1. Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen.
2. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann.
3. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss.
4. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers.
5. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten.
6. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht.

Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.

Die Studie verdeutlicht zudem, wie eng das Zeitfenster für politische Gegenmaßnahmen geworden ist. Rahmstorf warnt eindringlich davor, dass bei einer Fortsetzung des aktuellen Erwärmungstempos die im Pariser Abkommen festgelegte 1,5-Grad-Grenze bereits vor dem Jahr 2030 dauerhaft überschritten werden könnte. Das Ziel, die Erwärmung deutlich unter zwei Grad zu halten, droht damit utopisch zu werden.

Google baut Chrome zum ultimativen Fangnetz um. Der Browser mit Gemini-Integration ist nicht dazu da, uns das Lesen zu ersparen oder Dinge bequemer zu machen, sondern um sicherzustellen, dass kein Bit unseres Verhaltens mehr ungenutzt bleibt und dass Umsätze sowie Dividenden an Investor:innen weiterhin nachhaltig steigen.

Vielleicht möchtest du Chrome nicht mehr verwenden.

Die Börse reagiert damit auf ein Narrativ, das an der Wall Street als “AI eats Software” bezeichnet wird. Investoren befürchten, dass KI-gestützte Agenten menschliche Arbeit ersetzen und damit die Nachfrage nach klassischer Software-Lizenzierung reduzieren könnten. Die Ankündigung von Claude Cowork durch Anthropic im Januar hat diese Sorgen verstärkt. Das Tool erstellt Berichte, verarbeitet Tabellen und extrahiert Informationen aus Screenshots.

Auch das ist eine Wendung, die so nicht absehbar war. Aktienanleger reagieren nervös darauf, dass Softwarehersteller zunehmend KI-Funktionen integrieren. Die Automatisierung senkt in vielen Unternehmen den Personalbedarf. Weniger Beschäftigte bedeuten weniger Nutzerkonten und damit weniger Softwarelizenzen. In der Folge geraten die Gewinne der Anbieter unter Druck, wenn auch zeitlich verzögert.

„Rückverfolgbarkeit ist das Herzstück der KI-Souveränität“, so Laurent Lafaye, Mitgründer der Datenaustauschplattform Dawex. Nur wenn jederzeit nachweisbar sei, welche Daten und welche Software-Komponenten in einem KI-System stecken, könne man von echter Kontrolle sprechen. Dies erfordere eine lückenlose Dokumentation der gesamten Lieferkette. Europas Weg zur KI-Souveränität sei nicht über die Kopie amerikanischer Strategien möglich, sondern über einen eigenen Ansatz, der auf Qualität, Transparenz und Kooperation basiert. Das Ziel ist laut Souihel „Europa zu einem Ort zu machen, an dem KI erfunden und nicht importiert wird“.

Kiesewetter verweist ausdrücklich auf politische Unsicherheiten im Verhältnis zu den USA und sieht ein Risiko darin, dass amerikanische Anbieter die Update-Versorgung kontrollieren. Dadurch entstehe „ein theoretischer Hebel“, Cloud-Dienste als Druckmittel einzusetzen, „wenn Donald Trump das entscheidet“.

EU-Abgeordnete machen sich für ein Gesetz stark, das den Einsatz algorithmischer Entscheidungssysteme und von KI in Unternehmen einhegen soll. Der Ausschuss für Beschäftigung und soziale Angelegenheiten des EU-Parlaments hat dazu mit der deutlichen Mehrheit von 41 zu 6 Stimmen bei 4 Enthaltungen eine Reihe von Empfehlungen ausgesprochen. Ziel ist, die transparente, faire und sichere Anwendung automatisierter Überwachungs- und Entscheidungshilfen am Arbeitsplatz zu gewährleisten.

Als ich den Artikel gelesen habe, habe ich mich zuerst gefragt, warum dieser Bereich überhaupt reguliert werden soll. Im nächsten Moment wurde mir klar, wo die eigentliche Lücke liegt.

In Deutschland kann ein Arbeitgeber im Grunde nur aus drei Gründen kündigen.

Personenbedingte Kündigung etwa bei dauerhaft eingeschränkter Arbeitsfähigkeit oder fehlender Arbeitserlaubnis

Verhaltensbedingte Kündigung Pflichtverstöße des Arbeitnehmers, meist nach einer Abmahnung

Betriebsbedingte Kündigung Wegfall des Arbeitsplatzes und eine Sozialauswahl nach Kriterien wie Alter, Unterhaltspflichten, Betriebszugehörigkeit oder Schwerbehinderung

Verhaltens- und betriebsbedingte Kündigungen sind aus meiner Sicht klar geregelt und schützen Beschäftigte zuverlässig. Die personenbedingte Kündigung empfinde ich dagegen als unscharf. Gerichte stufen sie häufig als unwirksam ein, und Fachleute raten meist davon ab. Genau hier sehe ich die Schwachstelle. KI-Systeme könnten diese Lücke nutzen und scheinbar stichhaltige Begründungen für personenbedingte Kündigungen formulieren. Damit ließe sich eine Entscheidung untermauern, die in Wirklichkeit von persönlichen Motiven geprägt ist.

Ich finde, hier braucht es klare Vorgaben.

Hinweis: Ich bin kein Jurist. Ich habe einige Jahre Personalverantwortung getragen, und Kündigungen gehörten dazu. Für mich müssen Unternehmen handlungsfähig bleiben, wenn wirtschaftliche Gründe es erfordern. Persönliche Beweggründe sollten dabei keinen Einfluss haben.

Es sei an der Zeit, „unsere gesamte Software im Bereich der kritischen Infrastrukturen auf freie Software umzustellen, über die wir die vollständige Kontrolle haben“ , und diese verfassungskonform einzusetzen.

Marc Stöckel schreibt in »Datenschutz versus Kosten: Nutzer zahlen bereitwillig mehr für EU-Cloudlösungen« für golem.de

Die Umfrageergebnisse zeigen, dass das Bedürfnis nach Unabhängigkeit von in den USA gehosteten Clouddiensten nicht nur bei Organisationen, sondern auch bei Privatanwendern zunimmt. US-Konzerne wie Microsoft, Google, AWS und Oracle bieten dafür zwar inzwischen sogenannte Sovereign-Cloudlösungen an, echte Souveränität bieten diese aber wohl eher nicht .

Vieles müssen wir nur konsequenter angehen und manches müssen wir anders angehen. Im Übrigen bringt es nichts, die Geschäftsmodelle aus den USA zu kopieren. Es ist viel besser, wenn wir Raum für unsere eigenen Innovationen schaffen.

Ich würde es kein herausragendes Interview nennen, aber ein gutes. Es enthält kluge Gedanken und interessante Ansichten, bleibt jedoch wenig provokant.

„Um das zu gewährleisten, wird OpenAI für Deutschland von der SAP-Tochter Delos Cloud angeboten“, argumentiert SAP. In der öffentlichen Verwaltung ist die Delos-Cloud bereits seit längerem bekannt. Vor gut einem Jahr warben der damalige Bundeskanzler Olaf Scholz (SPD) gemeinsam mit Markus Richter (CDU) – Richter war damals Bundes-CIO und ist inzwischen Staatssekretär im BMDS – dafür, dass die Delos-Cloud eine zentrale Rolle in der Verwaltungscloud-Strategie des Bundes einnimmt. In einer Sondersitzung des IT-Planungsrats im Juni 2024 lehnten die Länder dies allerdings unter anderem deshalb ab, weil SAP in den Rechenzentren von Delos die Cloud-Software Azure des US-Konzerns Microsoft einsetzt.

Noch ist offen, ob SAP mit Delos Cloud Erfolg haben wird. In vielen Verwaltungen zeigt sich der Wunsch, weiter mit Microsoft zu arbeiten, weil alles so bleiben soll, wie es ist und man den Aufwand einer Umstellung vermeiden möchte. OpenAI erscheint attraktiv, weil das Unternehmen als Marktführer gilt. Am Ende wird sich zeigen, ob digitale Souveränität nur eine leere Phrase bleibt, ähnlich dem oft geäußerten Wunsch nach mehr Open Source oder ob das Angebot der SAP-Tochter Delos Cloud zum Ladenhüter wird.

Trotz der souveränen Infrastruktur könne daher „nicht in vollem Umfang von vollständiger Souveränität gesprochen werden, da theoretisch Zugriffe auf Anwendungsdaten durch Drittstaaten – zumindest in einer Grauzone – nicht ausgeschlossen werden können“ , erklärte das von Thomas Strobl (CDU) geführte Innenministerium weiter.

Immer mehr Institutionen, Fachleute und Politiker bezweifeln die Souveränität von Microsoft mit Delos und ich bezweifle Immer mehr, dass das jemand aufhalten wird. Es bleibt spannend.

Gerhard Klünger schreibt in »iOS-Systemdienste verbrauchen unkontrolliert mobile Daten« für golem.de

Im Juli 2019 tauchten im deutschen Apple-Forum erstmals Berichte über einen unerklärlichen Verbrauch mobiler Daten im Zusammenhang mit einem iPhone 6s auf. Aktuelle iPhones, selbst mit iOS 26, haben dieses Problem noch immer: einen täglichen Verbrauch von oftmals mehr als einem Gigabyte ohne erkennbare Ursache.

Wäre die Software offen, hätte ihn vielleicht längst jemand repariert.

Anstatt neue Pilotprojekte zu starten, muss die vorhandene Infrastruktur marktfähig vernetzt und regulatorisch gestützt werden. Europäische Vorgaben wie NIS-2, die DSGVO und der Data Act müssen konsequent und verbindlich auf Cloud-Architekturen angewendet werden. Souveränität darf nicht länger eine freiwillige Zusatzoption sein, sondern muss als Teil von Compliance-Audits und Zertifizierungen durchgesetzt werden.

Des Weiteren definierte der Digitalminister seine Sicht auf digitale Souveränität. „Ich verstehe unter digitaler Souveränität, dass wir in Europa selbst an den Entwicklungen partizipieren müssen“, sagte Wildberger. „Das heißt nicht, dass wir amerikanische Produkte nicht nutzen, aber wir werden fragen, wo die Daten liegen, wie sicher sie sind und wie tief die Wertschöpfung ist. Wir als Staat wollen guter Ankerkunde für europäische Unternehmen sein“, versprach der Digitalminister. Dazu müsse Europa auch seinen Regulierungsansatz überdenken. Die Wirtschaft brauche den Freiraum, ein Produkt erst zu entwickeln. Die Regulierung soll erst danach erfolgen. Das Digitalministerium arbeite „sehr aktiv“ beim Digitalomnibus der EU mit. „Beim Digitalomnibus der EU formulieren wir gerade die finale Sicht in der Bundesregierung“, sagte Wildberger. Das EU-Gesetzespaket soll Bürokratieerleichterungen in der EU-Digitalgesetzgebung enthalten und Ende des Jahres verabschiedet werden.

Was soll das bitte für eine Aussage sein? Liebe Wirtschaft, baut erst einmal eure Produkte und wir sagen euch später, gegen welche Regeln oder Gesetze sie verstoßen. Das hat mit Investitionssicherheit für Unternehmen wenig zu tun.

All in all, an analysis of Microsoft’s distributed documentation – conducted by independent security consultant Owen Sayers and shared with Computer Weekly – suggests that Microsoft personnel or contractors can remotely access the data from 105 different countries, using 148 different sub-processors.

Die Aussage ist wenig überraschend aber unterstreicht noch mal, dass Microsofts Produkte nicht souverän betrieben werden können.

Google Cloud hat am Mittwoch den Dienst Data Transfer Essentials für Kunden in der EU und Großbritannien eingeführt. Damit können Kunden ihre Daten kostenlos aus der Cloud des US-Konzerns zu anderen Anbietern übertragen. Die neuen Grundlagen für Datentransfers gelten als Reaktion auf den EU Data Act, der Interoperabilität und Wahlfreiheit fördern soll. Obwohl die Verordnung es Cloud-Anbietern erlaubt, Kosten für solche Übertragungen an ihre Kunden weiterzugeben, verzichtet Google darauf.

Es ist keine große Geste von Google. Für den Konzern entstehen dabei kaum Kosten. Schließlich geht es um den Zugriff auf die eigenen Daten, nicht auf die von Google. Trotzdem überrascht die Entscheidung. Sie könnten eine Fluktuation damit mindern und zugleich neue Einnahmen schaffen.

The weakening of these conventional structures and the ability to individualise political messaging also produces highly personalised forms of social domination. Populist leaders thrive on perceptions that they have a direct connection to the public – even though this connection is often attended to by an entire ecosystem, a carefully constructed ‘propaganda feedback loop’. Owners of social media can even force this connection onto users via self-serving algorithmic manipulation, as Elon Musk and Donald Trump have both reportedly done on their respective platforms. Intoxicated by the ideal figure of the ‘sovereign individual’ unconstrained by national borders, social norms or the law, a small cadre of ultra-wealthy men have been able to reclaim control over the state and traditional elites through a direct appeal to the masses and to market freedom. Pushing the logic of sovereign individuality to its logical extreme, some are busy trying to carve out independent territories for themselves, complete with their own rules and possibly their own currencies. Others invest in revolutionising existing institutions from within. Until he withdrew from his government role, Musk hoped to oversee a radical remaking of the state as a centralised and largely automated computing infrastructure. Trump made himself into a digital token, offering his own status and reputation as an investment opportunity to enthusiastic followers and anyone striving for access, while his sons leveraged their father’s position to build (or attempt to build) a cryptocurrency empire.

Does this affect the federal government and military? Yes.

It appears that it does not matter if the target is an individual, organization, or government. As long as the legal request is considered valid in the United States, the target or location of the data does not matter.

As an example, the Department of National Defence and Canadian Armed Forces make significant use of Microsoft 365. They have their own defence-tailored instance called Defence 365, which serves as a common cloud infrastructure for collaboration across DND/CAF, with stakeholders and other government departments.

In theory, any data on or using Microsoft or a U.S.-based organization’s products and infrastructure which is not isolated from the Internet could be subpoenaed by the United States government.

The current United States administration has shown to base a significant amount of its foreign and economic policy on dubious or false pretenses with little basis in rational, informed evidence or reality. As a result, we cannot expect that all legal requests received by Microsoft or other tech giants will be evidence-based or rational.

Thus, this revelation represents a significant risk to the Government of Canada and its military.