DB Podcast

Digitale Souveränität statt Lock-in

Ein Gastbeitrag von Henri Schmidt 6 min Lesedauer

Anbieter zum Thema

Für den Mittelstand wird digitale Souveränität zur Managementaufgabe: Daten kontrollieren, Anbieter wechseln und den Geschäftsbetrieb sichern. Welche Maßnahmen KMU jetzt ergreifen müssen.

(Bild:  © atmospheric-20stock/stock.adobe.com)
(Bild: © atmospheric-20stock/stock.adobe.com)

Darum geht's

Digitale Souveränität heißt nicht Autarkie, sondern Kontrolle über Daten, Verträge und Wechseloptionen.

IT-Infrastruktur wie Cloud, ERP und KI sowie die Abwehr von Cyberrisiken gehören in die Geschäftsführung, nicht nur in die IT-Abteilung.

Vergabe, NIS2 und EU-Technologiepolitik verwandeln digitale Souveränität zum messbaren Entscheidungskriterium.

Wenn eine Cloud-Anwendung ausfällt, fällt selten nur ein digitales Werkzeug aus. Mitarbeitende kommen nicht an Kundendaten, Freigaben stocken, Aufträge bleiben liegen. Was eben noch nach IT klang, wird zur Frage des Betriebs. Genau hier beginnt digitale Souveränität: in dem Moment, in dem ein Unternehmen merkt, wie abhängig sein Alltag von wenigen Systemen geworden ist.

Der Begriff ist längst Teil der Digitalpolitik. Das ist richtig, birgt aber eine Gefahr. Je häufiger er verwendet wird, desto schneller verliert er an Schärfe. Für mich ist deshalb entscheidend, digitale Souveränität nicht als politische Formel zu behandeln, sondern als praktische Frage: Bleiben Staat, Wirtschaft und Mittelstand handlungsfähig, wenn digitale Abhängigkeiten unter Druck geraten?

Auswirkungen auf den Mittelstand

Diese Frage betrifft jedes mittelständische Unternehmen, das Cloud-Dienste nutzt, Kundendaten verarbeitet oder KI-Anwendungen einführt. Souveränität entscheidet sich im Maschinenraum des Betriebs: in Verträgen, Schnittstellen, Notfallplänen und der Frage, ob ein Anbieterwechsel realistisch möglich wäre.

Als Berichterstatter der CDU/CSU-Bundestagsfraktion für den Deutschland-Stack sehe ich, woran Digitalisierung in Deutschland oft scheitert: nicht an fehlenden Ideen, sondern an Insellösungen und fehlender Verbindlichkeit bei Standards. Genau diese Logik kennt auch der Mittelstand. Digitalisierung allein schafft noch keine Steuerbarkeit.

Warum digitale Souveränität keine Abschottung ist

Digitale Souveränität bedeutet nicht Autarkie. Deutschland und Europa werden weiter mit internationalen Technologiepartnern arbeiten. Viele amerikanische Anbieter bleiben wichtig, weil sie leistungsfähige Produkte anbieten. Abschottung würde gerade dem Mittelstand schaden. Die eigentliche Frage lautet nicht, ob ein Anbieter aus Europa oder den USA kommt. Die Frage lautet, ob ein Unternehmen im Zweifel noch selbst entscheiden kann. Offenheit bleibt richtig. Alternativlosigkeit nicht.

Das European Technological Sovereignty Package der EU-Kommission zeigt denselben Richtungswechsel. Europa will nicht nur regulieren, sondern eigene technologische Kapazitäten in Cloud, Chips, KI und Rechenzentren aufbauen. Wer über diese Infrastruktur spricht, spricht über die Grundversorgung der Digitalisierung.

Woran Unternehmen digitale Souveränität messen können

Das Bundesministerium für Digitales und Staatsmodernisierung beschreibt digitale Souveränität inzwischen entlang von sechs Dimensionen. Für Unternehmen wird daraus eine einfache Übersetzung: Wer darf auf sensible Daten zugreifen? Welches Recht gilt, wenn es ernst wird? Versteht ein Unternehmen seine wichtigsten Systeme selbst? Und wie realistisch ist ein Wechsel, wenn Preise steigen oder Verträge enden?

Ein Export-Button allein reicht nicht, wenn Datenformate, Schnittstellen oder Vertragsbedingungen den Umzug praktisch verhindern. Echte Souveränität verlangt Interoperabilität. Systeme müssen so miteinander arbeiten können, dass ein Unternehmen nicht in einem Anbieter eingeschlossen bleibt. Damit wird digitale Souveränität messbar: nicht am politischen Etikett, sondern an Kontrolle und Krisenfestigkeit.

Wann wird Abhängigkeit zum Geschäftsrisiko?

Viele mittelständische Unternehmen sind hoch digitalisiert, aber nicht immer digital souverän. In der Praxis hängt der Alltag oft an wenigen Systemen. Wenn das ERP steht, steht nicht nur die IT. Dann steht die Produktion, manchmal auch die Rechnungsstellung. Wenn das Identitätsmanagement ausfällt, kommt niemand mehr in die Anwendungen. Aus einem technischen Problem wird dann schnell ein Organisationsproblem.

Nach Bitkom-Daten sorgen sich 78 Prozent der deutschen Unternehmen über Abhängigkeiten von wenigen außereuropäischen Cloud-Anbietern. Gleichzeitig wollen sie kaum Abstriche bei Leistung oder Kosten hinnehmen. Genau darin liegt die Herausforderung. Digitale Souveränität darf Unternehmen keine schlechteren Lösungen vorschreiben. Sie muss dafür sorgen, dass bei kritischen Anwendungen genauer hingesehen wird.

Warum NIS2 keine Zumutung ist

NIS2 wird vielerorts als neue Belastung gelesen. Das ist zu bequem. Wer heute geschäftskritische Systeme betreibt und Kundendaten verarbeitet, muss wissen, wie Risiken bewertet, Vorfälle gemeldet und Verantwortlichkeiten geregelt werden. Das ist keine Überforderung des Mittelstands, sondern die Grundausstattung moderner Unternehmensführung. Cybersicherheit ist kein Compliance-Hobby mehr. Sie ist Standortpolitik im eigenen Betrieb.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Ein Betrieb sollte wissen, wie er aus einem Cloud-Vertrag herauskommt, bevor er ihn unterschreibt. Er sollte wissen, wer die Schlüssel kontrolliert, bevor sensible Daten ausgelagert werden. Und er sollte Notfallprozesse testen, bevor der Angriff kommt. Wer das nicht tut, hat keine Strategie, sondern ein Hoffnungsmodell.