Viele Unternehmen setzen auf US‑Cloudanbieter mit EU‑Rechenzentren und übersehen den entscheidenden Faktor: den Rechtsraum. CLOUD Act und Patriot Act erlauben unter Bedingungen Zugriff auf Daten; auch hierzulande. Mit NIS2 und DSGVO steigt der Druck. Warum echte Datensouveränität Anbieter unter EU‑Recht verlangt und welche Weichen jetzt zu stellen sind.
US‑Recht kann selbst bei EU‑Rechenzentren Zugriff auf Unternehmensdaten erlauben; entscheidend ist der Rechtsraum des Anbieters, nicht allein der Serverstandort.
Auf dem Papier wirkt alles solide: Redundante Rechenzentren in der EU, moderne Firewalls, Security-Operations-Center rund um die Uhr. Und dennoch besteht ein Risiko, das in kaum einem Architekturdiagramm auftaucht: Der Rechtsraum. In deutschen Rechenzentren liegt ein Großteil der sensibelsten Unternehmensdaten des Landes und dennoch können US-Behörden unter bestimmten Bedingungen darauf zugreifen. Möglich machen das der CLOUD Act und der Patriot Act: Sie verpflichten US-Unternehmen, Daten unabhängig davon, wo sie physisch gespeichert sind, herauszugeben.
Viele IT-Verantwortliche verdrängen dieses Risiko oder hoffen, dass es sie nicht betrifft. Ein gefährlicher Trugschluss. Denn juristische Bindungen lassen sich nicht durch den Standort eines Rechenzentrums aushebeln. Wer heute einen Cloud- oder Security-Anbieter auswählt, wählt damit auch dessen Rechtsraum. Und der ist für die Frage der Datensouveränität entscheidender als jeder Serverstandort.
Wie brisant dieses Thema ist, zeigt die aktuelle Studie von Mimecast: 87 Prozent der befragten deutschen Unternehmen geben an, dass geopolitische Entwicklungen und Fragen der Datenhoheit ihre Entscheidung für einen IT-Sicherheitsanbieter beeinflussen, bei großen Unternehmen mit mehr als 1.000 Beschäftigten sind es sogar fast 93 Prozent. Während früher technische Features und Preislisten dominierten, rücken heute Fragen nach Souveränität und Compliance ins Zentrum. Mit anderen Worten: Datensouveränität ist längst ein Top-Kriterium auf Entscheidungsebene.
Das hat auch damit zu tun, dass neue Vorgaben wie NIS2, BSI-KritisV oder die DSGVO Haftungsfragen verschärfen. Wer personenbezogene Daten, kritische Infrastrukturen oder industrielle Steuerungssysteme schützt, kann sich keine Rechtsunsicherheit leisten. Compliance ist nicht länger Beiwerk, sondern zur sicherheitspolitischen Frage geworden. Und was bislang wie bürokratische Pflicht wirkte, entpuppt sich nun als Katalysator: Nur wer Datenschutz, Compliance und Cyberresilienz integriert denkt, kann moderne Technologien wie KI-gestützte Security-Automatisierung oder Industrial-IoT-Infrastrukturen überhaupt sicher nutzen. Regulierung wird so zur Eintrittskarte in eine souveräne, digitale Zukunft.
Datensouveränität als neue Leitplanke der Security-Architektur
Dieser Perspektivwechsel ist längst überfällig. Zwei Drittel der befragten Unternehmen nennen in der Studie die „Kontrolle über die Dateninfrastruktur“ als wichtigstes Kriterium für digitale Souveränität, deutlich vor der Fachkompetenz des eigenen Personals. Das ist mehr als ein Stimmungsbild: Es markiert eine strategische Neuordnung.
Denn: Früher wurde IT-Sicherheit oft bottom-up gedacht. Man schützte einzelne technische Komponenten wie Firewalls, Endgeräte oder Netzwerke und hoffte, dass sich daraus ein ausreichend sicherer Gesamtverbund ergibt. Datenschutz spielte dabei meist die Rolle eines nachgelagerten Compliance-Themas. Die neue Haltung stellt dieses Paradigma auf den Kopf: Nicht mehr Technik und einzelne Tools allein, sondern die Kontrolle über die komplette Dateninfrastruktur steht am Anfang, inklusive Cloud-Stacks, Identity- und Access-Management, Kryptographie und Schlüsselverwaltung. Erst wenn klar ist, wer die Hoheit über Daten, Schlüssel und Identitäten hat, kann entschieden werden, wie technische Schutzmaßnahmen überhaupt greifen können.
Gerade in Cloud-Umgebungen verstärkt sich das Problem. Security-as-a-Service-Angebote sind bequem, skalierbar und häufig US-dominiert. Doch solange der CLOUD Act den Zugriff auf europäische Daten ermöglicht, hängt über jeder Datei, jedem Backup und jedem KI-gestützten Security-Prozess ein juristisches Damoklesschwert. Viele Unternehmen merken, bis ein Vorfall sie trifft nicht, wie abhängig sie geworden sind. Dann steht nicht nur der Datenschutz auf dem Spiel, sondern auch die eigene Compliance-Bilanz und im schlimmsten Fall die Geschäftsgrundlage.
Der Weg aus dieser Sackgasse führt nicht über symbolische Datentreuhandmodelle, sondern über eine bewusste strategische Entscheidung: Unternehmen sollten Anbieter wählen, die ausschließlich europäischem Recht unterliegen und damit keine externe Zugriffspflicht im Gepäck haben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Souveränität als strategische Ressource
Diese Sichtweise hat Konsequenzen für die Unternehmensführung: Datensouveränität wird nun als unternehmenskritische Ressource betrachtet, vergleichbar mit Kapital, Marke oder geistigem Eigentum.
Entscheidungen über Anbieter, Cloud-Infrastrukturen oder Security-as-a-Service werden deshalb nicht nur nach technischen oder wirtschaftlichen, sondern vor allem nach rechtlich-strategischen Kriterien getroffen. Genau darin liegt der entscheidende Paradigmenwechsel, den die Studie sichtbar macht und der Europas Unternehmen jetzt zum Umdenken zwingt.
Die folgende Checkliste übersetzt diese Befunde in praxisnahe Schritte für IT- und Unternehmensverantwortliche:
1. Rechtsraum der Anbieter prüfen: Klären, welchem Recht der IT-Sicherheits- oder Cloud-Anbieter unterliegt, nicht nur, wo seine Rechenzentren stehen. Bei der Bewertung geopolitische Risiken in Risikoanalysen einbeziehen
2. Kontrolle über die eigene Dateninfrastruktur sichern: Prüfen, ob Schlüsselkomponenten (Speicher, Identitätsmanagement, Schlüsselverwaltung) intern kontrollier- oder auditierbar sind und sie unter eigener Hoheit betreiben.
3. Compliance und Datenschutz als strategische Priorität verankern: Vorgaben aus NIS2, BSI-KritisV, DSGVO und anderen Regulierungen aktiv in die Sicherheitsarchitektur integrieren.
4. Technologische Unabhängigkeit herstellen: Vermeidung von Lock-in-Effekten durch Multi-Cloud- oder Hybrid-Strategien.
In den kommenden Jahren wird sich zeigen, dass digitale Souveränität kein optionales Sicherheitsfeature, sondern ein strategischer Hebel für Resilienz, Compliance und Marktvorteile ist. Wer die Kontrolle über Daten, Schlüssel und Infrastrukturen selbst bestimmt, kann schneller Innovationen umsetzen, Kundenvertrauen stärken und Marktchancen aktiv gestalten. In einer Zeit, in der Vertrauen und Rechtssicherheit entscheidend sind, trennt sich so die Spreu vom Weizen und (daten)souveräne Unternehmen setzen Standards, statt ihnen hinterherzulaufen.
Über den Autor: Frank Sammüller ist Senior Sales Director DACH bei Mimecast. Mit über 20 Jahren Erfahrung in der IT-Security – unter anderem bei Symantec und McAfee – setzt er sich dafür ein, Sicherheit und Datensouveränität gemeinsam zu denken. Sein Fokus liegt auf klaren Verantwortlichkeiten, transparenten Zugriffsmodellen und moderner Governance in hybriden Arbeitswelten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:quality(80)/p7i.vogel.de/wcms/b9/67/b967e6b7ef122baabd84acd974db6146/0126549109v2.jpeg "Ein ehemaliger Mitarbeiter des Weißen Hauses erläutert, ob und wie es der US-Regierung möglich ist, den EU-Zugang zu amerikanischer Technologie zu beschränken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/78/26/7826b476036d68942ba87bc43f1ec575/0125812847v1.jpeg "„Hat ein Unternehmen Security-Lösungen aus den USA im Einsatz, dann besteht auch hier das Risiko einer Abschaltung aus der Ferne per Remote-Management“, warnt René Büst, Analyst für Cloud-IT-Services bei Gartner. (Bild: Gartner / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/5b/685b605b19695f0e98ccedd93d67e118/0112150345v3.jpeg "Wer immer mehr Verantwortung an Dritte abgibt, braucht sich über zunehmenden Kontrollverlust und schwindende Sicherheit nicht wundern. Diese Erkenntnis reift in unserem Gespräch mit Prof. Dr. Dennis-Kenji Kipker zu Folge 91 des Security-Insider Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/49/2b/492b578093ab5f98b867a5365ca3ba9e/0127921883v1.jpeg "Europas digitale Abhängigkeit: Justitia wird zum Spielball globaler Datenmächte. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/e9/7de9a309c98605ff6edea5151f61916e/0124302592v4.jpeg "Die weltweite geopolitische Lage bleibt angespannt – und mit ihr die Unsicherheiten im Datenschutz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/bb/ddbb073817f2e23b75c2b88fc6815e51/0123885552v1.jpeg "Security-Insider hat Claudia Plattner in Berlin zum Gespräch getroffen und auf die Kritik, die die Kooperation mit Google erhält, angesprochen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/0c/12/0c1213565bd46d206ad9e837f8c5f858/0127924133v2.jpeg "Der Data Act schafft Regeln, aber keine Souveränität. (Bild: © Oleksandr Bochkala – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/e1/eae1f70ef2c2a1d8f3e9da8d0bde6ed7/0123144013v1.jpeg "Die erneute Wahl Donald Trumps zum US-Präsidenten sollte auch die letzten Zweifler davon überzeugen: Digitale Souveränität ist so wichtig wie nie. (Bild: Lamina - stock.adobe.com)")