Unternehmen in der DACH-Region betrachten ihre Abhängigkeit von großen Cloud-Anbietern zunehmend als strategisches Risiko. Laut einer aktuellen Studie von Lünendonk & Hossenfelder halten 83 Prozent der befragten Unternehmen ein sogenanntes Kill-Switch-Szenario für realistisch – also die Möglichkeit, dass ein Cloud-Provider den Zugang zu kritischen IT-Services einseitig einschränkt oder komplett abschaltet. Gleichzeitig verfügen nur 57 Prozent über eine Exit-Strategie für den Wechsel des Providers. Fast die Hälfte hat demnach keinen Plan B für den Ernstfall.

Für die Studie zur digitalen Souveränität befragte das Beratungsunternehmen zwischen Dezember 2025 und Januar 2026 insgesamt 155 IT-Bereichsleiter, GRC- und Security-Verantwortliche, IT-Einkäufer, CIOs sowie C-Level-Verantwortliche. Die Teilnehmer verteilen sich je zur Hälfte auf gehobenen Mittelstand und Konzerne aus Branchen wie Industrie, KRITIS-Sektoren, Banken und Versicherungen.

Digitale Souveränität hat für 36 Prozent der Unternehmen bereits heute sehr hohe Priorität. Noch deutlicher fällt der Ausblick aus: 96 Prozent erwarten, dass das Thema in den kommenden drei Jahren weiter an Bedeutung gewinnt – selbst bei einer Entspannung der geopolitischen Lage. Zentrale Treiber sind laut Studie die Abhängigkeit von IT- und Cloud-Providern, die Forderung nach Resilienz in Krisen, der Schutz vor Zugriffsblockaden sowie die Verhinderung extraterritorialer Datenzugriffe.

Souveräne Cloud-Modelle gewinnen an Bedeutung

Bei der Frage nach Alternativen stufen 55 Prozent der Befragten souveräne Cloud-Angebote mit lokalem EU-Betreiber in Kombination mit deutschen IT-Dienstleistern als sehr relevant ein. Deutsche Cloud-Provider, die sich laut Lünendonk zu sogenannten Superscalern entwickeln, folgen mit 48 Prozent. US-Hyperscaler mit souveränen Angeboten haben für 36 Prozent der Befragten eine sehr hohe Relevanz. Multi-Cloud-Architekturen werden dabei zum Standard: 42 Prozent der Unternehmen verfügen bereits über eine solche Architektur, weitere 46 Prozent planen deren Aufbau.

Europäische Anbieter kaum konkurrenzfähig

Ein zentraler Schwachpunkt bleibt die Wettbewerbsfähigkeit europäischer Cloud-Anbieter. Zwar sehen 93 Prozent der Unternehmen europäische Provider auf Infrastrukturebene als konkurrenzfähig an. Bei Plattform-, KI- und Ökosystemleistungen halten jedoch nur 3 Prozent sie für gleichwertig mit den US-Hyperscalern. Für das Jahr 2030 erwarten lediglich 2 Prozent einen funktionalen Gleichstand.

Tobias Ganowski, Senior Consultant bei Lünendonk & Hossenfelder, mahnt zum Handeln: „Digitale Souveränität duldet keinen Aufschub! Unternehmen müssen jetzt den Mut aufbringen, Abhängigkeiten aktiv abzubauen, auch wenn dies unbequem und kostspielig ist.“ Es gehe ausdrücklich nicht um Autarkie, sondern um die Fähigkeit, kritische Abhängigkeiten bewusst zu gestalten, Risiken zu steuern und Handlungsfähigkeit zu sichern. Mario Zillmann, Senior Partner bei Lünendonk & Hossenfelder, betont zudem, dass klassische Hyperscaler-Angebote nicht ersetzt, sondern gezielt um souveräne Alternativen ergänzt werden sollen: „Die Zukunft der IT ist daher hybrid und differenziert.“

Die Studie steht auf der Website von Lünendonk & Hossenfelder kostenlos zum Download bereit.

(fo)

Der Trilog zur Verlängerung der temporären, freiwilligen Chatkontrolle 1.0 ist vorerst gescheitert, die Ausnahmeregelung würde damit am 3. April auslaufen. Diesem Scheitern ging eine Parlamentsabstimmung in der vergangenen Woche voraus. Dabei hatten die Abgeordneten zwar einer Verlängerung zugestimmt, aber gleichzeitig Einschränkungen beschlossen: Das Scannen soll nicht anlasslos sein, sondern nur zielgerichtet bei bestimmten Nutzer:innen stattfinden, wenn ein Verdacht besteht.

Diese Variante wurde allerdings vom Rat im Trilog abgelehnt, denn die Länder wollen die Chatkontrolle 1.0 anlasslos –  also ohne Verdacht  – weiterführen. Ein solches verdachtsloses Scannen ist seit Jahren in der Kritik, unter anderem durch Bürgerrechtsorganisationen und den europäischen Datenschutzbeauftragten.

Durch ein eingestuftes Ratsprotokoll vom 13. März, das wir im Volltext veröffentlichen, wird deutlich, dass die EU-Mitgliedstaaten Kompromisse bei der temporären freiwilligen Chatkontrolle 1.0 offenbar als eine Art Vorentscheidung für die weitaus wichtigeren Verhandlungen zur CSA-Verordnung und damit zu einer permanenten Regelung (Chatkontrolle 2.0) sehen.

Angst vor Kompromissen

Laut dem Protokoll vom 13. März bat zum Beispiel der Vorsitz die Mitgliedstaaten für die Verhandlungen „um Flexibilität hinsichtlich des Ausschluss eines Zugriffs auf Ende-zu-Ende Verschlüsselung (E2EE) und der Herausnahme von Grooming aus dem Anwendungsbereich“. Ein Kompromiss in diesem Bereich „würde sich nicht allzu negativ auf die Verhandlungen zur CSA-Verordnung auswirken“, so das Protokoll weiter.

In einem eingestuften Protokoll vom 10. März, das wir im Volltext veröffentlichen, wird auch auf den Zusammenhang von Interimsverordnung (Chatkontrolle 1.0) und der CSA-Verordnung (Chatkontrolle 2.0) verwiesen.

Der zypriotische Vorsitz ging zudem laut den Protokollen schon vor den Trilog-Verhandlungen davon aus, dass diese aufgrund der Ratsposition scheitern würden. Nach dem Scheitern zeigten sich Birgit Sippel, die Berichterstatterin des Parlaments, wie auch die Ratsvertreter enttäuscht von der Haltung ihrer Verhandlungspartner.

Konstantin Macher von der Digitalen Gesellschaft sieht vor allem den Rat in der Verantwortung: „Der Rat hat die Verhandlungen aus politischem Kalkül bewusst platzen lassen.“ Das sei unverantwortlich. „Damit setzt sich ein bekanntes Muster bei der Chatkontrolle fort: zielgerichtete Maßnahmen zum Kinderschutz wären längst möglich, werden aber durch das Beharren der Regierungen auf Maximalforderungen und anlassloser Massenüberwachung verhindert“, so Macher weiter.

Chatkontrolle am 26. März wieder im Parlament

Für Verwirrung sorgt zudem, dass der Punkt „Freiwillige Chatkontrolle“ am 26. März wieder im Europaparlament auf der Agenda steht und dann offenbar erneut über die Änderungsanträge vom 11. März abgestimmt werden soll. Auch wenn es sich um ein ordnungsgemäßes Verfahren handelt, ist der Vorgang zumindest ungewöhnlich, bestätigen Mitarbeiter von Abgeordneten verschiedener Fraktionen gegenüber netzpolitik.org.

Es sind nun verschiedene Szenarien denkbar:

Wenn es vor der Sitzung einen Antrag und eine Mehrheit dafür gibt, dass der Punkt von der Tagesordnung genommen wird, dann wäre die Chatkontrolle 1.0 beerdigt.

Sollte die Abstimmung auf der Tagesordnung bleiben, dann würde erneut über die Änderungsanträge abgestimmt, auch über den wichtigen Änderungsantrag 5, der die Chatkontrolle 1.0 auf Verdächtige beschränkt. Sollte auch nur ein Änderungsantrag im Plenum angenommen werden, dann könnte es zu weiteren Trilogverhandlungen kommen. Ein derartiges Prozedere ist so selten, dass auch langjährige Mitarbeiter von Abgeordneten so etwas noch nicht erlebt haben. Konstantin Macher kritisiert, dass überhaupt erneut abgestimmt werden soll: „Neu abstimmen lassen, weil einem das Ergebnis nicht passt, wäre zutiefst undemokratisch. Das Parlament darf sich nicht auf solche Machtspielchen einlassen, das rüttelt sonst am Vertrauen in die Politik.“

Nur wenn alle Änderungsanträge im Parlament durchfallen, wäre die Chatkontrolle-Verlängerung in der Version der EU-Kommission angenommen. Dieses Szenario ist allerdings sehr unwahrscheinlich.

Dokument 1 in Volltext:

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 13. März 2026
• An: Auswärtiges Amt
• Kopie:BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMWE, BMWK
• Betreff: AStV-2 am 13.03.2026 – TOP 33 – Regulation amending Regulation (EU) 2021/1232 as regards the extension of its period of application
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

I. Zusammenfassung und Wertung

AStV-2 befasste sich am 13.3. erneut mit der Verlängerung der Interims-VO, die zeitlich begrenzte Maßnahmen zur Aufdeckung, Entfernung und Meldung von Material des sexuellen Missbrauchs von Kindern ermöglicht.

CYP RP berichtete aus dem Trilog vom 12. März. Man hab sich noch nicht mit dem EP einigen können. CYP RP habe in den Verhandlungen klar gemacht, dass die MS keiner Einschränkung des Anwendungsbereichs zustimmen könnten. Die Berichterstatterin des EP (MdEP Sippel) habe indes unterstrichen, dass es keine Einigung ohne eine solche Einschränkungen geben könne. Der Rat müsse Kompromisse vorschlagen. EP könne ggf. das Verbot der Übermittlung von Verkehrsdaten sowie die Voraussetzung eines konkreten Verdachts gegen eine Person oder eine Personengruppe fallen lassen. Vors. bat MS um Flexibilität hinsichtlich des Ausschluss eines Zugriffs auf Ende-zu-Ende Verschlüsselung (E2EE) und der Herausnahme von Grooming aus dem Anwendungsbereich. Ein solcher Kompromiss würde sich nicht allzu negativ auf die Verhandlungen zur CSA-Verordnung auswirken.

Alle sich zu Wort meldenden MS brachten mehr oder weniger deutlich ihre Enttäuschung über die Haltung des EP zum Ausdruck. HUN, BEL, SWE, ESP, LVA, SVK, MLT, EST, SVN und ROU waren nicht zu Zugeständnissen beim Anwendungsbereich bereit. Neben uns signalisierten FRA, IRL, LTU, HRV, FIN, LUX und EST, sich bei E2EE bewegen zu können, wobei FRA klar machte, dass man hierfür erst den konkreten Text sehen müsse. Die vom EP vorgelegte Formulierung sei zu breit und könne faktisch dazu führen, dass die Diensteanbieter gar nichts mehr tun könnten. IRL, FRA, LTU und HRV zeigten auch Bereitschaft, sich bei Grooming evtl. zu bewegen, auch wenn dies schwer zu verdauen sei (FRA) und Kinder den Straftätern ausliefere (IRL). AUT und BGR machten deutlich, die Beibehaltung des Ratsmandats zu bevorzugen, sich aber letztlich der Mehrheit nicht verschließen zu wollen, sollte es zu Kompromissen kommen.

CYP RP schlussfolgerte, dass man nicht davon ausgehe, mit dem heute erteilten Mandat eine Einigung beim Trilog am kommenden Montag erzielen zu können. Man werde die MS über den Ausgang informieren.

II. Im Einzelnen

entfällt

Dokument 2 in Volltext

• Geheimhaltungsgrad: Verschlusssache – Nur für den Dienstgebrauch
• Datum: 13. März 2026
• An: Auswärtiges Amt
• Kopie: BMI, BMJV, BKAmt, BMBFSFJ, BMF, BMWE, BMWK
• Betreff: Sitzung der JI-Referent*innen zur CSA-VO am 10. März 2026
• Zweck: Zur Unterrichtung
• Geschäftszeichen: 350.80

I. Zusammenfassung und Wertung

TOP 2 – Proposal for a Regulation amending Regulation (EU) 2021/1232 as regards the extension of its application (6949/26)

Vors erinnerte eingangs, dass es bis zum Auslaufen der Interims-VO nur noch 25 Tage sei. Das Ratsmandat sei klar, aber im LIBE Ausschuss habe es keine Mehrheit für den Bericht der Berichterstatterin gegeben. Diese habe wesentliche Änderungen ggü. dem KOM Vorschlag enthalten. Morgen werde im EP Plenum daher zunächst darüber abgestimmt, ob der Vorschlag der KOM komplett abgelehnt werde. Eine Mehrheit dafür sei aber unwahrscheinlich, da S&D, EVP und Renew gemeinsame Änderungsanträge vorgelegt hätten. Es sei absehbar, dass diesen zugestimmt werde.

Diese Änderungsanträge seien im Bezugsdokument kurz erläutert. Vors. sei sich der Dringlichkeit bewusst und möglicherweise habe man nur noch eine Möglichkeit („one shot“), mit dem EP einen Kompromiss zu finden. Vors. plane daher bei einer positiven Abstimmung im EP einen Trilog am 12. März durchzuführen. Sollte der Rat auf seinem Mandat beharren, werde EP den Vorschlag insgesamt höchstwahrscheinlich ablehnen.

BEL stellte die Frage, inwiefern sich die Beschränkung auf Inhaltsdaten und das Verbot der Übermittlung von Verkehrsdaten wie z.B. IP-Adressen auf die praktische Arbeit auswirke.

KOM machte daraufhin deutlich, dass Berichte ohne Verkehrsdaten lediglich in eine Interpol-Datenbank aufgenommen werden könnten und man dann hoffen müsse, dass dieses Bild irgendwann einmal im Rahmen von anderen Ermittlungen relevant werde. Ohne Verkehrsdaten seien eigenständige Ermittlungen quasi unmöglich. KOM unterstrich zudem, dass der Ausschluss von neuem Material auch KI-generiertes Material beinhalte. Und dessen Zahlen seien ja bekanntlich sprungartig gestiegen. Die Formulierung der Änderungsanträge bzw. E2EE seien sei breit und könnten dazu führen, dass jegliche Kommunikation aus dem Anwendungsbereich herausgenommen werde. Zudem sei in den Änderungsanträgen 1 und 2 ein Widerspruch festzustellen, da ÄA 1 neues Material ausschließe, ÄA2 dieses aber unter bestimmten Umständen wieder zulasse. Problematisch sei auch, dass neues Material in der Interims-VO nicht definiert sei und die Definition in der CSA-VO eine hohe Schwelle vorgebe.

Alle wortnehmenden MS (DEU, IRL, FIN, ESP, NLD, FRA, AUT, LVA und HUN) unterstrichen, dass eine Rechtslücke zu vermeiden sei. Hinsichtlich der Dauer der Verlängerung zeigten sich alle flexibel.

Ich verwies auf die laufende Abstimmung für den morgigen AStV. IRL zeigte sich flexibel bzgl. eine Ausschlusses von E2EE und grooming, aber nicht bzgl. Verkehrsdaten (auch AUT und ESP). FIN formulierte hinsichtlich der Einschränkung des Anwendungsbereichs eine rote Linie. ESP unterstrich, immer für einen weiten Anwendungsbereich geworben zu haben. Auch AUT sprach sich für einen unveränderten Anwendungsbereich aus. FRA äußerte insbesondere Bedenken dahingehend, neues CSAM auszuschließen. Allerdings wolle man am Ende auch nicht „mit nichts“ dastehen. LVA verwies darauf, dass man zur allgemeinen Ausrichtung einen Kabinettsbeschluss habe, den man nicht einfach ändern könne. HUN zeigte das Dilemma auf, dass man entweder nichts habe, oder ein komplett nutzloses Instrument. NLD zeigte sich komplett flexibel.

Auf Nachfrage musste Vors. einräumen, dass sich das Mandat des Rates zur CSA-VO zwar auf die damalige Fassung der Interims-VO beziehe, dieses Argument jedoch vermutlich nicht vom EP akzeptiert werde, wenn man diese Bestimmung im Trilog zur CSA-VO verhandle.

TOP 3 – Proposal for a Regulation laying down rules to prevent and combat child sexual abuse (6946/26, WK 3494/2026)

Vors. unterstrich, dass die Verhandlungen sehr schnell voranschritten und man in einer sehr positiven Stimmung mit dem EP verhandle. Im Übrigen seien die Fortschritte im Bezugsdokument ersichtlich und man erbitte schriftliche Kommentare bis zum 12. März. Vors. habe auch begonnen, die Erwägungsgründe anzupassen. Das ITM am kommenden Freitag habe man abgesagt, um ich um die Interims-VO zu kümmern und weitere Schritte – dann auch zu umstritteneren Artikeln (Art. 3 – 5) – vorzubereiten.

KOM bestätigte den positiven Eindruck des Vors., sprach jedoch die Problematik des case-by-case Zugriffs von Europol auf die Datenbank des Zentrums an. Dies könne leicht zu bürokratisch werden. Vors. entgegnete, dass die MS dieser Formulierung zugestimmt hätten.

Auf meine Nachfrage zu Artikel 45, Zeile 646, erläuterten KOM und Vors., dass dies sowohl für statistische Auswertungen sinnvoll sei als auch helfen können, die Diensteanbieter zu informieren, wenn diese Bilder mehrfach gemeldet würden.

FRA bat erneut um Klarstellung, was mit „manifestly unfounded“ gemeint sei. Zudem sei Zeile 411 so breit gefasst, dass auch Täter Informationen anfordern könnten. Es sei nicht sinnvoll, hier auf das Wort „Opfer“ zu verzichten. KOM und Vors. sahen hierin kein Problem, wollten sich den Text aber erneut anschauen. Grundsätzlich sei die Verwendung des Begriffs „Opfer“ schwierig, da hieran z.B. aus der Opferschutz-RL besondere Bedingungen geknüpft seien.

Auf AUT Bitte, die „manifestly unfounded reports“ auch mit Hashes zu speichern, unterstrich Vors. dann die Anonymisierung ein ausdrücklicher Wunsch des EP sei. Ob dies Hashes umfasse, müsse man dann in der praktischen Umsetzung sehen.

II. Im Einzelnen

entfällt

Die Windows-Updates vom Microsoft-Patchday im März haben unerwünschte Nebenwirkungen. Der Login in private Microsoft-Konten schlägt nach der Installation in einigen Fällen fehl.

Das erklärt Microsoft nun in den Windows-Release-Health-Notizen. Demnach klappe der Login etwa in Microsoft Teams Free oder OneDrive nach der Installation der Windows-Updates für Windows 11 25H2 und 24H2 nicht mehr. Die Fehlermeldungen lauten sinngemäß: „Sie benötigen hierfür Internet. Es sieht nicht so aus, als seien Sie mit dem Internet verbunden“ (die englischsprachige Fehlermeldung erklärt: „You’ll need the Internet for this. It doesn’t look like you’re connected to the Internet“). Das passiere auch dann, wenn das Gerät mit dem Internet verbunden ist.

Das Problem trete insbesondere bei der Nutzung von Microsoft-Konten auf, die oftmals für die Nutzung von Teams Free genutzt werden. Weitere betroffene Apps umfassen Microsofts Edge, Excel, Word oder den Microsoft 365 Copilot. Sofern eine Funktion in den Apps einen Login in das Microsoft-Konto benötigt, kann es zu dieser Fehlermeldung kommen. Microsoft betont, dass Entra-ID-Konten von dem Problem nicht betroffen sind. Damit bleiben zumindest größere Unternehmen in der Regel davon verschont.

Reboot tut gut

Als temporäre Gegenmaßnahme schlägt Microsoft vor, den Rechner neu zu starten, wenn das Problem auftritt, und dabei die Internetverbindung aktiv zu lassen. Das sollte den Geräte-Verbindungsstatus reparieren und das Auftreten des Problems unterbinden. Sollte das Gerät ohne aktive Internetanbindung neu gestartet werden, könne das Gerät in einen Verbindungsstatus fallen, in dem das Problem erneut auftritt.

Microsoft gibt an, an einer Lösung des Problems zu arbeiten. In den nächsten paar Tagen soll sie demnach verfügbar werden.

Störung in Microsofts Cloud-Status

Die Störungen wurden seit dem Donnerstag dieser Woche auch im Cloud-Status von Microsoft angezeigt.

Dort erklärte Microsoft zunächst, es handele sich ausschließlich um ein Problem in Teams Free, wobei dort die betroffenen Windows-Versionen auch Windows 11 23H2 und Windows 10 22H2 umfassen. Zudem handele es sich bei dem Problem um eine Regression als Folge eines jungen Windows-Updates. Eine Lösung peilt Microsoft dem Cloud-Status zufolge für den 24. März 2026 an, zuvor experimentiert das Unternehmen noch mit Konfigurationsänderungen, um die Auswirkungen einzudämmen.

(dmk)