Das EU Tech Sovereignty Package vom 3. Juni 2026 setzt digitale Eigenständigkeit als strategisches Ziel der EU. In seinem Gastkommentar warnt Prof. Dr. Kipker jedoch: Digitale Souveränität ist keine Autarkie. Europa braucht De-Risking statt Abschottung!
Europa ist digital vernetzt, aber noch abhängig von außereuropäischer Infrastruktur. Das EU Tech Sovereignty Package setzt De-Risking als strategisches Ziel.
(Bild: Dall-E / KI-generiert)
Mit der Veröffentlichung des EU Tech Sovereignty Package am 3. Juni 2026 hat die Europäische Union ihre digitalpolitische Grundausrichtung unmissverständlich bekräftigt: Mehr digitale Eigenständigkeit des Staatenverbunds ist kein Randthema mehr, sondern erklärtes strategisches Ziel. Die darin vorgeschlagenen Maßnahmen sind in ihrer Grundtendenz ausdrücklich zu begrüßen, denn die jahrelange, weitgehend unkritische Auslagerung zentraler IT-Funktionen hat Fragen der Cybersicherheit, des Datenschutzes und der eigenen Innovationsfähigkeit zu lange in den Hintergrund gedrängt – mit handfesten Risiken für Wirtschaft und nationale Sicherheit. Zugleich ist mehr Digitalsouveränität keine allein geopolitische Frage und schon gar kein Selbstzweck technologischer Entkopplung, die für sich genommen Europas IT-Infrastruktur nicht resilienter machen würde.
Genau diese politische Stoßrichtung markiert den Rahmen, der auch durch die jüngste Bitkom-Umfrage vom April 2026 mit einem klaren Signal aus der Industrie untermauert wird: 99 Prozent der Befragten halten es für wichtig, dass Deutschland bei digitalen Technologien unabhängiger wird und 79 Prozent fordern höhere Investitionen in digitale Schlüsseltechnologien. Diese Werte sind ein eindeutiger gesellschaftlicher und wirtschaftlicher Auftrag, künftig noch mehr zu leisten, um wirklich digital souveräner zu werden. Zugleich wirft die Studie einen realistischen Blick auf die Praxis und macht deutlich, dass ein vielfach diskutierter, vollständiger Wechsel zu ausschließlich europäischen Anbietern derzeit nicht realistisch ist. Vielmehr ist davon auszugehen, dass die digitale Gegenwart und Zukunft absehbar von einem pragmatischen Zusammenspiel unterschiedlicher digitaler Lösungen und Anbieter im Rahmen geeigneter strategischer Partnerschaften geprägt sein wird.
Die erste Konsequenz aus dieser Erkenntnis lautet: Digitale Souveränität entsteht nicht allein durch politische Deklaration, sondern durch nachhaltigen Kapazitätsaufbau, der sich nicht durchgängig in allen Bereichen innerhalb kürzester Zeit realisieren lässt. So verfügt Europa in digitalpolitisch zentralen Feldern wie fortgeschrittener Halbleiterfertigung, Foundation Models oder hochskalierender Cloud-Infrastruktur bislang noch nicht über jene Tiefe, die eine durchgängig autonome Wertschöpfungskette tragen würde. Diese Ausgangslage ist zwar nicht per se ein Makel, aber doch ein Ergebnis jahrzehntelanger Kompetenzaufgabe in digitalen Schlüsseltechnologien und bringt uns zur Erkenntnis, dass digitale Souveränität eben doch nicht mit digitaler Autarkie gleichzusetzen ist, wie es in der öffentlichen Diskussion in Teilen zurzeit der Fall zu sein scheint. Doch genau hierin liegt derzeit die Herausforderung: Es besteht die Gefahr, dass sich die europäische Diskussion zu einer vermeintlichen Entweder-oder-Entscheidung zwischen Autonomie und Wettbewerbsfähigkeit verengt. Dabei gibt es für politische Entscheidungsträger durchaus Wege, beides miteinander zu verbinden und strategisch zu stärken.
Will Europa diese Lage strukturell verändern, muss es an drei ineinandergreifenden Stellschrauben zugleich drehen – an der Finanzierung, an der Nachfrage und an der gemeinsamen technologischen Basis. Konkret bedeutet das, die Kapitalmarktunion endlich so zu vollenden, dass europäische Scale-ups Wachstumsrunden im dreistelligen Millionenbereich nicht mehr im außereuropäischen Ausland aufnehmen müssen, dass erfolgreiche IT-Unternehmen sich langfristig für den Standort Europa entscheiden sowie das öffentliche Vergaberecht über verbindliche Losgrößen, Referenzkundenklauseln und Interoperabilitätsanforderungen so umzubauen, dass auch alternative Anbieter realistische Skalierungschancen erhalten, und parallel dazu europäische Open-Source-Ökosysteme – von Datenbanken über KI-Frameworks bis zu Identitätsinfrastrukturen – über mehrjährige institutionelle Förderlinien statt projektförmiger Einmalzuschüsse abzusichern. Erst diese Verbindung aus wirtschaftlichem Kapital, Nachfrage und gemeinschaftlich getragener Code-Basis bildet das Fundament, auf dem ein europäisches Aufbauprojekt für mehr digitale Souveränität aufsetzen kann.
Risikoklassifizierung als Grundlage seriöser Souveränitätspolitik
Gleichzeitig gilt: Nicht jede Technologie ist im gleichen Maße souveränitätsrelevant – für den Aufbau einer nachhaltigen und zukunftsgerichteten europäischen Digitalstrategie eine weitere wegweisende Erkenntnis. Die entscheidende Linie hier verläuft zwischen weitestgehend austauschbaren Diensten und strategischen Assets. Bei Letzteren – kritischen Verwaltungsdaten, Gesundheitsregistern, Rüstungs- und Energieinfrastrukturen, sicherheitsrelevanten KI-Systemen – muss Kontrolle streng geregelt werden. Hier müssen die Schlüssel für Betrieb, Personal und rechtliche Verfassung in europäischer Hand bleiben. Eine seriöse Souveränitätspolitik beginnt folglich mit einer transparenten Risikoklassifizierung, um den Ansatz für ein „De-Risking“ zu liefern: Welche Systeme sind so kritisch, dass Abhängigkeiten ausgeschlossen werden müssen? Ohne diese Differenzierung verliert das allgemeine Streben nach Digitalsouveränität seine operative Schärfe: Es wird dann zugleich Überregulierung dort produziert, wo Marktoffenheit ökonomisch sinnvoll wäre, und Unterregulierung dort, wo die nationale Handlungsfähigkeit tatsächlich auf dem Spiel steht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein so verstandenes gezieltes De-Risking schafft schlussendlich auch neue vertretbare Pfade zum Aufbau europäischer Digitalsouveränität, indem es akzeptiert, dass sich technologiepolitische Entscheidungen, die über Jahrzehnte hinweg getroffen wurden, nicht innerhalb weniger Jahre oder gar Monate vollständig revidieren lassen. In der Praxis bedeutet dies, dass auch die Nutzung außereuropäischer Technologie unter klaren Bedingungen möglich sein sollte, die keine neuen Abhängigkeiten schaffen. Hierzu gehören technische Interoperabilität, vertragliche Exit-Fähigkeit, auditierbare Datenflüsse und belastbare juristische Strukturen. Anstelle einer strategischen Marktabschottung sollte ein kooperativer Weg dort gewählt werden, wo er verantwortlich ist. Internationale Technologiekooperation kann somit dort sinnvoll sein, wo sie in ein Konzept eigener Kapazitätsbildung eingebettet ist.
Digitale Souveränität braucht Strategie und Struktur
Das EU Tech Sovereignty Package setzt den neuen politischen Rahmen für eine Gesellschaft, die mehr digitale Souveränität will, praktisch aber vor realen Hürden steht – und verweist damit zu Recht auf einen bislang unterschätzten Punkt: Souveränität lässt sich nicht per Stichtag herstellen, sondern ist das Ergebnis hunderter paralleler Migrationsentscheidungen in Verwaltungen, Unternehmen und Haushalten, jede mit eigenen Kosten und Kompetenzanforderungen. Eine Politik, die diese Tiefendimension ignoriert und stattdessen auf schnelle Lokalisierungsverordnungen setzt, erzeugt Umstellungskosten zulasten von Mittelstand und öffentlicher Hand, ohne die strategische Position nachhaltig messbar zu verbessern.
Langfristig als Konzept für mehr Digitalsouveränität tragfähig ist deshalb allein ein gestufter Pfad aus verbindlichen Interoperabilitätsstandards, Exit-Pflichten in öffentlichen Verträgen, der Förderung offener Referenzarchitekturen und planbaren Migrationsfristen für kritische Systeme – flankiert vom strategisch differenzierten Aufbau europäischer Kapazitäten, der Kontrolle über strategische Assets und einer Kooperationspolitik, die diese Werte und Ziele angemessen berücksichtigt. Offenheit und Souveränität sind nämlich keine Gegensätze, sondern aufeinander bezogene Bestandteile einer Politik, die Wachstum, Sicherheit, Innovation und Wahlfreiheit gleichermaßen ernst nimmt.
Prof. Dr. Dennis-Kenji Kipker studierte Rechtswissenschaft und Informatik und forscht als wissenschaftlicher Direktor des Cyberintelligence Institute auch zu digitaler Resilienz im Kontext globaler Krisen mit einem Schwerpunkt auf chinesisches und US-amerikanisches IT-Recht. In dieser Funktion berät er die Bundesregierung, die Europäische Kommission und Unternehmen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/69/4269999773d4d413fa17a36ece8ae43a/0131174875v1.jpeg "Akamai erweitert seine API-Security-Plattform um ein Posture Center und Code-to-Runtime-Mapping für messbare API-Sicherheit und schnellere Fehlerbehebung. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/d0/b0/d0b09e5dd4b6d0fb8d85dbc901fd4d0a/0131666382v2.jpeg "CISA nimmt aktiv ausgenutzte Schwachstellen in Langflow und Apex One in den KEV-Katalog auf. Eine davon ermöglicht sogar die Schadcode-Ausführung ohne Anmeldung. (Bild: © Svitlana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cb/40/cb407c88e468ea328316eacf9989bf51/0131691124v1.jpeg "Check Point stellt einen Hotfix für zwei VPN-Schwachstellen bereit. Eine der Lücken wird bereits aktiv ausgenutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/aa/8d/aa8da96123055f62a20b360a8d395663/0131669958v1.jpeg "Unkontrollierte API-Schlüssel für KI-Agenten werden zur wachsenden Angriffsfläche. Mit dem EU AI Act wird der Kontrollverlust zum regulatorischen Risiko für Unternehmen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/7d/d37da587e71df94e386d637359e2dd20/0131661753v2.jpeg "Underminr leitet Verbindungen über fremde CDN-Mandanten und tarnt dabei C2-Verkehr hinter erlaubten Domains. Rund 88 Millionen Domains sind potenziell betroffen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/52/aa/52aa56cfa8429500aed9c345cb3b5b26/0131021993v1.jpeg "Ein Blick in das Lernlabor des Konsortiums des Fraunhofer IESE und der Hochschule Worms in Kaiserslautern.
(Bild: Fraunhofer IESE)")
:quality(80)/p7i.vogel.de/wcms/ef/96/ef968c088417e27d44ff79e11ce3b74c/0131016395v1.jpeg "Proxmox Backup Server ist eine Software zur Sicherung und Wiederherstellung von virtuellen Maschinen, Containern und physischen Hosts. (Bild: Proxmox)")
:quality(80)/p7i.vogel.de/wcms/b8/e8/b8e8b6218eb7be40fe2a3a80cb992a2d/0131667121v1.jpeg "Europäische digitale Souveränität bedeutet nicht Abschottung, sondern kontrollierte Öffnung. Wer die kryptografischen Schlüssel hält, behält die Datenkontrolle unabhängig vom Standort. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/83/8283d1d700e0582909b74705cc6c4e28/0131665494v2.jpeg "Die kritische Schwachstelle CVE-2026-20223 mit CVSS 10.0 erlaubt unauthentifizierten Angreifern Site-Admin-Rechte in Cisco Secure Workload zu erlangen. Patches sind verfügbar. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/77/0e7755d3244b65ac9dcf77251d1f5246/0131519002v1.jpeg "Die EU-Verordnung eIDAS 2.0 schafft zwar einen standartisierten Rahmen für digitale Identitäten, wird von Unternehmen aber als komplex und teuer empfunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/fc/3ffc7f41a0730a917c5742a7d3410fdd/0131689863v1.jpeg "Europa ist digital vernetzt, aber noch abhängig von außereuropäischer Infrastruktur. Das EU Tech Sovereignty Package setzt De-Risking als strategisches Ziel. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/04/8a/048a3e0e64cb8e042343910d93547645/0130028344v2.jpeg "Um digitaler Abhängigkeit entgegenzuwirken, braucht es Mut. Diesen wollen wir Ihnen mit der neuen Folge des Security-Insider-Podcasts machen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a0/0c/a00cfc44b98ea75d51b19d7d6bdc0b74/0128724883v2.jpeg "Europäische Alternativen zu Tech-Produkten aus den USA und China gibt es viele. Wir müssen sie nur nutzen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/22/d122b73b7f9be7a99616009871c601ad/0124369392v2.jpeg "Fehlende digitale Souveränität macht Europa anfällig für politische Erpressung, wirtschaftliche Abhängigkeiten und gefährdet die Datensicherheit. Wie jahrzehntelanges Outsourcing uns heute in eine digitale Krise geführt hat und wie IT-Experten dabei helfen können, das Ruder herumzureißen. (Bild: pkproject - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/5b/685b605b19695f0e98ccedd93d67e118/0112150345v3.jpeg "Wer immer mehr Verantwortung an Dritte abgibt, braucht sich über zunehmenden Kontrollverlust und schwindende Sicherheit nicht wundern. Diese Erkenntnis reift in unserem Gespräch mit Prof. Dr. Dennis-Kenji Kipker zu Folge 91 des Security-Insider Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9b/2e/9b2e2d5769af8afbad5b61c5baaa38c4/0118722007v2.jpeg "Für mehr digitale Souveränität braucht es den Willen, den Weg zu mehr Unabhängigkeit in Hardware und Software nicht nur zu propagieren, sondern ihn auch zu gehen. (Bild: Annika - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/73/d1730baea7a15f13c48bffbc142f62c9/0131648362v1.jpeg "Bayerns Digitalministerium will alternative Softwarelösungen testen, um die Verwaltung unabhängiger von einzelnen IT-Anbietern zu machen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/ef/92ef569987dd0e500ec28dea734ba749/0125417641v1.jpeg "Der TÜV-Verband sieht eine robuste digitale Infrastruktur in europäischer Hand nicht als Option, sondern als eine sicherheits- und wirtschaftspolitische Notwendigkeit. (Bild: TÜV e. V.)")
:quality(80)/p7i.vogel.de/wcms/6e/06/6e060c19cfaa23186a3be93b0b8a4740/0127681780v2.jpeg "Das Nationale Koordinierungszentraum für Cybersicherheit unterstützt Unternehmen und Organisationen dabei, europäische Fördermittel für ihre eigene Forschung und Entwicklung zu erhalten und somit zur Digitalen Souveränität beizutragen. (Bild: © Daniel - stock.adobe.com)")