In der aktuellen Diskussion über digitale Souveränität ist es wichtig, Missverständnisse auszuräumen. Es geht nicht darum, jede Stufe einer Technologiearchitektur zu besitzen oder abzusichern. Vielmehr sollte man bestehende Abhängigkeiten evaluieren und systematisch Risiken minimieren.
In Zeiten geopolitischer Unsicherheiten wird die Notwendigkeit betont, digitale Interdependenzen strategisch zu verstehen. Die Antwort liegt nicht in demonstrativen Aktionen, sondern in einem strukturierten Ansatz zur Handlungsfähigkeit und Entscheidungsfindung.
Digitale Souveränität ist keine Eigenschaft, die durch den Kauf oder Ausschluss bestimmter Produkte erreicht wird. Es handelt sich um eine Fähigkeit von Organisationen – sei es ein Unternehmen oder eine Bundesbehörde – informierte Entscheidungen über ihr digitales Betriebsmodell zu treffen und diese auch in belastenden Situationen beizubehalten.
Es geht nicht darum, jede Technologiestufe zu besitzen. Absolute Unabhängigkeit ist unrealistisch. Vielmehr muss man wissen, was vorhanden ist, was geschützt werden muss, welche Risiken bestehen und wie darauf reagiert wird.
Die Schweiz hat diesen pragmatischen Ansatz über Jahrzehnte hinweg kultiviert – sei es im Bankwesen oder in der Diplomatie. Sie war nie autark, sondern immer vernetzt unter eigenen Bedingungen mit klaren Prinzipien und dem Willen, essentielle Interessen zu verteidigen.
Das Schweizer Ökosystem bietet vielfältige Optionen zur Adressierung von Souveränitätsbedenken: lokale Anbieter, Open-Source-Projekte, spezialisierte Dienstleister sowie internationale Tech-Firmen mit lokaler Präsenz. Entscheidend ist hier die Verfügbarkeit, Überprüfbarkeit und Durchsetzbarkeit von Kontrollmechanismen, die den Anforderungen an Resilienz und Sicherheit genügen.
Unternehmen und Behörden müssen aus einem Spektrum möglicher Souveränitätskontrollen wählen, abgestimmt auf ihr spezifisches Risikoprofil. Es geht darum, bestehende Abhängigkeiten zu qualifizieren, Szenarien vorherzusehen und einen Plan zur Risikominimierung zu entwickeln: Welche Prozesse sind essenziell? Welche Daten kritisch? Welche Szenarien – von Cyberangriffen bis hin zum Regulierungsversagen – müssen berücksichtigt werden?
Das Ergebnis ist ein risikobasierter Rahmen, der Schutzstufen definiert und spezifische technische, organisatorische sowie vertragliche Kontrollen vorsieht.
Zu den technischen Maßnahmen zählen je nach Bedarf Datenresidenz, kundenseitig verwaltete Schlüssel und differenzierte Zugriffsmodelle. Organisatorisch sind klare Verantwortlichkeiten, Notfallprozesse sowie eine robuste Governance erforderlich. Vertraglich geht es um Transparenz, Auditrechte, Verfügbarkeitsgarantien und Datenportabilität.
In besonders sensiblen Umgebungen kann eine vollständige Trennung vom globalen Internet notwendig sein, um Risiken durch extraterritoriale Zugriffe zu minimieren (Cloud Act) und die Geschäftskontinuität sicherzustellen.
Souveränitätskriterien wurden bislang nicht konsequent in Technologieentscheidungen einbezogen – aus Unwissenheit oder mangels Anlass. Dies ändert sich gerade und ist begrüßenswert. Verantwortliche müssen nun zwischen technischen Möglichkeiten, rechtlichen Anforderungen und wirtschaftlicher Tragbarkeit abwägen.
Digitale Souveränität ist kein einmal erreichter Zustand, sondern eine Fähigkeit, die kontinuierlich gepflegt werden muss.
About the Author
