Warum Firmen Digitale Souveränität nicht ignorieren sollten

Risiken mangelnder digitaler Souveränität

Wer die Anforderungen der digitalen Souveränität vernachlässigt, setzt sich erheblichen Risiken aus. Dazu zählen insbesondere:

• Verstöße gegen Gesetze und Vorschriften (zum Beispiel DSGVO, nationale Datenschutzgesetze).
• Unterbrechungen der Geschäftskontinuität durch geopolitische oder technische Abhängigkeiten.
• Reputationsschäden, wenn Daten ungewollt in andere Rechtsräume gelangen.

Geopolitische Entwicklungen haben dabei unmittelbare Auswirkungen. Wenn ein Cloud-Anbieter aufgrund regulatorischer Vorgaben oder geopolitischer Konflikte Daten verschiebt oder den Zugriff einschränken muss, kann dies für das betroffene Unternehmen gravierende Folgen haben – von Ausfallzeiten bis hin zu negativen Meldungen in der Öffentlichkeit. Beispiele hierfür sind veränderte EU-Sanktionslagen, nationale Zugriffsrechte fremder Staaten oder Konflikte, die internationale Datenströme beeinflussen.

Besonders relevant ist in Europa die Frage, wie Cloud-Anbieter mit Sitz außerhalb der EU mit lokalen Daten umgehen. Selbst wenn Daten physisch in der EU gespeichert sind, können Unternehmenssitz oder Mutterkonzern eines Anbieters dazu führen, dass ausländisches Recht potenziell anwendbar wird. Entscheidungen europäischer Gerichte, etwa das Schrems-II-Urteil, haben diese Sensibilität weiter erhöht. Das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) erklärte am 16. Juli 2020 das EU-US Privacy Shield für ungültig, da die USA keinen gleichwertigen Schutz für personenbezogene Daten im Vergleich zur EU bieten. Dies hat weitreichende Folgen für Datenübermittlungen in die USA und andere Drittländer ohne Angemessenheitsbeschluss, die nun nur noch mit zusätzlichen Schutzmaßnahmen oder auf Basis von Standardvertragsklauseln nach sorgfältiger Prüfung und unter Umständen sogar mit einem Datentransfer-Impact-Assessment (DPIA) erfolgen dürfen

Vorteile der digitalen Souveränität

Unternehmen, die digitale Souveränität gezielt aufbauen, verbessern ihre Position in mehreren Bereichen:

• höhere Verlässlichkeit der Geschäftskontinuität
• bessere Compliance-Fähigkeit
• gestärktes Kundenvertrauen
• mehr Transparenz über Datenbewegungen und Verantwortlichkeiten

Wenn ein deutsches Unternehmen beispielsweise klar kommuniziert, dass personenbezogene Daten deutscher Kunden ausschließlich in einer souveränen Cloud-Umgebung in Deutschland verarbeitet werden, schafft dies Vertrauen – sowohl bei Verbraucherinnen und Verbrauchern als auch bei Geschäftspartnern.

Aktionsplan für CIOs und Führungskräfte

Um digitale Souveränität zu erreichen, müssen Unternehmen ein tiefgreifendes Verständnis ihrer aktuellen Situation haben. Zu den bewährten Verfahren, die dabei zu berücksichtigen sind, gehören die folgenden.

1. Situationsbewusstsein schaffen

Unternehmen sollten ein interdisziplinäres Team aufbauen, das tiefes Wissen über die eigenen Geschäftsprozesse, Abhängigkeiten sowie potenzielle Risiken besitzt. Dieses Team analysiert alle geografisch relevanten Märkte entlang der Lieferkette und bewertet laufend regulatorische und geopolitische Entwicklungen, die Auswirkungen auf Datenhaltung oder technologische Abhängigkeiten haben könnten.

Durch die Einbindung von Vertreterinnen und Vertretern aus allen Geschäftsbereichen und dem Top-Management entsteht ein ganzheitliches Bild der aktuellen Ausgangslage – einschließlich der Datenbestände, die kritisch und unbedingt selbst zu kontrollieren sind.

2. Digitale Souveränität ganzheitlich betrachten

Der physische Ort eines Rechenzentrums ist nur ein Teil der Gleichung. Digitale Souveränität umfasst die gesamte technische Kette – von der Netzinfrastruktur über Cloud-Plattformen bis hin zu Anwendungen und Schnittstellen. Unternehmen sollten evaluieren, welche Teile ihrer Infrastruktur möglicherweise außerhalb des eigenen Landes oder in Regionen liegen, die im Krisenfall nicht verfügbar sind.

Ein Beispiel: Wird ein Unterseekabel beschädigt oder fällt ein externer Netzbetreiber aus, kann ein lokal gelegenes Rechenzentrum dennoch nicht mehr erreicht werden. Eine detaillierte Analyse der Abhängigkeiten ist daher unerlässlich.

3. Risiken differenziert bewerten

Digitale Souveränität bedeutet nicht, jede Innovation zu vermeiden. Vielmehr gilt es, für unterschiedliche Datensätze und Anwendungsfälle individuelle Risikotoleranzen festzulegen. Während Kundendaten oft einer Null-Risiko-Politik unterliegen, können operative oder aggregierte Daten unter kontrollierten Bedingungen analysiert werden, um Innovationen oder Effizienzgewinne zu erzielen.

Technologien wie datenschutzkonformes Data Processing, Confidential Computing oder europäische Cloud-Zertifizierungen können helfen, Souveränität und Innovation in Einklang zu bringen.

4. Transparenz und Kontrollrechte gegenüber Cloud-Anbietern stärken

Unternehmen sollten in ihren Service Level Agreements (SLAs) sicherstellen, dass klare Regeln für folgende Punkte bestehen:

• wo Daten gespeichert werden dürfen
• wie Daten vor einer möglichen Migration geschützt sind
• welche Landesgesetze für die Datenverarbeitung maßgeblich sind
• wie und durch wen der Anbieter überprüft werden kann
• wie der Zugriff auf kritische Daten im Notfall garantiert wird

Besonders wichtig ist, dass ein Anbieter Daten nicht ohne Zustimmung des Kunden in ein anderes Land verschieben darf. Zudem sollten Unternehmen das Recht haben, Audit-Anfragen zu stellen oder Prüfberichte wie ISO 27001, C5 oder SOC2 einzusehen. Wenn notwendige Transparenz verweigert wird, sollte ein Anbieterwechsel in Betracht gezogen werden.

5. Langfristige Planung der digitalen Souveränität

Digitale Souveränität ist kein Einzelprojekt, sondern ein langfristiger Transformationsprozess. Er erfordert einen strategischen Architekturrahmen, der beschreibt, wie Anwendungen entwickelt, betrieben und geschützt werden sollen. Da Unternehmen meist mit einer heterogenen IT-Landschaft arbeiten, braucht es ein koordiniertes Vorgehen unterschiedlicher Kompetenzen – von IT-Architektur über Datenschutz und Compliance bis zu Risikomanagement und Einkauf.

Ein klarer Plan ermöglicht es, schrittweise Abhängigkeiten zu reduzieren, Alternativen aufzubauen und zukünftige regulatorische Veränderungen souverän zu bewältigen.