Securecloud
Menü schließen
“Sovereignty...
Blogbeiträge

“Sovereignty Washing” mit “OpenAI for Germany"?

Geschrieben von Sebastian Deck
6. Januar 2026
Ein moderne Geschäftsumgebung mit digitalen Wolken

"OpenAI for Germany" wird als souveränes europäisches Angebot positioniert – betrieben über Delos Cloud auf Microsoft-Azure. Aber Kritiker sehen Lücken: Selbst wenn Kundendaten nicht zum Training genutzt werden sollen, blieben Kontrolle, Abhängigkeiten und Exit-Fähigkeit zentrale Risikofaktoren. Für Organisationen mit hohen Compliance- und Datenschutzanforderungen heißt das: Jurisdiktion, Lock-in und echte Alternativen müssen unbedingt mitgeprüft werden.

“Sovereignty Washing” mit “OpenAI for Germany”? Wo Experten Lücken beim Thema Datensouveränität sehen

Deutschland bekommt endlich „souveräne KI“. Das klingt erst einmal gut - nach Kontrolle, Sicherheit und Unabhängigkeit. Die aktuelle Debatte rund um „OpenAI for Germany“ zeigt aber einmal mehr ein strukturelles Problem in der Zusammenarbeit mit US-IT-Anbietern: Entscheidend ist nach US-Rechtsauffassung nicht, wo Daten verarbeitet oder gehosted werden, sondern wer den Tech Stack tatsächlich kontrolliert und welchem Rechtsraum ein Unternehmen unterliegt. In letzter Konsequenz fehlt zu echter Souveränität ein weiterer wichtiger Baustein: Haben Behörden oder Unternehmen im Ernstfall überhaupt realistische europäische Alternativen und wie aufwändig und teuer ist der Wechsel? Das Thema “OpenAI for Germany” betrifft vor allem - aber eben nicht nur – Behörden. Auch Unternehmen müssen genau hinschauen und sich dabei folgende Fragen stellen: Welche technischen Abhängigkeiten sind messbar und wie groß sind sie? Welche Vorfälle machen diese Risiken konkret greifbar? Und welche Schritte können, beziehungsweise müssen, wir jetzt pragmatisch gehen, um technisch und rechtlich wirklich “souverän” zu sein und den Geschäftsbetrieb im Ernstfall aufrecht erhalten zu können? Der KI-Boom verschärft das Problem zusätzlich. 

Warum selbst das BMI vor US-Hyperscalern warnt

Deutschland will KI in die Verwaltung bringen – und zwar „souverän“. Ab 2026 soll „OpenAI for Germany“ starten: SAP und OpenAI, unterstützt durch die SAP-Tochter Delos Cloud.
Der Haken ist die technische Basis: Denn die Delos Cloud setzt auf Microsoft-Azure-Technologie.

Wo Experten beim Thema "europäische KI-Souveränität" Lücken sehen

Wenn selbst der Staat (mit Geheimschutz, BSI-Anforderungen und Vergaberecht) am Ende auf US-Technologie als Fundament setzt, ist es höchste Zeit für einen schonungslosen Realitätscheck für alle Branchen mit sensiblen Daten – von Healthcare, Recht über Finance bis KRITIS. Und da ist die Kritik heftig: Apfeltalk interpretiert „OpenAI for Germany“ weniger als souveräne europäische KI-Lösung, als vielmehr einen Fall von  Sovereignty Washing:

Behörden würden über SAP/Delos eine deutsche Hülle kaufen, unter der Haube aber OpenAI-Modelle via Microsoft Azure betreiben. Das Problem: Damit wandere Kontrolle über zentrale Verwaltungsprozesse in einen US-Tech-Stack. Der Autor bezeichnet das als „Trojanisches Pferd“, weil man „den Schlüssel zu unserer eigenen Verwaltung abgeben“ würde. Beim besonders heiklen Aspekt KI-Training mit Daten komme hinzu: Auch wenn versprochen werde, dass Daten in der US-Cloud nicht zum Training genutzt würden, bleibe die „technologische Abhängigkeit total“: Europa liefere Datenströme und Budgets, während Kontrolle und Wertschöpfung bei US-Anbietern landeten.

Die Bilanz fällt entsprechend hart aus: Der "Der Weg in die digitale Unmündigkeit" führe zu einer fatalen und vor allem völlig unnötigen neuen deutschen Abhängigkeit im zentralen Zukunftsfeld KI. Oder um es mit Apfeltalk zu sagen: "US-IT ist das neue russische Gas!"

Dazu kommt: Rechenzentrum in Deutschland reicht nicht

Viele Diskussionen drehen sich immer noch um den Standort („hosted in Europe” = passt). In der Praxis entscheiden über echte Souveränität aber sehr viel mehr Faktoren: Kontrolle, Jurisdiktion und Exit-Fähigkeit. Wie bereits erläutert, ist die Bundesregierung sich der Gefahren durchaus bewusst: Das Bundesministerium des Innern (BMI) warnt ausdrücklich davor, dass der CLOUD Act US-Anbieter dazu verpflichtet, Daten herauszugeben, auch wenn diese außerhalb der USA gespeichert sind.

FISA Section 702 erlaubt die zielgerichtete Überwachung von Nicht-US-Personen außerhalb der USA nicht nur, sondern verpflichtet Kommunikationsdienstleister sogar ausdrücklich zur aktiven Mitwirkung. Microsoft Azure stellt hier natürlich keine Ausnahme dar. Um es ganz klar zu sagen: Der Text lässt absolut keinen Spielraum zu für Interpretationen nach dem Motto: “Nichts wird so heiß gegessen, wie es gekocht wird.” KI ist keineswegs ausgenommen von dieser Rechtsauffassung. 

Was bereits jetzt Realität ist: Lock-in und Resilienz

Drei Vorfälle zeigen bereits jetzt die Risiken der US-Abhängigkeit:

  1. CrowdStrike-Ausfall (Juli 2024): ein Update, weltweite Folgen
    Ein fehlerhaftes Update führte weltweit zu massiven Ausfällen; das BSI hat danach konkrete Folgemaßnahmen veröffentlicht und den Vorfall aufgearbeitet.
    In einer gemeinsamen BSI/Bitkom-Erhebung wurden 311 betroffene Unternehmen in Deutschland befragt.
    Reuters berichtete am Ausfalltag, dass zwei Krankenhäuser in Lübeck und Kiel geplante Operationen absagen mussten.

Handlungsfeld 1:
Unternehmen können offiziell volle „Compliance“ erreicht haben – und trotzdem operativ stillstehen, wenn ihr Betrieb an wenigen globalen Plattformen hängt.

  1. Exchange als Risikoanker (Oktober 2025): alte Systeme, große Angriffsfläche
    heise online zitiert BSI-Hinweis, wonach in Deutschland immer noch mehr als 30.000 Exchange-Server mit alten, nicht mehr gepflegten Versionen laufen.

Handlungsfeld 2:
Abhängigkeit ist oft unsichtbar, bis Support-Ende, Sicherheitslücke oder Updatezwang plötzlich eine Krise auslösen.

  1. Schleswig-Holstein: Exit ist möglich, aber teuer:
    Schleswig-Holstein meldete den vollständigen Umstieg des Mailsystems weg von Exchange/Outlook innerhalb von sechs Monaten – mit mehr als 40.000 Postfächern und über 100 Millionen E-Mails und Kalendereinträgen.

Handlungsfeld 3:
Exit ist kein Busines Case fürs PowerPoint-Archiv der IT-ABteilung, sondern ein unternehmensweites Strategieprojekt mit Verantwortlichkeiten, Prozessen, Trainings, Migration, Change – und Kosten.

Was Unternehmen spätestens jetzt tun sollten

Die 9-Punkte-Checkliste für echte Datenhoheit

  1. Daten klassifizieren, die wirklich kritisch sind (nicht nur „alles vertraulich“).
  2. Jurisdiktion prüfen: Konzernmutter, Betreiberstruktur, Admin-Zugriffe, Subprozessoren.
  3. Verschlüsselung mit kundenseitig kontrollierten Schlüsseln (und klaren Regeln, wer wann entschlüsselt).
  4. Admin-Zugriffe minimieren: keine Dauerzugänge, Freigaben nachvollziehbar, sauber protokolliert.
  5. Exit schriftlich planen: Datenexport, Abhängigkeiten, Migrationspfad, Verantwortlichkeiten.
  6. Offene Standards bevorzugen (Identität, Schnittstellen, Datenformate), wo es möglich ist.
  7. Resilienz testen: Was passiert, wenn ein zentraler Dienst ausfällt – heute, nicht erst im Ernstfall.
  8. Transparenz erzwingen: Audit-Reports, Logging, Subprozessorlisten, Change-Informationen.
  9. Für besonders sensible Workloads Alternativen ernsthaft bewerten: „made & hosted in Germany“ kann rechtlich und operativ Risiken reduzieren, wenn Anforderungen hoch sind. Aber: Echte Souveränität erfordert auch den rechtlichen Aspekt: Ist das Unternehmen inklusive seiner IT-Provider auch rechtlich sicher vor Datenabfluss?

Fazit: Die Fragen, die sich jede Behörde und jedes Unternehmen 2026 stellen müssen – und nicht allein an “die IT” delegieren können: 

- Wollen wir im Umgang mit KI “Compliance” als Label auf dem Papier oder auf der Website, um Checklisten abzuarbeiten und den vermeintlich einfachen, "alternativlosen" Weg zu gehen?   

- Oder wollen wir KI-Souveränität als echten Bestandteil in unserem Geschäftsmodell verankern, um unsere Daten tatsächlich auf allen Ebenen sicher zu machen (rechtlich, technisch, politisch)?

Um es ganz klar zu sagen: Die Anforderungen an echte “Datensouveränität” sind in den vergangenen Jahren deutlich gestiegen – weit über viele gängigen “Compliance”-Anforderungen hinaus. Mit dem Zukunftsthema KI spitzt sich die Debatte jetzt weiter zu: “OpenAI for Germany” zeigt einmal mehr: Erst, wenn der Tech Stack eines Unternehmens oder einer Behörde technisch und rechtlich so gebaut ist, dass diese nicht nur absolut sicher sind vor Fremdzugriff, sondern die Unternehmen im Ernstfall auch operativ handlungsfähig bleiben - erst dann ist „souverän“ mehr als nur ein Label.

Interessiert Sie die souveräne Cloud?

Unsere Experten erklären Ihnen gerne mehr.

Beratungstermin vereinbaren
Picture of Sebastian Deck

Sebastian Deck

Sebastian Deck ist Chief Marketing Officer (CMO) von SecureCloud und verantwortet Markenstrategie, Kommunikation und Marketing. Er verfügt über langjährige Erfahrung im Aufbau und in der Führung internationaler Marketingteams in Beratungs-, FinTech- und Technologieunternehmen. Bei SecureCloud verantwortet er die Markenpositionierung, Thought Leadership sowie die Lead-Generierung und steuert Go-to-Market-Initiativen und Kampagnen, um SecureCloud als führenden Anbieter für Cyber-Security und sichere Cloud-Lösungen zu positionieren.

Thema

Abonnieren Sie unseren Newsletter

Verwandte Artikel

Schlüsselzugriff...
Neuigkeiten & Trends

Schlüsselzugriff und Datensouveränität: Vorsicht bei Microsofts BitLocker

Microsoft bestätigt, dass Wiederherstellungsschlüssel von BitLocker an US-Behörden herausgegeben werden, wenn sie im...

Mehr lesen
WEF 2026: Schmidt...
Neuigkeiten & Trends

WEF 2026: Schmidt warnt Europa vor KI-Abhängigkeit

WEF 2026: Google-Legende Schmidt warntEuropa vor KI-Abhängigkeit Eric Schmidt warnt, dass Künstliche Intelligenz nicht nur ein...

Mehr lesen
Der Nächste bitte:...
Neuigkeiten & Trends

Der Nächste bitte: Auch AWS verspricht die „European Sovereign Cloud“

Warum auch AWS mit der „European Sovereign Cloud“ zu viel verspricht - und der US Cloud Act echte Datensouveränität für US-Anbieter...

Mehr lesen