Sicherheit und Vertrauen

Ein Kontinent, viele Souveränitätsregime

 

Souveränität war lange ein Thema für Verfassungsjuristen in Brüssel und Berlin. Heute prägt sie jede ernstzunehmende Entscheidung zu Cloud und KI: Regulierungsbehörden, Risikokomitees und öffentliche Auftraggeber rücken enger zusammen und einigen sich auf schärfere, geteilte Anforderungen an Anbieter. Dieser Beitrag zeichnet nach, wie es dazu kam – und was es bedeutet, Plattformen nicht für Europas niedrigste, sondern für seine höchsten Standards zu entwerfen.

Anja Fordon
Eu Sovereign Cloud Blogpost One Continent, Many Sovereignty Regimes
 

 

Führungskräfte in Europa sind es gewohnt, sich in komplexen Gemengelagen zurechtzufinden. Doch selbst erfahrene CIOs und CFOs spüren den Druck, wenn ein einziges Transformationsprogramm zugleich die Anforderungen einer deutschen Ausschreibung im öffentlichen Sektor, die Erwartungen des Risikoausschusses einer französischen Bank und die sich wandelnden Leitlinien einer britischen Aufsichtsbehörde zu KI und Cloud erfüllen muss.
Auf dem Papier sehen diese Regime sehr unterschiedlich aus. Sie speisen sich aus verschiedenen Verfassungstraditionen, industriepolitischen Strategien und nationalen Debatten.

„Souveränität“ ist dabei längst kein Randthema mehr, das nur einige Ministerien oder kritische Infrastrukturen betrifft. Der Begriff rückt zunehmend ins Zentrum politischer und technologischer Prioritäten.
Dieser Artikel beleuchtet, wie es dazu kam, was digitale und Datensouveränität in der Praxis tatsächlich bedeuten und warum seriöse Anbieter zunehmend gezwungen sind, ihre Lösungen an Europas höchste Anforderungen auszurichten – statt am kleinsten gemeinsamen Nenner.

Vom großen Prinzip zu konkreten Designfragen

„Souveränität“ ist ein Wort mit beträchtlichem politischem Gewicht. In der Europäischen Kommission und in den nationalen Hauptstädten dient es als Chiffre für Autonomie gegenüber ausländischen Mächten, Kontrolle über Lieferketten und sogar Fragen kultureller Identität.
Für Technologieführungen lassen sich diese hochrangigen Überlegungen inzwischen in eine Reihe sehr praktischer Fragen übersetzen:

  • Wo befinden sich unsere Daten – und unter welcher Gerichtsbarkeit?

  • Wer darf unsere Systeme betreiben, verwalten und unterstützen – und von welchen Standorten aus?

  • Wie werden Hyperscaler, Subunternehmer und KI-Anbieter reguliert und geprüft?

  • Was passiert, wenn europäische Regulierungsbehörden die Vorschriften erneut verschärfen?

Um diese Fragen zu sortieren, hilft eine Unterscheidung zentraler Konzepte:

  • Datenstandort bezeichnet den geografischen Ort, an dem Daten gespeichert werden.

  • Datensouveränität ergänzt die rechtliche und institutionelle Dimension: Welche Gesetze und Gerichte haben Zuständigkeit für diese Daten?

  • Operative Souveränität fokussiert darauf, wer auf die Umgebung zugreifen, sie verwalten und unterstützen darf – etwa ob der Zugriff auf Personal mit Sitz in der EU beschränkt ist.

Unterschiedliche nationale Wege, ähnliches Ziel

Der Weg bis hierher war alles andere als einheitlich.

In Deutschland wurde der Wandel explizit als Wirtschafts- und Wettbewerbsagenda neu gerahmt. Unter Bundeskanzler Friedrich Merz positioniert sich die Bundesregierung als „Ankerkunde“ für souveräne digitale Lösungen und nutzt das öffentliche Beschaffungswesen, um Skaleneffekte für europäische Anbieter zu schaffen und die strukturelle Abhängigkeit von ausländischen Hyperscalern zu verringern. Initiativen wie der geplante Europäische Wettbewerbsfonds und groß angelegte Modernisierungsinvestitionen sollen diesen Kurs flankieren.

In Frankreich lag der Schwerpunkt historisch stärker auf strategischer Autonomie und dem Schutz „strategischer Vermögenswerte“. Das Ergebnis ist jedoch ähnlich: Es bestehen hohe Erwartungen, dass sensible Workloads – insbesondere in Staat, Verteidigung und kritischer Infrastruktur – auf einer Infrastruktur laufen, die unter europäischer Kontrolle steht.

Eine gemeinsame deutsch-französische Taskforce für digitale Souveränität arbeitet an einer einheitlichen Definition „europäischer digitaler Dienste“ sowie an Souveränitätsindikatoren für Cloud, KI und Cybersicherheit, die Beschaffung und staatliche Beihilfen in allen 27 EU-Mitgliedstaaten prägen sollen. Projekte wie „Sovereign AI for Public Administration“, an denen europäische KI-Anbieter und Unternehmensanbieter beteiligt sind, sollen zeigen, wie dieses Ziel in der Praxis aussieht.

Umfragedaten verdeutlichen, dass es sich längst nicht mehr um eine Nischendebatte handelt. In Deutschland geben zum Beispiel 84 % der Unternehmen an, vollständig oder weitgehend von Nicht-EU-Bürosoftware abhängig zu sein, und 77 % von Nicht-EU-Betriebssystemen – obwohl Rechtsunsicherheit und Sicherheitsbedenken ganz oben auf der Liste der digitalen Hürden stehen. Diese Kombination aus hoher Abhängigkeit und spürbarem Unbehagen ist ein starker Treiber für Souveränitätserwartungen in Ausschreibungen.

Große europäische Investoren erwarten nun glaubwürdige Antworten auf dieselben grundlegenden Fragen zur Staatssouveränität.

Die politischen Pfade unterscheiden sich – Verfassungsrecht hier, Industriepolitik dort, EU-weite Regulierung in Brüssel –, doch sie laufen auf ein ähnliches Ziel hinaus: Große europäische Einkäufer erwarten heute glaubwürdige Antworten auf dieselben grundlegenden Souveränitätsfragen. (Das Land, das früh Gesetze und technische Standards zur Förderung einer souveränen Cloud vorangetrieben hat, ist vor allem Frankreich.)

Von fragmentierten Regeln zu einer de facto-Checkliste für Anbieter

Angesichts dieser Komplexität liegt es nahe, zunächst in Matrizen zu denken: Land für Land, Sektor für Sektor, Vorschrift für Vorschrift.
Für Rechts- und Compliance-Teams kann ein solcher Ansatz sinnvoll sein. So treffen die meisten Führungskräfte ihre Plattformentscheidungen aber nicht. In der Praxis erleben sie eher eine konvergierende Checkliste von Bedenken, die sich in Ausschreibungen, Sicherheitsfragebögen und Vorstandsgesprächen wiederholt.

Ohne daraus eine starre Bewertungsmatrix zu machen, zeichnet sich ein klares Muster ab. Europäische Käufer verlangen von Anbietern zunehmend belastbare Antworten auf folgende Punkte:

  • Datenstandort: Wo genau werden Daten gespeichert und verarbeitet, und welche Rechtsordnungen greifen?

  • Operative Kontrolle und Zugriffsdisziplin: Wer hat Zugriff auf Produktionssysteme und Kundendaten, von welchen Standorten und unter welchen Kontrollen?

  • Governance von Hyperscalern und Subunternehmern: Wie sind die Beziehungen zu Unterauftragsverarbeitern gestaltet, damit europäische Anforderungen wirksam bleiben?

Kein Anbieter kann glaubhaft versprechen, mit einer einzigen Architektur sämtliche Souveränitätsfragen in jeder Rechtsordnung zu lösen. Käufer – insbesondere im öffentlichen Sektor und in stark regulierten Branchen – wissen das. Was sie stattdessen verstärkt einfordern, ist ein vertretbares Betriebsmodell, das ihnen echten Einfluss verschafft: klare Zusagen zu Standort und Betrieb, Transparenz hinsichtlich Abhängigkeiten und eine Architektur, die sich weiterentwickeln kann, wenn Gesetze und Richtlinien sich ändern.

In einem solchen Umfeld wirkt das Angebot einer bloßen „EU-Datenresidenz“ ohne belastbare Antworten zu operativer Kontrolle, Supportmodellen oder KI-Governance zunehmend unvollständig.

Warum die Last auf die Anbieter wandert

Lange Zeit begegneten europäische Organisationen Souveränitätsbedenken mit lokalen Umgehungslösungen – zusätzlichen Verträgen, isolierten Bereitstellungen, maßgeschneiderten Kontrollen auf globalen Plattformen.

Drei Entwicklungen führen dazu, dass die Verantwortung zunehmend auf die Lieferanten verlagert wird.

Dieses Modell gerät an seine Grenzen. Es ist teuer im Betrieb, schwer zu auditieren und oft nicht kompatibel mit dem Tempo, in dem KI eingeführt wird.

Drei Entwicklungen verlagern die Verantwortung schrittweise nach oben zu den Anbietern:

  1. Ausschreibungen im öffentlichen Sektor und in kritischen Infrastrukturen werden strenger.
    Wenn Ministerien, Gesundheitssysteme oder Netzbetreiber einen Betrieb innerhalb der EU oder bestimmte Kontrollmodelle vorschreiben, müssen sich Anbieter anpassen – oder auf das Geschäft verzichten. Sonderregelungen werden zur Ausnahme.

  2. Industrielle Allianzen.
    Grenzüberschreitende Initiativen verankern Souveränitätsanforderungen in der technischen und Governance-Architektur ganzer Ökosysteme, nicht nur einzelner Projekte.

  3. Souveränität wird von Kosten- zu Wettbewerbsthema.
    In Deutschland und Frankreich gilt digitale Souveränität zunehmend als Voraussetzung für langfristige Wettbewerbsfähigkeit und Resilienz – nicht als Innovationsbremse. Öffentliche Fördermittel und Ankerkunden-Strategien orientieren sich an dieser Sichtweise.

Die Perspektive von Workday: Architektur an konvergierende Erwartungen anpassen

Workday bringt in diese Debatte die Perspektive einer Plattform ein, die bereits kritische HR- und Finanzprozesse für Unternehmen in der gesamten EMEA-Region unterstützt. In den vergangenen Jahren haben Kundinnen und Kunden verstärkt Interesse an souveränen Cloud-Lösungen signalisiert, die eine stärker regionalisierte Datenverarbeitung, -speicherung und -kontrolle ermöglichen.

Im Blogbeitrag „Datensouveränität: Von der Debatte zum Gestaltungsprinzip“ wurde dargelegt, dass Souveränität in Unternehmensplattformen von Beginn an mitgedacht werden sollte – als Zusammenspiel von Datenstandort, Zugriffskontrollen und Governance –, nicht als nachträgliche Ergänzung.
Die Workday EU Sovereign Cloud ist ein konkreter Schritt in diese Richtung und richtet sich an Organisationen mit erhöhten Souveränitätserwartungen.

Sie lässt sich im Kern wie folgt beschreiben:

  • Eine dedizierte Workday-Region, die innerhalb der AWS European Sovereign Cloud gehostet wird, ihren Standort in Brandenburg, Deutschland, hat und unter strengen Kontrollen hinsichtlich Daten- und Betriebshoheit betrieben wird.

  • Eine von bestehenden AWS-Regionen von Workday getrennte Umgebung mit eigener dedizierter Infrastruktur und Netzwerkpartition sowie zentralen Workday-Umgebungen für HCM-, Finanz-, Planungs-, Extend- und Machine-Learning-Workloads.

  • Der Support erfolgt durch spezialisierte, in der EU ansässige Support-Teams, im Einklang mit Kundenerwartungen an operative Souveränität.

  • Der anfängliche Umfang konzentriert sich auf eine definierte Reihe von SKUs in den Bereichen Kern-HCM, Kern-Finanzen, Planung, Build und ausgewählte KI-Funktionen; zusätzliche Dienste und Partneranwendungen sind für spätere Phasen vorgesehen. Einige Angebote, die heute in anderen Regionen verfügbar sind, stehen zum Start in der EU Sovereign Cloud nicht zur Verfügung.

  • Im Fokus stehen stärker regulierte Länder und Branchen – darunter der öffentliche Sektor, Finanzdienstleistungen, Gesundheitswesen, Verteidigung und Energie –, in denen Souveränität bereits zu einem entscheidenden Auswahlkriterium geworden ist.

Dabei handelt es sich nicht um absolute Zusagen universeller Abdeckung, sondern um architektonische und betriebliche Designentscheidungen, die Organisationen helfen sollen, ihre eigenen Compliance- und Risikostrategien an der sich herausbildenden europäischen Souveränitätsagenda auszurichten.

Kundinnen und Kunden müssen weiterhin Due-Diligence-Prüfungen durchführen, Rechts- und Regulierungsexpertise einbeziehen und bewerten, in welchem Maße eine Cloud-Bereitstellung – auch die von Workday – ihren spezifischen Verpflichtungen entspricht. Doch die Stoßrichtung ist deutlich: Plattformen, die es einfacher machen, Souveränitätsfragen glaubwürdig zu beantworten, werden besser positioniert sein, um europäische Transformationsvorhaben zu unterstützen.

Die nächste Ära des Unternehmensvertrauens in Europa

Europa wird nicht über Nacht zu einem einheitlichen, vollständig harmonisierten Souveränitätsregime zusammenwachsen. Nationale Politik wird weiterhin prägen, wie Gesetze formuliert und durchgesetzt werden. Sektorale Aufsichtsbehörden werden unterschiedlich schnell voranschreiten. Gerichtsentscheidungen werden neue Fragen aufwerfen.

Aus Sicht von Führungskräften, die heute langfristige Plattformentscheidungen treffen, ist das Bild dennoch deutlich klarer als noch vor einigen Jahren.
Souveränität ist keine Ansammlung exotischer Sonderfälle mehr. Sie ist Teil der Grundgleichung des Vertrauens in Cloud, Daten und KI in Europa. Unterschiedliche Wege führen zu ähnlichen Erwartungen: Wo Daten liegen, wer zugreifen darf, wie KI reguliert wird und wie robust kritische Abläufe tatsächlich sind.

Für Workday wie für andere globale Anbieter besteht die Aufgabe nicht darin, Souveränität als „gelöst“ zu erklären. Gefordert sind Plattformen und Betriebsmodelle, die den sich annähernden europäischen Erwartungen gerecht werden – und zugleich Transparenz über Umfang, Kompromisse und Grenzen herstellen.

Erfolg werden jene Organisationen haben, die Souveränität als langfristiges Gestaltungsprinzip und Grundlage von Vertrauen begreifen – nicht als Kästchen am Ende eines Compliance-Formulars.

Mehr zur EU-Richtlinien
Mehr als Produktivität: Wie Führungskräfte mit KI echten ROI schaffen

Eine neue Workday-Studie zeigt: Fast 40 % der durch KI erzielten Produktivitätsgewinne gehen in Nachbesserungen wieder verloren. Statt immer mehr Output aus KI-Systemen herauszupressen, stellt sich für Führungsteams damit eine grundlegendere Frage: Wie lässt sich wieder gezielt in menschliches Potenzial investieren – in Urteilsvermögen, Kreativität, Zusammenarbeit –, um echten Mehrwert zu schaffen und den Fokus von reiner Leistungserbringung auf wirkliche Ergebnisse zu verlagern.

Report lesen

 

 

Veröffentlicht in:  Sicherheit und Vertrauen
Governance, Risiko und Compliance Public Policy

Weiteres Lesematerial