Die Diskussion um digitale Souveränität in Europa nimmt aktuell ordentlich Fahrt auf. Spätestens seit der Übernahme eines der letzten größeren unabhängigen europäischen E-Mail-Security-Anbieter durch ein US-Unternehmen ist deutlich geworden, wie schnell gewachsene IT-Strukturen in fremde Hände übergehen können.
Dass mit Hornetsecurity ein Unternehmen betroffen ist, das hauptsächlich rund um Microsoft 365 aktiv ist, dürfte viele Anwender nachdenklich stimmen – nicht nur mit Blick auf den Datenschutz. Der zunehmende Einfluss außereuropäischer Akteure auf zentrale digitale Infrastrukturen wirft nicht nur strategische und wirtschaftliche Fragen auf, sondern betrifft in kritischen Branchen und Prozessen auch zentrale Aspekte wie Kontrolle und Verfügbarkeit..
Politische Interessen treffen auf kritische Infrastrukturen
Ein besonders deutliches Signal für Europas digitale Abhängigkeit war kürzlich die Sperrung bestimmter E-Mail-Dienste durch Microsoft. Im Rahmen geopolitischer Spannungen rund um Ermittlungen gegen den Chefankläger des Internationalen Strafgerichtshofs wurde dessen Zugang zu Microsoft-Konten offenbar blockiert. Auch wenn es in diesem speziellen Fall nachvollziehbare Motive gegeben haben mag, zeigt das Beispiel, wie stark europäische Nutzer im Zweifelsfall von politischen Entscheidungen außerhalb der EU abhängig sind.
Vor diesem Hintergrund rücken auch altbekannte regulatorische Rahmenbedingungen wie der US CLOUD Act erneut in den Fokus: Selbst wenn Daten physisch auf Servern in der EU liegen, kann bei US-amerikanischen Anbietern der Zugriff durch US-Behörden rechtlich durchgesetzt werden. Das ist nicht neu, erhält aber angesichts wachsender geopolitischer Instabilität eine ganz neue Brisanz.
Europäische Anbieter: Es geht um mehr als Rechenzentrumsstandorte
Vielen Unternehmen reicht es daher nicht mehr, wenn Anbieter allein auf Rechenzentren in Deutschland oder Europa verweisen. Echte digitale Souveränität ist nur gewährleistet, wenn auch der rechtliche Hauptsitz und die Eigentümerstrukturen durch und durch europäisch sind, und zwar ohne (direkten oder indirekten) Einfluss durch Investoren oder Muttergesellschaften außerhalb der EU. Nur so lassen sich europäische Datenschutzstandards und Werte dauerhaft garantieren.
Viele Organisationen sind an unterschiedlichsten Stellen ihrer IT von US-Anbietern abhängig. Am sensiblen Thema E-Mail-Sicherheit wird aber deutlich, wie wichtig Lösungen sind, die unabhängig vom E-Mail-Anbieter funktionieren und sich im Falle eines Wechsels weiter betreiben lassen. Wer sich hier auf ein vollständig proprietäres Ökosystem verlässt, dem bleiben im Falle eines Falles nicht mehr viele Handlungsoptionen.
Sicherheit bedeutet auch Kontrolle
Klar ist auch: E-Mail-Security ist längst mehr als das bloße Abwehren von Phishing oder Malware. E-Mail ist und bleibt ein kritischer Bestandteil der digitalen Kommunikation, in Unternehmen ebenso wie in staatlichen Stellen. Die Grenzen zwischen Sicherheit, Infrastruktur und E-Mail-Management verwischen zunehmend. Deswegen gehört die Kontrolle über diesen Kanal in europäische Hände, technisch wie juristisch.
Die Entscheidung für einen europäischen Anbieter ist also über das politische Statement hinaus wirtschaftliche und rechtliche Notwendigkeit. Wer digitale Kommunikation auf lange Sicht sicher, rechtskonform und flexibel gestalten möchte, muss berücksichtigen, wie unabhängig ein Anbieter faktisch ist und welche Flexibilität er im Krisenfall ermöglicht.
