This article is also available in English

Dieser Artikel ist Teil einer Reihe.

  • Teil 1: Digitale Souveränität – Ein Definitionsversuch
  • Teil 2: CIO-Fragestellungen zur digitalen Souveränität
  • Teil 3: Digitale Souveränität: Warum die Architektur zählt und wie Sie Ihr Unternehmen resilient machen
  • Teil 4: Governance-Methodik für digitale Souveränität (dieser Artikel)
  • Teil 5: EU-Datenverordnung: Der Anfang vom Ende der Cloud-Monokultur?
  • Teil 6: Dateninventare im EU Data Act: Die Demokratisierung der IoT-Geräte
  • Teil 7: Der Weg zur heterogenen Cloud Plattform
  • Teil 8: Digitale Souveränität durch Standardsoftware erreichen
  • Teil 9: Die Souveränitätslücke: Zwischen Tiananmen und Trump
  • Teil 10: Lokal denken, Vorsprung sichern: On-Premise-LLMs als strategischer Hebel
  • Teil 11: Von Datenfriedhöfen zu Wissenslandschaften
  • Teil 12: Digitale Souveränität als Selbstverständnis

Digitale Souveränität: Ein vielschichtiger Ansatz

Der Begriff der digitalen Souveränität wird oft auf die Frage reduziert, ob Daten in europäischen Rechenzentren liegen oder ob Software von europäischen Anbietern stammt. Dies ist zweifellos ein wichtiger Aspekt, greift aber zu kurz. Digitale Souveränität ist ein multidimensionales Konzept, das tief in die operationellen und strategischen Entscheidungsprozesse von Unternehmen hinein wirkt. Sie beeinflusst nicht nur die technologische Landschaft, sondern hat weitreichende Auswirkungen auf die interne Governance und das Staffing von internen, aber auch externen Mitarbeiter:innen. Die Kernfrage, die sich Unternehmen stellen müssen, ist: Wer hat zu welchem Zeitpunkt welche Kontrolle über unsere kritischen digitalen Assets und Prozesse? Diese Kontrolle geht über rein technische Aspekte hinaus und umfasst juristische, organisatorische und personelle Dimensionen. Wenn wir beispielsweise interne Teams oder externe Dienstleister beauftragen, müssen wir uns klar machen, welche Verantwortlichkeiten wir abgeben und welche wir behalten wollen. Dies erfordert eine präzise Definition von Verantwortlichkeiten und deren Grenzen.

Verantwortlichkeiten verorten und abgrenzen: Der Schlüssel zur Kontrolle

Eine effektive Governance-Methodik im Kontext digitaler Souveränität beginnt mit der klaren Verortung und Definition von Verantwortlichkeiten. Es ist entscheidend zu verstehen, welche Teile der digitalen Wertschöpfungskette kritisch für die eigene Handlungsfähigkeit sind und wo Abhängigkeiten bestehen. Hier spielen Fragen der Verfügbarkeit, des Datenschutzes, der Datensicherheit und der strategischen Relevanz eine zentrale Rolle.

Konkrete Ansatzpunkte für die Verantwortungsabgrenzung sind:

  • Definition von Domänen und Verantwortungsbereichen: Unternehmen sollten ihre Geschäftsprozesse in klare Domänen unterteilen. Jede Domäne sollte eine oder mehrere verantwortliche Einheiten (Teams, Abteilungen) haben, die für die digitale Souveränität innerhalb dieser Domäne zuständig sind. Dies kann sich in Form von eigenständigen Systemen oder Services manifestieren, die eine hohe Autonomie und damit auch Kontrollierbarkeit ermöglichen.

  • Klare Schnittstellen und Verträge: Wenn Verantwortlichkeiten delegiert werden, sei es an interne Teams oder externe Partner:innen, müssen die Schnittstellen und die damit verbundenen Service Level Agreements (SLAs) und Verträge detailliert ausgearbeitet werden. Dies gilt insbesondere für Aspekte wie Datenhaltung, Zugriffsberechtigungen, Auditierbarkeit und Exit-Strategien.

  • Regelmäßige Überprüfung und Auditierung: Die einmalige Definition von Verantwortlichkeiten ist nicht ausreichend. Eine fortlaufende Überprüfung und Auditierung der Umsetzung ist notwendig, um sicherzustellen, dass die definierten Grenzen eingehalten werden und die gewünschte Souveränität gewahrt bleibt.

Vendor Management unter dem Aspekt digitaler Souveränität

Die Auswahl von Vendoren ist ein kritischer Hebel zur Gestaltung digitaler Souveränität. Über die rein funktionalen und Kostenaspekte hinaus sollten Unternehmen Klassifizierungen einführen, die die digitale Souveränität explizit berücksichtigen.

Mögliche Klassifizierungskriterien könnten sein:

  • Strategische Relevanz: Wie kritisch ist der Dienst oder das Produkt des Vendors für unsere Kernprozesse und unsere zukünftige Innovationsfähigkeit? Gleiches gilt für die Domänen, in denen man mit Unterstützung von externen Vendoren Software entwickeln lässt. Eine hohe strategische Relevanz erfordert eine engere Kontrolle und eine höhere Sensibilität für Souveränitätsfragen.

  • Resilienz und Ausfallsicherheit: Wie robust ist der Vendor gegenüber geopolitischen Veränderungen, Cyberangriffen oder Naturkatastrophen? Dies beinhaltet die Überprüfung der Infrastruktur, der Sicherheitskonzepte und der Notfallpläne.

  • Datenschutz und Compliance: Entspricht der Vendor den geltenden Datenschutzbestimmungen (z.B. DSGVO) und anderen relevanten regulatorischen Anforderungen (z.B. DORA, NIS-2)? Hier ist ein besonderer Fokus auf die physische Lokation der Daten und die juristische Gerichtsbarkeit des Anbieters zu legen.

  • Lieferkettenrisiken: Welche Abhängigkeiten bestehen in der Lieferkette des Vendors selbst? Woher stammen die Komponenten und Dienstleistungen, die der Vendor zur Verfügung stellt?

  • Lock-in-Potenzial: Wie leicht ist es, von einem Vendor zu einem anderen zu wechseln oder eine Lösung inhouse zu betreiben? Open-Source-Lösungen oder offene Standards können hier Vorteile bieten.

  • Transparenz und Auditierbarkeit: Wie transparent ist der Vendor hinsichtlich seiner Prozesse, Sicherheitsmaßnahmen und seiner eigenen Governance? Sind Audits durch unabhängige Dritte möglich?

Diese Klassifizierungen sollten nicht nur bei der Erstauswahl, sondern auch während der gesamten Vertragslaufzeit regelmäßig überprüft werden. Unternehmen können hier Checklisten und Scoring-Modelle entwickeln, die in den Beschaffungsprozess integriert werden.

Wardley Maps als strategisches Hilfsmittel

Um die Komplexität der digitalen Souveränität zu handhaben und strategische Entscheidungen zu treffen, können visuelle Werkzeuge wie Wardley Maps einen wertvollen Beitrag leisten. Wardley Maps ermöglichen es, die Wertschöpfungskette eines Unternehmens zu visualisieren und die Evolution ihrer Komponenten von „Genesis” über „Custom Build” und „Product” hin zu „Commodity” darzustellen.

Wie Wardley Maps im Kontext digitaler Souveränität helfen können:

  • Abhängigkeiten sichtbar machen: Wardley Maps zeigen explizit, welche Komponenten (z.B. Cloud-Dienste, Software-Lösungen, Infrastruktur) das Unternehmen nutzt und wie sie miteinander verbunden sind. Dies hilft, strategisch relevante Abhängigkeiten zu identifizieren, die möglicherweise ein Souveränitätsrisiko darstellen.

  • Risiken bewerten: Indem man die Reife und den Grad der Kommoditisierung von Komponenten analysiert, kann man potenzielle Lock-in-Effekte oder fehlende Alternativen erkennen. Eine reife, als Commodity verfügbare Komponente birgt in der Regel weniger Souveränitätsrisiken als eine hochspezialisierte, kundenspezifische Lösung.

  • Alternativen identifizieren: Die Map kann aufzeigen, wo europäische Alternativen oder Open-Source-Lösungen existieren, die ein höheres Maß an Souveränität bieten könnten (z.B. GAIA-X, Matrix-Protokoll, Nextcloud, STACKIT oder OVHCloud).

  • Strategische Entscheidungen ableiten: Basierend auf der Map können Unternehmen entscheiden, welche Komponenten sie selbst entwickeln, welche sie einkaufen, welche sie als Commodity betrachten und wo sie gegebenenfalls auf europäische Anbieter umsteigen sollten. Dies kann auch die Entscheidung beeinflussen, ob man eine Komponente selbst betreibt oder als Managed Service einkauft.

  • Kommunikation mit Stakeholder:innen: Die visuelle Natur der Wardley Maps erleichtert die Kommunikation komplexer Abhängigkeiten und strategischer Optionen mit verschiedenen Stakeholder:innen, von der Geschäftsführung bis zu den Entwicklungsteams.

Praktische Umsetzung im Unternehmen: Die digitale Zukunft aktiv gestalten

Die Umsetzung einer souveränen IT-Strategie erfordert mehr als nur technologische Anpassungen. Es ist ein kultureller Wandel, der organisatorische und personelle Hebel in Bewegung setzt.

Organisatorische Anpassungen:

  • Etablierung eines Souveränitäts-Boards: Ein interdisziplinäres Gremium aus IT, Recht, Einkauf und Business kann die Einhaltung der Souveränitätskriterien überwachen und strategische Entscheidungen koordinieren.

  • Stärkung von Autonomie und Verantwortlichkeit der Teams: Eine moderne Organisationsstruktur kann die Autonomie und Verantwortlichkeit der Teams stärken, was eine agile Berücksichtigung von Souveränitätsaspekten ermöglicht. Teams, die für spezifische Domänen verantwortlich sind, können eigenständig über die Umsetzung von Souveränitätsanforderungen entscheiden.

  • Förderung von interner Expertise: Um Abhängigkeiten zu reduzieren, ist der Aufbau von internem Know-how essenziell. Dies betrifft nicht nur technische Fähigkeiten, sondern auch Expertise in den Bereichen Recht, Compliance und Vendor-Management.

Technische Maßnahmen:

  • Architekturentscheidungen bewusst treffen: Ziel ist es, Architekturen zu schaffen, die Resilienz, Portabilität und Kontrolle ermöglichen.

  • Open Source und offene Standards: Der Einsatz von Open-Source-Lösungen und die Adhärenz an offene Standards können das Lock-in-Potenzial reduzieren und die Austauschbarkeit von Komponenten erleichtern.

  • Multi-Cloud und Hybrid-Cloud-Strategien: Eine Diversifizierung der Cloud-Anbieter kann das Risiko von Abhängigkeiten minimieren.

Kultureller Wandel:

  • Bewusstsein schaffen: Mitarbeiter:innen auf allen Ebenen müssen für die Bedeutung digitaler Souveränität sensibilisiert werden.

  • Experimentierfreude fördern: Ermutigen Sie Teams, europäische Alternativen oder Open-Source-Lösungen auszuprobieren und Best Practices zu teilen.

  • Kontinuierliches Lernen: Digitale Souveränität ist kein statisches Ziel, sondern ein fortlaufender Prozess. Unternehmen müssen bereit sein, kontinuierlich zu lernen und sich an neue Entwicklungen anzupassen.

Fazit

Digitale Souveränität ist kein „Nice-to-have”, sondern eine strategische Notwendigkeit in der heutigen digitalen Landschaft. Sie bietet Unternehmen die Chance, resilienter, handlungsfähiger und zukunftssicher zu werden. Eine durchdachte Governance-Methodik, die über die reine technische Betrachtung hinausgeht und Aspekte wie Verantwortungsabgrenzung, Vendor-Management und strategische Planung mittels Tools wie Wardley Maps integriert, ist der Schlüssel zur erfolgreichen Gestaltung der eigenen digitalen Zukunft.

TAGS