digital independence
Fakten statt Hype.
Open Source ehrlich und unpolitisch bewertet.
EN DE FR

Glossar: Souveränität & Open Source

Glossar

Wichtige Begriffe verständlich erklärt. Begriffe mit gepunkteter Unterstreichung auf der Seite zeigen beim Überfahren mit der Maus einen Tooltip und verlinken hierher.

CLOUD Act

Der Clarifying Lawful Overseas Use of Data Act ist ein US-Bundesgesetz, das am 23. März 2018 als Teil des Consolidated Appropriations Act unterzeichnet wurde. Es ändert den Stored Communications Act (SCA) von 1986 und erlaubt US-Strafverfolgungsbehörden, US-Technologieunternehmen per Gerichtsbeschluss zur Herausgabe von Daten zu zwingen — unabhängig davon, wo die Daten gespeichert sind.

Das Gesetz schuf auch einen Rahmen für bilaterale Abkommen zwischen den USA und anderen Staaten. Das UK-US Bilateral Data Access Agreement war das erste solche Abkommen und trat im Oktober 2022 in Kraft. Die EU hat kein vergleichbares Abkommen geschlossen.

Anbieter können Anordnungen anfechten, die mit ausländischem Recht kollidieren, aber die Beweislast liegt beim Anbieter. Für europäische Organisationen erzeugt der CLOUD Act eine grundlegende Spannung mit den Anforderungen der DSGVO, da die Befolgung einer US-Anordnung europäisches Datenschutzrecht verletzen kann. Dies ist eines der Kernargumente für das Hosting von Daten bei europäischen Anbietern, die nicht der US-Jurisdiktion unterliegen.

Volltext: H.R.4943 — CLOUD Act

Siehe auch: DSGVO, EU-US Data Privacy Framework, Digitale Souveränität

Vendor Lock-in

Eine Situation, in der der Wechsel zu einem anderen Anbieter oder einer anderen Technologie schwierig und teuer wird — durch proprietäre Datenformate, APIs, Verträge oder angesammeltes Know-how, das an ein bestimmtes System gebunden ist. Lock-in kann technischer Natur sein (Daten lassen sich nicht exportieren), vertraglicher Natur (langfristige Bindung mit Strafzahlungen) oder praktischer Natur (Personal ist nur auf ein System geschult).

Im Cloud-Computing entsteht Lock-in oft durch proprietäre Dienste, die anderswo kein Äquivalent haben (z.B. AWS Lambda, Google BigQuery). Der Data Act (EU 2023/2854), der ab dem 12. September 2025 gilt, führt Pflichten für Cloud-Anbieter ein, den Wechsel zu erleichtern, und verbietet bestimmte vertragliche Barrieren.

Open Source-Software und offene Standards sind die wichtigsten Gegenmaßnahmen. Initiativen wie Gaia-X und SCS zielen darauf ab, Interoperabilitätsstandards zu definieren, die Lock-in auf Infrastrukturebene reduzieren.

Siehe auch: Open Source, API, Gaia-X

Open Source

Software, deren Quellcode öffentlich zugänglich ist und unter einer Lizenz genutzt, verändert und weiterverbreitet werden kann, die der Open Source Definition der Open Source Initiative (OSI) entspricht. Die Definition umfasst 10 Kriterien, darunter freie Weitergabe, Zugang zum Quellcode und Erlaubnis für abgeleitete Werke.

Gängige Lizenzen sind die MIT-Lizenz, Apache 2.0, GNU GPL und AGPL. Die Wahl der Lizenz beeinflusst maßgeblich die kommerzielle Nutzbarkeit. Copyleft-Lizenzen (GPL, AGPL) verlangen, dass abgeleitete Werke unter derselben Lizenz veröffentlicht werden; permissive Lizenzen (MIT, Apache) tun dies nicht.

Nicht zu verwechseln mit Open-Weight-Modellen (KI-Modelle, bei denen Gewichte veröffentlicht werden, aber Trainingsdaten möglicherweise nicht) oder „Source Available"-Software (Code ist einsehbar, aber die Lizenz schränkt Nutzung, Veränderung oder Weitergabe ein). Die Unterscheidung ist wichtig, weil Source-Available-Software nicht dieselben Freiheiten und denselben Schutz vor Vendor Lock-in bietet.

Siehe auch: Open-Weight-Modelle, Vendor Lock-in, Fork

Open-Weight-Modelle

KI-Modelle, deren trainierte Gewichte öffentlich verfügbar sind — andere können sie ausführen, feintunen und deployen. Im Unterschied zu vollständigem Open Source werden Trainingsdaten, Trainingscode und Datenverarbeitungspipelines typischerweise nicht veröffentlicht.

Bekannte Beispiele sind Metas LLaMA-Familie, Mistrals Modelle und Alibabas Qwen. Die Lizenzierung variiert erheblich: Metas LLaMA-Lizenz erlaubt kommerzielle Nutzung, schränkt sie aber für Anwendungen mit mehr als 700 Millionen monatlichen Nutzern ein. Mistral veröffentlicht einige Modelle unter Apache 2.0, andere unter eigenen Lizenzen.

Der EU AI Act behandelt Open-Weight-Foundation-Modelle in einigen Aspekten anders als proprietäre und erkennt an, dass Offenheit Forschung und Wettbewerb fördert. Anbieter von Open-Weight-Modellen mit „systemischem Risiko" unterliegen dennoch Compliance-Pflichten. Die Debatte, ob Open-Weight wirklich als „Open Source" gelten kann, führte dazu, dass die OSI im Oktober 2024 die Open Source AI Definition veröffentlichte.

Siehe auch: Open Source, LLM, Foundation Model, EU AI Act

Groupware

Software für die kollaborative Arbeit in Organisationen — umfasst typischerweise gemeinsame Kalender, Kontakte, E-Mail, Aufgabenverwaltung und manchmal Dokumentenbearbeitung und Projektmanagement. Der Begriff wurde 1978 von Peter und Trudy Johnson-Lenz geprägt und erreichte mit Lotus Notes (1989) breitere Bekanntheit. Er bleibt relevant, da Organisationen Alternativen zu den dominierenden Cloud-Suites evaluieren.

Die großen proprietären Groupware-Plattformen sind Microsoft 365 (Exchange, Outlook, Teams) und Google Workspace (Gmail, Calendar, Drive). Europäische Open-Source-Alternativen umfassen EGroupware, Nextcloud (mit Groupware-Add-ons), Open-Xchange und Zimbra (Hinweis: Zimbra hat viermal den Eigentümer gewechselt — Yahoo, VMware, Telligent Systems, Synacor — was Fragen zur langfristigen Governance-Stabilität aufwirft; seit Zimbra 9 werden keine offiziellen Open-Source-Binaries mehr bereitgestellt).

Die Wahl der Groupware ist eine der wirkungsvollsten Entscheidungen für die digitale Souveränität, da sie bestimmt, wo E-Mail-, Kalender- und Kontaktdaten gespeichert und verarbeitet werden. Integration mit Single Sign-On und einem Identity Provider ist für größere Organisationen ein wichtiger Aspekt.

Siehe auch: SSO, Identity Provider, Digitale Souveränität, Vendor Lock-in

Single Sign-On (SSO)

Eine Authentifizierungsmethode, bei der Nutzer sich einmal anmelden und dann auf mehrere Anwendungen zugreifen können, ohne sich erneut anzumelden. SSO reduziert Passwort-Müdigkeit, senkt Helpdesk-Kosten und zentralisiert die Zugriffskontrolle — was die Durchsetzung von Sicherheitsrichtlinien und den Entzug von Zugängen erleichtert.

Die gängigsten Protokolle sind SAML 2.0 (2005, XML-basiert, weit verbreitet in Unternehmen), OpenID Connect (2014, auf OAuth 2.0 aufgebaut, JSON-basiert, dominant in modernen Web-Anwendungen) und OAuth 2.0 (streng genommen ein Autorisierungsframework, aber oft in Kombination mit OIDC zur Authentifizierung genutzt).

SSO erfordert einen Identity Provider (IdP) als zentrale Authentifizierungsinstanz. Der Sicherheitsvorteil ist erheblich: Statt N Passwörter für N Anwendungen haben Nutzer eine einzige starke Authentifizierung — idealerweise kombiniert mit FIDO2-Hardware-Schlüsseln oder Passkeys.

Siehe auch: Identity Provider, FIDO2

Identity Provider (IdP)

Ein Dienst, der Nutzer authentifiziert und Sicherheitstoken oder Assertions ausstellt, denen andere Anwendungen (sog. „Relying Parties" oder „Service Provider") vertrauen. Der IdP ist die einzige Quelle der Wahrheit für die Nutzeridentität innerhalb einer Organisation oder eines Ökosystems.

Beispiele: Keycloak (Open Source, CNCF-Incubating-Projekt), Authentik (Open Source), Microsoft Entra ID (ehemals Azure AD), Okta und Google Identity. Wenn Sie „Anmelden mit Google" nutzen, agiert Google als Ihr IdP.

Für die digitale Souveränität ist die Wahl des IdP entscheidend — er kontrolliert, wer auf was zugreifen kann. Selbst gehostete Lösungen wie Keycloak bieten volle Kontrolle über Authentifizierungsdaten und -richtlinien. Keycloak unterstützt SAML 2.0, OpenID Connect, OAuth 2.0 und LDAP/Active-Directory-Integration und ist daher eine gängige Wahl für Organisationen, die von Cloud-basierten Identitätsdiensten migrieren.

Siehe auch: SSO, FIDO2, eIDAS, CNCF

eIDAS

Die Electronic Identification, Authentication and Trust Services-Verordnung (EU 910/2014) schuf einen Rahmen für grenzüberschreitende elektronische Identifizierung und Vertrauensdienste (digitale Signaturen, Siegel, Zeitstempel) in der EU. Sie trat am 17. September 2014 in Kraft.

eIDAS 2.0 (EU 2024/1183), verabschiedet am 11. April 2024, erweitert die ursprüngliche Verordnung erheblich. Kernstück ist die European Digital Identity Wallet (EUDIW), die jeder EU-Mitgliedstaat seinen Bürgern bis 2026 anbieten muss. Die Wallet ermöglicht es Bürgern, Identitätsnachweise, Führerscheine, Diplome und andere verifizierbare Attribute digital zu speichern und vorzuzeigen — online und offline.

Die Verordnung verpflichtet sehr große Online-Plattformen (gemäß Digital Services Act), die EUDIW zur Nutzerauthentifizierung zu akzeptieren. Dies schafft eine interoperable, staatlich gestützte Alternative zu privaten Identity Providern wie „Anmelden mit Google/Apple/Facebook". Die technische Architektur basiert auf dem Architecture and Reference Framework (ARF) der Europäischen Kommission.

Siehe auch: Identity Provider, FIDO2, Digitale Souveränität

FIDO2 / WebAuthn

Ein offener Authentifizierungsstandard, entwickelt von der FIDO Alliance und dem W3C, der Passwörter durch Public-Key-Kryptographie ersetzt. FIDO2 besteht aus zwei Komponenten: WebAuthn (die Browser/Server-API, ein W3C-Standard) und CTAP2 (das Protokoll zwischen Browser und Authenticator-Gerät).

Die Authentifizierung ist an ein physisches Gerät gebunden — entweder einen Hardware-Sicherheitsschlüssel (z.B. YubiKey, SoloKeys) oder einen Plattform-Authenticator (Fingerabdrucksensor, Face ID). Der private Schlüssel verlässt niemals das Gerät, was Phishing praktisch unmöglich macht. Alle großen Browser und Betriebssysteme unterstützen FIDO2 seit 2019.

Passkeys (eingeführt 2022–2023 von Apple, Google und Microsoft) sind eine nutzerfreundliche Implementierung von FIDO2, die Anmeldedaten über Cloud-Konten geräteübergreifend synchronisiert. Passkeys verbessern die Benutzerfreundlichkeit, aber die Abhängigkeit von Cloud-Synchronisation bedeutet, dass sie möglicherweise nicht dieselben Souveränitätsanforderungen erfüllen wie hardwaregebundene FIDO2-Schlüssel. Für hochsichere Anwendungsfälle bleiben Hardware-Schlüssel die empfohlene Lösung.

Siehe auch: SSO, Identity Provider, eIDAS

DSGVO

Die Datenschutz-Grundverordnung (EU 2016/679) regelt, wie personenbezogene Daten von EU/EWR-Bürgern erhoben, gespeichert und verarbeitet werden dürfen. Sie wurde am 27. April 2016 verabschiedet und ist seit dem 25. Mai 2018 anwendbar. Sie gilt für jede Organisation, die Daten von EU-Bürgern verarbeitet, unabhängig vom Sitz der Organisation.

Zentrale Prinzipien sind Datenminimierung, Zweckbindung, Speicherbegrenzung und Rechenschaftspflicht. Betroffene haben Rechte auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden"), Datenübertragbarkeit und Widerspruch gegen die Verarbeitung. Internationale Datenübertragungen erfordern spezifische Rechtsgrundlagen (Angemessenheitsbeschlüsse, Standardvertragsklauseln oder verbindliche Unternehmensregeln).

Die Durchsetzung erfolgt durch nationale Datenschutzbehörden. Bemerkenswerte Bußgelder: Meta (1,2 Mrd. €, 2023, für US-Datentransfers), Amazon (746 Mio. €, 2021) und WhatsApp (225 Mio. €, 2021). International als GDPR bekannt, auf Französisch RGPD. Die DSGVO hat weltweit ähnliche Gesetzgebungen inspiriert, darunter Brasiliens LGPD, Kaliforniens CCPA/CPRA und Indiens DPDP Act.

Die Spannung zwischen DSGVO-Anforderungen und US-Überwachungsrecht (einschließlich des CLOUD Act) ist ein zentraler Treiber der europäischen Bewegung für digitale Souveränität.

Siehe auch: CLOUD Act, EU-US Data Privacy Framework, Digitale Souveränität

API

Eine Application Programming Interface (Programmierschnittstelle) definiert, wie Softwaresysteme miteinander kommunizieren. APIs legen fest, welche Daten angefragt werden können, welche Operationen möglich sind und in welchem Format der Austausch stattfindet. Im Kontext von Webdiensten sind damit typischerweise REST-APIs (HTTP/JSON) oder GraphQL gemeint.

Offene, gut dokumentierte APIs ermöglichen Interoperabilität — die Fähigkeit verschiedener Systeme, zusammenzuarbeiten. Proprietäre oder undokumentierte APIs erzeugen Vendor Lock-in, da ein Anbieterwechsel das Umschreiben aller Integrationen erfordert. Der EU-Data Act (2023) und die eIDAS 2.0-Verordnung schreiben offene APIs für bestimmte Anwendungsfälle vor.

Standardisierungsgremien wie die OpenAPI Initiative (Teil der Linux Foundation) stellen Spezifikationen für die maschinenlesbare Beschreibung von REST-APIs bereit und ermöglichen automatisierte Dokumentation, Code-Generierung und Tests.

Siehe auch: Vendor Lock-in, Open Source

Sovereign Cloud Stack (SCS)

Ein Open-Source-Cloud-Infrastruktur-Stack, der Standards für Compute, Storage, Netzwerk und Identitätsmanagement definiert. Das Projekt wurde 2021 initiiert und erhielt bis Ende 2024 Förderung durch das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) über das Gaia-X-Förderprogramm.

SCS basiert auf etablierten Open-Source-Komponenten: OpenStack für IaaS (Infrastructure as a Service), Kubernetes für Container-Orchestrierung und Keycloak für Identitäts- und Zugriffsmanagement. Das Projekt definiert Interoperabilitätsstandards und Zertifizierungskriterien, damit Workloads ohne Anpassung zwischen SCS-kompatiblen Clouds verschoben werden können.

Cloud-Anbieter, die SCS nutzen, sind u.a. plusserver, REGIO.cloud und Wavecon (gelistet auf der SCS-Website). Nach dem Ende der Bundesförderung ging das Projekt in Community-Governance unter der Open Source Business Alliance (OSBA) über.

Siehe auch: Gaia-X, Digitale Souveränität, Hyperscaler, Open Source

Gaia-X

Eine europäische Initiative, 2019 von Frankreich und Deutschland gestartet, um Standards und Regeln für eine föderierte, transparente Dateninfrastruktur zu definieren. Gaia-X ist kein Cloud-Anbieter, sondern ein Rahmenwerk für Interoperabilität, Portabilität und Souveränitätsanforderungen, gegen die sich Cloud-Dienste zertifizieren lassen können.

Die Gaia-X Association AISBL (Sitz in Brüssel) entwickelt das Gaia-X Trust Framework — ein Regelwerk und technische Spezifikationen, die beschreiben, was einen Dienst „Gaia-X-konform" macht. Dazu gehören Anforderungen an Datenschutz, Transparenz und die Möglichkeit zum Anbieterwechsel.

Die Initiative wurde für langsamen Fortschritt und die Beteiligung von Hyperscalern (AWS, Microsoft, Google wurden Mitglieder) kritisiert, was Zweifel weckte, ob Gaia-X die Abhängigkeit von diesen Anbietern tatsächlich reduzieren kann. Befürworter argumentieren, dass gemeinsame Standards dem Ökosystem unabhängig von den Teilnehmern nutzen. Der Sovereign Cloud Stack ist eine der konkreten technischen Umsetzungen im Einklang mit Gaia-X-Prinzipien.

Siehe auch: Sovereign Cloud Stack, Digitale Souveränität, Hyperscaler

Hyperscaler

Cloud-Anbieter, die in globalem Maßstab mit Rechenzentren in vielen Regionen operieren. Der Begriff bezieht sich typischerweise auf die drei dominierenden Anbieter: AWS (Amazon Web Services, gestartet 2006), Azure (Microsoft, gestartet 2010) und GCP (Google Cloud Platform, gestartet 2008). Zusammen halten sie etwa 65–70 % des globalen Cloud-Infrastrukturmarkts.

Ihre Skalierung ermöglicht niedrige Preise, ein umfangreiches Angebot an Managed Services und eine globale Präsenz, die kleinere Anbieter nur schwer erreichen können. Allerdings wirft diese Dominanz Bedenken hinsichtlich Vendor Lock-in, Datensouveränität (alle drei sind US-Unternehmen und unterliegen dem CLOUD Act) und Marktkonzentration auf.

Europäische Alternativen umfassen OVHcloud (Frankreich), Hetzner (Deutschland), IONOS (Deutschland), Scaleway (Frankreich) und Anbieter, die unter dem Sovereign Cloud Stack zertifiziert sind. Der Kompromiss besteht typischerweise in weniger Managed Services und geringerer globaler Reichweite im Austausch für europäische Jurisdiktion und größere Datensouveränität.

Siehe auch: CLOUD Act, Vendor Lock-in, Sovereign Cloud Stack, Bare Metal

Bare Metal

Ein dedizierter physischer Server, der nicht mit anderen Kunden geteilt wird (im Gegensatz zu virtuellen Maschinen oder Containern in der Cloud). Der Begriff „Bare Metal" bedeutet, dass der Kunde direkten Zugriff auf die Hardware ohne Hypervisor-Schicht hat.

Bare-Metal-Server bieten volle Hardware-Kontrolle, vorhersehbare Performance (kein „Noisy-Neighbor"-Problem) und die Möglichkeit, jedes Betriebssystem oder jeden Hypervisor zu betreiben. Sie werden häufig für Datenbankserver, Hochleistungsrechnen, CI/CD-Build-Infrastruktur und Workloads mit strengen Compliance-Anforderungen eingesetzt.

Europäische Anbieter wie Hetzner (Deutschland) und OVHcloud (Frankreich) bieten Bare-Metal-Server zu wettbewerbsfähigen Preisen — oft deutlich günstiger als vergleichbare Hyperscaler-Instanzen. Für Organisationen, die digitale Souveränität anstreben, bieten Bare-Metal-Server in europäischen Rechenzentren das höchste Maß an Infrastrukturkontrolle.

Siehe auch: Hyperscaler, Digitale Souveränität

Ende-zu-Ende-Verschlüsselung (E2EE)

Eine Kommunikationsmethode, bei der Nachrichten auf dem Gerät des Absenders verschlüsselt und nur auf dem Gerät des Empfängers entschlüsselt werden können. Kein Vermittler — weder der Dienstanbieter, noch der Netzbetreiber, noch eine Regierung — kann den Inhalt lesen, auch nicht bei gerichtlicher Anordnung oder nach einem Angriff.

E2EE basiert auf Public-Key-Kryptographie. Gängige Protokolle sind das Signal-Protokoll (genutzt von Signal, WhatsApp und Google Messages), das Matrix-Protokoll Megolm/Vodozemac (genutzt von Element) und der MLS-Standard (Messaging Layer Security) (IETF RFC 9420, veröffentlicht 2023), der für Großgruppen-Messaging konzipiert ist.

E2EE ist eine Schlüsseltechnologie für die digitale Souveränität, da sie Datenvertraulichkeit unabhängig vom Speicherort oder Serverbetreiber gewährleistet. E2EE ist jedoch Gegenstand anhaltender politischer Debatte. Einige Regierungen argumentieren, sie behindere die Strafverfolgung; die vorgeschlagene „Chatkontrolle"-Verordnung der EU ist in dieser Hinsicht umstritten. Die aktuelle Rechtslage unter der DSGVO betrachtet E2EE als starke technische Schutzmaßnahme für den Schutz personenbezogener Daten.

Siehe auch: Digitale Souveränität, DSGVO

Fork

Wenn der Quellcode eines Softwareprojekts kopiert und unabhängig vom Original weiterentwickelt wird. Forking ist ein grundlegendes Recht, das Open-Source-Lizenzen gewähren — es stellt sicher, dass keine einzelne Instanz eine Community durch Richtungs- oder Lizenzänderungen in Geiselhaft nehmen kann.

Bekannte Forks: LibreOffice aus OpenOffice.org (2010, nach Oracles Übernahme von Sun Microsystems), Nextcloud aus ownCloud (2016, wegen Meinungsverschiedenheiten über das Open-Source-Engagement), MariaDB aus MySQL (2009, während Oracles laufender Übernahme von Sun Microsystems) und Valkey aus Redis (2024, nachdem Redis Labs die Lizenz auf Nicht-Open-Source geändert hatte).

Forks entstehen oft, wenn das Originalprojekt seine Lizenz in eine restriktivere ändert oder wenn die Community das Vertrauen in die Projektsteuerung verliert. Die Möglichkeit zu forken gilt als entscheidende Absicherung gegen Vendor Lock-in in Open-Source-Ökosystemen — selbst wenn ein Fork nie stattfindet, schränkt seine Möglichkeit das Verhalten des ursprünglichen Maintainers ein.

Siehe auch: Open Source, Vendor Lock-in

CNCF

Die Cloud Native Computing Foundation (cncf.io) ist eine herstellerneutrale Stiftung, Teil der Linux Foundation, die Open-Source-Projekte für Cloud-native Computing hostet. Gegründet 2015 zusammen mit der Spende von Kubernetes durch Google.

CNCF-Projekte durchlaufen drei Reifestufen: Sandbox (Frühphase), Incubating (wachsende Adoption) und Graduated (nachgewiesener Produktiveinsatz). Graduated-Projekte umfassen Kubernetes, Prometheus, Envoy, Helm und Argo. Keycloak (relevant für Identitätsmanagement) ist ein CNCF-Incubating-Projekt.

Die CNCF Landscape bietet einen Überblick über das Cloud-native-Ökosystem mit über 1.000 Projekten und Produkten. Für Organisationen, die souveräne Infrastruktur aufbauen, bilden CNCF-Projekte den Kern des Sovereign Cloud Stack und vieler europäischer Cloud-Angebote.

Siehe auch: Sovereign Cloud Stack, Open Source, Identity Provider

EU AI Act

Der Artificial Intelligence Act (EU 2024/1689) ist die weltweit erste umfassende KI-Regulierung. Von der Europäischen Kommission im April 2021 vorgeschlagen, wurde er am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft. Die Umsetzung erfolgt stufenweise: Verbote gelten ab Februar 2025, Pflichten für Allzweck-KI ab August 2025, die vollständige Verordnung ab August 2027.

Das Gesetz klassifiziert KI-Systeme in vier Risikokategorien: inakzeptables Risiko (verboten — z.B. Social Scoring, biometrische Echtzeit-Identifizierung im öffentlichen Raum mit Ausnahmen), hohes Risiko (reguliert — z.B. KI bei Einstellung, Kreditbewertung, Strafverfolgung), begrenztes Risiko (Transparenzpflichten — z.B. Chatbots müssen offenlegen, dass sie KI sind) und minimales Risiko (keine Anforderungen).

Für Foundation-Modelle und Allzweck-KI (GPAI) führt das Gesetz einen abgestuften Ansatz ein. Alle GPAI-Anbieter müssen technische Dokumentation bereitstellen und Urheberrecht einhalten. GPAI-Modelle mit „systemischem Risiko" (derzeit definiert als Modelle, die mit mehr als 10²⁵ FLOPs trainiert wurden) unterliegen zusätzlichen Anforderungen wie Adversarial Testing und Vorfallmeldung. Open-Weight-Modelle erhalten einige Ausnahmen, allerdings nicht für Modelle mit systemischem Risiko.

Siehe auch: Foundation Model, Open-Weight-Modelle, LLM

Digitale Souveränität

Die Fähigkeit einer Organisation, Regierung oder Einzelperson, die Kontrolle über die eigene digitale Infrastruktur, Daten und Prozesse zu behalten — ohne unangemessene Abhängigkeit von einem einzelnen externen Anbieter, einer Rechtsordnung oder einem Technologie-Stack.

Das Konzept gewann in Europa politische Bedeutung nach den Snowden-Enthüllungen (2013), der Aufhebung des EU-US-Safe-Harbor-Abkommens durch den EuGH (Schrems I, 2015) und der anschließenden Aufhebung des Privacy Shield (Schrems II, 2020). Seitdem ist es ein zentrales Thema der EU-Digitalpolitik, das sich in Gesetzen wie der DSGVO, dem Data Act, dem EU AI Act und Initiativen wie Gaia-X widerspiegelt.

Digitale Souveränität bedeutet nicht Autarkie oder Ablehnung jeglicher ausländischer Technologie. Vielmehr geht es darum, sicherzustellen, dass echte Alternativen existieren, Daten migriert werden können und Abhängigkeiten bewusste Entscheidungen sind statt unvermeidliche Zwänge. Zentrale Bausteine sind Open-Source-Software, offene Standards, europäische Hosting-Anbieter und selbst gehostetes Identitätsmanagement.

Siehe auch: DSGVO, CLOUD Act, Gaia-X, Sovereign Cloud Stack, Vendor Lock-in

LLM (Large Language Model)

Eine Art KI-Modell, das auf großen Mengen Textdaten trainiert wurde und Text generieren, zusammenfassen, übersetzen und analysieren kann. LLMs sind eine Untergruppe von Foundation-Modellen — speziell die sprachfokussierten. Sie basieren auf der Transformer-Architektur, eingeführt im Paper „Attention Is All You Need" (Google, 2017).

Wichtige LLMs: GPT-4 (OpenAI, Closed Source, nur Cloud), Claude (Anthropic, Closed Source, nur Cloud), Gemini (Google, Closed Source), Mistral und Mixtral (Mistral AI, einige Modelle Open-Weight), LLaMA (Meta, Open-Weight), Qwen (Alibaba, Open-Weight) und DeepSeek (DeepSeek, Open-Weight, MIT-Lizenz seit R1/Januar 2025; frühere Modelle verwendeten eine eigene permissive Lizenz).

Für die digitale Souveränität ist die zentrale Frage, ob LLMs selbst gehostet werden können. Open-Weight-Modelle wie LLaMA und Mistral können auf eigener Infrastruktur betrieben werden, wodurch die Daten in der Organisation bleiben. Cloud-only-Modelle erfordern das Senden aller Eingabedaten an die Server des Anbieters, was mit DSGVO-Anforderungen oder Vertraulichkeitsbedürfnissen kollidieren kann. Die Rechenanforderungen für den lokalen Betrieb größerer Modelle sind erheblich, aber rückläufig — quantisierte Modelle laufen auf Consumer-GPUs.

Siehe auch: Foundation Model, Open-Weight-Modelle, EU AI Act, Digitale Souveränität

EU-US Data Privacy Framework

Ein Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023, der eine Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU an US-Unternehmen bietet, die sich unter dem Framework selbst zertifiziert haben. Verwaltet wird er von der International Trade Administration (ITA) im US-Handelsministerium. Die Liste zertifizierter Unternehmen ist unter dataprivacyframework.gov verfügbar.

Das Framework ist der dritte Versuch, eine Rechtsgrundlage für EU-US-Datentransfers zu schaffen, nach Safe Harbor (2000–2015, aufgehoben in Schrems I) und Privacy Shield (2016–2020, aufgehoben in Schrems II). Beide Vorgänger wurden vom EuGH aufgehoben, weil das US-Überwachungsrecht keinen angemessenen Schutz für die Daten von EU-Bürgern bot.

Das aktuelle Framework stützt sich auf Executive Order 14086, unterzeichnet von Präsident Biden im Oktober 2022, die Verhältnismäßigkeitsanforderungen für die US-Signalaufklärung und ein Data Protection Review Court (DPRC) für EU-Bürger zur Anfechtung von Überwachungsmaßnahmen einführte. Kritiker, darunter Datenschutzaktivist Max Schrems (noyb), haben lange gewarnt, dass eine Executive Order von einem künftigen Präsidenten widerrufen werden kann und das DPRC keine echte richterliche Unabhängigkeit besitzt. EO 14086 selbst wurde nicht widerrufen, als die Trump-Administration im Januar 2025 zahlreiche andere Biden-Executive-Orders aufhob. Allerdings entließ die Administration die demokratischen Mitglieder des PCLOB (Privacy and Civil Liberties Oversight Board), wodurch das Gremium ohne Quorum nicht mehr seine gesetzliche Aufsicht über die EO-14086-Schutzmaßnahmen ausüben kann. Europäische Datenschutzbehörden haben Unternehmen geraten, alternative Übertragungsmechanismen vorzubereiten. Eine rechtliche Anfechtung (Schrems III) wird allgemein erwartet. Die langfristige Stabilität dieses Frameworks steht ernsthaft in Frage.

Siehe auch: DSGVO, CLOUD Act, Digitale Souveränität

Foundation Model

Ein großes KI-Modell, das auf breiten Daten trainiert wurde und durch Feintuning oder Prompting für viele nachgelagerte Aufgaben angepasst werden kann. Der Begriff wurde vom Stanford Institute for Human-Centered Artificial Intelligence (HAI) in einem Paper von 2021 geprägt. Er umfasst Large Language Models (LLMs), aber auch Bildgeneratoren (Stable Diffusion, DALL-E), Audio-Modelle (Whisper), Video-Modelle (Sora) und multimodale Modelle (GPT-4o, Gemini).

Das Training eines Foundation-Modells von Grund auf erfordert enorme Rechenressourcen — Schätzungen für GPT-4-Klasse-Modelle liegen bei 50–100 Mio. $ allein an Rechenkosten. Dies führt zu einer Konzentration der Fähigkeiten bei wenigen gut finanzierten Organisationen: OpenAI, Google DeepMind, Anthropic, Meta und Mistral AI in Europa. Die Open-Weight-Bewegung (Metas LLaMA, Mistrals Modelle) wirkt dieser Konzentration teilweise entgegen, indem sie anderen erlaubt, Modelle zu nutzen und anzupassen, ohne die Trainingskosten zu wiederholen.

Der EU AI Act reguliert Foundation-Modelle unter der Kategorie „Allzweck-KI", mit zusätzlichen Anforderungen für Modelle, die als „systemisches Risiko" eingestuft werden. Die Auswirkungen des Gesetzes auf die europäische KI-Entwicklung und die Verfügbarkeit von Open-Weight-Modellen sind ein aktives Feld der politischen Debatte.

Siehe auch: LLM, Open-Weight-Modelle, EU AI Act

openDesk

Eine Initiative für den souveränen Arbeitsplatz, finanziert von der Bundesregierung über das Zentrum für Digitale Souveränität (ZenDiS), eine Tochtergesellschaft des Bundesministeriums des Innern. openDesk integriert mehrere unabhängige Open-Source-Projekte — darunter Nextcloud (Dateisynchronisation), Open-Xchange (E-Mail/Kalender), Collabora Online (Dokumentenbearbeitung), Jitsi (Videokonferenzen), Element (Matrix-basiertes Messaging) und weitere — zu einem einheitlichen digitalen Arbeitsplatz für den deutschen öffentlichen Sektor.

openDesk 1.0 wurde 2024 veröffentlicht. Das Ziel ist es, eine Microsoft 365-äquivalente Arbeitsplatz-Suite unter vollständiger europäischer Kontrolle bereitzustellen. Der Ansatz wirft reale Fragen auf: Die Integration unabhängig entwickelter Projekte zu einer kohärenten Benutzererfahrung ist technisch anspruchsvoll, und die Verteilung von Support-Verantwortlichkeiten über mehrere Upstream-Projekte kann komplex sein. Gleichzeitig stellt die Initiative eines der größten staatlichen Bekenntnisse zu Open-Source-Arbeitsplatzinfrastruktur in Europa dar.

Siehe auch: Open Source, Digitale Souveränität, LibreOffice, Collabora Online, Open-Xchange

Open-Xchange (OX)

Ein deutsches Open-Source-Softwareunternehmen, 2005 gegründet, mit Sitz in Nürnberg. Open-Xchange entwickelt eine Plattform für E-Mail, Kalender, Kontakte und Cloud-Speicher (OX App Suite), die von zahlreichen europäischen Internetdienstanbietern und Hosting-Unternehmen genutzt wird — darunter 1&1, Rackspace und Comcast. OX betreibt das Backend für zig Millionen Postfächer weltweit, obwohl die meisten Endnutzer die Marke Open-Xchange nie sehen.

Im Bereich der europäischen souveränen Arbeitsplätze liefert Open-Xchange die E-Mail- und Kalenderkomponente für openDesk. Schleswig-Holstein hat die Migration zu Open-Xchange für alle 30.000 Arbeitsplätze der Landesverwaltung im Oktober 2025 abgeschlossen.

Open-Xchange konkurriert mit anderen Open-Source-Groupware-Lösungen wie EGroupware und Nextclouds Groupware-Erweiterungen sowie mit proprietären Plattformen wie Microsoft Exchange und Google Workspace.

Siehe auch: Groupware, openDesk, Self-Hosting, Digitale Souveränität

Self-Hosting

Software auf eigenen Servern betreiben (on-premises oder in einem gemieteten Rechenzentrum) statt einen Cloud-gehosteten Dienst eines Drittanbieters zu nutzen. Self-Hosting gibt einer Organisation volle Kontrolle über ihre Daten, Konfiguration und Update-Zeitpläne — erfordert aber internes Know-how für Installation, Wartung, Sicherheitsupdates, Backups und Monitoring.

Gängige selbst gehostete Alternativen zu Cloud-Diensten sind: Nextcloud (Dateisynchronisation, ersetzt Dropbox/OneDrive), Matrix/Element (Messaging, ersetzt Slack/Teams), Mattermost (Messaging — Hinweis: mit v11 im Oktober 2025 hat Mattermost die MIT-lizenzierte Team Edition als Standard-Free-Tier durch ein proprietäres „Mattermost Entry" unter kommerzieller Lizenz mit Nutzungslimits ersetzt; der AGPLv3-Quellcode bleibt für Eigenkompilierung verfügbar), Keycloak (Identität, ersetzt „Anmelden mit Google") und Mailserver (ersetzen Gmail/Outlook). Die Betriebskosten von Self-Hosting werden oft unterschätzt — siehe Total Cost of Ownership.

Self-Hosting ist ein Spektrum: vom Betrieb von Software auf einem Server im eigenen Büro über dedizierte (Bare Metal)-Server in einem europäischen Rechenzentrum bis zum Deployment von Containern auf einem verwalteten Kubernetes-Cluster. Jede Stufe bietet unterschiedliche Kompromisse zwischen Kontrolle und operativem Aufwand.

Siehe auch: Total Cost of Ownership, Digitale Souveränität, Bare Metal

Zustellbarkeit (Deliverability)

Im E-Mail-Bereich bezeichnet Zustellbarkeit, ob eine von Ihrem Server gesendete E-Mail tatsächlich im Posteingang des Empfängers ankommt — im Gegensatz zu stillem Verwerfen, Zurückweisen oder Einsortieren in den Spam-Ordner. Dies ist einer der schwierigsten Aspekte beim Self-Hosting eines Mailservers.

Die Zustellbarkeit hängt von mehreren technischen Faktoren ab: SPF (Sender Policy Framework — welche Server für Ihre Domain senden dürfen), DKIM (DomainKeys Identified Mail — kryptographische Signatur als Nachweis, dass die E-Mail nicht manipuliert wurde), DMARC (Domain-based Message Authentication, Reporting & Conformance — Richtlinie für den Umgang mit Authentifizierungsfehlern) und IP-Reputation (ob die sendende IP-Adresse eine Spam-Historie hat).

Große Anbieter wie Google und Microsoft setzen aggressive Filterung ein. Ein neuer oder wenig genutzter Mailserver hat standardmäßig oft eine schlechte IP-Reputation, wodurch legitime E-Mails als Spam markiert werden. Reputation aufzubauen und zu pflegen erfordert konsistente Sendemuster, korrekte Authentifizierungseinträge und Überwachung von Blacklists. Deshalb entscheiden sich viele Organisationen für verwaltete europäische E-Mail-Anbieter (z.B. Mailbox.org, Posteo, Proton Mail) statt eigene Mailserver zu betreiben.

Siehe auch: Self-Hosting

Dezentralisiert

Eine Systemarchitektur, bei der keine einzelne Instanz das gesamte Netzwerk kontrolliert. Statt dass alle Kommunikation über die Server eines Anbieters läuft (zentralisiertes Modell — z.B. Slack, Teams, WhatsApp), erlaubt ein dezentralisiertes System mehreren unabhängigen Servern, über ein offenes Protokoll miteinander zu kommunizieren.

E-Mail ist das älteste dezentralisierte System in breiter Nutzung: Jeder kann einen Mailserver betreiben, und Server verschiedener Anbieter tauschen Nachrichten über SMTP aus. Das Matrix-Protokoll wendet dieses Prinzip auf Instant Messaging an: Organisationen können ihren eigenen Matrix-Server betreiben und trotzdem mit Nutzern auf anderen Matrix-Servern kommunizieren (genannt „Federation"). Mastodon (Social Media) und XMPP (Messaging) folgen demselben Prinzip.

Der Vorteil ist Resilienz und Autonomie: Kein einzelner Anbieter kann das Netzwerk abschalten, Nutzungsbedingungen für alle ändern oder zur Herausgabe aller Daten gezwungen werden. Der Kompromiss ist Komplexität: Eine konsistente Benutzererfahrung, Ende-zu-Ende-Verschlüsselung über Server hinweg und Spam-Prävention sind in einem dezentralisierten System schwieriger.

Siehe auch: Matrix, Self-Hosting, Digitale Souveränität

Offene Standards

Technische Spezifikationen, die öffentlich dokumentiert, ohne Lizenzgebühren frei implementierbar und in einem transparenten, kollaborativen Prozess gepflegt werden — typischerweise durch Standardisierungsorganisationen wie die IETF (Internetstandards), das W3C (Webstandards), OASIS (Geschäftsstandards) oder ISO.

Beispiele: HTML/CSS (Webseiten), SMTP/IMAP (E-Mail), CalDAV/CardDAV (Kalender-/Kontakt-Synchronisation), OpenDocument Format (ODF) (Dokumente — verwendet von LibreOffice), OAuth 2.0 / OpenID Connect (Authentifizierung) und WebDAV (Dateizugriff). Offene Standards ermöglichen Interoperabilität — die Möglichkeit, zwischen Implementierungen zu wechseln, ohne Daten oder Funktionalität zu verlieren.

Offene Standards sind die Grundlage für Datenportabilität und der stärkste Schutz gegen Vendor Lock-in. Die EU fördert offene Standards aktiv über das European Interoperability Framework und Beschaffungsrichtlinien, die zunehmend standardbasierte Lösungen verlangen. Der Kontrast: Proprietäre Formate (z.B. Microsofts .docx, das nominell als OOXML standardisiert ist, in der Praxis aber undokumentierte Erweiterungen enthält) erzeugen Abhängigkeiten, die offene Standards vermeiden.

Siehe auch: Interoperabilität, Datenportabilität, Vendor Lock-in, Open Source

Total Cost of Ownership (TCO)

Die Gesamtkosten einer Technologie über ihren gesamten Lebenszyklus — nicht nur der Kaufpreis oder die Lizenzgebühr, sondern auch Implementierung, Migration, Schulung, Wartung, Support und eventuelle Stilllegung. Eine TCO-Analyse ist essenziell für ehrliche Vergleiche zwischen proprietären und Open-Source-Lösungen.

Open-Source-Software hat keine Lizenzgebühren, ist aber im Gesamtkostensinn nicht „kostenlos". Kosten umfassen: Personalzeit für Installation und Konfiguration, laufende Wartung und Sicherheitsupdates, Schulung (insbesondere bei Migration von vertrauten Tools), Integration mit bestehenden Systemen und gegebenenfalls kommerzielle Supportverträge. Proprietäre Lösungen bündeln viele dieser Kosten im Abonnementpreis, was sie einfacher erscheinen lässt — verbergen aber auch Vendor-Lock-in-Kosten, die erst beim Wechsel sichtbar werden.

Ein realistischer TCO-Vergleich sollte beinhalten: direkte Kosten (Lizenzen, Abonnements, Hosting, Supportverträge), indirekte Kosten (Personalzeit, Schulung, Produktivitätseinbußen während der Migration), Risikokosten (Lock-in, regulatorische Compliance, Anbieterstabilität) und Opportunitätskosten (was mit freigesetztem Budget möglich wäre). Viele „Open Source ist kostenlos"-Behauptungen und viele „Microsoft ist teurer"-Behauptungen scheitern daran, dass sie Teile dieser Gleichung ignorieren.

Siehe auch: Vendor Lock-in, Self-Hosting, Open Source

LibreOffice

Eine freie und quelloffene Office-Suite, entwickelt von The Document Foundation (TDF). Sie wurde 2010 aus OpenOffice.org geforkt, nachdem Oracles Übernahme von Sun Microsystems Bedenken über die Zukunft des Projekts aufkommen ließ. LibreOffice umfasst Writer (Textverarbeitung), Calc (Tabellenkalkulation), Impress (Präsentationen), Draw (Vektorgrafik), Base (Datenbanken) und Math (Formeleditor).

LibreOffice verwendet das OpenDocument Format (ODF) (ISO/IEC 26300) als natives Dateiformat — ein offener Standard, der die langfristige Zugänglichkeit von Dokumenten sicherstellt. Es kann auch Microsoft-Formate (.docx, .xlsx, .pptx) lesen und schreiben, wobei komplexe Formatierungen nicht immer perfekt konvertiert werden.

LibreOffice ist die am weitesten verbreitete Open-Source-Office-Suite in der europäischen öffentlichen Verwaltung. Nennenswerte Deployments umfassen das Bundesland Schleswig-Holstein (30.000 PCs), das italienische Militär (150.000 Arbeitsplätze) und zahlreiche EU-Institutionen. Für browserbasierte kollaborative Bearbeitung bietet Collabora Online eine LibreOffice-basierte Alternative zu Google Docs.

Siehe auch: Collabora Online, Offene Standards, Fork, OnlyOffice

Collabora Online

Eine browserbasierte Dokumentenbearbeitungs-Suite auf Basis der LibreOffice-Technologie, entwickelt von Collabora Productivity (ein Unternehmen mit Sitz in Großbritannien). Sie ermöglicht die kollaborative Echtzeit-Bearbeitung von Dokumenten, Tabellen und Präsentationen direkt im Webbrowser — ähnlich wie Google Docs oder Microsoft Office Online.

Collabora Online kann selbst gehostet werden und integriert sich mit Dateiplattformen wie Nextcloud, ownCloud und openDesk. Das ermöglicht browserbasierte Dokumentenbearbeitung vollständig innerhalb europäischer Infrastruktur, ohne Daten an US-Cloud-Anbieter zu senden. Es ist eine der Kernkomponenten der openDesk-Initiative für den souveränen Arbeitsplatz.

Der Kompromiss gegenüber Google Docs oder Microsoft Office Online: Collabora Online hat sich deutlich verbessert, kann aber bei der Performance der Echtzeit-Zusammenarbeit und der Breite integrierter Funktionen (z.B. kein natives Äquivalent zu Google Sheets’ KI-Features) noch zurückliegen. Für Organisationen, die Datensouveränität priorisieren, ist es derzeit die ausgereifteste Open-Source-Option für browserbasierte Dokumentenbearbeitung.

Siehe auch: LibreOffice, openDesk, Self-Hosting, OnlyOffice

OnlyOffice

Eine quelloffene Office-Suite, entwickelt von Ascensio System SIA (Lettland). Im Gegensatz zu LibreOffice wurde OnlyOffice von Anfang an für browserbasierte kollaborative Bearbeitung konzipiert, mit Fokus auf hohe Kompatibilität mit Microsoft-Office-Formaten (.docx, .xlsx, .pptx).

OnlyOffice Docs (die Dokumentenbearbeitungskomponente) kann selbst gehostet werden und integriert sich mit Plattformen wie Nextcloud, Seafile und anderen. Die Desktop-Anwendung ist für Windows, macOS und Linux verfügbar. Der Kern-Editor ist Open Source (AGPL v3), während das unternehmensorientierte OnlyOffice Workspace (mit CRM, Mail, Projektmanagement) für einige Features proprietäre Lizenzen verwendet.

Für Organisationen, die zwischen Dokumentenbearbeitungslösungen wählen, sieht der praktische Vergleich so aus: OnlyOffice bietet bessere Microsoft-Format-Kompatibilität; Collabora Online bietet bessere ODF-Unterstützung und die Rückendeckung des LibreOffice-Ökosystems. Beide können selbst gehostet werden. Keine von beiden erreicht vollständig die kollaborative Bearbeitungserfahrung von Google Docs oder Microsoft 365 — obwohl der Abstand schrumpft.

Siehe auch: LibreOffice, Collabora Online, Open Source, Self-Hosting

Matrix (Protokoll)

Ein offenes, dezentralisiertes Kommunikationsprotokoll für Echtzeit-Messaging, Sprach- und Videokommunikation — entwickelt von der Matrix.org Foundation (eine britische Non-Profit-Organisation). Das Protokoll ist ein offener Standard, und jeder kann einen Matrix-Server (genannt „Homeserver") betreiben, der mit anderen Matrix-Servern föderiert, ähnlich wie E-Mail funktioniert.

Der am weitesten verbreitete Matrix-Client ist Element (ehemals Riot.im), entwickelt von Element (dem Unternehmen, ehemals New Vector Ltd). Matrix unterstützt standardmäßig Ende-zu-Ende-Verschlüsselung für Direktnachrichten; für Gruppenchats kann sie aktiviert werden.

Matrix hat bedeutende Verbreitung in der europäischen öffentlichen Verwaltung erfahren: Die französische Regierung nutzt es als Basis für Tchap (Messaging für alle Regierungsmitarbeiter), die deutsche Bundeswehr nutzt es für den BwMessenger, und das deutsche Gesundheitswesen (gematik) hat es für den TI-Messenger übernommen. Diese Deployments zeigen, dass Matrix auf Hunderttausende Nutzer in hochsicheren Umgebungen skalieren kann. Die Protokollspezifikation wird unter spec.matrix.org gepflegt.

Siehe auch: Dezentralisiert, Ende-zu-Ende-Verschlüsselung, Self-Hosting, Offene Standards

Workflow-Automatisierung

Software, die verschiedene Anwendungen verbindet und Abfolgen von Aufgaben automatisiert — manuellen Aufwand reduziert und Prozesse über mehrere Systeme hinweg ohne menschliches Eingreifen bei jedem Schritt ermöglicht. Im Kontext der digitalen Unabhängigkeit können Workflow-Automatisierungstools helfen, Geschäftslogik von bestimmten Anwendungen zu entkoppeln, was den Austausch einzelner Komponenten erleichtert, ohne gesamte Prozesse neu aufbauen zu müssen.

Bemerkenswerte Workflow-Automatisierungstools sind: n8n (visueller Workflow-Builder, Source-Available unter der Sustainable Use License — als „Fair Code" vermarktet, aber nicht Open Source im Sinne der OSI-Definition, selbst hostbar), Node-RED (Flow-basierte Programmierung, ursprünglich von IBM, jetzt ein Linux-Foundation-Projekt, Apache-2.0-Lizenz) und Apache Airflow (Datenpipeline-Orchestrierung, weit verbreitet im Data Engineering). Camunda ist eine Prozessautomatisierungsplattform mit Fokus auf BPMN-Workflows (Business Process Model and Notation) — strukturierter als n8n/Node-RED und auf Enterprise-Prozessorchestrierung ausgerichtet. Hinweis: Camunda 8 wechselte zu einer proprietären Lizenz (Camunda License 1.0) ab Version 8.6 (Oktober 2024); die Kern-Engine einschließlich Zeebe ist ohne bezahlte Lizenz nur für Nicht-Produktionsumgebungen nutzbar, wobei Client-Bibliotheken und SDKs weiterhin Apache 2.0 sind. Die Camunda 7 Community Edition hat im Oktober 2025 das End of Life erreicht; Community-Forks (CIB seven, Operaton) sind entstanden.

Der Kompromiss: Während Workflow-Automatisierung die Abhängigkeit von einzelnen Anwendungen reduzieren kann, wird die Automatisierungsplattform selbst zur Abhängigkeit. Die Migration komplexer Workflows zwischen Automatisierungstools ist nicht trivial. Die Wahl eines quelloffenen, selbst gehosteten Tools mit Unterstützung offener Standards (z.B. BPMN bei Camunda) mildert dieses Risiko, beseitigt es aber nicht vollständig.

Siehe auch: Vendor Lock-in, Offene Standards, Self-Hosting, Interoperabilität

Datenportabilität

Die Fähigkeit, Daten von einem System oder Anbieter zu einem anderen in einem nutzbaren Format zu übertragen, ohne Informationen oder Funktionalität zu verlieren. Datenportabilität ist eine Voraussetzung zur Vermeidung von Vendor Lock-in und ein Grundprinzip der digitalen Souveränität.

Die DSGVO (Artikel 20) gewährt EU-Bürgern ein „Recht auf Datenübertragbarkeit" für ihre personenbezogenen Daten — das Recht, Daten in einem „strukturierten, gängigen und maschinenlesbaren Format" zu erhalten. Der Data Act (EU 2023/2854, anwendbar ab September 2025) erweitert Portabilitätsanforderungen auf Cloud-Dienste, verpflichtet Anbieter zum Datenexport und verbietet vertragliche Barrieren beim Wechsel.

In der Praxis hängt Datenportabilität von offenen Standards ab: Wenn Ihre E-Mails in Standard-IMAP-Postfächern gespeichert sind, ist die Migration unkompliziert. Wenn Ihre Projektmanagement-Daten in einem proprietären Format ohne Exportfunktion vorliegen, kann die Migration erheblichen manuellen Aufwand erfordern. Wichtige Standards für Portabilität sind: IMAP (E-Mail), CalDAV/CardDAV (Kalender/Kontakte), ODF (Dokumente), CSV/JSON (strukturierte Daten) und SQL-Dumps (Datenbanken). Bei der Bewertung jedes Tools lautet der Praxistest: „Kann ich alle meine Daten exportieren und in ein anderes System innerhalb eines vertretbaren Zeitraums importieren?"

Siehe auch: Offene Standards, Vendor Lock-in, DSGVO, Interoperabilität

Interoperabilität

Die Fähigkeit verschiedener Softwaresysteme, die von unterschiedlichen Herstellern entwickelt wurden, Daten auszutauschen und ohne besonderen Aufwand zusammenzuarbeiten. Interoperabilität ist das praktische Ergebnis offener Standards — und ihr Fehlen ist ein Hauptmechanismus von Vendor Lock-in.

Ebenen der Interoperabilität: Syntaktisch (Systeme können Daten austauschen — z.B. beide sprechen JSON über HTTPS), Semantisch (Systeme interpretieren die Daten gleich — z.B. beide verstehen, was ein „Kalendereintrag" bedeutet) und Organisatorisch (verschiedene Organisationen einigen sich auf Prozesse und Governance für den Datenaustausch). Das European Interoperability Framework (EIF) definiert diese Ebenen und gibt Orientierung für die öffentliche Verwaltung.

Im Kontext der digitalen Unabhängigkeit bedeutet Interoperabilität: Ihr Kalender in Nextcloud kann sich mit jedem CalDAV-kompatiblen Client synchronisieren, Ihre Dokumente in LibreOffice können in jedem ODF-kompatiblen Editor geöffnet werden, und Ihr Identitätssystem (Keycloak) kann Nutzer für jede SAML-/OIDC-kompatible Anwendung authentifizieren. Wenn Interoperabilität stark ist, wird der Austausch einzelner Komponenten machbar. Wenn sie schwach ist, sind Sie an den gesamten Stack gebunden.

Siehe auch: Offene Standards, Datenportabilität, Vendor Lock-in, API

Münchner Sicherheitskonferenz (MSC)

Die weltweit größte jährliche Konferenz für internationale Sicherheitspolitik, seit 1963 in München ausgetragen. Organisiert von der MSC Foundation unter dem Vorsitz von Christoph Heusgen (seit 2022). Teilnehmer sind Staats- und Regierungschefs, Verteidigungsminister, hochrangige Militärs und Sicherheitsexperten.

Die MSC trifft keine verbindlichen Entscheidungen, setzt aber sicherheitspolitische Themen auf die internationale Agenda. Im Februar 2025 nutzte Bundeskanzler Friedrich Merz seine Eröffnungsrede, um Europas technologische Abhängigkeit erstmals auf einer sicherheitspolitischen Bühne als strategisches Versagen einzustufen.

Siehe auch: Digitale Souveränität

ESTIA

Die European Sovereign Tech Industry Alliance wurde im November 2025 auf dem Berliner Gipfel zur europäischen digitalen Souveränität gegründet. Gründungsmitglieder sind Airbus, Dassault Systèmes, Deutsche Telekom, Orange, OVHcloud und Sopra Steria.

Ziel ist der Aufbau souveräner Cloud-Dienste und europäischer digitaler Infrastruktur. Der offizielle Start ist für 2026 geplant. ESTIA wird daran gemessen werden, ob sie konkrete Produkte liefert, wo Gaia-X bei Standards und Positionspapieren verblieben ist.

Siehe auch: Gaia-X, Digitale Souveränität, Hyperscaler

LaSuite

Der souveräne digitale Arbeitsplatz der französischen Verwaltung, entwickelt von der DINUM. LaSuite besteht aus Open-Source-Modulen für Messaging, Videokonferenz, Dokumentenbearbeitung und Zusammenarbeit — als eigene Forks mit einheitlichem UI.

Das Entscheidende: LaSuite kann mit openDesk föderieren. Ein französischer Beamter kann mit einem deutschen Kollegen an einem Dokument arbeiten, ohne dass die Daten über US-Cloud-Dienste laufen. Die Niederlande entwickeln mit MijnBureau eine dritte Plattform auf Basis von Komponenten beider Systeme.

LaSuite auf dem EU OSOR

Siehe auch: openDesk, DINUM, MijnBureau, Fork

MijnBureau

Der souveräne digitale Arbeitsplatz der niederländischen Verwaltung, der Komponenten von openDesk und LaSuite zu einer eigenständigen Plattform kombiniert. MijnBureau entsteht im Rahmen der europäischen Zusammenarbeit für souveräne Verwaltungsarbeitsplätze und kann mit den deutschen und französischen Plattformen föderieren.

Siehe auch: openDesk, LaSuite, Digitale Souveränität

Public Money, Public Code

Eine Kampagne der FSFE mit einer klaren Kernforderung: Software, die mit öffentlichen Geldern entwickelt wird, soll unter freien Lizenzen als Open Source veröffentlicht werden. Die Initiative wird von über 200 Organisationen und Verwaltungen unterstützt.

Das Europäische Parlament hat das Prinzip im Januar 2026 mit seinem „Open Source first"-Beschluss im Bericht zur technologischen Souveränität aufgegriffen — mit 471 zu 68 Stimmen.

Siehe auch: FSFE, Open Source, Digitale Souveränität

Eurostack

Ein strategisches Leitbild für eine durchgängig europäische digitale Infrastruktur — von Halbleitern über Cloud bis Software und KI. Der Begriff wurde im Bericht des Europäischen Parlaments zur technologischen Souveränität (Januar 2026) geprägt und bezeichnet das Ziel, in allen Schichten der digitalen Wertschöpfungskette europäische Alternativen auf Basis offener Standards zu entwickeln.

Eurostack ist kein einzelnes Projekt, sondern ein Referenzrahmen: Europa soll in keiner Schicht der digitalen Infrastruktur vollständig von außereuropäischen Anbietern abhängig sein. Konkrete Bausteine sind u.a. der Sovereign Cloud Stack, openDesk, LaSuite und die ESTIA-Allianz.

Siehe auch: Digitale Souveränität, Sovereign Cloud Stack, ESTIA, Wertschöpfungskette

Digital Commons-EDIC

Ein European Digital Infrastructure Consortium (EDIC) für digitale Gemeingüter, initiiert von Deutschland, Frankreich, den Niederlanden und Italien auf dem Berliner Gipfel zur digitalen Souveränität im November 2025.

EDICs sind ein Instrument des Digital Decade Policy Programme der EU (Beschluss 2022/2481), das Gruppen von mindestens drei Mitgliedstaaten ermöglicht, gemeinsam in digitale Infrastruktur zu investieren. Das Digital Commons-EDIC soll die Entwicklung und Pflege von Open-Source-Software und offenen Standards als digitale Gemeingüter fördern — Infrastruktur, die allen zur Verfügung steht und von keinem einzelnen Anbieter kontrolliert wird.

Siehe auch: Digitale Souveränität, Open Source, Offene Standards

FSFE

Die Free Software Foundation Europe ist eine gemeinnützige Organisation, die sich seit 2001 für die Freiheiten freier Software in Europa einsetzt — durch politische Arbeit, rechtliche Unterstützung und öffentliche Aufklärung. Sie ist unabhängig von der amerikanischen FSF.

Die bekannteste Kampagne der FSFE ist „Public Money, Public Code". Daneben unterstützt die FSFE Initiativen für offene Standards in der öffentlichen Verwaltung, bietet rechtliche Beratung bei Lizenzfragen und begleitet EU-Gesetzgebungsprozesse mit Stellungnahmen zu digitaler Souveränität.

Siehe auch: PMPC, Open Source, Digitale Souveränität

DINUM

Die Direction interministérielle du numérique (Interministerielle Digitaldirektion) ist die französische Behörde für die digitale Transformation der Verwaltung. Sie untersteht dem Premierminister und koordiniert die IT-Strategie aller Ministerien.

Die DINUM entwickelt LaSuite, den souveränen digitalen Arbeitsplatz der französischen Verwaltung, und betreibt das Programm „communs numériques" (digitale Gemeingüter). Sie ist das französische Pendant zum deutschen ZenDiS (Zentrum für Digitale Souveränität), das openDesk entwickelt.

Siehe auch: LaSuite, openDesk, Digitale Souveränität

Data Act

Der Data Act (EU 2023/2854) reguliert den Zugang zu und den Austausch von Daten in der EU. Er wurde am 13. Dezember 2023 verabschiedet und ist ab dem 12. September 2025 anwendbar.

Kernelemente: Nutzer erhalten ein Recht auf Zugang zu den von ihren vernetzten Geräten (IoT) erzeugten Daten. Cloud-Anbieter müssen den Anbieterwechsel aktiv unterstützen und dürfen keine prohibitiven Wechselgebühren verlangen. Bestimmte missbräuchliche Vertragsklauseln zur Datenfreigabe werden verboten. Anforderungen an die Interoperabilität von Datenräumen werden definiert.

Für die digitale Souveränität ist der Data Act bedeutsam, weil er Vendor Lock-in auf Cloud-Ebene regulatorisch angeht — ein Anbieter darf den Weggang eines Kunden nicht mehr vertraglich oder technisch blockieren.

Siehe auch: Vendor Lock-in, Datenportabilität, DSGVO, Digitale Souveränität

Snowden-Enthüllungen

Im Juni 2013 begann der ehemalige NSA-Mitarbeiter Edward Snowden, geheime Dokumente an Journalisten weiterzugeben, die das Ausmaß der globalen Überwachungsprogramme der US-amerikanischen NSA und des britischen GCHQ offenlegten.

Die Enthüllungen zeigten u.a.: PRISM (direkter Zugriff auf Daten von Google, Apple, Microsoft, Facebook und weiteren US-Unternehmen), XKeyscore (Durchsuchung globaler Internetkommunikation in Echtzeit) und die systematische Überwachung europäischer Regierungskommunikation — einschließlich des Mobiltelefons von Bundeskanzlerin Angela Merkel.

Die Enthüllungen waren ein Wendepunkt für das europäische Bewusstsein um digitale Souveränität. Sie lösten die Schrems-I-Klage aus, die 2015 das Safe-Harbor-Abkommen zu Fall brachte, und beschleunigten die Verabschiedung der DSGVO.

Siehe auch: Digitale Souveränität, DSGVO, CLOUD Act, EU-US Data Privacy Framework

Wertschöpfungskette

Die Gesamtheit der aufeinanderfolgenden Stufen, in denen ein Produkt oder eine Dienstleistung entsteht — von der Grundlagenforschung über Entwicklung und Produktion bis zu Vertrieb und Support. Das Konzept wurde 1985 von Michael E. Porter eingeführt.

Im digitalen Kontext umfasst die Wertschöpfungskette: Halbleiter (Chip-Design und -Fertigung), Hardware (Server, Netzwerk, Endgeräte), Betriebssysteme, Cloud-Infrastruktur, Plattformen und Middleware, Anwendungssoftware und Dienste. Europa ist in mehreren dieser Stufen stark von außereuropäischen Anbietern abhängig — insbesondere bei Halbleitern (TSMC, Samsung), Cloud (Hyperscaler) und Anwendungssoftware (Microsoft, Google).

Bundeskanzler Merz definierte digitale Souveränität auf dem Berliner Gipfel 2025 als „die Fähigkeit, Technologie über die gesamte Wertschöpfungskette im Einklang mit europäischen Interessen und Bedürfnissen zu gestalten." Der Eurostack-Ansatz zielt darauf ab, in jeder Stufe europäische Alternativen zu schaffen.

Siehe auch: Digitale Souveränität, Eurostack, Hyperscaler

Talentabfluss (Brain Drain)

Die Abwanderung hochqualifizierter Fachkräfte — Entwickler, KI-Forscher, Gründer — aus Europa in Länder mit besseren Rahmenbedingungen, insbesondere die USA. Der europäische Technologiesektor verliert dadurch nicht nur Humankapital, sondern auch das Innovationspotenzial, das für die digitale Souveränität benötigt wird.

Belege: Laut einer Studie des European Investment Fund (EIF) wandern europäische Tech-Gründer überproportional in die USA ab, angezogen von höheren Gehältern (Median für Software-Entwickler in den USA rund 50 % über Westeuropa), einfacherem Zugang zu Wagniskapital und einer Kultur, die unternehmerisches Risiko belohnt statt reguliert.

Der European Innovation Council (EIC) versucht dem mit Förderprogrammen entgegenzuwirken. Strukturelle Nachteile wie die Regulierungslast und fragmentierte europäische Kapitalmärkte lassen sich jedoch nicht allein durch Subventionen beheben.

Siehe auch: Digitale Souveränität, Regulierungslast

Regulierungslast

Die kumulative Belastung von Unternehmen und Organisationen durch die Gesamtheit der EU-Regulierung — nicht die einzelne Verordnung, sondern ihre Summe. Im Digitalbereich betrifft dies insbesondere den EU AI Act, den Data Act, die DSGVO, den Digital Services Act (DSA), den Digital Markets Act (DMA) und die NIS2-Richtlinie.

Jede einzelne Verordnung hat ihre Berechtigung. In der Summe schaffen sie ein Umfeld, in dem Compliance-Kosten — Rechtsberatung, Datenschutzbeauftragte, Dokumentationspflichten, Zertifizierungen — erhebliche Ressourcen binden. Eine Studie des Europäischen Rechnungshofs stellte fest, dass die regulatorische Fragmentierung europäische Unternehmen gegenüber US- und chinesischen Wettbewerbern benachteiligt.

Dass der Berliner Gipfel zur digitalen Souveränität selbst eine 12-monatige Verschiebung der Hochrisiko-Bestimmungen des AI Act forderte, ist ein stilles Eingeständnis dieses Widerspruchs: Europa reguliert Technologie schneller, als es sie entwickelt.

Siehe auch: EU AI Act, Data Act, DSGVO, Digitale Souveränität

UI (User Interface)

Die Benutzeroberfläche ist die Schnittstelle, über die Menschen mit Software interagieren — Bildschirmlayouts, Menüs, Schaltflächen, Formulare und visuelle Gestaltung. Im Kontext der digitalen Souveränität ist das UI relevant, weil Nutzerakzeptanz oft darüber entscheidet, ob ein Wechsel von proprietärer zu Open-Source-Software gelingt.

Ein einheitliches UI war ein zentrales Designziel von LaSuite: Die verschiedenen Open-Source-Komponenten (Messaging, Videokonferenz, Dokumenteneditor) wurden als eigene Forks mit konsistentem Erscheinungsbild entwickelt, damit Nutzer eine kohärente Arbeitsumgebung erleben. openDesk verfolgt einen anderen Ansatz und integriert die Upstream-Projekte mit ihren jeweiligen Oberflächen.

Siehe auch: LaSuite, Fork, openDesk

EUCS (EU-Cloud-Zertifizierungsschema)

Das European Union Cloud Certification Scheme ist ein Cybersicherheits-Zertifizierungsrahmen für Cloud-Dienste, entwickelt von ENISA (EU-Agentur für Cybersicherheit) im Rahmen des EU Cybersecurity Act (EU 2019/881).

EUCS definiert drei Vertrauensstufen (Basic, Substantial, High), gegen die Cloud-Anbieter zertifiziert werden können. Die High-Stufe ist für sensible Daten und kritische Infrastruktur gedacht und umfasst Anforderungen an operative Souveränität (z. B. Rechtszuständigkeit, Zugriffskontrollen, Immunität gegenüber Nicht-EU-Recht). Die Frage, wie mit der CLOUD-Act-Exposition von US-eigenen Anbietern umzugehen ist, war die zentrale politische Kontroverse bei der EUCS-Entwicklung — frühere Entwürfe enthielten explizite Immunität-gegenüber-ausländischem-Recht-Anforderungen, die später unter Branchen- und US-Regierungsdruck abgeschwächt wurden.

EUCS ist zu unterscheiden von nationalen Schemata wie dem französischen SecNumCloud, das strengere Souveränitätsanforderungen hat, einschließlich verpflichtender EU-Rechtspersönlichkeitskontrolle.

Siehe auch: SecNumCloud, CLOUD Act, Digitale Souveränität, Sovereign Cloud Stack

SecNumCloud

Ein französisches nationales Cloud-Sicherheitsqualifizierungsschema, das von ANSSI (Agence nationale de la sécurité des systèmes d’information) verwaltet wird. SecNumCloud ist eines der anspruchsvollsten Cloud-Sicherheitsrahmenwerke in Europa, mit strengen Anforderungen an Betriebssicherheit, Datenhaltung und — entscheidend — rechtliche Souveränität: Der Cloud-Anbieter muss eine EU-kontrollierte Rechtspersönlichkeit sein, die nicht dem Nicht-EU-Recht (wie dem US-CLOUD Act) unterliegt.

Diese letzte Anforderung schließt Töchter von US-Hyperscalern von der SecNumCloud-Qualifikation aus, auch wenn sie europäische Rechenzentren betreiben. Französische öffentliche Verwaltungen, die mit sensiblen Daten umgehen, müssen zunehmend SecNumCloud-qualifizierte Anbieter nutzen. Qualifizierte Anbieter sind u. a. OVHcloud und andere europäisch ansässige Betreiber.

Das Schema hat die Debatte um EUCS beeinflusst — Frankreich setzt sich für SecNumCloud-ähnliche Souveränitätsanforderungen auf EU-Ebene ein, was auf Widerstand von Anbietern und einigen Mitgliedstaaten stößt.

Siehe auch: EUCS, CLOUD Act, Digitale Souveränität

FranceConnect

Die nationale digitale Identitätsföderation der französischen Regierung, betrieben von DINUM. FranceConnect ermöglicht es französischen Bürgern, sich bei Verwaltungsdiensten mit ihren bestehenden Zugangsdaten bei vertrauenswürdigen Identitätsanbietern (Steuerbehörde, Sozialversicherung, La Poste usw.) zu authentifizieren — anstatt für jeden Dienst ein separates Konto zu pflegen.

FranceConnect+ ist eine Variante mit höherem Vertrauensniveau, die Identitätsprüfung mit physischer Dokumentenverifizierung verwendet und die Anforderungen von eIDAS-Vertrauensniveau Hoch (LoA High) erfüllt. Zusammen mit LaSuite ist FranceConnect Teil des französischen souveränen digitalen Identitätsstacks und demonstriert die Praktikabilität staatlich gesteuerter Identitätsföderation als Alternative zu „Anmelden mit Google/Apple/Facebook" im nationalen Maßstab.

Siehe auch: eIDAS, Identitätsanbieter, DINUM, Digitale Souveränität

DigiD

Das niederländische nationale digitale Identitätssystem, betrieben von Logius (Teil des Innenministeriums). DigiD (kurz für Digitale Identiteit — Digitale Identität) wird von über 14 Millionen niederländischen Bürgern genutzt, um sich bei mehr als 900 Verwaltungsdiensten zu authentifizieren, darunter Steuererklärung, Gesundheitsversorgung und Sozialleistungen.

DigiD verwendet ein abgestuftes Vertrauensniveaumodell, das an eIDAS-Vertrauensniveaus ausgerichtet ist. Die DigiD-App (eingeführt 2019) bietet Vertrauensniveau Hoch durch Gesichtserkennung, die mit dem Passregister abgeglichen wird. Die Niederlande entwickeln ein DigiD Wallet, das auf das kommende European Digital Identity Wallet (EUDIW) gemäß eIDAS 2.0 ausgerichtet ist.

DigiD wird häufig als Referenzimplementierung für nationale digitale Identität im Großmaßstab angeführt — neben FranceConnect in Frankreich und der EUDIW-Initiative.

Siehe auch: eIDAS, FranceConnect, Identitätsanbieter, Digitale Souveränität

Active Directory (AD)

Microsofts proprietärer Verzeichnisdienst zur Verwaltung von Benutzern, Gruppen, Computern und Zugriffsrichtlinien in Windows-basierten Netzwerken. Erstmals mit Windows 2000 veröffentlicht, hat sich Active Directory zum De-facto-Standard für Identitäts- und Zugriffsmanagement in Unternehmen weltweit entwickelt — insbesondere in Organisationen mit Microsoft 365 und Windows-Desktops.

AD bietet zentrale Authentifizierung (Kerberos, NTLM), Gruppenrichtlinien-Verwaltung (GPO) und LDAP-basierte Verzeichnisdienste. Die tiefe Integration mit Windows und Microsoft 365 ist sowohl seine Stärke als auch eine wesentliche Quelle von Vendor Lock-in: Die Ablösung von AD erfordert nicht nur den Austausch des Verzeichnisses, sondern auch der darauf aufbauenden Authentifizierungsprotokolle, Gruppenrichtlinien und Anwendungsintegrationen.

Open-Source-Alternativen sind FreeIPA (Red Hat, basiert auf 389 Directory Server + Kerberos + SSSD) und Samba AD (implementiert das AD-Protokoll direkt, sodass Linux-Server als AD-Domänencontroller fungieren können). Beide sind wesentlich gereift, decken aber nicht alle AD-spezifischen Funktionen ab — insbesondere komplexe Gruppenrichtlinien-Szenarien.

Siehe auch: LDAP, Vendor Lock-in, SSO

LDAP (Lightweight Directory Access Protocol)

Ein offenes, herstellerneutrales Protokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationen — Benutzerkonten, Gruppen, Organisationsstrukturen, Berechtigungen. LDAP ist das zugrundeliegende Protokoll von Active Directory, OpenLDAP, 389 Directory Server und FreeIPA.

Ursprünglich definiert in RFC 4511 (2006, basiert auf X.500 von 1993), ist LDAP eines der ältesten und am weitesten verbreiteten Protokolle in der Unternehmens-IT. Es bietet eine hierarchische Datenstruktur (Distinguished Names, Organizational Units), die sich natürlich auf Unternehmensstrukturen abbilden lässt.

Für die Identitätssouveränität ist LDAP relevant, weil es ein offener Standard ist: Jedes LDAP-kompatible Verzeichnis kann durch ein anderes ersetzt werden. Im Gegensatz dazu schaffen proprietäre Erweiterungen auf LDAP-Basis (wie ADs Gruppenrichtlinien) Lock-in. Keycloak und Authentik unterstützen beide LDAP-Föderation, was eine inkrementelle Migration von AD ermöglicht.

Siehe auch: Active Directory, Offene Standards, SSO

OpenStack

Eine Open-Source-Cloud-Computing-Plattform zum Aufbau und Management von Public und Private Clouds. 2010 von NASA und Rackspace gestartet, wird OpenStack heute von der OpenInfra Foundation verwaltet und von Hunderten von Organisationen weltweit eingesetzt.

OpenStack stellt die Infrastrukturschicht bereit — Compute (Nova), Netzwerk (Neutron), Storage (Cinder/Swift), Identität (Keystone) —, die Hyperscaler wie AWS als proprietäre Dienste anbieten. Es ist die Grundlage des Sovereign Cloud Stack (SCS) und wird von europäischen Cloud-Anbietern eingesetzt, darunter OVHcloud, IONOS und die Open Telekom Cloud (Deutsche Telekom).

Die Bedeutung für die digitale Souveränität: OpenStack ermöglicht es Organisationen und Anbietern, Cloud-Infrastruktur mit denselben Fähigkeiten wie Hyperscaler aufzubauen, ohne Abhängigkeit von proprietären Plattformen. Der Kompromiss ist die operative Komplexität — der Betrieb von OpenStack erfordert umfangreiche Expertise, weshalb Managed-OpenStack-Angebote und die SCS-Referenzimplementierung existieren.

Siehe auch: Sovereign Cloud Stack, Kubernetes, Open Source

Kubernetes (K8s)

Eine Open-Source-Container-Orchestrierungsplattform zur Automatisierung von Deployment, Skalierung und Verwaltung containerisierter Anwendungen. Ursprünglich von Google entwickelt (basiert auf dem internen System Borg), wurde Kubernetes 2014 an die CNCF übergeben und graduierte 2018. Es hat sich zum De-facto-Standard für den Betrieb von Anwendungen in Cloud-Umgebungen entwickelt.

Kubernetes abstrahiert die darunterliegende Infrastruktur: Dieselbe Anwendung läuft auf AWS, bei einem europäischen Cloud-Anbieter, auf Bare-Metal-Servern oder on-premises. Diese Infrastruktur-Portabilität macht Kubernetes zu einem Schlüsselelement für Cloud-Souveränität — auf Kubernetes deployte Workloads können zwischen Anbietern verschoben werden, ohne die Anwendung umzuschreiben, was Vendor Lock-in direkt entgegenwirkt.

Der Sovereign Cloud Stack (SCS) nutzt Kubernetes als Container-Orchestrierungsschicht, neben OpenStack für die Infrastruktur. Die meisten europäischen Cloud-Anbieter (Scaleway, IONOS, OVHcloud) bieten Managed-Kubernetes-Dienste an.

Siehe auch: CNCF, OpenStack, Sovereign Cloud Stack, Vendor Lock-in

Bletchley-Erklärung

Die Bletchley Declaration wurde am 1.–2. November 2023 auf dem ersten globalen KI-Sicherheitsgipfel in Bletchley Park, Großbritannien, von 29 Staaten unterzeichnet — darunter die USA, China, die EU-Mitgliedstaaten, Großbritannien, Japan, Indien und Brasilien. Es war das erste Mal, dass die USA und China gemeinsam ein Dokument zu KI-Risiken unterzeichneten.

Die Erklärung erkennt an, dass fortschrittliche KI „erhebliche Risiken, einschließlich schwerwiegender, sogar katastrophaler Schäden" birgt, und ruft zu internationaler Zusammenarbeit auf, um diese Risiken zu adressieren. Sie führte zur Gründung des britischen AI Safety Institute und inspirierte ähnliche Initiativen in den USA, Japan und Singapur. Folgegipfel fanden in Seoul (Mai 2024) und Paris (Februar 2025) statt.

Die politische Bedeutung der Bletchley-Erklärung liegt darin, dass sie einen internationalen Konsens dokumentierte, der inzwischen teilweise aufgekündigt wurde: Die USA widerriefen im Januar 2025 ihre bindenden KI-Sicherheitsmaßnahmen auf Bundesebene und setzen seither auf wirtschaftliche Wettbewerbsfähigkeit statt auf die in Bletchley vereinbarte Risikominderung.

Siehe auch: AI Safety Institute, EU AI Act, Digitale Souveränität

AI Safety Institute (AISI)

Das AI Safety Institute ist eine britische Regierungseinrichtung, gegründet im November 2023 als direktes Ergebnis des Bletchley-Gipfels. Es ist die weltweit erste staatliche Einrichtung, die sich ausschließlich der Bewertung und Minderung von Risiken fortschrittlicher KI-Modelle widmet.

Das Institut beschäftigt über 100 technische Fachkräfte und verfügt über ein Jahresbudget von 66 Millionen Pfund. Es hat mit führenden KI-Unternehmen — darunter Anthropic, OpenAI, Google DeepMind und Meta — Vereinbarungen über vorab Zugang zu neuen Modellen vor deren Veröffentlichung getroffen, um unabhängige Sicherheitsprüfungen durchzuführen.

Die Arbeit des AISI umfasst: Bewertung von KI-Modellen auf gefährliche Fähigkeiten (z. B. Unterstützung bei biologischen oder chemischen Waffen, autonome Cyberangriffe), Entwicklung von Evaluierungsmethoden und Veröffentlichung von Forschungsergebnissen. Die USA gründeten im November 2023 ein eigenes US AI Safety Institute unter dem NIST, dessen Mandat jedoch mit der Aufhebung von Executive Order 14110 im Januar 2025 erheblich eingeschränkt wurde.

Siehe auch: Bletchley-Erklärung, EU AI Act

Executive Order (US-Dekret)

Eine Executive Order (EO) ist eine Anordnung des US-Präsidenten an die Bundesverwaltung, die ohne Zustimmung des Kongresses erlassen wird. Executive Orders haben Gesetzeskraft für die Exekutive, können aber von jedem nachfolgenden Präsidenten jederzeit widerrufen oder geändert werden — im Gegensatz zu Gesetzen, die nur durch den Kongress aufgehoben werden können.

Diese Fragilität ist im KI- und Datenschutzkontext zentral: Präsident Bidens EO 14110 zu KI-Sicherheit (Oktober 2023, 36 Seiten) wurde am ersten Amtstag seines Nachfolgers durch EO 14179 ersetzt (2 Seiten, null Sicherheitsanforderungen). Ebenso stützt sich das EU-US Data Privacy Framework auf EO 14086, die theoretisch jederzeit widerrufen werden kann.

Für europäische Unternehmen bedeutet dies: Jede US-Zusicherung, die auf einer Executive Order statt auf einem Gesetz basiert, steht unter dem Vorbehalt eines Regierungswechsels. Das Instrument ist konstruktionsbedingt fragil — was es von der verbindlichen Gesetzgebung des EU AI Act grundlegend unterscheidet.

Siehe auch: EU AI Act, EU-US Data Privacy Framework, Digitale Souveränität

Suche

Strg+K öffnet die Suche jederzeit