Anfragen
14. April 2026

Digitale Souveränität: Prozessdebatten oder tatsächliche Umsetzung?

Mit Beschlussvorlage Nr. 20-26 / V 18562 (IT-Ausschuss als Werkausschuss für it@M vom 28.01.2026) führt das IT-Referat aus, dass digitale Souveränität „hochaktuell“ sei, dass eine Methodik entwickelt und als „Souveränitätscheck“ auf das Serviceportfolio angewandt worden sei und dass künftig offene Standards strenger eingefordert sowie die Methodik in relevante IT-Prozesse integriert werde. Gleichzeitig bleibt in der öffentlichen Darstellung häufig unklar, was über Methodik, Begriffsdefinitionen und Prozessbeschreibungen hinaus tatsächlich bereits konkret umgesetzt wurde.

Mit Schreiben vom 05.12.2025 hat das IT-Referat zur „Neuen Bewertung der digitalen Souveränität und der IT-Infrastruktur der LHM“ Stellung genommen.

Dabei wird unter anderem ausgeführt, dass aus der NIS-2-Richtlinie „explizit keine konkreten Anforderungen an die LHM“[1] im Hinblick auf digitale Souveränität resultierten.

Diese Einschätzung erscheint aus technischer, organisatorischer und auch formaler Sicht zumindest hinterfragungswürdig. Zwar ist digitale Souveränität nicht ausdrücklich als Ziel der NIS-2-Richtlinie benannt. Allerdings verweist die Europäische Kommission selbst in ihrem Dokument„Cloud Sovereignty Framework“ (SOV-7, Security & Compliance Sovereignty) vom Oktober 2025 explizit auf NIS-2 als wesentlichen Baustein. In der wissenschaftlichen Literatur heißt es hierzu wörtlich: „The NIS2 Directive represents a significant step towards operationalizing digital sovereignty in EU cybersecurity policy.“[2]

NIS-2 handelt im Kern von Kontrolle über eigene Daten, Informationssysteme und Infrastrukturen. Diese Kontrolle ist jedoch die essenzielle Voraussetzung für das Ausüben von Souveränitätsrechten – sei es auf Ebene von Unternehmen, Kommunen oder des Staates insgesamt. Wer aufgrund von Sicherheitslücken die Kontrolle über seine Systeme verliert, kann nicht mehr souverän handeln. Sicherheit erzeugt Kontrolle, Kontrolle erzeugt Souveränität.

Ziel kann keine theoretische Grundsatzdebatte über vollständige Autarkie sein, die in einer global vernetzten IT-Welt nicht realistisch ist, sondern die Klärung, ob die Landeshauptstadt München beim Thema digitale Souveränität über Prozessbeschreibungen hinaus bereits wirksam ins Handeln gekommen ist.

Vor diesem Hintergrund bitten wir um die Beantwortung folgender Fragen:

  1. Wie begründet das IT-Referat die Aussage, aus der NIS-2-Richtlinie ergäben sich „explizit keine konkreten Anforderungen“ an die LHM im Kontext digitaler Souveränität, obwohl sowohl die Europäische Kommission als auch wissenschaftliche Veröffentlichungen einen solchen Zusammenhang herstellen?
  2. Inwieweit wurde das „Cloud Sovereignty Framework“[3] der Europäischen Kommission bei der Entwicklung des städtischen Bewertungsschemas berücksichtigt, und warum wurde nicht auf dieses europäisch abgestimmte Schema zurückgegriffen, sondern ein eigenes Modell entwickelt?
  3. Welche konkreten organisatorischen oder technischen Maßnahmen wurden seit Vorstellung der Methodik tatsächlich umgesetzt, um identifizierte Abhängigkeiten in kritischen Bereichen zu reduzieren? Bitte unter Nennung der betroffenen Systeme und des jeweiligen Umsetzungsstandes.
  4. Das IT-Referat verweist auf „zusätzliche Sicherheitsgarantien“ (u. a. bei Webex/Cisco, ServiceNow, SAP) und Datenverarbeitung „ausschließlich in europäischen Rechenzentren“. Welche Garantien sind das konkret, welche technischen/vertraglichen Mechanismen sind vereinbart (z. B. Verschlüsselung, Schlüsselmanagement, Audit-Rechte, Exit-Regeln), und wie wird deren Einhaltung überprüft?
  5. Ist das derzeitig verwendete Bewertungsschema öffentlich nachvollziehbar dokumentiert und wissenschaftlich referenziert? Falls nein, warum wird auf ein nicht transparent veröffentlichtes Schema zurückgegriffen, obwohl zahlreiche europäische und wissenschaftlich fundierte Arbeiten zur Operationalisierung digitaler Souveränität vorliegen?
  6. Wie hoch waren die Kosten für Entwicklung, Konkretisierung, Begleitung und Durchführung der Methodik (inkl. Personalaufwände, externe Leistungen, Gutachten, wissenschaftliche Begleitung, Workshops) für dieses beauftragte Bewertungsschema?

[1] https://risi.muenchen.de/risi/dokument/v/9541906

[2] https://link.springer.com/article/10.1007/s10207-025-01090-4

 

[3] https://commission.europa.eu/document/download/09579818-64a6-4dd5-9577-446ab6219113_en?filename=Cloud-Sovereignty-Framework.pdf

 

zurück zur Übersicht
Teilen
nach oben