Glossar · Strategisches Konzept Datensouveränität
Der Grundsatz, dass digitale Daten den Gesetzen des Landes unterliegen, in dem sie erhoben, gespeichert oder verarbeitet werden.
## Was Datensouveränität tatsächlich bedeutet
Datensouveränität ist der Grundsatz, dass digitale Daten den Gesetzen des Landes unterliegen, in dem sie erhoben, gespeichert oder verarbeitet werden. Das Konzept scheint einfach, ist aber in einer Welt multinationaler Cloud-Anbieter und grenzüberschreitender Datenflüsse operativ komplex geworden.
Datensouveränität wirkt auf drei Ebenen:
**1. Wo die Daten physisch gespeichert sind** — der Standort der Server, Rechenzentren und Backup-Infrastruktur.
**2. Wer den Zugriff auf die Daten kontrolliert** — die juristische Person, die die Speicherinfrastruktur betreibt, und die Gesetze, die für diese Person gelten.
**3. Wer Offenlegung erzwingen kann** — die rechtlichen Mechanismen (Durchsuchungsbeschlüsse, Vorladungen, Geheimdienstanordnungen), die die Offenlegung der Daten erzwingen können.
Das naive Verständnis konzentriert sich nur auf Ebene 1. Das rechtlich genaue Verständnis erfordert alle drei.
## Warum physischer Standort allein nicht ausreicht
Das Beispiel, das dies konkret macht: Daten eines europäischen Kunden, die auf Microsoft-Azure-Servern in Irland gespeichert sind.
- **Ebene 1 (physisch)**: Daten sind in Irland, einem EU-Mitgliedstaat
- **Ebene 2 (Kontrolle)**: Daten werden von Microsoft Ireland Limited kontrolliert, aber Microsoft Corporation (US-Mutter) hat Konzernkontrolle über die irische Tochter
- **Ebene 3 (Zwang)**: Unter dem CLOUD Act können US-Behörden Microsoft Corporation zur Herausgabe der Daten zwingen, unabhängig vom physischen Speicherort
Die Daten sind in Irland. EU-Datensouveränität ist technisch verletzt. US-Behörden können darauf zugreifen.
Deshalb adressieren „EU-Datenresidenz"-Behauptungen von US-Anbietern Datensouveränitätsbedenken nicht vollständig. Physische Residenz ohne rechtliche Residenz schafft den Anschein von Souveränität ohne die Substanz.
## Die drei sinnvollen Souveränitätsbedingungen
Für echte Datensouveränität müssen drei Bedingungen erfüllt sein:
1. **Physische Residenz**: Daten auf Infrastruktur in der Zielgerichtsbarkeit gespeichert
2. **Rechtliche Kontrolle**: Die Einrichtung, die die Infrastruktur betreibt, ist in der Zielgerichtsbarkeit (oder in Gerichtsbarkeiten mit gleichwertigem Rechtsschutz) eingetragen
3. **Kein externer Zwang**: Die betreibende Einrichtung kann nicht durch externe Gerichtsbarkeiten zur Offenlegung der Daten gezwungen werden
EU-ansässige Anbieter (Hetzner, Scaleway, OVHcloud, Infomaniak usw.) erfüllen alle drei Bedingungen für EU-Datensouveränität. US-Anbieter mit europäischen Tochtergesellschaften erfüllen Bedingung 1, aber nicht 2 und 3.
## Warum dies 2026 wichtig ist
Drei Trends machen Datensouveränität 2026 operativ relevant:
**1. Die EU-Regulierungsdurchsetzung nimmt zu.** Die DSGVO-Durchsetzung ist gereift. Das Schrems-II-Urteil hat transatlantische Transfers rechtlich heikel gemacht. Der EU AI Act, NIS2 und DORA berücksichtigen alle Datensouveränität.
**2. Die EU-Beschaffungsanforderungen verschärfen sich.** Die europäische öffentliche Beschaffung verlangt zunehmend EU-Verarbeitung. Die private Beschaffung (insbesondere in regulierten Branchen) folgt ähnlichen Mustern.
**3. Geopolitisches Risiko hat sich materialisiert.** Die 2020er Jahre haben gezeigt, dass digitale Infrastruktur geopolitische Infrastruktur ist. Exportkontrollen, Sanktionen und Geheimdienstkooperationsmuster beeinflussen, welche Daten wo verarbeitet werden können.
Für europäische Unternehmen hat sich Datensouveränität von einem „Nice-to-have" zu einem operativ bedeutsamen Status verschoben.
## Praktische Datensouveränität für Unternehmen
Drei praktische Ansätze für europäische Unternehmen:
### Ansatz 1: EU-Verarbeitung nur für sensible Daten
Daten nach Sensibilität klassifizieren. Sensible Daten (personenbezogene Daten, Kundeninformationen, Geschäftsgeheimnisse) gehen zu EU-Anbietern. Weniger sensible Daten (allgemeiner Geschäftsbetrieb, Marketing-Analyse) können bei US-Anbietern mit dokumentierten Kontrollen bleiben.
Dies ist der häufigste praktische Ansatz für europäische Mittelstandsunternehmen.
### Ansatz 2: EU-Verarbeitung für alles
Für Organisationen mit starker Souveränitätspräferenz (regulierte Branchen, öffentlicher Sektor, datenschutzorientierte Marken) erfolgt jede Datenverarbeitung auf EU-Infrastruktur.
Dieser Ansatz ist operativ einfacher (keine Datenklassifizierung nötig), kann aber einige technische Fähigkeiten opfern (einige spezialisierte KI-Dienste, Nischen-SaaS-Tools usw.).
### Ansatz 3: Souveräne Cloud für Daten mit höchstem Risiko
Einige EU-Mitgliedstaaten bieten „souveräne Cloud"-Rahmen (französische Cloud de Confiance, deutsche BSI-C5-souveräne Cloud usw.) mit ausdrücklichen Garantien gegen externen Zwang. Für den öffentlichen Sektor und stark regulierte Branchen werden diese zunehmend gefordert.
Operativ komplex und teurer, bietet aber die stärksten Souveränitätsgarantien.
## Häufige Verwechslungen rund um Datensouveränität
**„Datensouveränität bedeutet Datenlokalisierung."** Nicht ganz. Lokalisierung ist die Anforderung, Daten in einem bestimmten Land zu speichern. Souveränität ist breiter — einschließlich, wer die Daten kontrolliert und wer Offenlegung erzwingen kann. Lokalisierung kann Souveränität unterstützen, erreicht sie aber nicht automatisch.
**„DSGVO ist dasselbe wie Datensouveränität."** Verwandt, aber unterscheidbar. Die DSGVO schützt primär individuelle Datenschutzrechte. Datensouveränität ist ein breiteres Konzept einschließlich staatlicher Bedenken zu Gerichtsbarkeit und Infrastrukturkontrolle.
**„Verschlüsselung löst Datensouveränität."** Teilweise wahr. Verschlüsselung mit EU-kontrollierten Schlüsseln schützt Datenvertraulichkeit auch auf US-Infrastruktur. Aber operative Anforderungen (Abfragen, Indexierung, Analytik) erfordern oft unverschlüsselten Zugriff und begrenzen, wie umfassend Verschlüsselung Souveränität lösen kann.
**„Alle EU-Daten müssen in der EU bleiben."** Für die meisten Daten rechtlich nicht vorgeschrieben. Die DSGVO erlaubt Transfers mit angemessenen Schutzmaßnahmen. Souveränitätsüberlegungen können EU-Verarbeitung für einige Daten begünstigen, aber es ist eine strategische Entscheidung, keine universelle rechtliche Anforderung.
## Was Anbieter zur Datensouveränität gefragt werden sollte
Für die Beschaffung, die Datensouveränitätsbehauptungen prüft:
1. **Wo werden die Daten physisch gespeichert?** (Ebene 1)
2. **Welche juristische Person kontrolliert den Zugriff?** Wo ist sie eingetragen? (Ebene 2)
3. **Welche rechtlichen Mechanismen können Offenlegung erzwingen?** Welcher Gerichtsbarkeit unterliegt sie? (Ebene 3)
4. **Welche zusätzlichen vertraglichen oder technischen Schutzmaßnahmen existieren?** SCCs, Verschlüsselungsschlüssel, Zugriffsprotokolle.
5. **Welche Audit- und Berichtsverpflichtungen existieren?** Unabhängige Audits, Transparenzberichte.
Anbieter, die alle fünf klar beantworten können, bieten bedeutsame Souveränität. Anbieter, die sich nur auf den physischen Standort konzentrieren, bieten bestenfalls partielle Souveränität.
War das hilfreich?
Danke für Ihr Feedback!