Zurück zur Übersicht
17.04.2026 Fachbeitrag

Digitale Souveränität in der Praxis: Neue Bewertungsmaßstäbe für Unternehmen

Update Datenschutz Nr. 246

Die Sicherstellung digitaler Souveränität gewinnt für Unternehmen im Zuge zunehmender Digitalisierung und geopolitischer Spannungen erheblich an Bedeutung. Der Einsatz von Cloud-Diensten, KI-Anwendungen und global verteilten IT-Infrastrukturen führt zu wachsenden Abhängigkeiten von einzelnen Anbietern sowie von außereuropäischen Rechtsordnungen. Parallel hierzu verdichtet sich der regulatorische Rahmen auf europäischer Ebene, insbesondere durch Vorgaben zur IT-Sicherheit, Datenverarbeitung und Resilienz. Vor diesem Hintergrund rückt die Frage in den Fokus, inwieweit Unternehmen die Kontrolle über ihre Daten, Systeme und technologischen Abhängigkeiten tatsächlich behalten und rechtssicher ausgestalten können.

I. Hintergrund: Digitale Souveränität aus Unternehmenssicht

Digitale Souveränität beschreibt aus Unternehmenssicht die Fähigkeit, digitale Infrastrukturen, Daten und Anwendungen eigenständig, sicher und im Einklang mit den anwendbaren rechtlichen Rahmenbedingungen zu betreiben und zu kontrollieren. Im Kern geht es darum, Abhängigkeiten von einzelnen Anbietern, außereuropäischen Rechtsordnungen und intransparenten Technologie-Stacks zu begrenzen sowie die tatsächliche Steuerungs- und Zugriffshoheit zu wahren.

Besondere Relevanz entfaltet das Thema für Unternehmen mit ausgeprägter Cloud-Nutzung, internationaler Datenverarbeitung oder KI-gestützten Geschäftsmodellen, ebenso wie für Betreiber kritischer Infrastrukturen und Unternehmen in stark regulierten Branchen (etwa Finanzsektor, Gesundheitswesen oder Energie). Auch exportorientierte Unternehmen und Konzerne mit globalen IT-Strukturen sehen sich verstärkt mit Anforderungen konfrontiert, die sich aus unterschiedlichen Rechtsordnungen und Zugriffsregimen ergeben, etwa im Spannungsfeld zwischen europäischem Datenschutzrecht und außereuropäischen Zugriffsbefugnissen.

Die aktuelle Situation ist durch eine zunehmende regulatorische Verdichtung bei zugleich fortbestehenden Rechtsunsicherheiten geprägt (wir berichteten in Datenschutzupdate Nr. 237). Instrumente wie das EU-US Data Privacy Framework, Standardvertragsklauseln oder sektorale Sicherheitsanforderungen adressieren einzelne Aspekte, bieten jedoch keine abschließende Lösung für die Frage umfassender digitaler Souveränität. Unternehmen stehen daher vor der Herausforderung, fragmentierte Vorgaben in ein konsistentes Governance- und Risikomanagement zu überführen, ohne dass hierfür bislang einheitliche Bewertungsmaßstäbe etabliert sind

II. Europäische Standards: Cloud Sovereignty Framework

Auf europäischer Ebene hat die Europäische Kommission mit dem Cloud Sovereignty Framework einen strukturierten Referenzrahmen zur Bewertung digitaler Souveränität im Cloud-Kontext entwickelt. Ziel ist es, bestehende sicherheitsrechtliche Anforderungen um spezifische Souveränitätskriterien zu ergänzen und damit erstmals ein systematisches Prüfmodell für Cloud-Dienstleistungen bereitzustellen. Das Framework knüpft dabei an bestehende Initiativen und Regulierungsregime wie NIS-2, DORA oder Gaia-X an und überführt diese in ein einheitliches Bewertungsmodell.

Kern des Ansatzes sind acht Souveränitätsdimensionen, die unterschiedliche Ebenen unternehmerischer Kontrolle adressieren, darunter insbesondere rechtliche und jurisdiktionale Einbindung, Daten- und KI-Souveränität, operationale Unabhängigkeit sowie Lieferketten- und Technologiesouveränität. Wie die Übersicht auf Seite 3 des Frameworks zeigt, wird damit ein umfassendes Verständnis von Souveränität zugrunde gelegt, das über klassische Datenschutz- und Sicherheitsaspekte deutlich hinausgeht und insbesondere auch Abhängigkeiten in der Wertschöpfungskette berücksichtigt.

Methodisch kombiniert das Framework Mindestanforderungen mit einem differenzierten Bewertungssystem: Über sogenannte „Sovereignty Effectiveness Assurance Levels“ (SEAL) werden Mindestniveaus definiert, die ein Cloud-Anbieter erreichen muss, um überhaupt berücksichtigt zu werden. Ergänzend wird ein „Sovereignty Score“ berechnet, der eine vergleichende Einordnung verschiedener Anbieter ermöglicht und insbesondere in Beschaffungsprozessen als Zuschlagskriterium dienen.

Auch wenn das Cloud Sovereignty Framework bislang keinen unmittelbar verbindlichen Rechtsrahmen darstellt, deutet sich bereits an, dass es als faktischer Standard für öffentliche Beschaffung und perspektivisch auch für regulierte Branchen an Bedeutung gewinnen wird. Für Unternehmen entsteht damit ein Referenzmaßstab, an dem sich die eigene Cloud- und IT-Strategie zunehmend messen lassen muss.

Dies zeigt sich auch in der aktuellen Beschaffungspraxis der EU-Kommission. Im Rahmen eines großvolumigen Vergabeverfahrens (bis zu 180 Mio. Euro über sechs Jahre) wurden mehrere europäische Anbieter – darunter StackIT, Scaleway, OVHcloud-Konsortien sowie Proximus mit Partnern – für die Bereitstellung souveräner Cloud-Dienste ausgewählt. Die Auswahl erfolgte auf Grundlage des Cloud Sovereignty Framework und zielte bewusst auf Diversifizierung und die Begrenzung nicht-europäischer Einflussmöglichkeiten ab.

III. Weitere Bewertungsansätze für Digitale Souveränität

Neben dem Cloud Sovereignty Framework entstehen derzeit weitere Modelle, die versuchen, digitale Souveränität messbar und vergleichbar zu machen. Diese Ansätze verfolgen das gemeinsame Ziel, einen bislang stark politisch geprägten Begriff in konkrete, prüfbare Kriterien zu überführen, unterscheiden sich jedoch in Methodik, Anwendungsbereich und Detaillierungsgrad.

1. ES³-Modell von Schwarz Digits

Mit dem „European Sovereign Stack Standard“ (ES³) hat Schwarz Digits Mitte April 2026 ein praxisorientiertes Reifegradmodell für die Bewertung digitaler Souveränität von IT-Services vorgestellt. Ausgangspunkt ist die Feststellung, dass es bislang an einheitlichen und operablen Kriterien fehlt, um Souveränität im Unternehmenskontext belastbar zu bewerten und Anbieter vergleichbar zu machen.

Das Modell basiert auf einem mehrstufigen Reifegradansatz („Sovereignty Maturity Levels“), der IT-Services in vier Stufen einordnet – von grundlegenden Anforderungen („Basic“) bis hin zu umfassend souveränen, zukunftssicheren Lösungen („Future-Proof“). Die Bewertung erfolgt anhand eines umfangreichen Kriterienkatalogs mit über 100 Einzelanforderungen, die unterschiedliche Dimensionen digitaler Souveränität abbilden.

Inhaltlich orientiert sich das ES³-Modell eng am europäischen Cloud Sovereignty Framework, erweitert diesen jedoch um zusätzliche Differenzierungen und eine stärkere Operationalisierung. Hervorzuheben ist insbesondere die eigenständige Berücksichtigung von Künstlicher Intelligenz als separate Souveränitätsdimension, während diese im europäischen Modell lediglich als Teil der Daten-Souveränität eingeordnet wird.

Der praktische Mehrwert des ES³-Modells liegt vor allem in seiner Anwendungsnähe: Perspektivisch sollen Cloud- und IT-Dienste etwa im Umfeld der Stackit-Cloud anhand des Modells klassifiziert werden, um Unternehmen eine belastbare Grundlage für Beschaffungsentscheidungen zu bieten. Damit entwickelt sich das Modell zu einem potenziellen Marktstandard, der über rein regulatorische Anforderungen hinausgeht und insbesondere für die Anbieterbewertung im privaten Sektor an Bedeutung gewinnen kann.

Gleichwohl ist zu berücksichtigen, dass es sich um eine unternehmensgetriebene Initiative handelt, deren Akzeptanz maßgeblich davon abhängen wird, inwieweit sich das Modell als branchenübergreifender Referenzrahmen etabliert und mit bestehenden regulatorischen Anforderungen in Einklang bringen lässt.

2. Kriterienkatalog des Zentrums für Digitale Souveränität (ZenDiS)

Einen stärker organisationsbezogenen Ansatz verfolgt das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) mit seinem Kriterienkatalog, der digitale Souveränität nicht nur auf Ebene einzelner Services, sondern gesamthaft auf Organisations- und IT-Ebene bewertet. Ausgangspunkt sind strategische Ziele wie Wechselmöglichkeit, Gestaltungsfähigkeit und Einflussnahme auf Anbieter, die in konkrete Prüfkriterien überführt und vier Kategorien zugeordnet werden: Organisation, Anwendungen, Daten sowie Betrieb.

Der Ansatz macht deutlich, dass digitale Souveränität wesentlich von Governance, Beschaffung und technischen Gestaltungsspielräumen abhängt und nicht auf einzelne Technologien reduziert werden kann. Ergänzt wird dies durch eine risikobasierte Anwendung der Kriterien, die sich an Faktoren wie Datenkritikalität und Abhängigkeiten orientiert und so eine flexible Bewertung ermöglicht

IV. Handlungsempfehlungen für Unternehmen

Vor diesem Hintergrund sollten Unternehmen digitale Souveränität nicht nur als abstraktes Leitbild verstehen, sondern in konkrete Maßnahmen überführen und systematisch in ihre IT-, Beschaffungs- und Compliance-Prozesse integrieren. Dabei bieten sich insbesondere folgende Ansatzpunkte an:

  • Cloud- und IT-Verträge gezielt auf Zugriffsmöglichkeiten und Jurisdiktion prüfen: Verträge mit Cloud- und SaaS-Anbietern sollten systematisch dahingehend überprüft werden, ob außereuropäische Zugriffsmöglichkeiten (z. B. auf Grundlage des US CLOUD Act) bestehen. Dabei ist insbesondere zu klären, wo Daten verarbeitet werden, wer Zugriff hat und welche technischen sowie vertraglichen Schutzmechanismen (z. B. Verschlüsselung, Customer Managed Keys, Auditrechte) tatsächlich greifen.
  • Exit-Strategien und Anbieterwechsel praktisch absichern: Unternehmen sollten nicht nur abstrakt auf „Portabilität“ setzen, sondern konkrete Exit-Szenarien definieren und testen. Dazu gehören standardisierte Datenformate, dokumentierte Migrationsprozesse sowie vertraglich abgesicherte Unterstützungsleistungen des Anbieters im Falle eines Wechsels oder einer Rückführung in Eigenbetrieb.
  • Abhängigkeiten entlang der IT- und Lieferkette transparent machen: Es empfiehlt sich, eine strukturierte Analyse der eigenen IT-Landschaft durchzuführen, um Abhängigkeiten von einzelnen Anbietern, proprietären Technologien oder nicht-europäischen Lieferketten systematisch zu erfassen. Dies umfasst neben Software auch zugrunde liegende Infrastruktur, Supportleistungen und eingesetzte Drittkomponenten.
  • Souveränitätskriterien in Beschaffungs- und Governance-Prozesse integrieren: Bei der Auswahl neuer IT- und Cloud-Lösungen sollten Kriterien wie Datenlokation, Anbieterstruktur, Offenheit von Schnittstellen oder Exit-Fähigkeit verbindlich in Ausschreibungen und Entscheidungsprozesse integriert werden. Ergänzend empfiehlt sich die Verankerung entsprechender Anforderungen in internen Richtlinien sowie die Zuordnung klarer Verantwortlichkeiten im IT- und Compliance-Bereich.

V. Ausblick und Fazit

Digitale Souveränität entwickelt sich zunehmend von einem politischen Leitbild zu einem konkreten Prüfmaßstab für IT-Strategien, Beschaffungsentscheidungen und Compliance-Strukturen. Mit Initiativen auf europäischer und nationaler Ebene sowie marktbasierten Bewertungsmodellen zeichnen sich erste Konturen einheitlicher Standards ab, auch wenn eine abschließende Harmonisierung noch aussteht. Für Unternehmen empfiehlt es sich daher, entsprechende Anforderungen frühzeitig in ihre Governance- und IT-Strukturen zu integrieren, um regulatorische Risiken zu minimieren und strategische Handlungsspielräume zu sichern.

Vor diesem Hintergrund wird das Thema auch Gegenstand unserer Veranstaltung „Digitale Souveränität – Wie Unternehmen Daten, künstliche Intelligenz und Cloud strategisch nutzen“ in Hamburg am 21. April 2026 sein, in dem rechtliche, technische und strategische Perspektiven praxisnah beleuchtet werden. 

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
IP, Media & Technology
Datenschutz & Datenrecht
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

16.04.2026
BGH begrenzt den Einsatz von Art. 15 DSGVO im Forderungskauf: Kein Übergang als Nebenrecht, keine Prozessstandschaft im eigenen Namen
16.04.2026
Aussagen über künftige Umweltleistungen unter der EmpCo-Richtlinie
13.04.2026
Bundestag beschließt Data Act-Durchführungsgesetz
09.04.2026
Die Verwendung von sog. Nachhaltigkeitssiegeln unter der EmpCo-Richtlinie
09.04.2026
Cyber Resilience Act: Wer ist betroffen und was Unternehmen jetzt wissen müssen
08.04.2026
„Datenverarbeitungsdienste“ im Sinne des Data Act – Pars pro toto oder totum pro parte?
02.04.2026
Allgemeine und konkrete Umweltaussagen unter der EmpCo-Richtlinie
27.03.2026
Neue Entwicklungen im Digital Omnibus
24.03.2026
BGH bestätigt weite Auslegung des Erfordernisses einer Lernkontrolle für die Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG)
23.03.2026
Digital Compliance – Der neue Rechtsrahmen für KI, Daten und digitale Resilienz
19.03.2026
EuGH: Missbräuchliche Auskunftsersuchen können zurückgewiesen werden: „Brillen Rottler“ konkretisiert die Grenzen von Art. 15 und Art. 82 DSGVO
16.03.2026
CNIL sanktioniert unzulässige Weitergabe von Loyalty-Daten an Social Media für Werbezwecke

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.