Souveränität: Wunsch und Wirklichkeit

Immer mehr Organisationen streben nach digitaler Souveränität und setzen dafür auch entsprechende Budgets ein. Dennoch bleiben die Bemühungen oft fruchtlos: Rund jedes dritte Unternehmen musste im vergangenen Jahr mindestens einen Datensouveränitäts-Vorfall verkraften. Vor allem auf technischer Seite hapert es weiterhin, auch bei manchem Dienstleister und lokalen Lösungen.

Das Streben nach digitaler Souveränität steht insbesondere bei europäischen Firmen und Organisationen derzeit neben KI ganz oben auf der Prioritätenliste. Die rücksichtslose "America first"-Politik von Donald Trumps treuen Truppen und ihre erratischen Aktionen und Drohungen lassen erhebliche Zweifel daran aufkommen, wie ernsthaft und langfristig den vermeintlich vertrauensbildenden Versprechen der US-Konzerne hinsichtlich Punkten wie der Datensicherheit geglaubt werden kann. Für die überwiegende Mehrheit der Unternehmen und Behörden ist deshalb klar, dass sie im digitalen Raum möglichst weitgehend von Anbietern wie den US-Hyperscalern und Softwaregiganten abnabeln wollen.

Obwohl sie dieses strategisch wichtige Ziel durchaus mit dem notwendigen Eifer und auch Budget angehen, sind die Erfolge allerdings in vielen Fällen noch überschaubar. Das belegt der gerade erschienene "2026 Data Security and Compliance Risk: Data Sovereignty Report" von Kiteworks, für den der Private-Data-Network-Anbieter 286 IT-Fachleute, meist IT-Manager, CIOs oder CTOs, in Europa (189), Kanada (43) und dem Nahen Osten (54) befragen ließ. Dabei attestierten sich ein Großteil der europäischen Vertreter selbst zumindest gut (36 Prozent), meist aber sogar sehr gut (44 Prozent) über Datensouveränität informiert zu sein.

Nur: In der Praxis scheint ihnen all das Wissen wenig zu helfen. Denn gleichzeitig gibt fast ein Drittel (32 Prozent) an, die eigene Organisation sei innerhalb der letzten 12 Monate von einem Datenschutzvorfall betroffen gewesen. Am häufigsten waren dabei unbefugte grenzüberschreitende Datenübermittlungen, behördliche Auskunftsersuche, Datenschutzverletzungen mit Auswirkungen auf die Souveränität sowie Compliance-Verstöße durch Dritte. Während die Quote der Betroffenen in Kanada mit 23 Prozent deutlich geringer ist, liegt sie im Nahen Osten sogar bei 44 Prozent.

Technische Defizite und regulatorische Hürden als Souveränitäts-Bremsen

Woran also liegt diese erhebliche Diskrepanz zwischen Wunsch und Wirklichkeit bei der Souveränität, wenn nicht auf informativer Seite? Um die Antwort darauf einzugrenzen, empfiehlt sich ein Blick auf die weiteren im Rahmen der Studie gestellten Fragen. So nennt etwa fast die Hälfte (44 Prozent) der europäischen IT-Fachkräfte ausgerechnet die Souveränitätsgarantien der Anbieter als größtes Hindernis bei ihren Souveränitätsbestrebungen. Trotz der hiesigen guten Voraussetzungen wie der DSGVO haben sie also Bedenken, dass die Anbieter ihren eigenen Versprechen und den Anforderungen der Kunden nicht gerecht werden.

Ein typisches Beispiel, was damit konkret gemeint sein kann, ist etwa die Verwahrung der Encryption-Schlüssel für Kommunikation und insbesondere Daten. Manche Cloud-Anbieter geben ihren Kunden nicht die alleinige Kontrolle über diese wichtigen Werkzeuge. Obwohl sie zwar alle rechtlichen Anforderungen an den Datenstandort und die Datenhaltung erfüllen, können sie damit auch selbst auf die Daten zugreifen. Dadurch wiederum können sie, beispielsweise durch gesetzliche Vorgaben, Geheimdienstanfragen oder politischen Druck, auch dazu gezwungen werden, Daten oder auch Schlüssel herauszugeben. In so einem Fall sind dann die größten Versprechen und Garantien hinsichtlich der Souveränität einfach nur wertlos.

Weitere von den europäischen Befragten häufig genannte Hindernisse, mit denen ihre Unternehmen nach eigenem Bekunden bei der Umsetzung ihrer Souveränitätspläne zu kämpfen haben, sind der EU AI Act (40 Prozent), politische Kurswechsel in den USA (36 Prozent), die Durchsetzung der Datenschutzgesetze (34 Prozent) sowie mögliche Änderungen bei den Angemessenheitsentscheidungen (23 Prozent).

Regionale Datenhaltung ist keine Garantie für Souveränität und Sicherheit

Während es an Wissen und Bewusstsein also nicht mangelt, sind es vor allem technische Mängel sowie die strengen regulatorischen Vorgaben, welche die Umsetzung der Pläne zur Datensouveränität torpedieren. "Die Lücke liegt nicht im Wissen. Es ist die Kluft zwischen den Richtlinien und der Architektur, die die Datenresidenz tatsächlich durchsetzt, den Zugriff kontrolliert und bei Bedarf auditierbare Nachweise liefert," bestätigt Dario Perfettibile, General Manager EMEA für GTM und Customer Operations von Kiteworks.

Unternehmenseigene Architektur im Fokus

Damit liegt das Hauptproblem bei der Datensouveränität also just in jenem Bereich, der sowohl besonders kritisch als auch besonders arbeitsintensiv ist. 58 Prozent der Befragten nennen die notwendigen Änderungen an ihrer technischen Infrastruktur als ressourcenintensivsten Bereich bei der Umsetzung ihrer Souveränitätsbestrebungen. Erst danach folgen die Wissensgebiete Recht und Compliance, die durchdrungen werden müssen. 41 Prozent hadern zudem mit dem großen Aufwand den Dokumentation und Auditierung verlangen.

All das führt auch finanziell zu enormen Kosten, die Mehrheit der Unternehmensvertreter gibt an, dass ihre Organisation über alle Bereiche hinweg jährlich mehr als eine Million US-Dollar für die Einhaltung von Souveränitätsvorschriften ausgibt. In den nächsten zwei Jahren wollen deshalb 55 Prozent der europäischen Vertreter aus der Befragung vor allem in die Automatisierung von Compliance-Prozessen investieren und so den Aufwand und die Komplexität zumindest teilweise einhegen. Fast ähnlich viele europäische Firmen und Einrichtungen (51 Prozent) planen außerdem Budgets zur Verbesserung der technischen Kontrollen ein.

Souveränitätsziel: Mehr Werte, weniger Risiko

Für diese Investitionen erwarten sie im Gegenzug auch klare geschäftliche Mehrwerte. An vorderster Stelle stehen dabei eine erhöhte Sicherheit (63 Prozent) sowie ein gesteigertes Kundenvertrauen (51 Prozent). Das wird künftig umso wichtiger werden, als mit dem Siegeszug der Künstlichen Intelligenz bereits die nächste gewaltige Herausforderung in Sachen Souveränität für die Firmen unmittelbar vor der Türe steht, oder sogar schon den ersten Fuß über die Schwelle gesetzt hat. Unter den befragten europäischen Unternehmen bewahren jeweils 34 Prozent sämtliche KI-Trainingsdaten innerhalb der eigenen Region auf oder verfolgen einen je nach Sensibilität der Daten variierenden Ansatz. Während auch diese Optionen wieder mit den genannten Fehlern behaftet sein können und somit nur bedingt die versprochene Sicherheit und Souveränität garantieren, muss sich das fehlende Drittel erst noch mit der KI-Souveränitätsstrategie auseinandersetzen.

"Früher bedeutete Souveränität vor allem Geografie – man musste die Daten nur im richtigen Land aufbewahren und schon war man auf der sicheren Seite. Diese Ära ist vorbei", warnt denn auch Dario Perfettibile und erklärt: "Aufsichtsbehörden, Kunden und Beschaffungsteams verlangen heute Nachweise: Wer hat Zugriff auf die Daten, wer verwaltet die Schlüssel und lässt sich die Einhaltung der Vorschriften auf Anfrage nachweisen?" Aus seiner Sicht ist es daher existenziell wichtig, aus dem inzwischen breiten Wissen auch die richtigen Schlüsse zu ziehen und entsprechend effiziente sowie langfristig wirksame, technische Maßnahmen zu ergreifen: "Die Unternehmen, die diese Nachweise in ihre Architektur integrieren, werden die Nase vorn haben. Alle anderen werden zwar weiterhin die Regeln kennen, aber immer wieder ins Straucheln geraten."

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden