Digitale Souveränität: Warum wir CSF und eine eigene Matrix brauchen
- Klaus Becker
- vor 12 Stunden
- 2 Min. Lesezeit
"Digitale Souveränität" ist gerade überall.
Was mir dabei oft fehlt: Wofür nutze ich welches Instrument und wofür nicht?
Zwei Dinge, die man sauber trennen sollte:
1. EU Cloud Sovereignty Framework (CSF, Version 1.2.x - Okt 2025) Das CSF ist ein Mess- und Bewertungsinstrument. Es beantwortet die Frage:
Wie souverän ist ein konkreter Cloud-Service entlang klar definierter Kriterien?
Mit 8 Dimensionen (Recht, Daten, Betrieb, Lieferkette etc.) und messbaren Reifegraden ist das CSF ideal für Beschaffung, Ausschreibungen und Due Diligence. Aber: Es liefert Profile, keine Zielbilder.
2. Unsere OAKAI-Souveränitäts-Arbeitsmatrix Die Matrix ist kein Ersatz für das CSF, sondern eine Übersetzungshilfe. Sie beantwortet eine andere Frage:
Welche Art von digitaler Souveränität brauchen wir für welchen Workload?
Statt 8 paralleler Achsen arbeitet sie bewusst mit wenigen Reifestufen:
Compliance
Kontrolle
Technologische Unabhängigkeit
Jurisdiktionale Souveränität
Strategische / geopolitische Autonomie
Die OAKAI-Arbeitsmatrix ist kein offizielles Framework, sondern eine Arbeits- und Entscheidungslogik, abgeleitet aus CSF, BSI C5 und praktischer CIO-Erfahrung.
Dimension | Stufe 1 Compliance | Stufe 2 Kontrolle | Stufe 3 Technik | Stufe 4 Jurisdiktion | Stufe 5 Strategisch |
Daten | DSGVO, EU-Region | BYOK/HYOK, Löschkonzepte | Portabel, offene Formate | Kein extraterritoriales Zugriffsrecht | EU-Datenräume |
Betrieb | Zertifiziert (ISO, C5) | Exit-fähig | Austauschbare Komponenten | Betrieb ohne Drittstaaten | Vollständig EU-betrieben |
Technologie | Proprietär erlaubt | API-Zugriff | Open Source / offene Standards | Fork-fähig ohne Rechtsrisiken | EU-IP / EU-Roadmap |
Recht & Jurisdiktion | EU-Recht anwendbar | Transparente Legal Requests | Vertragsmechanismen | Keine CLOUD-Act-Exposition | Ausschließlich EU-Recht |
Lieferkette | Transparenz | Dual Sourcing | Austauschbare Lieferanten | Kein kritischer Non-EU-Single-Point | EU-Wertschöpfung |
Governance | Provider-Governance | Kunden-Kontrollen | Technische Durchsetzbarkeit | Unabhängig von Fremdrecht | Strategische Autonomie |
Das ist kein Zertifizierungsmodell, sondern ein Entscheidungsmodell für Architektur, Roadmaps und Vorstandsdiskussionen.
Beispiel: Ein HR-System braucht eine andere Souveränitätsstufe als Kollaboration oder Marketing-Websites.
Warum beides?
Das CSF misst.
Die OAKAI-Arbeitsmatrix priorisiert.
Oder anders gesagt:
Das CSF sagt, wie souverän etwas ist. Die Matrix sagt, wie souverän es sein muss.
Erst zusammen wird aus "Digitaler Souveränität" etwas Operatives und kein Schlagwort.
Stellt euch im nächsten Architektur- oder Vorstandstermin nur eine Frage:
Wo brauchen wir maximale Souveränität und wo nicht?
Wenn diese Antwort fehlt, fehlt die Entscheidungsgrundlage.
Quellen: - CSF: https://commission.europa.eu/document/download/09579818-64a6-4dd5-9577-446ab6219113_en?filename=Cloud-Sovereignty-Framework.pdfBSI - C5: https://www.bsi.bund.de/dok/7685384
Kommentare