Sebastian Speetzen

Im Februar 2025 sanktionierte die US-Regierung den Chefankläger des Internationalen Strafgerichtshofs, Karim Khan. Kurz darauf war sein dienstliches Microsoft-Konto nicht mehr erreichbar. Eine einzelne Verfügung aus Washington genügte, um einem der höchsten Justizvertreter der Welt den Zugang zu seinen eigenen E-Mails zu nehmen. Genau an diesem Punkt wird aus einem abstrakten Schlagwort eine sehr konkrete Frage: Wer entscheidet eigentlich, ob unsere Behörden, Unternehmen und Vereine morgen noch arbeiten können? Über digitale Souveränität wird in Europa viel geredet. Höchste Zeit, das Thema ernst zu nehmen und dabei zwei Fehler zu vermeiden: zu wenig zu tun, oder das Falsche.

Was digitale Souveränität wirklich heißt, und warum gerade jetzt

Digitale Souveränität bedeutet nicht, dass Europa alles selbst bauen muss. Sie bedeutet, dass wir über unsere eigene digitale Infrastruktur, unsere Daten und unsere technologischen Entscheidungen selbst bestimmen können. Heute ist davon wenig übrig. Drei US-Konzerne, Amazon Web Services, Microsoft Azure und Google Cloud, kontrollieren zusammen mehr als 70 Prozent des europäischen Cloud-Marktes. Verwaltung, Krankenhäuser, Schulen und der Mittelstand laufen auf Software, deren Bedingungen anderswo festgelegt werden. Solange alles gut geht, fällt das niemandem auf. Spätestens mit der zweiten Amtszeit von Donald Trump ist vielen klar geworden, wie verwundbar diese Abhängigkeit macht. Eine Lieferkette, die jederzeit politisch gekappt werden kann, ist keine Lieferkette, sondern ein Risiko.

Die Politik hat das inzwischen verstanden, zumindest auf dem Papier. Am 18. November 2025 trafen sich auf Einladung des deutschen und des französischen Digitalministeriums über tausend Gäste zum ersten europäischen Gipfel für digitale Souveränität in Berlin, darunter Bundeskanzler Merz, Präsident Macron und EU-Kommissionsvizepräsidentin Henna Virkkunen. Unternehmen sagten Investitionen von mehr als zwölf Milliarden Euro zu. Parallel dazu liegt mit dem EuroStack-Konzept ein Vorschlag auf dem Tisch, der über zehn Jahre rund 300 Milliarden Euro mobilisieren und mit einem Sovereign Tech Fund starten will. Anfang Juni 2026 hat die EU-Kommission den Cloud and AI Development Act vorgelegt, der die europäische Rechenzentrumskapazität in fünf bis sieben Jahren verdreifachen soll. Ich finde diese Bewegung richtig. Skeptisch macht mich nur, dass dieselbe Kommission mit dem Digital Omnibus vom November 2025 zugleich Datenschutz und KI-Regeln aufweicht. Souveränität entsteht nicht allein durch Geld und Rechenzentren, sondern auch durch klare Regeln, an die man sich hält.

Der Cloud Act, oder warum „liegt in Frankfurt“ nicht reicht

Der US CLOUD Act von 2018 ist der Kern des Problems, und er wird oft unterschätzt. Das Gesetz verpflichtet US-Unternehmen, Daten auf Anordnung amerikanischer Behörden herauszugeben, und zwar unabhängig davon, wo auf der Welt diese Daten gespeichert sind. Ein Rechenzentrum in Frankfurt oder Paris ändert daran nichts, solange der Anbieter seinen Sitz in den USA hat. Genau hier kollidiert amerikanisches mit europäischem Recht. Artikel 48 der Datenschutzgrundverordnung erkennt Herausgabeanordnungen ausländischer Behörden nur an, wenn ein völkerrechtliches Abkommen dahintersteht. Der EU Data Act, der seit September 2025 gilt, verlangt zusätzlich technische und organisatorische Maßnahmen gegen unrechtmäßige Behördenzugriffe aus Drittstaaten. Ein US-Anbieter sitzt damit in einer Zwickmühle: Befolgt er die US-Anordnung, verstößt er gegen EU-Recht. Verweigert er sie, verstößt er gegen US-Recht. Dieser Widerspruch lässt sich mit keiner Vertragsklausel und keinem Werbeversprechen über eine „EU Data Boundary“ auflösen.

Das ist keine theoretische Sorge. Im Juni 2025 musste der Chefjustiziar von Microsoft Frankreich vor dem französischen Senat unter Eid einräumen, dass das Unternehmen nicht garantieren kann, die Daten europäischer Bürgerinnen und Bürger im Ernstfall nicht an US-Behörden weiterzugeben. Und der Fall Karim Khan zeigt, was passiert, wenn aus der theoretischen Möglichkeit politische Realität wird. Microsoft-Präsident Brad Smith hat zwar betont, man habe die Dienste für den Strafgerichtshof als Institution nie eingestellt, doch das Konto des Chefanklägers war betroffen, und Khan wich auf den Schweizer Anbieter Proton aus. Der Strafgerichtshof selbst zieht inzwischen Konsequenzen und prüft den Umstieg auf die quelloffene Lösung openDesk. Die Lehre daraus ist unbequem, aber eindeutig: Der Speicherort der Daten ist nicht entscheidend, entscheidend ist, wessen Recht und wessen Politik am Ende den Schalter bedienen. Wer diesen Schalter nicht selbst in der Hand hat, ist nicht souverän, egal wie schön die Vertragsbedingungen klingen.

Souveränität ja, digitaler Nationalismus nein

So berechtigt der Wunsch nach Unabhängigkeit ist, so gefährlich wäre die Überreaktion. Souveränität kann schnell in Abschottung kippen, und genau davor warnen nicht nur Wirtschaftsverbände wie der eco oder der BDI, sondern auch viele in der Netzpolitik. Wenn „europäisch“ zum reinen Herkunftssiegel wird und der Staat nur noch kauft, was eine EU-Flagge trägt, dann tauschen wir eine Abhängigkeit gegen die nächste, diesmal nur mit besserem Marketing. Ein europäischer Anbieter, der seine Kundschaft genauso einsperrt wie ein amerikanischer, macht uns kein Stück freier. Und ein Internet, das in nationale oder kontinentale Blöcke zerfällt, ein sogenanntes Splinternet, würde am Ende genau die offene, vernetzte Welt zerstören, von der Europa wirtschaftlich und kulturell lebt. Autarkie ist kein Sicherheitsversprechen, sondern oft ein teurer Weg in mittelmäßige Technik und höhere Preise.

Souveränität heißt für mich deshalb etwas anderes als Selbstversorgung: Es geht um die Fähigkeit zu wählen. Um offene Standards, um Interoperabilität, um das Recht, einen Anbieter jederzeit zu wechseln, ohne dabei alle Daten zu verlieren. Um die Diversifizierung von Lieferketten und um starke Partnerschaften mit anderen Demokratien, statt um Misstrauen gegen alles Ausländische. Als überzeugter Europäer und in meiner Arbeit bei Volt sehe ich das europäische Projekt gerade nicht als Festung, sondern als gemeinsamen Rahmen, der uns nach innen stark und nach außen handlungsfähig macht. Wir sollten die besten Werkzeuge der Welt nutzen dürfen, aber unter unseren Regeln und auf unserer Infrastruktur betrieben. Das ist der feine, aber entscheidende Unterschied zwischen einer souveränen und einer nationalistischen Digitalpolitik. Die erste schafft Optionen, die zweite nimmt sie weg.

Open Source ist der Schlüssel, auch wenn er aus den USA kommt

Wenn das Ziel Kontrolle bei gleichzeitiger Offenheit ist, dann führt kaum ein Weg an Open Source vorbei. Quelloffene Software lässt sich einsehen, prüfen, anpassen und auf eigener Infrastruktur betreiben. Niemand kann den Code heimlich verändern, niemand kann ihn dir per Fernzugriff entziehen. Die Lizenz, ob GPL oder Apache, garantiert diese Freiheiten dauerhaft und unwiderruflich, und genau das ist der Punkt, an dem sich Open Source vom Mietmodell der großen Cloud-Anbieter unterscheidet: Es gibt keinen Kill-Switch. Schleswig-Holstein macht gerade vor, dass das funktioniert. Das Land hat bis Ende 2025 rund 80 Prozent seiner Arbeitsplätze auf LibreOffice umgestellt, etwa 44.000 Postfächer von Exchange weg migriert und nach eigenen Angaben über 15 Millionen Euro an Lizenzkosten gespart. Auf Bundesebene treibt das Zentrum für Digitale Souveränität, kurz ZenDiS, mit openDesk einen souveränen Arbeitsplatz voran, der Anfang 2026 bereits in mehreren tausend Lizenzen produktiv im Einsatz war.

Jetzt kommt der Teil, der manche stört, der mir aber wichtig ist: Es ist völlig in Ordnung, wenn diese Software aus den USA stammt. Linux, Kubernetes, PostgreSQL und unzählige andere tragende Bausteine wurden maßgeblich von amerikanischen Entwicklern und Organisationen geprägt. Das mindert ihren Wert für unsere Souveränität kein bisschen, denn die Herkunft des Quellcodes ist nicht das, worauf es ankommt. Entscheidend ist, dass wir die Software selbst betreiben, prüfen und im Zweifel abspalten können, das sogenannte Recht auf den Fork. Wer den Code hat, ist niemandem ausgeliefert. Ein US-Konzern kann mir das Recht, Linux auf europäischen Servern laufen zu lassen, schlicht nicht wegnehmen. Die einzige echte Abhängigkeit, die bleibt, liegt in der Pflege und Steuerung dieser Projekte, denn viele zentrale Maintainer werden von amerikanischen Firmen bezahlt. Die richtige Antwort darauf ist aber nicht Verzicht, sondern Mitverantwortung: Europa sollte kritische Open-Source-Projekte selbst mitfinanzieren und mitentwickeln, so wie es die deutsche Sovereign Tech Agency bereits tut. Gute Werkzeuge abzulehnen, nur weil sie den falschen Pass haben, wäre genau der digitale Nationalismus, der uns nicht weiterbringt. Souverän ist, wer das Beste nutzt und trotzdem die Kontrolle behält.

– Sebastian Speetzen

Seit ein paar Monaten bewegt sich die Sache schnell. Im November 2025 hat das Europäische Parlament mit 483 zu 92 Stimmen eine Resolution beschlossen, die ein europaweites Mindestalter von 16 Jahren für soziale Medien fordert. Ab 13 soll der Zugang mit Zustimmung der Eltern möglich sein, unter 13 gar nicht. Bemerkenswert ist, dass die Forderung nicht nur klassische Plattformen wie Instagram oder TikTok meint, sondern auch Videoplattformen und sogenannte KI-Companions, also die Chatbots, mit denen Jugendliche zunehmend reden. Am 29. April 2026 legte die Kommission nach und empfahl den Mitgliedstaaten, bis Ende 2026 eine funktionierende Altersverifikation auszurollen. Und am 12. Mai signalisierte Ursula von der Leyen, dass die Kommission ein EU-weites digitales Volljährigkeitsalter regeln will, mit einem möglichen Gesetzesvorschlag noch vor Ende des Sommers. Das Vorbild nennt sie offen: Australien, wo unter 16 Schluss ist.

Technisch soll das Ganze über eine eigene App laufen, die die Kommission als Übergangslösung versteht, bis die europäische digitale Identität, die EUDI Wallet, flächendeckend verfügbar ist. Das Versprechen klingt erst einmal gut. Die App arbeitet mit sogenannten Zero-Knowledge-Proofs, einem kryptografischen Verfahren, mit dem man beweisen kann, dass man über einer Altersgrenze liegt, ohne das genaue Geburtsdatum oder die Identität preiszugeben. Eine Plattform würde also nur erfahren, dass jemand alt genug ist, nicht wer dahintersteckt. Auf dem Papier ist das deutlich datensparsamer als ein Ausweis-Upload bei jeder einzelnen Seite. Die Frage, die in den offiziellen Pressemitteilungen gern untergeht, ist allerdings, ob die konkrete Umsetzung dieses Versprechen auch hält. Genau da wird es unangenehm.

Eine App, die in zwei Minuten fiel

Am 15. April 2026 stellten von der Leyen und ihre Vizepräsidentin Henna Virkkunen die App als technisch fertig vor und veröffentlichten den Quellcode als White-Label-Vorlage für die Mitgliedstaaten. Nur drei Tage später zerlegte der Sicherheitsforscher Paul Moore die zentralen Schutzmechanismen in unter zwei Minuten. Der PIN-Schutz ließ sich aushebeln, indem man verschlüsselte Einträge aus einer Konfigurationsdatei im Android-Speicher löschte. Der Zähler für Fehlversuche ließ sich auf null zurücksetzen, was beliebig viele PIN-Versuche erlaubt. Und die biometrische Prüfung ließ sich über einen simplen Schalter in den gespeicherten Daten komplett abschalten. Besonders heikel: Das Gesichtsbild, das per NFC vom Ausweis gelesen wird, landete unverschlüsselt als PNG auf der Festplatte, und Selfie-Aufnahmen im externen Speicher wurden nie gelöscht. Die Kommission hatte öffentlich betont, es würden keine personenbezogenen Daten gespeichert und der Vorgang sei vollständig anonym. Die Funde sagen das genaue Gegenteil.

Das ist kein einmaliger Ausrutscher, der sich mit einem schnellen Update wegpatchen lässt. Eine Sicherheitsanalyse des Quellcodes vom März 2026 deckte einen tieferen Konstruktionsfehler auf: Die ausstellende Komponente kann gar nicht überprüfen, ob die Passkontrolle wirklich auf dem Gerät des Nutzers stattgefunden hat. Diese Lücke sauber zu schließen würde wohl bedeuten, vollständige Passdaten inklusive Name und Dokumentnummer an einen Server zu schicken, womit das schöne Datenschutzversprechen weitgehend dahin wäre. Dazu kommt, dass die App auf Android Googles Play Integrity API voraussetzt und damit zwingend von Googles Infrastruktur abhängt, was alternative Android-Systeme und selbst installierte Apps aussperrt. Eine quelloffene App, die Googles Erlaubnis zum Funktionieren braucht, ist eine seltsame Vorstellung von digitaler Souveränität. Bürgerrechtsorganisationen wie EDRi und noyb hatten früh gewarnt, die Europaabgeordnete Markéta Gregorová sprach von einem Verfahren, das unter politischem Druck überhastet werde. Über 400 Forscher warnten in einem offenen Brief, dass zentralisierte Identitätssysteme zwangsläufig zu attraktiven Zielen für Angriffe und Überwachung werden.

Schützen ja, ein Identifizierungsregime nein

Hier prallen zwei Dinge aufeinander, die beide ihre Berechtigung haben. Der Wunsch, Kinder vor suchterzeugenden Mechaniken, Manipulation und ungeeigneten Inhalten zu schützen, ist absolut nachvollziehbar, und das Parlament fordert zu Recht auch ein Verbot von Dark Patterns und weniger Werbung, die sich gezielt an Kinder richtet. Das Problem ist die Methode. Eine Altersverifikation, die wirklich greift, betrifft strukturell alle, nicht bloß Minderjährige, denn um zu beweisen, dass ein 14-Jähriger draußen bleibt, muss das System bei jedem anderen ebenfalls nachsehen. Damit entsteht eine Infrastruktur, mit der sich Internetnutzung grundsätzlich an einen Identitätsnachweis koppeln lässt. Solche Infrastruktur ist selten reversibel. EDRi nennt das treffend mission creep: Ist die technische Fähigkeit einmal da, wächst der Anwendungsbereich fast von allein über den ursprünglichen Zweck hinaus. Dazu kommt die unbequeme Frage, ob das alles überhaupt funktioniert, denn ein VPN, das Konto eines älteren Geschwisters oder schlicht eine geknackte App führen die Hürde schnell ad absurdum, während der datenschutzrechtliche Flurschaden bleibt.

Aus meiner Sicht, und ich denke, das deckt sich mit dem, wofür Volt steht, lässt sich beides zusammenbringen, aber nicht in dieser Reihenfolge und nicht mit dieser Eile. Kinderschutz darf nicht heißen, dass wir ein flächendeckendes Ausweisregime fürs Netz errichten und hoffen, dass die Technik schon irgendwie dichthält. Sinnvoller ist es, bei der Verantwortung der Plattformen anzusetzen: Suchtmechaniken regulieren, manipulative Designs verbieten, Empfehlungsalgorithmen für Minderjährige entschärfen, all das wirkt, ohne dass jeder Bürger sich ausweisen muss. Wenn Altersverifikation tatsächlich kommt, dann nur mit echtem Datenschutz by design statt als Marketingversprechen, mit unabhängigen Sicherheitsprüfungen vor dem Start statt drei Tage danach, dezentral statt in einer zentralen Datenhalde, und freiwillig quelloffen ohne Zwangsbindung an einen US-Konzern. Eine Lösung, die in zwei Minuten fällt, schützt am Ende weder Kinder noch Grundrechte. Sie erzeugt nur das beruhigende Gefühl, etwas getan zu haben, und genau dieses Gefühl ist in der Digitalpolitik oft gefährlicher als das Problem, das man lösen wollte.

– Sebastian Speetzen