Datensouveränität: Was sie bedeutet, warum sie wichtig ist und wie europäische Unternehmen sie erreichen
Ein praxisnaher Leitfaden zur Datensouveränität — was sie ist, wie sie sich von Datenresidenz und Datenlokalisierung unterscheidet, warum EU-Vorschriften sie verlangen und wie europäische Unternehmen souveräne Kontrolle über ihre Daten sicherstellen.
Datensouveränität: Was sie bedeutet, warum sie wichtig ist und wie europäische Unternehmen sie erreichen
Datensouveränität ist das Prinzip, dass Daten den Gesetzen und Governance-Strukturen der Jurisdiktion unterliegen, in der sie erhoben oder gespeichert werden. Für europäische Unternehmen bedeutet dies, dass Daten unter EU-Rechtshoheit bleiben — nicht nur physisch in Europa gespeichert, sondern rechtlich vor ausländischem Regierungszugriff geschützt und durch europäische Vorschriften geregelt.
Das Konzept hat sich von einer theoretischen Überlegung zu einer praktischen Geschäftsanforderung entwickelt. Enterprise-Käufer in Europa fragen Anbieter mittlerweile routinemäßig nach der Datensouveränität als Teil der Beschaffung. Vorschriften wie DSGVO, NIS2 und DORA schaffen rechtliche Pflichten rund um die jurisdiktionelle Kontrolle. Und aufsehenerregende Gerichtsurteile — vor allem die Schrems-Entscheidungen — haben gezeigt, dass der physische Standort allein keinen rechtlichen Schutz garantiert.
Dieser Leitfaden behandelt, was Datensouveränität in der Praxis bedeutet, wie sie sich von verwandten Konzepten unterscheidet, warum sie für europäische Unternehmen wichtig ist und wie man sie erreicht.
Datensouveränität vs. Datenresidenz vs. Datenlokalisierung
Diese drei Begriffe werden häufig verwechselt. Sie stehen für unterschiedliche Stufen der Datenkontrolle:
Datenresidenz
Datenresidenz bedeutet, dass Daten an einem bestimmten geografischen Standort gespeichert werden. Ein Unternehmen kann „EU-Datenresidenz" verlangen, was bedeutet, dass alle Daten in physisch in der Europäischen Union befindlichen Rechenzentren gespeichert werden müssen.
Was sie garantiert: Physischer Standort der Datenspeicherung.
Was sie nicht garantiert: Rechtlichen Schutz vor ausländischer Jurisdiktion. Ein US-Cloud-Anbieter, der ein EU-Rechenzentrum betreibt, speichert zwar Daten in der EU, unterliegt aber weiterhin US-amerikanischem Recht.
Datenlokalisierung
Datenlokalisierung verlangt, dass Daten innerhalb bestimmter nationaler Grenzen verbleiben. Einige Länder schreiben vor, dass bestimmte Datenarten (z.B. Finanzdaten, Gesundheitsdaten, Regierungsdaten) das Land unter keinen Umständen verlassen dürfen.
Was sie garantiert: Daten überschreiten niemals nationale Grenzen.
Was sie nicht garantiert: Praktikabilität für die meisten Unternehmen. Strenge Lokalisierung kann die Optionen bei Cloud-Anbietern einschränken und die Kosten erheblich erhöhen.
Datensouveränität
Datensouveränität stellt sicher, dass Daten dem Rechtsrahmen einer bestimmten Jurisdiktion unterliegen. Es ist das umfassendste Konzept, das sowohl den physischen Standort als auch die rechtliche Kontrolle einschließt.
Was sie garantiert: Jurisdiktionelle Autorität über Daten, Rechtsschutz und Governance-Kontrolle.
Was sie erfordert: Die Wahl von Anbietern, Infrastruktur und rechtlichen Vereinbarungen, die sicherstellen, dass keine ausländische Regierung den Datenzugriff erzwingen kann, ohne den Rechtsweg der maßgeblichen Jurisdiktion einzuhalten.
| Aspekt | Datenresidenz | Datenlokalisierung | Datensouveränität |
|---|---|---|---|
| Fokus | Wo Daten gespeichert werden | Verhinderung grenzüberschreitender Übermittlungen | Rechtliche Jurisdiktion über Daten |
| Umfang | Geografisch | National | Rechtlich und jurisdiktionell |
| Anbieter-Einschränkung | Muss lokale Rechenzentren haben | Muss lokal speichern, keine Übermittlungen | Muss lokalem Recht unterliegen |
| Praktische Auswirkung | Moderat | Hoch (schränkt Optionen ein) | Am höchsten (erfordert Rechtsanalyse) |
| Typische Anforderung | DSGVO, Branchenstandards | Spezifische nationale Gesetze | Enterprise-Käufer, regulierte Sektoren |
Warum Datensouveränität wichtig ist
Das CLOUD-Act-Problem
Der US Clarifying Lawful Overseas Use of Data (CLOUD) Act, verabschiedet 2018, ermöglicht es US-Strafverfolgungsbehörden, in den USA ansässige Unternehmen zur Herausgabe von auf ihren Servern gespeicherten Daten zu zwingen — unabhängig davon, wo diese Daten physisch gespeichert sind. Dies betrifft:
- AWS, Azure, Google Cloud — auch bei Betrieb von EU-Rechenzentren
- In den USA ansässige SaaS-Anbieter, die EU-Daten verarbeiten
- Jedes Unternehmen, das in den USA eingetragen ist oder wesentliche US-Geschäftstätigkeit hat
Für europäische Unternehmen, die sensible Daten bei US-Anbietern speichern, entsteht eine grundlegende Spannung: Die DSGVO beschränkt den Datenzugriff durch ausländische Regierungen, aber der CLOUD Act kann ihn erzwingen.
Das Schrems-Erbe
Die Schrems-I- (2015) und Schrems-II-Urteile (2020) des Gerichtshofs der Europäischen Union (EuGH) machten aufeinanderfolgende EU-US-Datentransferrahmen ungültig — erst Safe Harbor, dann Privacy Shield — mit der Begründung, dass US-Überwachungsgesetze keinen angemessenen Schutz für EU-Personendaten boten.
Während das EU-US Data Privacy Framework (2023) eine aktuelle Rechtsgrundlage für Übermittlungen bietet, bleibt die grundlegende Spannung bestehen: Die US-Überwachungsfähigkeiten und rechtlichen Befugnisse haben sich nicht grundlegend geändert.
Regulatorische Anforderungen
Europäische Vorschriften verlangen zunehmend Souveränitätsüberlegungen:
- DSGVO (Artikel 44-49): Beschränkt internationale Datenübermittlungen und verlangt angemessene Garantien
- NIS2 (Artikel 21(2)(d)): Lieferkettensicherheit muss jurisdiktionelle Risiken berücksichtigen
- DORA (Artikel 28-44): IKT-Drittparteien-Risikomanagement umfasst Konzentrationsrisiko und jurisdiktionelle Bewertung
- Nationale Gesetze: Einige EU-Mitgliedstaaten haben zusätzliche Souveränitätsanforderungen für bestimmte Sektoren
Enterprise-Käufer-Anforderungen
Europäische Enterprise-Käufer bewerten Datensouveränität zunehmend als Teil der Anbieterbewertung:
- Wo werden Daten gespeichert und verarbeitet?
- Welche rechtliche Jurisdiktion gilt für den Cloud-Anbieter?
- Können ausländische Regierungen den Datenzugriff erzwingen?
- Wer kontrolliert die Verschlüsselungsschlüssel?
- Welche Unterauftragnehmer werden eingesetzt und wo sind sie eingetragen?
Datensouveränität in der Praxis erreichen
Infrastruktur-Entscheidungen
Europäische souveräne Cloud-Anbieter: OVHcloud, IONOS, Hetzner, Scaleway, Open Telekom Cloud und andere haben ihren Sitz in der EU und unterliegen ausschließlich EU-Recht.
Souveräne Angebote der US-Hyperscaler: AWS European Sovereign Cloud, Google Sovereign Cloud und Microsoft Cloud for Sovereignty bieten betriebliche Trennung innerhalb der EU-Grenzen, in der EU ansässiges Personal und lokales Schlüsselmanagement — aber die zugrunde liegende Unternehmenseinheit bleibt dem US-Recht unterworfen.
Hybride Ansätze: Nutzung von EU-souveränen Anbietern für sensible Daten bei gleichzeitiger Nutzung von Hyperscalern für weniger sensible Workloads, wo deren fortgeschrittene Dienste erheblichen Mehrwert bieten.
Verschlüsselung und Schlüsselmanagement
Verschlüsselung ist eine zentrale Souveränitätskontrolle:
- Customer-Managed Keys (CMK): Der Kunde kontrolliert die Verschlüsselungsschlüssel, sodass selbst der Cloud-Anbieter keinen Datenzugriff hat
- Bring Your Own Key (BYOK): Der Kunde generiert und verwaltet den Masterschlüssel zur Verschlüsselung der Datenschlüssel
- External Key Management (EKM): Schlüssel werden in einem kundenkontrollierten HSM außerhalb der Cloud-Anbieter-Infrastruktur gespeichert und verwaltet
- Confidential Computing: Daten sind auch während der Verarbeitung verschlüsselt, mittels hardwarebasierter vertrauenswürdiger Ausführungsumgebungen
Rechtliche und vertragliche Maßnahmen
- Auftragsverarbeitungsverträge (AVV): Mit Souveränitätsklauseln, die das anwendbare Recht und jurisdiktionelle Beschränkungen festlegen
- Standardvertragsklauseln (SCCs): Nutzung EU-genehmigter SCCs für alle Übermittlungen außerhalb der EU
- Transfer Impact Assessments (TIAs): Dokumentation der Rechtslandschaft von Drittländern und ergänzender Maßnahmen
- Binding Corporate Rules (BCRs): Für multinationale Organisationen, die Daten innerhalb der Unternehmensgruppe übermitteln
Organisatorische Maßnahmen
- Datenklassifizierung: Identifikation, welche Daten souveräne Behandlung auf Basis von Sensitivität, regulatorischen Anforderungen und Geschäftsrisiko erfordern
- Unterauftragnehmer-Governance: Bewertung der jurisdiktionellen Exposition aller Unterauftragnehmer in der Lieferkette
- Incident Response: Sicherstellung, dass die Vorfallmeldung den Anforderungen der maßgeblichen Jurisdiktion folgt
- Regelmäßige Überprüfung: Souveränitätsanforderungen entwickeln sich mit Gesetzgebung und Rechtsprechung weiter — jährliche Überprüfung der Vereinbarungen
GAIA-X und europäische Cloud-Standards
GAIA-X ist eine europäische Initiative zur Schaffung einer föderierten, souveränen Dateninfrastruktur. Zentrale Elemente:
GAIA-X-Labels
GAIA-X definiert Vertrauensstufen durch Labeling:
- GAIA-X Standard: Grundlegende Erfüllung von Transparenz- und Interoperabilitätsanforderungen
- European Data Protection: Erfüllung der DSGVO-Anforderungen mit EU-Datenverarbeitung
- Sovereign Data Exchange: Vollständige Souveränitätsgarantien einschließlich Jurisdiktion, Transparenz und Portabilität
GAIA-X-Prinzipien
- Transparenz: Klare Offenlegung von Datenverarbeitungsstandorten, Unterauftragnehmern und geltendem Recht
- Datenportabilität: Möglichkeit, Daten zwischen Anbietern ohne Lock-in zu verschieben
- Interoperabilität: Standardbasierte Schnittstellen für Multi-Cloud-Architekturen
- Selbstsouveränität: Organisationen behalten die Kontrolle über ihre Daten und die Regeln für deren Nutzung
- Föderation: Verteilte Infrastruktur, die einzelne Kontrollpunkte vermeidet
Datensouveränität nach Verordnung
DSGVO
| Anforderung | Souveränitäts-Implikation |
|---|---|
| Artikel 44: Übermittlungen unterliegen Kapitel V | Bewertung des Rechtsrahmens des Ziellandes erforderlich |
| Artikel 45: Angemessenheitsbeschlüsse | Freie Übermittlung nur in Länder mit angemessenem Schutz |
| Artikel 46: Geeignete Garantien | SCCs, BCRs erforderlich für Drittländer |
| Artikel 49: Ausnahmen | Begrenzte Ausnahmen für notwendige Übermittlungen |
| Schrems II: TIA-Pflicht | Bewertung der Überwachungsgesetze des Ziellandes |
NIS2
| Anforderung | Souveränitäts-Implikation |
|---|---|
| Artikel 21(2)(d): Lieferkettensicherheit | Bewertung jurisdiktioneller Risiken von IKT-Anbietern |
| Artikel 21(2)(j): Kryptographierichtlinien | Schlüsselmanagement muss Souveränität sicherstellen |
| Artikel 23: Vorfallmeldung | Meldepflichten folgen EU-Jurisdiktion |
DORA
| Anforderung | Souveränitäts-Implikation |
|---|---|
| Artikel 28: IKT-Drittparteien-Risikorichtlinie | Bewertung von Konzentrations- und Jurisdiktionsrisiko |
| Artikel 30: Wesentliche Vertragsbestimmungen | Verträge müssen Datenstandort und -schutz regeln |
| Artikel 31: Bedingungen für Weitervergabe | Souveränitätsanforderungen kaskadieren durch die Lieferkette |
Häufige Fehler bei der Datensouveränität
Standort mit Souveränität verwechseln
Die Speicherung von Daten in einem EU-Rechenzentrum eines US-Anbieters bedeutet nicht automatisch Datensouveränität. Die Unternehmensjurisdiktion des Anbieters ist ebenso wichtig wie der Rechenzentrumsstandort.
Unterauftragnehmer ignorieren
Ihr primärer Cloud-Anbieter mag EU-souverän sein, aber wenn er Unterauftragnehmer einsetzt, die ausländischem Recht unterliegen, ist Ihre Souveränitätskette unterbrochen.
Sich ausschließlich auf Verträge verlassen
Vertragliche Zusagen von Anbietern sind wichtig, halten aber möglicherweise rechtlichen Anordnungen ausländischer Regierungen nicht stand. Technische Maßnahmen (Verschlüsselung, Schlüsselmanagement) bieten stärkere Souveränitätsgarantien als Verträge allein.
Souveränität übertechnisieren
Nicht alle Daten erfordern souveräne Behandlung. Klassifizieren Sie Daten nach Sensitivität und wenden Sie Souveränitätskontrollen verhältnismäßig an.
Dauerhafte Angemessenheit annehmen
Angemessenheitsbeschlüsse können für ungültig erklärt werden (wie Schrems gezeigt hat). Entwerfen Sie Souveränitätsarchitekturen, die gegenüber Änderungen in der Rechtslandschaft resilient sind.
Wie Orbiq Datensouveränität unterstützt
- Trust Center: Veröffentlichen Sie Ihre Datensouveränitätsposition — Datenresidenz, Verschlüsselung, Schlüsselmanagement und Anbieter-Jurisdiktionen — damit Käufer ihre Due Diligence selbstständig durchführen können
- Kontinuierliches Monitoring: Verfolgen Sie souveränitätsrelevante Kontrollen über ISO 27001, DSGVO, NIS2 und DORA-Anforderungen
- Evidenz-Management: Zentralisieren Sie Transfer Impact Assessments, Unterauftragnehmer-Dokumentation und Souveränitätszertifizierungen
- KI-gestützte Fragebögen: Beantworten Sie souveränitätsbezogene Fragen in Sicherheitsfragebögen automatisch aus Ihren dokumentierten Kontrollen
Weiterführende Literatur
- Trust Center — Wie Sie Ihre Souveränitätsposition für Käufer-Due-Diligence veröffentlichen
- Lieferanten-Risikobewertung — Wie Käufer Souveränität bei der Anbieterauswahl bewerten
- Drittparteien-Risikomanagement — Management von Souveränitätsrisiken in Ihrer Lieferkette
- ISMS — Das Managementsystem, das Souveränitätskontrollen regelt
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.