Digitale Souveränität: Argumentationshilfe für resiliente IT-Entscheidungen
Es ist ein bekanntes Phänomen in vielen IT-Abteilungen: Die Diskussion über digitale Souveränität ist da, die Bedenken sind real - aber sobald man sie im Unternehmen anspricht, scheint sich ein unsichtbarer Schleier über das Meeting zu legen. Stirnrunzeln, Blick auf die Uhr, Themawechsel.
Dabei sind die Argumente eigentlich naheliegend: Wer heute Dienste wie AWS, Google Workspace, Microsoft 365 oder Slack nutzt, bindet sich nicht nur funktional, sondern auch rechtlich und geopolitisch an Strukturen, die zunehmend unsicher erscheinen. Doch genau diese Unsicherheit ist schwer zu greifen - und noch schwerer zu vermitteln. Der folgende Text richtet sich an alle, die in Unternehmen einen echten Veränderungsprozess anstoßen wollen. Nicht missionarisch, sondern pragmatisch. Nicht durch Panik, sondern durch Strategie.
Techniker reden über Technik - Chefs über Verantwortung
Es ist ein typisches Muster: IT-Fachkräfte argumentieren mit technischen Details - ihre Entscheiderinnen und Entscheider hingegen denken in Haftung, Verfügbarkeit und Vertrauen. Während auf der einen Seite über Ende-zu-Ende-Verschlüsselung, Object Storage und Geolocations gesprochen wird, geht es auf der anderen Seite um Kundenbindung, rechtliche Sicherheit und Haftungsfragen.
Das führt dazu, dass Gespräche über Alternativen zu US-Diensten zwar sachlich korrekt, aber kommunikativ wirkungslos bleiben. Nicht, weil sie falsch, sondern weil sie nicht anschlussfähig sind. Umso wichtiger ist es, die Perspektive zu wechseln: Nicht, was genau ersetzt werden soll, steht am Anfang - sondern, warum überhaupt ein Umdenken nötig ist.
Drei Bedrohungslagen, die man kennen und benennen sollte
Eine der Kernaufgaben der Geschäftsführung und des Managements ist die Abwendung eines möglichen Schadens von der Firma. Während das abstrakt klingt und man die Frage stellen kann, wie stringent vor Gefahren geschützt wird, wenn man nicht einmal den Techdebt in einer Firma abträgt, geht es beim Ausstieg aus US-Diensten um drei recht griffige Szenarien, die an einem Kipppunkt unerwartet schnell zu erheblichem Schaden führen können.
Es ist daher sinnvoll, diese drei Bedrohungslagen als solche zu benennen, um den Ausstieg aus US-Diensten nicht als persönliche Vorliebe, Politikum oder Nice-to-have zu framen, sondern als nachhaltige Strategie im Sinne des Unternehmens.
1. Verlust des Datenzugriffs
Geopolitische Spannungen sind längst nicht mehr abstrakt, sondern wirken konkret auf IT-Infrastrukturen. In atemberaubender Geschwindigkeit wurden zuletzt politische Grenzen verschoben, die bis vor Kurzem als unantastbar galten. Was sich im globalen Machtspiel als Spielball eignete - vom Satelliteninternet bis zu einzelnen User-Accounts - wurde auch entsprechend als Druckmittel eingesetzt.
Niemand kann heute guten Gewissens behaupten, irgendein Dienst sei vor diesem neuen geopolitischen Pragmatismus sicher. Strafzölle hier, Gegenreaktionen dort - es ist nur eine Frage der Zeit, bis auch digitale Dienste im großen Stil zur Verhandlungsmasse werden.
Und anders als beim klassischen Datenschutz geht es hier nicht nur um die Frage, wer mitliest, sondern ob man überhaupt noch rankommt. Wer seine gesamte Datenhaltung - von Dokumenten bis zu Kundenkommunikation - auf wenige Anbieter außerhalb des eigenen Rechtsraums konzentriert, geht damit ein handfestes Betriebsrisiko ein.
2. Instabilität des rechtlichen Rahmens
Viele Unternehmen beruhigen sich mit Verweisen auf Datenschutzverträge, EU-Standardvertragsklauseln oder transatlantische Vereinbarungen. Doch diese Konstruktionen stehen auf wackligem Fundament - sie basieren auf politischen Entscheidungen, die gerade auf dem Prüfstand stehen, da sich die geopolitische Lage verschoben hat und die Rechtssicherheit nicht mehr in Stein gemeißelt ist.
Natürlich wäre man nicht allein betroffen und kann darauf hoffen, im Ernstfall nicht allein dazustehen. Irgendwie wird es auch dann ja schon weitergehen. Aber ist es wirklich eine gute Strategie, gemeinsam mit allen anderen unvorbereitet in einen Sturm zu geraten? Proaktives Handeln wäre möglich - und mittelfristig vermutlich günstiger als hektisches Reagieren.
3. Vertrauensverlust bei Kunden und Partnern
Datensouveränität ist längst kein Nischenthema mehr. Insbesondere im europäischen Kontext - bei NGO-Partnern, öffentlichen Auftraggebern, im Bildungsbereich, aber auch bei Endkunden - wächst die Sensibilität. Wer heute schon auf EU-basierte oder selbst betriebene Lösungen setzt, kann das auch aktiv kommunizieren: als Wettbewerbsvorteil, als Vertrauenssignal - und nicht zuletzt als Zeichen digitaler Reife. Anbieter, die hier schneller agieren als ihre Konkurrenz, können auch früher ein Zeichen setzen.
Was ist eigentlich der digitale Kern?
Betrachtet man die möglichen Bedrohungen, lohnt es sich, den eigentlich schützenswerten digitalen Kern des Unternehmens zu benennen. Viele Diskussionen über Migrationen oder Ausstiegsszenarien sind unfokussiert. Sie nehmen einzelne Tools unter die Lupe und fragen, ob man nicht diesen oder jenen Dienst ersetzen kann.
Dabei verliert man sich schnell in Featurevergleichen, Preisdiskussionen, Aufwandsschätzungen und generellen Vorbehalten. Ein sinnvollerer Einstieg beginnt eine Ebene darüber - mit der Frage: Was ist eigentlich der digitale Kern unserer Organisation? Welche Daten machen das eigentliche Geschäft aus? Ist es das CRM mit dem kompletten Kundenstamm? Das eigene Ticketsystem? Die Produktdatenbank? Der Quelltext? Der Onlineshop? Oder ganz banal: Der Zugriff auf die Domain, die eine hohe Reichweite hat?
Die nächste Frage lautet dann: Wo liegen diese Daten heute - technisch, juristisch, geografisch? Und wer hat Zugriff? In der Praxis stellt sich oft heraus, dass zentrale Assets über S3, Azure oder Google Cloud laufen - häufig ohne technisches Fallback.
Domainregistrare sitzen in den USA, Mailserver hängen an Microsoft Online und selbst für interne Kommunikation ist man auf Slack oder MS Teams angewiesen. Wer digitale Souveränität ernst meint, beginnt hier: mit einer ehrlichen Inventur. Und leitet daraus langfristige, priorisierte Migrationsziele ab.
Warum gute Argumente trotzdem scheitern
Selbst wenn die Bedrohung real ist - warum führt sie selten zu konsequentem Handeln? Weil Systeme träge sind. Und zwar aus folgenden Gründen:
Safe-Choice Bias und Bandwaggon-Effekt: Die Tendenz, bei großen Anbietern zu bleiben, wirkt psychologisch sicher. Es scheint risikoreicher, etwas Eigenes zu betreiben oder mit kleineren europäischen Dienstleistern zu arbeiten - auch wenn das objektiv nicht automatisch stimmt. Man macht, was die anderen tun, das kann nicht falsch sein, zumindest aber muss man sich nicht rechtfertigen, eine mutige andere Entscheidung getroffen zu haben. Wenn Cloudflare ausfällt, nehmen es alle hin wie das Wetter. Fällt eine eigene Lösung aus, beginnt das Fingerpointing.
Komplexität als Schutzbehauptung: "Das ist bei uns so nicht möglich." Ein Satz, der oft reflexhaft kommt, aber selten wirklich geprüft wurde. Denn möglich ist vieles - wenn man die Umstellung als Prozess begreift. Oft werden die möglichen Features großer Anbieter mit reduzierten Angeboten kleinerer Dienstleister verglichen und in einer Art Feature-FOMO ist man nicht bereit, die Möglichkeit aufzugeben, die ein "Vielleicht brauchen wir das ja noch" anbietet. Oder man erwartet von einer Alternativlösung, exakt so zu funktionieren wie das bestehende System, und treibt sich damit oft immer weiter in einen Lock-in, statt ergebnisoffen über Infrastrukturen nachzudenken, die resilienter durch Anpassungsfähigkeit werden.
Kostenangst: Die Vorstellung, dass mehr Eigenbetrieb immer auch mehr Kosten verursacht, hält sich hartnäckig. Dabei zeigt die Realität: Viele US-Dienste sind inzwischen teils extrem hochpreisig - etwa im Cloudbereich. Das ist auch ein Resultat der angeblichen Alternativlosigkeit. Es häufen sich aber auch die Gegenerzählungen, die zeigen, dass Unternehmen erfolgreich aus US-Clouds ausgestiegen sind und dabei durch Umstrukturierung ihrer IT-Infrastrukturen letztlich Geld sparten und zugleich Wissen zurück ins eigene Unternehmen verschoben. Zudem muss auch generell die Frage gestellt werden: Wie viel ist die Risikominimierung wert?
Fehlender Ownership: In vielen Organisationen fehlt eine Person oder Stelle, die systematisch daran arbeitet, digitale Kontrolle zurückzuholen. Migration wird als IT-Sache gesehen - statt als strategische Unternehmensentscheidung. Zugleich entscheidet aber das Management aus vor allem finanzieller Perspektive. Hier geht die Strategie als Reibungsverlust zwischen den Abteilungen verloren. Was bleibt, ist der Kompromiss, den alle machen.
Rechtfertigung: Selbst wenn es eine Offenheit für Alternativen gibt, führt die Kritik bisheriger Entscheidungen oft zu Abwehrreaktionen. Wenn der CEO in der Startphase die ersten Domains über Godaddy bestellt hat, wird er gegebenenfalls Kritik daran mit einen "Funktioniert doch!" wegwischen.
Sollte man diese Mechanismen bei seinen Gesprächspartnern erkennen, ist es wichtig, sie nicht zu direkt auf Fehlschlüsse hinzuweisen. Man muss auch bei vermeintlich irrationalen Management-Entscheidungen anerkennen, dass sie aus der Logik der jeweiligen Position, den dort vorliegenden Informationen, der Situation und Anforderungen hervorgehen und man in einem Gespräch die Rahmenbedingungen für Entscheidungen beeinflusst, indem man das Umfeld verändert und zeigt, dass die Rahmenbedingungen vielleicht anders sind als zunächst angenommen. Idealerweise bringt man Entscheiderinnen und Entscheider dazu, von selbst auf die richtige Entscheidung zu kommen, statt stoisch auf einer Position zu beharren.
Was tun? Strategien für klügere Gespräche
1. Augenhöhe statt Alarmismus
Ja, man kann zu dem Schluss kommen, dass ein akuter Handlungsbedarf besteht, augenrollend und kopfschüttelnd dasitzen, sich die Haare raufen über so viel Unverständnis und Ignoranz gegenüber dem Offensichtlichen. Doch das ist keine Gesprächsstrategie.
Im Gegenteil: Das ist das Ende einer Diskussion, bevor sie angefangen hat. In der agilen Softwareentwicklung blickt man vor allem nach vorn. In Retrospektiven wäscht man auch nicht die Schmutzwäsche des Unternehmens, sondern leitet aus dem Bisherigen sinnvolle Veränderungen für die Zukunft ab.
Und darum sollte es gehen: in einem Gespräch positive Zukunftsszenarien zu konstruieren. Statt "Wir müssen aussteigen, weil ..." also eher: "Wenn wir zum neuen Dienstleister wechseln, profitieren wir von ...."
2. Szenarien durchspielen statt Angst erzeugen
Allgemeine Drohkulissen werden als genau solche abgelehnt. Sie wirken gerade für Personen, die nicht im Thema stecken, abstrakt, reißerisch, nerdig. Konkreter wird es, wenn bereits eingetretene Vorfälle oder konkrete mögliche Vorfälle als Beispiel am eigenen Unternehmen durchgespielt werden. Was passiert, wenn der US-amerikanische Cloudanbieter den Zugang zu den S3-Buckets sperrt? Wie groß wäre der Schaden, wenn das CDN die Auslieferung in bestimmten Georegionen blockiert? Was passiert mit dem DNS, wenn der DNS-Registrar sich querstellt?
Konkrete Ausfallszenarien sind besser vorstell- und diskutierbar. Dabei gibt es immer eine technische Seite, aber auch eine politische, eine juristische und nicht zuletzt auch eine von der Technikabteilung ernstzunehmende Business-Seite. Man tut gut daran, sich vor einem Gespräch auf alle Facetten vorzubereiten und Gegenargumente ernst zu nehmen.
3. Kleine Schritte statt Totalumbau
Auch wenn der digitale Kern des Unternehmens identifiziert wurde und es eigentlich geboten wäre, die große Migration anzugehen, sind es kleine, machbare Schritte und Erfolge, die zum Ziel führen. Migrationen können auch in Iterationen gedacht werden.
Kleine, mach- und denkbare Arbeitseinheiten, die langsam an Alternativen heranführen, Erfahrungen sammeln lassen und gegebenenfalls Migrationsentscheidungen anpassen. Agilität gilt nicht nur für Softwareentwicklung, sondern auch für die Weiterentwicklung von Infrastrukturen. Und vielleicht ist es gut, mit einer kleinen Umstellung einen Fuß in die Tür zu bekommen, statt sich mit der großen Migration, die noch unüberschaubar ist, argumentativ zu verheben. Vielleicht also ein Pilotprojekt vorschlagen: Slack durch Rocketchat ersetzen? Opentalk statt Zoom? Ein europäischer Hyperscaler für den nächsten Workload?
4. Erfolgreiche Pilotprojekte feiern - auch solche, die keine waren
Erfolge sind wichtig. Sie zeigen, dem Unternehmen, dass der eingeschlagene Weg richtig ist. Wenn eine Migration reibungslos verlief, Kosten gesenkt wurden, die Datenschutzerklärung gekürzt werden konnte, der technische Dienstleister plötzlich auch telefonisch für Rückfragen erreichbar ist, sind das Änderungen, die man anderen, aber auch sich selbst kommunizieren sollte. Auch kleine Fortschritte und Erfolge geben Rückenwind für weitere Veränderungen.
Und manche Pilotprojekte waren vielleicht nie als solche geplant, aber zufällig hat man schon von Beginn an auf die freie Alternative, den europäischen Anbieter oder die eigene Lösung statt des US-Klassikers gesetzt und damit gute Erfahrungen gemacht. Was in Projekt 1 gut funktioniert hat, kann vielleicht auch ein Blueprint für Projekt 2 werden.
5. Misserfolge feiern
Es mag paradox klingen, aber Misserfolge sind ein wichtiger Teil von IT-Projekten. Kaum ein Vorhaben gelingt auf Anhieb. Misserfolge, Fehlplanungen und Umsetzungsfehler gehören zum täglich Brot von ITlern. Der Unterschied liegt jedoch doch darin, wie man damit umgeht.
Natürlich feiert man nicht den Fehlschlag einer Umsetzung, aber man nimmt sie als Learning in den Wissensschatz des Unternehmens auf und agiert in Zukunft ein Stückchen klüger. Wenn eine Migration misslingt, sollte das nicht auf den generellen Migrationsversuch zurückgeführt, sondern die ganz konkrete Umsetzung begutachtet werden. Und statt mit Fingerpointing Mitarbeiter von weiteren mutigen Vorstößen abzuschrecken, muss gemeinsam eine Strategie erarbeitet werden, die genau diesen Fehler in Zukunft vermeidet. So bildet ein Unternehmen resiliente Lernstrukturen aus.
Möchte man all dies auf eine knappe Liste von Tipps für die Gesprächsführung herunterbrechen:
- Sprich nicht einfach über Tools - sprich über generelle Risiken, denen man als Unternehmen entgegentreten sollte.
- Überlege, was der digitale Kern der Firma ist und wie er resilient geschützt werden kann.
- Auch wenn es letztlich um große Migrationen geht, lasse dich auf erste kleine Pilotprojekte ein.
- Bringe niemanden mit Kopfschütteln oder Schuldzuweisungen in Verlegenheit.
- Richte die Kommunikation nach vorn. Es geht um Lösungen, nicht um Aufarbeitung.
- Betone, dass eine Firma, die Wissen um ihre eigene Infrastruktur sammelt, resilienter ist als eine, die von anderen Unternehmen abhängt.
- Akzeptiere die unternehmerische Sicht auf Entscheidungen und denke finanzielle und vertragliche Argumente mit.
- Versuche zugleich, Migrationen nicht auf Kostenersparnis bei gleicher Leistung hinauslaufen zu lassen.
- Vermeide Besserwisserei. Setze auf Szenarien, Pilotprojekte, Strategie.
Caspar Clemens Mierau betreut freiberuflich als Devsecop seit 25 Jahren große und kleine IT-Infrastrukturen für Kunden in Deutschland und der Schweiz. Nebenberuflich promoviert er im Bereich Medien- und Kulturwissenschaft zur Geschichte des Programmierenlernens um 1970. Gemeinsam mit der Politikwissenschaftlerin Katharin Tai (MIT) diskutiert er im Podcast Versionskontrolle Fundstücke aus der Digitalhistorie.