Digitale Souveränität beginnt nicht mit einem Masterplan

Viele Unternehmen wollen mehr Kontrolle über ihre Daten, bleiben aber trotzdem bei den Plattformen, von denen sie unabhängiger werden wollten. Sönke Liebau, Mitgründer und CPO von Stackable, sieht den Grund dafür nicht zuerst in der Technik. Digitale Souveränität scheitert seiner Einschätzung nach häufiger an Verantwortung, Mut und fehlenden klaren Einstiegspunkten.

Digitale Souveränität klingt in vielen Unternehmen längst nach Pflichtprogramm. Daten sollen kontrollierbarer werden, Infrastrukturen unabhängiger, Abhängigkeiten von einzelnen Cloud- und Softwareanbietern geringer. In der Praxis bleibt es aber oft bei Absichtserklärungen. Gerade dort, wo Vendor-Lock-in längst als Risiko erkannt ist, werden bestehende Plattformentscheidungen trotzdem weiter verlängert.

Für Sönke Liebau, Mitgründer und CPO des Open-Source-Datenplattformanbieters Stackable, liegt das Problem selten nur in fehlender Technologie. Im Interview beschreibt er zwei Ebenen von Hindernissen: die offiziell genannten Gründe und die unausgesprochenen Blockaden. Fachkräftemangel, Kosten und technische Komplexität seien reale Faktoren, aber häufig lösbar. Schwerer wiege, was in Organisationen unter der Oberfläche wirkt: Risikoaversion, interne Politik und fehlende Rückendeckung.

„Wer als IT-Leiter oder CTO über eine Migration entscheidet und sie scheitert, trägt die Konsequenzen – nicht der externe Berater, nicht der Softwareanbieter.“

Dieser Satz trifft einen Kern der Debatte. Digitale Souveränität ist nicht nur eine Architekturfrage, sondern auch eine Entscheidungsfrage. Wer eine bestehende proprietäre Plattform ablöst, übernimmt Verantwortung für ein Projekt, das intern sichtbar ist und bei Problemen schnell politisch wird. Deshalb bleiben viele Organisationen bei der scheinbar sicheren Option, selbst wenn diese langfristig teurer und unflexibler werden kann.

Warum bekannte Anbieter so schwer loszulassen sind

Liebau verweist auf ein altes Muster der IT-Beschaffung: „Viele Unternehmen arbeiten noch immer nach dem Prinzip ‚Nobody ever got fired for buying …‘.“ Der Satz ist nicht neu, aber in der Cloud- und Datenplattformwelt aktueller denn je. Große Anbieter versprechen Skalierung, Komfort und klare Verantwortlichkeiten. Gleichzeitig entstehen Abhängigkeiten, die später nur noch mit hohem Aufwand aufzulösen sind.

Die Folge ist eine paradoxe Lage: Unternehmen sprechen über Resilienz, Compliance und Kontrolle, bauen aber weiter auf Systeme, bei denen zentrale Spielräume beim Anbieter liegen. Genau dieses Spannungsfeld zeigt sich auch bei KI-Cloud-Infrastrukturen, bei denen digitale Souveränität schnell zur Kosten- und Machtfrage wird. Entscheidend ist für Liebau deshalb nicht das Etikett einer Lösung, sondern die Kontrollfrage: „Wer hat am Ende die Kontrolle – das Unternehmen oder der Anbieter?“

Diese Frage lässt sich nicht allein über den Speicherort beantworten. Datenhoheit bedeutet mehr als die Wahl zwischen On-Premises, Cloud oder Hybridbetrieb. Es geht darum, ob Unternehmen selbst bestimmen können, wie Daten genutzt, geteilt, verarbeitet und weiterentwickelt werden. Ebenso wichtig ist, ob ein Wechsel des Anbieters realistisch möglich bleibt oder ob eine neue Plattform nur eine andere Form des Lock-ins erzeugt.

Open Source als Hebel, nicht als Zauberformel

Open Source spielt in dieser Strategie eine zentrale Rolle, aber Liebau warnt vor einer vereinfachten Sicht. Offener Quellcode allein mache noch keine souveräne Infrastruktur. Entscheidend sei, ob Unternehmen die damit verbundene Freiheit auch nutzen können.

„Open Source ist kein Allheilmittel, aber ein zentrales Mittel, um Abhängigkeiten zu reduzieren.“

Der Vorteil liegt auf der Hand: Offener Code ist nachvollziehbar, anpassbar und nicht an einen einzigen Hersteller gebunden. Anbieter können leichter gewechselt werden, Systeme lassen sich stärker auf eigene Anforderungen zuschneiden. Liebau formuliert den praktischen Nutzen deutlich: „Das ist der große Pluspunkt von Open Source: Der Quellcode ist jederzeit einsehbar.“ Daraus entstehe eine Transparenz, die proprietäre Systeme oft nicht bieten.

Das bedeutet aber nicht, dass jede Open-Source-Entscheidung automatisch gut ist. Auch offene Software braucht Wartung, Sicherheitsprozesse und einen klaren Blick auf die eigene Betriebsfähigkeit. Wer Open Source nur als kostenlose Alternative versteht, unterschätzt die Aufgabe. Wer sie dagegen als strategische Option betrachtet, gewinnt Spielraum. Genau deshalb lohnt sich ein nüchterner Blick auf typische Vorurteile rund um Open Source und ihre praktischen Grenzen.

Gleichzeitig verschiebt Open Source die Verantwortung. Wer mehr Kontrolle haben will, muss Betriebsmodelle, Zuständigkeiten und Know-how aufbauen. Das bedeutet nicht zwangsläufig, alles selbst machen zu müssen. Viele Unternehmen kombinieren Open-Source-Technologien mit kommerziellem Support, Managed Services oder externer Expertise. Souveränität heißt dann nicht Autarkie um jeden Preis, sondern die Fähigkeit, Entscheidungen selbst treffen und Anbieter wechseln zu können.

Der Einstieg muss nicht groß sein

Ein wichtiger Punkt in Liebaus Argumentation ist die Größe des ersten Schritts. Digitale Souveränität wird in Unternehmen oft so groß gedacht, dass sie kaum noch handhabbar wirkt: komplette Migrationen, neue Plattformarchitekturen, Governance-Programme, Budgetrunden, Boardentscheidungen. Dadurch entsteht der Eindruck, ein Unternehmen müsse erst einen umfassenden Masterplan haben, bevor es überhaupt anfangen könne.

Liebau hält das für falsch. Der Einstieg könne über ein klar abgegrenztes Pilotprojekt erfolgen, etwa eine einzelne interne Anwendung auf einer souveräneren Infrastruktur. Dadurch werde aus einem abstrakten Ziel ein überprüfbares Projekt. Teams sehen, dass neue Ansätze funktionieren, Risiken werden greifbarer und die interne Diskussion verändert sich.

„Digitale Souveränität muss keine strategische Entscheidung über Nacht sein – sie kann als konkretes Projekt beginnen, das man Schritt für Schritt verfolgt.“

Gerade für mittelständische Unternehmen ist dieser Gedanke relevant. Nicht jede Organisation kann oder will eine komplette Datenplattform auf einen Schlag umbauen. Aber fast jede Organisation kann prüfen, wo eine neue Anwendung, ein Analyseprojekt oder ein Datenservice bewusst anders aufgesetzt wird: mit offenen Standards, portablen Komponenten und klaren Wechselmöglichkeiten.

Ein Pilotprojekt hat dabei noch einen zweiten Effekt: Es zwingt Unternehmen, die sonst abstrakte Debatte in konkrete Entscheidungen zu übersetzen. Welche Daten liegen wo? Wer darf auf sie zugreifen? Wie werden Updates eingespielt? Welche Teile der Plattform können ersetzt werden, ohne die gesamte Architektur neu zu bauen? Solche Fragen klingen unspektakulär. Genau dort beginnt aber die eigentliche Souveränität.

Der bessere Einstieg ist deshalb selten die große Grundsatzrede im Managementmeeting. Sinnvoller ist ein sauber abgegrenzter Anwendungsfall mit klarer Verantwortung, messbarem Nutzen und dokumentierter Betriebslogik. Wenn dieser funktioniert, entsteht intern ein anderes Gespräch. Dann geht es nicht mehr darum, ob Souveränität theoretisch wünschenswert ist, sondern darum, wo der nächste belastbare Schritt liegt.

Kosten müssen über den gesamten Lebenszyklus betrachtet werden

Ein häufiges Gegenargument lautet, souveräne Lösungen seien teurer. Liebau widerspricht dieser pauschalen Annahme. Kurzfristig könnten Migration, Schulung und Aufbau von Wissen Kosten verursachen. Langfristig müsse aber die Total Cost of Ownership betrachtet werden. Proprietäre Lizenzmodelle, versteckte Gebühren für Datenvolumen, Nutzerzahlen oder Skalierung können über Jahre erhebliche Kostenrisiken erzeugen.

Der wirtschaftliche Vorteil souveräner Architekturen liegt daher nicht zwingend im niedrigsten Einstiegspreis. Er liegt in Transparenz, Planbarkeit und Verhandlungsmacht. Wer seine Datenplattform nicht vollständig in die Hand eines einzelnen Anbieters legt, bleibt beweglicher. Das kann bei Preisänderungen, neuen regulatorischen Anforderungen oder strategischen Kurswechseln entscheidend sein.

Gerade bei Datenplattformen wird dieser Punkt schnell unterschätzt. Was heute als bequemer Managed Service startet, kann später zur betriebswirtschaftlichen Falle werden, wenn Datenmengen wachsen, neue Teams Zugriff brauchen oder Auswertungen stärker automatisiert werden. Die technische Plattform skaliert dann zwar, die Rechnung aber auch. Souveräne Architektur heißt deshalb nicht, jeden Cloud-Dienst zu meiden. Sie heißt, Wechseloptionen, Datenportabilität und Exit-Kosten von Anfang an mitzudenken.

Das gleiche Prinzip gilt für Office- und Produktivitätssoftware. Wer proprietäre Plattformen ersetzen will, braucht nicht nur Ersatzprogramme, sondern Prozesse für Identitäten, Berechtigungen, Schulungen und Support. Der Wechsel zu Open-Source-Alternativen für Microsoft 365 zeigt exemplarisch, dass Souveränität in der Praxis immer aus Technik, Betrieb und Akzeptanz besteht.

Deutschland diskutiert, andere setzen um

Auch politisch sieht Liebau Nachholbedarf. Positiv nennt er etwa Schleswig-Holstein mit seiner Open-Source-Strategie. Gleichzeitig verweist er auf Länder, die den Umbau konsequenter angehen. Die Schweiz hat mit dem EMBAG eine Grundlage geschaffen, durch die Regierungssoftware als Open Source veröffentlicht werden muss; die Schweizer Bundeskanzlei beschreibt Open Source ausdrücklich als Teil der digitalen Transformation. Finnland und skandinavische Staaten gelten ebenfalls als aktiv, Frankreich will Ministerien stärker auf Open-Source-Lösungen ausrichten.

„In Deutschland wird oft noch diskutiert, während anderswo die Umsetzung konsequent vorangetrieben wird.“

Für Unternehmen ist diese politische Ebene mehr als Hintergrundrauschen. Je stärker öffentliche Verwaltung, kritische Infrastruktur und regulierte Branchen auf digitale Souveränität setzen, desto mehr entstehen Standards, Erfahrungen und Dienstleisterökosysteme. Das senkt auch für private Unternehmen die Einstiegshürden.

Für Deutschland ist das unbequem, aber produktiv. Der Verweis auf fehlende Fachkräfte oder schwierige Migrationen erklärt vieles, löst aber nichts. Wenn andere Staaten Open Source verbindlicher in Verwaltung und Beschaffung verankern, entstehen dort Erfahrungen, die später auch wirtschaftliche Standortvorteile bringen können. Souveränität wird dann nicht nur zu einem IT-Ziel, sondern zu einem industriepolitischen Faktor.

Datensouveränität braucht auch Datenschutz-Kompetenz

Ein weiterer Punkt wird in der Souveränitätsdebatte häufig zu eng behandelt: Kontrolle über Daten ist nicht automatisch gleichbedeutend mit besserem Datenschutz. Unternehmen können ihre Infrastruktur selbst betreiben und trotzdem schlechte Zugriffskonzepte, unklare Löschfristen oder riskante Auswertungsprozesse haben. Souveränität schafft die Möglichkeit zur Kontrolle. Ob diese Kontrolle sinnvoll genutzt wird, ist eine Governance-Frage.

Das wird besonders relevant, wenn Datenplattformen mit KI-Systemen verbunden werden. Trainingsdaten, interne Dokumente, Kundendaten und Analyseergebnisse können neue Risiken erzeugen, wenn sie ohne klare Regeln in Modelle, Agenten oder externe Dienste wandern. Wer über souveräne Datenplattformen spricht, muss deshalb auch über Vertraulichkeitslücken in KI-Systemen und den Schutz sensibler Daten sprechen.

Souveränität ist eine Führungsentscheidung

Am Ende bleibt digitale Souveränität eine technische und strategische Aufgabe zugleich. Die Technologie ist vorhanden: Open Source, Automatisierung, modulare Datenplattformen, hybride Betriebsmodelle und externe Supportstrukturen. Was oft fehlt, ist der Wille, ein begrenztes Risiko einzugehen und daraus eine belastbare Alternative zu entwickeln.

Genau an dieser Stelle wird aus der IT-Frage eine Führungsfrage. Wer Datenplattformen, Cloud-Dienste und proprietäre Software nur nach kurzfristiger Bequemlichkeit auswählt, delegiert strategische Spielräume nach außen. Wer Souveränität ernst nimmt, muss dagegen Kriterien definieren: Welche Daten dürfen nie in fremde Kontrollsphären geraten? Welche Komponenten müssen austauschbar bleiben? Welche Fähigkeiten sollen intern aufgebaut werden? Und an welchen Stellen ist externe Unterstützung sinnvoll, ohne die Kontrolle aus der Hand zu geben?

Liebau bringt diese Haltung auf eine kurze Formel: „Manchmal braucht Souveränität einfach mehr Mut.“ Dieser Mut muss nicht in einem radikalen Bruch bestehen. Er kann auch darin liegen, die nächste Datenanwendung nicht wieder automatisch beim bekannten Anbieter zu platzieren, sondern bewusst eine offenere Architektur zu wählen.

„Der erste konkrete Schritt verändert die Perspektive. Nicht weil er alle Probleme löst, sondern weil er zeigt, dass digitale Souveränität kein Wunschdenken ist, sondern machbar.“

Genau darin liegt die eigentliche Botschaft des Interviews. Digitale Souveränität entsteht nicht durch ein Schlagwort und auch nicht durch eine einzelne Produktentscheidung. Sie entsteht durch wiederholte, überprüfbare Entscheidungen zugunsten von Kontrolle, Transparenz und Wechselbarkeit. Wer so beginnt, muss nicht sofort unabhängig von allem werden. Aber er verhindert, dass die nächste strategische Datenplattform wieder zur nächsten langfristigen Abhängigkeit wird.

Der Weg dorthin ist weder romantisch noch besonders bequem. Er besteht aus Architekturentscheidungen, Budgetfragen, Schulungen, Verantwortlichkeiten und manchmal auch aus unbequemen Gesprächen mit bestehenden Anbietern. Aber er ist konkreter, als die Buzzword-Debatte vermuten lässt. Liebaus wichtigste Botschaft lautet deshalb nicht, dass jedes Unternehmen sofort alles auf Open Source umstellen muss. Sie lautet: Wer digitale Souveränität will, muss anfangen, sie an einer Stelle praktisch zu beweisen.