Die digitale Souveränität Europas

Die geopolitischen Veränderungen der letzten Jahre zeigen eines deutlich: Europa muss handeln. Protektionistische Strömungen wie in den USA lassen bisher hinreichend vertrauenswürdige Staaten künftig als verlässliche Handelspartner ausfallen. Hinzu kommt ein auf tönernen Füßen stehendes Datenschutzabkommen zwischen der EU und den USA. Zudem sorgt die unsichere politische Linie Chinas in Europa für große Besorgnis. Kurz: Die Zuverlässigkeit vieler wichtiger digitaler Partner Europas bröckelt.

„Digitale Souveränität“ ist das Schlagwort, welches viele europäische Akteure umtreibt. Worum es sich dabei handelt und welche Chancen sich daraus ergeben, behandeln wir in diesem Artikel.

Was bedeutet „digitale Souveränität“?

Wirf einen Blick auf Deinen Laptop, der "Made in Taiwan" oder "Manufactured in China" ist. Prozessor, Arbeitsspeicher und selbst die Festplatte stammen sehr wahrscheinlich aus Asien.

• Das Betriebssystem stammt von Microsoft oder Apple.
• Texte schreibst Du mit einer Textverarbeitung, die wahrscheinlich von Microsoft stammt, wenn Du nicht gerade Google nutzt.
• Brauchst Du Informationen für einen Text, suchst Du mit Google oder Bing, die Du in Chrome oder Edge aufrufst.
• Vielleicht fragst Du noch ChatGPT oder Google Gemini nach Ideen.
• Du brauchst noch ein Bild? Nano Banana erledigt das.
• Das Bild bearbeitest Du dann mit Photoshop nach.
• Dann postest Du das Ganze auf Facebook, Instagram oder LinkedIn. Oder auf X.
• Sieht das auch auf dem Smartphone gut aus?
• Auf Android passt es. Und auf dem iPhone auch. Sehr schön.
• Schnell noch eine E-Mail raus an die Belegschaft. Outlook geöffnet und los geht's.
• Nach getaner Arbeit speicherst Du alle Daten im Google Drive, damit Deine Kollegen Zugriff darauf haben.
• Deine Tante hat morgen Geburtstag? Hast Du (mal wieder) vergessen. Schnell etwas online kaufen. Amazon hat es bestimmt und bringt es bis morgen.

Ist Dir etwas aufgefallen? Bei all diesen Aufgaben war nicht ein einziges europäisches Produkt im Einsatz. Und wenn Du Dich bei Deinen Kolleg:innen umschaust, siehst Du ein Cloud-CRM, Projektmanagementsoftware, Tabellenkalkulation und Videokonferenztools. Allesamt aus den USA. Und damit ist das Problem ausreichend umschrieben.

Europa, Deutschland, Dein Unternehmen und Du selbst: Wir alle sind digital abhängig. Schon von Deinem Smartphone lächeln Dich Amerika und Asien an. Ohne deren „Big Player“ würde hierzulande kein Bit durch die Leitung fließen. Denn selbst Dein Router wurde vermutlich in Asien gebaut.

Das Gegenteil von all dem ist „digitale Souveränität“. Es ist das Konzept, die eigenen Daten und Technologien unabhängig zu kontrollieren und zu steuern. Und das ohne von außereuropäischen Akteuren abhängig zu sein. Für Deutschland und Europa bedeutet das eine eigene resiliente digitale Infrastruktur aufzubauen und zu betreiben. Diese orientiert sich an den eigenen europäischen Werten und Gesetzen. Und was einfach klingt, ist ein wirtschaftlicher, technologischer und politischer Kraftakt. Und es klingt ebenfalls nach Protektionismus, was es jedoch nicht ist.

Abhängigkeit tut weh. Und ist ein Risiko.

Die digitale Unmündigkeit Europas birgt erhebliche wirtschaftliche, politische und technologische Risiken.
Ein anschauliches Beispiel sind die Zölle, mit denen EU und USA sich gegenseitig beharken. Im Grunde sind es per Dekret angeordnete Preissteigerungen, die aufgrund der digitalen Abhängigkeit zu akzeptieren sind. Andere politische Veränderungen bringen die Gefahr mit sich, dass Produkte nicht mehr oder nur schwer erhältlich sind. Ausfuhrregelungen, die nach Gutdünken verändert werden, könnten Europa und damit auch Deutschland von wichtigen digitalen Produkten abschneiden.

Preise (und Zugänge) werden von denen bestimmt, die ein Produkt herstellen. Nebulöse Lieferketten tun das Übrige für eine wacklige Compliance. Datenschutzbedenken und proprietäre Ansätze bei der Entwicklung können zu Problemen führen. Außereuropäische Datenschutzgesetze sind meist nicht deckungsgleich mit den EU-Vorgaben. Die Abhängigkeit von einem einzigen Anbieter ist aus Sicht der Sicherheit problematisch. Außerdem können beliebige Änderungen an Systemen und Geräten vorgenommen werden, ohne dass Du auf andere Produkte ausweichen kannst.

All das sind Gründe genug, Europa auf eigene digitale Beine zu stellen.

Und wie sieht es rechtlich in der EU aus?

Europa hat erste eigene gesetzliche Regelungen für die digitale Welt geschaffen. Zur DS-GVO gesellten sich die KI-Verordnung („AI Act“) und der Digital Services Act hinzu. Diese rechtlichen Grundlagen erscheinen wie die oft beschriebene europäische Regelungswut. Tatsächlich wurden hier Regelwerke geschaffen, die einheitliche Vorgaben für die gesamte EU (und darüber hinaus) realisieren.
Verstehe diese Regeln nicht als Bremse. Sie sind Spezifikationskataloge für prüf- und austauschbare Komponenten und Standards. So werden Compliance-Anforderungen zu Produktfeatures und eine Migration erheblich erleichtert. Und das hat immense Vorteile.

EU AI Act: Die EU-KI-Verordnung („AI Act“) schafft ein risikobasiertes Rahmenwerk für den Einsatz künstlicher Intelligenz in der EU. Er verbietet z. B. Social Scoring und manipulative oder bestimmte biometrische Anwendungen. Zudem schreibt er strenge Pflichten für sogenannte Hochrisiko-Systeme vor. Dazu zählen unter anderem Risikomanagement, Datenqualität, menschliche Kontrolle und Registrierung. Für General-Purpose-Modelle wie ChatGPT gelten zusätzliche Pflichten. Die KI-Verordnung ist im August 2024 in Kraft getreten und gilt umfassend ab 2027. Sie betrifft alle europäischen und außereuropäischen Anbieter und Betreiber, die Systeme im EU-Markt bereitstellen.

Digital Services Act:
Der Digital Services Act (DSA) gilt seit Februar 2024 für digitale Vermittlungsdienste, Online-Plattformen und Suchmaschinen. Er verpflichtet Online-Anbieter zu einer Reihe von Maßnahmen. Dazu zählt die Bekämpfung rechtswidriger Inhalte, Transparenz über die Algorithmen, das Verbot manipulativer „Dark Patterns“ und der Schutz Minderjähriger. Die Pflichten steigen mit der Größe der Plattformen. Dienste mit über 45 Mio. monatlichen Nutzenden müssen zusätzliche Risikoanalysen, unabhängige Audits und Datenzugänge für die Forschung bereitstellen. Verstöße gegen den DSA können mit bis zu 6 % des weltweiten Umsatzes geahndet werden.

Cyber Resiliance Act:
Der CRA ist eine EU-Verordnung, die Mindestanforderungen für die Sicherheit von „Produkten mit digitalen Elementen“ vorschreibt. Das betrifft Hard- und Software, die mit Netzwerken oder anderen Geräten verbunden ist. Die Verordnung gilt für alle Hersteller, Softwareentwickler, Importeure und Händler, die solche Produkte im Gebiet der EU bereitstellen. Ziel ist ein einheitliches Mindestniveau an Sicherheit über den gesamten Lebenszyklus. Dies beginnt bereits bei der Entwicklung solcher Produkte. Ebenso müssen diese Produkte updatefähig sein, Schwachstellen und Vorfälle müssen gemeldet werden und eine CE-Konformität ist vorgeschrieben. Die Verordnung ist seit Dezember 2024 in Kraft und gilt vollumfänglich ab Dezember 2027.

Chancen (und Risiken) digitaler Souveränität

Du siehst: Europa muss digital unabhängiger werden. Darin liegt ein nicht zu unterschätzendes Potential für die europäische Wirtschaft, welches allmählich auch die Politik erkennt. Durch eine gesamteuropäische Förderung einer Souveränitätsoffensive ergäben sich neue Märkte und Geschäftsmodelle für die Technologiebranche. Innovative Start-Ups können von einer solchen Offensive profitieren, wenn die politischen Grundlagen dafür gelegt werden.

Europa käme in die Lage, eine eigene Infrastruktur zu realisieren, die den strengen europäischen Anforderungen (beispielsweise beim Datenschutz) entspricht. Zusammen mit eigenen Standards ergäbe sich eine technologische Unabhängigkeit. Qualität und Datensicherheit würden das Vertrauen in digitale Dienste und Institutionen stärken.

Bei allen positiven Effekten eines digital souveränen Europas sind potentielle Risiken nicht zu ignorieren. Europa - und speziell Deutschland - vernachlässigten das Thema „Digitalisierung“ über lange Zeit. Dieser Rückstand muss aufgeholt werden. Die Ressourcen Zeit und Geld bekommen somit eine grundlegende Bedeutung. Denn der Aufbau einer europäischen Infrastruktur wird teuer und viel Zeit in Anspruch nehmen. Hinzu kommt der anhaltende Fachkräftemangel. Ebenfalls ein hausgemachtes Problem, welches sich ohne eine Ausbildungsoffensive und Einwanderung von Expert:innen nur schwer überwinden lassen wird.

Und die Chancen für Start-Ups?

Nehmen wir an, alle Weichen wurden gestellt und wir blicken auf ein mögliches künftiges Szenario.

Überall entstehen neue innovative Unternehmen. Sie haben enormes Potential, wenn es darum geht, die eigene Unterschrift unter die digitale „Unabhängigkeitserklärung“ zu setzen. Sie agieren frei und orientieren sich nicht an gewachsenen Standards. Die einzige Vorgabe sind die europäischen Anforderungskataloge. In deren Rahmen entwickeln sie sich.

Altbackene und proprietäre Konzepte werden verworfen und neue entwickelt. Die Abkehr von den Traditionen monolithischer Komplettsysteme haben die meisten als notwendig erkannt. Stattdessen bauen Start-Ups ihre Expertise in der Entwicklung kleiner, flexibler Komponenten auf. Das Ergebnis sind offene Teilsysteme, die durch ebenso offene Standards miteinander kommunizieren und flexibel ausgetauscht werden können. Die Möglichkeiten reichen von Lösungen für Authentifizierung und Zugriffsrechtesteuerung über Sicherheitswerkzeuge bis hin zu integrierten KI-Systemen.

Start-Ups sind viel schneller in der Umsetzung nutzbarer Produkte als die Big Player. Sie liefern das, was Behörden, Unternehmen und Verbraucher:innen brauchen: Verständliche Dokumentationen, Transparenz über die Datenherkunft und -verwendung, gründliche Prüfungen möglicher Risiken und hohe Sicherheitsstandards. So wie es die europäischen Vorgaben verlangen.

Unübersichtliche All-in-one-Systeme sind spezialisierten Komponenten gewichen, die flexibel kombinierbar sind und offenen Standards folgen. Durch die Kombinationsmöglichkeiten sind europäische Firmen frei in der Wahl des Anbieters. Die Übersichtlichkeit der Komponenten und die tiefgreifende Expertise der Anbieter führen zur spürbaren Reduzierung von Sicherheitsproblemen.

Letztlich erreichen europäische Produkte und Konzepte eine so hohe Qualität, dass sie international nachgefragt werden. „Made in Europe“ ist zur gefragten Marke geworden.

Was wird benötigt?

Das alles ist Zukunftsmusik, obwohl erste Anzeichen einer Veränderung bereits erkennbar sind. Doch politische Weichen müssen gestellt und der wirtschaftliche Wille formuliert werden. Bis dahin lässt die digitale Souveränität Europas auf sich warten.

Damit Start-ups Tempo aufnehmen können, brauchen sie verlässliche Testkunden. Diese kommen idealerweise aus der öffentlichen Hand. Pilotprojekte müssen agil und kurzfristig umgesetzt werden, damit sie als Referenz dienen können. In gut geregelten und gemeinsam nutzbaren Datenräume können junge Firmen schnell testen und skalieren. Prüfverfahren und Siegel müssen zeitnah vergeben werden, damit sichere und regelkonforme Produkte schneller auf den Markt kommen.

Faire, unkomplizierte Beteiligungsmodelle für Mitarbeitende sind Grundvoraussetzung, damit talentierte Teams in Europa bleiben und ihre Ideen hier groß machen. Nur mit einem entsprechenden Anreiz wird es möglich sein, das Know-How in Europa zu halten.

Und letztlich muss entsprechendes Wachstumskapital bereitgestellt werden, um das Projekt „digitale Souveränität“ zu bezahlen. Es wird eine kostenintensive Aufgabe für ganz Europa. Doch langfristig zahlt sich diese Investition aus.

Was wären die großen Vorteile?

Aus Sicht von Wirtschaft, Technologie und Politik ergäben sich langfristig erhebliche Vorteile für Europa. Momentan fließt ein Großteil der digitalen Wertschöpfung in andere Kontinente ab. In einem digital souveränen Europa bleiben große Teile der Wertschöpfung erhalten.

Der neu geschaffene Wettbewerb auf dem europäischen Kontinent würde Anbieter dazu zwingen, verlässliche und qualitativ hochwertige Produkte zu fertigen. Hinzu kommen auditierbare, interoperable Stacks, welche die Sicherheit, Qualität und Wiederverwendbarkeit erhöhen würden. Compliance-by-Design wird Standard und Innovationstreiber.

Beinahe noch wichtiger sind die politischen und gesellschaftlichen Vorteile. Der digitale Schutz von Grundrechten wäre mit europäischen Lösungen sehr viel einfacher umsetzbar. Eine verlässliche demokratische Kontrolle und eine strategische Autonomie wären sprichwörtlich "vorprogrammiert". Europa wäre nicht mehr von Dekreten und Erlässen abhängig, die irgendwo auf der Welt erdacht werden.

Ein digital souveränes Europa ist auch ohne Abschottung realisierbar. Durch offene, exportfähige Alternativen. Ein weites und weitgehend unberührtes Terrain für kommende innovative Unternehmen.

@YET

Die @YET GmbH aus Leichlingen ist ein führender IT-Sicherheits-Dienstleister mit über 20 Jahren Erfahrung im Bereich Cybersicherheit. Über 80 Mitarbeitende beraten und unterstützen namhafte Kunden - vom mittelständischen Unternehmen bis zum internationalen Konzern - bei der Prävention, Risikominimierung und im Bereich Datenschutz. Im Krisenfall stellt die @YET ein vollständiges strategisches und operatives Krisenmanagement unter Einsatz spezialisierter Incident-Response-Teams. Die hohe Qualität der @YET ist durch die Aufnahme in die APT-Responsedienstleister-Liste des BSI bestätigt.