Genug geredet: Wie digitale Souveränität von der UN bis Dortmund konkret wird
#Open Elements
#Open-Source
#Security
In wenigen Wochen habe ich an drei Tischen gesessen, die kaum weiter auseinanderliegen könnten. Trotzdem ging es doch um exakt dasselbe:
- Im Hauptquartier der Vereinten Nationen in New York
- Im Deutschen Bundestag in Berlin
- Im Herzen meiner Heimatstadt Dortmund
Von der globalen über die nationale bis auf die kommunale Ebene steht ein Thema inzwischen überall auf der Tagesordnung: digitale Souveränität. Das ist die gute Nachricht. Die unbequeme lautet: Zwischen dem Reden über Souveränität und dem Bauen souveräner Systeme klafft noch eine große Lücke. Geschlossen werden muss diese nicht an einem einzigen Ort, sondern auf jeder Ebene. Bis hinunter in die eigene Stadt.

Ebenen, in denen Digitale Souveränität aktuell diskutiert wird
United Nations – die globale Ebene
Die UN Open Source Week (22.–26. Juni 2026) ist innerhalb weniger Jahre aus einem kleinen Treffen zu einem globalen Forum mit Expert*innen aus rund 75 Ländern gewachsen. Ich war dort, um die Perspektive der unabhängigen Open-Source-Stiftungen einzubringen und konkret die Eclipse Foundation und LF Decentralized Trust zu vertreten.

Hendrik Ebbers bei der UN Open Source Week in New York
Das Leitthema der Konferenz war klar definiert: Open Source als Weg, kritische digitale Infrastruktur gemeinsam aufzubauen, statt sie in den Händen weniger Anbieter zu konzentrieren. Diese Sorge vor wenigen mächtigen Anbietern zog sich durch die Woche und hat eine neue Dimension bekommen: Auch KI wird heute überwiegend auf den Werken weniger (der westlichen Welt) trainiert und bildet die Vielfalt der Menschen, die sie nutzen, kaum ab.
Inhaltlicher Höhepunkt war der Konferenztag „OSPOs for Good" — mit Keynotes aus Marokko, Tansania, von den Vereinten Nationen und der Linux Foundation. Drei Punkte daraus sind für Entscheider unmittelbar relevant:
- Souveränität braucht Betreiber, keine Freiwilligen. Im Panel zur digitalen Souveränität wurde der Punkt gemacht, der die Woche zusammenfasst: Kritische digitale Infrastruktur kann sich nicht dauerhaft auf eine Handvoll Maintainer verlassen, die ehrenamtlich tragen, was für Wirtschaft, Staat und Gesellschaft längst unverzichtbar ist. Öffentliche und private OSPOs (Open Source Program Offices) wurden als der zentrale Hebel benannt, um politische Bekenntnisse in operative Realität zu übersetzen.
- Finanzierung ist Staatsaufgabe, nicht Wohltätigkeit. Auf dem Finanzierungs-Panel brachte es die Sovereign Tech Agency auf den Punkt: Kritische Open-Source-Technologien sind die Straßen und Brücken des digitalen Zeitalters — in sie zu investieren ist keine Wohltätigkeit, sondern im 21. Jahrhundert schlicht Staatsaufgabe. Entsprechend gehört nachhaltige Finanzierung in die öffentliche Hand — mit Rechenschaft, aber ohne die Last weiter auf einzelne Maintainer abzuwälzen. Die deutschen Initiativen Sovereign Tech Agency und das Zentrum für Digitale Souveränität (ZenDiS) wurden über die Woche mehrmals als klare Piloten und Vorzeigeprojekte dieser Bewegung benannt. Klar gemacht wird auch, dass solche Initiativen nicht von Wahlzyklen abhängig gemacht werden dürfen. Verlässlichkeit kann hier vor allem in der Zusammenarbeit mit dem privaten Sektor entstehen. Hier freue ich mich natürlich sehr, dass Open Elements mit beiden dieser positiven Piloten Sovereign Tech Agency und ZenDiS aktiv zusammenarbeitet.
- Regierungen handeln bereits. Besonders greifbar wurde das an den Regierungs-OSPOs einkommensschwächerer Länder — EU-finanzierte Pilotprojekte etwa in Kenia (im Ministerium verankert, mit Fokus auf Schulung, lokale Entwickler-Community und einen souveränen Open-Source-Stack) und in Trinidad & Tobago (neue nationale „Open Source First"-Politik inklusive öffentlicher Beschaffung).

Panel zur digitalen Souveränität in Afrika bei der UN Open Source Week
Wie ernst diese Bewegung ist, zeigt ein Papier, das UNDP in genau dieser Woche veröffentlicht hat: Digital Public Infrastructure in Africa. Darin wird digitale öffentliche Infrastruktur, wie etwa Identität, Zahlungen oder Datenaustausch, ausdrücklich nicht als reine Technik beschrieben, sondern als kritische Souveränitätsschicht.
Offene Standards, Digital Public Goods und wiederverwendbare Open-Source-Bausteine sind der Weg, Vendor-Lock-in zu vermeiden und die Kontrolle über die eigenen Daten zu behalten. Wer das versäumt, so die Warnung, wird zum Konsumenten von kostspieligen Plattformen oder KI, die auf fremden Realitäten trainiert wurde. Und als konkreten Baustein nennt das Papier ausgerechnet Open Source Program Offices — dieselbe Idee, die auch bei „OSPOs for Good" im Zentrum stand.

UNDP-Papier zu Digital Public Infrastructure in Africa
Wie eng die globale und die deutsche Ebene zusammenhängen, wurde in New York übrigens sehr sichtbar: Die Eröffnungs-Keynote im ECOSOC-Saal der Vereinten Nationen hielt mit Thomas Jarzombek ein deutscher Parlamentarischer Staatssekretär (Bundesministerium für Digitales und Staatsmodernisierung). Bemerkenswert war, wie konkret er wurde: Statt allgemeiner Bekenntnisse nannte er eine Reihe deutscher Vorzeigeprojekte nach dem Prinzip Public Money, Public Code — neben der bereits erwähnten Sovereign Tech Agency etwa die Plattform OpenCode des Zentrums für Digitale Souveränität (ZenDiS), die quelloffene EUDI-Wallet, GovStack für die Digitalisierung von Verwaltungen weltweit und OpenDesk, das inzwischen sogar der Internationale Strafgerichtshof einsetzt. Amandeep Gill, Untergeneralsekretär des UN-Büros für digitale und neue Technologien (UN ODET), nannte Deutschland und die STA daraufhin eine tragende Säule dieser Arbeit. Bei aller berechtigten Kritik an der konkreten Umsetzung von Public Money, Public Code: International muss sich Deutschland nicht verstecken. Womit wir bei der zweiten Ebene wären.
Bundestag – die nationale Ebene
Dass das Thema in Deutschland angekommen ist, lässt sich an einem Ort besonders gut ablesen: dem Parlament. Beim Roundtable im Deutschen Bundestag saßen Politik, Verwaltung und Praxis an einem Tisch und die Tonlage hat sich in den letzten Monaten wirklich spürbar verschoben: Open Source ist nicht länger ein Nischenthema für Idealisten, sondern wird als strategische Frage der staatlichen Handlungsfähigkeit verhandelt: Wer kontrolliert die Software, auf der unsere Verwaltung, unsere Banken und unsere Industrie laufen?

Roundtable zu Open Source im Deutschen Bundestag
Mein Eindruck aus Berlin: Der politische Wille ist da. Was jetzt entscheidet, ist die Übersetzung dieses Willens in operative Realität — in Beschaffung, in Pflege, in verlässliche Verantwortlichkeiten.
Dortmund – die kommunale Ebene
Und dann die dritte Ebene — die, die mir am nächsten ist. In meiner Heimatstadt entsteht gerade das Open Source Board Dortmund (OSB Dortmund): ein unabhängiges Gremium, das die Stimmen von Verwaltung, Zivilgesellschaft, Wirtschaft und Wissenschaft zusammenbringt, um Open Source und digitale Souveränität vor Ort zu stärken. Initiiert wird es gleichberechtigt von Do-FOSS (der Dortmunder Initiative für Freie und Open-Source-Software) und dem Fachkreis Digitale Souveränität des BVMW. Dies geschieht bereits in enger Koordination mit der Wirtschaftsförderung Dortmund und der Koordinierungsstelle Digitale Souveränität und Open Source im Büro des städtischen CIIO.
Für mich ist das keine Beobachtung aus der Distanz: Open Elements ist Mitglied im BVMW und Mitgründer von dessen Dortmunder Arbeitsgruppe „Digitale Souveränität", die den Sitz der Wirtschaft im Board übernimmt. Gemeinsam mit Mausbrand und Do-FOSS treten wir hier gerade in Vorleistung — von der Initiative bis zu den Gründungsdokumenten, die wir zusammen erarbeitet haben.

Treffen des Fachkreises „Digitale Souveränität
Das Board berät die Kommune, analysiert und priorisiert gemeinsam mit der Wirtschaftsförderung — eingebettet in deren Strategie „WFDO 2030: Digitale Souveränität und Open Source". Dortmund nutzt damit seine Rolle als IT-Standort und wirtschaftliches Oberzentrum, um Souveränität nicht nur zu fordern, sondern die dafür nötigen Dienstleistungen und Güter lokal und in kooperativen Modellen bereitzustellen. Die erste Sitzung ist für die DiWoDo 2026 geplant; Charter und Governance liegen von Anfang an offen auf Codeberg und werden in Zukunft auf OpenCode umziehen.
Was auf UN-Ebene „OSPO" heißt und in Berlin als politisches Bekenntnis verhandelt wird, bekommt hier ein konkretes Gesicht: eine Stadt, die Verantwortung für die Software übernimmt, mit der sie ihre Bürgerinnen und Bürger verwaltet. Genau das ist Souveränität als Bau-Entscheidung: keine Absichtserklärung, sondern jemand, der anfängt. Nicht in New York oder Berlin, sondern im Rathaus um die Ecke.
Was das für technische Entscheider heißt
Drei Ebenen, eine Erkenntnis: Digitale Souveränität ist keine PR-Folie, sondern eine Bau-Entscheidung. Sie fällt nicht im Plenarsaal, sondern in der Architektur — und zwar auf jeder Ebene neu.
Ein möglicher Kurzschluss vorweg: Wenn der Staat die gemeinsame Infrastruktur finanziert — muss ein Unternehmen dann selbst überhaupt noch etwas tun? Ja, und zwar auf einer anderen Ebene. Selbst wenn die öffentliche Hand über die nächsten Jahre die Pflege einer souveränen, offenen Infrastruktur übernimmt, bleiben Firmen für die Open-Source-Komponenten in ihren eigenen Produkten verantwortlich — und unter dem CRA sogar haftbar. Gut instandgehaltene Autobahnen nehmen schließlich niemandem die Wartung des eigenen Fuhrparks ab. Genau diese zweite Ebene ist gemeint, wenn es im Folgenden um Verantwortung geht.
Open Elements ist ein Bindeglied zwischen Open-Source und Politik
Für alle, die Verantwortung für reale Systeme tragen, heißt das dreierlei:
- Souveränität beginnt nicht mit einem Statement, sondern mit einer ehrlichen Dependency-Map und einer Exit-Bewertung für jede kritische Komponente. 73 % der deutschen Unternehmen sehen Open Source als Souveränitäts-Instrument, aber nur 17 % haben ihre digitalen Abhängigkeiten je vollständig analysiert und reduziert. Mit Open Elements setzen wir genau hier an und helfen Unternehmen, eine solche Analyse durchzuführen.
- Kritische OSS braucht eine adressierbare Verantwortung — eine Bibliothek in Ihrem Produktivsystem ohne vertraglichen Ansprechpartner ist ein Risiko, kein Geschenk. Mit unserem Support & Care Angebot bietet Open Elements eine klare Risikominimierung für Java-basierte Anwendungen.
- Compliance kommt ohnehin. Ab 2027 verantworten Hersteller unter dem Cyber Resilience Act (CRA) 100 % ihrer Software, inklusive aller Open-Source-Bausteine. Mehr dazu in unserem Artikel zum CRA.
Unsere Position
Open Elements arbeitet seit Jahren an genau diesem Übersetzungsschritt — von der politischen Absicht zur betriebsfähigen Realität. Wir sind der vertragliche Partner für jene „geschenkten Werkzeuge", auf denen Ihre IT läuft: kritische Java-Komponenten wie Eclipse Temurin, Apache Maven, JUnit oder Apache Log4j, professionell gepflegt, mit Gewährleistung und einem benennbaren Ansprechpartner. Über unsere Rolle in der Eclipse Foundation, in LF Decentralized Trust und in der Open Regulatory Compliance Working Group (ORC WG) gestalten wir die Regeln mit, über die in New York und Berlin gesprochen wird — und in Dortmund fangen wir vor der eigenen Haustür damit an.
Souveränität entsteht nicht dadurch, dass mehr darüber geredet wird. Sie entsteht dadurch, dass jemand die Verantwortung übernimmt — von der UN bis ins Dortmunder Rathaus.