Skip to main contentSkip to footer
Nehmen Sie Kontakt mit unseren Experten auf
Datenschutz

Rechtliche und regulatorische Souveränität: Warum Kontrolle vom Gesetz definiert ist (Teil 7)

01.04.2026 von Sebastian Ohlig

In den vorangegangenen Teilen dieser Reihe haben wir uns mit IT-Souveränität in den Bereichen Infrastruktur, Cloud, künstliche Intelligenz, Cybersicherheit und Netzwerke befasst. Jede Ebene verdeutlichte dieselbe grundlegende Herausforderung: Wie können Unternehmen von globalen digitalen Ökosystemen profitieren und gleichzeitig die Kontrolle über ihre wichtigsten Vermögenswerte behalten?

Souveränität ist jedoch nicht nur eine technische, sondern auch eine rechtliche Frage.

Egal wie robust eine Architektur auch sein mag, die Kontrolle kann letztendlich durch die Gesetze geprägt oder außer Kraft gesetzt werden, die für Ihre Daten, Anbieter und Abläufe gelten. Das wirft eine grundlegende Frage auf: Welche Gesetze regeln Ihre Daten, und was passiert, wenn sie miteinander in Konflikt stehen?

Was rechtliche Souveränität bedeutet

Rechtliche und regulatorische Souveränität bezieht sich auf die Fähigkeit einer Organisation, sicherzustellen, dass ihre Daten und digitalen Abläufe weiterhin den von ihr gewählten Rechtsordnungen unterliegen und nicht solchen, die indirekt durch Anbieter oder grenzüberschreitende Abhängigkeiten auferlegt werden.

In der Praxis ist dies selten unkompliziert.

Daten können in einem Land gespeichert, in einem anderen verarbeitet und von einem Anbieter mit Sitz an einem weiteren Ort verwaltet werden. Jede dieser Ebenen birgt potenzielle rechtliche Risiken, oft ohne vollständige Transparenz.

Infolgedessen geht es bei der Souveränität nicht mehr nur darum, wo sich die Daten befinden, sondern auch um folgende Fragen:

  • Welche Behörden können Zugriff beantragen?
  • Welche rechtlichen Rahmenbedingungen gelten für die Verarbeitung und den Transfer?
  • Können widersprüchliche Verpflichtungen miteinander in Einklang gebracht werden?

    Die Risiken sich überschneidender Rechtsrahmen

Für internationale Unternehmen besteht die Herausforderung nicht in einer einzelnen Vorschrift, sondern im Zusammenspiel mehrerer Rechtsrahmen.

Widersprüchliche Gesetze zum Datenzugriff

Verschiedene Rechtsordnungen können konkurrierende Verpflichtungen auferlegen. Ein Gesetz kann den Zugriff auf Daten vorschreiben, während ein anderes deren Übermittlung oder Offenlegung einschränkt.

So stellt beispielsweise der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) klar, dass US-Behörden die Offenlegung von Daten von Anbietern, die der US-Gerichtsbarkeit unterliegen, erzwingen können, einschließlich Daten, die im Ausland gespeichert sind. Gleichzeitig können europäische Vorschriften solche Übermittlungen einschränken.

Strengere Datenschutzanforderungen

Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten und deren Übermittlung außerhalb der Europäischen Union, einschließlich der Notwendigkeit von Angemessenheitsbeschlüssen oder geeigneten Garantien.

Diese Verpflichtungen wurden durch das Schrems-II-Urteil bekräftigt, das das EU-US-Privacy-Shield für ungültig erklärte und Organisationen verpflichtet, zu prüfen, ob übermittelte Daten in der Praxis einen gleichwertigen Schutz genießen.

Ausweitung des regulatorischen Anwendungsbereichs

Neue Rahmenwerke wie die überarbeitete Richtlinie über Netz- und Informationssicherheit (NIS2) und der Digital Operational Resilience Act (DORA) im Finanzsektor erweitern den regulatorischen Fokus über den Datenschutz hinaus und umfassen nun auch die Sicherheit der Lieferkette, die operative Widerstandsfähigkeit und Risiken durch Dritte.

Zusammengenommen verdeutlichen diese Entwicklungen eine zentrale Tatsache: Rechtliche Risiken machen nicht an Grenzen Halt, sondern folgen den Daten, dem Anbieter und der Architektur.

Strategien zur Minderung rechtlicher Souveränitätsrisiken

Rechtliche Konflikte lassen sich nicht vollständig vermeiden, können jedoch durch eine Kombination aus architektonischen, vertraglichen und Governance-Maßnahmen bewältigt werden.

a) Datenstandort an rechtliche Anforderungen anpassen

Soweit möglich, sollten sensible Daten in Rechtsordnungen gespeichert und verarbeitet werden, die den regulatorischen Verpflichtungen entsprechen. Dies verringert das Risiko, mit widersprüchlichen rechtlichen Vorgaben konfrontiert zu werden.

In der Praxis bedeutet dies, dass nicht nur geprüft werden muss, wo die Daten physisch gespeichert sind, sondern auch, welche Rechtsordnung für den Anbieter gilt. So können beispielsweise Daten, die in einem europäischen Rechenzentrum gehostet werden, dennoch ausländischen Gesetzen unterliegen, wenn der Anbieter seinen Hauptsitz an einem anderen Ort hat.

b) Verstärkung vertraglicher Schutzmaßnahmen

Verträge mit Anbietern sollten Folgendes enthalten:

  • Eindeutige Verpflichtungen zur Datenresidenz
  • Transparenz bei behördlichen Zugriffsanfragen
  • Verpflichtungen, Datenoffenlegungsanfragen anzufechten oder zu melden, sofern dies rechtlich möglich ist

c) Kontrolle der Verschlüsselung und des Schlüsselmanagements

Verschlüsselung ist eine der wirksamsten Schutzmaßnahmen. Durch die Beibehaltung der Kontrolle über Verschlüsselungsschlüssel können Unternehmen die praktischen Auswirkungen externer Datenzugriffsanfragen begrenzen.

d) Abhängigkeit von einer einzigen Rechtsordnung verringern

Strategien mit mehreren Anbietern und hybride Strategien tragen zur Verteilung des rechtlichen Risikos bei. Die Vermeidung der Abhängigkeit von einem einzigen Anbieter oder einer einzigen Rechtsordnung erhöht die Flexibilität bei der Reaktion auf regulatorische Änderungen.

e) Datenklassifizierung und Governance implementieren

Nicht alle Daten erfordern das gleiche Maß an Souveränität. Durch die Klassifizierung von Daten nach ihrer Sensibilität und den gesetzlichen Anforderungen können Unternehmen Kontrollmaßnahmen dort einsetzen, wo sie am dringendsten benötigt werden.

Wann rechtliche Souveränität entscheidend ist

Rechtliche Souveränität ist unerlässlich, wenn:

  • personenbezogene Daten strengen regulatorischen Anforderungen unterliegen
  • Geschäftstätigkeiten unter branchenspezifische Rahmenbedingungen fallen, wie beispielsweise Vorschriften für den Finanzsektor oder kritische Infrastrukturen
  • der Zugriff auf Daten durch ausländische Behörden rechtliche, operative oder Reputationsrisiken mit sich bringen könnte
  • grenzüberschreitende Datenströme für den Geschäftsbetrieb von zentraler Bedeutung sind

In diesen Szenarien ist Souveränität keine Option, sondern eine Voraussetzung für Compliance und Geschäftskontinuität.

Annehmbare rechtliche Abhängigkeiten

Gleichzeitig ist eine vollständige rechtliche Isolation weder praktikabel noch wünschenswert.

Globale Unternehmen werden weiterhin länderübergreifend tätig sein und auf internationale Anbieter zurückgreifen. Entscheidend ist dabei die Unterscheidung zwischen:

  • kritischen Abhängigkeiten, bei denen rechtliche Risiken streng kontrolliert werden müssen
  • akzeptablen Abhängigkeiten, bei denen Risiken durch Sicherheitsvorkehrungen gemindert werden können

Beispielsweise können Unternehmen Folgendes akzeptieren:

  • den Einsatz ausländischer Anbieter für nicht sensible Arbeitslasten
  • die grenzüberschreitende Verarbeitung verschlüsselter oder anonymisierter Daten
  • die Nutzung globaler Plattformen, sofern angemessene Kontrollen vorhanden sind

Bei der rechtlichen Souveränität geht es, ebenso wie bei der technischen Souveränität, letztlich um risikobasierte Entscheidungsfindung.

Die entscheidende Frage

Die Technologie bestimmt, was möglich ist.

Das Gesetz bestimmt jedoch, was erlaubt ist.

Wenn Ihre Anbieter Gesetzen unterliegen, auf die Sie keinen Einfluss haben, wie souverän ist dann Ihre IT?

Was kommt als Nächstes

Im letzten Teil dieser Reihe werden wir uns mit strategischen Entscheidungen und akzeptablen Abhängigkeiten befassen sowie untersuchen, wie Unternehmen in einer globalen Technologielandschaft ein Gleichgewicht zwischen Innovation, Kosten und Kontrolle herstellen können.

Folgen Sie uns auf LinkedIn