Digitale Souveränität: Der Begriff, den alle benutzen – und nicht dasselbe meinen

Der Begriff hat ein Problem – er ist zu groß für eine einzige Bedeutung

Digitale Souveränität ist kein Begriff, der irgendwo präzise definiert wurde und dann seinen Weg in Strategiepapiere, Regulierungsdokumente und Anbieter-Pitches fand. Es ist umgekehrt: Jede Seite hat das Wort mit ihrer eigenen Bedeutung befüllt und alle Bedeutungen sind, für sich genommen, legitim.

Anhand von drei Perspektiven wird das deutlich.

Die regulatorische Perspektive – also das, was BaFin, EBA und DORA meinen – fragt vor allem: Können Finanzinstitute ihre ausgelagerten Prozesse kontrollieren, revidieren und im Zweifel zurückholen? Exit-Fähigkeit, Revisionszugang, Kontrollierbarkeit von Drittanbietern. Das ist Pflicht und nicht Kür. Wer diese Pflicht nicht erfüllt, hat ein Compliance-Problem.

Die strategisch-europäische Perspektive – getragen von EU-Kommission, Gaia-X und nationalen Initiativen – denkt größer: Wer kontrolliert die digitale Infrastruktur, auf der Europa wirtschaftet? Wessen Recht gilt, wenn Daten verarbeitet werden? Digitale Souveränität wird hier als geopolitische Frage gestellt, nicht nur als IT-Architektur oder technologisches Designprinzip.

Die kommerzielle Perspektive – und hier wird es interessant – ist die, die Cloud-Anbieter präsentieren. Sovereign Cloud, europäische Datenhaltung, lokaler Betrieb. Das klingt nach allem, was Finanzinstitute brauchen. Und es stimmt auch, zumindest für einen Teil der Geschichte.

Warum das kein akademisches Problem ist

Stellen Sie sich folgende Situation vor: In einem Vorstandsgespräch fällt der Satz „Wir sind bei dem Thema gut aufgestellt – wir haben eine Sovereign-Cloud-Lösung.“

Die naheliegende Gegenfrage lautet: Worin genau glauben Sie, souverän zu sein und zu handeln?

Nicht weil die Aussage an sich falsch ist. Sondern weil sie fast immer zu eindimensional betrachtet wird. Eine Technologie oder ein Provider ersetzt keine Strategie. Verfügbarkeit und Vertraulichkeit sind notwendige Bedingungen, aber keine hinreichenden. Sind Finanzinstitute weiterhin alleinige Herren ihrer Daten? Können nur sie mit diesen Daten arbeiten? Wissen sie, wo genau die Daten liegen, und zwar nicht nur in welchem Rechenzentrum, sondern in der gesamten Verarbeitungskette?

DORA und die EBA-Leitlinien zu Auslagerungen verlangen von Finanzinstituten, dass sie den Verarbeitungsort ihrer Daten – inklusive aller Sub-Auslagerungen – jederzeit benennen können. Wer das nicht kann, hat nicht nur ein Wissensproblem, sondern ein Compliance-Problem.

Digitale Souveränität ist kein Zustand, den man mit Ja oder Nein beschreiben kann. Sie hat mindestens drei Dimensionen – Daten, Technologie, Betrieb – und wird von einer vierten dauerhaft eingerahmt: der Regulatorik.

Die EU-Kommission hat das in ihrem Cloud Sovereignty Framework auf acht Dimensionen heruntergebrochen – von rechtlicher Jurisdiktion über Betriebsautonomie bis zur Lieferkettensouveränität. Dieses Framework ist kein politisches Papier, sondern ein Arbeitsrahmen für konkrete Beschaffungs- und Architekturentscheidungen.

Worum es in dieser Beitragsreihe geht

Diese Reihe entsteht nicht, um einfache Antworten zu präsentieren. Sondern um Entscheidungsfähigkeit aufzubauen, bei CIOs und COOs, bei Vorständen und bei Aufsichtsräten sowie Beiräten, die mit diesem Thema zunehmend konfrontiert werden, ohne immer das Handwerkszeug zu haben, die richtigen Fragen zu stellen.

Die Reihe arbeitet sich durch die Dimensionen der Digitalen Souveränität: von der Frage der Datenhoheit über technische Abhängigkeiten bis zu operativer Resilienz und Governance.

Das Ziel ist immer dasselbe: informierte und damit fundierte Entscheidungen treffen zu können.

Im nächsten Beitrag schauen wir tiefer – auf die Dimension, die in Strategiegesprächen als erste genannt und am häufigsten unterschätzt wird: die Frage, wem die Daten eines Finanzinstituts wirklich gehören.