Kurzfassung

Das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) veröffentlichte im März 2026 einen Kriterienkatalog zur messbaren Bewertung digitaler Souveränität. Ein offener Konsultationsprozess bis Mai 2026 ermöglichte Rückmeldungen von Zivilgesellschaft, Verwaltung, Forschung und Wirtschaft. Der Katalog soll dem Problem des „Sovereignty Washing" entgegenwirken – der Vermarktung von Cloud-Diensten als souverän, obwohl der Rechtsstandort des Anbieters entscheidend für Datenzugriff bleibt, nicht der Serverstandort.

Personen

  • (Keine namentlich erwähnten Einzelpersonen mit direkter Verantwortung)

Themen

  • Digitale Souveränität
  • Vendor Lock-in
  • Cloud-Infrastruktur
  • Öffentliche Verwaltung Deutschland
  • Datensicherheit

Clarus Lead

Die deutsche Verwaltung ist massiv von einzelnen Softwareanbietern abhängig: 87 Prozent der Kommunen berichten von teilweiser oder vollständiger Abhängigkeit. Der Vorfall im Mai 2025, als Microsoft den E-Mail-Account des IStGH-Chefanklägers sperrte, offenbarte diese strukturelle Verletzlichkeit praktisch. Das ZenDiS-Modell adressiert eine akute Governance-Lücke – während Hyperscaler Datenschutzversprechen durch EU-Rechenzentren suggerieren, entscheidet tatsächlich der US-Rechtsstandort der Konzerne über fremden Datenzugriff. Der Kriterienkatalog zielt darauf ab, Marketing-Rhetorik von echten Souveränitätsgarantien zu trennen.

Detaillierte Zusammenfassung

Die IT-Infrastruktur deutschsprachiger öffentlicher Verwaltungen weist eine gefährliche Konzentration auf: Eine PwC-Marktanalyse von 2019 dokumentierte, dass Bundesbehörden bei Betriebssystemen und Bürosoftware nahezu ausschliesslich Microsoft-Produkte einsetzen. Eine Kommunalumfrage von 2020 zeigte, dass 87 Prozent der befragten Kommunen sich ganz oder teilweise abhängig von einzelnen Anbietern beschreiben – kein Nischenproblem, sondern strukturelle Verwundbarkeit.

Der praktische Schaden dieser Abhängigkeit wurde im Mai 2025 greifbar, als Microsoft den E-Mail-Account des Chefanklägers des Internationalen Strafgerichtshofs (IStGH), Karim Khan, ohne erkennbare sachliche Begründung sperrte. Parallel verwenden internationale Tech-Konzerne (Hyperscaler) den Begriff „digitale Souveränität" strategisch zur Vermarktung: Sie präsentieren EU-Rechenzentren oder Confidential-Cloud-Angebote als Souveränitätsnachweise, verschweigen aber ein zentrales Kriterium – dass der Rechtsstandort des Unternehmens, nicht der Serverstandort, über mögliche Datenzugriffe durch ausländische Behörden entscheidet. Dies führt zum Phänomen des „Sovereignty Washing" (siehe heise-Artikel „Auf dem Prüfstand: Sovereignty Washing").

Das ZenDiS veröffentlichte darauf im März 2026 ein Diskussionspapier mit konkreten Messskriterien für echte digitale Souveränität. Von März bis 15. Mai 2026 bot ein offener Konsultationsprozess über die Open-Source-Plattform openCode Zivilgesellschaft, Verwaltung, Forschung und Wirtschaft die Möglichkeit, die vorgeschlagenen Kriterien zu kommentieren und zu verbessern. Der Ansatz wird damit partizipativ entwickelt.

Kernaussagen

  • Strukturelle Abhängigkeit: 87 % der deutschen Kommunen und Bundesbehörden sind vendor-locked bei Microsoft oder ähnlichen Konzernen
  • Rechtlicher Schutzlücke: Rechenzentrum-Standort ≠ Datenschutz; Rechtsstandort des Unternehmens bestimmt Datenzugriff durch Behörden
  • Messkriterien statt Marketing: ZenDiS-Katalog soll „Sovereignty Washing" transparenter machen und echte von behaupteter Souveränität unterscheiden

Kritische Fragen

  1. Welche Indikatoren konkret definiert der ZenDiS-Kriterienkatalog, um Rechtsstandort und Datenhoheit messbar zu machen – und werden diese auch rückwirkend auf bestehende Cloud-Verträge angewendet?

  2. Bindungskraft: Haben die ZenDiS-Empfehlungen für Behörden und Kommunen verbindliche Konsequenzen, oder handelt es sich um unverbindliche Orientierungskriterien?

  3. Gegenposition: Wie reagieren Hyperscaler (Microsoft, Google, AWS) auf die Souveränitäts-Messlogik – drohen Gegenmassnahmen oder Marktzurückzug aus Deutschland?

  4. Implementierungskosten: Welche finanziellen und operativen Hürden entstehen beim Wechsel von US-Anbietern zu europäischen oder Open-Source-Alternativen für kleinere Kommunen?

  5. Datenportabilität: Regelt der Katalog auch praktische Exit-Szenarien – also Datenherausgabe und Systemmigrationen bei Vertragsende?

  6. Europäische Harmonisierung: Wird das ZenDiS-Modell mit ähnlichen Initiativen in Frankreich, der Schweiz oder EU-Institutionen abgestimmt, oder entstehen fragmentierte Standards?

Quellenverzeichnis

Primärquelle: Das ZenDiS macht digitale Souveränität mit Kriterienkatalog messbar – heise.de, 2026

Ergänzende Quellen (im Text erwähnt):

  1. PwC Strategy – Marktanalyse zur IT-Infrastruktur deutscher Bundesbehörden (2019)
  2. Kommunale Gemeinschaftsstelle für Verwaltungsmanagement – Umfrage zu Vendor Lock-in in Kommunen (2020)
  3. Heise-Artikel: „Auf dem Prüfstand: Sovereignty Washing"
  4. openCode-Plattform des ZenDiS (Open-Source-Konsultationsportal)

Verifizierungsstatus: ✓ Mai 2026

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: Mai 2026