Datensouveränität auf einen Blick

Internationaler Datenverkehr basiert auf komplexen Infrastrukturen und auf Anbietern, die ihrerseits politischen und regulatorischen Entwicklungen unterliegen. Sanktionen, gesetzliche Eingriffe oder politische Entscheidungen können dazu führen, dass Dienste eingeschränkt werden, Konten gesperrt werden oder der Zugriff auf Daten kurzfristig entfällt.

Für Unternehmen bedeutet das: Wer zentrale Geschäftsprozesse von internationalen Plattformen abhängig macht, geht ein schwer kalkulierbares Risiko ein. Datensouveränität setzt deshalb auf belastbare, möglichst lokale Strukturen, transparente Rechtsräume und die Fähigkeit, kritische Daten und Workflows so zu organisieren, dass sie nicht unkontrolliert externen politischen Interessen ausgesetzt sind.

Der CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ist ein US-Gesetz aus dem Jahr 2018. Es verpflichtet US-Unternehmen, auf Anordnung amerikanischer Behörden gespeicherte Daten herauszugeben – unabhängig davon, in welchem Land sich die Server physisch befinden.

Für Unternehmen bedeutet das: Auch Daten in europäischen Rechenzentren können betroffen sein, wenn der Anbieter rechtlich an die USA gebunden ist, etwa durch Konzernstruktur oder Eigentümerverhältnisse.

Der CLOUD Act verdeutlicht, wie eng technische Nutzung und rechtliche Kontrolle miteinander verknüpft sind: Für europäische Unternehmen entsteht ein struktureller Spannungsbereich zwischen nationalem beziehungsweise europäischem Datenschutzrecht und ausländischen Zugriffsbefugnissen.

Konkret bedeutet das:

• Anbieter können zur Herausgabe von Daten verpflichtet werden – teilweise verbunden mit Schweigepflichten, sodass betroffene Unternehmen nicht informiert werden.

• Der Speicherort allein garantiert keinen Schutz vor extraterritorialen Zugriffen.

• Der CLOUD Act steht damit in einem Spannungsverhältnis zur DSGVO und zu europäischen Vorstellungen von Datenschutz und Souveränität.

• Besonders schutzbedürftige Branchen – zum Beispiel der Finanzsektor, das Gesundheitswesen, kritische Infrastrukturen und forschungsintensive Unternehmen – sind einem erhöhten Risiko ausgesetzt. 

Datensouveränität erfordert daher eine sorgfältige Prüfung der Jurisdiktion, Eigentümerstruktur und rechtlichen Bindungen eines Anbieters – nicht nur des Rechenzentrumsstandorts.

Mehr dazu: Warum der CLOUD Act für deutsche Unternehmen zum Risiko wird

Die Speicherung von Daten außerhalb des eigenen Rechtsraums erhöht die Komplexität und erschwert die Kontrolle über rechtliche Rahmenbedingungen und mögliche Zugriffe.

Viele internationale Cloud-Anbieter unterliegen Gesetzen, die Behördenzugriffe auch dann ermöglichen, wenn die betroffenen Rechenzentren nicht im eigentlichen Einflussbereich und Land der jeweiligen Behörde liegen. Hinzu kommen:

• eingeschränkte Transparenz über Datenflüsse und Subdienstleister,

• begrenzte Einflussmöglichkeiten im Krisenfall und

• unterschiedliche nationale Rechtsverständnisse hinsichtlich Datenschutz und Sicherheit.

Datensouveränität bedeutet deshalb, Datenverarbeitung so zu gestalten, dass klare und nachvollziehbare Regeln geltenund Abhängigkeiten transparent bewertet werden können. Dazu kann es sinnvoll sein, bevorzugt auf Anbieter zu setzen, die ausschließlich europäischen Gesetzen unterliegen und keinen extraterritorialen Zugriffspflichten unterliegen.

Auf Datensouveränität sollten alle Unternehmen und Organisationen achten, die im Alltag mit digitalen Daten arbeiten – unabhängig von Branche oder Unternehmensgröße. Dazu gehören:

• Unternehmen aller Größen, insbesondere solche mit sensiblen Geschäfts-, Kunden- oder Entwicklungsdaten

• Öffentliche Einrichtungen, die dem besonderen Schutzbedarf staatlicher und personenbezogener Daten unterliegen

• Organisationen und Projektteams, die regelmäßig mit externen Partnern, Beratern oder Dienstleistern zusammenarbeiten

Der Mittelstand ist auf verlässliche Daten und einfache, sichere Prozesse angewiesen, hat aber oft begrenzte Ressourcen für komplexe IT-Projekte. Davon sind vor allem kleine und mittlere Unternehmen (KMU) betroffen.

Datensouveränität bietet hier einen klaren Orientierungsrahmen: Wer weiß, wo geschäftskritische Daten liegen, wer darauf zugreifen kann und welche externen Abhängigkeiten bestehen, reduziert Risiken deutlich. Es geht nicht darum, alles selbst zu hosten, sondern gezielt souveräne, zertifizierte Dienste auszuwählen, Verantwortlichkeiten im Unternehmen zu klären und bewusst von un

Mehr dazu: Datensouveränität im Mittelstand: Darum ist es jetzt an der Zeit, zu handeln

Obwohl die Risiken unsicherer Lösungen und die Vorteile von souveränen Alternativen bekannt sind, handeln viele Unternehmen nur zögerlich. Gründe dafür sind unter anderem:

• Gewohnheit und Bequemlichkeit etablierter Tools

• Unsicherheit über Alternativen und Migrationsaufwand

• falsche Annahme, dass Datenschutz automatisch Souveränität bedeutet

Dabei gilt: Je länger Abhängigkeiten bestehen, desto schwieriger wird ein späterer Wechsel. Datensouveränität ist daher weniger eine technische Frage als eine strategische Führungsentscheidung.

Eine pauschale Aussage zu den Kosten datensouveräner Cloud- oder Datenraumlösungen ist nicht möglich. Die tatsächlichen Aufwände hängen vom konkreten Anwendungsfall, dem Funktionsumfang, bestehenden IT-Strukturen und dem individuellen Schutzbedarf ab.

Entscheidend ist daher nicht allein der Lizenzpreis.. Datensouveränität bedeutet, Angebote systematisch nach Gesamtrisiko, Integrationsfähigkeit und langfristiger Zukunftssicherheit zu bewerten – inklusive einer Exit-Strategie, falls ein Wechsel erforderlich ist und Transparenz der zugrunde liegenden Infrastruktur.

Eine sichere und datensouveräne Lösung muss dabei nicht zwangsläufig teurer sein als ein nicht-souveränes Angebot. Wer ausschließlich auf den niedrigsten Preis fokussiert, übersieht häufig indirekte Kosten durch Abhängigkeiten, regulatorische Risiken oder spätere Migrationsaufwände.

Mehr dazu: Unternehmen sind bereit, für europäische Cloud-Anbieter mehr zu zahlen

Ein eigenständiges „Datensouveränitätsgesetz“ existiert nicht. Dennoch müssen Unternehmen ihre Datenverarbeitung bewusst, resilient und kontrollierbar gestalten. Verschiedene Gesetze und Richtlinien fördern das Ziel größerer digitaler Unabhängigkeit, darunter:

• DSGVO: Stärkt die Kontrolle über personenbezogene Daten

• NIS-2: Erhöht Anforderungen an IT-Sicherheit und Resilienz

• DORA: Fokussiert auf digitale operationelle Resilienz im Finanzsektor

• EU Data Act und Cloud-Souveränitätsinitiativen: Fördern Transparenz, Portabilität und Kontrolle über Daten

Ein deutliches Signal kommt auch aus der Praxis: Einige europäische Staaten und öffentliche Einrichtungen reduzieren bereits gezielt ihre Abhängigkeit von einzelnen internationalen Software-Anbietern und setzen verstärkt auf souveräne, europäische Alternativen.

Datensouveränität wird damit zunehmend zur politischen und wirtschaftlichen Leitlinie.

Ihr Weg zu mehr Datensouveränität im Unternehmen beginnt mit einer ehrlichen Bewertung Ihrer digitalen Abhängigkeiten. Anschließend gilt es, schrittweise die größten Risiken – etwa durch Cloud-Abhängigkeiten oder unklare Rechtsräume – zu reduzieren. 

Um digital souveräner zu werden,müssen Sie Ihre IT aber nicht komplett neu aufstellen: Mit klar priorisierten Maßnahmen gewinnen Sie Schritt für Schritt mehr Kontrolle über Ihre Daten, Ihre Anbieter und Ihre digitalen Prozesse – und schaffen so die Grundlage für eine langfristig souveräne Cloud-Strategie.

Weiterführende Informationen:

Cloud Sovereignty Framework der EU-Kommission – Offizieller Rahmen zur Bewertung von Cloud-Souveränität, inklusive SEAL-Leveln.

EU Data Act – Zentrale EU-Verordnung zu Datenzugang, Fairness und Portabilität, die viele datengetriebene Geschäftsmodelle beeinflusst.