Vertrauen ist keine "consumption-based cloud resource"

Warum die DFG-Initiative mehr ist als ein Förderprogramm

Ein Thema hat mich diese Woche (neben dem souveränen neuen Angebot von IONOS/Nextcloud sowie der spannenden Alasca Cloud Summit 2025) besonders beschäftigt, eines, das viele vermutlich nur am Rande wahrgenommen haben.

Die Deutsche Forschungsgemeinschaft (DFG) hat ein klares Signal gesetzt:
Sie startet ein Förderprogramm, um gefährdete Forschungsdaten aus ausländischen Cloud-Speichern zurückzuholen, vor allem aus den Rechenzentren von Amazon und Microsoft.

Was nach einer technischen Detailfrage klingt, ist in Wahrheit eine überfällige, massive politische Entscheidung.

EU-Forschung unter fremdem Recht

Seit Jahren lagern zentrale Datenbestände der deutschen und europäischen Wissenschaft auf Servern US-amerikanischer Konzerne.
Der Grund ist simpel: Die Angebote sind bequem, skalierbar, leistungsfähig, haben einen guten Preispunkt. Und sind sowohl in der Wirtschaft als auch in fast jedem Forschungsverbund längst Standard.

Doch sie sind nicht ansatzweise souverän.

Das Kernproblem liegt im US Cloud Act.
Dieses Gesetz verpflichtet amerikanische Unternehmen, US-Behörden auf Anforderung Zugriff auf gespeicherte Daten zu gewähren. Unabhängig davon, wo die Daten physisch liegen.

Das bedeutet:
Auch wenn ein deutscher Forschungsverbund seine Daten in einer „europäischen“ Cloud eines US-Konzerns ablegt, kann Washington im Zweifel mitlesen.
Es ist nicht der Standort des Servers, der über die Datenhoheit entscheidet, nicht der Betreiber, nicht der Kunde, nicht vollmundige Trust-Agreements, lokale Verträge oder "Sonderkonstruktionen" (siehe die aktuellen Soveränitätswashing-Kampangen).
Es ist allein die Jurisdiktion, der der Software-Vendor unterliegt.

Damit unterliegen sensible Forschungsdaten, speziell etwa aus der Medizin, den Lebenswissenschaften, der Sicherheitsforschung oder gar dem Defense-Bereich einem fremden, nicht-europäischen Rechtsraum.
Sie sind nicht vollständig geschützt bzw. nicht schützbar, nicht vollständig kontrollierbar, damit im Zweifel nicht dauerhaft zugänglich.

Fördermaßnahmen und Ziele

Die DFG reagiert darauf mit einer Förderinitiative, die bis Ende 2027 läuft.
Gefördert wird alles, was hilft, gefährdete Datenbestände zu sichern und in europäische Infrastrukturen zu überführen:

Dazu gehören Speicherkapazitäten in deutschen oder europäischen Rechenzentren, qualifiziertes Personal für Datenkuratierung, Migration und Aggregation, rechtliche Prüfungen im Kontext der Datenrückführung, sowie der Aufbau von Schnittstellen zur Integration in die European Open Science Cloud (EOSC).

Besonders bemerkenswert finde ich die gutachterliche Bewertung der Datensilos unter Berücksichtigung des Cloud Acts, denn das ist weniger ein technologisches, als ein rechtlich-und wirtschaftlich-strategisches Thema.

Auch bereits getätigte Ausgaben können rückwirkend ab dem 1. August 2025 refinanziert werden, sofern dadurch akut gefährdete Datenbestände gesichert wurden. Anträge sind bis 30. September 2027 möglich.

Damit signalisiert die DFG:
Die Resilienz der europäischen Wissenschaft ist nicht verhandelbar. Es geht um mehr als Speicherplatz, es geht um Unabhängigkeit, Integrität und Verfügbarkeit.

Digitale Souveränität als Forschungsauftrag

Damit verfolgt die DFG ein Ziel, das weit über den Wissenschaftsbetrieb hinausweist: -> Digitale Souveränität.

Sie bedeutet, Daten, Infrastrukturen und Technologien so zu betreiben, dass sie nicht von fremden Gesetzen, Märkten oder Machtstrukturen abhängig sind.

Gerade in Zeiten geopolitischer Unsicherheit wird dieser Punkt ein essentielles politisches zentrales Mandat.
Mit der Rückkehr Donald Trumps ins Weiße Haus steht das transatlantische Verhältnis seit geraumer Zeit auf dem Prüfstand. Und die Situation ist ernüchternd: Trump setzt mit Getöse und Gepolter das fort, was seine Vorgänger diplomatisch verklausuliert und wesentlich leiser betrieben. Die Durchsetzung nationaler Interessen durch Kontrolle über Datenströme, Datenräume, Technologie.

Wenn die politische Lage in den USA direkten Einfluss auf den Zugang zu europäischen Forschungsdaten haben kann, ist Handlungsbedarf keine Frage mehr, sondern eine Pflicht.

Oder, wie es Prof.Dr. Dennis-Kenji Kipker, Forschungsdirektor am Frankfurter Cyberintelligence Institute (den ich auf der Channel-Partner-Konferenz in Mainz dieses Jahr kennenlernen durfte) formuliert:

„Das geänderte transatlantische Verhältnis hat zu einem Umdenken geführt. Datenschutz- und Ethikkommissionen müssen künftig bei Cloud-Entscheidungen einbezogen werden.“

Die Botschaft ist deutlich:
Forschung braucht Vertrauen. Aber dieses Vertrauen braucht Kontrolle und Transparenz.

Der stille Faktor: Wirtschaftsspionage als Systemrisiko

Was oft übersehen wird: Der Zugriff auf Cloud-Daten durch US-Anbieter ist nicht nur eine juristische oder datenschutzrechtliche Frage, er ist auch eine nachrichtendienstliche.

Seit Jahrzehnten betreiben die Vereinigten Staaten eine enge Verzahnung von Sicherheits- und Wirtschaftsinteressen.
Programme wie ECHELON oder die durch Edward Snowden aufgedeckten NSA-Initiativen PRISM und MUSCULAR zeigen, dass Wirtschaftsdaten längst Teil des globalen Informationsraums der Geheimdienste sind.

Offiziell wird natürlich betont, dass US-Dienste keine Wirtschaftsspionage „zum Vorteil einzelner Unternehmen“ betreiben. Ach, China und Russland sagen übrigens das selbe. Nun, bei Russland muss man heute vielleicht in der Vergangenheitsform reden.
Inoffiziell aber gilt: Alles, was nationale Sicherheitsinteressen berührt, dazu zählt natürlich auch technologische und wirtschaftliche Überlegenheit, fällt unter das Mandat von CIA, NSA & Co. Und Big DT forciert dieses Mandat über alle Maße hinaus. Und machen wir uns nichts vor. Die entsprechend begünstigten Unternehmen nehmen dies dankbar an, man erinnere sich an die Szene des "letzten Abendmahls" im weißen Haus, in dem die Lenker all dieser Unternehmen ihrem Herren die Ehrerbietung erwiesen. Selbst unsere "eigene" T-Systems sponsort eine Ballsaal im weißen Haus. Ein Trauerspiel geboren aus sogenannten realpolitischen Opportunismus. Eine Opfergabe im Tempel.

Der US Cloud Act schließt diese Lücke auf legalem Weg:
Er verleiht amerikanischen Behörden Zugriff auf Daten, die bei US-Unternehmen liegen. Selbst wenn diese physisch in Europa gespeichert sind.
Damit verschiebt sich die Trennlinie zwischen Sicherheitspolitik und Wirtschaftsförderung endgültig.

Was als Schutz der nationalen Sicherheit verkauft wird, wirkt im Ergebnis wie eine staatlich legitimierte Form der Informationsdominanz mit wirtschaftlichen Nebenwirkungen, die nur selten offen ausgesprochen werden.

Die entsprechend begünstigten Unternehmen nehmen dies dankbar an. Man erinnere sich an die Szene des "letzten Abendmahls" im weißen Haus, in dem die Lenker all dieser Unternehmen ihrem Herren die Ehrerbietung erwiesen.
Selbst unsere "eigene" T-Systems sponsort eine Ballsaal im weißen Haus. Ein Trauerspiel geboren aus sogenannten realpolitischen Opportunismus, eine Opfergabe im Tempel.

Für die europäische Forschung bedeutet das:
Daten in US-Clouds liegen nicht nur in einem fremden Rechtsraum, sondern auch im potenziellen Einflussbereich fremder Geheimdienste. Und damit im Zugriffsfeld strategischer Wettbewerber.
Ein Risiko, das keine noch so tolle Datenschutzrichtlinie der Welt kompensieren kann.

Ein Signal weit über die Wissenschaft hinaus

Die Initiative der DFG ist deshalb mehr als ein Förderprogramm, sie ist ein Kurswechsel.

Sie erkennt an, dass Abhängigkeiten nicht durch Vertrauen, sondern nur durch Kontrolle zu lösen sind.
Forschung, die auf Daten aus Drittstaaten angewiesen ist, bleibt verletzlich. Rechtlich, technisch und politisch.

Das Programm schafft Anreize, diese Verletzlichkeit zu reduzieren.
Es fördert den Aufbau redundanter (dezentraler), vernetzter (föderierter) Dateninfrastrukturen in Europa, die Forschungsergebnisse langfristig sichern und zugänglich machen.

Datensouveränität wird so zu einem Qualitätskriterium wissenschaftlicher Exzellenz. Denn was nützt die beste Forschung, wenn sie eines Tages wegen geopolitischer Turbulenzen offline ist?

Ein Aufruf an die europäischen IT-Systemhäuser, Software-Entwickler und Hoster

Gerade hier entsteht eine historische Chance. Übernehmt Verantwortung.
Das Mandat ist da. Die Mittel sind da. Jetzt braucht es europäische IT-Systemhäuser, Hoster und Technologiepartner, die bereit sind, diese Lücke zu schließen.

Die DFG hat den politischen Rahmen geschaffen, aber die Umsetzung liegt in den Händen derer, die tagtäglich Infrastruktur betreiben, Software entwickeln und Dienste bereitstellen.
Offene, föderierte Architekturen, souveräne Cloud-Services, rechtssichere Hosting-Umgebungen: Das sind keine akademischen Konzepte mehr, sondern konkrete akute Geschäftsfelder.

Wer heute als Partner der Forschung, der öffentlichen Hand oder der Industrie Verantwortung übernimmt, gestaltet Europas digitale Eigenständigkeit aktiv mit und nimmt damit auch seine eigene Zukunft in die Hand, macht sich selber von dem einen oder anderen Gnadenbrot unabhängig.
Es braucht Systemhäuser mit Haltung, Hoster mit Rückgrat und Partner, die Souveränität nicht als Schlagwort, sondern als Verpflichtung verstehen.

Vertrauen und Zuversicht

Im Kern geht es nicht um Technik, sondern um Vertrauen und um Zuversicht in die Zuverlässigkeit derer, denen wir unsere Daten anvertrauen.

Jahrelang herrschte die bequeme Illusion, dass „Cloud“ gleichbedeutend sei mit „Sicherheit“. Doch Cloud ist kein Synonym für Vertrauen. Sie ersetzt es nicht, sie fordert es.

Wenn Vertrauen politisch und juristisch nicht mehr verlässlich sein kann, nein, sein darf, bleibt nur eine Konsequenz: Selbstbestimmung durch eigene Strukturen.

Vertrauen entsteht nicht durch Werbeslogans, PowerPoints, Lobbyisten oder Trust-Agreements, sondern durch Transparenz, Rechtssicherheit und Souveränität.
Und genau diese drei Punkte kann ein Anbieter, der dem US Cloud Act unterliegt, schlicht nicht garantieren. Egal, ob seine Technologie einen „Cloud-Vorsprung von 15 Jahren“ hat oder nicht.

Was jetzt folgen muss

Die DFG macht vor, was Politik und Verwaltung längst hätten umsetzen müssen: den konsequenten Aufbau eigener Infrastrukturen.

Hochschulen, Behörden und Unternehmen stehen vor derselben Aufgabe und viele sind längst auf dem Weg. Wer sich auf fremde Plattformen verlässt, verliert Kontrolle über Daten, über Prozesse, über Gestaltungsspielräume.

Die digitale Zukunft Europas entscheidet sich nicht an den API's künstlicher Intelligenz, sondern an der wesentlich fundamentaleren Kontrolle über Speicher, Netze und Standards.
Wer die eigenen Daten in fremde Hände legt, verliert seine ureigenste Handlungsmacht.

Die DFG hat diesen Zusammenhang erkannt und zieht die logische Konsequenz.
Sie fördert auch die Entwicklung containerisierter Datenarchitekturen und offener Schnittstellen, um die europäische Dateninfrastruktur langfristig zu stärken.

Damit führt der Weg zu einem der essenziellsten Bausteine digitaler Souveränität:
Dezentrale, föderierte Services auf Basis von Open Source.

Wie Schleswig-Holstein, der Internationale Strafgerichtshof, das österreichische Militär und Initiativen in Schweden oder Dänemark beweisen, ist das ein Schritt zur Unabhängigkeit, den viele aufmerksam beobachten. Den andere bald gehen werden.

IMHO – Ein kulturhistorischer Wendepunkt

IMHO markiert diese Entscheidung einen Wendepunkt in der europäischen Wissenschaftspolitik. Zum ersten Mal wird digitale Souveränität nicht als eine Randnotiz verstanden, sondern als Grundlage wissenschaftlicher Freiheit.

Das Vertrauen in US-Clouds ist nicht aus technischer Schwäche gebrochen, sondern aus einem Schrecken, einer politischen Ernüchterung.

Und vielleicht ist das genau der Moment, in dem Europa, seine Institutionen, seine Unternehmen, seine IT-Spezielisten, wir alle beginnen, unsere digitale Zukunft selbst zu gestalten. Mit eigenen Standards, eigenen Infrastrukturen sowie der Erkenntnis, dass Rückgrat keine API-Funktion ist.

Oder, etwas pragmatischer gesagt:

Vertrauen ist gut – aber ein gespiegelter europäischer Storage-Cluster bei Hostern meines Vertrauens, basierend auf freier und offener Software, ist wesentlich besser.