Person sitzt auf einem Bergplateau

Wenn digitale Freiheit neue Risiken sichtbar macht.

Was, wenn der Bagger vor der Tür durchs Internetkabel beißt – welche Abteilungen in der Firma können dann weiterarbeiten? Was, wenn das Containerschiff mit der Hardware nicht ankommt – wie lang stockt dann mein IT-Projekt? Was, wenn ich den Cloud-Anbieter wechseln will – wie sammle ich all meine Daten ein und wie schnell geht das? Geht es überhaupt? Selbst für IT-Verantwortliche kleinerer Unternehmen sind internationale Nachrichten und Geopolitik heute ein Thema. Sie horchen auf, wenn die US-Regierung Richter des Internationalen Strafgerichtshofs sanktioniert und sie von E-Mail-Diensten ausschließt. Sie lesen den Artikel genau, wenn sich im Suezkanal ein Frachter querlegt. Sie schauen im Fernsehen hin, wenn ein einziges fehlerhaftes Software-Update Kassensysteme, Bankautomaten und ganze Flughäfen lahmlegt. Firmen, Behörden und Organisationen aller Orten buchten die Reise in die große IT-Freiheit. Jetzt, wo sie angekommen sind, sehen sie nicht nur weite Landschaften. Dort hinten am Horizont schimmern im Dunst neue Grenzen und Risiken. Sie atmen durch, denn es wird klar: Wer den Schritt in die operationelle Freiheit getan hat, hat den Schritt in die digitale Souveränität nicht automatisch vollzogen.

Das Wichtigste in Kürze.

  • Thema: Digitale Handlungsfähigkeit unter vernetzten, globalen Bedingungen.
  • Zentraler Kontext: Cloud‑Nutzung, Plattformökonomie und globale Abhängigkeiten verändern digitale Gestaltungsfreiheit und Kontrolle.
  • Kernbegriff: Digitale Souveränität als Voraussetzung belastbarer Handlungsfähigkeit.
  • Ziel: Handlungsfähigkeit von Unternehmen und Organisationen auch bei Störungen und Veränderungen sichern.
  • Zentrale Hebel: Wahlfreiheit bei Anbietern, Transparenz über Abhängigkeiten, resiliente IT‑Architekturen.
  • Relevanz: Strategische IT‑Entscheidungen wirken direkt auf Resilienz, Flexibilität und Business Continuity.
Person steht am Strand im Sonnenuntergang

Was digitale Souveränität für Unternehmen und Organisationen konkret bedeutet.

Was heißt „digitale Souveränität“? Eine allgemeine Definition hat sich noch nicht durchgesetzt – von weitgehender technischer Autonomie bis zum Volkhochschulkurs „Verantwortungsvolle Social-Media-Nutzung“ wird alles im Munde geführt. Unklar ist in der Debatte auch, wer eigentlich souverän sein soll: die Europäische Union, Deutschland, die Bürger:innen, die Wirtschaft? Wenn im Folgenden von digitaler Souveränität die Rede ist, ist immer Souveränität für das einzelne Unternehmen, für die konkrete Organisation gemeint. Jede:r sollte sich zunächst kurz klarmachen, dass es vollständige Kontrolle, unabhängige Entscheidungshoheit und absolute Selbstbestimmtheit schlicht nicht gibt, nie gab – für Organisationen nicht, für deren IT auch nicht. Jedes Unternehmen ist Mitglied der globalen, arbeitsteiligen Gesellschaft, und stets werden Dinge passieren, die man nicht hat kommen sehen. Zum Glück gibt es in der modernen Betriebsführung seit vielen Jahrzehnten ein wohlbewährtes System, mit dieser unerfreulichen Wahrheit umzugehen: Risikomanagement.

Fragen der digitalen Souveränität sind letztlich auch nur Fragen von Risiken, die es gegeneinander abzuwägen und zu entschärfen gilt. Es hilft also, sich zu lockern und davon auszugehen, dass man nie digital souverän werden kann, dafür aber sehr wohl immer souveräner.

Es gilt, drei Dinge zu stärken:
  • Wahlfreiheit bei Technologie und Anbieter
  • Robustheit gegenüber Störungen
  • Resilienz durch bewusste Alternativstrategien

Risikostreuung als Prinzip: Resilienz durch bewusste IT-Architektur.

Der erste Schritt zur Souveränität ist immer die Bestandsaufnahme. Was Unternehmen und Organisationen also als Erstes klären, ist etwa, wo ihre Daten überhaupt gespeichert sind. Viele wissen es nicht. Transparenz über die eigene Situation ist die Voraussetzung für eine Stärkung der eigenen Handlungsfähigkeit. Erst jetzt folgt eine Risikobewertung: Wie hoch schätze ich zum Beispiel die Gefahr ein, an meine Daten nicht mehr (komfortabel) rankommen zu können? Wie groß wäre der Verlustschmerz je nach Datenart? Der übergeordnete Zweck eines jeden Risikomanagements sollte immer die Business Continuity sein: Die Schritte hin zur Souveränität haben stets das Ziel, dass der wertschöpfende Betrieb bei Störungen weiterlaufen oder wenigstens schnell wieder hochfahren kann. Hierfür gibt es zum Beispiel klassische Backup- oder Multicloud-Konzepte.

Eine weitere Maßnahme bei der Auswahl der Anbieter ist die Risikostreuung nach Rechtsräumen. Im geopolitischen Diskurs hat die Cloud auf einmal eine Hausadresse: Denn es kann bedeutsam sein, wo die Rechenzentren stehen und welches Recht dort gilt. Schon eine sogenannte souveräne Cloud – also eine Cloud-Computing-Umgebung, die gleich welchen Anbieters sicherstellt, dass Daten innerhalb gewünschter nationaler oder regionaler Grenzen gespeichert und verarbeitet werden – kann die Selbstbestimmtheit vieler Unternehmen entscheidend stärken.

Bei Hardwareanbietern lohnt es sich unter Umständen, Risiken nach Logistikkette beziehungsweise Transportweg zu streuen. Statt Festplatten immer nur bei US-Firma A zu kaufen, ist es schon einmal besser, auch welche bei US-Firma B zu kaufen. Allerdings bleibt man so noch mit beiden Füßen im geografischen und rechtlichen Raum USA gebunden. Und wenn sich hier Gesetze oder Verordnungen ungünstig ändern oder Lieferwege gestört sind, steht man da. Anders sieht es aus, wenn der Lieferant B ein Hersteller aus Japan oder Großbritannien wäre, wo sich Lieferketten und Transportwege stark vom Lieferanten A unterscheiden.

Person springt von einem Steg in einen Bergsee

Vendor Lock-in vermeiden und Alternativen ermöglichen.

Souverän ist, wer gehen kann. Man sollte es sich leisten können, zu sagen: „Ich will nicht mehr.“ Gemeint ist die Wahlfreiheit bei Anbietern von Software-Applikationen, Rechenzentren, Cloud-Lösungen und so weiter. Es kann immer sein, dass irgendwann der Tag kommt, an dem man einen Anbieter wechseln mag: Preiserhöhung, Änderungen der AGBs, eingeschränkte Funktionalität, eigene Normen bei Ethik oder Nachhaltigkeit, mangelnde Innovation seitens des Anbieters oder schlicht ein attraktiverer Konkurrent – alles gute Gründe, um zu gehen. Wenn aber Unternehmen oder Behörden einen möglichen Wechselprozess als so qualvoll und heikel einschätzen, dass sie lieber zähneknirschend alles akzeptieren, als zu gehen, spricht man vom Vendor Lock-in. Sie werden peu à peu unfreier in ihren Entscheidungen. Hier spielt übrigens die Herkunft der Anbieter keine Rolle für die Bewertung: Es ist genauso schlecht, einseitig von einem europäischen Technologiedienstleister abhängig zu sein wie von jedem anderen.

Es gibt aber zum Glück wirksame Strategien, eine IT-Architektur so zu gestalten, dass sie einen Vendor Lock-in verhindert und dem Unternehmen stets einen realistischen Plan B offenhält. Bei entdeckten Schwachstellen bieten sich etwa Redundanzkonzepte an. Ein möglicher Anbieterwechsel lässt sich auch immer vorbereiten, zum Beispiel, indem man an geeigneten Stellen Open-Source-Software einsetzt.

Digitale Souveränität aktiv gestalten: Handlungsspielräume heute nutzen.

Im November 2025 fand der sogenannte „Gipfel zur europäischen digitalen Souveränität“ in Berlin statt, ein politisch-wirtschaftliches Treffen auf höchster Ebene, initiiert von Frankreich und Deutschland. Hier versucht man möglichst pragmatische Strategien für mehr wirtschaftspolitische Unabhängigkeit der Europäischen Union zu entwickeln. Die gute Nachricht für IT-Verantwortliche in Unternehmen und Behörden: Sie müssen auf keine großen Weichenstellungen aus den Hauptstädten warten. Sie können sofort loslegen und ihre digitale Souveränität stärken, das Projekt als Chance sehen, die eigene IT und Datenhaltung resistent, krisenfest und flexibel zu gestalten und sie dabei neu kennenzulernen. Mit dieser Haltung macht das Weiterentwickeln der eigenen Freiheit sogar ein bisschen Spaß.

Teaser results Magazin

Magazin results by Bechtle.

Dieser Artikel ist ein Auszug aus der aktuellen Ausgabe des Printmagazins results by Bechtle.

Bestellen und abonnieren