Download on the App Store

Sollten staatliche Institutionen Cloud-Dienste von US-Unternehmen nutzen dürfen?

Eröffnungsrede (These)

Eröffnungsrede der Pro-Seite

Sehr geehrte Damen und Herren,
wir vertreten die klare Position: Ja, staatliche Institutionen sollten Cloud-Dienste von US-Unternehmen nutzen dürfen – und zwar nicht trotz, sondern gerade wegen der globalen Verflechtung unserer digitalen Welt.

Dabei verstehen wir unter „staatlichen Institutionen“ alle Behörden, Ämter und öffentlichen Einrichtungen, die im Auftrag der Bürger handeln. Und „Cloud-Dienste von US-Unternehmen“ meint Plattformen wie Microsoft Azure, Amazon Web Services oder Google Cloud – globale Infrastrukturen, die heute Standards setzen, nicht nur in der Wirtschaft, sondern zunehmend auch im öffentlichen Sektor.

Unsere Argumentation ruht auf drei Säulen:

Erstens: Technologische Exzellenz sichert öffentliche Dienstleistung.
Staatliche IT-Systeme müssen stabil, sicher und skalierbar sein – besonders in Krisenzeiten. Während viele nationale Rechenzentren noch mit veralteter Hardware kämpfen, bieten US-Cloud-Anbieter KI-gestützte Sicherheitsprotokolle, automatische Updates und Ausfallsicherheit auf höchstem Niveau. Als Beispiel: Während der Pandemie konnten Länder wie Estland oder Dänemark dank hybrider Cloud-Lösungen innerhalb von Stunden digitale Impfzertifikate bereitstellen. Wer solche Werkzeuge ablehnt, riskiert, seine Bürger im Stich zu lassen.

Zweitens: Internationale Kooperation erfordert interoperable Systeme.
Europa agiert nicht im luftleeren Raum. Ob bei der Bekämpfung von Cyberkriminalität, grenzüberschreitenden Steuerdaten oder humanitären Einsätzen – wir brauchen Systeme, die mit Partnern weltweit kommunizieren können. US-Cloud-Plattformen sind de facto der globale Standard. Wer sich davon abkoppelt, isoliert sich nicht nur technisch, sondern politisch.

Drittens: Risiken sind beherrschbar – durch kluge Regulierung, nicht durch pauschale Verbote.
Ja, der US CLOUD Act existiert. Aber niemand zwingt uns, sensible Daten ungeschützt zu speichern. Mit Verschlüsselung vor dem Upload („Bring Your Own Key“), strengen Service-Level-Agreements und geografischer Datenlokalisierung – etwa in deutschen Rechenzentren von Microsoft – können Risiken minimiert werden. Das ist nicht Naivität, sondern risikobasierte Digitalpolitik.

Manche werden einwenden: „Das ist digitale Unterwerfung!“ Doch wir sagen: Souveränität entsteht nicht durch Abschottung, sondern durch Kompetenz. Wer die besten Werkzeuge nutzt – und weiß, wie man sie sicher einsetzt –, bleibt handlungsfähig. In einer Welt, in der Bits schneller reisen als Grenzen gezogen werden, ist strategische Offenheit die wahre Stärke.

Eröffnungsrede der Contra-Seite

Meine Damen und Herren,
wir sagen klar: Nein, staatliche Institutionen sollten Cloud-Dienste von US-Unternehmen nicht nutzen dürfen – denn digitale Souveränität ist kein technisches Detail, sondern die Grundlage staatlicher Handlungsfähigkeit.

Wenn wir von „staatlichen Institutionen“ sprechen, meinen wir nicht nur Finanzämter oder Schulen, sondern auch Polizei, Geheimdienste, Katastrophenschutz – Träger sensibelster Daten über unsere Bürger, unsere Infrastruktur, unsere Sicherheit. Und wenn diese Daten auf Servern landen, die letztlich US-amerikanischem Recht unterliegen, geben wir Kontrolle ab – unwiderruflich.

Unsere Haltung stützt sich auf drei unabweisbare Gründe:

Erstens: Der CLOUD Act macht jedes Datenschutzversprechen hinfällig.
US-Unternehmen müssen auf Anordnung amerikanischer Behörden – oft ohne Wissen des betroffenen Landes – Daten herausgeben. Selbst wenn die Server physisch in Frankfurt stehen: Solange der Betreiber US-domiziliert ist, gilt US-Recht. Das ist kein hypothetisches Szenario. 2022 wurde bekannt, dass US-Behörden über Microsoft auf Kommunikationsdaten europäischer Parlamentarier zugriffen. Wenn der Staat nicht einmal garantieren kann, dass seine eigenen Akten vor fremden Augen geschützt sind – was bleibt dann von seiner Autorität?

Zweitens: Technologische Abhängigkeit schwächt strategische Autonomie.
Stellen Sie sich vor: Mitten in einer Krise – sei es ein Cyberangriff, ein Handelskonflikt oder gar ein militärischer Konflikt – beschließt die US-Regierung, den Zugriff auf Cloud-Dienste einzuschränken. Was dann? Werden Krankenhäuser offline gehen? Wird die Polizei ihre Fahndungsdatenbank nicht mehr erreichen? Abhängigkeit ist kein Geschäftsmodell – sie ist ein Sicherheitsrisiko ersten Ranges.

Drittens: Wir verschleudern unsere eigene Zukunft.
Indem wir US-Anbietern den Markt überlassen, töten wir den europäischen Cloud-Markt im Keim. GAIA-X, Scaleway, Deutsche Cloud – all diese Initiativen sterben, sobald der Staat als größter Kunde abwandert. Dabei ist digitale Souveränität keine nationalistische Fantasie, sondern eine Investition in heimische Innovation, Arbeitsplätze und technologische Resilienz.

Die Pro-Seite mag von „beherrschbaren Risiken“ sprechen – doch bei staatlichen Daten geht es nicht um Risikomanagement, sondern um Unverfügbarkeit. Sobald ein fremder Staat theoretisch Zugriff auf unsere sensibelsten Informationen hat, ist die Souveränität kompromittiert.

Wir wollen keinen digitalen Bunker – aber wir wollen einen digitalen Schutzraum. Und den bauen wir nicht mit US-Servern, sondern mit eigenem Know-how, eigenem Recht und eigenem Willen.

Widerlegung der Eröffnungsrede

Widerlegung der Pro-Seite

Meine Damen und Herren,

die Contra-Seite zeichnet ein düsteres Bild: US-Cloud-Anbieter als trojanische Pferde, der CLOUD Act als digitale Guillotine, und jede Nutzung als Verrat an der nationalen Souveränität. Das klingt dramatisch – aber leider mehr nach Hollywood als nach Realpolitik.

Erstens: Der CLOUD Act ist kein Blankoscheck.
Ja, US-Behörden können Zugriff verlangen – aber nur im Rahmen strenger gerichtlicher Genehmigungen und nur bei konkretem Verdacht. Und nein, das bedeutet nicht, dass jedes deutsche Finanzamt-Dokument automatisch in Langley landet. Die Contra-Seite blendet dabei bewusst aus, dass es heute Ende-zu-Ende-Verschlüsselung mit kundenseitigem Schlüsselmanagement gibt. Wenn der Staat seine Daten vor dem Upload verschlüsselt – und den Schlüssel niemals dem Anbieter übergibt –, dann kann selbst Microsoft nicht helfen, wenn das FBI klopft. Dann steht da nur: „Sorry, wir sehen nur Rauschen.“ Das ist keine Theorie, sondern Praxis – etwa bei der Schweizer Armee, die AWS nutzt, aber ihre Schlüssel selbst hält.

Zweitens: Strategische Abhängigkeit? Oder strategische Naivität?
Die Contra-Seite malt Szenarien, als stünden wir kurz vor einem digitalen Kalten Krieg. Doch wer glaubt ernsthaft, dass die USA mitten in einer Pandemie deutschen Krankenhäusern den Cloud-Zugang kappen? Das wäre politischer Selbstmord – und wirtschaftlicher Wahnsinn. Die USA profitieren genauso von Stabilität wie wir. Und selbst im Extremfall: Wer heute meint, mit GAIA-X binnen fünf Jahren eine vollständige Alternative zu Azure aufzubauen, lebt in einer Parallelwelt. Bis dahin wären unsere Behörden mit veralteten Systemen unterwegs – und genau das macht uns verwundbar, nicht die Nutzung moderner Infrastruktur.

Drittens: Europäische Innovation wird nicht durch Boykott, sondern durch Nutzung gestärkt.
Ironischerweise schwächt die Contra-Haltung gerade das, was sie schützen will. Denn europäische Cloud-Anbieter brauchen nicht staatliche Abschottung, sondern Interoperabilität mit globalen Standards, um wettbewerbsfähig zu werden. Microsoft arbeitet bereits eng mit deutschen Partnern zusammen – etwa bei der „Deutschen Cloud“ mit der T-Systems. Das ist kein Unterwerfungsgestus, sondern eine Brücke. Wer stattdessen sagt: „Nur 100 % heimisch oder gar nicht“, tötet Innovation durch Reinheitsgebot.

Die wahre Bedrohung für digitale Souveränität ist nicht die Nutzung US-amerikanischer Technologie – sondern die Weigerung, sie souverän zu nutzen.

Widerlegung der Contra-Seite

Sehr geehrte Damen und Herren,

die Pro-Seite preist uns eine Welt, in der Technologie alle Probleme löst – solange man nur den richtigen Anbieter wählt. Doch hinter dieser scheinbaren Sachlichkeit verbirgt sich eine gefährliche Illusion: die Vorstellung, man könne Souveränität outsourcen.

Erstens: Technologische Exzellenz ersetzt nicht politische Kontrolle.
Ja, US-Clouds sind schnell, stabil, vielleicht sogar „exzellent“. Aber was nützt die beste Infrastruktur, wenn ein fremder Staat sie theoretisch abschalten oder anzapfen kann? Die Pro-Seite sagt: „Verschlüsselung schützt!“ Doch was, wenn der Angreifer nicht die Daten stiehlt, sondern den Dienst lahmlegt? Was, wenn ein Update plötzlich blockiert wird – nicht aus technischen, sondern politischen Gründen? Souveränität heißt: vollständige Kontrolle über Verfügbarkeit, Integrität und Vertraulichkeit. Und die gibt es nur dort, wo Rechtshoheit und Betriebshoheit zusammenfallen – also nicht bei US-Firmen.

Zweitens: Interoperabilität erfordert keine Unterwerfung unter US-Standards.
Die Pro-Seite suggeriert, ohne US-Clouds seien wir isoliert. Das ist falsch. Offene Standards wie OpenStack, Kubernetes oder GAIA-X-basierte APIs ermöglichen grenzüberschreitende Zusammenarbeit – ohne Abhängigkeit von einzelnen Konzernen. Estland, das oft als Vorzeigeland genannt wird, nutzt hybride Systeme – aber mit klarer Priorität auf eigener Infrastruktur. Und Dänemark? Nutzt zwar Azure – aber nur für nicht-sensitive Dienste. Die Pro-Seite vermengt bewusst digitale Zusammenarbeit mit technologischer Kapitulation.

Drittens: „Beherrschbare Risiken“ sind bei staatlichen Daten ein Oxymoron.
Hier offenbart sich der Kernfehler der Pro-Seite: Sie denkt in Kategorien des Privatsektors – Kosten-Nutzen, Skalierbarkeit, Agilität. Doch der Staat ist kein Startup. Wenn bei Amazon ein Server ausfällt, ist das ärgerlich. Wenn beim Bundeskriminalamt Daten kompromittiert werden, ist das ein Verfassungsbruch. Bei staatlichen Institutionen geht es nicht um „Risikomanagement“, sondern um Unverfügbarkeit sensibler Daten gegenüber Dritten. Und solange US-Recht Vorrang hat, ist diese Unverfügbarkeit nicht garantiert – egal wie viele Verschlüsselungsschichten man dazwischen packt.

Die Pro-Seite will uns weismachen, Souveränität sei eine Frage der Einstellung. Doch Souveränität ist keine Haltung – sie ist eine Architektur. Und Architekturen baut man nicht auf fremdem Grund und Boden.

Kreuzverhör

Fragen der Pro-Seite

Frage an den ersten Redner der Contra-Seite:
Sie behaupten, der CLOUD Act mache alle Datenschutzmaßnahmen hinfällig. Doch US-Behörden benötigen dafür richterliche Anordnungen – oft sogar internationale Rechtshilfe. Wenn also ein deutsches Finanzamt seine Daten vor dem Upload mit einem deutschen Schlüssel verschlüsselt, den nur das Finanzamt besitzt – welcher konkrete Mechanismus im CLOUD Act erlaubt dann den Zugriff auf lesbare Inhalte?

Antwort der Contra-Seite (erster Redner):
Der CLOUD Act verpflichtet US-Unternehmen, Daten herauszugeben – unabhängig davon, wo sie gespeichert sind. Ob lesbar oder nicht: Sobald der Anbieter gezwungen wird, Systeme zu manipulieren oder Updates einzuspielen, die Hintertüren öffnen, ist die Integrität kompromittiert. Und ja – wir wissen aus Snowden-Dokumenten, dass solche Kooperationen bereits stattfinden. Ihre Verschlüsselung ist ein Schloss an einer Tür, die der Vermieter jederzeit austauschen darf.

Frage an den zweiten Redner der Contra-Seite:
Sie fordern europäische Cloud-Lösungen wie GAIA-X als Alternative. Aber GAIA-X ist kein Anbieter, sondern ein Rahmenwerk – und viele seiner Mitglieder nutzen bereits Microsoft Azure oder AWS als Infrastruktur. Ist Ihre Position nicht letztlich eine Fiktion, die vorgibt, Unabhängigkeit zu schaffen, während sie technisch weiterhin auf US-Technologie angewiesen bleibt?

Antwort der Contra-Seite (zweiter Redner):
GAIA-X entwickelt sich – genau wie das Internet einst. Niemand hat 1990 gefordert, das Web abzulehnen, weil es aus den USA kam. Aber Europa hat daraufhin eigene Protokolle, Regulierung und Infrastruktur aufgebaut. Wir investieren heute, damit wir morgen nicht erpressbar sind. Ihre Logik wäre gewesen: „Warum eigene Stromnetze bauen, wenn Russland günstiges Gas liefert?“

Frage an den vierten Redner der Contra-Seite:
Sie sagen, bei staatlichen Daten gehe es um „absolute Unverfügbarkeit“. Doch selbst Ihr eigenes Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hybride Cloud-Lösungen – inklusive US-Anbietern – unter strengen Auflagen. Widerspricht Ihre radikale Ablehnung nicht der Praxis derjenigen, die tagtäglich für unsere Cybersicherheit verantwortlich sind?

Antwort der Contra-Seite (vierter Redner):
Das BSI empfiehlt risikobasierte Entscheidungen – für nicht-kritische Systeme. Aber würden Sie Ihre DNA-Daten, Polizeidatenbanken oder Krisenkommunikation im Kriegsfall einem Unternehmen anvertrauen, das per US-Präsidenten-Erlass zur Kooperation gezwungen werden kann? Risikomanagement gilt für Steuerformulare – nicht für die digitale Existenz des Staates.

Zusammenfassung des Kreuzverhörs der Pro-Seite

Die Contra-Seite räumt ein, dass technische Lösungen existieren – weigert sich aber, deren Wirksamkeit anzuerkennen, solange US-Recht im Hintergrund lauert. Doch sie bietet keine praktikable Alternative: GAIA-X bleibt ein Versprechen, kein Ersatz. Und ihre Forderung nach „absoluter Unverfügbarkeit“ ignoriert, dass kein System jemals 100 % sicher ist – weder europäisch noch national. Statt mit Augenmaß zu regulieren, predigen sie digitale Enthaltsamkeit. Doch in der digitalen Welt hilft kein Fasten – nur Fitness.

Fragen der Contra-Seite

Frage an den ersten Redner der Pro-Seite:
Sie preisen die „technologische Exzellenz“ von US-Clouds. Doch Microsoft, Amazon und Google kooperieren seit Jahren mit US-Geheimdiensten – teilweise freiwillig, teilweise gezwungen. Wenn also ein deutsches Krankenhaus seine Patientendaten auf Azure speichert: Welches rechtliche Instrument hindert die NSA daran, diese Daten zu analysieren – solange sie behauptet, es diene der „nationalen Sicherheit“?

Antwort der Pro-Seite (erster Redner):
Zwei Dinge: Erstens – die EU-US Data Privacy Framework und bilaterale Abkommen schaffen Rechtsschutz. Zweitens – und entscheidender – niemand zwingt uns, sensible Gesundheitsdaten unverschlüsselt hochzuladen. Mit Zero-Trust-Architekturen und kundenseitiger Schlüsselverwaltung ist der Inhalt für jeden Dritten – ob NSA oder Hacker – nutzlos. Ihre Frage unterstellt, wir seien naiv. Wir sind nur nicht paranoid.

Frage an den zweiten Redner der Pro-Seite:
Sie argumentieren, Interoperabilität erfordere US-Standards. Aber Open-Source-Technologien wie Kubernetes oder OpenStack sind anbieterneutral. Warum also nicht diese nutzen – und so Zusammenarbeit ohne Abhängigkeit ermöglichen?

Antwort der Pro-Seite (zweiter Redner):
Weil Open Source allein keine Infrastruktur ist! Kubernetes orchestriert Container – aber wer betreibt die Server, sichert die Netze, garantiert 99,999 % Verfügbarkeit? US-Clouds tun das – mit Milliardeninvestitionen, die kein europäischer Staat allein stemmen kann. Offene Standards nutzen wir – aber wir brauchen auch jemanden, der sie weltweit skalierbar macht. Sonst reden wir über eine Autobahn ohne Autos.

Frage an den vierten Redner der Pro-Seite:
Stellen Sie sich vor: Mitten im Ukraine-Krieg beschließt die US-Regierung, russlandfreundlichen Staaten den Cloud-Zugriff zu sperren. Was, wenn Deutschland versehentlich in eine solche Sanktionsliste gerät – etwa wegen Nord Stream 2? Ist es verantwortbar, kritische staatliche Funktionen einem politischen Risiko auszusetzen, das außerhalb unserer Kontrolle liegt?

Antwort der Pro-Seite (vierter Redner):
Diese Angst ist verständlich – aber unrealistisch. Die USA haben kein Interesse daran, ihre engsten NATO-Partner zu destabilisieren. Im Gegenteil: Gerade in Krisen ist Zuverlässigkeit ihr Geschäftsmodell. Und falls doch – gut, dass wir hybride Systeme haben! Kein vernünftiger Staat setzt alles auf eine Karte. Aber pauschal auf die besten Werkzeuge zu verzichten, weil vielleicht eines Tages ein Worst-Case eintreten könnte? Das ist keine Strategie – das ist digitale Askese.

Zusammenfassung des Kreuzverhörs der Contra-Seite

Die Pro-Seite gibt zu, dass US-Recht ein Risiko darstellt – versucht es aber mit technischen Workarounds wegzudiskutieren. Doch Technik ohne rechtliche Hoheit ist wie ein Safe ohne Eigentumsrecht: Jeder kann ihn öffnen, sobald er die Macht dazu hat. Ihre Berufung auf „Hybridität“ und „Augenmaß“ klingt vernünftig – doch bei sensibelsten Daten reicht „wahrscheinlich sicher“ nicht aus. Souveränität ist kein Feature, das man optional hinzubucht. Sie ist die Grundlage – oder sie ist nichts.

Freie Debatte

Pro-Seite, erster Redner:
Die Kollegen von der Contra-Seite malen gern das Bild eines digitalen Albtraums, in dem US-Spione nachts heimlich unsere Steuerakten durchstöbern. Aber lassen Sie uns ehrlich sein: Wenn der Feind schon in Ihrem Haus ist, hilft kein Vorhängeschloss mehr – doch bei Cloud-Diensten haben wir noch den Schlüssel. Mit kundenseitiger Ende-zu-Ende-Verschlüsselung – also: Der Staat verschlüsselt die Daten bevor sie in die Cloud gehen – ist selbst Microsoft blind für den Inhalt. Der CLOUD Act verpflichtet Unternehmen, Daten herauszugeben – aber nicht, Zauberformeln zu erfinden, um verschlüsselte Inhalte zu knacken. Das ist kein technischer Optimismus, das ist Kryptographie 101. Und übrigens: Wer glaubt, dass russische oder chinesische Clouds sicherer seien, weil sie „nicht amerikanisch“ sind, der tauscht vielleicht nur den Spion – nicht die Überwachung.

Contra-Seite, erster Redner:
Ach, wie romantisch – der Staat als Meister der Verschlüsselung! Doch vergessen Sie eines: Selbst wenn der Inhalt verschlüsselt ist, verrät die Metadatenstruktur oft mehr als der Text selbst. Wer mit wem kommuniziert? Wie oft? Zu welcher Uhrzeit? Und was, wenn der Anbieter unter Druck gesetzt wird, nicht den Inhalt, sondern den Zugriffsmechanismus zu manipulieren? Stellen Sie sich vor, Ihr Nachbar bewahrt Ihren Haustürschlüssel auf – und plötzlich bekommt er Besuch vom FBI, das ihm sagt: „Öffnen Sie bitte heute Nacht, wir wollen nur kurz reinschauen.“ Ob Sie das wollen oder nicht – Ihr Nachbar hat keine Wahl. Genau das ist der CLOUD Act. Und nein, das ist kein Szenario aus einem Bond-Film. Es ist US-Rechtsrealität seit 2018.

Pro-Seite, zweiter Redner:
Meine Vorrednerin hat völlig recht: Metadaten sind sensibel – deshalb regulieren wir sie! Aber die Contra-Seite blendet etwas Entscheidendes aus: Europa kann heute nicht allein skalieren. GAIA-X ist ein edles Projekt – doch wo sind die Rechenzentren, die morgen eine Pandemie, einen Blackout oder einen Flüchtlingsstrom digital abfedern können? Microsoft Azure hat in Deutschland drei Availability Zones – mit militärischer Ausfallsicherheit. GAIA-X hat… eine Website. Wir lieben europäische Innovation – aber wir dürfen nicht aus ideologischem Purismus unsere Bürger in digitale Mittelmäßigkeit zwingen. Und übrigens: Microsoft beschäftigt heute mehr Entwickler in Berlin als viele deutsche Start-ups zusammen. Vielleicht sollten wir nicht fragen: „Wer besitzt die Cloud?“, sondern: „Wer macht sie sicher – gemeinsam?“

Contra-Seite, zweiter Redner:
„Gemeinsam“? Das klingt fast so, als würden wir gemeinsam mit dem Wolf über den Zaun um unser Schaf reden! Ja, Microsoft hat Rechenzentren in Frankfurt – aber wer kontrolliert den Quellcode des Betriebssystems? Wer entscheidet über Sicherheitspatches? Wer sitzt im Notfallraum, wenn ein Zero-Day-Exploit zuschlägt? Die Antwort lautet: Redmond, Washington, Langley. Und nein, mehr Entwickler in Berlin machen Microsoft nicht zu einem deutschen Unternehmen – genauso wenig wie ein McDonald’s am Brandenburger Tor plötzlich eine Currywurst-Manufaktur wird.

Außerdem: Skalierbarkeit ist kein Argument für Abhängigkeit, sondern für Standardisierung. Kubernetes, OpenStack, Terraform – all das sind offene Standards, die jeder nutzen kann, ohne sich an Amazon oder Google zu binden. Warum bauen wir nicht eine europäische Cloud auf diesen Standards – interoperabel, aber souverän? Stattdessen sagen Sie: „Wir nehmen das Beste, auch wenn es uns ausspioniert.“ Das ist wie: „Ich kaufe mir das schnellste Auto – auch wenn der Hersteller jederzeit Fernzugriff auf die Bremse hat.“ Entschuldigung, aber das nennt man nicht Pragmatismus – das nennt man fahrlässige Selbstgefährdung.

Pro-Seite, erster Redner (erneut):
Da muss ich widersprechen: Souveränität entsteht nicht durch Isolation, sondern durch Handlungsfähigkeit. Wenn morgen ein Cyberangriff auf das Stromnetz kommt, brauchen wir nicht eine Cloud, die „europäisch“ ist – wir brauchen eine, die funktioniert. Und wissen Sie, was funktioniert? Hybride Systeme: sensible Kernsysteme on-premise, alles andere in einer gehärteten, verschlüsselten, EU-regulierten Cloud-Umgebung – ja, auch bei US-Anbietern. Denn die Alternative ist: Wir warten, bis GAIA-X reif ist – und bis dahin laufen unsere Behörden auf Windows XP.

Und noch etwas: Die USA sind kein feindlicher Staat. Sie sind Partner in der NATO, im Handel, in der Forschung. Natürlich gibt es Spannungen – aber pauschal jeden US-Cloud-Anbieter als Trojaner zu brandmarken, ist so, als würde man alle französischen Weinflaschen verbieten, weil einmal ein Korkenzieher rostete.

Contra-Seite, erster Redner (erneut):
Partnerschaft ist schön – aber Partnerschaft heißt nicht, dem Partner die Schlüssel zu Ihrem Tresor zu geben. Und übrigens: Auch Verbündete spionieren sich gegenseitig aus – Snowden hat uns das gelehrt. Die Frage ist nicht, ob die USA böse sind, sondern ob wir als Staat das Recht haben, über unsere Daten zu entscheiden – ohne Ausnahme.

Wenn Sie sagen: „Hybride Systeme reichen“, dann unterschätzen Sie die Komplexität moderner IT. Sobald ein einziger Service – sagen wir, die Authentifizierung – in der US-Cloud läuft, ist die gesamte Architektur angreifbar. Es reicht ein Single Sign-On, um das Tor zu öffnen. Digitale Souveränität ist kein Menü, aus dem man sich „ein bisschen Sicherheit“ heraussuchen kann. Sie ist ein Zustand – oder keiner.

Und zum Schluss ein Gedanke: Wenn wir heute zulassen, dass staatliche Institutionen US-Clouds nutzen, dann signalisieren wir der Wirtschaft: „Keine Sorge, ihr könnt ruhig weiter US-Dienste nehmen.“ Damit töten wir den europäischen Cloud-Markt – nicht durch Gesetz, sondern durch Gleichgültigkeit. Ist das der Preis für Bequemlichkeit?

Pro-Seite, zweiter Redner:
Bequemlichkeit? Nein – Verantwortung! Verantwortung gegenüber den Bürgern, die erwarten, dass ihre digitale Verwaltung genauso gut funktioniert wie ihr Online-Banking. Und wissen Sie, was Online-Banking nutzt? Häufig AWS oder Azure – weil sie sicherer sind als viele hausinterne Lösungen.

Wir wollen keine digitale Autarkie, sondern digitale Resilienz. Und die entsteht durch Vielfalt – nicht durch Monokultur. Nutzen wir US-Clouds kritisch, europäische Infrastrukturen fördernd und offene Standards konsequent. Das ist kein Widerspruch – das ist kluge Politik.

Denn am Ende geht es nicht darum, ob der Server in Frankfurt oder Seattle steht – sondern darum, wer den Code kontrolliert, wer den Schlüssel hält und wer haftet, wenn etwas schiefgeht. Und darauf haben wir Antworten – nicht durch Verbote, sondern durch Regulierung, Technologie und internationale Abkommen.

Contra-Seite, zweiter Redner:
Regulierung? Abkommen? Das klingt, als würden Sie versuchen, einen Hai mit einem Handschlag zu zähmen. Solange US-Recht Vorrang hat, solange US-Behörden im Geheimen agieren dürfen, solange bleibt jedes Abkommen ein Papiertiger.

Staatliche Institutionen sind kein Testmarkt für Experimente in Risikomanagement. Sie sind der letzte Rückhalt der Demokratie. Und Demokratie braucht Unverfügbarkeit – nicht Verfügbarkeit mit Nebenbedingungen.

Wir sagen nicht: „Nie wieder Technologie aus dem Ausland.“ Wir sagen: „Nicht bei den sensibelsten Daten unserer Gesellschaft.“ Denn wenn der Staat seine eigenen Geheimnisse nicht mehr schützen kann, wer dann?

Schlussrede

Schlussrede der Pro-Seite

Seit Beginn dieser Debatte haben wir eines deutlich gemacht: Digitale Souveränität bedeutet nicht, sich hinter eine Firewall zu verbarrikadieren – sondern die Welt so zu gestalten, dass wir in ihr handlungsfähig bleiben.

Wir haben gezeigt, dass US-Cloud-Anbieter heute nicht nur technologisch führend sind, sondern auch bereit, sich europäischen Standards zu unterwerfen. Microsoft betreibt Rechenzentren in Deutschland, unterliegt deutschem Datenschutzrecht und ermöglicht kundenseitige Verschlüsselung – das heißt: Nur der Staat besitzt den Schlüssel. Selbst wenn US-Behörden Daten anfordern, erhalten sie nur verschlüsselten Brei. Das ist kein theoretisches Versprechen, sondern praktizierte Realität – bestätigt durch das EU-US Data Privacy Framework und unabhängige Audits.

Die Gegenseite malt ein Szenario, als stünden wir vor der Wahl zwischen digitalem Paradies oder digitalem Krieg. Doch die Welt ist komplexer. Niemand schlägt blindes Vertrauen vor – wir plädieren für kluges Management. Und ja: Europa baut eigene Lösungen auf. Aber GAIA-X wird nicht morgen die Impfdaten einer ganzen Nation verarbeiten können. Bis dahin dürfen wir unsere Bürger nicht mit veralteten Systemen strafen, nur weil wir Angst vor dem Besseren haben.

Die Contra-Seite sagt: „Bei staatlichen Daten geht es um absolute Unverfügbarkeit.“ Doch absolute Sicherheit gibt es nirgends – nicht einmal im Tresor des Bundesbankkellers. Was zählt, ist relative Sicherheit bei maximaler Nutzbarkeit. Und genau das liefern hybride, gut regulierte Cloud-Lösungen.

Am Ende geht es nicht um Serverstandorte – es geht um Menschen. Um Ärzte, die Patientendaten abrufen müssen. Um Lehrer, die digital unterrichten. Um Polizisten, die in Sekunden auf Informationen zugreifen müssen. Wer diesen Menschen moderne Werkzeuge vorenthält, aus ideologischer Reinheit, der opfert Praxis auf dem Altar der Theorie.

Daher sagen wir: Ja, staatliche Institutionen dürfen US-Clouds nutzen – solange sie es klug, kontrolliert und im Interesse der Bürger tun. Denn wahre Souveränität zeigt sich nicht darin, was man ablehnt – sondern darin, was man meistern kann.

Schlussrede der Contra-Seite

Meine Damen und Herren,

die Pro-Seite hat uns ein beruhigendes Bild gemalt: Verschlüsselung als magischer Schild, Rechenzentren in Frankfurt als Garantie der Unabhängigkeit, und der CLOUD Act als bloße Formalität. Doch diese Illusion zerbricht beim ersten Blick auf die Realität.

Denn selbst wenn der Inhalt verschlüsselt ist – wer kontrolliert den Code? Wer bestimmt, wann ein Update kommt? Wer entscheidet im Krisenfall, ob der Dienst läuft oder nicht? Die Antwort ist immer dieselbe: US-Unternehmen, die US-amerikanischem Recht unterliegen. Und dieses Recht kennt keine Rücksicht auf europäische Souveränität. Der CLOUD Act erlaubt es US-Behörden, Daten anzufordern – ohne Zustimmung des Herkunftslandes, oft ohne gerichtliche Überprüfung. Das ist kein hypothetisches Risiko. Es ist Gesetz.

Die Pro-Seite spricht von „beherrschbaren Risiken“. Doch bei staatlichen Daten geht es nicht um Risikobereitschaft – es geht um Unverfügbarkeit. Ein Geheimdienstbericht, eine Polizeidatenbank, die Krankenakten einer ganzen Region – diese Daten dürfen niemals fremder Verfügungsmacht ausgesetzt sein. Nicht theoretisch. Nicht praktisch. Nie.

Und lassen wir uns nichts vormachen: Jede Nutzung von US-Clouds schwächt den europäischen Technologiestandort. Warum sollte ein Startup in Berlin investieren, wenn der Staat als größter Kunde zu Microsoft rennt? Warum sollte Europa Milliarden in GAIA-X stecken, wenn wir gleichzeitig US-Anbietern die Tür öffnen? Wir können nicht Souveränität predigen und Abhängigkeit praktizieren.

Die Pro-Seite sagt: „Souveränität entsteht durch Kompetenz.“ Aber Kompetenz ohne Kontrolle ist Ohnmacht in schicker Verpackung. Wahre digitale Souveränität beginnt dort, wo der Staat über seine eigenen Daten – über Infrastruktur, Recht und Code – vollständig herrscht.

Dies ist mehr als eine technische Frage. Es ist eine Frage der Demokratie. Denn ein Staat, der nicht garantieren kann, dass seine sensibelsten Informationen vor fremden Augen geschützt sind, verliert nicht nur Autorität – er verliert Legitimität.

Daher bleiben wir dabei: Nein, staatliche Institutionen dürfen Cloud-Dienste von US-Unternehmen nicht nutzen – zumindest nicht für sensible Aufgaben. Nicht aus Angst. Sondern aus Verantwortung. Für unsere Bürger. Für unsere Zukunft. Und für die Idee eines souveränen Europas, das nicht nur konsumiert, sondern gestaltet.