Das EU Tech Sovereignty Package rückt Cloud, KI und Lieferketten in den Fokus.
Eine aktuelle Studie von Wire zeigt: Für Unternehmen und Behörden entstehen Souveränitäts-, Compliance- und Sicherheitsrisiken dort, wo vertrauliche Arbeit tatsächlich läuft – in Collaboration-Tools, geteilten Daten und Abstimmungen via Messenger.
Innerhalb des EU Tech Sovereignty Package ist der Cloud and AI Development Act der zentrale Baustein für Cloud-Souveränität. Der Vorschlag befindet sich aktuell im ordentlichen EU-Gesetzgebungsverfahren. Inhaltlich geht es um mehr Rechenzentrumskapazität in Europa, schnellere Genehmigungen für nachhaltige Infrastruktur und einen EU-weiten Bewertungsrahmen für souveräne Cloud- und KI-Dienste. Dieser Rahmen soll in mehreren Stufen abbilden, ob Daten lediglich in der EU gespeichert werden, ob Anbieter von Drittstaaten unabhängig sind, wie transparent ihre Software-Lieferkette ist und ob Betrieb, Eigentum und Kontrolle tatsächlich in Europa liegen. Damit verschiebt sich die Debatte von der Datenresidenz zu nachweisbarer Kontrolle.
Für Unternehmen und Behörden wird diese Debatte in der täglichen Collaboration konkret: Über welche Plattformen laufen vertrauliche Abstimmungen, Dokumente und Entscheidungen? Wer kann darauf zugreifen? Welche Nachweise bleiben für Audit und Incident Response erhalten? Und in welchem Rechtsraum werden Inhalte, Metadaten und Zugriffe verarbeitet?
Vorstandschats, Krisencalls, Vertragsentwürfe, R&D-Projekte und externe Projektkommunikation bündeln vier Risiken: Cybersecurity, weil Inhalte, Identitäten und Geräte konsequent geschützt werden müssen; Compliance, weil NIS2, DORA und DSGVO belastbare Nachweise verlangen; Consumer-App-Governance, weil schnelle Ausweichkanäle wie WhatsApp oder Signal außerhalb zentraler Steuerung liegen; und Souveränität, weil Plattform, Betrieb und Rechtsraum über die tatsächliche Kontrolle entscheiden.
Pragmatismus als Risiko für Souveränität und Governance
Viele Organisationen haben hierzu Policies und Compliance-Prozesse etabliert sowie eine Auswahl von Tools genehmigt. Die Schwachstelle entsteht, wenn es schnell gehen muss: Externe Partner benötigen kurzfristig Zugriff, Projektteams greifen auf E-Mail zurück, Dateilinks bleiben aktiv, Krisenteams nutzen den Kanal, der gerade funktioniert. Aus pragmatischen Einzelentscheidungen erwächst eine Kommunikationslandschaft, die zentrale Tool-Governance, Zugriffskontrolle und Nachvollziehbarkeit unterläuft.
84 Prozent der von Wire befragten IT-, Security- und Compliance-Verantwortlichen in Deutschland, Frankreich und Großbritannien bewerten ihre Collaboration-Umgebung als sicher oder sehr sicher. Gleichzeitig geben 48 Prozent an, sensible Informationen manchmal oder häufig über Tools zu teilen, die für sichere Kommunikation ungeeignet sind.Konkret nutzen 80 Prozent der Befragten Microsoft Teams. 42 Prozent setzen WhatsApp, Signal oder ähnliche Consumer-Messaging-Apps im Arbeitskontext ein. Für externe Collaboration nutzen 75 Prozent primär E-Mail, 45 Prozent Dateifreigabe-Links und 42 Prozent Messaging-Apps.
So fließen vertrauliche Inhalte weiterhin durch eine Mischung aus US-dominierten Enterprise-Plattformen, älterer Kommunikationsinfrastruktur und Consumer-Kanälen. Diese liegen häufig außerhalb einer zentralen Identitäts-, Geräte- und Berechtigungsverwaltung.
Serverstandort garantiert noch keine Souveränität
Hinzu kommt: Daten können in Europa gespeichert sein und trotzdem über Betreiber, Supportprozesse, Administrationsrechte, Software-Lieferketten oder Konzernstrukturen in außereuropäische Abhängigkeiten geraten. Gesetze wie der US-CLOUD Act oder FISA Section 702 können für US-Anbieter auch dann Zugriffspflichten auslösen, wenn Daten physisch in europäischen Rechenzentren liegen. Für regulierte Branchen, Behörden und kritische Infrastrukturen entsteht daraus ein Risiko für Vertraulichkeit, Nachweisbarkeit und operative Resilienz.
75 Prozent bewerten Kontrolle über den Datenspeicherort als wichtig. Gleichzeitig wissen 28 Prozent nicht oder sind unsicher, wo ihre Collaboration-Daten gehostet werden. Souveränitätsanspruch und Compliance-Nachweis fallen auseinander.
Besonders kritisch wird diese Lücke an der Schnittstelle zu externen Partnern. 81 Prozent geben an, dass mehr als ein Viertel ihrer sensiblen Collaboration externe Teilnehmer einschließt. Partner, Kunden, Lieferanten, Kanzleien oder Berater bewegen sich meist außerhalb des eigenen Identitäts- und Zugriffsmodells. Sobald Dateien, Links oder Gesprächsinhalte in externe Umgebungen wandern, werden Zugriffskontrollen, Audit-Trails oder Widerrufe komplex. 61 Prozent berichten, dass Zugriffsrechte auf geteilte Dateien nach Projektabschluss manchmal länger aktiv bleiben als vorgesehen.
Sicherheit, Compliance und Souveränität operativ verankern
CISOs, CIOs und Compliance-Verantwortliche müssen im Ernstfall nachweisen können, welche Informationen über welche Kanäle fließen, wer Zugriff erhält, wann Berechtigungen enden, wo Daten gespeichert werden und welche Risiken hinsichtlich des Rechtsraums bestehen. Richtlinien erfüllen diesen Zweck nur, wenn ihre Umsetzung im laufenden Betrieb nachvollziehbar bleibt.
Collaboration-Tools müssen Ende-zu-Ende-Verschlüsselung und Zero-Trust-Prinzipien für sensible Inhalte bieten, Identitäten und Geräte verwaltbar machen, externe Teilnehmer kontrolliert einbinden, Dateizugriffe über ihren gesamten Lebenszyklus steuern, Auditierbarkeit ermöglichen und Datenverarbeitung in definierte Rechtsräume bringen. Open Source und unabhängige Audits reduzieren blinde Vertrauensabhängigkeit.
Organisationen sollten mit den Workflows beginnen, bei denen Kontrollverlust den größten Schaden anrichten würde: Vorstandskommunikation, Krisenmanagement, vertrauliche Kundenprojekte, R&D und Incident Response. Diese Bereiche eignen sich für souveräne Kommunikationsräume, die parallel zu bestehenden Umgebungen eingeführt und später skaliert werden können.
Wire ist für genau solche Szenarien gebaut: als europäische Plattform für sichere Kommunikation und Collaboration in Organisationen mit erhöhtem Schutzbedarf. Ende-zu-Ende-Verschlüsselung und eine Zero-Trust-Architektur schützen Inhalte technisch. Open Source und unabhängige Audits ersetzen blindes Vertrauen durch Nachweisbarkeit. SSO- und SCIM-Anbindung halten Identitäten und externe Zugriffe steuerbar, statt sie in Consumer-Kanäle abwandern zu lassen. Und EU-Betriebsmodelle mit On-Premises-Optionen halten Betrieb, Eigentum und Kontrolle in Europa – nicht nur den Speicherort.
Das EU Tech Sovereignty Package setzt den politischen Rahmen. Für Organisationen entscheidet sich digitale Souveränität jedoch im Operativen: an Kanälen, Speicherorten, Identitäten, Zugriffsrechten und der Fähigkeit, Kontrolle nachzuweisen.