SOUVERÄNITÄT · MAI 2026 · 12 MINUTEN LESEZEIT · PASCAL OELMANN

Digitale Souveränität für KMU — wichtiger, als Sie heute denken.

Im Februar 2025 wurde öffentlich, dass Microsoft das E-Mail-Konto eines IStGH-Mitarbeiters sperrte — weil US-Recht es verlangte. Dieser Vorgang hat in der deutschen IT-Beratungs-Community eine Frage real gemacht, die wir bisher als theoretisch behandelt hatten.

Am 6. Februar 2025 unterzeichnete US-Präsident Donald Trump die Executive Order 14203. Sie verhängte Sanktionen gegen den Internationalen Strafgerichtshof in Den Haag und seine Mitarbeitenden — als Reaktion auf die Haftbefehle, die das Gericht im November 2024 gegen den israelischen Premierminister Benjamin Netanjahu und seinen damaligen Verteidigungsminister Yoav Gallant wegen mutmaßlicher Kriegsverbrechen im Gaza-Streifen erlassen hatte.

Drei Monate später, im Mai 2025, sperrte Microsoft das E-Mail-Konto von Karim Khan, dem britischen Chefankläger des IStGH. Khan musste auf den Schweizer E-Mail-Anbieter Proton wechseln. Auch seine britischen Bankkonten wurden eingefroren. Microsoft räumte die Sperrung später ein — und betonte gleichzeitig, dass die Dienste für den IStGH als Institution nicht eingestellt worden seien. Nur das Konto der sanktionierten Einzelperson Khan.

Die rechtliche Lage zwingt Microsoft dazu. Die Executive Order 14203 untersagt es jeder US-Person und jedem US-Unternehmen, sanktionierte Personen finanziell, materiell oder technologisch zu unterstützen — bei Strafe von Geld- oder Gefängnisstrafen. Microsoft als US-Konzern hatte schlicht keine Wahl. Egal, wo der Server steht, egal, ob das Konto in der Microsoft-Cloud Europas läuft oder in den USA: Wenn die US-Sanktion greift, sperrt Microsoft. Sonst macht sich Microsoft strafbar.

Dieser Vorgang hat in der deutschen IT-Beratungs-Community eine Welle ausgelöst, die noch nicht abgeebbt ist. Plötzlich war eine Frage real, die wir vorher als theoretisch behandelt hatten: Was passiert, wenn ein US-Anbieter, von dem wir täglich abhängen, durch US-Recht gezwungen wird, Dienste einzustellen — uns selbst, einem Mandanten oder einer ganzen Branche gegenüber? Die Antwort lautet: Genau das, was im Mai 2025 passiert ist. Und es kann jeden treffen, der auf einer US-Cloud sitzt.

Ich glaube, die Antwort auf diese Frage wird die nächsten fünf Jahre der KMU-IT in Deutschland prägen. Und ich glaube, viele Geschäftsführer haben sie noch nicht gestellt — weil das Thema bisher in einer abstrakten Schicht der Politik diskutiert wurde, nicht in der konkreten Schicht ihrer eigenen Werkzeuge.

Was digitale Souveränität konkret bedeutet

Lassen Sie mich kurz aufräumen, weil der Begriff in der Diskussion uneinheitlich verwendet wird.

Digitale Souveränität ist die Fähigkeit, über die eigenen digitalen Werkzeuge, Daten und Prozesse selbständig zu entscheiden — ohne dass externe Akteure diese Entscheidung blockieren oder beeinflussen können. Das schließt drei Ebenen ein.

Erstens die rechtliche Ebene: Welcher Rechtsraum gilt für meine Daten? Welche Behörden können Zugriff verlangen? Welche Gesetze betreffen meinen Anbieter, auch wenn er in Europa operiert? Hier ist der zentrale Begriff der US Cloud Act von 2018, der US-Behörden Zugriff auf Daten von US-Unternehmen erlaubt — auch dann, wenn diese Daten physisch in Europa gespeichert sind. Eine deutsche AG, die ihre Daten bei AWS in Frankfurt speichert, ist rechtlich nicht vor US-Zugriff geschützt. Und wie der Khan-Fall zeigt, betrifft das nicht nur den Datenzugriff: Es betrifft auch die Service-Verfügbarkeit selbst.

Zweitens die operative Ebene: Welche Dienste laufen unbeeinträchtigt weiter, wenn der Anbieter sie einseitig einstellt — politisch, wirtschaftlich, technisch? Was passiert mit meinem Office-365-Tenant, wenn Microsoft ihn aufgrund einer Sanktionsentscheidung sperrt? Was passiert mit meinem AWS-Hosting, wenn das Konto gekündigt wird? Diese Szenarien waren bis vor zwei Jahren rein theoretisch — sie sind es nicht mehr.

Drittens die strategische Ebene: Wie viel Verhandlungsmacht hat der Anbieter über meine Geschäftsprozesse? Wie schwer wäre ein Wechsel? Wie tief greift das Lock-in? Wer einen kompletten ERP-Stack auf Salesforce gebaut hat, ist gefangen. Wer eine Office-Landschaft auf Google Workspace migriert hat, ebenfalls. Diese Lock-ins sind nicht juristisch, aber praktisch ebenso bindend.

Souveränität ist nicht binär — keine moderne KMU kann komplett US-frei operieren, und die meisten sollten es auch nicht versuchen. Aber Souveränität ist eine Skala, und auf dieser Skala kann man bewusst nach links oder rechts gehen.

Warum die Frage jetzt akut wird

Bis 2024 war die Diskussion um digitale Souveränität in Deutschland weitgehend akademisch. Es gab Berichte des BSI, Empfehlungen der Bundesregierung, vereinzelte Vorgaben für KRITIS-Bereiche. Aber für eine normale GmbH mit dreißig Mitarbeitenden war es kein Top-Thema. Das ändert sich gerade — und zwar schnell.

Erstens: Die geopolitische Landschaft ist nicht mehr berechenbar. Der Khan-Microsoft-Vorfall ist kein Einzelfall, sondern die Spitze eines Eisbergs. Trumps zweite Amtszeit hat in den ersten Monaten bereits mehrere Vorgänge produziert, die zeigen: US-Konzerne werden zu Werkzeugen amerikanischer Außenpolitik, ob sie wollen oder nicht. Es gab Sanktions-Drohungen, einseitige Service-Beschränkungen für bestimmte Länder, politische Einflussnahme auf US-Cloud-Anbieter. Die Liste wird länger, nicht kürzer.

Zweitens: Die deutsche und europäische Regulierung greift härter. Schrems II hat den US-EU-Datenverkehr 2020 rechtlich erschwert. Das EU-US Data Privacy Framework von 2023 versucht, das wieder zu glätten — aber die Rechtsunsicherheit ist nicht verschwunden, und der Khan-Fall zeigt, dass das Framework an seine Grenzen stößt. NIS2 verlangt von vielen Unternehmen ab 2024 nachweisliche Cyber-Resilienz. Die DSGVO bleibt streng. Wer als KMU heute mit personenbezogenen Daten arbeitet, sollte nicht erst durch eine Behördenfrage feststellen, welche Daten wo liegen.

Drittens: Die ernsthafte Konkurrenz aus Europa wächst. Hetzner, OVH, Scaleway, IONOS, T-Systems — auf der Hosting-Seite gibt es heute belastbare europäische Angebote, die vor fünf Jahren noch nicht da waren. Mailbox.org und Posteo bieten DSGVO-konforme E-Mail-Alternativen. Open-Source-Stacks wie PostgreSQL, n8n, Nextcloud oder OpenProject haben sich enorm professionalisiert. Es ist nicht mehr so, dass Souveränität bedeutet, auf moderne Werkzeuge zu verzichten.

Viertens: Mandanten und Geschäftspartner fragen zunehmend nach. Wer als Lieferant in den öffentlichen Sektor verkauft, muss heute oft Souveränitäts-Nachweise bringen. Wer mit Großkonzernen arbeitet, die selbst Compliance-Anforderungen haben, ebenfalls. Die Frage „wo liegen Ihre Daten?” wird in Vergabe-Verfahren explizit gestellt. Wer keine gute Antwort hat, fliegt raus.

Drei Ebenen, die Sie konkret prüfen sollten

Wenn Sie als Geschäftsführerin oder Geschäftsführer wissen wollen, wie souverän Ihre IT heute aufgestellt ist, gibt es drei Ebenen, die ich pragmatisch durchgehen würde.

Ebene 1 — Hosting und Speicherort

Frage: Wo liegen meine Daten physisch? Welcher Rechtsraum gilt?

In den meisten deutschen KMU sieht die Antwort heute so aus: Office 365 läuft auf europäischen Microsoft-Servern (rechtlich aber unter US Cloud Act, weil Microsoft US-Unternehmen ist). ERP-Daten liegen je nach Anbieter — bei einem deutschen ERP-Anbieter mit deutschem Hosting sind sie sicher, bei einem internationalen Anbieter mit AWS-Backend nicht. Die Website läuft oft bei Hetzner oder einem deutschen Hoster — gut. Backup-Lösungen sind selten so gut wie der Rest, oft AWS-basiert oder über internationale Backup-Anbieter.

Was Sie konkret tun sollten: Eine kurze Bestandsaufnahme aller Systeme, in denen geschäftskritische Daten liegen. Pro System die Frage: Anbieter-Sitz, Hosting-Standort, Rechtsraum. Sie werden überrascht sein, wie unklar die Antworten oft sind.

Ebene 2 — Identitäts- und Zugangsschicht

Frage: Welche Anbieter sehen meine Identitäten, meine Berechtigungen, meine Aktivitätsdaten?

Das ist die Ebene, die in der Souveränitäts-Diskussion am häufigsten übersehen wird. Wenn Sie SSO über Microsoft Entra ID nutzen, sieht Microsoft, wer in Ihrem Unternehmen welche Anwendung wann nutzt — auch wenn diese Anwendungen selbst nicht bei Microsoft laufen. Wenn Sie Google Workspace nutzen, gilt das Gleiche für Google. Diese Metadaten sind oft sensibler als die eigentlichen Inhalte.

Was Sie konkret tun sollten: Identifizieren Sie Ihren Identity Provider. Wenn das Microsoft oder Google ist, denken Sie darüber nach, ob es alternativ eine europäische Lösung gibt — Keycloak, Authentik oder ein dedizierter europäischer IdP. Das ist nicht trivial zu migrieren, aber es ist machbar.

Ebene 3 — Werkzeug- und Prozess-Lock-in

Frage: Wie schwer wäre ein Wechsel weg vom aktuellen Anbieter — operativ und finanziell?

Das ist die Ebene, die strategisch am wichtigsten ist. Manche Lock-ins sind tief: Eine komplette Salesforce-Implementierung mit Hunderten von Custom-Feldern und Process Builders ist kaum migrierbar. Eine ERP-Plattform mit zehnjährigen Stammdaten ebenfalls. Andere Lock-ins sind oberflächlich: Office-Anwendungen kann man relativ leicht durch andere ersetzen, wenn die Daten in offenen Formaten vorliegen. Web-Tracking lässt sich austauschen.

Was Sie konkret tun sollten: Ranken Sie Ihre Werkzeuge nach Lock-in-Tiefe. Bei tiefen Lock-ins fragen Sie sich: Wie sieht meine Exit-Strategie aus, wenn der Anbieter morgen die Konditionen verdoppelt oder den Service einstellt? Wenn Sie keine Antwort haben, ist das eine strategische Schwachstelle.

Wie wir bei digiFORMER damit umgehen

Wir versuchen nicht, US-frei zu sein. Das wäre weder realistisch noch sinnvoll. Wir nutzen Microsoft 365 dort, wo es das beste Werkzeug ist — vor allem in der Zusammenarbeit mit Mandanten, die ohnehin damit arbeiten. Wir nutzen Cloudflare an einigen Stellen, wo deren Performance unschlagbar ist. Wir nutzen Anthropic Claude in unserer Lieferkette intensiv, weil die Qualität der Modelle einen Unterschied macht.

Aber: Wir haben uns klare Regeln gesetzt, wo Souveränität Vorrang hat.

Bei eigenen Produkten — vor allem SlimCore — gilt strikte europäische Architektur. Hosting ausschließlich bei Hetzner in Deutschland (Falkenstein und Nürnberg), perspektivisch ergänzt durch OVH in Frankreich. Datenkern in PostgreSQL, ohne SaaS-Abhängigkeiten. Offene Standards, dokumentierte Migrationspfade. SlimCore-Mandanten sollen wissen: Auch wenn wir morgen verschwinden, kommen sie an ihre Daten ran. Das ist nicht selbstverständlich.

Bei Mandanten-Empfehlungen prüfen wir aktiv, wo europäische Alternativen tragen. Wir haben zum Beispiel mehrere Mandanten dabei begleitet, von Mailchimp auf europäische Newsletter-Anbieter umzustellen. Wir haben Backup-Lösungen von AWS auf Hetzner-basierte Setups migriert. Wir empfehlen mailbox.org und Posteo statt Gmail, wenn das technisch passt. Wo der Schritt nicht trägt — etwa bei Office-Anwendungen für Unternehmen mit hoher M365-Tiefe — bleiben wir realistisch.

Bei eigenen Lieferketten schauen wir auf jedes neue Werkzeug mit der Souveränitätsbrille. Wenn wir n8n auf Hetzner statt auf Railway hosten, ist das eine bewusste Entscheidung. Wenn wir mailbox.org statt Gmail empfehlen, ebenfalls. Wenn wir auf der eigenen Website .eu statt .com nutzen, auch. Diese kleinen Entscheidungen summieren sich zu einer kohärenten Haltung.

Was Souveränität nicht ist

Ich will hier auch klar sein, was digitale Souveränität nicht ist — weil der Begriff manchmal überdehnt wird.

Souveränität ist nicht anti-amerikanisch. Es geht nicht darum, US-Anbieter zu boykottieren, weil sie US-Anbieter sind. Es geht darum, bewusst zu entscheiden, wann Sie sich auf einen Anbieter verlassen wollen, und welche Risiken damit verbunden sind. Microsoft, Google, Amazon liefern hervorragende Werkzeuge. Sie sind teilweise konkurrenzlos. Aber sie sind auch in einem politischen und rechtlichen Raum eingebettet, der sich verändert. Diese Erkenntnis sollte in die Werkzeug-Wahl einfließen.

Souveränität ist nicht kostenlos. Wer eine europäische Alternative wählt, zahlt manchmal mehr — entweder direkt im Lizenzpreis oder indirekt im Migrationsaufwand. Diese Kosten sind real, und sie müssen gegen die strategischen Vorteile abgewogen werden. In manchen Fällen lohnt es sich nicht. In anderen schon.

Souveränität ist nicht komplett. Sie können Ihre Internet-Infrastruktur nicht ohne US-Komponenten betreiben — DNS, viele Cloudflare-CDNs, Sub-Sea-Kabel sind in der Hand internationaler Akteure. Sie können keine moderne Software-Lieferkette ohne npm, GitHub oder ähnliche Plattformen aufbauen. Souveränität auf hundert Prozent ist eine Illusion. Souveränität auf den kritischen Schichten ist machbar — und das ist, worum es geht.

Souveränität ist auch nicht statisch. Was heute eine sichere europäische Wahl ist, kann morgen vom US-Konzern aufgekauft werden. Was heute eine US-Lösung ist, kann morgen eine europäische Niederlassung mit eigenständiger Datenstruktur bekommen. Souveränität verlangt periodische Neubewertung — nicht jeden Monat, aber alle ein, zwei Jahre.

Eine konkrete Empfehlung für Ihren nächsten Schritt

Wenn Sie sich heute zum ersten Mal ernsthaft mit digitaler Souveränität auseinandersetzen, ist die Versuchung groß, sofort große Migrations-Projekte zu starten. Das ist meistens ein Fehler. Der bessere Weg sieht so aus:

Schritt 1 — Bestandsaufnahme. Listen Sie alle Systeme auf, in denen Sie geschäftskritische Daten haben. Pro System: Anbieter, Hosting-Standort, Rechtsraum, Lock-in-Tiefe. Das geht in einem halben Tag.

Schritt 2 — Risikobewertung. Pro System die Frage: Was passiert, wenn dieser Anbieter morgen den Service einstellt — politisch, technisch, wirtschaftlich? Wie wirkt sich das auf Ihr Geschäft aus? Wie lange brauchen Sie, um es aufzufangen? Sortieren Sie die Liste nach Auswirkungs-Schwere.

Schritt 3 — Priorisierung. Konzentrieren Sie sich auf die Top-3-Systeme aus dem Risiko-Ranking. Bei diesen prüfen Sie ernsthaft: Gibt es eine europäische Alternative? Wie aufwändig wäre der Wechsel? Was kostet er? Was bringt er?

Schritt 4 — Schrittweiser Umbau. Migrieren Sie eines nach dem anderen, in Phasen, mit klarer Dokumentation. Wer alles auf einmal versucht, scheitert. Wer ein System pro Quartal angeht, kommt in zwei Jahren weit.

Das ist die unaufgeregte Version digitaler Souveränität. Keine Manifeste, keine Heiligkeit, keine Marketing-Kampagne. Sondern stille, methodische Reduktion von Abhängigkeiten — dort, wo es trägt, und nur dort.

Eine letzte Beobachtung

Wenn ich zurückblicke auf die letzten zehn Jahre IT-Beratung, ist Souveränität das Thema, das sich am dramatischsten verändert hat. 2016 war es ein Nischen-Argument für Compliance-Spezialisten. 2026 ist es eine Top-3-Frage in vielen Geschäftsführungs-Gesprächen. Der Khan-Microsoft-Vorfall hat es konkret gemacht: Es geht nicht um Theorien aus Brüssel oder akademische Diskussionen über Datenschutz. Es geht darum, dass Ihr E-Mail-Konto morgen früh nicht mehr funktioniert, weil ein US-Präsident eine Executive Order unterzeichnet hat.

In dieser Welt gewinnt, wer Werkzeuge wählt, die er auch unter Druck behält. Das ist keine ideologische, sondern eine pragmatische Position. Sie ist mit Microsoft 365 vereinbar. Sie ist mit Cloud Computing vereinbar. Sie ist mit moderner Software-Architektur vereinbar. Aber sie verlangt, dass Sie wissen, was Sie tun — und warum.

Wenn Sie wissen wollen, wie Ihr Unternehmen heute aufgestellt ist, lassen Sie uns reden. Eine ernsthafte Bestandsaufnahme dauert ein halbes bis ganzes Tag, sie kostet Sie kein Vermögen, und Sie wissen am Ende, wo Sie stehen. Das ist mehr wert als zehn Hochglanz-Strategiepapiere.


Dieser Artikel ist der dritte Teil einer Reihe zur Markenposition von digiFORMER. Wenn Sie zu den vorherigen Teilen springen möchten: das Manifest und KI ehrlich eingeordnet stehen ebenfalls auf dieser Site.

Sie haben einen Fall, der nach unserem Schreibtisch klingt?

Wir sprechen gerne. Erstes Telefonat 30 Minuten, ohne Honorar, ohne Folgeverpflichtung. Wenn wir nicht passen, sagen wir das.