Die wichtigste Frage an jede Cloud lautet nicht, woher sie kommt, sondern wie teuer der Weg wieder hinaus ist.
Ein einzelner Reporter zählt inzwischen knapp vierzig europäische Organisationen, die sich von US-Technologie lösen oder es planen. Der Internationale Strafgerichtshof in Den Haag warf Microsoft Office heraus, nachdem die USA Sanktionen gegen eigene Mitarbeiter verhängt hatten. Das österreichische Bundesheer zieht über sechzehntausend Arbeitsplätze auf Linux und LibreOffice. Schleswig-Holstein, Bayern, Berlin, die niederländische Zentralbank, das EU-Parlament. Wenn jemand nebenbei vierzig Fälle zusammenträgt, ist das keine Anekdote mehr, sondern eine Richtung.
Anfang Juni hat die Europäische Kommission auf diese Richtung geantwortet. In ihrer Mitteilung zur technologischen Souveränität, der erstmals eine eigene Open-Source-Strategie beiliegt, steht eine neue Haltung: weg von reaktiver Resilienz, hin zu einem aktiven Anspruch auf Kontrolle. Die Zahlen, mit denen die Kommission das begründet, sind unbequem. Über 80 Prozent ihrer digitalen Produkte bezieht die EU laut dem von der Kommission zitierten Draghi-Report von Anbietern außerhalb Europas. Der europäische Cloud-Marktanteil ist nach den Angaben der Mitteilung von 29 Prozent im Jahr 2017 auf 15 gefallen, der Rest liegt bei drei US-Hyperscalern. Und die EU gibt nach Angaben der Kommission jährlich rund 264 Milliarden Euro überwiegend für proprietäre US-IT aus. Das ist die Größenordnung, um die es geht.
Bemerkenswert ist, wie die Kommission Souveränität definiert. Sie sei gegründet auf Offenheit, Partnerschaft und fairen Wettbewerb, ausdrücklich nicht auf Abschottung, Protektionismus oder Entkopplung. Open Source erscheint in diesem Rahmen als Werkzeug der Souveränität, nicht als Glaubensbekenntnis: Die EUDI-Wallet schreibt quelloffene Komponenten als Rechts-Default vor, Estlands Datenaustausch-Schicht X-Road dient als Vorbild, und der Staat soll als Anker-Kunde auftreten, der quelloffene Lösungen überhaupt erst marktfähig macht.
Und doch dreht sich die öffentliche Debatte fast immer um die falsche Achse. Europäisch oder amerikanisch, eigener Code oder geliehener, Server hier oder dort. Die Herkunft eines Anbieters sagt wenig darüber, wie abhängig man von ihm ist. Sie sagt nur, unter welcher Flagge die Abhängigkeit fährt. Souveränität ist Reversibilität, nicht Herkunft. Reversibel heißt, man kann wechseln und es jederzeit wieder tun. Die Freiheit liegt in der Beweglichkeit selbst, im Hin und Zurück.
Der Fall des Strafgerichtshofs zeigt das im Reinzustand. Der Auslöser war nicht die US-Herkunft von Microsoft. Entscheidend war, dass ein Dritter von außen den Zugang beeinflussen konnte und das Gericht keinen schnellen Ausweg hatte. Souveränität entscheidet sich genau hier: Wer kann den Schalter umlegen, unter wessen Recht steht das Unternehmen, das ihn in der Hand hält, und wie teuer ist es, sich dem zu entziehen. Eine europäische Cloud, die man genauso wenig verlassen kann wie die alte, hat das Grundproblem nur umlackiert.
So fügen sich drei Ebenen zu einem Dreiklang zusammen, die meist getrennt diskutiert werden. Erstens die empirische Welle: immer mehr europäische Organisationen lösen sich von US-Big-Tech oder planen es, das Symptom. Zweitens die institutionelle Antwort: die EU-Kommission hat mit dem Tech-Sovereignty-Package und der Open-Source-Strategie offiziell reagiert, mit Geld, Gesetzesvorhaben und einem Bekenntnis zur Offenheit. Drittens der eigene Maßstab: Reversibilität, an der sich zeigt, ob die Antwort trägt. Open Source ist dabei in allen drei Ebenen dieselbe Sache, nur aus verschiedenen Winkeln betrachtet: in der Welle das Mittel der Migration, in der Strategie der Rechts-Default und der Anker-Kunde, im Maßstab der Hebel, der den Ausstieg technisch erzwingbar macht. Wertvoll ist quelloffener Code nicht, weil er aus Europa stammt, sondern weil man ihn forken, selbst betreiben und zu eigenen Bedingungen verlassen kann.
Es gibt eine zweite Achse, die in keiner der drei Schichten laut ausgesprochen wird: zentral gegen dezentral. Ein Schalter, den niemand zentral baut, kann niemand zentral umlegen. Deutschland hat das bei seinem B2B-E-Rechnungs-Meldeweg gerade entschieden, ein dezentraler Austausch ohne vorgeschriebene staatliche Plattform, anders als das italienische Modell, bei dem jede Rechnung über einen Regierungsserver läuft. Über die Geschwindigkeit dieses Wegs lässt sich streiten. Strukturell heißt er, dass es keinen einzelnen Punkt gibt, den jemand kapern, überlasten oder abschalten könnte.
Dieselbe Frage stellt sich Deutschland an seiner eigenen Plattform. Die Standards des Deutschland-Stacks sind seit der Frühjahrssitzung des IT-Planungsrats verbindlich. Offen bleibt, wer den zentralen Plattformkern baut, wer ihn betreibt, wer dafür zahlt und wer die Verantwortung trägt. Das föderale IT-Architekturboard markiert genau diese Punkte als ungeklärt und mahnt, ohne klare Zielarchitektur drohten parallele Lösungen, die man später teuer zusammenführen müsse. Wer die Trägerschaft offenlässt, lässt auch offen, wer am Ende den Schalter in der Hand hält. Reversibilität entscheidet sich hier schon im Design der Plattform, lange vor dem Einkauf.
Für die Praxis folgt daraus ein nüchterner Maßstab, und er gilt für jede Ausschreibung, nicht nur für die der Behörden. Die ehrliche Kennzahl lautet weniger „wir sind gewechselt“ und mehr „wir könnten zurück- oder weiterwechseln, und wir kennen den Preis“. Die erste Frage an eine Plattform betrifft darum nicht ihren Standort. Sie betrifft den Preis des Ausstiegs und die Frage, wer den Schalter in der Hand hält. Die EU hat gerade die Größenordnung benannt, die Welle zeigt die Bewegung, und das Maß, an dem beides zu messen ist, heißt Reversibilität. Was der Staat heute für seine sensibelsten Daten so entscheidet, steht morgen im Lastenheft der Kunden, die ihm zuliefern.
