Markus Feilner schreibt in »C3A-Kriterien des BSI: “Eine Einladung fürs Souveränitätswashing”« für golem.de

Doch der grundlegende Widerspruch bleibt: “Die aktuellen Kriterienkataloge von BSI, EU und Zendis haben ein systematisches Problem: Sie prüfen Datenlokation, Verschlüsselung und Lieferketten, aber nicht die Rechtshoheit. Ein US-Unternehmen mit Rechenzentrum in Frankfurt erfüllt grundsätzlich alle diese Kriterien – und unterliegt doch dem Cloud Act und Fisa 702, die Datenabfluss an US-Behörden ermöglichen.”

[…]

Wie Sicherheit lässt sich digitale Souveränität nicht klassifizieren. Sie ist ein Merkmal, das entweder da ist oder nicht. “Ein bisschen souverän” gibt es genauso wenig wie “ein bisschen sicher”. Dennoch ignorieren ganze Branchen diese Realität.

Diesen Punkt sehe ich anders. Vollständige Souveränität ist ebenso wenig erreichbar wie vollständige Sicherheit. Beides ist das Ergebnis von Aushandlungen bzw. Risikoabwägungen. Entscheidend ist, wie hoch ist der Grand an Souveränität der angestrebt wird und welche Zugeständnisse dafür in Kauf genommen werden.