Der „Summit on European Digital Sovereignty“ formulierte mehrere Kernziele:

• Abhängigkeiten von globalen Cloud- und KI-Plattformen reduzieren
• Europäische digitale Infrastrukturen ausbauen und fördern
• Sensible Daten vor extraterritorialen Zugriffsgesetzen schützen
• Neue EU-Taskforce für digitale Souveränität (initiiert von Frankreich und Deutschland)
• Standards und Interoperabilität als Grundpfeiler eines souveränen Europas
• Innovation, Wettbewerb und KI-Regulierung neu ausbalancieren

Diese Ziele gehen in die richtige Richtung.

Wo politische Absicht auf technische Realität trifft

Trotz dieser positiven Signale wird ein entscheidender Punkt nicht klar angesprochen:

Viele zentrale Cloud-, KI- und Kommunikationsdienste sind technisch und rechtlich nicht auditierbar.

Das liegt an einem strukturellen Spannungsfeld, das wir als „Datenschutz-Trilemma“ beschreiben:

• EU-Recht verlangt vollständige Kontrolle und Auditierbarkeit.
• Multi-Tenant-Cloud-Architekturen verhindern diese Kontrolle technisch.
• Wirtschaftliche Abhängigkeiten bündeln kritische Infrastruktur bei einigen wenigen Anbietern.

Solange dieses Trilemma ungelöst bleibt, kann Europa nur begrenzt souverän handeln – egal wie ambitioniert politische Erklärungen sind.

Exterritoriale Zugriffe: Erstmals anerkannt, aber nicht gelöst

Der Gipfel spricht zum ersten Mal ausdrücklich von Risiken durch nicht-EU-Zugriffsgesetze.
Das ist ein Fortschritt.

Doch die zentrale Frage bleibt unbeantwortet:

Wie verhindert Europa, dass Cloud- oder KI-Dienste durch ausländische Gesetze oder Geheimanordnungen beeinflusst oder eingesehen werden können?

Politische Absichtserklärungen reichen nicht aus. Es braucht:

• klare europäische Rechtsräume,
• technische Auditierbarkeit
• unabhängige Infrastrukturen, die tatsächlich in Europa betrieben werden

Und zwar nicht nur als Konzept – sondern als operative Realität.

Standards & Interoperabilität: Wichtig, aber nicht konkret genug

Der Gipfel hebt hervor:

• offene Standards
• Interoperabilität
• Daten- und Plattform-Portabilität

Genau das fordert unser Policy Brief ebenfalls.

Doch es bleibt offen:

Wie sollen der Wechsel von Plattformen ermöglicht werden, wenn proprietäre Systeme bewusst auf Abschottung ausgelegt sind?

Solange Geschäftsmodelle auf Lock-in basieren, bleibt Europa abhängig, auch wenn politische Dokumente anderes versprechen.

Der fehlende Baustein: Hardware-Souveränität als Grundlage

In der Debatte wird digitale Souveränität meist auf Software, Cloud oder KI reduziert. Doch die eigentlich kritische Ebene liegt tiefer:

Europa kontrolliert seine eigene Hardware-Basis nicht.

Dazu gehören:

• Router und Switches
• Backbone-Hardware
• Server-Firmware (BMC, iDRAC, iLO)
• CPU-Firmware (Intel ME, AMD PSP)
• Netzwerkchips (ASICs, FPGAs)
• 5G- und Datacenter-Equipment

Diese Komponenten sind nicht auditierbar, egal ob sie aus China oder den USA stammen.

Das zeigt ein politisches Paradoxon:

• Die USA warnen vor Huawei, weil man die Hardware nicht prüfen könne.
• Europa nutzt Cisco, Juniper, HPE – die genauso wenig geprüft werden können.

Europa fordert eine souveräne Cloud aber die Cloud läuft auf Hardware, die Europa weder auditieren noch kontrollieren kann. Europa hat durch Verkauf und Verlagerung den größten Teil seiner Capabilities in diesem Bereich verloren.

Ein souveränes digitales Europa braucht ein sicheres Fundament.
Wer ein stabiles Haus baut, darf es nicht auf Sand stellen.

Was ebenfalls fehlt: Kontrolle über DNS, Routing und den Edge-Layer

Digitale Abhängigkeiten entstehen nicht nur in der Cloud, sondern viel früher im Netzwerk:

• Content Distribution Networks (CDNs)
  (z.B. Cloudflare, Akamai, Fastly) liefern den Großteil europäischer Websites aus
• Domain Name Services (DNS)
  werden überwiegend von US-Unternehmen betrieben. Aus Bequemlichkeit verwenden viele Unternehmen 8.8.8.8 (Google) oder 1.1.1.1. (Cloudflare). Die Root-Server Strukturen des DNS Dienstes liegen politisch außerhalb europäischer Kontrolle. Das ist das Funktionale Fundament des „Telefonbuches“ im Internet. DNS übersetzt die lesbaren Domain Namen (4future.institute auf IP Adressen, mit denen die Computer arbeiten können).
• BGP-Routing
  Das ist das Routing Protokoll mit denen alle großen Provider miteinander verbunden sind. Die Verkehrspolizei im Internet ist global verwundbar und in Europa nicht strategisch abgesichert
• Edge-Knoten
  europäischer Dienste stehen in den allermeisten Fällen auf US-Infrastruktur

Solange Europa diese Basisschichten nicht kontrolliert, kann auch darüber liegende Cloud-Infrastruktur nicht souverän werden.

Positive Aspekte des Gipfels

Trotz aller Lücken ist eines klar:
Europa hat die Dringlichkeit erkannt.

Besonders stark sind:

• der Fokus auf europäischer Infrastruktur
• Investitionen in KI-Modelle, Datenräume und Forschung
• gemeinsame Initiative mehrerer Mitgliedstaaten
• die politische Bereitschaft, Souveränität nicht länger als Nischenthema zu betrachten

Das ist ein wichtiger Fortschritt.

Unsere Einschätzung: Fortschritt ja, aber die Kernfragen bleiben offen

Der Gipfel bringt Europa einen Schritt weiter.
Aber er vermeidet weiterhin jene Aussagen, die für echte digitale Souveränität notwendig wären:

• Sind Multi-Tenant-Clouds mit EU-Recht vereinbar?
• Wie lassen sich ausländische Zugriffe auf Europäische Daten wirksam ausschließen?
• Wie kann technische Auditierbarkeit erreicht werden?
• Welche Plattformen gelten künftig als „souverän“ – und warum?
• Wie wird europaweite Netz-, Hardware- und Routing-Souveränität hergestellt?

Unser Policy Brief zum Thema „Digitale Souveränität“ liefert erstmals eine strukturierte Analyse zum Datenschutz Trilemma und konkrete Handlungsoptionen

Zum Policy Brief: Digitale Souveränität in Europa – Definition, Status, Handlungsoptionen

 Fazit

Europa sendet klare Signale: digitale Unabhängigkeit wird politisch ernst genommen.
Aber echte digitale Souveränität entsteht nicht durch Absichtserklärungen.

Sie entsteht durch:

• Rechtssicherheit
• Auditierbarkeit
• Hardware- und Netzwerk-Kontrolle
• transparente, europäische Systeme
• und ein technisches Fundament, das Europa tatsächlich gehört

Das ist der nächste Schritt – und genau dazu möchten wir im 4future.institute beitragen.