Ihre Organisation verlässt sich auf Dutzende von Cloud-Diensten. E-Mail in Microsoft 365, CRM in Salesforce, Analytics in Google Cloud, Dateispeicherung in Dropbox. Jeder dieser Dienste verarbeitet Ihre Daten in einem bestimmten Rechtsgebiet, unter bestimmten rechtlichen Rahmenbedingungen, mit bestimmten Ausstiegsbedingungen. Datensouveränität ist die Frage, wer diese Daten letztlich kontrolliert — und ob Sie sie bei Bedarf verschieben können.

Für europäische KMU hat sich diese Frage von theoretisch zu dringend entwickelt. Die Kombination aus DSGVO-Durchsetzung, dem Schrems-II-Urteil, dem EU Data Act und dem Digital Markets Act hat ein regulatorisches Umfeld geschaffen, in dem das Wissen, wo Ihre Daten liegen und wie abhängig Sie von bestimmten Anbietern sind, nicht mehr optional ist. Es ist eine Compliance-Anforderung.

Was digitale Souveränität tatsächlich bedeutet

Digitale Souveränität ist breiter als Datenresidenz. Sie umfasst drei Dimensionen:

Datensouveränität — wer hat die rechtliche Zuständigkeit über Ihre Daten, und unter welchen Bedingungen können ausländische Regierungen oder Dritte darauf zugreifen. Wenn Ihre Daten auf Servern in den Vereinigten Staaten liegen, unterliegen sie ungeachtet vertraglicher Vereinbarungen dem US-Recht, einschließlich dem CLOUD Act und FISA Section 702.

Technologische Souveränität — wie abhängig Sie von bestimmten Anbietern für kritische Infrastruktur sind. Wenn Ihre Authentifizierung über einen einzigen Identity Provider läuft, Ihre Backup-Strategie auf einem Cloud-Anbieter beruht und Ihre Kommunikation von einer Plattform abhängt, haben Sie ein Konzentrationsrisiko, das über den Datenschutz hinausgeht.

Operationelle Souveränität — ob Sie Daten extrahieren, migrieren und den Betrieb fortsetzen können, wenn ein Anbieter Bedingungen ändert, Preise erhöht, übernommen wird oder nicht verfügbar ist. Dies ist die Vendor-Lock-in-Dimension, die viele Organisationen unterschätzen, bis sie damit konfrontiert werden.

Warum es jetzt wichtig ist

Mehrere regulatorische Entwicklungen sind zusammengetroffen, die eine Souveränitätsbewertung zu einer praktischen Notwendigkeit machen:

Nachwirkungen von Schrems II. Der Gerichtshof der Europäischen Union hat das Privacy Shield im Juli 2020 für ungültig erklärt, und das Nachfolgeabkommen EU-US Data Privacy Framework (angenommen Juli 2023) steht unter rechtlicher Prüfung. Organisationen, die personenbezogene Daten in die USA übermitteln, müssen Transfer Impact Assessments (TIAs) durchführen, die die Rechtsgrundlage für jede Übermittlung und die ergänzenden Maßnahmen dokumentieren.

EU Data Act. Seit September 2025 in Kraft, gibt der Data Act Nutzern das Recht, Cloud-Anbieter zu wechseln, und verbietet Anbietern, unangemessene Wechselkosten aufzuerlegen. Er verpflichtet Cloud-Dienste, Datenportabilität in maschinenlesbaren Formaten zu ermöglichen.

Digital Markets Act. Durch die Bestimmung von Gatekeepern (Alphabet, Amazon, Apple, Meta, Microsoft, ByteDance) und die Forderung nach Interoperabilität bekräftigt der DMA, dass Organisationen nicht ohne Alternativen in Ökosysteme eingesperrt sein sollten.

Reife der DSGVO-Durchsetzung. Datenschutzbehörden in ganz Europa sind von Beratung zu Durchsetzung übergegangen. Die irische DPC verhängte 2023 gegen Meta eine Geldbuße von 1,2 Milliarden Euro wegen systematischer Verstöße bei Datenübermittlungen. Kleinere Organisationen sind von diesen Anforderungen nicht befreit — sie unterliegen lediglich einer verhältnismäßigen Prüfung.

Drei Fragen, die jede Organisation beantworten sollte

Bevor Sie in Tools und Frameworks eintauchen, sollte jede Organisation drei grundlegende Souveränitätsfragen beantworten können:

1. Wo befinden sich unsere Daten tatsächlich?

Nicht wo Sie denken, dass sie liegen — wo sie tatsächlich liegen. Ihre E-Mail wird möglicherweise in der EU gehostet, aber der Spam-Filterdienst verarbeitet sie über US-basierte Infrastruktur. Ihr Cloud-Speicher hat möglicherweise eine EU-Region ausgewählt, aber die KI-Funktionen des Anbieters leiten Daten möglicherweise über globale Inferenz-Endpunkte. Ihr Backup-Dienst repliziert möglicherweise in ein Rechtsgebiet, das Sie nicht ausdrücklich gewählt haben.

Dokumentieren Sie für jeden Dienst: das primäre Verarbeitungsland, etwaige Unterauftragsverarbeiter in anderen Rechtsgebieten und ob Daten außerhalb des EWR übermittelt werden.

2. Wie abhängig sind wir von bestimmten Anbietern?

Die Vendor-Lock-in-Bewertung sollte mehrere Dimensionen abdecken:

  • Datenexportierbarkeit. Können Sie alle Ihre Daten in einem standardisierten, maschinenlesbaren Format exportieren? Wie lange würde das dauern? Was kostet es?
  • Funktionsabhängigkeit. Wenn dieser Anbieter morgen verschwinden würde, gibt es Alternativen, die ihn innerhalb eines angemessenen Zeitrahmens ersetzen könnten?
  • Integrationstiefe. Wie viele andere Systeme hängen von den APIs, der Authentifizierung oder den Datenformaten dieses Anbieters ab?
  • Vertragliche Bindung. Welche Kündigungsfristen, Vorfälligkeitsentschädigungen und Datenaufbewahrungspflichten gelten nach Vertragsende?

3. Sind grenzüberschreitende Übermittlungen ordnungsgemäß abgesichert?

Für jede Datenübermittlung außerhalb des EWR müssen Sie dokumentieren:

  • Die Rechtsgrundlage (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules oder eine Ausnahme)
  • Ein Transfer Impact Assessment, das den Rechtsrahmen im Zielland bewertet
  • Etwaige ergänzende Maßnahmen (Verschlüsselung, Pseudonymisierung, vertragliche Zusicherungen)

EU-Angemessenheitsbeschlüsse — der einfache Weg

Die einfachste Rechtsgrundlage für internationale Übermittlungen ist ein Angemessenheitsbeschluss der Europäischen Kommission. Diese Beschlüsse anerkennen, dass ein Drittland ein im Wesentlichen gleichwertiges Datenschutzniveau bietet.

Anfang 2026 umfassen Angemessenheitsbeschlüsse: Andorra, Argentinien, Kanada (kommerzielle Organisationen unter PIPEDA), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, Vereinigtes Königreich, Uruguay und die Vereinigten Staaten (unter dem EU-US Data Privacy Framework, beschränkt auf zertifizierte Organisationen).

Wenn Ihr Dienstleister in einem dieser Länder ansässig ist und unter dem relevanten Rahmenwerk operiert, sind Übermittlungen ohne zusätzliche Garantien zulässig. Für alle anderen Länder sind Standardvertragsklauseln und ein TIA erforderlich.

Vendor Lock-in als Souveränitätsrisiko

Vendor Lock-in wird oft als kommerzielles Risiko diskutiert — Wechselkosten, Preiserhöhungen, ungünstige Vertragsverlängerungen. Aber es ist auch ein Souveränitäts- und Compliance-Risiko.

Wenn Sie Ihre Daten nicht von einem Anbieter exportieren können, können Sie die Rechte nach DSGVO Artikel 20 (Datenportabilität) im Auftrag Ihrer Betroffenen nicht ausüben. Wenn Ihr Anbieter von einem Unternehmen in einem Rechtsgebiet ohne Angemessenheitsbeschluss übernommen wird, kann Ihre Übermittlungsgrundlage über Nacht wegfallen. Wenn Ihr Anbieter seine Unterauftragsverarbeiter-Liste um Einrichtungen in problematischen Rechtsgebieten erweitert, müssen Sie möglicherweise unter Ihrer Auftragsverarbeitungsvereinbarung Widerspruch einlegen — und einen Ausstiegsplan bereithalten, falls der Widerspruch scheitert.

Der EU Data Act bekräftigt dies: Cloud-Dienstleister müssen Datenexport in gängigen Formaten, zu angemessenen Kosten und mit angemessenen Kündigungsfristen anbieten. Aber die Verpflichtung liegt bei Ihnen zu überprüfen, dass Ihre Anbieter tatsächlich einhalten — und den Exportprozess getestet zu haben, bevor Sie ihn unter Druck benötigen.

Praktische Schritte zur Souveränitätsbewertung

Schritt 1: Alle Dienste nach Land inventarisieren. Dokumentieren Sie für jeden Datendienst in Ihrer Organisation, wo die Daten hauptsächlich verarbeitet und gespeichert werden. Schließen Sie Unterauftragsverarbeiter und deren Rechtsgebiete ein.

Schritt 2: Anbieterabhängigkeiten bewerten. Bewerten Sie für jeden Dienst die Datenexportierbarkeit, die Verfügbarkeit von Alternativen, die Integrationstiefe und die vertraglichen Ausstiegsbedingungen. Bewerten Sie das Lock-in-Risiko.

Schritt 3: Übermittlungsgarantien dokumentieren. Erfassen Sie für jede grenzüberschreitende Übermittlung die Rechtsgrundlage, führen Sie das Transfer Impact Assessment durch oder aktualisieren Sie es, und notieren Sie etwaige ergänzende Maßnahmen.

Schritt 4: Ausstiegsstrategien planen. Dokumentieren Sie für kritische Dienste einen Migrationsplan. In welchem Format können Daten exportiert werden? Wie lange würde die Migration dauern? Was kostet sie? Testen Sie den Exportprozess mindestens jährlich.

Schritt 5: Regelmäßig überprüfen. Angemessenheitsbeschlüsse können angefochten werden. Unterauftragsverarbeiter-Listen von Anbietern ändern sich. Neue Vorschriften treten in Kraft. Machen Sie die Souveränitätsbewertung zum Teil Ihrer jährlichen Datenschutzüberprüfung.

Wie Readmodel® hilft

Readmodel® bietet die Werkzeuge, um jeden dieser Schritte systematisch durchzuführen:

  • Länderverfolgung — jeder Datendienst zeichnet sein Verarbeitungsland auf, sodass alle Nicht-EWR-Verarbeitungen auf einen Blick erkennbar sind.
  • Vendor-Lock-in-Bewertung — das Resilienz-Modul bewertet Datenexportierbarkeit, Anbieterabhängigkeit und Ausstiegsbereitschaft für jeden Dienst.
  • Transfer Impact Assessment Dokumentation — für jede Datenübermittlung können Sie den Übermittlungstyp, den rechtlichen Mechanismus (SCCs, Angemessenheit, BCRs) und ergänzende Maßnahmen dokumentieren.
  • Souveränitätsübersicht — das Dashboard zeigt die geografische Verteilung Ihrer Dienste und hebt Konzentrationsrisiken hervor.
  • ROPA-Integration — alle Übermittlungsdokumentationen fließen direkt in Ihr Verzeichnis von Verarbeitungstätigkeiten ein, bereit für Anfragen der Aufsichtsbehörde.

Datensouveränität ist kein einmaliges Projekt. Es ist eine fortlaufende operative Disziplin — verstehen, wo Ihre Daten sind, wer sie kontrolliert und was passiert, wenn sich die Umstände ändern. Die Organisationen, die es als solche behandeln, werden Compliance als weniger belastend und ihre digitale Infrastruktur als widerstandsfähiger erleben.