Markus Schaffhauser ist Global Senior Vice President der Atos Gruppe und muss den Standort Österreich konzernintern immer öfter verteidigen: „Die Frage ist immer: Wo werden Investitionen getätigt, wo werden Kompetenzzentren aufgebaut, wo geht man mit neuen Technologien hin? Wenn Österreich bereits sehr hohe Personalkosten hat und dann auch noch die größten Kostensteigerungen weltweit verzeichnet, ist das ein ernsthaftes Argument gegen Investitionen am Standort.“ Um im Technologierennen mit den USA und China aufzuholen und – zumindest teilweise – unabhängig zu sein bei digitalen Technologien, fehle es in Europa an einem entwickelten Kapitalmarkt. Ein Thema, das er auch in Österreich vermisst: „Eine Industriestrategie ohne Kapitalmarkt ist ein unvollständiger Ansatz“.
Die Idee von digitaler Souveränität ist es, Österreich und Europa von amerikanischen Digitalkonzernen unabhängiger zu machen. Was sind die Gefahren, vor denen wir uns schützen wollen?
Markus Schaffhauser: Es geht im Kern darum, dass wir Daten und Informationen haben, die anderen nicht zugänglich sein sollten – aus wirtschaftlichen, sicherheitspolitischen und staatlichen Gründen. Die zentrale Frage ist: Wie habe ich die Kontrolle über meine Daten, über die Technologie, über die Sicherheitssysteme? Will ich diese Kontrolle selbst haben – oder bin ich bereit, sie an Dritte abzugeben?
Nicht alles muss hochsicher gehalten werden. Für viele Daten ist eine Weitergabe an Dritte völlig in Ordnung. Die eigentliche Frage ist dann: Kann ich diesem Dritten vertrauen, dass er nichts tut, was meinen Interessen widerspricht?
Kann ich das zum Beispiel bei amerikanischen Unternehmen nicht mehr?
Ich habe persönlich gute Beziehungen und Freunde in amerikanischen Unternehmen. Aber viele Unternehmen unterliegen oftmals derUS Gesetzgebung. Sobald der US-Cloud-Act greift, müssen sie Daten auf Anforderung herausgeben – weltweit, ohne vorab zu informieren. Das tun sie nicht immer freiwillig oder aus böser Absicht, aber wenn sie dazu aufgefordert werden, müssen sie.
Für viele Daten – wahrscheinlich 90 Prozent – wäre das wahrscheinlich kein Problem. Meine persönlichen E-Mails, das wäre unangenehm, aber letztlich nicht kritisch. Aber es gibt eben auch hochsensible Daten – Forschungs- und Entwicklungsdaten, sicherheitsrelevante Informationen –, wo man sehr genau überlegen muss, wo sie liegen und wie unberechtigter Zugriff verhindert wird.
China hat für jeden amerikanischen Dienst eine eigene Alternative entwickelt und das auch recht erfolgreich in die Breite gebracht. Warum ist Europa das nicht gelungen?
Ich glaube, es gibt mehrere Gründe. Erstens ist Europa nach wie vor eine Vereinigung von Nationalstaaten, die alle die Dinge etwas anders machen und anders interpretieren. Wenn sich Deutschland und Frankreich nicht auf ein gemeinsames Kampfflugzeug einigen können, wie sollen wir uns dann gesamteuropäisch auf einen gemeinsamen digitalen Dienst einigen?
Zweitens hat man in der engen Partnerschaft mit den USA über lange Zeit darauf vertraut, dass dies immer so bleiben wird. Jetzt kommt die große Überraschung: Die geopolitische Realität hat sich verändert, Europa wird von den USA anders gesehen als früher und man hat zu lange die Augen vor dieser Entwicklung verschlossen.
Das dritte Problem ist der weitgehend schwach entwickelte europäische Kapitalmarkt. Es gibt einfach zu wenig Kapital im Umlauf, um große Technologieunternehmen zu bauen oder zu finanzieren, und auch zu wenig Venture Capital. Wir haben in Europa großartige Start-ups, die dann irgendwann in spätere Finanzierungsrunden nach Großbritannien oder in die USA abwandern, weil dort das nötige Kapital vorhanden ist. Europa exportiert damit im Ergebnis seine besten Ideen.
Wenn wir diese Probleme nicht lösen, bis zu welchem Grad ist digitale Souveränität dann überhaupt möglich?
Wir müssen uns von der Vorstellung lösen, in den nächsten Jahren rasch vollständige Unabhängigkeit herstellen zu können. Von den Geräten bis zu den Betriebssystemen sind es weit über 90 Prozent nicht europäische Systeme. Zu glauben, dass man ein Betriebssystem wie Windows in absehbarer Zeit ersetzen kann, ist unrealistisch – das hat auch München mit seinem LiMux-Projekt erfahren, das dann wieder eingestellt wurde. Man wird mit einer gewissen Abhängigkeit leben müssen. Die Frage ist, wie weit sie geht und wo man selbst die Grenze zieht.
Was wäre dann der Spielraum?
Das Thema Daten ist sicher das entscheidende Spielfeld – wer betreibt welche Rechenzentren, unter welchen Regularien, unter welcher Jurisdiktion. Bei der Technologie ist der Weg deutlich länger: Wir haben in Europa so gut wie keine Hardware-Fertigung mehr, dies betrifft vielfach auch Computerchips und eigene Netzwerkkomponenten. Eine eigenständige Technologiekompetenz lässt sich nicht von heute auf morgen aufbauen.
Was wir können: Rechenzentren in Europa aufbauen und betreiben, Datenaustausch und Verschlüsselung – da haben wir sehr gute Kompetenz. Im Quantenbereich gibt es in Österreich hervorragende Forschung. Dort ist es wichtig, dass wir nicht wieder eine Technologie entwickeln und dann anderen überlassen. Eine Teilsouveränität ist erreichbar, eine vollständige in kurzer Zeit nicht.
Arbeitet denn überhaupt ein großes europäisches Unternehmen ernsthaft daran? Gibt es jemanden, der sich überlegt, wie man mittelfristig eine europäische Alternative zu Microsoft und Co. schaffen könnte?
Wenn das wirklich ein Ziel sein soll – und das ist eine offene Frage, nicht eine Wertung –, dann braucht man eine gesamteuropäische Initiative und erhebliche Investitionen. Es gibt noch einzelne europäische Unternehmen von relevanter Größenordnung, aber für eine echte Cloud-Infrastruktur braucht man Investitionssicherheit und Planungssicherheit. Genau weil kein EU-Mitgliedstaat alleine die Mittel hatte, eine entsprechende Cloud-Lösung aufzubauen, ist es bisher nicht gelungen.
Ist digitale Souveränität damit ein politisches Ziel, aber kein betriebswirtschaftlich sinnvolles?
Man muss das differenzieren. Was ich für sehr wichtig halte: Viele Unternehmen wissen gar nicht, was mit ihren Daten passiert. Der erste Schritt ist immer, zu verstehen, wo die eigenen kritischen Prozesse und Daten liegen und welche davon wirklich schutzbedürftig sind. In vielen Bereichen ist das gar nicht so relevant. Aber dort, wo es relevant ist, muss man sich sehr gut überlegen, welche Kontrolle man haben will.
Und wenn man bedenkt, dass die meisten Menschen ihr persönliches Tracking-Gerät (Handy) mit allen Rechten ausstatten – Google Maps darf möglicherweise ständig wissen, wo ich mich befinde, damit ich bei Bedarf rasch einen Restaurantvorschlag bekomme –, dann sieht man das grundlegende Problem. Wir haben eine mentale Herausforderung: Menschen geben für ein wenig Komfort sehr schnell sehr viel Sicherheit und Privatsphäre auf. Das ist auch eine Bildungsfrage. Wir müssen die Menschen befähigen, mit Technologien vernünftig und verantwortungsvoll umzugehen.
Das zeigt sich auch bei Unternehmen: Es gab Fälle, wo ein KI-Agent eine gesamte Lösungsdatenbank gelöscht hat, einfach weil man ihm die entsprechenden Rechte gegeben hat, ohne die Konsequenzen zu durchdenken. Wir befinden uns gerade in einer Zauberlehrling-Phase: Es wird vielfach herumexperimentiert, und dann passiert das Unerwartete. Das zeigt, wie wichtig es ist, Technologien strukturiert und durchdacht einzusetzen – speziell unter den Aspekten Sicherheit, Souveränität und Datenschutz.
Sie arbeiten auch mit dem öffentlichen Sektor zusammen. Ist die öffentliche Verwaltung in Österreich Vorreiter oder Nachzügler bei der Digitalisierung?
Es gibt beides. Viele Ministerien, Länder und Gemeinden sind wirklich innovative Vorreiter. Es gibt auf Bundesebene Initiativen mit eigenen KI-Systemen und einer eigenen GPT-Version für den Bund, und es gibt KI-Anwendungen etwa für die Beantwortung parlamentarischer Anfragen.
Das grundlegende Problem ist die sehr komplexe österreichische Struktur. Digitalisierung ist ein klassischer Querschnittsbereich, sie geht über Ministerien, Länder und Gemeinden hinweg. Und in dieser Struktur hat jede Einheit die Tendenz zu sagen: Ich mache das für mich. Jeder Bürgermeister entscheidet irgendwann mit einer eigenen Lösung und einem eigenen Partner.
Wir brauchen wesentlich mehr Zusammenarbeit und Austausch. Und man muss pragmatisch an das Thema Datenschutz herangehen. Ich halte den Schutz persönlicher Daten für extrem wichtig, aber es ist anachronistisch, dass man an manchen Stellen noch immer einen Meldezettel ausdruckt und physisch vorzeigen muss, obwohl der Staat alle relevanten Daten längst hat. Andere Länder mit denselben EU-Regelungen schaffen deutlich besser integrierte Verwaltungsverfahren – die baltischen und nordischen Staaten etwa. Ich habe den Eindruck, dass Datenschutz bei uns manchmal eher verwendet wird, um Fortschritt zu verhindern, als sie zu ermöglichen.
Wie bereit ist Österreich regulatorisch für eine wirklich vernünftige Digitalisierung – vor allem in der öffentlichen Verwaltung?
Das ist nicht einfach zu beantworten. Wir haben auf EU-Ebene den AI Act – eine Rechtsmaterie mit 113 Artikeln und über 400 Seiten, die eine extrem dynamische Technologie regelt. Und zwar eine Technologie, die es zu dem Zeitpunkt, als man mit dem Entwurf begonnen hat, in ihrer heutigen Form noch gar nicht gab. Das funktioniert so nicht.
Der sinnvollere Ansatz wäre, Rahmenbedingungen und Leitlinien zu setzen, die so gestaltet sind, dass sie auch zukünftige Technologieentwicklungen umfassen, statt 400 Seiten Detailregularien, wo 108 der 113 Artikel erklären, was alles nicht erlaubt ist und wie man den Menschen vor der “bösen” KI schützt statt verstärkt auf die Chancen und Möglichkeiten zu fokusieren. Das war mit einem ganz anderen Bild der KI geschrieben, als wir es heute haben.
Ein weiteres Problem ist auch, dass man für maschinengenerierte Daten dieselben Anforderungen anlegt wie für Personendaten. Das kann nicht funktionieren und führt dazu, dass Unternehmen ihre Investitionen in andere Länder verlagern.
Was bedeutet der AI Act konkret für die Praxis in Österreich?
Auf der einen Seite ist er grundsätzlich sinnvoll, zum Beispiel die Verpflichtung, Mitarbeiterinnen und Mitarbeiter zu schulen, bevor sie KI-Anwendungen nutzen. Bildung ist hier wirklich wichtig. Ich bin mir aber nicht sicher, ob alle Unternehmen wissen, dass sie ihrer Belegschaft eine entsprechende Ausbildung geben müssen, bevor sie bestimmte KI-Anwendungen nutzen dürfen und dass Verstöße mit erheblichen Strafen geahndet werden können. Insbesondere im Bereich kleiner und mittlerer Unternehmen ist das vielen nicht bewusst.
Grundsätzlich halte ich den AI Act für sinnvoll, aber er muss deutlich verschlankt und auf das Wesentliche zurückgeführt werden. Man muss stark differenzieren: Was soll wirklich verboten sein? Wo schränkt die Regulierung industrielle Anwendungen unverhältnismäßig ein? Und man darf sich nicht der Illusion hingeben, dass, wenn nur Europa etwas verbietet, diese Technologien deshalb nicht existieren oder eingesetzt werden.
Was mich grundsätzlich ärgert: Ich plädiere seit Längerem dafür, dass die Wirtschaft bei Reformen und Diskussionen – auch im Bildungsbereich – systematisch einbezogen wird. Wir sind die Abnehmer der Menschen, die aus Schulen und Universitäten kommen. Wenn Reformgruppen eingerichtet werden und dort primär Universitätsangehörige und Verwaltungsvertreter sitzen, fehlt oftmals die Perspektive derer, die das in der Praxis umsetzen müssen. Unternehmensvertreter hätten oftmals sehr schnell gesagt: Das ist unpraktikabel, das sollte man anders machen. Die Wirtschaft hat kein Interesse an schlechten Rahmenbedingungen – im Gegenteil.
Unternehmen müssen bis Oktober das Cybersicherheitsgesetz NIS 2 umsetzen. Viele Unternehmen sind darauf nicht vorbereitet.
Auch hier haben wir eine große Bandbreite. Das ÖIAT hat entsprechende Vorbereitungen ermöglicht, Assessments durchgeführt und Einrichtungen bei der Umsetzung begleitet. Für große Unternehmen – große Banken, Versicherungen, Industriebetriebe – ist die Umsetzung durchaus machbar. Cybersicherheit ist absolut sinnvoll und sehr wichtig.
Die Herausforderung liegt bei kleineren Unternehmen: Je kleiner das Unternehmen, desto geringer die Kapazität und desto schwieriger das Thema. Viele wissen auch gar nicht mit Sicherheit, ob sie betroffen sind oder nicht. Und in einer wirtschaftlich angespannten Lage ist es schwer zu sagen: Ich investiere jetzt erheblich in Cybersicherheit, das bringt mir keinen einzigen Euro mehr Umsatz, aber ich muss es tun.
Das heißt, es gibt Unternehmen, die entweder gar nicht wissen, dass sie betroffen sind, oder sich die Umsetzung schlicht nicht leisten können?
Das ist zumindest zu befürchten. Und ich habe ein grundsätzliches Problem mit dem regulatorischen Ansatz: Unternehmen zu mehr Cybersicherheit zu motivieren ist extrem wichtig, aber der Weg, das über Bestrafung zu erreichen, greift zu kurz. Wenn jemand in ein Unternehmen eindringt, das eine Alarmanlage und Fenstergitter hatte, und als erste Reaktion bekommt das Opfer einen Strafzettel, weil die Gitter zu dünn waren – das ist ein eigenartiges Rechtsverständnis.
Die Erwartung sollte eher sein, mehr in Prävention, Aufklärung und Unterstützung zu investieren, statt das gesamte Problem auf die Schultern der Wirtschaft zu legen.
Wie sehr beschäftigen die klassischen österreichischen Standort-Herausforderungen – Fachkräftemangel, hohe Arbeitskosten, Energiekosten, Bürokratie – auch die IT-Branche?
Wir sind in derselben Situation wie andere Industrie- und Wirtschaftsunternehmen. Das Thema Arbeitskosten war in den letzten Jahren eine unglaubliche Belastung. Und man muss dabei beachten: Ich stehe nicht nur im nationalen Wettbewerb, sondern auch im konzerninternen. Die Frage ist immer: Wo werden Investitionen getätigt, wo werden Kompetenzzentren aufgebaut, wo geht man mit neuen Technologien hin? Wenn Österreich bereits sehr hohe Personalkosten hat und dann auch noch die größten Kostensteigerungen weltweit verzeichnet, ist das ein ernsthaftes Argument gegen Investitionen am Standort.
Dazu kommt das Thema Forschungsförderung – das ist eigentlich ein wichtiger Standortvorteil, ein echter Anreiz. Aber hier braucht es Rechtssicherheit und klare Kommunikation.
Ein konkretes positives Beispiel: Wir haben 2024 in Österreich das globale Kompetenzzentrum im Bereich Space Situational Awareness ausgebaut– Systeme, die vom Boden aus überwachen, was Satelliten tun, wie sie kommunizieren, ob Signale gestört sind. Wir verkaufen das weltweit,unter anderem nach Japan und Deutschland Der Standort, Prottes ein Ort mit freier Sicht zum Himmel, weitab von Siedlungen, war ideal. Wir haben mehrere Millionen investiert, komplett eigenfinanziert. Ich bin nicht überzeugt, ob uns das heute noch einmal gelingen würde – nicht zuletzt aufgrund der Arbeits- und Energiekosten. Man würde sich fragen: Kann man das nicht anderswo billiger, schneller und einfacher machen? Das ist eine besorgniserregende Entwicklung.
Noch eine Frage zur Industriestrategie. Die Regierung hat neun Schlüsselbereiche festgelegt, die sich teilweise recht generisch lesen – das könnten auch viele andere Länder so formulieren. Hat Österreich dort wirklich eine Chance?
Ich finde es wirklich wichtig, dass es eine Industriestrategie gibt. Vieles, was drinsteht, ist sinnvoll und wichtig. Es ist schade, dass manche Bereiche nicht enthalten, sind: Eine Industriestrategie ohne Kapitalmarkt ist ein unvollständiger Ansatz, denn irgendwoher muss das Geld ja kommen.
Was ich für das eigentliche Problem halte, ist jedoch die latente Technologieskepsis in Österreich. Der erste Reflex ist oft: Das müssen wir regulieren. Der zweite: Das passt für uns sicher nicht. Statt zu fragen: Was sind die Chancen, was kann man damit tun? Das ist der viel tiefere Grund, warum Österreich bei manchen Technologiethemen nicht vorankommt.
Das zweite Problem: Digitale Themen lassen sich oft nicht einfach erklären. Und wenn man Dinge nicht einfach erklären kann, ist das oftmals schwierig – wir leben in einer Zeit, in der alles auf kurze Schlagzeilen zugespitzt wird. Komplexe Themen, die eine fundierte Analyse erfordern, haben es da schwer. Ich versuche seit Jahren, Wege zu finden, das verständlich zu machen – etwa durch konkrete Beispiele und anschauliche Vergleiche.
Was wir aber tun können: Wir haben mit Fit4Internet zum Beispiel den Digitalen Durchblick entwickelt, eine Publikation, die gemeinsam mit Lehrlingen erklärt, was Cloud Computing oder das Internet of Things bedeutet – zielgruppengerecht und verständlich. Und wir bieten kleinen und mittleren Unternehmen bis zu 250 Mitarbeitern und Mitarbeiterinnen kostenlose digitale Kompetenz-Assessments an. Bereits eine Viertelmillion Menschen haben das genutzt. Man kann also sinnvolle Beiträge leisten, ohne alles dem Staat zu überlassen.
Selektiv Briefings
