Geopolitische Instabilität, US-Überwachung und das Ende der „Gratis-Kultur“: Warum digitale Souveränität heute zur Voraussetzung eurer politischen Handlungsfähigkeit wird.
Eure digitale Infrastruktur liegt vermutlich in einem Land, dessen Regierung eure Arbeit zunehmend als Bedrohung einstuft. Die meisten europäischen NGOs betreiben E-Mails, Strategiepapiere, Spenderdaten und verschlüsselte Chats auf US-Servern, bei Microsoft, Google, Slack. In Rechenzentren, auf die US-Behörden im Zweifel zugreifen können, egal ob der Server in Virginia oder Frankfurt steht.
Wie real diese politische Haltung inzwischen ist, zeigen zwei Beispiele aus den letzten Monaten.
Am 10. Februar 2026 bezeichnete der Vorsitzende des US-Steuerausschusses europäische Stiftungen als nationales Sicherheitsrisiko. Wörtlich: „Foreign governments and billionaires“ würden über gemeinnützige Organisationen die amerikanische Politik unterwandern. Im selben Hearing brachte ein Abgeordneter den Gesetzentwurf H.R. 6800 ein, den Kritiker den „Nonprofit Killer“ nennen. Er zielt darauf, Organisationen den Steuerstatus zu entziehen, die politisch unerwünscht sind. Kritiker sehen darin einen Angriff auf die Infrastruktur zivilgesellschaftlicher Arbeit, eine politisch umstrittene Einschätzung, aber der Gesetzentwurf selbst und die Aussagen dazu sind es nicht. (Quelle: Charity & Security Network)
Was das für einzelne Personen bedeuten kann, zeigt der Fall von Anna-Lena von Hodenberg. Die Geschäftsführerin von HateAid, einer deutschen Organisation gegen Hass im Netz, wurde im Dezember 2025 mit einem Einreiseverbot der USA belegt, gemeinsam mit ihrer Mitgeschäftsführerin Josephine Ballon und drei weiteren Personen, darunter der ehemalige EU-Kommissar Thierry Breton. Eine europäische NGO, die sich für Nutzendenrechte und EU-Digitalgesetze einsetzt, gerät ins Visier einer US-Administration, die den Digital Services Act als Zensur einstuft. (Quelle: HateAid) Forscher:innen nennen die Nutzung digitaler Abhängigkeiten als politisches Druckmittel „Weaponized Interdependence“.
Für die europäische Zivilgesellschaft heißt das: Tech-Konzerne sind keine neutralen Dienstleister mehr, sondern zunehmend selbst politische Akteure, deren Kooperation mit der eigenen Regierung nicht mehr automatisch neutral verläuft. Souveräne Technologie wird damit zur Voraussetzung, dass eure Organisation morgen noch uneingeschränkt arbeiten kann.
Wer heute noch auf US-Hyperscaler setzt, sollte drei Entwicklungen im Blick haben.
Politische Entscheidungen in den USA sind kein abstraktes Fernsehthema mehr, sie haben reale Konsequenzen für Organisationen, deren Arbeit US-Interessen widerspricht. Ein Beispiel dafür ist kein Gedankenexperiment: 2025 verhängte die US-Regierung Sanktionen gegen Ankläger und Richter:innen des Internationalen Strafgerichtshofs in Den Haag, darunter Chefankläger Karim Khan. In der Folge wurde ihnen der Zugriff auf ihre Microsoft-Cloud-Konten erschwert. Der IStGH reagierte mit dem Wechsel zu OpenDesk, einer von der Bundesregierung geförderten Open-Source-Bürosoftware. Was einer internationalen Gerichtsinstitution passieren kann, ist für eine europäische NGO nicht grundsätzlich ausgeschlossen.
Der Begriff „Sovereign Cloud“ (etwa Microsoft in Frankfurt) hält einer genaueren rechtlichen Prüfung oft nicht stand.
US CLOUD Act: US-Behörden können Daten von US-Unternehmen anfordern, unabhängig davon, ob der Server in Frankfurt oder Virginia steht. Wie real das ist, zeigt eine Aussage vor dem französischen Senat im Juni 2025: Der Chefjustiziar von Microsoft France, Anton Carniaux, musste unter Eid einräumen, dass er nicht garantieren kann, dass Daten europäischer Bürger:innen aus EU-Rechenzentren nicht ohne Zustimmung der Behörden an die US-Regierung übermittelt werden.
FISA 702: Die weitgehend anlasslose Überwachung von Nicht-US-Personen ist rechtlich möglich und wird praktiziert.
Rechtsvakuum, aktueller Stand: Im Juni 2026 hat der US Supreme Court die Unabhängigkeit der FTC für verfassungswidrig erklärt, jener Behörde, auf die sich das EU-US Data Privacy Framework nach eigenen Angaben der Datenschutzorganisation noyb in 259 Textstellen als Kontrollinstanz stützt. Noyb hat die EU-Kommission bereits aufgefordert, die Angemessenheitsentscheidung für die USA in einem geordneten Prozess aufzuheben. Das Abkommen bleibt formal gültig, bis die Kommission es widerruft oder der EuGH es kippt, aber das rechtliche Fundament, auf dem es steht, ist erschüttert.
Für Organisationen, die auf US-Clouds setzen, wächst damit das Risiko: Wer heute eine Transfer-Folgenabschätzung nach Schrems II macht, kann sich nicht mehr darauf verlassen, dass die zugrundeliegenden US-Kontrollmechanismen tragen.
Die Jahre der großzügigen „Non-Profit Grants“ sind vorbei.
Microsoft hat zum 1. Juli 2025 die kostenlosen Business-Premium- und E1-Lizenzen für Nonprofits eingestellt. Weltweit waren davon rund 400.000 Organisationen betroffen. Für eine kleinere Organisation mit rund 20 Lizenzen bedeutet das Mehrkosten im mittleren dreistelligen Bereich pro Jahr, bei größeren Strukturen mit vielen Lizenzen entsprechend mehr.
Eure Daten werden aggressiver genutzt, als vielen bewusst ist. Seit November 2025 nutzt etwa LinkedIn auch Daten europäischer Mitglieder standardmäßig (Opt-out statt Opt-in) für das Training generativer KI-Modelle, eingeschränkt erst nach Kritik der irischen und niederländischen Datenschutzbehörden. Sensible Strategiepapiere oder Klientendaten könnten auf ähnlichem Weg ungewollt in Trainingsdaten der nächsten KI-Generation landen.
Die Lage ist ernst, aber nicht aussichtslos. NGOs brauchen eine klare Strategie, realistische Schritte und die Bereitschaft, Bequemlichkeit gegen Kontrolle einzutauschen.
Wie dieser Weg konkret aussehen kann, von der Inventur über den Piloten bis zur Entscheidung zwischen Eigenbau und einer konsolidierten Plattform, haben wir in unserem Leitfaden aufgeschrieben:
>Digitale Souveränität für NGOs: Ein Leitfaden zu Datenhoheit und Infrastruktur-Resilienz