24. Bayerischer IT-Rechtstag 2025 – Digitale Souveränität

Der 24. Bayerische IT-Rechtstag 2025, veranstaltet vom Bayerischen Anwaltverband e.V. in Kooperation mit der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein und der Universität Passau, Institut für das Recht der digitalen Gesellschaft stand unter dem brandaktuellen Titel „Digitale Souveränität”.

Nach einer kurzen Vorstellung der Agenda durch Herrn RA Michael Dudek, Präsident des Bayerischen Anwaltverbandes e.V,. München begrüßte Frau RAin Dr. Christiane Bierekoven, Dr. Ganteführer, Marquardt & Partner mbB, Düsseldorf in ihrer Funktion als Vorsitzende des GfA der davit, Berlin die Teilnehmenden online als auch vor Ort an gewohnter Stelle, nämlich im HBW Conference Center im Haus der Bayerischen Wirtschaft. Ganz und gar nicht gewohnt war das Fehlen von Herrn Professor Bräutigam, dem Frau Dr. Bierekoven direkt zu Beginn die besten Genesungswünsche digital zurief, verbunden mit der Hoffnung, dass man sich spätestens nächstes Jahr wiedersehe!

Zusammen mit der zweiten würdigen Moderatoren-Vertretung des Tages, Frau RAin Marieke Merkle, Noerr Partnerschaftsgesellschaft mbB, München führte Frau Dr. Bierekoven in das Thema des Tages ein und rief ihre Kolleginnen und Kollegen dazu auf, mit der davit in Kontakt zu treten und sowohl die digitalen Angebote als auch Stammtisch-Treffen oder Fachteam-Sitzungen zu nutzen. Das IT-Recht sei immer mehr zu einer Querschnittmaterie geworden, weshalb der Austausch mit anderen Rechtsgebieten umso wichtiger sei. Auch bei digitaler Souveränität sei Grundvoraussetzung, dass private und öffentliche Akteure digitale Technologien verstünden und mit ihnen umgehen könnten. Nur so könne man IT und IT-Recht „als Schlüsseltechnologie für unser Land voranbringen“.

Die Keynote wurde von Herrn Ministerialdirektor Dr. Hans Michael Strepp, Amtschef des Bayerischen Staatsministeriums für Digitales, mit dem Titel „Von Brüssel bis München – digitale Souveränität als Gemeinschaftsaufgabe“ gehalten. Herr Dr. Strepp, der das Digitalministerium seit 2018 aufbaut und zuvor als Richter wie auch als Rechtsanwalt tätig war, zeichnete ein eindrückliches Panorama der europäischen Abhängigkeiten im digitalen Raum. Er erinnerte an die frühe Warnung von Angela Merkel in der Snowden-Affäre 2013 („Wir müssen unsere Digitale Souveränität zurückgewinnen“) sowie an jüngere Krisen wie Elon Musks Drohung, der Ukraine den Starlink-Zugang abzuschalten, um zu verdeutlichen, wie zentral digitale Infrastruktur für die gesamtstaatliche Handlungsfähigkeit geworden sei. Europa habe auf diese Abhängigkeiten allerdings zu einseitig mit Regulierung reagiert – von der DSGVO bis nun zum AI Act. Doch technologische Eigenständigkeit lasse sich nicht (allein) rechtlich erzwingen. Zumal dieser Ansatz immer eine regelbasierte Welt voraussetze. Europäische Kräftebündelung wie damals bei Airbus habe hier am Beispiel Gaia X noch keinen Erfolg erzielt. Strepp plädierte für einen „Souveränitäts-Check“ jeder Technologieentscheidung, die stets auch den Weg zurück und mögliche Alternativen mitdenken müsse. Vollständige Autonomie sei hingegen illusorisch („Da müssen wir uns ehrlich machen: Die Europäische Cloud wird nicht kommen“). Das zeige auch der Draghi-Bericht. Ziel müsse vielmehr das Management von Abhängigkeiten sein – und eine Digitalwirtschaft, die stark genug ist, dass „es für Hyperscaler zu teuer wäre, Europa abzuschalten“. Dazu bedürfe es, neben der Unterstützung der heimischen EU-Digitalwirtschaft oder neuer Bereiche wie New Space oder Defense Tech, des Zurückfahrens von Regulierung („die DSGVO braucht vielleicht ein Refreshment“) und des Setzens von besseren Standards, um ein Level Playing Field zu schaffen. Sein Ministerium gehe hier voran: Bayern setze 5,5 Mrd. Euro für die Bayerische Digitalwirtschaft ein, München sei bereits neue Start-Up-Hauptstadt und sein Ministerium wolle bspw. jedem und jeder MitarbeiterIn die Arbeit mit KI ermöglichen. Allerdings rolle man derzeit selbst MS Office 365 für die Bayerische Verwaltung aus; mit Zugang zu allen Services aus der Azure Cloud; wie auch aus dem Publikum kritisch angemerkt wurde.

Im Anschluss folgte der reichhaltige Impulsvortrag von Herrn RA Dr. Lennart Laude, LL.M. (LSE), Noerr Partnerschaftsgesellschaft mbB, München, zum Thema „Durchsetzung europäischer Standards für digitale Dienste“. Er ordnete den Digital Services Act (DSA) und den Digital Markets Act (DMA) als Kernbestandteile der europäischen Digital- und Plattformregulierung ein – ersterer als „Grundgesetz des Internets“ zum Schutz der Grundrechte, letzterer als wettbewerbsrechtliches Instrument zur Herstellung eines „Level Playing Fields“ und der Verhinderung von „lock-in-Effekten“ im digitalen Binnenmarkt. Bei beiden könne man nun auf zwei Jahre Umsetzung und erste Learnings zurückblicken: Der sachliche Anwendungs-bereich des DSA baue zentral auf dem Begriff der sog. Hosting-Dienste auf, also dem „Speichern fremder Informationen für einen Nutzer“ und erfasse neben Online-Plattformen und -Marktplätzen auch die sehr großen Plattformen (VLOP) und Suchmaschinen (VLOSE). Anschaulich zeigte Herr Dr. Laude, wie sich daraus gestufte Sorgfaltspflichten für sämtliche vom DSA betroffene digitale Dienste ergeben. Ebenfalls erinnerte er an das bereits etablierte notice-and-takedown-Verfahren als Kern der Haftungsprivilegierung für Hosting-Dienste. Der DMA hingegen operiere mit einer ex-ante Designation von sog. Gatekeepern wie Google oder Apple und wolle Marktmissbrauch verhindern, etwa durch das Verbot der Selbst-bevorzugung („Safari muss jetzt deinstallierbar sein“) oder durch Interoperabilitätspflichten („technische Interoperabilität kennen wir auch aus dem Data Act“).

Anhand aktueller Verfahren auf EU-Ebene – etwa zu Zalando oder AliExpress (mit einer Verpflichtungszusage abgeschlossen) – illustrierte Herr Dr. Laude, dass sich die Durchsetzung noch im Experimentierstadium befinde: Während die EU-Kommission beim DSA für systemische Risiken zentral zuständig sei, obliege die Kontrolle kleinerer Anbieter den nationalen „Digital Service Coordinators“, in Deutschland der Bundesnetzagentur. Deren Tätigkeitsbericht für 2024 enthalte allerdings bei über 800 Beschwerden bislang nur vier eingeleitete Verwaltungsverfahren. Beim DMA sei die Kommission hingegen grds. alleinige Vollzugsbehörde; das BKartA sei ihr ggü. nur informationspflichtig. Hier seien Verfahren u.a. gegen Meta und Apple mit Millionen-Bußgeldern wegen Verstößen gegen Art. 5 DMA beendet worden. Kritisch merkte er an, dass das Sitzlandprinzip der e-commerce-RL zu einer Konzentration der Zuständigkeiten etwa in Irland geführt habe, was nach wie vor zu Vollzugsdefiziten führe. Aber auch eine Bündelung bei der EU-Kommission sei nicht automatisch erfolgsversprechender, wie die zuletzt starke Politisierung der EU-Digitalpolitik zeige („im US-EU-Handelsstreit zur Verhandlungsmasse geworden und Entscheidungen der DG Comp und DG Connect sind den Kommissaren vorzulegen“). Zudem warnte er vor „malicious compliance“ im Bereich des DMA („z.T. reine pro forma Umsetzung des Wortlauts, aber telos bewusst missachtet“) und einer Überregulierung europäischer KMU und Start-ups, die unter dem weit gefassten Anwendungsbereich und Pflichtenprogramms des DSA litten. Sein Fazit: Beide Regelungstechniken greifen bislang nur eingeschränkt. Statt starrer Command-and-Control-Mechanismen aus Brüssel brauche es kooperative, schnellere und vor allem praxisnahe Durchsetzungsstrukturen zwischen Kommission und Mitgliedstaaten.

Im folgenden Panel I unter dem Titel „Durchsetzung europäischer Standards für Digitale Dienste“, moderiert von Frau RAin Dr. Birgit Münchbach, ADVANT Beiten, München, konnten die Themen der Durchsetzung nahtlos vertieft werden. Gemeinsam mit Frau RAin Magdalene Steup, Senior Legal Counsel bei TikTok, und Frau Dr. Julia Knappstein von der Bundesnetzagentur (Referat DSC10) diskutierte Herr Dr. Laude die noch junge Aufsichtspraxis unter dem DSA.

Frau Dr. Knappstein vom nationalen Digital Service Coordinator zog ein erstes Zwischenfazit: Seit dem Start vor rund eineinhalb Jahren befinde sich die Durchsetzung weiterhin im Aufbau; aber auch die EU-Kommission sei nicht sofort startklar gewesen. Die Bundesnetzagentur habe dieses Jahr ein eigenes Beschwerdetool eingeführt und verzeichne bei bislang über 800 Eingaben erst wenige eingeleitete Verfahren. Gleichwohl sei der gemeinsame europäische Weg mittelfristig der richtige, auch wenn sich die Ansätze der Mitgliedstaaten noch stark unterschieden. Zudem sei es sinnvoll, dass EU-Kommission bei systemischen Risiken („einem Gesamtimpact“) tätig werde.

Frau Steup schilderte aus Unternehmenssicht die Herausforderungen der Compliance-Umsetzung: Die Pflichten seien weit gefasst und zudem in kurzer Zeit umzusetzen, während zugleich erheb-liche Ressourcen für Risk Assessments, Transparenzberichte und Dokumentationspflichten erforderlich seien. Das erfordere eine enge Abstimmung mit den jeweiligen Fachabteilungen oder bspw. eine effektive interne Dokumentenablage. Sie forderte hier mehr praxisnahe Guidance seitens der Behörden. Herr Dr. Laude ergänzte, die Lernkurve sei auf allen Seiten steil gewesen: Viele Fragen beträfen nicht nur die „Großen“, sondern auch mittelgroße Anbieter, die oft gar nicht wüssten, wie stark der DSA sie tatsächlich betreffe. Man brauche deshalb Augenmaß und mehr Klarheit in der einheitlichen Begriffsanwendung. Häufig würde es sich auch um recht kleinteilige, aber sehr praxisrelevante Fragen handeln (z.B. „an welcher Stelle muss ich denn nun das Beschwerdeformular verlinken?“).

Knappstein bekräftigte, dass ihre Behörde derzeit mit Augenmaß vorgehe – mit nur drei Teams und ca. 27 Mitarbeitenden setze man auf Dialog statt Sanktionen („zumindest kurzfristig sind Gespräche mit den Unternehmen extrem effektiv und der für uns zielführende Weg“). Zudem müsse schon eine kritische Masse von Nutzerbeschwerden erreicht sein, damit sich die BNetzA mit einem Unternehmen befasse (könne). Das Panel war sich letztlich einig: Die europäische Digitalaufsicht bleibe „work in progress“. Statt immer neuer Vorschriften brauche es zunächst einer konsistenter Auslegung der weit gefassten Begriffe, Koordination zwischen den Behörden und einem realistischen Evaluierungszeitraum („das hat bei der DSGVO auch Jahre gebraucht“). Für die Zukunft könne sich die Implementierung weiterer gesetzlicher Schwellenwerte anbieten.

Nach der Mittagspause folgte der zweite Impulsvortrag von Herrn Prof. Dr. Michael Denga, LL.M. (London), Maîtr. en Droit (Paris), Inhaber des Lehrstuhls für Bürgerliches Recht und Wirtschaftsrecht an der BSP Business and Law School Berlin, zum Thema „Datensouveränität und Sovereign Cloud“. Professor Denga beleuchtete den Begriff der Souveränität zunächst in seiner politischen und rechtstheoretischen Dimension – von Hobbes’ Leviathan bis zur digitalen Selbstbestimmung – und übertrug ihn sodann auf das Daten- und Cloudzeitalter. Digitale Souveränität sei längst nicht mehr nur eine Frage staatlicher Macht („natürlich ist offensichtlich, dass die Digitalisierung den Machtanspruch des Staates herausfordert“), sondern betreffe gleichermaßen Privatpersonen, Unternehmen und Staaten als Akteure eines datengetriebenen Binnenmarkts. Aus verschiedenen Strategiepapieren der Kommission (u.a. „Digitale Agenda für Europa, 2010“ und dem „Politikprogramm 2030 für die digitale Dekade, 2022“) lasse sich entnehmen, dass die Kommission zunehmend ihrer Gestaltungsverantwortung dadurch nachkommen wolle, dass sie Europäische Werte, d.h. die Geltung europäischer Grundrechte aus dem Bereich des öffentlichen Rechts in den Bereich des Privatrechts „überführe“, um sie so zu Elementen der Binnenmarkt-Regulierung zu machen; insbesondere aus Gründen der Marktermöglichung, der Fairness (Wiederherstellung von Verhandlungssymmetrien) und letztlich zur Aufrechterhaltung des digitalen Binnenmarktes.

Anhand der jüngsten europäischen Rechtsakte – von DSGVO, Data Governance Act und Data Act bis zur KI-Verordnung – zeigte er eindrücklich auf, wie der EU-Gesetzgeber daher versuche, Souveränität über Daten über vertragliche Strukturen und Interopera-bilitätsvorgaben (wieder)herzustellen. Im Sinne einer „Kontraktualisierung“ (nach Hennemann/Steinrötter) sollten es hier nun die Privaten richten; wenngleich mit den FRAND-Regelungen des Data Acts von der Privatautonomie nicht mehr viel übrig sei („Canaris würde sich wohl im Grabe umdrehen“). Besonders beim Cloud-Computing entstünde jedoch durch proprietäre Schnittstellen, Lock-in-Effekte und US-Recht wie dem Cloud Act ein erhebliches Abhängigkeitsproblem. Der Data Act setze dem nun ein eigenes Wechsel- und Interoperabilitätsregime entgegen, indem er Datenverarbeitungsdienste gem. Art. 2 Nr. 8 DA sehr breit adressiere und ein Cloud-Switching Regime in den Art. 23 ff. DA beinhalte (insb. die Abschaffung von Wechselentgelten nach Art. 29 DA). Professor Denga schloss mit dem Appell, Datensouveränität nicht allein dem Markt zu überlassen: Der „FRANDisierung des Vertragsrechts“ stehe er zwar auch kritisch gegenüber. Man müsse Herrn Dr. Strepp vom Vormittag aber erwidern, dass das reine Managen von Abhängigkeiten zu wenig sei. Föderierte Systeme wie Gaia-X seien ein richtiger Schritt. Europa müsse ferner den Mut haben, – zumindest vorsichtig – eigene digitale Champions zu fördern. „Juristen können das (alleine) nicht lösen. Die Technologie haben wir in Europa!“

Es schloss sich das Panel II zum Thema „Datensouveränität und Sovereign Cloud“ an, moderiert von Herrn RA Dr. Thomas Thalhofer, Noerr Partnerschaftsgesellschaft mbB, München. Gemeinsam mit Frau RAin Dr. Swantje Richters, Senior Corporate Counsel bei Microsoft, Herrn RA Tobias Röhrig, Bereichsleiter Wirtschaftsrecht bei Schwarz Digits, und Herrn Prof. Dr. Michael Denga diskutierte er die praktischen und politischen Herausforderungen einer europäischen Cloud-Souveränität. Herr Dr. Thalhofer verwies eingangs auf die zunehmenden Spannungen durch Cyberangriffe und Wirtschaftsspionage und fragte, wie Europa auf diese Entwicklungen reagieren könne.

Herr Röhrig betonte, dass es – anders als am Vormittag teilweise gezeichnet – nicht am Bewusstsein, sondern an der Umsetzung fehle: Europa müsse seinen vorhandenen „Datenschatz“ endlich nutzbar machen. Professor Denga unterstrich, dass der bestehende Rechtsrahmen mit Data Act und Data Governance Act grundsätzlich ausreiche. Er mahnte jedoch, die Akteure müssten ihn auch nutzen: „Gründen wir doch mal einen Datenintermediär!“ 
Aus Unternehmenssicht verwies Frau Dr. Richters u.a. auf Microsofts mehrstufiges „Defending your Data“-Konzept: Technische, organisatorische und vertragliche Maßnahmen sollten Transparenz schaffen und Vertrauen stärken. Der medial präsente Cloud Act spiele in der Praxis kaum eine Rolle. Er wirke zwar extraterritorial, beziehe sich aber nur auf strafrechtlich relevantes Verhalten. Und die Statistik zeige: Im Zeitraum Juli 2024 bis Dezember 2024 hätte es 173 behördliche Anfragen in Bezug auf weltweite Unternehmenskunden gegeben. Davon habe man nur in fünf Fällen Inhaltsdaten herausgegeben müssen. Zudem gehe die Abhängigkeit in beide Richtungen: so investiere Microsoft massiv in den europäischen Markt – bis 2027 solle die Zahl der Rechenzentren innerhalb der EU auf über 200 steigen (dies entspreche 40 Prozent mehr Rechen- zentrumskapazität). Ferner suche man sich nationale Partner, wie bei der Delos Cloud mit SAP oder der Cloud Bleu in Frankreich von Orange und Capgemini. Herr Röhrig betonte, Datensouveränität lasse sich nicht allein durch nationale Infrastruktur sichern, sondern entstehe vor allem durch faire Wettbewerbsbedingungen und verlässliche Partner. Der „Kill-Switch“ bleibe auch beim Betrieb von US-Software auf deutscher Infrastruktur eine Gefahr. Beim Thema Vergaberecht und IT-Infrastruktur solle europäische Souveränität zudem eine gewichtige Rolle spielen („der Staat als Nachfrager hat hier -vor allem in regulierten Bereichen- einen gewichtigen Impact“). Von einer Beschränkung auf rein europäische Anbieter halte er jedoch nichts.

Professor Denga warnte schließlich vor einer überzogenen Regulierungsdichte („die berühmte Gesetzes-Tapete von Kai Zenner könnte erstmal noch größer werden“, in Anspielung an die sog. „blue wall of EU digital regulation, vgl. www.kaizenner.eu/post/ digital-factsheet-vol-3) und erinnerte an die nachteiligen ökono-mischen Effekte: Mehr Interoperabilität sei zwar wünschenswert, doch zu strenge FRAND-Pflichten könnten Produkte auch schlicht verteuern. In den Abschlussstatements blickten die Panelisten vorsichtig optimistisch auf 2030: Datensouveränität werde bis dahin selbstverständlicher Bestandteil digitaler Wertschöpfung sein – und Europa könne, so der Tenor, nur souverän werden, wenn es lerne, seine eigenen Datenräume mutig zu gestalten.

Im Anschluss an die wohlverdiente Kaffeepause folgte mit „Datenschutz & Informationssicherheit als Garanten Digitaler Souveränität“ der Impulsvortrag III von Herrn RA Dr. Thomas Lapp, IT-Kanzlei dr-lapp.de GbR, Frankfurt am Main. Als Vorsitzender der Nationalen Initiative für Informationssicherheit (NIFIS) hob er hervor, dass Datenschutz keine Innovationsbremse, sondern die Grundlage digitalen Vertrauens sei „digitale Aufklärung im besten Sinne“. Ausgehend vom Volkszählungsurteil des Bundesverfassungsgerichts und dem Grundrecht auf informationelle Selbstbestimmung zeichnete er die Entwicklung vom Hessischen Datenschutzgesetz 1970 bis zur DSGVO nach und betonte: Datenschutz sei kein Verhinderungsrecht, sondern die Voraussetzung einer freien, mündigen Gesellschaft. Informationssicherheit ergänze dieses Fundament mit ihren Schutzzielen Verfügbarkeit, Integrität und Vertraulichkeit.

Anhand der geplanten EU Digital Identity Wallet (Europäische Brieftasche für die Digitale Identität, Art. 3 Nr. 42 eIDAS-VO) zeigte Herr Dr. Lapp auf, wie Datenschutz, Authentifizierung und Datensouveränität künftig ineinandergreifen sollen: Bürgerinnen und Bürger sollen über die Preisgabe ihrer digitalen Identitätsattribute – vom Geburtsdatum bis zur Berufsqualifikation oder dem Führerschein– selektiv und datenschutzkonform selbst bestimmen können. So werde Vertrauen geschaffen „ohne Big Tech“; mit klaren Regeln für öffentliche und private Anbieter. Der Zeitplan sei indes ambitioniert: Bis Ende 2026 solle das EUDI-Wallet europaweit eingeführt sein und es solle sich um das Wallet ein Identitätsökosystem mit verschiedenen Akteuren herausbilden (u.a. Nutzer und vertrauende Beteiligte, Art. 5b eIDAS-VO). Sein Fazit: Datenschutz „Made in Europe“ sei kein Selbstzweck, sondern das Qualitätsmerkmal einer souveränen, wertebasierten EU-Digitalpolitik. Bspw. sei bei den IHK’s bereits eine Business- Wallet in Planung und für private Anbieter mit der Pflicht zu einer starken Nutzerauthentifizierung oder aber öffentlichen Stellen, die eine elektronische Identifizierung verlangen, bestehe auf Verlangen des Nutzers eine Akzeptanzpflicht hinsichtlich dieser zukünftigen EUDI-Wallets (Art. 5f eIDAS-VO).

Im letzten Panel III mit dem Titel „Sicherstellung digitaler Souveränität durch Haftung, Datenschutz und Cybersecurity“ diskutierten unter der Moderation von Frau RAin Yvonne Roßmann, JUN Legal GmbH, Würzburg, Frau RAin Dr. Christiane Bierekoven, Dr. Ganteführer, Marquardt & Partner, Düsseldorf, Frau Sophie Sohm, Privacy Policy Manager, Meta und Frau Dr. Ann-Kristin Mayrhofer, Akademische Rätin a. Z., Lehrstuhl für Bürgerliches Recht, Zivilverfahrensrecht, Europäisches Privat- und Verfahrensrecht, LMU München die Frage, wie Regulierung, Verantwortung und Innovation in Europa in Einklang gebracht werden können.

Frau Dr. Bierekoven betonte zu Beginn, digitale Souveränität setze die Kontrolle über die eigenen Daten sowie eine belastbare Cyber-sicherheit und funktionierende Infrastruktur voraus – nicht zwingend gegen, aber doch unabhängig von Big Tech. Frau Sohm hob die Bedeutung von Vertrauen, Transparenz und granularer Nutzerkontrolle hervor und verwies auf Metas „Trust, Transparency & Control“- Labs in Irland, wo man die Themen Datenschutz, Produktdesign und Aufklärung miteinander verzahne („denn die Produktdesigner leben meist in einer ganz anderen Welt“). Der privacy-by-design-Ansatz sei vielleicht die größte Errungenschaft der DSGVO und inzwischen auch in den USA angekommen. Gerade in Deutschland sei das Bewusstsein für diese Balance besonders ausgeprägt, weshalb man den Dialog mit zahlreichen Stakeholdern suche und bspw. 20 Vollzeitstellen allein für das Thema Datenschutz in Europa bereitstelle. Man müsse aber auch die technische Entwicklung im Blick behalten („in Zeiten aufkommender AI driven Wearables ohne Display können Privacy Policies eben nicht 2 Seiten lang sein“). 

Frau Dr. Mayrhofer beleuchtete die Haftung als zentrales Steuerungs-instrument: Sie diene zum einen der Durchsetzung bestehender Standards, etwa infolge privater Rechtsdurchsetzung bei einem Verstoß gegen das Produktsicherheitsrecht (neue ProdHaft-RL) oder über die Verbandsklagerichtlinie. Zum anderen diene sie der Weiterentwicklung des Rechts sowie der Verbesserung von Standards, indem –gerade falls noch keine spezifische Regulierung bestehe und das Produkt dennoch „fehlerhaft“ sei – zumindest nachträglich eine Kompensation möglich werde. Sie könne aber zugleich Innovation hemmen, wenn ihre Sanktionen überzogen seien. Daher plädiere sie für ein kohärentes, autonomes und EU-weites Haftungsrecht, was zu weniger Marktbarrieren sowie einer Stärkung des Digitalen Binnenmarktes führen würde. Im Diskurs zeigte sich zudem, dass private Klagen – etwa beim Thema „Loss of Control“ oder wegen Art. 15 DSGVO – einerseits als Geschäftsmodell (bspw. gegen Meta) genutzt würden, andererseits aber auch spürbare Verbesserungen in den Prozessen der betroffenen Unternehmen bewirkt hätten. Frau Dr. Bierekoven plädierte abschließend für eine pragmatische, risiko-basierte Sicht auf kollektive digitale Souveränität: Europa verfüge über großes Potenzial, müsse Abhängigkeiten aber realistisch bewerten und vor allem Cyberrisiken ganzheitlich betrachten („selbst wenn Sie eine Lösung on premise lassen, bringt ihnen das bei einem Hackerangriff aus Fernost auch nichts. Hier brauchen wir eine realistische Risiko-Abwägung aller (!) Risiken“). Die bestehende Regulierung sei im Grunde geeignet, wenn sie richtig umgesetzt würde; viele KI-Systeme seien bspw. ohnehin nicht „High-Risk“, und übermäßige Vorsicht sollte Innovation grds. nicht ausbremsen.

In der abschließenden Diskussion „Digitale Souveränität im internationalenVergleich“ lenkte die Moderatorin Frau RAin Marieke Merkle, Noerr Partnerschaftsgesellschaft mbB, München den Blick auf die  unterschiedlichen Verständnisse digitaler Eigenständigkeit weltweit. Während sie in der EU vor allem als Ausdruck regulatorischer Autonomie verstanden werde, stehe sie in den USA für Marktführerschaft und in China für (staatliche) Kontrolle. Frau RAin Dr. Swantje Richters, Senior Corporate Counsel, Microsoft, stellte in diesem Kontext die im April 2025 veröffentlichten Digital Commitments ihres Unternehmens vor, mit denen Microsoft auf geopolitische Unsicherheiten reagiere: dazu gehörten der Ausbau von über 200 Rechenzentren in Europa, gestärkte Datenschutzstrukturen in den Verträgen („Defend Your Data“), Cybersecurity-Maßnahmen – etwa die Hilfe für die Ukraine, ihre Daten in die EU zu migrieren – sowie die Förderung von Open Source und fairen Schnittstellen. Das vielzitierte „Pull-the-Plug“-Szenario sei zwar nicht gänzlich ausschließbar, praktisch aber unwahrscheinlich. Gleichwohl gelte „Safety first“ beim Thema Betriebskontinuität, weshalb sie nochmal auf die Partnerschaften etwa bei der neuen Delos-Cloud verwies.

Frau Steup beleuchtete die praktische Wirkung der europäischen Digitalrechtsakte und machte deutlich, dass deren Einfluss teilweise
weit über die EU hinausreiche. Es sei jedoch zwischen Regelungen zu unterscheiden, die primär der EU-Kommission zur Erkennung systemischer Risiken dienen sollten, etwa Transparenzpflichten, und solchen, die unmittelbar an Produkte anknüpfen und daher tief in
unternehmerische Entwicklungsprozesse eingriffen. Hier entfalte der europäische Rechtsrahmen erhebliche extraterritoriale Wirkung über die Grenzen des Binnenmarkts hinaus („ein Lieblingsthema von Herrn Professor Bräutigam“, wie Frau Merkle anmerkte). Dies führe jedoch zu einer weltweiten Fragmentierung, da Unternehmen ihre Produkte regional unterschiedlich anpassen müssten. Dieses Phänomen des „Regulatory Forking“ verursache insbesondere bei global agierenden Plattformen wie TikTok zusätzlichen Aufwand, etwa bei Risikoanalysen, die sich nicht auf einzelne Produkte, sondern auf ganze Systemstrukturen bezögen.

Frau Dr. Ann-Kristin Mayrhofer wies darauf hin, dass die extraterritoriale Wirkung solcher Normen auch zu Konflikten mit internationalem Privatrecht führen könne: Digitale Souveränität erscheine hier ebenfalls als Machtfrage. Allerdings sei auch im IPR das Konzept der Auswirkung auf einen Menschen sowie das „Anbieten“ oder „in Verkehr bringen“ inzwischen anerkannt. Am Beispiel der KI-VO erläuterte sie, dass es hier zwar einen Aufschrei wegen ihrer potenziell globalen Geltung gegeben habe; sie gehe aber insgesamt von einer restriktiven Auslegung aus. Andernfalls dürften sich allein praktisch viele Probleme ergeben, wie man etwa bei Deepseek und dem
dortigen Versuch sehe, DSGVO-Standards durchsetzen zu wollen („Man erreicht schon gar keinen Vertreter in Europa!“). Zugleich
warnte auch Frau Steup davor, bei aller berechtigten Diskussion über Souveränität den Aspekt der Cybersicherheit nicht aus den Augen zu verlieren – sie bleibe entscheidend für jegliche digitale Eigenständigkeit, wie Frau Dr. Richters ergänzte: „Allein bei Microsoft sehen wir
600 Mio. Attacken pro Tag.“

Mit diesem gemischten Ausblick und einem klaren Aufruf, in Europa (endlich) selbst tätig zu werden, bedankte sich Frau Dr. Bierekoven im Namen der davit bei allen Teilnehmenden und ihrer Co-Host Marieke Merkle sowie bei dem gesamten Team um Frau Baral von der MAV GmbH.

Bis zum nächsten Jahr am Donnerstag, den 29.10.2026 in München!

Simon Tannen, LL.M. (CGSL)