Aptli
Zurück zum Blog

Datensouveränität: Das neue geopolitische Schlachtfeld

Kontrolle über Daten ist untrennbar mit nationaler Sicherheit, wirtschaftlicher Wettbewerbsfähigkeit und demokratischer Resilienz verbunden.

data-sovereigntycomplianceinfrastructure

Datensouveränität: Das neue geopolitische Schlachtfeld

Kontrolle über Daten ist untrennbar mit nationaler Sicherheit, wirtschaftlicher Wettbewerbsfähigkeit und demokratischer Resilienz verbunden. Hier erfahren Sie, woher das Problem stammt, warum es jetzt wichtig ist und was Organisationen dagegen tun können.

Was ist Datensouveränität und woher kommt sie?

Datensouveränität ist das Prinzip, dass Daten den Gesetzen und der Rechtshoheit des Landes unterliegen, in dem sie erhoben, gespeichert oder kontrolliert werden. Im Kern stellt es zwei Fragen: Welche nationalen Gesetze gelten für die Daten, und welche Stellen können rechtlich Zugang dazu erzwingen?

Das Thema schwelt seit dem Aufkommen des Cloud-Computings, das den physischen Serverstandort für die Datenkontrolle irrelevant gemacht hat. Wenn eine kanadische Gemeinde Unterlagen auf einer Plattform eines US-amerikanischen Unternehmens speichert, sind diese Unterlagen potenziell durch den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) von 2018 für die US-Regierung erreichbar. Die Reichweite des CLOUD Act beschränkt sich nicht auf in den USA ansässige Unternehmen. Er kann sich auf jeden Anbieter erstrecken, der der US-amerikanischen Gerichtsbarkeit unterliegt – einschließlich ausländischer Unternehmen mit US-Niederlassungen, Büros oder Verträgen mit US-Kunden. In der Praxis fallen die meisten großen Cloud- und Softwareanbieter in diesen Bereich, was bedeutet, dass auf diesen Plattformen gespeicherte kanadische Daten einem realen Risiko ausgesetzt sind – unabhängig davon, wo sich die Server befinden.

Jahrelang wurde dies als eine rechtliche Nischenproblematik behandelt. Was sich geändert hat, ist das geopolitische Umfeld. Handelsspannungen zwischen den USA und China, Fragen zur Verlässlichkeit amerikanischer Technologiepartner und eine Welle hochkarätiger Datenpannen haben Regierungen dazu veranlasst, digitale Infrastruktur wie physische Infrastruktur zu behandeln: als etwas, das inländisch kontrolliert werden muss – oder gar nicht.

Europa hat als erstes und entschlossensten gehandelt. Die DSGVO der EU, die seit 2018 durchgesetzt wird, hat die Vorlage geschaffen. Seitdem hat die EU den Data Act, den Digital Operational Resilience Act (DORA) und eine Reihe weiterer Regelungen hinzugefügt. Bis 2026 hatte die EU formal eine Erklärung zur europäischen digitalen Souveränität verabschiedet und Dutzende Milliarden in inländische Cloud- und Halbleiterkapazitäten investiert. Die Rahmenbedingungen dort sind explizit geopolitisch geworden: Europa sieht sich gefangen zwischen einem marktgetriebenen amerikanischen digitalen Ökosystem und einem staatlich kontrollierten chinesischen – und ist zu dem Schluss gekommen, dass die Abhängigkeit von beiden ein strategisches Risiko darstellt.

Kanada folgt demselben Weg. Premierminister Mark Carney hat Datensouveränität im November 2025 zu einer erklärten politischen Priorität gemacht. Für 2026 wird ein neues föderales Datenschutzgesetz für den privaten Sektor erwartet. Quebecs Gesetz 25 setzt bereits auf Provinzebene DSGVO-vergleichbare Anforderungen durch, mit Strafen von bis zu 25 Millionen Dollar oder 4 % des weltweiten Umsatzes. Das Muster ist klar und beschleunigt sich weltweit – Brasilien, Singapur und andere Länder schaffen vergleichbare Rahmenbedingungen.

Warum es jetzt wichtig ist

Die Lücke zwischen Datenspeicherort und Datensouveränität ist das zentrale praktische Problem. Eine Organisation kann ihre Systeme so konfigurieren, dass Daten in kanadischen Rechenzentren gespeichert werden, und trotzdem vollständig ausländischen Rechtsprozessen ausgesetzt sein, wenn der Softwareanbieter der US-amerikanischen Gerichtsbarkeit unterliegt. Im Juni 2025 räumte Microsoft France vor einem Ausschuss des französischen Senats ein, dass es nicht garantieren könne, dass in Frankreich gespeicherte Daten vor US-amerikanischen Gerichtsanfragen geschützt seien. Dieses Eingeständnis hat das Thema für europäische Entscheidungsträger verdeutlicht und kurz darauf dieselbe Debatte in Kanada ausgelöst.

Für Betreiber kritischer Infrastruktur – wie Versorgungsunternehmen, Kommunen und Telekommunikationsanbieter – sind die Einsätze besonders hoch. Feldasset-Daten, Netztopologien, Arbeitsauftragsprotokolle und Bestandsaufzeichnungen gelten nach den neuen Regulierungsrahmen zunehmend als sensible nationale Infrastruktur. Ein ausländischer Staat, der über die rechtlichen Verpflichtungen eines Cloud-Anbieters Zugang zu diesen Daten erhält, ist kein theoretisches Risiko. Es ist ein strukturelles Risiko, das in den meisten aktuellen Anbieterbeziehungen von Organisationen verankert ist.

Über die nationale Sicherheit hinaus gibt es unmittelbare Konsequenzen im Beschaffungswesen. Bundes- und Provinzausschreibungen in Kanada verlangen zunehmend eine dokumentierte Positionierung zur Datensouveränität. Organisationen, die im öffentlichen Sektor tätig sind, ohne Souveränitätsfragen schriftlich beantworten zu können, werden bereits in der Ausschreibungsphase disqualifiziert. Die Compliance-Anforderungen sind real und verlagern sich von Regierungen auf deren Technologielieferanten.

Ein mehrschichtiger Ansatz für Souveränitätskontrollen

Die Behandlung von Datensouveränität ist keine einzelne Konfigurationsentscheidung. Sie erfordert gleichzeitig Kontrollen auf jurisdiktioneller, architektonischer, vertraglicher, operativer und Governance-Ebene. Die folgenden Schichten repräsentieren den aktuellen Stand der Praxis.

Schicht 1: Jurisdiktionelle Architektur

Dies ist das Fundament. Verwenden Sie Cloud-Anbieter mit rechtlich isolierten inländischen Tochtergesellschaften – nicht nur inländische Rechenzentren. Implementieren Sie kundenverwaltete Verschlüsselungsschlüssel, damit der Anbieter keine lesbaren Daten ohne Ihre direkte Mitwirkung herausgeben kann. Kartieren Sie jeden Datenpfad, einschließlich Backups, Disaster-Recovery-Replikate und Support-Zugänge der Anbieter. Souveränitätsfehler treten am häufigsten über diese Nebenpfade auf, nicht über die primäre Speicherung.

Schicht 2: Prüf- und Nachweiskontrollen

Regulierer und Beschaffungsbeauftragte fordern dokumentierte Belege, keine Zusicherungen. Implementieren Sie eine kontinuierliche Protokollierung, wo Daten gespeichert sind und wer darauf zugegriffen hat. Automatisieren Sie Warnmeldungen, wenn Daten eine Jurisdiktionsgrenze überschreiten. Führen Sie Prüfprotokolle in einem unveränderlichen Format, damit der Nachweis nachträglich nicht verändert werden kann. Diese Kontrollen dienen sowohl der Compliance als auch der Wettbewerbspositionierung im öffentlichen Beschaffungswesen.

Schicht 3: Vertragliche und Anbieter-Governance

Jedes Drittanbieter-Tool in Ihrem Stack ist eine potenzielle Souveränitätslücke. Verlangen Sie Datenverarbeitungsverträge mit expliziten Jurisdiktionsklauseln. Untersagen Sie die Weitergabe von Daten an Unterauftragsverarbeiter ohne vorherige Zustimmung. Fordern Sie Transparenz in der Lieferkette, sodass Sie nicht nur Ihre Anbieter, sondern auch deren Anbieter kennen. Klassifizieren Sie Arbeitslasten nach ihrer Souveränitätsrelevanz und wenden Sie verhältnismäßige Kontrollen entsprechend der Sensibilität an.

Schicht 4: Datenschutz-Folgenabschätzungen und Transfer-Folgenabschätzungen

Dies ist die dokumentarische Nachweisschicht, die in immer mehr Jurisdiktionen verpflichtend wird. Quebec verlangt vor der Übermittlung personenbezogener Daten aus der Provinz eine Transfer Impact Assessment (TIA) mit detaillierten schriftlichen Vereinbarungen für alle Dienstleister, die diese Daten verarbeiten. Integrieren Sie PIA- und TIA-Vorlagen in Ihren Beschaffungs- und Anbieter-Onboarding-Prozess, damit diese systematisch und nicht reaktiv erfolgen.

Schicht 5: Verschlüsselung und souveränes Schlüsselmanagement

Verschlüsselung im Ruhezustand und während der Übertragung ist Grundvoraussetzung. Die eigentliche Kontrolle liegt darin, wer die Schlüssel hält. Wenn Ihre Organisation die Verschlüsselungsschlüssel hält, liefert eine ausländische Gerichtsverfügung gegen Ihren Cloud-Anbieter nichts Verwendbares. Dies bietet auch zukünftige Resilienz: Quantencomputing wird schließlich aktuelle Verschlüsselungsstandards herausfordern, und Organisationen mit ausgereiften Schlüsselverwaltungspraktiken werden besser für die Anpassung gerüstet sein.

Schicht 6: Operative Zugriffskontrollen

Ein Support-Ingenieur in einem ausländischen Land, der zu Fehlerbehebungszwecken auf Ihre Daten zugreift, kann eine CLOUD-Act-Exposition erzeugen, selbst wenn sich die Daten selbst nie bewegt haben. Schränken Sie den operativen und Support-Zugriff auf zugelassene Jurisdiktionen ein. Verwenden Sie zeitbegrenzte Berechtigungen für jeden erhöhten Zugriff. Protokollieren Sie alle Zugriffsereignisse mit ausreichend Detail, um nachvollziehen zu können, was passiert ist und warum. Diese Schicht wird häufig übersehen und ist eine häufige Quelle von Compliance-Lücken.

Schicht 7: Governance und Verantwortlichkeit auf Vorstandsebene

Souveränität ist eine fortlaufende Disziplin, keine einmalige Konfiguration. Benennen Sie einen Datenschutzbeauftragten – dieser ist unter Quebecs Gesetz 25 bereits Pflicht und wird voraussichtlich auch auf Bundesebene vorgeschrieben. Etablieren Sie eine Datenschutz-Governance-Funktion mit echter Autorität und einem regelmäßigen Prüfrhythmus. Stellen Sie sicher, dass auf Vorstandsebene ein Verständnis für Souveränitätsverpflichtungen vorhanden ist – nicht nur auf IT-Ebene. Organisationen, die dies in die Governance einbetten, anstatt es als IT-Projekt zu behandeln, sind diejenigen, die einer regulatorischen Prüfung standhalten.

Zusammenfassung

  • Datensouveränität bedeutet, dass Daten durch die Gesetze der Jurisdiktion geregelt werden, die sie kontrolliert – nicht nur durch den Ort, an dem sie physisch gespeichert sind.
  • Der CLOUD Act kann jeden Anbieter erreichen, der der US-amerikanischen Gerichtsbarkeit unterliegt, einschließlich ausländischer Unternehmen mit US-Aktivitäten oder -Verträgen. Die meisten großen Cloud-Anbieter fallen darunter.
  • Europa und Kanada beschleunigen 2026 beide ihre souveränen Datenrahmen, angetrieben durch geopolitischen Druck und Risiken kritischer Infrastruktur.
  • Quebecs Gesetz 25 setzt bereits auf Provinzebene souveränitätsgerechte Anforderungen durch; Bundesgesetzgebung wird erwartet.
  • Die Unterscheidung zwischen Speicherort und Souveränität ist das wichtigste zu verinnerlichende Konzept: Wo Daten gespeichert sind und wessen Gesetze sie regeln, sind zwei verschiedene Fragen.
  • Effektive Kontrollen erstrecken sich über sieben Schichten: jurisdiktionelle Architektur, Prüfprotokolle, Anbieterverträge, Datenschutz-Folgenabschätzungen, Verschlüsselung und Schlüsselmanagement, operative Zugriffsbeschränkungen und Governance auf Vorstandsebene.
  • Souveränitätsfehler entstehen am häufigsten über Nebenpfade wie Backups und Support-Zugriffe, nicht über primäre Speicherkonfigurationen.
  • Organisationen, die Souveränität als Wettbewerbsvorteil und nicht als Compliance-Last betrachten, verschaffen sich einen echten Vorteil bei der Beschaffung – insbesondere im öffentlichen Sektor.