Illustration Absmeier foto freepik ki

Die Debatte um digitale Souveränität hat in Europa und den USA an Schärfe gewonnen: Mitte November suchte der Europäische Gipfel zur digitalen Souveränität 2025 in Berlin nach Lösungen. Warnungen vor übermäßiger Abhängigkeit von Hyperscalern, Forderungen nach Datenlokalisierung und verschärfte Compliance-Vorgaben prägen aktuell die Agenda. Für IT-Entscheider bedeutet das: Jede Architektur- und Speicherentscheidung hat unmittelbare rechtliche, finanzielle und reputative Folgen.

Genau hier setzt Begoña Jara, Vice President und General Manager Germany, mit dem nachfolgenden Fachbeitrag zum Thema Datensouveränität an: Sie zeigt praxisnah, warum Souveränität keine »Entweder-oder«-Frage ist, sondern ein Spektrum – und wie Unternehmen mit Hybridmodellen die richtige Balance zwischen Kontrolle, Compliance und Innovation finden. Mit konkreten Beispielen und Empfehlungen gibt sie Unternehmen Orientierung, wie sie handlungsfähig bleiben, Risiken minimieren und Wachstumschancen sichern.

Begoña Jara, Vice President und General Manager Germany bei NetApp (Quelle: NetApp)

Zur Frage der Datensouveränität hat sich im Laufe der letzten Monate eine kontinuierliche politische Diskussion entwickelt. Zwar macht Europa mit dem EU Data Act, der im September 2025 vollständig in Kraft getreten ist, einen wichtigen Schritt zur Regulierung des digitalen Binnenmarktes. Gleichzeitig sind jedoch 90 Prozent der Unternehmen hierzulande auf Digitalimporte angewiesen und könnten ohne sie nur schwer oder gar nicht überleben. Experten warnen regelmäßig davor, wie stark sich europäische Organisationen und Unternehmen von ausländischen Cloud-Anbietern abhängig machen.

Während einige Szenarien in dieser Debatte noch rein theoretisch durchgespielt werden, sind die möglichen Folgen für Führungskräfte im Tagesgeschäft bereits allgegenwärtig. Jede Entscheidung darüber, wo Daten gespeichert werden, wer sie verwaltet und wie sie geschützt werden, kann nun finanzielle, rechtliche und rufschädigende Konsequenzen haben. Darum ist es essenziell, alle Facetten von Datensouveränität von Grund auf zu verstehen. Schwarz-Weiß-Denken ist bei diesem Thema noch weit verbreitet: Entweder werden Daten in einer festungsartigen Einrichtung gespeichert, die von der Außenwelt abgeschottet ist; oder sie fließen frei in der Public Cloud, oft auch als Fachbereichsinitiativen mit den entsprechenden Konsequenzen, Stichwort »Schatten-IT«.

Die Realität ist jedoch deutlich vielschichtiger. Souveränität ist ein Spektrum, und Unternehmen sollten sich die Mühe machen, ihren Platz darauf zu finden: eine Regelung, die ausreichend Sicherheit und Kontrolle bietet und ihnen gleichzeitig genügend Agilität und Flexibilität für Innovationen lässt. Wenn diese Faktoren berücksichtigt werden, können Unternehmen kosteneffizient und agil agieren und sich trotzdem effektiv vor regulatorischen Risiken und Betriebsstörungen schützen.

Das Spektrum der Souveränität

An einem Ende des Spektrums befinden sich vollständig souveräne Datenspeicher, die oft als »Dark Sites« bezeichnet werden. Dabei handelt es sich um On-Premises-Systeme, die in sich geschlossen und vom Internet und der Außenwelt abgeschottet sind. Solche Einrichtungen sind für bestimmte Einheiten des Militärs, Geheimdienste und einige wenige Regierungsbereiche unverzichtbar. Oft ist es streng reglementiert, wer in solchen Räumlichkeiten arbeiten darf und unter welchen Bedingungen, um das höchstmögliche Level an Sicherheit und Kontrolle zu gewährleisten.

Manch einer mag sich fragen: Sollten nicht alle Organisationen die maximale Kontrolle über ihre Daten und Infrastruktur behalten? Im Alltag wären solche Maßnahmen für die allermeisten Unternehmen jedoch übertrieben. Ein so hohes Maß an Souveränität macht Systeme sehr starr und teuer in der Wartung. Es mindert die Agilität von Organisationen und würde ihnen die Vorteile der Cloud-Technologie verwehren, die sie möglicherweise für ihre Skalierung und Flexibilität benötigen.

In einigen Branchen müssen Unternehmen genau diesen Spagat zwischen Kontrolle und Flexibilität meistern, beispielsweise Banken, Versicherungen, Gesundheitsdienstleister und Energieunternehmen. Die Aufsichtsbehörden erlegen ihnen strenge Auflagen über bestimmte Arten von Informationen auf. Sicherheit und Kontrolle sind daher wichtig für diese Unternehmen. Gleichzeitig müssen sie sich aber möglichst kundenfreundlich aufstellen. Sie benötigen daher mehr Flexibilität in ihren Systemen und sind stark auf Konnektivität, Zusammenarbeit und Geschwindigkeit angewiesen. Daher haben viele von ihnen hybride Modelle eingeführt, bei denen sie ihre sensibelsten Daten, etwa Patientenakten und Finanzdaten, lokal speichern, während sie für weniger kritische Workloads die Skalierbarkeit und Effizienz der Cloud nutzen.

Die richtige Balance lässt sich am Beispiel einer globalen Bank mit Kunden in Europa, Nordamerika und Asien erklären: Die Aufsichtsbehörden verlangen in den einzelnen Regionen unterschiedliche Vorschriften für die Speicherung und Verarbeitung personenbezogener Daten. Eine zu starke Zentralisierung würde gegen die Compliance-Vorschriften verstoßen, eine zu starke Lokalisierung würde jedoch die Effizienz beeinträchtigen. Das »richtige Maß« an Souveränität bietet daher ein Hybridmodell: Sensible Daten wie Kundenkontodaten bleiben innerhalb der Landesgrenzen, während weniger kritische Analyse-Workloads zu Gunsten der Geschwindigkeit und Skalierbarkeit in der Cloud ausgeführt werden.

Der Schlüssel für dieses Gleichgewicht ist die Dateninfrastruktur. Transparenz-Tools verfolgen, wo sich Daten befinden, und erleichtern die Implementierung und Umsetzung von Richtlinien, die verhindern, dass Informationen die falschen Grenzen überschreiten. Schließlich können Lebenszykluskontrollen auch sicherstellen, dass Datensätze überall, wo sie existieren, sicher gelöscht werden können. Somit sind Beschränkungen weder zu restriktiv noch zu lax, sondern genau richtig, um gleichzeitig Compliance zu garantieren und Wachstum zu ermöglichen.

So viel wie nötig, so wenig wie möglich

Diese Balance hängt von drei Faktoren ab:

Regulatorische Verpflichtungen schreiben vor, wo Daten gespeichert werden dürfen und wie sie verarbeitet werden müssen, wobei oft wenig Spielraum für Kompromisse bleibt.
Leistungsanforderungen können Nähe und geringe Latenz erfordern, insbesondere in Branchen wie dem Finanzwesen oder der industriellen Automatisierung.
Und dann gibt es noch die Abhängigkeit von Anbietern. Die Konzentration kritischer Workloads auf einen einzigen Hyperscaler kann den Betrieb vereinfachen und eine bequeme kurzfristige Option sein. Diese Anbieter sind wertvolle Technologiepartner, unterliegen jedoch auch den Gesetzen und dem Druck der Gerichtsbarkeiten, in denen sie ihren Hauptsitz haben. Eine übermäßige Abhängigkeit von ihnen kann strategische Risiken mit sich bringen, etwa wenn sich, wie momentan, die geopolitische Situation ändert. Wenn beispielsweise ein Hyperscaler gezwungen ist, Kundendaten auf Anfrage seiner Regierung zur Verfügung zu stellen, wird diese Angelegenheit vermutlich nicht mehr in der IT, sondern vom Vorstand entschieden.

Unternehmen müssen diese Faktoren sorgfältig abwägen, um zu entscheiden, wie viel Souveränität sie brauchen, um handlungssicher zu sein, ohne Innovationen zu behindern oder untragbare Kosten zu verursachen. Auch Governance und die Datenarchitektur sind dabei zu berücksichtigen. Ein Unternehmen muss Klarheit darüber haben, wo sich Daten befinden, wie sie bewegt werden und wer sie auf ihrem Weg berührt. So viel Transparenz erfordert eine kontinuierliche Abbildung der Datenflüsse und die Bereitschaft, zu handeln, wenn sich etwas ändert, zum Beispiel durch neue Vorschriften oder sich ändernde Geschäftsprioritäten.

Damit die Daten-Compliance gewährt ist, müssen bei Datenschutz, Sicherheit und Speicherort sowohl die lokalen als auch die globalen Vorschriften berücksichtigt werden. Internationale Unternehmen müssen nachweisen, dass sie die Anforderungen jeder Gerichtsbarkeit erfüllen können, in der sie aktiv sind, von der DSGVO in Europa bis hin zu branchenspezifischen Vorschriften in den Vereinigten Staaten oder Asien. Dabei können sich die Vorschriften zum Speicherort von Daten jederzeit weiterentwickeln und die Bedeutung von »souverän« kann sich grundlegend verändern. Eine Dateninfrastruktur, die zu einem späteren Zeitpunkt neu konfiguriert werden kann, macht die datenbezogenen Prozesse eines Unternehmens zukunftssicher. Schließlich muss die Souveränität über den gesamten Lebenszyklus der Daten hinweg verwaltet werden. Erstellung, Nutzung, Speicherung und Löschung sind Teil ein und derselben Verantwortungskette. Denn nur wenn Systeme Daten sicher löschen können, sobald diese nicht mehr benötigt werden, sind sie wirklich souverän.

Fazit: Regeln einhalten, Wachstum ermöglichen

Die Entscheidung darüber, wie souverän Daten in einem Unternehmen gehandhabt werden können, wirkt sich stark auf seine Wettbewerbsfähigkeit aus: Übermäßige Vorsicht kann die Geschäftsabläufe erschweren und geradezu lähmend wirken. Zu viel Unbedarftheit hingegen kann große regulatorische und sicherheitstechnische Risiken mit sich bringen. Wer jedoch sein ideales Level an Souveränität erreicht hat, kann sich flexibel an neue Technologien anpassen, ohne dass die Vertrauenswürdigkeit gegenüber Kunden und Partnern darunter leidet.

Souveränität ist weder statisch noch ein Schalter, den man umlegen kann. Vorschriften ändern sich, Cyberbedrohungen entwickeln sich weiter und geschäftliche Prioritäten verschieben sich. Was heute als Grenzwert für ausreichend Souveränität gilt, kann morgen schon unzureichend sein. Aus diesem Grund sollte Souveränität als ein fortlaufender Governance-Prozess behandelt werden. Sie muss regelmäßig überprüft und sich anpassen lassen.

Unternehmen müssen auch beachten, dass Souveränität längst kein rein technisches Anliegen mehr ist. Die Entscheidungen in diesem Bereich bestimmen, wie widerstandsfähig ein Unternehmen gegenüber regulatorischen Änderungen und Marktstörungen ist. Zudem beeinflussen sie direkt die Wettbewerbsfähigkeit sowie die Wachstumschancen eines Unternehmens. Die binäre Sichtweise auf Souveränität ist überholt. Die Zukunft liegt darin, das Spektrum zu verstehen und die richtige Balance zu finden.

Begoña Jara, Vice President und General Manager Germany, NetApp

358 Artikel zu „Datensouveränität“

Ausgabe 9-10-2025 | Security Spezial 9-10-2025 | News | Business | Digitalisierung | Favoriten der Redaktion | Geschäftsprozesse | IT-Security | Strategien

Resilienz und Datensouveränität: DORA – per Exit zur Souveränität?

4. September 2025

Die Digitalisierung setzt sich auch in Deutschland weiter durch – langsam, manchmal stockend, aber unaufhaltsam. Mit ihr steigt nicht nur die Effizienz, sondern auch die Verwundbarkeit. Allein 2024 zählte das Bundeskriminalamt über 130.000 Fälle von Cybercrime. Für Banken und Versicherungen kann ein erfolgreicher Angriff binnen Stunden Schäden in Milliardenhöhe verursachen. Der Finanzsektor gilt deshalb als…