Corporate Digital Responsibility: Wenn digitale Abhängigkeit zum unternehmerischen Risiko wird
Am 7. Juli 2026 ist in Wien der respACT-Circle „Nachhaltigkeit in der Digitalisierung" gestartet, getragen von respACT, der Plattform CDR Austria und der Wirtschaftsagentur Wien. Corporate Digital Responsibility ist bislang meist als Frage von Green IT und digitaler Ethik gerahmt worden. Die erste Arbeitsrunde hat diesen Themenbereich um eine Dimension erweitert, die in dieser Deutlichkeit selten ausgesprochen wird:
Verantwortungsvolle Digitalisierung ist ohne digitale Souveränität nicht zu haben, und die fehlende Souveränität ist längst ein unternehmerisches Risiko mit Preisschild.
Die folgenden Kernaussagen fassen die ersten gemeinsam erarbeiteten Thesen zu den größten aktuellen Problemen zusammen.
Cloud-Abhängigkeit ist ein unterbewertetes Risiko
Die Nutzung von Cloud-Diensten außerhalb der eigenen Kontrolle wird in vielen Organisationen nach wie vor nicht als das behandelt, was sie ist: ein zentrales unternehmerisches Risiko. Der Grund liegt in einer Vertrauensannahme, die aus einer anderen Weltlage stammt. In einer multipolaren Ordnung trägt die alte Gewissheit nicht mehr, dass Daten in einer US-Cloud grundsätzlich sicher aufgehoben sind. Aus dem früheren „you cannot be fired for buying IBM" ist ein „you cannot be fired for buying Microsoft or AWS" geworden, doch dieser Vertrauensvorschuss ist nicht mehr gerechtfertigt.
Regulatorisch ist die Konstellation seit Schrems II bekannt: Solange US-Anbieter dem CLOUD Act und Programmen wie FISA 702 unterliegen, bleibt jede Übermittlung ein Restrisiko, das auch das Data Privacy Framework nicht vollständig auflöst. Neu ist die Dringlichkeit, mit der geopolitische Unsicherheit dieses Risiko in den Vordergrund rückt.
Europäische Regeln, die kaum einhaltbar sind
Ein zweiter Befund betrifft die Regulatorik selbst. Europa formuliert Anforderungen, die Unternehmen wie Private erfüllen müssten, in der Praxis aber kaum erfüllen können, weil die Infrastruktur dafür fehlt. Wer keine souveräne Alternative hat, kann Vorgaben zur Datenkontrolle nur bedingt umsetzen. Die selbstkritische Beobachtung aus dem Kreis: Es fehlt weniger an Regeln als an Selbstvertrauen und an eigener Wertschöpfung, um diese Regeln auch tragen zu können.
Das Risiko gehört bepreist und in die Beschaffung übersetzt
Die zentrale Handlungsthese der Runde: Das Ausfall- und Abhängigkeitsrisiko muss monetär bewertet und transparent gemacht werden. Erst wenn ein flächiger Ausfall der US-Cloud-Dienste mit Kosten hinterlegt ist, verändert sich die Beschaffungslogik. Im Circle wurde dazu eine Studie zitiert, wonach im Fall eines solchen Ausfalls rund 60 Prozent der börsennotierten Unternehmen nicht mehr funktionsfähig wären. Unabhängig von der genauen Zahl ist der methodische Punkt entscheidend: Ohne quantifiziertes Szenario bleibt Konzentrationsrisiko ein abstrakter Begriff.
Für regulierte Sektoren ist genau das längst kodifiziert. DORA verlangt vom Finanzsektor ein explizites Management des IKT-Drittparteienrisikos einschließlich Konzentrationsrisiko (Art. 28 f.), NIS2 adressiert Risiken in der Lieferkette. Die Aufgabe besteht darin, diese Denkweise aus den regulierten Bereichen in die allgemeine Beschaffung zu tragen.
Interoperabilität entscheidet über den Lock-in
Ein Anbieterwechsel ist derzeit strukturell schwierig, sichtbar an zwei Stellen: bei Dokumentenformaten im Office-Umfeld und bei Programmierschnittstellen im KI-Bereich. Solange Schnittstellen und Formate uneinheitlich bleiben, ist der Wechsel zwischen Modellen oder Anbietern faktisch blockiert, und Abhängigkeit verfestigt sich.
Der Data Act (Verordnung (EU) 2023/2854) setzt genau hier an. Die Regelungen zum Wechsel zwischen Datenverarbeitungsdiensten (Art. 23 bis 31) verpflichten Cloud-Anbieter zu funktionaler Äquivalenz, zum Abbau von Wechselhürden und zum Auslaufen der Wechselentgelte. Interoperabilität ist damit nicht mehr nur eine technische Komfortfrage, sondern eine regulatorische Erwartung, an der sich Beschaffung ausrichten lässt.
Datenökonomie und die Frage nach der Wertschöpfung
Die Runde hat die Prämisse der neuen österreichischen Industriestrategie hinterfragt, wonach die Industrie die Basis des zukünftigen Wohlstands sei. Das Wachstum der USA speist sich wesentlich aus der Datenökonomie, die Europa in vergleichbarer Form nicht besitzt, während der reine Produktionswettbewerb mit China schwer zu gewinnen ist.
Als Bild wurde die Erdöl-Analogie gewählt: Europa liefert Rohdaten weitgehend kostenlos über den Atlantik und kauft veredelte Produkte teuer zurück. Für Österreich wurde die Größenordnung dieses Abflusses im Circle mit etwa 6 bis 8 Milliarden Euro pro Jahr beziffert. Würde dieser Wert im Land gehalten und zu eigener Wertschöpfung verarbeitet, entstünde erheblicher Spielraum für Investitionen.
Der Wert der eigenen Daten wird unterschätzt
Am Beispiel des Smartphones lässt sich der Punkt zuspitzen: Standortdaten, Bezahlvorgänge und Ausgabeverhalten werden laufend abgegeben und andernorts zu Kapital gemacht. Dabei verlieren Daten schnell an Wert, die Information von gestern ist heute oft wertlos. Die eigentliche Frage lautet daher nicht nur, wie Daten geschützt werden, sondern was es wert ist, sie gar nicht erst herzugeben.
Lösungsrichtung: Wertschöpfung halten statt nur vorschreiben
Die Runde ist sich einig, dass der regulatorische Hebel allein nicht ausreicht. Er greift zuverlässig bei europäischen Unternehmen, die an EU-Recht gebunden sind, bleibt bei US-Anbietern aber schwach. Die konstruktive Konsequenz: mehr selbst tun, statt vor allem vorzuschreiben.
Konkret genannt wurden drei Hebel.
- Erstens die konsequente monetäre Bewertung der digitalen Risiken, damit Entscheidungen auf einer belastbaren Grundlage getroffen werden.
- Zweitens Aufklärung darüber, welche Wirkung digitale Alltagsentscheidungen entfalten.
- Drittens ein „Kauf regional"-Gedanke, bei dem jeder ausgegebene Euro danach beurteilt wird, ob Wertschöpfung in Europa bleibt, statt in Form von Daten in die USA abzufließen und veredelt zurückgekauft zu werden.
Ausblick
Die erste Runde hat eine Problemlandkarte skizziert, die Nachhaltigkeit in der Digitalisierung konsequent mit Souveränität, Risikobewertung und Wertschöpfung verknüpft. Der Circle wird am 26. August fortgesetzt. Ziel der nächsten Runde sollte sein, aus den genannten Hebeln, also monetäre Risikobewertung, souveränitätsorientierte Beschaffung und Interoperabilitätsstandards, konkrete Handlungsempfehlungen für Unternehmen und Politik zu formen.
Corporate Digital Responsibility bedeutet in dieser Lesart mehr als effiziente Rechenzentren. Sie bedeutet, digitale Abhängigkeit als das zu behandeln, was sie ist: eine unternehmerische Risikoposition, die man kennen, bepreisen und aktiv gestalten kann.
Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Vibe, Mistral) erstellt.