eday26

Digitale Kolonie Europa: Was Unternehmen jetzt konkret tun können

Michael Mrak

Michael Mrak

3 Min. Lesezeit
Teilen
Digitale Kolonie Europa: Was Unternehmen jetzt konkret tun können
Photo by David Rodrigues / Unsplash

Beim E-Day der Wirtschaftskammer Österreich stand digitale Souveränität nicht im Nebenprogramm, sondern auf der Hauptbühne. Für alle, die das Thema bislang als Nischenanliegen von Datenschützern abgetan haben, ist das ein Signal: Die organisierte Unternehmerschaft Österreichs hat erkannt, dass Cloud-Abhängigkeit kein technisches Detail ist, sondern ein strategisches Unternehmensrisiko. Höchste Zeit, daraus Konsequenzen zu ziehen.

Die Ausgangslage in Zahlen

Ein spannender Vortrag von Wolfgang Roth, Bundesparte Information und Consulting brachte erschreckende Fakten auf den Tisch: Europa gibt jährlich 221 Milliarden US-Dollar für Public-Cloud-Dienste aus. 65 bis 80 Prozent davon fließen an US-Konzerne, also zwischen 155 und 177 Milliarden Dollar jährlich. Wer glaubt, damit nur Infrastruktur zu kaufen, irrt: Mit den Daten wandern Geschäftsgeheimnisse, geistiges Eigentum und personenbezogene Daten ab, und zwar in eine Jurisdiktion, die mit dem Cloud Act US-Behörden potenziellen Zugriff auf diese Daten verschafft, unabhängig davon, ob die Server physisch in Europa stehen.

Die DSGVO schützt hier nur bedingt. Sie verpflichtet europäische Verantwortliche, schränkt aber den Zugriff US-amerikanischer Behörden auf Daten bei US-Unternehmen nicht wirksam ein. Wer das ignoriert, trägt ein Rechtsrisiko, das in Audits, Behördenanfragen oder Vertragsklauseln eines Tages sichtbar werden wird.

Was das konkret für Unternehmen bedeutet

Digitale Souveränität ist kein Absolutheitsanspruch. Es geht nicht darum, alle US-Dienste zu eliminieren oder alles selbst zu betreiben. Es geht darum, handlungsfähig zu bleiben: die Fähigkeit zu erhalten, einen Anbieter wechseln zu können, wenn er seine Konditionen einseitig ändert, wenn politische Rahmenbedingungen den Einsatz riskant machen, oder wenn ein Audit zeigt, dass die aktuelle Lösung nicht mehr vertretbar ist.

Drei Fragen sollte jedes Unternehmen für sich beantworten:

  • Wo bin ich abhängig, ohne es zu wissen? Cloud-Abhängigkeiten entstehen schleichend. SaaS-Tools, die vor fünf Jahren eingeführt wurden, sind heute oft tief in Prozesse eingewachsen. Eine strukturierte Bestandsaufnahme der eingesetzten Dienste nach Anbieterherkunft, Datenkategorien und Wechselaufwand ist der erste Schritt.
  • Was wären meine Alternativen? Für die meisten gängigen Dienste gibt es europäische oder zumindest open-source-basierte Alternativen: Nextcloud statt SharePoint oder Google Drive, Threema Work oder Wire statt WhatsApp Business oder Teams für Messaging, Mistral oder selbst gehostete Modelle statt ChatGPT für KI-Anwendungen, europäische IaaS-Anbieter wie Hetzner, IONOS oder Exoscale statt AWS, Azure oder GCP. Keine dieser Alternativen ist per se perfekt, aber sie alle stärken die Verhandlungsposition gegenüber US-Hyperscalern.
  • Was kann ich beschaffen, ohne die Abhängigkeit zu vergrößern? Öffentliche Beschaffung ist in Österreich und der EU der stärkste Hebel für digitale Souveränität, aber auch private Unternehmen können intern Prioritäten setzen. Wer bei Neubeschaffungen europäische Anbieter gleichwertig evaluiert und den Wechselaufwand explizit als Auswahlkriterium berücksichtigt, baut Resilienz auf, ohne heute alles umstellen zu müssen.

Wo sofort gehandelt werden kann

Messenger und Kommunikation sind der einfachste Einstieg. Viele europäische Regierungen, darunter die deutsche und die französische, haben bereits auf US-Messaging-Dienste verzichtet. Für Unternehmen ist Threema Work oder Wire eine umsetzbare Alternative, die sich in bestehende Infrastrukturen integrieren lässt. Der Aufwand ist überschaubar, der Effekt auf die Datenschutz-Positionierung gegenüber Kunden und Behörden ist unmittelbar spürbar.

KI-Dienste verdienen besondere Aufmerksamkeit, weil hier die Abhängigkeit am schnellsten wächst und die Konsequenzen am wenigsten durchdacht sind. Wer Geschäftsdaten, Vertragsdetails oder personenbezogene Informationen in US-KI-Dienste eingibt, sollte das zumindest bewusst tun und dokumentieren. Lokale Modelle, etwa über Ollama mit Mistral oder LLaMA auf eigener Hardware, sind für viele Anwendungsfälle heute bereits praxistauglich.

Open Source ist kein Selbstzweck, aber die einzige Möglichkeit, tatsächliche Kontrolle über eingesetzte Software zu behalten. Wer auf open-source-basierte Lösungen setzt, kann zumindest in der Theorie den Anbieter wechseln, den Code prüfen lassen oder selbst betreiben. Bei proprietären Cloud-Diensten entfällt diese Option vollständig.

Der regulatorische Rückenwind nutzen

NIS2, DORA und der AI Act schaffen neue Anforderungen an die Lieferkettensicherheit und das Drittanbieter-Management, die sich direkt auf Cloud-Abhängigkeiten auswirken. Wer jetzt eine strukturierte Bestandsaufnahme seiner digitalen Abhängigkeiten macht, erfüllt damit nicht nur eine strategische Eigeninteresse, sondern legt auch die Grundlage für die Nachweise, die Aufsichtsbehörden künftig einfordern werden.

Die WKO hat das Thema auf die Agenda gesetzt. Jetzt liegt es an den Unternehmen, aus dem Vortragssaal eine Maßnahme zu machen.

Transparenzhinweis: Dieser Beitrag wurde ermit Unterstützung generativer KI (Claude Sonnet 4.6, Anthropic) erstellt und vor Veröffentlichung redaktionell geprüft.

Weiterlesen

Robotik, KI und die nächste industrielle Dekade

Robotik, KI und die nächste industrielle Dekade

Prof. Dominik Bösl, Informatiker, ehemaliger Industrie-Insider bei Siemens, Microsoft, KUKA und Festo, heute Professor an der Hochschule der Bayerischen Wirtschaft, hat beim diesjährigen #EDAY26 der Wirtschaftskammer Österreich eine Keynote gehalten, die erfrischend nüchtern war. Kein Weltuntergang, kein blinder Optimismus, sondern der Versuch, Technologieentwicklung realistisch einzuordnen. Das verdient Aufmerksamkeit, gerade weil

Von Michael Mrak