GRC

Warum digitaler Wandel kein Kraftakt sein muss

Warum digitaler Wandel kein Kraftakt sein muss

Die Dominanz US-amerikanischer Big-Tech-Plattformen ist längst kein rein technologisches Thema mehr. Für Organisationen wirkt sie direkt in Governance-StrukturenRisikoprofile und Compliance-Verantwortung hinein. Monopolartige Abhängigkeiten, intransparente Datenverarbeitung, extraterritoriale Zugriffsrechte und eingeschränkte Steuerbarkeit digitaler Kernprozesse sind keine Randthemen sondern GRC-relevant.

Und dennoch herrscht vielfach der Eindruck vor, man könne daran operativ wenig ändern. Das ist falsch.

Digitale Abhängigkeit ist kein Naturgesetz. Sie ist das Resultat früherer Entscheidungen, historischer Bequemlichkeit und einer lange unterschätzten GRC-Dimension digitaler Infrastruktur. Genau deshalb ist sie steuerbar.

Digitale Souveränität als Governance-Aufgabe

Der Digital Independence Day adressiert einen zentralen blinden Fleck vieler GRC-Frameworks: Digitale Werkzeuge werden oft als gegeben vorausgesetzt, nicht als steuerbare Governance-Assets. Dabei beeinflussen sie unmittelbar:

  • Datenhoheit und Verantwortlichkeiten
  • Risikotransparenz entlang der Liefer- und Dienstleistungskette
  • Nachweisfähigkeit regulatorischer Anforderungen (DSGVO, NIS2, DORA, AI Act)
  • Abhängigkeiten von einzelnen Anbietern („Vendor Lock-in“)

Der Ansatz der Initiative ist deshalb bemerkenswert unideologisch. Kein radikaler Bruch, keine Maximalforderungen, sondern kontrollierte, dokumentierbare Reduktion von Abhängigkeiten. Genau das, was GRC verlangt.

Das Problem ist nicht die Technik sondern fehlende Risikosteuerung

Aus technischer Sicht sind Alternativen seit Jahren verfügbar: datenschutzfreundliche Messenger, europäische Cloud-Dienste, unabhängige E-Mail-Provider, alternative Browser. Wer heute noch WhatsApp als primären Kommunikationskanal nutzt, trifft damit keine neutrale Entscheidung, sondern akzeptiert bewusst ein erhöhtes Datenschutz- und Compliance-Risiko.

Dass viele Organisationen dennoch verharren, hat selten technische Gründe. Es sind soziale und organisatorische Netzwerkeffekte: Kommunikation, Zusammenarbeit und Informationsflüsse sind historisch gewachsen. Der Ausstieg wirkt wie ein operatives Risiko – obwohl er in Wahrheit ein Risikoreduktionsinstrument ist.

Der zentrale Gedanke des Digital Independence Day passt hier exakt zur GRC-Logik: Risiken lassen sich nicht nur vermeiden, sondern aktiv umgestalten. Wenn viele Akteure koordiniert kleine Schritte setzen, sinkt das individuelle Risiko und die Umstellung wird plan- und auditierbar.

Kleine Schritte, hohe Kontrollwirkung

Der Digital Independence Day ist bewusst als wiederkehrendes, strukturiertes Vorgehen konzipiert. Einmal im Monat, mit klar begrenztem Scope. Aus GRC-Sicht ist das entscheidend:

  • Maßnahmen sind priorisierbar
  • Risiken werden schrittweise reduziert
  • Entscheidungen sind nachvollziehbar dokumentierbar
  • Abhängigkeiten lassen sich gezielt abbauen

Die sogenannten Wechselrezepte sind dabei besonders relevant. Sie liefern keine theoretischen Leitbilder, sondern operable Entscheidungsgrundlagen: Aufwand, Komplexität, Auswirkungen auf Prozesse. Genau so entsteht Governance-Fähigkeit jenseits von Policies auf dem Papier.

Datenschutz als ehrlicher Trade-off

Natürlich ist der Wechsel nicht kostenneutral. Reichweiten müssen neu aufgebaut, Prozesse angepasst, teilweise geringe Nutzungsgebühren akzeptiert werden. Aus GRC-Perspektive ist das kein Nachteil, sondern ein sauberer Trade-off.

Organisationen zahlen nicht mit Kontrollverlust, regulatorischer Unsicherheit oder Reputationsrisiken, sondern mit kalkulierbaren Kosten und klaren Verantwortlichkeiten. Das entspricht guter Governance.

Besonders wirksam sind Maßnahmen in Bereichen mit hoher Risikokonzentration:

  • Browser
  • E-Mail-Provider und Clients
  • Messenger
  • Betriebssysteme

Hier lassen sich Datenschutz-, Sicherheits- und Compliance-Risiken mit vergleichsweise geringem Aufwand signifikant senken.

Die zentrale GRC-Botschaft

Digitale Souveränität ist zunächst keine Frage von Perfektion, sondern von steuerbarer Verantwortung. Wer wartet, bis alle anderen wechseln, bleibt dauerhaft im Risiko. Wer beginnt, verbessert sein eigenes Governance-Profil und sendet ein klares Signal an Mitarbeitende, Partner und Aufsichtsorgane.

Der Digital Independence Day bietet dafür einen pragmatischen, GRC-kompatiblen Rahmen. Ohne Dogmen. Ohne ideologische Grabenkämpfe. Aber mit klarer Wirkung.

Der Digital Independence Day ist eine strukturierte Multi-Stakeholder-Initiative, koordiniert von Save Social – Networks For Democracy, die konkrete, umsetzbare Beiträge zur digitalen Souveränität bündelt – und damit direkt auf Governance, Risk und Compliance einzahlt.

Read next

OGH Urteil: Meta muss vollständige Datenauskunft gewähren

OGH Urteil: Meta muss vollständige Datenauskunft gewähren

Meta ist verpflichtet, betroffenen Nutzern binnen 14 Tagen vollständigen Zugang zu sämtlichen personenbezogenen Daten zu gewähren. Dies umfasst ausdrücklich auch Informationen zu Datenquellen, Empfängern sowie den konkreten Verarbeitungszwecken. Sämtliche Einwände von Meta, die sich auf Geschäftsgeheimnisse oder sonstige Einschränkungen stützten, wurden verworfen. Damit eröffnet die Entscheidung einen bislang einzigartigen Einblick
Michael Mrak
Lesetipp: EuGH-Urteil: Bürger müssen wissen, wohin ihre Daten wandern.

Lesetipp: EuGH-Urteil: Bürger müssen wissen, wohin ihre Daten wandern.

Jeder hat das Recht, zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden. Dies hat der Europäische Gerichtshof betont – mit Einschränkungen. Der Europäische Gerichtshof (EuGH) hat den Grundsatz der Transparenz aus der Datenschutz-Grundverordnung (DSGVO) verdeutlicht. Jeder habe das Recht zu erfahren, an wen seine personenbezogenen Informationen weitergegeben wurden, erläutern die
Michael Mrak