Was ist EDSO.

Digitale Souveränität ist die Fähigkeit eines Staates, einer Organisation oder eines Akteurs, über digitale Werte, Prozesse und Infrastrukturen so zu verfügen, dass strategische Entscheidungen jederzeit ohne fremden Eingriff getroffen, geändert oder rückgängig gemacht werden können.

Diese Definition ist bewusst operationell. Sie verzichtet auf ideologische Begriffe und benennt das messbare Kriterium: Steuerbarkeit über die Zeit. EDSO leitet aus dieser Definition vier unabhängig prüfbare Bewertungsdomänen ab.

Ein Anbieter mit Sitz in der Europäischen Union ist nicht automatisch souverän. Souveränität ist eine strukturelle Eigenschaft des gesamten Stacks — der eingesetzten Software, der Schlüsselhoheit, der Lieferkette und der rechtlichen Beherrschungsverhältnisse. Ein europäischer Briefkopf ändert daran nichts.

Ein Anbieter mit Sitz in Frankfurt, der seine Plattform vollständig auf einem proprietären US-Stack betreibt, dessen Schlüssel im Mutterkonzern verwaltet werden und dessen Quellcode in einem außereuropäischen Repository gepflegt wird, ist kein souveräner Anbieter. Er ist ein Wiederverkäufer. Die rechtlichen, operativen und technischen Steuerungshebel liegen außerhalb seiner und außerhalb der EU.

„Made in EU" ist ein Herkunftslabel. Souveränität ist eine Eigenschaft der Steuerbarkeit. Die beiden Begriffe sind nicht deckungsgleich. EDSO bewertet ausschließlich die zweite Frage.

Die operative Konsequenz ist klar: Eine Beschaffungsentscheidung, die sich allein auf Anbietersitz stützt, ist nicht souveränitätsgeprüft. Sie ist eine Herkunftsentscheidung. EDSO liefert dazu die fehlende strukturelle Bewertung.

Vergabe. Öffentliche Auftraggeber und KRITIS-Betreiber benötigen rechtssichere Zuschlagskriterien. Der Begriff der „wirtschaftlich günstigsten Angebote" (MEAT) erlaubt es, Souveränität als qualitatives Zuschlagskriterium zu verankern — aber nur, wenn dieses Kriterium objektiv prüfbar ist. EDSO liefert genau diese Prüfbarkeit.

Risikomanagement. Souveränität wird in einem IT-Portfolio nur dann zur steuerbaren Größe, wenn sie als KPI messbar ist. Ein Portfolio mit dokumentierten Domänen- und Gesamtleveln erlaubt Vergleich, Konsolidierung und gezielte Re-Architektur.

Strategie. Wechselfähigkeit ist langfristige Verhandlungsmacht. Wer einen Anbieter nicht wechseln kann, kann mit ihm nicht verhandeln. Souveränität schafft strukturell die Verhandlungsposition, die jede strategische IT-Entscheidung überhaupt erst belastbar macht.

Bestehende europäische Regulierung adressiert Sicherheit (NIS2, BSI C5), operationelle Resilienz (DORA) und algorithmische Risiken (AI Act). Diese Regelwerke sind sektor- und zweckbezogen sinnvoll — sie messen jedoch keine strukturelle Steuerbarkeit. Wer im Konfliktfall die Kontrolle über Schlüssel, Datenstandort oder Wechselpfade behält, ist keine Frage, die diese Standards beantworten.

Genau diese Lücke schließt EDSO. EDSO tritt nicht in Konkurrenz zu NIS2, DORA oder dem AI Act, sondern liefert die fehlende Souveränitätsdimension. Erst die Kombination aus Sicherheits-, Resilienz- und Souveränitätsbewertung ergibt eine vergaberechtssichere und regulatorisch belastbare Aussage über einen digitalen Dienst.