Die Pressemitteilung kam am Freitag, dem 17. April 2026, drei Tage vor Öffnung der Hannover Messe. Rolf Schumann und Christian Müller, Co-CEOs von Schwarz Digits, stellten den European Sovereign Stack Standard — ES³ — mit dem ausdrücklichen Anspruch vor, Europas Maß für digitale Souveränität zu werden. Das Format: ein Reifegradmodell in vier Stufen — Basic, Initial, Advanced, Future-Proof. Der Mechanismus: ein Katalog von über 100 Kriterien. Das Glaubwürdigkeitssiegel: unabhängige Verifizierung durch BDO AG, deren Vorstandsvorsitzender Parwäz Rafiqpoor die Attestation unterschrieb.

Schumann fasste den Anspruch zusammen: „Wir verwandeln den Bedarf an digitaler Souveränität in einen messbaren Standard für Industrieunternehmen, KMU und regulierte Sektoren." Die Verifizierungsaussage von BDO folgte: „Die Prüfung des Souveränitäts-Reifegradmodells durch BDO bestätigt: Das ES³-Reifegradmodell liefert eine unabhängige, praxistaugliche Grundlage zur Stärkung der digitalen Souveränität in Europa."

Dies ist das erste europäische Souveränitäts-Bewertungssystem, das mit Audit-Infrastruktur kommt. Es ist auch von einem Unternehmen geschrieben, das in dem Markt konkurriert, den es jetzt bewertet.

Was ES³ vorschlägt

Die vier Reifegradstufen sollen progressiv sein. Basic deckt minimale Datenansässigkeitsansprüche ab. Initial etabliert operative Unabhängigkeit von Nicht-EU-Kontrolle. Advanced verlangt volle architektonische Trennung von Nicht-EU-Abhängigkeiten. Future-Proof beansprucht verifizierbare Kontinuität unter feindlichen geopolitischen Bedingungen.

Der Katalog spannt nach der öffentlichen Zusammenfassung Jurisdiktion, Eigentum, operative Kontrolle, Lieferkette und Schlüsselverwahrung. Die BDO-Verifizierung deckt die Methodik ab, nicht einzelne Produktbewertungen — eine bedeutsame Unterscheidung. Eine verifizierte Methodik ist nicht dasselbe wie eine verifizierte Produktbewertung; ES³ zertifiziert das Wie der Bewertung, nicht das Wer gut abgeschnitten hat.

Öffentliche Beschaffer können Ausschreibungsbedingungen schreiben, die auf eine spezifische ES³-Stufe verweisen, und Angebote darunter ablehnen. Das ändert für sich genommen Anreizstrukturen. Bis ES³ war Souveränität in europäischer Beschaffung entweder ein binärer Anspruch oder eine Vibe-basierte Bewertung. Jetzt gibt es eine Zahl.

Was dafür spricht

Drei Dinge, die ES³ tut, die derzeit nichts tut.

Es legt eine Zahl auf Souveränität. Vor ES³ war Souveränität in der Ausschreibungssprache ein Marketingwort ohne definierten Gehalt. Ein Reifegradmodell mit Audit bedeutet, dass ein öffentlicher Käufer ein Angebot ablehnen kann, das eine genannte Stufe nicht erreicht. Der nächstvergleichbare europäische Rahmen — Gaia-X-Labelschema — ist für Vagheit und langsame Umsetzung kritisiert worden. ES³ ist schneller und konkreter.

Es etabliert eine Verifizierungsschicht, mit der Wettbewerber sich auseinandersetzen müssen. Sobald ein messbarer Standard existiert, müssen Alternativen entweder seine Kriterien erfüllen oder öffentlich erklären, warum sie andere gewählt haben. So werden Regulierungsrahmen operativ.

Es kam in einem Moment, in dem die europäische Beschaffung aktiv nach Kriterien suchte. Deutschlands Vergabebeschleunigungsgesetz, sechs Tage später verabschiedet, machte Souveränität zu einem zulässigen Zuschlagskriterium. ES³ liefert die Kriterien, die das Gesetz zulässt. Das Timing ist kein Zufall.

Der Konflikt im Zentrum

Schwarz Digits ist der IT- und Digitalarm der Schwarz Gruppe — der Muttergesellschaft von Lidl und Kaufland — und betreibt StackIT, einen großen europäischen Cloud-Anbieter, der bei europäischen Ausschreibungen direkt mit AWS, Azure und Google Cloud konkurriert. Bernd Wagner, der Schwarz-Digits-CSO, der am Hannover-Messe-Stand das technische Detail einführte, betreibt eine Sicherheitsarchitektur, die gegen Kriterien konstruiert ist, die die Mutter nun ebenfalls geschrieben hat. Schwarz Digits ist keine neutrale Standardisierungsorganisation. Es ist ein Marktteilnehmer, der die Regeln seines eigenen Marktes schreibt.

Das ist für sich genommen nicht disqualifizierend. ISO-, IEEE- und IETF-Standards entstehen routinemäßig bei Anbietern mit Eigeninteresse. Aber es ist strukturell identisch mit Microsoft, das den Standard schreibt, an dem Microsoft Sovereign Cloud bewertet wird, oder AWS, das die Kriterien für die European Sovereign Cloud Certification veröffentlicht. Dieselbe Skepsis sollte hier gelten, die für jene offenkundig gälte.

Zwei Verteidigungen werden routinemäßig vorgebracht, und jede greift zu kurz.

Erste Verteidigung: Jemand musste das tun, und der Markt würde nicht auf ein neutrales Gremium warten. Das stimmt wirklich. Europäische formale Standardisierungsarbeit läuft auf der Zeitskala von CEN-CENELEC und ETSI — Jahre bis Jahrzehnte. Ein praktikabler anbietergeführter Standard jetzt ist plausibel nützlicher als ein langsamer neutraler Standard 2032. Aber „plausibel nützlicher" ist nicht „neutral". Die Übernahme des Standards muss entsprechend diskutiert werden.

Zweite Verteidigung: Die BDO-Verifizierung mildert den Interessenkonflikt. Teilweise. Rafiqpoors Attestationssprache ist spezifisch — sie bestätigt die Methodik, nicht einzelne Produktbewertungen. Eine anbietergeschriebene Methodik, die das Audit besteht, bleibt eine anbietergeschriebene Methodik. Der Interessenkonflikt liegt in der Kriterienauswahl, nicht in der prozeduralen Korrektheit des Audits.

Die cui-bono-Frage vereinfacht sich. Schwarz Digits und StackIT profitieren, wenn ES³ zum Standard-Souveränitäts-Bewertungssystem wird, weil ihr Angebot gegen Kriterien konstruiert ist, die sie selbst geschrieben haben. BDO profitiert davon, Verifizierungsbehörde für einen weithin zitierten europäischen Standard zu sein. Das deutschsprachige souveräne Cloud-Ökosystem profitiert breit, wenn deutsch geprägte Kriterien zum De-facto-europäischen Standard werden. Französische souveräne Cloud-Anbieter — Outscale, OVHcloud, Atos, Linagora — haben die Kriterien nicht mitgestaltet; sie verlieren marginal, wenn ES³ breit übernommen wird.

Was die Kriterien nicht abdecken — und wo sie nicht sichtbar sind

Die über 100 Kriterien decken laut öffentlicher Zusammenfassung Jurisdiktion, Betrieb, Lieferkette und Schlüsselverwahrung ab. Drei architektonische Schichten fehlen in jeder von uns gesehenen Berichterstattung auffallend.

Update-Kanäle für die zugrundeliegenden Open-Source-Komponenten — die meisten laufen weiterhin über US-kontrolliertes Hosting, vor allem GitHub. Kryptographische Wurzelvertrauenswürdigkeit — welche Zertifizierungsstellen in der Verifizierungskette stehen. Kontinuitätsgarantien unter Sanktionen — was passiert, wenn BDO, ein global tätiges Wirtschaftsprüfungsunternehmen mit US-Geschäftsexposition, selbst dafür sanktioniert würde, europäische Souveränität zu verifizieren.

Die Future-Proof-Stufe beansprucht, geopolitische Kontinuität zu adressieren. Die Kriterien für diese Stufe sind nicht öffentlich aufgezählt. Die Schwarz-Digits-Pressemitteilung verlinkt den Katalog nicht. Die Fachpresseberichterstattung beschreibt das Modell, gibt aber den Kriterientext nicht wieder. Bis der vollständige Katalog veröffentlicht ist, ist die höchste Stufe von ES³ eine Aspiration mit Etikett statt eine verifizierte Eigenschaft.

Dieses Sichtbarkeitsproblem ist nicht zufällig. Öffentliche Prüfung ist der Mechanismus, der einen Souveränitätsstandard von einem Marketinginstrument trennt. Ein Standard, der hinter Zusammenfassungen und Fallstudien lebt, ist schwerer zu prüfen als einer, der seinen vollen Text veröffentlicht. ES³ hat sich in einem Markt positioniert, ohne sich der Art von Inspektion zu unterwerfen, die die Position rechtfertigt.

Was dieser Artikel nicht ist

Es ist keine Behauptung, ES³ sei schlecht. Die europäische Beschaffung braucht dringend Kriterien, und ein anbietergeführter Standard mit Audit-Infrastruktur ist signifikant besser als der aktuelle Stand.

Es ist keine Behauptung, Schumann oder Müller hätten in schlechter Absicht gehandelt. Der Interessenkonflikt ist strukturell, nicht motivisch.

Es ist keine Behauptung, der Standard werde scheitern. ES³ kann zur dominanten europäischen Referenz werden; er kann auch vom regulatorischen Vier-Stufen-System der CADA abgelöst werden. Beide Ergebnisse sind möglich.

Was vor der Übernahme zu fragen ist

Die Frage für öffentliche Beschaffer, die ES³ als Beschaffungskriterium erwägen, ist kurz und es lohnt sich, sie auszusprechen: Würden Sie ein Souveränitäts-Reifegradmodell übernehmen, das von Microsoft geschrieben und von KPMG verifiziert wäre, zu denselben Bedingungen?

Wenn die Antwort nein lautet, verlangt der entsprechende Standard für ES³ dieselbe kritische Prüfung. Der Interessenkonflikt verschwindet nicht, weil der schreibende Anbieter europäisch statt amerikanisch ist. Er wird reduziert — die Jurisdiktionsexposition unterscheidet sich zwischen Anbietern —, aber das Kriterienauswahlproblem ist identisch.

Das nächste zu beobachtende Signal ist der Kriterienkatalog selbst. Zum Redaktionsschluss ist der vollständige Text nicht öffentlich. Die neue Vergaberechtsklausel des Bundestags braucht konkrete Kriterien, um zu wirken. Wenn ES³ zu diesem Anker wird, bevor der Katalog veröffentlicht ist, hat die deutsche öffentliche Beschaffung ihre Souveränitätsdefinition an eine Lidl-Tochter ausgelagert. Das ist nicht zwangsläufig falsch. Es ist strukturell identisch mit der Auslagerung von Souveränitätsdefinitionen an Microsoft, nur mit dem Akzent einer anderen Jurisdiktion.

Quellen

Themenübersicht: Digitale Souveränität in Europa Verwandte Artikel: Souveränitäts-Washing erklärt, Souveränität als Vergaberecht