Digitale Souveränität ist keine politische Forderung. Sie ist eine Vertragsklausel.

Wer die Debatte um digitale Souveränität verfolgt, begegnet zwei hartnäckigen Missverständnissen.

Das erste: Souveränität sei ein politisches Infrastrukturprogramm – europäische Alternativen zu amerikanischen Hyperscalern aufbauen, technologische Unabhängigkeit als Staatsziel.

Das zweite: Souveränität bedeute, alles selbst zu betreiben und damit auf Skalierbarkeit, Innovationstempo und Wirtschaftlichkeit zu verzichten.

Beides ist falsch. Souveränität ist keine Frage der Infrastruktur-Nationalität. Sie ist eine Frage der Jurisdiktion. Ein deutsches Mittelstandsunternehmen, das seine Kundendaten in einem Rechenzentrum in Frankfurt speichert, das einer US-amerikanischen Muttergesellschaft gehört, unterliegt potenziell US-amerikanischem Recht. Der CLOUD Act von 2018 erlaubt amerikanischen Strafverfolgungsbehörden unter bestimmten Voraussetzungen, von US-Unternehmen weltweit Datenzugang zu verlangen – unabhängig davon, wo der Server physisch steht. Die Adresse auf dem Datenblatt löst dieses Problem nicht. Das ist kein akademisches Problem. Es ist ein Vertragsrisiko. Und eines, das sich mit den richtigen Fragen vollständig beherrschen lässt.

Erste Frage: Welche Rechtsordnung gilt – tatsächlich?

Nicht formal, sondern de facto:

Unter welchem Gesellschaftsrecht operiert mein Anbieter?

Welche Muttergesellschaft steht dahinter, und welche Auskunftspflichten hat sie gegenüber staatlichen Stellen?

Welches Gericht entscheidet im Streitfall?

Ein Auftragsverarbeitungsvertrag, der diese Fragen umgeht, ist kein Datenschutzvertrag.

Er ist eine Kulisse.

Zweite Frage: Kann ich raus?

Portabilität ist das unterschätzte Souveränitätskriterium. Daten müssen in gängigen, offen dokumentierten Formaten exportierbar sein. Schnittstellen müssen nach offenen Standards arbeiten. Migrationskosten dürfen kein faktisches Kündigungshindernis sein. Wer heute einen Cloud-Vertrag unterzeichnet, der diese Fragen nicht beantwortet, hat kein Werkzeug gewählt. Er hat eine Abhängigkeit vereinbart – möglicherweise dauerhaft.

Dritte Frage: Steht das im Vertrag?

Technische Antworten auf die ersten beiden Fragen helfen wenig, wenn sie nicht vertraglich fixiert sind. Versprechen sind keine Verträge. Architekturbeschreibungen sind keine Garantien. Souveränität, die nur auf dem Vertrauen in die aktuelle Geschäftsstrategie eines Anbieters beruht, ist keine Souveränität. Sie ist eine Wette.

Der BSI-Kriterienkatalog C3A, veröffentlicht am 27. April 2026, ist der erste operative Rahmen, der diese Anforderungen prüfbar macht. Nicht als politisches Manifest, sondern als konkretes Prüfraster: Residenz, Portabilität, Interoperabilität, Transparenz über Sub-Dienstleister, Zugriffskontrolle.  

Kurz: alles, was die drei Fragen oben beantworten muss.Was diesen Katalog bedeutsam macht, ist nicht seine Existenz allein – sondern was er beendet. Er beendet den Zustand, in dem Anbieter Souveränität als Eigenschaft behaupten konnten, ohne dass jemand diesen Anspruch überprüfen konnte. Ab jetzt gibt es einen Maßstab. Wer ihn nicht erfüllt, muss das erklären. Wir sehen in unseren Projekten, wie Cloud-Entscheidungen getroffen werden: unter Zeitdruck, mit Fokus auf Funktionalität und Preis – und mit dem impliziten Gefühl, dass Jurisdiktion ein Fußnotenthema ist.

Die Rechnung kommt manchmal schnell: wenn ein Anbieter übernommen wird und sich die Gesellschaftsstruktur verschiebt, wenn neue Regulierung Fragen aufwirft, die der Vertrag schlicht nicht adressiert, wenn ein Wechsel am Ende nicht an der Technologie scheitert, sondern an den Klauseln. Das ist kein Pech. Es ist das Ergebnis einer Entscheidung, die bewusst getroffen wurde – auch wenn sie sich damals nicht so anfühlte.

Von jedem Lieferantenvertrag verlangen wir, dass er Leistung, Pflichten und Ausstiegsrechte klar regelt. Cloud-Infrastruktur ist keine Ausnahme – sie ist die Lieferbeziehung, von der alle anderen abhängen. Der C3A-Katalog schafft die Grundlage, diese Anforderungen endlich messbar zu stellen.

Die Frage, die bleibt, ist keine technische. Sie ist eine Führungsfrage: Wer in meinem Unternehmen verantwortet, dass unsere Cloud-Verträge diese Maßstäbe erfüllen? Wenn die Antwort lautet „Das klären wir noch“ – dann ist das die eigentliche Schwachstelle.

Christian Uhl ist CEO der enthus GmbH. Das Unternehmen begleitet mittelständische Unternehmen, Gesundheitseinrichtungen und öffentliche Organisationen bei der Gestaltung souveräner, belastbarer IT-Architekturen. 

Die enthus GmbH mit Sitz in Böblingen begleitet mittelständische Unternehmen bei der sicheren, wirtschaftlichen und zukunftsfähigen Gestaltung ihrer IT. Der Fokus liegt auf moderner IT-Infrastruktur, Managed Services, Cloud-Architekturen sowie strategischer Beratung. Ziel ist es, technologische Innovation mit den realen Anforderungen mittelständischer Organisationen zu verbinden – praxisnah, skalierbar und nachhaltig.

Gemeinsam mit führenden Technologiepartnern entwickelt enthus Lösungen in den Bereichen Cybersecurity, Kosteneffizienz, Zukunftssicherheit sowie KI & Governance. Dabei steht nicht das Produkt, sondern der konkrete Mehrwert für den Mittelstand im Mittelpunkt. Durch klare Strategien, strukturierte Umsetzung und messbare Ergebnisse positioniert sich enthus als langfristiger IT-Partner auf Augenhöhe.

Weitere Informationen unter: www.enthus.de