Die digitale Souveränität, verstanden als Sicherheit vor fremdem Zugriff auf Daten, Systeme und digitale Prozesse, ist (Stand 2025) ein erklärtes Ziel der Bundesregierung und vieler weiterer staatlicher Institutionen. Sie soll gewährleisten, dass Organisationen nicht von externen Rechtsräumen oder Anbietern abhängig sind und ihre digitale Zukunft selbstbestimmt gestalten können.
Ein hehres Ziel, das jedoch nicht nur herausfordernd, sondern auch schwer zu fassen ist. Denn was genau unter "digital souverän" zu verstehen ist, bleibt vage und eröffnet damit großen Interpretationsspielraum. Genau diesen nutzen vor allem US-Hyperscaler für ihre Marketingstrategien: Sie präsentieren ihre Produkte als souverän und DSGVO-konform – obwohl die Realität eine andere Sprache spricht. Was sich hinter diesem sogenannten "Souveränitäts-Washing" verbirgt und wie man es erkennt, zeigen wir im Folgenden.
Was ist Souveränitäts-Washing?
Auf einen Blick
"Souveränitäts-Washing" ist das digitale Äquivalent von "Greenwashing": Ein Werbeversprechen, das Souveränität verspricht, dieses Versprechen aber nicht zu 100 Prozent halten kann.
Der Begriff "Souveränitäts-Washing" beschreibt eine aktuelle Praxis, bei der Unternehmen oder Anbieter von IT-Services den Eindruck erwecken, besonders datensouverän, unabhängig oder EU-regelkonform zu sein, ohne dieses Versprechen tatsächlich in vollem Umfang einzulösen. Es handelt sich damit um eine Variation des "Greenwashings" im Bereich der digitalen Souveränität, bei welchem Werbeversprechen versuchen, über die Realität hinwegzutäuschen.
Besonders für Unternehmen, die Wert auf Datenschutz, Unabhängigkeit und langfristige Planungssicherheit legen (müssen), ist Souveränitäts-Washing gefährlich. Es schafft eine Scheinsicherheit, die im Ernstfall, zum Beispiel bei einem Rechtsstreit oder einem geopolitischen Konflikt, keinen Wert hat. Fehlentscheidungen bei der Wahl von Partnern oder Plattformen können dadurch teuer und schwer reversibel sein.
Wie erkennt man Souveränitäts-Washing?
Viele Anbieter werben mit Begriffen wie "Made in Germany", "100 % DSGVO-konform" oder "souveräne Cloud". Doch solche Versprechen bedeuten nicht automatisch echte digitale Unabhängigkeit, insbesondere dann nicht, wenn zentrale Teile des Angebots auf Infrastruktur oder Software außereuropäischer Anbieter beruhen.
Die folgenden Fragen helfen, die tatsächliche Souveränität eines Anbieters besser einzuschätzen.
Liegt der Sitz des Unternehmens im EU-Ausland?
❓ Warum ist das relevant?
Liegt der Unternehmenssitz außerhalb der EU, kann das Unternehmen per Definition nicht souverän im Sinne der EU sein. Selbst dann, wenn es Tochterunternehmen innerhalb der EU haben sollte.
Der Sitz bestimmt die anwendbare Rechtsordnung und Aufsicht. Unternehmen unterliegen den Gesetzen ihres Heimatstaates, was den Schutz europäischer Daten beeinflusst.
⚠️ Warum ist das ein Risiko?
Ein Beispiel: Der CLOUD Act verpflichtet US-Unternehmen, auf Anforderung Behörden auch sensible personenbezogene Daten herauszugeben, unabhängig davon, wo die Daten physisch gespeichert sind. Ähnliche Gesetze existieren in weiteren Nicht-EU-Ländern.
🔍 Wo findet man Antworten?
Informationen zum Unternehmenssitz finden sich im Impressum, in den Allgemeinen Geschäftsbedingungen (AGBs) oder den Datenschutzdokumenten.
Hostet ein Unternehmen seine Daten bei einem Nicht-EU-Unternehmen?
❓ Warum ist das relevant?
Das Hosting kann zusätzliche Souveränitätsrisiken bergen, so wie es beispielsweise bei US-Hyperscalern der Fall ist. Denn auch wenn der Unternehmenssitz in der EU liegt, können in diesen Fällen Daten bei den Rechenzentrumsbetreibern unter dem jeweils gültigen Staatsrecht verarbeitet werden.
⚠️ Warum ist das ein Risiko?
In vielen Fällen setzen Anbieter auf einen der drei großen US-Hyperscaler:
- Microsoft Azure
- Google Cloud
- Amazon Web Services (AWS)
Alle drei unterliegen dem US CLOUD Act, dominieren aber dennoch den EU-Markt. Doch auch Anbieter aus anderen Ländern bieten in der EU ihre Angebote an und sind risikobehaftet. Dazu zählen zum Beispiel:
- Alibaba Cloud aus China
- Huawei Cloud aus China
- Tata Communications aus Indien
Zwar sind diese Anbieter in Europa deutlich weniger verbreitet als ihre US-Pendants, dennoch gilt auch für sie, dass sie sich an die nationalen Gesetze ihres Herkunftslandes halten müssen.
🔍 Wo findet man Antworten?
Entsprechende Informationen, welcher Hosting-Anbieter genutzt wird, finden sich oft in der Datenschutzerklärung oder im Vertrag zur Auftragsverarbeitung (AVV).
Nutzt das Unternehmen nicht-europäische Subunternehmen?
❓ Warum ist das relevant?
Selbst Unternehmen mit Hauptsitz in der EU können durch den Einsatz nicht-europäischer Subunternehmer Souveränität verlieren. Das betrifft nicht nur die bereits angesprochenen Hosting-Anbieter, sondern etwa auch externe IT-Dienstleister wie Firewall Provider oder CDN-Anbieter (Content Delivery Network).
⚠️ Warum ist das ein Risiko?
Subunternehmer in Drittstaaten unterliegen ihrer jeweiligen nationalen Gesetzgebung. Dadurch können Daten trotz EU-Sitz des auftraggebenden Unternehmens rechtlich und praktisch in andere Rechtsräume gelangen.
🔍 Wo findet man Antworten?
Hinweise zu den beauftragten Subunternehmen sind in den AGBs, AVVs oder der Datenschutzerklärung eines Unternehmens zu finden. Organisationen mit Sitz in der EU sind gemäß DSGVO (insbesondere Art. 28 und Art. 30) verpflichtet, Informationen über alle Subunternehmer bereitzustellen, die personenbezogene Daten verarbeiten.
Warum ist es problematisch, wenn ein EU-Unternehmen nicht-europäische Subunternehmen einsetzt?
❓ Warum ist das relevant?
Der Grad digitaler Souveränität ergibt sich nicht aus einem einzelnen Faktor, sondern aus der gesamten Lieferkette. Aus diesem Grund ist eine ganzheitliche Analyse so wertvoll, insbesondere dann, wenn man Wert auf echte digitale Souveränität legt.
⚠️ Warum ist das ein Risiko?
Auch wenn ein EU-Unternehmen den äußeren Anschein von Souveränität wahrt, können nicht-europäische Subunternehmen oder die Datenspeicherung bei US-Hyperscalern den Schutz der DSGVO rechtlich untergraben.
4 Beispiele für Souveränitäts-Washing
US-Hyperscaler:
Ob Microsoft, Amazon oder Google: Die großen US-Hyperscaler werben aktuell (Stand Oktober 2025) alle mit Angeboten, die wie für den wachsenden Wunsch nach mehr Souveränität in Europa gemacht zu sein scheinen. Microsofts "Sovereign Cloud", Amazons "AWS European Sovereign Cloud" und Googles Pendant versprechen, dass Daten ausschließlich in europäischen Rechenzentren verarbeitet und europäischem Recht unterstellt werden.
Tatsächlich ändert sich dadurch jedoch weder der Unternehmenssitz noch die Verpflichtung gegenüber US-Recht. Alle drei Unternehmen haben dies in unabhängigen Befragungen klar bestätigt; Microsoft zusätzlich vor dem französischen Senat des Parlaments. Damit bleibt das Kernproblem bestehen: Souveränität wird suggeriert, aber nicht gewährleistet.
Delos Cloud:
Die Delos Cloud, eine Tochtergesellschaft von SAP, wirbt mit einer souveränen Cloud für den öffentlichen Dienst. Technisch basiert die Plattform jedoch auf Microsoft-Technologien, inklusive regelmäßiger Updates duch den US-Konzern, wodurch eine Abhängigkeit bestehen bleibt.
Fachgremien wie der Arbeitskreis Digitale Souveränität der Gesellschaft für Informatik warnen vor dieser Konstruktion. Nach Einschätzung von Prof. Dr. Harald Wehnes, Sprecher des Präsidiumsarbeitskreises, verstärken solche Versprechen sogar die strukturelle Abhängigkeit von Microsoft in Deutschland.
Gaia-X:
Die Initiative Gaia-X wurde 2019 von Deutschland und Frankreich gestartet, um eine föderierte, europäische Cloud-Infrastruktur zu schaffen. Früh wurden jedoch auch US-Hyperscaler wie Microsoft, Amazon und Google eingebunden. Kritiker warnten daher bereits zu Beginn, dass deren Einfluss das Projekt gefährden könnte.
Heute, im Jahr 2025, steht Gaia-X unter Druck: Verzögerungen, Interessenkonflikte und der Einfluss großer US-Player gefährden den Anspruch, echte digitale Souveränität in Europa aufzubauen.
Europäische Anbieter mit Infrastrukturabhängigkeiten:
Verschiedene europäische Software- und Cloudanbieter werben mit Begriffen wie "Made in Germany" oder "in Deutschland gehostet", setzen aber im Hintergrund auf Infrastruktur von US-Hyperscalern. Damit verlieren solche Aussagen ihre Bedeutung, wenn die Daten letztlich auf den Servern amerikanischer Unternehmen verarbeitet werden.
Wie schon erwähnt lohnt es sich daher, die Unterlagen eines Anbieters sorgfältig zu prüfen. So lässt sich früh erkennen, ob eine technische oder rechtliche Abhängigkeit besteht.
Wie Stackfield echte digitale Souveränität umsetzt
Auf einen Blick
Stackfield setzt auf echte digitale Souveränität: Das Unternehmen hat seinen Sitz in Deutschland, hostet alle Daten ausschließlich in deutschen Rechenzentren und verzichtet vollständig auf US-Hyperscaler. Durch die clientseitige Verschlüsselung bleibt die Datenhoheit jederzeit beim Nutzer.
Echte digitale Souveränität ohne Abhängigkeiten und ohne Risiko eines Datenzugriffs von außerhalb der EU ist das zentrale Prinzip von Stackfield. Um dies zu gewährleisten, wurden umfassende Maßnahmen etabliert, damit Daten den europäischen Rechtsraum gar nicht erst verlassen.
Zu diesen Maßnahmen gehört:
- die ausschließliche Verarbeitung aller Daten auf Servern innerhalb der EU
- der Einsatz ausschließlich europäischer Unterauftragnehmer, etwa für Hosting oder Mailversand
- der vollständige Verzicht auf externe Tracking- oder Analysetools
Als rein deutsches Unternehmen unterliegt Stackfield – ebenso wie die beauftragten Subunternehmen – ausschließlich deutschem und europäischem Recht. Gesetze aus Drittländern, wie der US-amerikanische CLOUD Act, können damit gar nicht erst angewendet werden.
Dass Sicherheit und Datenschutz bei Stackfield einen hohen Stellenwert haben, belegen zudem die anerkannten ISO-Zertifizierungen 27001, 27017 und 27018 sowie ein Testat gemäß den Anforderungen des Kriterienkatalog C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Fazit: Souveräne Angebote existieren, man muss sie nur erkennen
Souveränitäts-Washing kommt häufiger vor, als man vermuten mag. Viele Anbieter nutzen den unscharfen Begriff der "digitalen Souveränität", um Vertrauen zu schaffen, ohne ihre Abhängigkeiten oder rechtlichen Verpflichtungen offenzulegen. Für Kunden entsteht dadurch ein erhebliches Risiko: Wer blind auf solche Versprechen setzt, verliert nicht nur die Kontrolle über seine Systeme, sondern gefährdet auch seine sensiblen personenbezogenen Daten.
Echte Alternativen existieren, aber sie erfordern einen kritischen Blick auf Inhalte wie den Unternehmenssitz, die genutzte Hosting-Infrastruktur und die eingesetzten Subunternehmer. Erst, wenn die gesamte Lieferkette transparent ist, lässt sich sicherstellen, dass digitale Souveränität nicht bloß ein Marketinglabel bleibt, sondern tatsächlich gelebt wird.