezielt Kompetenzen aufbauen,  – insbesondere in den Bereichen Cybersecurity, Cloud-Architektur und Datenmanagement –, um die gewonnene Kontrolle auch langfristig sicherzustellen. Klar ist, dass Datensouveränität keine isolierte IT-Frage ist. Sie betrifft das gesamte Unternehmen von der Geschäftsleitung über die Rechtsabteilung bis hin zu den Fachbereichen.

Buzzword-Gefahr

Digitale Souveränität hat sich zu einem zentralen Verkaufsargument entwickelt. Kaum ein Anbieter, der nicht mit souveränen Cloud-Angeboten wirbt. Das Kundenbedürfnis ist real: Unternehmen wollen Kontrolle über ihre Daten und mehr Unabhängigkeit von geopolitischen Risiken. Gleichzeitig führt dieser Trend zu einer gewissen Verwässerung des Begriffs. Je stärker Souveränität vermarktet wird, desto wichtiger wird die Frage, was dahintersteckt.

Gerade internationale Anbieter haben ihre Botschaften entsprechend angepasst. Regionale Rechenzentren und spezielle «Sovereign Cloud»-Angebote sollen Vertrauen schaffen. Doch der physische Standort allein greift zu kurz. Ein Rechenzentrum in Zürich oder Frankfurt beantwortet noch nicht die entscheidenden Fragen: Wer betreibt die Infrastruktur? Wer hat Zugriff auf Administrations- und Supportebene? Und welcher Gerichtsbarkeit unterliegt der Anbieter im Konfliktfall? Ein europäisches oder schweizerisches Rechenzentrum ist noch kein Garant für echte Souveränität. 

Souveränität als Balanceakt

Teilweise scheint es, dass das Thema «Datensouveränität» ein Rückzug aus der globalen Digitalisierung ist. Dem ist nicht so. Die zentrale Souveränität-Frage lautet nicht, ob man auf internationale Technologien setzt – sondern wie. Datensouveränität wird zu einer Führungsaufgabe und lässt sich nicht wegdelegieren. Sie erfordert strategische Klarheit, technologische Kompetenz, organisatorische Disziplin und vor allem Verantwortung.