Datensouveränität: Risiken erzwingen Handlungsbedarf

Datensouveränität als neue Priorität

Datensouveränität bezeichnet das Prinzip, dass Daten den Gesetzen und Verwaltungsstrukturen des Landes unterliegen, in dem sie erhoben oder gespeichert werden. Damit verbunden ist die Frage, wer tatsächlich befugt ist, über Speicherung, Zugriff und Nutzung dieser Daten zu entscheiden.

Ein aktuelles Positionspapier von Pure Storage vom Oktober 2025, erstellt auf Basis einer Studie der University of Technology Sydney (UTS), zeigt: Angesichts geopolitischer Unsicherheiten, wachsender Regulierungsdichte und der Dynamik in der KI-Entwicklung ist Datensouveränität für Regierungen und Unternehmen weltweit zu einem Top-Thema geworden.

Für die Untersuchung führte die Universität 22 Interviews mit Führungskräften aus neun Ländern – darunter Deutschland, Großbritannien, Indien und Japan – durch. Die Ergebnisse verdeutlichen ein gemeinsames Muster: Organisationen erkennen die Risiken, handeln aber oft zu spät oder zu zögerlich. Diese Risiken entstehen oftmals, weil Datensouveränität außer Acht gelassen wird.

Risiko 1: Serviceunterbrechungen durch Abhängigkeit

Die zunehmende Vernetzung globaler IT-Dienste birgt ein bisher unterschätztes Risiko: die Serviceunterbrechung durch ausländische Instanzen.

Wenn kritische Cloud- oder Kommunikationsdienste aufgrund geopolitischer oder rechtlicher Eingriffe ausgesetzt werden, kann dies den Geschäftsbetrieb unmittelbar gefährden.

Ein Beispiel aus der Praxis: Cloud-Anbieter mussten in der Vergangenheit Maßnahmen ergreifen, um ausländische Kunden vor Ausfällen infolge gerichtlicher Anordnungen zu schützen. Solche Szenarien zeigen, wie eng technische Abhängigkeiten mit geopolitischen Risiken verknüpft sind.

Regelwerke wie der Digital Operational Resilience Act (DORA) verlangen von europäischen Unternehmen mittlerweile, dass sie digitale Störungen schnell beheben und resiliente Systeme aufbauen. Hier drohen schwerwiegende Folgen bei der Nichteinhaltung, sei es der Verlust des Kundenvertrauens, Umsatzeinbußen oder Geldstrafen.

Fehlende Souveränität kann Serviceausfälle, Umsatzverluste und regulatorische Sanktionen nach sich ziehen. Alle Befragten der UTS-Studie bestätigten, dass diese Risiken bereits zu einem Umdenken bei der Datenspeicherung geführt haben. Das verdeutlicht, dass Unternehmen verstehen, dass sich Auswirkungen von Serviceausfällen durch ausländische Instanzen nur schwer mildern lassen und der Handlungsbedarf im Bereich der Datensouveränität hoch ist.

Risiko 2: Zugriff ausländischer Behörden

Ein weiteres zentrales Risiko betrifft den Zugriff ausländischer Behörden auf sensible Daten, etwa in den Bereichen Finanzen, Gesundheit oder Forschung.

Ein Drittel der befragten Organisationen stuft diesen Punkt als erheblichen Gefährdungsfaktor ein, da dadurch Datenschutz, nationale Sicherheit und öffentliche Vertrauenswürdigkeit unter Druck geraten.

Der entscheidende Unterschied liegt zwischen befugtem Zugriff im Rahmen rechtlicher Verfahren und unbefugtem Zugriff durch fremde Staaten oder private Akteure.

Viele Unternehmen wissen laut Studie jedoch nicht genau, wie sie solche Zugriffe erkennen oder verhindern können und wie sie im Falle von Reputationsschäden reagieren sollen.

Risiko 3: Komplexität neuer Datenschutzgesetze

Seit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat sich der Rechtsrahmen für den internationalen Datenaustausch deutlich verschärft.

Gesetze wie Japans APPI, Singapurs PDPA oder Indiens DPDP Act orientieren sich an europäischen Standards, während mit der Europäischen Datenstrategie und der geplanten Datenunion weitere Regulierungsvorhaben auf den Weg gebracht wurden. Die Einhaltung dieser Vorschriften soll den Schutz der Datenintegrität, die Sicherstellung von Vertraulichkeit und die Gewährung von Rechten für Einzelpersonen in Bezug auf ihre Daten gewährleisten.

Organisationen müssen ihre Datenstrategien daher ständig anpassen, um rechtssicher zu bleiben. Es ist abzusehen, dass innerhalb der EU weitere Regulierungen entwickelt werden und Unternehmen müssen nicht nur auf dem neusten Stand bleiben, sondern entsprechende Strategien planen und umsetzen.

Vertrauen als zentraler Wert

Die Folgen mangelnder Datensouveränität und der möglichen Auswirkungen der Risiken sind gravierend und international agierende Firmen erkennen dies deutlich. Hier rechnen 92 Prozent der Befragten mit Reputationsschäden, während 85 Prozent der Studienteilnehmer einen Verlust des Kundenvertrauens erwarten.

Datensouveränität wird damit zu einem Vertrauensanker der digitalen Wirtschaft. Organisationen, die den Schutz und die Kontrolle ihrer Daten aktiv gestalten, sichern nicht nur Compliance, sondern auch die Loyalität ihrer Kunden und Partner.

Herausforderungen beim Aufbau souveräner Strukturen

Datensouveränität endet nicht bei der Speicherung. Sie hängt direkt von globalen Lieferketten, Energieinfrastruktur und technologischer Abhängigkeit ab.

Das Beispiel der Halbleiterindustrie verdeutlicht diese Komplexität: Chips aus Taiwan benötigen EUV-Lithografie-Anlagen aus den Niederlanden, die wiederum optische Komponenten aus Deutschland und spezielle Rohstoffe aus Australien einsetzen. Kein Land verfügt allein über alle Ressourcen für heutige Rechenzentren.

Hinzu kommt der steigende Energiebedarf: Der Stromverbrauch von Rechenzentren könnte sich laut Prognosen bis 2030 mehr als verdoppeln, was auch dem Bedarf an künstlicher Intelligenz geschuldet ist. In Energiefragen ist Deutschland jedoch etwas besser aufgestellt als andere Länder, da die Stromversorgung stabil ist, auch wenn teurer im Ländervergleich.

Durch die oben genannten Faktoren wächst der Druck, energieeffiziente Technologien und nachhaltige Betriebskonzepte zu priorisieren und nicht nur auf Datensouveränität zu fokussieren und die damit verbundenen Randparameter zu ignorieren.

In der Studie waren sich 92 Prozent der befragten Firmen sicher, dass die derzeit geopolitische Lage die Risiken erhöht, die damit verbunden sind, sich der Datensouveränität zu verweigern. Ein Abwarten kann für Unternehmen demnach von Nachteil sein.

Strategien für den souveränen Umgang mit Daten

Laut Pure Storage haben Organisationen grundsätzlich drei Wege, mit Datensouveränität umzugehen, die sich stark voneinander unterscheiden. Diese Ansätze sind die folgenden:

Proaktiver Ansatz:

Eine gezielte Datenstrategie mit Risikobewertung nach Sensibilität und Kritikalität. Hier sollten die Anforderungen identifiziert und adressiert werden. Ebenso muss die Datenmenge, der Datenstandort und die Datenverwaltung festgelegt sein. Dies erfordert umfassende Planung und unternehmensweite Zusammenarbeit. Pure Storage empfiehlt diesen Ansatz.

Konservativer Rückzug:

Hierbei verzichten Firmen auf ausländische Cloud-Anbieter. Dies kann jedoch Nachteile bei Innovation und Skalierbarkeit bergen. IT-Verantwortliche müssen sich über die möglichen europäischen oder deutschen Cloud-Anbieter und deren Funktionen sorgfältig informieren.

Untätigkeit und Abwarten:

Dieser Ansatz verfolgt das Motto des Aussitzens. Dabei warten Unternehmen zunächst ab, wie sich die generelle Lage und die Situation für das Unternehmen verändert, in der Hoffnung, dass kein Risiko oder gar Auswirkungen eintreten. Diese Strategie birgt den höchsten Grad der Gefährdung.

Allgemein lässt sich auch ein hybrider Ansatz empfohlen. Kritische Workloads verbleiben in souveränen Umgebungen, während unkritische Anwendungen in Public Clouds betrieben werden. So lassen sich Kontrolle, Compliance und operative Flexibilität kombinieren.

Verfahren für eine gelungene Umsetzung

Die Experten von Pure Storage wie Elke Steinegger (Country Manager &RVP Germany & Austria) und Markus Grau (Enterprise Architect – Office of the CEO) sehen mehrere Schritte, die Organisationen sofort umsetzen können, um Datensouveränität zu erreichen oder zunächst zu optimieren.

Dafür sollte zunächst eine Risikobewertung erfolgen, bei der alle Datenströme nach nach Kritikalität und Sensibilität validiert werden, denn nicht alle Daten oder Anwendungen stellen ein Risiko für die Datensouveränität dar.

Danach erfolgt die Abwägung, ob sich Hybride-Cloud-Modelle für die eigenen Anforderungen eignen. Dies bedeutet eine Kombination aus lokaler Souveränität für sensible und kritische Daten und globaler Skalierbarkeit durch Public-Cloud-Anbieter.

Entscheidet sich das Unternehmen für einen solchen Ansatz, so müssen dann souveräne Anbieter geprüft werden. Dabei ist unter anderem auf juristische Unabhängigkeit, operationale Resilienz und Compliance (zum Beispiel DSGVO, DORA, EU AI Act) zu fokussieren. Beispiele für Deutschland sind unter anderem Deutsche Telekom, Ionos, luckycloud, SecureCloud, leitzcloud oder STACKIT.

Zudem geht es auch um die regulatorische Vorbereitung: Mit Blick auf künftige EU-Vorgaben und Investitionen in KI-Infrastruktur ist jetzt die Zeit, souveräne Strukturen aufzubauen.

Technologie allein löst das Problem nicht

Grau und Steinegger betonen, dass Pure-Storage-Produkte wie die Flash-Storage-Familien bei der Umsetzung der Datensouveränität helfen können, diese aber allein nicht erreichen werden. „Generell wird sich eine vollständige Datensouveränität nur schwer erreichen lassen,“ so Markus Grau. „Technologien wie FlashBlade oder Abo-Angebote wie Evergreen können Unternehmen technologisch voranbringen, trotzdem sind auch strategische und weitreichendere Faktoren zu adressieren. Datensouveränität ist derzeit ein Weckruf und es steht abzuwarten, wie viele Firmen ihn hören und tatsächlich etwas unternehmen.“

Das hängt oftmals davon ab, was Datensouveränität für das jeweilige Unternehmen bedeutet. Die Entwicklungskurve in Europa und Deutschland ist zurzeit noch langsamer als in anderen Regionen, aber hier besteht Grund zur Hoffnung. Gaia-X, eine europäische Initiative zum Aufbau einer sicheren, vernetzten und dezentralen Infrastruktur für digitale und Datensouveränität, um die es in letzter Zeit recht still geworden war, plant in absehbarer Zeit neue Services freizugeben. Dies soll das Momentum des Projektes wieder voranbringen.

Souveränität ist die neue Resilienz

Was früher als theoretisches Risiko galt, ist längst Realität: Serviceausfälle, ausländische Einmischung und Reputationsverluste belegen, dass Datensouveränität zum zentralen Faktor für unternehmerische Resilienz wird.

Unternehmen, die heute handeln, sichern sich nicht nur rechtliche und technologische Kontrolle, sondern auch Vertrauen, Innovationsfähigkeit und Wettbewerbsstärke. Datensouveränität entwickelt sich zu einem zentralen Element digitaler Resilienz und Wettbewerbsfähigkeit.