Beliebte Suchanfragen
Logo der codecentric AG, einem in Deutschland führenden IT-Consulting Unternehmen
Hamburger Menu
Logo der codecentric AG, einem in Deutschland führenden IT-Consulting Unternehmen
    HOMEIT TRIFFT RECHT
    //

    Abhängigkeit von US-IT-Systemen: Europas Weg zur digitalen Souveränität

    Guido Hansch, LL.M. (Glasgow)

    11.7.2025 | 8 Minuten Lesezeit

    Von nicht-europäischen Technologie-Anbietern unabhängig zu sein, ist nicht nur eine Frage der Datensicherheit. Brisante Fälle, wie der gesperrte E-Mail-Account eines IStGH-Anklägers verdeutlichen, dass Institutionen, Verwaltung und letztlich sogar der Rechtsstaat selbst angreifbar sind. Ein EU-Land zeigt aber bereits, wie der Weg zur digitalen Souveränität gelingen kann.

    Digitale Souveränität hat sich in den vergangenen Jahren zu einem Schlüsselbegriff der deutschen und europäischen Digitalpolitik entwickelt. Die jüngsten Ereignisse rund um die vermeintliche Sperrung des E-Mail-Kontos von IStGH-Chefankläger Karim Khan durch Microsoft haben der Diskussion um die digitale Souveränität Europas nochmals einen Schub gegeben. Ebenso der Ausstieg Dänemarks aus der Nutzung von Microsoft-Produkten.

    Dabei umfasst das Konzept digitaler Souveränität verschiedene Dimensionen und wird von unterschiedlichen Akteuren verschieden interpretiert. Im rechtlichen Kontext beschreibt digitale Souveränität unternehmensjurist „Das Streben nach digitaler Souveränität ist ein Hauptziel der digital- politischen Agenda der EU.“ die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können. Der hessische Datenschutzbeauftragte zum Beispiel definiert sie noch spezifischer als die Fähigkeit, „IT-Systeme so auswählen, gestalten und beherrschen zu können, dass Verantwortliche selbst in der Lage sind, ihre (datenschutz-)rechtlichen Pflichten zu erfüllen“.

    Ein umfassendes Verständnis von digitaler Souveränität bezieht sich auf die Fähigkeit von Staaten, Unternehmen und Individuen, ihre digitalen Infrastrukturen, Technologien, Dienste und Daten selbstbestimmt und unabhängig kontrollieren, gestalten und nutzen zu können. Diese Selbstbestimmung schließt den Schutz vor fremder Einflussnahme im digitalen Raum und die Möglichkeit ein, eigene digitale Strategien zu entwickeln und umzusetzen.

    Historische Entwicklung und Rechtsrahmen

    Die Diskussion um Souveränität begleitet die Verbreitung des Internets seit seinen Anfängen. Während ursprünglich dem Cyberspace selbst eine eigene Souveränität zugesprochen wurde, die sich jeglicher staatlichen Kontrolle entzog, hat sich die Perspektive mittlerweile grundlegend gewandelt.

    Das Schrems-II-Urteil als Wendepunkt

    Mit seinem Urteil vom 16. Juli 2020 (Schrems II) zur Unionsrechtswidrigkeit der Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA zielte der EuGH auch auf die Herstellung digitaler Souveränität ab. Das Gericht stellte fest, dass US-amerikanische Anbieter gezwungen werden können, personenbezogene Daten aus Europa an staatliche Stellen zu übergeben, ohne dass betroffene EU-Bürger diese Praxis gerichtlich überprüfen lassen können. Verantwortliche in Deutschland und Europa sind jedoch in hohem Maß von IT-Systemen US-amerikanischer Anbieter abhängig, was zu einem Verlust des Grundrechtsschutzes führen kann.

    Im Jahr 2020 wurde das Streben nach digitaler Souveränität offiziell zum Hauptziel der digitalpolitischen Agenda der EU erklärt und ist seither in zahlreichen politischen Dokumenten und Regulierungsinitiativen verankert worden.

    EU-Digitalstrategie

    Die Europäische Kommission hat die digitale Souveränität zu einem zentralen Element ihrer Digitalstrategie gemacht. Diese strategische Ausrichtung findet ihren Niederschlag in verschiedenen Rechtsakten:

    • Der Digital Services Act (DSA) adressiert illegale Inhalte, transparente Werbung sowie Desinformation und aktualisiert die E-Commerce-Richtlinie aus dem Jahr 2000.
    • Der Digital Markets Act (DMA) zielt darauf ab, die Märkte im digitalen Sektor fairer und anfechtbarer zu gestalten, indem er klare Regeln für sogenannte Gatekeeper festlegt.
    • Die NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der EU gewährleisten und ersetzt die frühere NIS-Richtlinie. Sie verpflichtet die Mitgliedstaaten unter anderem zur Verabschiedung nationaler Cybersicherheitsstrategien und zur Einrichtung zuständiger Behörden.

    Die Microsoft-Sperrung am IStGH: Ein Präzedenzfall?

    Im Februar 2025 sanktionierte die neue US-Administration den Chefankläger des Internationalen Strafgerichtshofs (IStGH), Karim Khan, nachdem ein Gremium von IStGH-Richtern und -Richterinnen einen Haftbefehl gegen den israelischen Premierminister Benjamin Netanjahu und seinen früheren Verteidigungsminister Yoav Gallant wegen mutmaßlicher Kriegsverbrechen im Gaza-Streifen erlassen hatte. Die USA und Israel erkennen den Gerichtshof nicht an.

    In Folge dieser Sanktionen sperrte Microsoft ohne Vorwarnung Khans E-Mail-Account, wodurch der britische Jurist gezwungen war, zum Schweizer An42 03 2025 unternehmensjurist 03 2025 43Recht in der Praxis Recht in der Praxis Recht in der Praxis bieter Proton Mail zu wechseln. Zusätzlich wurden seine Bankkonten in Großbritannien blockiert. Die Arbeit des Gerichtshofs wurde dadurch erheblich behindert, da er in hohem Maße auf Dienstleister wie Microsoft angewiesen ist.

    Dieser Vorfall verdeutlicht die problematische Abhängigkeit europäischer und internationaler Institutionen von US-amerikanischen Technologieanbietern. Die Open Source Business Alliance (OSBA) bezeichnet Microsofts Vorgehen als „beispiellos in diesem Kontext und dieser Auswirkung“ und als „Weckruf für alle, die für die sichere Verfügbarkeit staatlicher und privater IT- und Kommunikationsinfrastrukturen verantwortlich sind“. Als Reaktion auf die massive Kritik hat Microsoft Anfang Juni 2025 angekündigt, künftig keine Kontosperrungen wegen US-Sanktionen mehr selbst vorzunehmen. Nach einer juristischen Neubewertung beruft sich der Konzern nun darauf, dass er seine Dienste nicht einzelnen Personen zur Verfügung stelle, sondern nur die technische Plattform liefere, mit deren Hilfe die Kunden ihrerseits eigenen Mitarbeitenden oder Dritten digitale Dienste anbieten.

    Dänemarks Weg zur digitalen Souveränität

    Als direkte Reaktion auf den Fall des IStGH hat das dänische Digitalisierungsministerium im Juni 2025 angekündigt, komplett auf Microsoft-Produkte zu verzichten und stattdessen Linux und LibreOffice zu nutzen. Die dänische Digitalisierungsministerin Caroline Stage (Moderaterne) erklärte in einem Interview mit der Tageszeitung Politiken, dass noch im Sommer 2025 die Hälfte der Angestellten des Ministeriums mit Linux und LibreOffice ausgestattet werden sollen. Bei erfolgreicher Umsetzung solle das komplette Ministerium bis zum Herbst „von Microsoft befreit sein“.

    Diese Initiative erfolgt im Rahmen einer neuen Digitalisierungsstrategie, in der der „digitalen Souveränität“ des Königreichs Priorität eingeräumt wird. Die Ministerin betonte, dass es nicht um Microsoft allein gehe, sondern dass man generell viel zu abhängig von einigen wenigen Anbietern sei. Die Hauptsorge der dänischen Behörden ist dabei das willkürliche Abschalten beziehungsweise Sperren wichtiger Cloud-Dienste durch den Hersteller selbst, wie es im Fall des IStGH geschehen ist. Zusätzlich gibt es Bedenken hinsichtlich der Übermittlung sensibler Daten in die USA sowie stark gestiegene Kosten für Microsoft-Lizenzen. Bereits vor dieser Ankündigung hatten die beiden größten Kommunen Dänemarks, Kopenhagen und Aarhus, ähnliche Schritte eingeleitet. Die Stadtverwaltung von Aarhus hat bereits einen deutschen Anbieter als Ersatz für Microsoft eingeführt, wodurch die jährlichen Kosten in der betreffenden Abteilung von umgerechnet etwa 100.000 Euro auf knapp 30.000 Euro gesenkt werden konnten.

    Digitale Souveränität sichert Rechtsstaatlichkeit

    Die Vorfälle um den IStGH und die Reaktion Dänemarks unterstreichen die datenschutzrechtlichen Herausforderungen, die sich aus der Abhängigkeit von nicht-europäischen Technologieanbietern ergeben. Das Schrems-II-Urteil hatte bereits verdeutlicht, dass der Transfer personenbezogener Daten in die USA problematisch ist, da dort kein vergleichbares Datenschutzniveau existiert und betroffene Personen keine wirksamen Rechtsschutzmöglichkeiten haben.

    Die willkürliche Sperrung eines E-Mail-Kontos aufgrund politischer Entscheidungen der US-Regierung zeigt, dass diese rechtlichen Bedenken nicht theoretischer Natur sind, sondern reale Auswirkungen auf die Handlungsfähigkeit europäischer und internationaler Institutionen haben können. Aus datenschutzrechtlicher Sicht ist besonders problematisch, dass die Kontrolle über personenbezogene Daten durch solche Sperrungen komplett verloren gehen kann.

    Dabei ist die digitale Souveränität nicht nur eine Frage der Wettbewerbsfähigkeit oder der politischen Selbstbestimmung, sondern auch der Sicherung der Rechtsstaatlichkeit. Wenn europäische Institutionen oder Bürger jederzeit damit rechnen müssen, dass ihre digitale Infrastruktur aufgrund außereuropäischer politischer Entscheidungen eingeschränkt oder abgeschaltet werden kann, ist ihre grundrechtlich geschützte Handlungsfreiheit erheblich beeinträchtigt. Der Fall des IStGH verdeutlicht, dass die fehlende digitale Souveränität sogar die Funktionsfähigkeit internationaler Rechtsinstitutionen gefährden kann, was letztlich den Rechtsstaat selbst in Frage stellt.

    Strategien zur Stärkung der digitalen Souveränität

    Um die digitale Souveränität Europas zu stärken, sind verschiedene rechtliche und politische Maßnahmen erforderlich:

    die konsequente Umsetzung und Weiterentwicklung des bestehenden Rechtsrahmens, insbesondere der DS-GVO, des DSA und des DMA, unternehmensjurist

    • die Förderung europäischer Technologieanbieter durch gezielte Investitionen und regulatorische Rahmenbedingungen, die Innovation und Wettbewerb fördern,
    • die Etablierung verbindlicher Standards für digitale Souveränität, die sowohl technische als auch rechtliche Aspekte umfassen,
    • die Entwicklung eines europäischen Ansatzes für Cloud-Computing.

    Neben rechtlichen Maßnahmen sind auch technische und organisatorische Ansätze erforderlich:

    • die verstärkte Nutzung von Open-Source-Software in öffentlichen Verwaltungen, wie sie in Dänemark praktiziert wird, um Abhängigkeiten von einzelnen Anbietern zu reduzieren,
    • die Entwicklung eigener europäischer Technologielösungen in strategischen Bereichen wie Cloud-Computing, Künstliche Intelligenz und Cybersicherheit,
    • die Förderung digitaler Kompetenzen bei Bürgerinnen und Bürgern, Unternehmen und in der öffentlichen Verwaltung, um selbstbestimmtes Handeln im digitalen Raum zu ermöglichen,
    • die Schaffung von Datentreuhändern und anderen Institutionen, die den vertrauenswürdigen Umgang mit Daten gewährleisten.

    Die Stärkung der digitalen Souveränität kann nur gelingen, wenn sie als gesamteuropäische Aufgabe verstanden wird, die Koordination auf allen Ebenen erfordert. Die EU muss den rechtlichen Rahmen schaffen und strategische Initiativen vorantreiben, während die Mitgliedstaaten und Kommunen konkrete UmsetGuido Hansch zungsmaßnahmen ergreifen müssen. Das Beispiel Dänemarks zeigt, dass einzelne Mitgliedstaaten und sogar Kommunen wichtige Impulse geben können.

    Die digitale Souveränität Europas muss zudem auch im internationalen Kontext betrachtet werden. Europa strebt nicht nach Autarkie oder Isolation, sondern nach der Fähigkeit, selbstbestimmt zu agieren und eigene Werte im digitalen Raum durchzusetzen. Dies erfordert eine klare Position gegenüber den USA und China, aber auch die Bereitschaft zur internationalen Zusammenarbeit.

    Wesentliches Element europäischer Identität

    Die Sperrung des Microsoft-Accounts am Internationalen Strafgerichtshof und die darauffolgende Reaktion Dänemarks markieren einen Wendepunkt in der Diskussion um die digitale Souveränität Europas. Sie haben verdeutlicht, dass die Abhängigkeit von nicht-europäischen Technologieanbietern nicht nur ein theoretisches Problem ist, sondern konkrete Auswirkungen auf die Handlungsfähigkeit europäischer und internationaler Institutionen haben kann. Die rechtlichen Herausforderungen, die sich daraus ergeben, erfordern einen umfassenden Ansatz, der sowohl rechtliche als auch technische und organisatorische Maßnahmen umfasst. Letztlich geht es bei der digitalen Souveränität nicht nur um technologische Unabhängigkeit, sondern um die Fähigkeit Europas, seine Werte und Grundrechte auch im digitalen Raum zu verwirklichen. In diesem Sinne ist digitale Souveränität ein wesentliches Element der europäischen Identität im 21. Jahrhundert und eine zentrale Herausforderung für die europäische Rechtspolitik.

    Guido Hansch, LL.M. (Glasgow)

    Head of Legal

    Lasst uns weiter gemeinsam gestalten - wir freuen uns auf den Austausch mit euch!

    //
    Jetzt für unseren Newsletter anmelden

    Alles Wissenswerte auf einen Klick:
    Unser Newsletter bietet dir die Möglichkeit, dich ohne großen Aufwand über die aktuellen Themen bei codecentric zu informieren.