Warum IT-Souveränität für globale Unternehmen eine strategische Notwendigkeit ist

Für viele internationale Unternehmen beginnt die Diskussion über IT-Souveränität oft in der Compliance-Abteilung. Souveränität hat jedoch ihre regulatorischen Ursprünge hinter sich gelassen und ist zu einer Frage des geschäftlichen Überlebens geworden. Wenn kritische Daten, Anwendungen und Systeme Gesetzen oder Behörden unterliegen, die außerhalb Ihrer Kontrolle liegen, steht die Widerstandsfähigkeit des gesamten Unternehmens auf dem Spiel.

Der erste Teil dieser Serie untersucht die verschiedenen Ebenen der IT-Souveränität und bietet praktische Leitlinien für global tätige Unternehmen. In den kommenden Beiträgen werden wir uns mit der physischen Infrastruktur und der Strategie für Rechenzentren, Cloud-Bereitstellungsmodellen, KI-Governance, Cybersicherheit, Netzwerkabhängigkeiten, regulatorischen Rahmenbedingungen und den strategischen Entscheidungen befassen, die Unternehmen hinsichtlich akzeptabler Abhängigkeiten vom Ausland treffen müssen.

Was IT-Souveränität wirklich bedeutet

Bei der IT-Souveränität geht es um mehr als nur die Einhaltung von Datenschutzbestimmungen. Es geht um die Gewissheit, dass digitale Vermögenswerte – seien es Daten, Infrastruktur oder Prozesse – unter den von Ihnen gewählten Rechtsordnungen und Schutzmaßnahmen stehen und nicht unter denen, die von außen auferlegt werden. Dazu gehört nicht nur zu wissen, wo Informationen gespeichert sind, sondern auch, wer die Infrastruktur betreibt, welche rechtlichen Rahmenbedingungen für Anbieter gelten und ob der Betrieb plötzlichen politischen oder rechtlichen Störungen standhalten kann.

Einfach ausgedrückt: Souveränität ist keine Isolation. Es ist die Freiheit zu entscheiden, inwieweit die Abhängigkeit von Dritten akzeptabel ist und wo die Kontrolle fest in Ihren eigenen Händen bleiben muss. In der EU wird dies als digitale Souveränität oder technologische Souveränität bezeichnet – Konzepte, die über die einfache Datenlokalisierung hinausgehen.

Die geopolitische Dimension

Global tätige Unternehmen sind in hohem Maße von US-amerikanischen Cloud-Anbietern, im Ausland hergestellter Hardware und multinationalen Telekommunikationsnetzen abhängig. Diese Vernetzung ermöglicht Effizienz, birgt jedoch auch Schwachstellen.

Nehmen wir als Beispiel den US-amerikanischen CLOUD Act. Dieser verpflichtet amerikanische Anbieter, gültigen gerichtlichen Anordnungen nachzukommen, selbst wenn die Daten im Ausland gespeichert sind. Zwar können Anbieter Anfragen, die im Widerspruch zu ausländischen Gesetzen stehen, anfechten, doch letztlich ist die Gerichtsbarkeit des Anbieters wichtiger als der physische Standort der Server.

Über den CLOUD Act hinaus müssen Unternehmen auch FISA §702 (im April 2024 erneut genehmigt und bis zum 20. April 2026 verlängert) und den britischen Investigatory Powers (Amendment) Act 2024 berücksichtigen. Letzterer erweitert die Bestimmungen des Gesetzes von 2016 und ermöglicht die extraterritoriale Anwendung von Technical Capability Notices.

Auf europäischer Seite ist seit dem 10. Juli 2023 das EU-US-Datenschutzrahmenwerk (DPF) in Kraft. Es erleichtert zwar die Datenübermittlung für zertifizierte US-Unternehmen, wird jedoch weiterhin rechtlich geprüft. Das Gericht der Europäischen Union hat das Rahmenwerk am 3. September 2025 bestätigt, aber Berufungen vor dem Gerichtshof der Europäischen Union sind weiterhin möglich. In allen anderen Fällen müssen Standardvertragsklauseln (2021/914) mit Transfer-Folgenabschätzungen und ergänzenden Maßnahmen kombiniert werden.

Die NIS2-Richtlinie der EU verändert auch die Anforderungen an die Cybersicherheit. Sie führt strenge Fristen für die Meldung von Vorfällen ein: eine Frühwarnung innerhalb von 24 Stunden, eine Benachrichtigung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Seit dem 17. Oktober 2024, dem Stichtag für die Umsetzung, haben die Mitgliedstaaten diese Vorschriften mit unterschiedlicher Geschwindigkeit und in unterschiedlichem Umfang umgesetzt, was die Einhaltung multinationaler Vorschriften zusätzlich erschwert. Artikel 21 hebt darüber hinaus das Risikomanagement in der Lieferkette und bei Dritten hervor.

Zusammen unterstreichen diese Entwicklungen eine einfache Wahrheit: Wenn Sie die rechtliche Kontrolle über Ihre digitalen Vermögenswerte nicht klar abbilden können, haben Sie möglicherweise überhaupt keine Kontrolle.

Was steht auf dem Spiel?

Ohne eine Souveränitätsstrategie sind Unternehmen konkreten Risiken ausgesetzt. Organisationen, die mit sensiblen Daten umgehen, drohen regulatorische Strafen. Die Betriebskontinuität kann gestört werden, wenn ein ausländischer Anbieter den Zugang aufgrund staatlicher Anordnungen oder Sanktionen einschränkt. Sicherheitsbedenken – wie Überwachung oder Hintertüren – lassen sich nur noch schwer mindern. Sobald kritische Workloads an Anbieter außerhalb Ihres Einflussbereichs gebunden sind, geht die strategische Flexibilität verloren.

Für Branchen wie Finanzen, Gesundheitswesen, Verteidigung und Regierung sind diese Risiken nicht abstrakt. Sie prägen bereits die Beschaffungsanforderungen, treiben Lokalisierungsinitiativen voran und beflügeln die Nachfrage nach souveränen Cloud-Lösungen.

Im Finanzwesen trat am 17. Januar 2025 die DORA in Kraft, die ICT-Drittanbieterregister, eine harmonisierte Meldung von Vorfällen in Übereinstimmung mit NIS2 und ein standardisiertes Risikomanagement für Drittanbieter in allen Finanzinstituten und bei kritischen ICT-Anbietern vorschreibt. Diese Maßnahmen erhöhen die Anforderungen an die Widerstandsfähigkeit kritischer Finanzdienstleistungen erheblich.

Die Balance finden

Eine souveräne IT-Strategie erfordert nicht den Verzicht auf ausländische Technologien. Kein Unternehmen kann realistischerweise alles lokal neu aufbauen. Die Herausforderung besteht darin, ein Gleichgewicht zu finden: Es muss ermittelt werden, welche Systeme und Datensätze maximalen Schutz erfordern und wo eine kalkulierte Abhängigkeit von Dritten akzeptabel bleibt.

Für die meisten Unternehmen ergibt sich daraus ein hybrider Ansatz. Souveräne Kontrolle wird dort angewendet, wo es am wichtigsten ist, während internationale Technologien und Partner dort eingesetzt werden, wo sie einen Mehrwert bieten, ohne die Widerstandsfähigkeit zu beeinträchtigen. In kritischen Infrastrukturen kann eine Isolierung gerechtfertigt sein. In anderen Branchen ist ein gemischtes Modell oft der richtige Kompromiss.

Bei der Souveränität geht es auch um Architektur und Kontrollen: Planung für Ausstieg/Portabilität (ISO/IEC 19941, SWIPO-Codes), Einführung von Bring-Your-Own-Key (BYOK) und Hold-Your-Own-Key (HYOK) mit EU-Schlüsselverwaltern sowie Einsatz von vertraulichem Computing zum Schutz der verwendeten Daten.

Ausblick

Die Vorschriften im IT-Bereich ändern sich rasant, und Unternehmen müssen drei wichtige Bereiche im Auge behalten:

KI-Gesetz: Das neue europäische Gesetz zur künstlichen Intelligenz wird schrittweise eingeführt. Seit Februar 2025 sind einige KI-Systeme verboten, und Unternehmen müssen ihren Mitarbeitern eine grundlegende KI-Schulung anbieten. Seit August 2025 müssen Hersteller von Allzweck-KI-Modellen detaillierter erklären, wie ihre Systeme funktionieren. Strengere Anforderungen für risikoreiche KI (z. B. im Gesundheitswesen oder im Finanzwesen) werden folgen.

Cybersicherheitszertifizierungen: Die EU verfügt nun über offizielle Sicherheitslabels. Ein System für IT-Produkte (EUCC) ist bereits in Kraft. Ein weiteres für Cloud-Dienste (EUCS) befindet sich noch in der Endphase. Einige Länder fügen eigene Vorschriften hinzu, beispielsweise Frankreich mit SecNumCloud.

Standards: Internationale Richtlinien werden zunehmend als Maßstäbe in Verträgen und Audits herangezogen. Zwei Beispiele: ISO/IEC 27018 (Schutz personenbezogener Daten in der Cloud) und ISO/IEC 42001 (verantwortungsvoller Umgang mit KI).

Kurz gesagt: Die KI-Vorschriften werden verschärft, die Sicherheitszertifizierungen ausgeweitet und internationale Standards werden zum Maßstab für Vertrauen und Compliance.

Die entscheidende Frage

Angesichts des zunehmenden regulatorischen Drucks und der wachsenden politischen Sensibilität der digitalen Infrastruktur stehen Unternehmen vor einer entscheidenden Frage: Wer kontrolliert unsere IT wirklich? Die Antwort darauf wird nicht nur die Compliance-Ergebnisse beeinflussen, sondern auch die langfristige Unabhängigkeit und Widerstandsfähigkeit des Unternehmens selbst.

Was kommt als Nächstes?

Bleiben Sie dran für den nächsten Teil der Serie, in dem wir uns eingehender mit den verschiedenen Ebenen der IT-Souveränität befassen.