Contents
- Was versteht man unter digitaler Souveränität der EU?
- Welche EU-Gesetze und -Richtlinien regeln den Datenschutz und die digitale Souveränität der EU?
- Was sind die praktischen Auswirkungen auf grenzüberschreitende Datenströme und die Rechtshoheit?
- Wie sollten sich Unternehmen an die Anforderungen der EU zur digitalen Souveränität anpassen?
- Welche technischen Kontrollmaßnahmen und welche digitale Infrastruktur unterstützen eine EU-konforme Datenkontrolle?
- Wie können Unternehmen Cloud-Dienstleister hinsichtlich der Einhaltung der digitalen Souveränität der EU bewerten?
- Wie können Unternehmen die digitale Souveränität der EU mit sicheren Backup- und Data-Governance-Lösungen wie Bacula Systems unterstützen?
- Wo passen Datenschutz, Backup und Wiederherstellung in all dies hinein?
- Welche Risiken und Trends bei der Durchsetzung sollten Sie im Auge behalten?
- FAQ
Was versteht man unter digitaler Souveränität der EU?
Digitale Souveränität im Kontext der Europäischen Union bezieht sich auf die Fähigkeit Europas, seine eigenen Daten, Technologien und digitalen Infrastrukturen zu verwalten, ohne auf ausländische Mächte oder Plattformen Dritter angewiesen zu sein. Das Konzept, das als politisches Ziel begann, ist heute eine vollwertige regulatorische Realität, die die Art und Weise prägt, wie in der EU tätige Unternehmen ihre Datenverwaltung, Cloud-Dienste und Technologiepartnerschaften gestalten müssen.
Wie wird „digitale Souveränität“ im digitalen Umfeld der EU definiert?
Digitale Souveränität der EU ist die Fähigkeit europäischer Institutionen, Mitgliedstaaten und Organisationen, autonome Kontrolle über digitale Systeme, Datenströme und die zugrunde liegenden digitalen Technologien auszuüben. Dieser Begriff umfasst ein breites Spektrum an Anliegen – wo Daten gespeichert werden, wer darauf zugreifen kann, welche rechtlichen Rahmenbedingungen ihre Nutzung regeln, inwieweit europäische Volkswirtschaften von ausländischen Technologieanbietern abhängig sind und vieles mehr.
Diese Definition ist zudem nicht an eine einzige spezifische Verordnung gebunden. Digitale Souveränität ist zu einem wichtigen Thema geworden, das als übergreifendes Konzept fungiert und einen wachsenden Teil der EU-Gesetzgebung leitet – zu der bereits die DSGVO, der Data Governance Act und der EU-Datenschutzgesetz gehören. Diese drei Beispiele befassen sich mit ihren eigenen Dimensionen der digitalen Kontrolle und Datenautonomie.
Wie wirkt sich die digitale Souveränität der EU auf den digitalen Raum der Europäischen Union aus?
Am 3. Juni 2026 veröffentlichte die EU ihr „European Technological Sovereignty Package“, das eine Neuausrichtung des europäischen Ansatzes in Bezug auf seine Technologie-Ökosysteme skizziert. Eine Möglichkeit, digitale Souveränität zu betrachten, besteht darin, sie als eine Reihe von Leitlinien (oder sogar Regeln) zu sehen, die die Rahmenbedingungen für die Funktionsweise von Unternehmen im gesamten europäischen digitalen Raum verändern – und damit Einfluss darauf nehmen, wie Daten erhoben, verarbeitet, gespeichert und übertragen werden können.
Organisationen, die personenbezogene Daten verarbeiten und/oder als kritisch eingestufte Dienste anbieten, unterliegen souveränitätsorientierten Initiativen innerhalb der EU, darunter:
- Überlegungen zur Datenlokalisierung
- Beschränkungen für Datenübermittlungen in Drittländer
- Transparenzvorschriften im Zusammenhang mit der Datenverarbeitung
Diese Faktoren werden nahezu alle Organisationen betreffen – sowohl private als auch öffentliche. Die digitale Souveränität in der EU beeinflusst Beschaffungsentscheidungen auf institutioneller Ebene ebenso wie den Aufbau einer europäischen Cloud-Infrastruktur und den Wettbewerb zwischen Technologieunternehmen aus der EU und aus Drittländern, die IT-Lösungen auf demselben Markt anbieten.
Warum räumen die Europäische Kommission und die Mitgliedstaaten der digitalen Souveränität der EU Priorität ein?
Die Europäische Kommission und die Mitgliedstaaten haben die strategische Abhängigkeit von Technologieinfrastrukturen aus Drittländern als wirtschaftliches und sicherheitspolitisches Risiko identifiziert. Es gibt verschiedene Faktoren, die dazu beigetragen haben, dass die digitale Souveränität zu einer politischen Priorität wurde:
- Geopolitisches Risiko – Eine übermäßige Abhängigkeit von US-amerikanischen und chinesischen Technologieplattformen kann zu einer Gefährdung durch ausländische Gesetzgebung führen, wie beispielsweise den US-amerikanischen CLOUD Act, der die Offenlegung von Daten erzwingen kann, unabhängig davon, wo diese physisch gespeichert sind
- Lücken im Datenschutz – Aufsehenerregende Ungültigkeitserklärungen von Datenübermittlungsvereinbarungen, darunter das Schrems-II-Urteil, haben die Grenzen früherer Angemessenheitsregelungen aufgezeigt und eine erneute dringende Notwendigkeit für gesetzgeberische Maßnahmen ausgelöst
- Wirtschaftliche Wettbewerbsfähigkeit – Die EU strebt den Aufbau einer souveränen digitalen Wirtschaft an, in der europäische Unternehmen bei kritischen digitalen Diensten nicht strukturell von ausländischen Plattformen abhängig sind
- Resilienz kritischer Infrastrukturen – Die Mitgliedstaaten haben erkannt, dass digitale Infrastruktur – einschließlich Cloud-, Kommunikations- und Datensystemen – eine kritische Infrastruktur darstellt, die eine innerstaatliche Kontrolle rechtfertigt
Die COVID-19-Pandemie hat zudem deutlich gemacht, wie abhängig europäische Institutionen in einer Phase akuter operativer Belastung von ausländisch kontrollierten digitalen Systemen waren.
In welchem Zusammenhang steht die digitale Souveränität der EU mit Cybersicherheit, kritischer Infrastruktur und der digitalen Wirtschaft?
Die digitale Souveränität der EU ist kein isoliertes Phänomen. Tatsächlich steht sie in direktem Zusammenhang mit der Cybersicherheitspolitik, dem Schutz kritischer Infrastrukturen und den allgemeinen Rahmenbedingungen der digitalen Wirtschaft. Die folgende Tabelle veranschaulicht diese Zusammenhänge:
| Domäne | Bezug zur digitalen Souveränität der EU |
| Cybersicherheit | Der EU-Cybersicherheitsgesetz und die NIS2-Richtlinie legen grundlegende Sicherheitsanforderungen für Betreiber kritischer Systeme fest, die durch Souveränitätsrahmenwerke gestärkt werden, indem die Abhängigkeit von Nicht-EU-Ländern, die möglicherweise keine gleichwertigen Standards erfüllen, begrenzt wird |
| Kritische Infrastruktur | Die Souveränitätspolitik stuft bestimmte digitale Systeme – darunter Cloud-, Energie-, Finanz- und Gesundheitsdatenplattformen – als kritisch ein, wodurch sie strengeren Anforderungen hinsichtlich Datenstandort und operativer Kontrolle unterliegen |
| Digitale Wirtschaft | Der Digital Markets Act und der Data Act zielen darauf ab, die Marktbeherrschung durch große Nicht-EU-Plattformen zu verringern und Bedingungen zu schaffen, unter denen europäische Unternehmen in einer wettbewerbsfähigeren und intern regulierten digitalen Wirtschaft agieren können |
Alle drei der oben genannten Bereiche beeinflussen die Anforderungen an die digitale Souveränität und werden gleichzeitig von diesen beeinflusst, weshalb es für Unternehmen unrealistisch geworden ist, sie als getrennte Compliance-Bereiche zu behandeln.
Welche EU-Gesetze und -Richtlinien regeln den Datenschutz und die digitale Souveränität der EU?
Die digitale Souveränität der EU wird nicht durch eine einzige Verordnung geregelt, sondern durch ein miteinander verflochtenes Regelwerk, das festlegt, wie Daten innerhalb der Europäischen Union genau kontrolliert, weitergegeben und geschützt werden sollen. Auf diesen Vorschriften und ihren Zusammenhängen sollte eine Compliance-Strategie für Unternehmen aufbauen.
Wie wirkt sich die Datenschutz-Grundverordnung (DSGVO) auf die Datenkontrolle und -übermittlung in Unternehmen aus?
Das zentrale Gesetz der EU zur Kontrolle personenbezogener Daten ist die Datenschutz-Grundverordnung (DSGVO). Sie legt durchsetzbare Rechte für Einzelpersonen fest, um ihnen die Kontrolle über ihre personenbezogenen Daten zu ermöglichen, und erlegt Organisationen, die Daten erheben, verarbeiten oder speichern, verbindliche Verpflichtungen auf, unabhängig davon, wo auf der Welt die Organisation tatsächlich ansässig ist. Wenn eine Organisation personenbezogene Daten von Personen in der EU verarbeitet, unterliegt sie sofort der DSGVO, unabhängig vom Standort der Organisation selbst.
Die DSGVO stellt strenge Anforderungen an grenzüberschreitende Datenübermittlungen und geht damit auf eines der zentralen Anliegen der digitalen Souveränität der EU ein. Für Organisationen, die personenbezogene Daten in ein anderes Land außerhalb des Europäischen Wirtschaftsraums übermitteln, kann einer der folgenden gesetzlich anerkannten Übermittlungsmechanismen genutzt werden:
- Angemessenheitsbeschlüsse – Eine Feststellung der Europäischen Kommission, dass ein Drittland einen gleichwertigen Datenschutz bietet, was einen freien Datenfluss ohne zusätzliche Schutzmaßnahmen ermöglicht
- Standardvertragsklauseln (SCCs) – Vorab genehmigte Vertragsbedingungen, die beide Parteien an einen der DSGVO gleichwertigen Schutz binden, unabhängig vom innerstaatlichen Recht des Ziellandes
- Verbindliche Unternehmensregeln (BCRs) – Interne Rahmenwerke, die es multinationalen Organisationen ermöglichen, Daten unter einer einzigen genehmigten Richtlinie zwischen ihren eigenen Niederlassungen in Drittländern zu übermitteln
Wie prägen der Digital Services Act (DSA) und der Digital Markets Act (DMA) das digitale Ökosystem der EU?
Die Kombination aus DSA und DMA etabliert die EU als Normgeber im digitalen Umfeld, wenn es um Regulierungsfragen geht. Auf diese Weise entsteht ein System, in dem Nicht-EU-Plattformen sich an europäische Normen halten müssen und nicht umgekehrt. Jedes dieser Gesetze zielt auf ein spezifisches Problem im digitalen Ökosystem der EU ab:
| Gesetz über digitale Dienste (DSA) | Gesetz über digitale Märkte (DMA) | |
| Geltungsbereich | Haftungs- und Transparenzpflichten für Online-Plattformen und Suchmaschinen | Verhaltenspflichten für große Technologie-Gatekeeper |
| Primäres Ziel | Sehr große Online-Plattformen, die in der EU tätig sind, unabhängig von ihrer Herkunft | Als Gatekeeper benannte Plattformen, überwiegend Nicht-EU-Unternehmen |
| Relevanz für die Souveränität | Unterwirft ausländische Plattformen als Voraussetzung für den Marktzugang durchsetzbaren EU-Standards | Behebt direkt die strukturelle Abhängigkeit von Nicht-EU-Plattformen, indem Interoperabilität vorgeschrieben und die Bevorzugung eigener Dienste eingeschränkt wird |
Wie regeln der EU-Datenschutzgesetz und der Data Governance Act die Datennutzung in der EU?
Sowohl der EU-Datenschutzgesetz als auch der Data Governance Act tragen gemeinsam dazu bei, eine europäische Datenwirtschaft zu schaffen, die unter der Rechtshoheit der EU steht. Der DGA schafft die Vertrauensinfrastruktur, während der EU-Datenschutzgesetz die Zugriffsrechte erweitert:
| Datengouvernanzgesetz | Datengesetz | |
| Schwerpunkt | Rahmenwerk für vertrauenswürdige Datenvermittler und die Wiederverwendung öffentlicher Daten | Zugangs- und Nutzungsrechte für Daten, die von vernetzten Geräten und Diensten generiert werden |
| Zentraler Mechanismus | Datenaltruismus-Organisationen und Vermittlungsdienste, die auf der Grundlage von Einwilligungsbedingungen operieren | Zugangsrechte für Nutzer und Unternehmen zu produktgenerierten Daten, die derzeit von Herstellern und Plattformen kontrolliert werden |
| Relevanz für die Souveränität | Schafft institutionelle Infrastruktur für den europäischen Datenaustausch unter EU-Aufsicht | Stellt die Kontrolle von Nicht-EU-Plattformen über Industrie- und IoT-Daten in Frage, was insbesondere im Fertigungs- und Betriebskontext von Bedeutung ist |
Wie wirken sich europäische Cloud- und EU-Dateninitiativen auf die Anforderungen an die Datenverwaltung aus?
GAIA-X ist eine der wichtigsten europäischen Initiativen zum Aufbau einer föderierten, interoperablen Cloud-Infrastruktur, die der EU und ihren Standards unterliegt. Anstatt zu versuchen, einen einzigen europäischen Cloud-Anbieter zu schaffen, legt GAIA-X die Regeln fest, die teilnehmende Cloud-Anbieter erfüllen müssen (in Bezug auf Datenportabilität, Transparenz und Souveränität).
Das EU-Zertifizierungssystem für Cybersicherheit bei Cloud-Diensten (EUCS) arbeitet eng mit GAIA-X zusammen, indem es einen formellen Zertifizierungsrahmen schafft, mit dem Cloud-Anbieter die Einhaltung der Sicherheits- und Souveränitätsstandards der EU nachweisen können – und damit ein konkretes Beschaffungskriterium für Unternehmen schafft, die derzeit Cloud-Dienste evaluieren und auf dem Gebiet der EU tätig sind.
Die Initiative European Data Spaces erweitert eine ähnliche Logik auf bestimmte Sektoren und schafft domänenspezifische Datenökosysteme, in denen Daten unter denselben EU-Governance-Regeln organisationsübergreifend ausgetauscht werden können.
Diese Initiative hat direkten Einfluss auf die Anforderungen an die Daten-Governance, indem sie die technischen und rechtlichen Standards definiert, die der sektorspezifische Datenaustausch erfüllen muss, und damit die Art und Weise prägt, wie Unternehmen ihre Dateninfrastrukturen gestalten und ihre Technologiepartner auswählen.
Was sind die praktischen Auswirkungen auf grenzüberschreitende Datenströme und die Rechtshoheit?
Auch wenn die legislative Perspektive der digitalen Souveränität der EU von wesentlicher Bedeutung ist, reicht sie in ihrer jetzigen Form nicht aus – da viele Unternehmen weitaus mehr daran interessiert sein werden, zu erfahren, was diese Rahmenwerke in der täglichen operativen und rechtlichen Praxis erfordern. Die praktischen Auswirkungen solcher Rahmenwerke konzentrieren sich in der Regel auf drei Bereiche: Datenübermittlungen, Rechtsrisiken und Compliance-Management.
Wie verändern sich Datenübermittlungsmechanismen wie Angemessenheitsbeschlüsse und Standardvertragsklauseln?
Die Rechtslage im Bereich grenzüberschreitender Datenübermittlungen hat sich dramatisch verändert, nachdem der Gerichtshof der Europäischen Union im Jahr 2020 das Privacy-Shield-Rahmenwerk für ungültig erklärt hatte. Das im Jahr 2023 verabschiedete EU-US-Datenschutzrahmenwerk (DPF) führte die Angemessenheitsübermittlungen für in den USA ansässige Organisationen wieder ein, sofern diese sich im Rahmen des Rahmenwerks selbst zertifizieren – auch wenn dessen langfristige Stabilität weiterhin rechtlich angefochten werden kann.
Das Vereinigte Königreich erhielt nach dem Brexit eine eigene Angemessenheitsentscheidung der EU, die einen fortgesetzten Datenfluss zwischen der EU und dem Vereinigten Königreich im Rahmen des bestehenden Rahmens ermöglicht (obwohl auch diese Entscheidung einer Überprüfung unterliegt). Die Klauseln wurden zudem im Jahr 2021 aktualisiert, um den Anforderungen nach dem Urteil „Schrems II“ Rechnung zu tragen, einschließlich obligatorischer Folgenabschätzungen bei der Datenübermittlung, wenn Standardvertragsklauseln verwendet werden.
Der aktuelle Stand der primären Übermittlungsmechanismen stellt sich wie folgt dar:
| Mechanismus | Aktueller Stand | Wichtige Überlegungen |
| Angemessenheitsentscheidungen | Gültig für ausgewählte Länder, darunter die USA (DPF), das Vereinigte Königreich und die Schweiz | Unterliegt regelmäßiger Überprüfung und rechtlichen Anfechtungen; DPF steht unter fortlaufender Kontrolle |
| Standardvertragsklauseln (SCCs) | Aktualisierte Versionen von 2021 erforderlich; ältere Versionen nicht mehr gültig | Bei risikoreichen Datenübermittlungen sind nun neben den SCCs auch Folgenabschätzungen erforderlich |
| Verbindliche Unternehmensregeln (BCRs) | Gültig, jedoch ressourcenintensiv in Bezug auf Erlangung und Aufrechterhaltung | Am besten geeignet für große multinationale Unternehmen mit etablierter rechtlicher Infrastruktur |
| Ausnahmeregelungen | Verfügbar unter bestimmten Umständen gemäß DSGVO Artikel 49 | Nicht geeignet als primärer Übermittlungsmechanismus für laufende, systematische Übermittlungen |
Welchen Risiken sind Unternehmen ausgesetzt, wenn sie auf Cloud-Dienstleister außerhalb der EU zurückgreifen?
Die Nutzung von Cloud-Anbietern außerhalb der EU birgt eine Reihe sich verstärkender rechtlicher und betrieblicher Risiken, auf deren Bewältigung die Rahmenwerke zur digitalen Souveränität der EU speziell ausgerichtet sind:
- Risiken im Zusammenhang mit dem CLOUD Act – Anbieter mit Hauptsitz in den USA unterliegen dem US-amerikanischen CLOUD Act, der die Offenlegung von Daten erzwingen kann, die an beliebigen Orten weltweit gespeichert sind, einschließlich in Rechenzentren innerhalb der EU, ohne dass dies die in der DSGVO vorgesehenen Benachrichtigungsverfahren auslöst
- Zuständigkeitskonflikte – Bei Anbietern außerhalb der EU gespeicherte Daten können ausländischen Überwachungsgesetzen oder behördlichen Auskunftsersuchen unterliegen, die in direktem Widerspruch zu den Verpflichtungen der DSGVO stehen
- Instabilität der Angemessenheitsentscheidungen – Datenübermittlungen, die auf Angemessenheitsentscheidungen beruhen, sind anfällig für eine Ungültigkeitserklärung, wie die aufeinanderfolgenden Scheitern von Safe Harbor und Privacy Shield gezeigt haben
- Anbieterabhängigkeit – Proprietäre Cloud-Architekturen außerhalb der EU können die Datenportabilität erschweren, was die Möglichkeiten eines Unternehmens einschränkt, auf EU-konforme Alternativen umzusteigen
- Lücken bei Audit und Transparenz – Anbieter außerhalb der EU bieten möglicherweise nicht das Maß an Audit-Zugriff, Verarbeitungstransparenz oder vertraglicher Kontrolle, das EU-Aufsichtsbehörden von Unternehmen im Hinblick auf ihre Datenverarbeiter erwarten
Wie können Unternehmen Herausforderungen in Bezug auf Datenstandort, Transparenz und internationale Compliance bewältigen?
Herausforderungen in Bezug auf Datenstandort, Transparenz und internationale Compliance erfordern jeweils einen eigenen Managementansatz, auch wenn sie alle auf strenge vertragliche Kontrollen und eine genaue Datenzuordnung angewiesen sind:
| Herausforderung | Managementansatz |
| Datenaufbewahrungsort | Ermitteln Sie, welche Datenkategorien Speicherortanforderungen unterliegen, konfigurieren Sie den Cloud-Speicher so, dass geografische Grenzen eingehalten werden, und stellen Sie sicher, dass die Vertragsbedingungen mit Anbietern unbefugte grenzüberschreitende Übermittlungen untersagen |
| Transparenz | Führen Sie gemäß den Anforderungen der DSGVO Artikel 30 aktuelle Aufzeichnungen über Verarbeitungsvorgänge (RoPA), stellen Sie sicher, dass Datenverarbeitungsvereinbarungen mit Anbietern die Verarbeitungszwecke und -orte festlegen, und implementieren Sie Protokollierungsmaßnahmen, die behördliche Abfragen unterstützen |
| Internationale Compliance | Führen Sie vor der Einleitung grenzüberschreitender Datenflüsse Folgenabschätzungen für die Datenübermittlung durch, wählen Sie für jede Übermittlung dem Risikograd angemessene Übermittlungsmechanismen aus und überwachen Sie fortlaufend den Status der Angemessenheitsentscheidungen für alle relevanten Drittländer |
Wie sollten sich Unternehmen an die Anforderungen der EU zur digitalen Souveränität anpassen?
Strukturierte interne Prozesse, klare Governance-Rahmenbedingungen und definierte organisatorische Rollen sind unerlässlich, um die Anforderungen der EU zur digitalen Souveränität in der Praxis umzusetzen – das bloße Wissen um die Vorschriften reicht nicht aus, um die Compliance zu gewährleisten. In diesem Abschnitt geht es in erster Linie darum, zu untersuchen, wie eine operative Anpassung in den Bereichen Datenmanagement, Richtlinien und Teamstruktur aussehen sollte.
Welche Schritte sollten unternommen werden, um personenbezogene Daten effektiv zu erfassen, zu klassifizieren und zu schützen?
Zu wissen, welche Daten eine Organisation besitzt, wo sie sich befinden und welche Verantwortlichkeiten damit verbunden sind, sind allesamt notwendige Informationen für eine effiziente Daten-Governance. Ohne diese Grundlage lassen sich weder Compliance noch eine auf Souveränität ausgerichtete Architektur erreichen.
Die Kernschritte für diesen gesamten Prozess werden im Folgenden in einer sequenziellen Reihenfolge dargestellt:
- Führen Sie eine Dateninventur durch – Identifizieren Sie alle personenbezogenen und sensiblen Datenbestände über Systeme, Anwendungen und externe Verarbeiter hinweg, einschließlich der Daten, die von Cloud-Anbietern im Auftrag der Organisation gespeichert werden
- Klassifizieren Sie Daten nach Sensibilität und regulatorischer Kategorie – Unterscheiden Sie zwischen allgemeinen personenbezogenen Daten, Daten besonderer Kategorien gemäß Artikel 9 der DSGVO und betriebskritischen Daten, die möglicherweise sektorspezifischen Residenzanforderungen unterliegen
- Erfassen Sie Datenflüsse – Dokumentieren Sie, wie Daten innerhalb interner Systeme, über Grenzen hinweg sowie zwischen der Organisation und ihren Lieferanten oder Auftragsverarbeitern übertragen werden
- Identifizieren Sie Lücken im Hinblick auf regulatorische Anforderungen – Vergleichen Sie die Datenkarte mit den geltenden Verpflichtungen, einschließlich der Übermittlungsvorschriften der DSGVO, branchenspezifischer Auflagen und vertraglicher Verpflichtungen gegenüber Kunden
- Führen Sie Datenschutz-Folgenabschätzungen (DPIAs) durch – Für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für betroffene Personen darstellen, verlangt die DSGVO eine formelle Datenschutz-Folgenabschätzung vor Beginn der Verarbeitung; die Datenkarte bildet die Grundlage dafür, festzustellen, welche Aktivitäten diese Schwelle erreichen
- Technische und organisatorische Schutzmaßnahmen implementieren – Wenden Sie für jede Datenkategorie geeignete Kontrollen an, einschließlich Verschlüsselung, Zugriffsbeschränkungen, Aufbewahrungsfristen und gegebenenfalls Pseudonymisierung
- Kontinuierlich pflegen und aktualisieren – Datenbestände veralten schnell; es sollten Prozesse vorhanden sein, um neue Datenquellen, Systemänderungen und sich weiterentwickelnde regulatorische Anforderungen fortlaufend zu erfassen
Diese Grundlage unterstützt direkt jede nachgelagerte Compliance-Aktivität – von der Durchführung von Folgenabschätzungen bei Datenübermittlungen bis hin zur Reaktion auf behördliche Prüfungen.
Wie können Organisationen interne Richtlinien gemäß den regulatorischen Erwartungen der EU regeln?
Interne Richtlinien stellen die praktische Auslegung regulatorischer Verpflichtungen dar und legen fest, wie Mitarbeiter, Systeme und Dritte in der Praxis mit Daten umgehen sollen. Die regulatorischen Erwartungen der EU beschränken sich nicht nur darauf, dass Richtlinien schriftlich vorliegen – diese Richtlinien müssen durchgesetzt, regelmäßig überprüft und nachweislich an die aktuellen rechtlichen Verpflichtungen angepasst werden.
Zu den Richtlinienbereichen, die am unmittelbarsten von den Anforderungen der EU an die digitale Souveränität betroffen sind, gehören:
- Datenaufbewahrung und -löschung – Richtlinien müssen Aufbewahrungsfristen nach Datenkategorien definieren und automatisierte oder verfahrenstechnische Löschprozesse festlegen, die verhindern, dass Daten über ihre rechtmäßige Grundlage hinaus aufbewahrt werden
- Drittanbieter- und Lieferantenmanagement – Verträge mit Datenverarbeitern müssen die Anforderungen von Artikel 28 der DSGVO erfüllen, und Due-Diligence-Prozesse für Lieferanten sollten nicht nur die Sicherheitslage, sondern auch das Souveränitätsrisiko bewerten
- Reaktion auf Vorfälle und Meldung von Datenschutzverletzungen – Interne Reaktionsverfahren müssen die in der DSGVO festgelegte 72-Stunden-Frist für die Meldung von Datenschutzverletzungen berücksichtigen und festlegen, wer die Meldebefugnis besitzt
- Mitarbeiterschulung und Sensibilisierung – Richtlinien sind nur dann wirksam, wenn die Personen, die sie umsetzen, ihre Pflichten verstehen; regelmäßige, rollenspezifische Schulungen sind eine regulatorische Erwartung der EU und keine optionale Ergänzung
- Governance bei grenzüberschreitenden Datenübermittlungen – Ein dokumentierter Prozess zur Bewertung, Genehmigung und Aufzeichnung grenzüberschreitender Datenübermittlungen sollte als eigenständige Richtlinie existieren, getrennt von den allgemeinen Regeln zur Datenverarbeitung
Welche Rolle spielen Datenschutzbeauftragte, Rechtsabteilungen und die IT bei der Vorbereitung?
Die Vorbereitung auf die digitale Souveränität der EU liegt nicht in der Verantwortung eines einzelnen Teams. Um erfolgreich zu sein, ist ein koordinierter Beitrag der Rechts-, Technik- und Compliance-Abteilungen erforderlich. Jede dieser Abteilungen trägt spezifische Verantwortlichkeiten:
| Aufgabenbereich | Hauptaufgaben |
| Datenschutzbeauftragter (DSB) | Überwacht die Einhaltung der DSGVO und damit verbundener Vorschriften, berät bei Datenschutz-Folgenabschätzungen, fungiert als primäre Kontaktstelle für Aufsichtsbehörden und führt die Aufzeichnungen der Organisation über Verarbeitungsaktivitäten |
| Rechtsabteilung | Verhandelt und prüft Datenverarbeitungsvereinbarungen und Lieferantenverträge, bewertet die Gültigkeit von Übertragungsmechanismen, verfolgt regulatorische Entwicklungen und verwaltet die Korrespondenz mit Aufsichtsbehörden sowie die Reaktion auf Durchsetzungsmaßnahmen |
| IT und Sicherheit | Implementiert technische Kontrollen einschließlich Verschlüsselung, Zugriffsverwaltung und Konfigurationen zur Datenlokalisierung, unterstützt Datenabgleichsmaßnahmen und stellt sicher, dass die Wahl der Infrastruktur den Anforderungen an Souveränität und Sicherheit entspricht |
| Führungsspitze | Trägt die Verantwortung für die Compliance-Situation, weist Ressourcen für Bereitschaftsprogramme zu und stellt sicher, dass Souveränitätsaspekte in Beschaffungs- und Partnerschaftsentscheidungen einfließen |
Welche technischen Kontrollmaßnahmen und welche digitale Infrastruktur unterstützen eine EU-konforme Datenkontrolle?
Politische und rechtliche Rahmenbedingungen legen die Anforderungen an die digitale Souveränität der EU fest, während technische Kontrollmaßnahmen darüber entscheiden, ob diese Anforderungen überhaupt erfüllt werden können. Architekturentscheidungen, Verschlüsselungsstrategien und Verfahren zur Zugriffsverwaltung sind allesamt gute Beispiele für technische Kontrollmaßnahmen, die direkte regulatorische Auswirkungen haben.
Wie können Verschlüsselung, Pseudonymisierung und Anonymisierung dabei helfen, regulatorische Risiken zu bewältigen?
Verschlüsselung, Pseudonymisierung und Anonymisierung werden in der DSGVO und verwandten Rahmenwerken häufig erwähnt. Es ist wichtig zu beachten, dass diese Begriffe nicht austauschbar sind, da jeder von ihnen ein unterschiedliches Schutzniveau bietet und mit spezifischen regulatorischen Konsequenzen verbunden ist.
Die Wahl der am besten geeigneten Technik für jede Datenkategorie ist eine grundlegende Entscheidung im Bereich des Risikomanagements:
| Technik | Funktionsweise | Regulatorische Relevanz | Wesentliche Einschränkungen |
| Verschlüsselung | Wandelt Daten in unlesbaren Chiffretext um, der zur Entschlüsselung einen Schlüssel erfordert | Die DSGVO erkennt Verschlüsselung als geeignete Schutzmaßnahme an; bei einer Verletzung verschlüsselter Daten besteht möglicherweise keine Meldepflicht, sofern der Schlüssel nicht kompromittiert wurde | Entzieht Daten nicht dem Geltungsbereich der DSGVO – verschlüsselte personenbezogene Daten sind weiterhin personenbezogene Daten |
| Pseudonymisierung | Ersetzt identifizierende Informationen durch künstliche Identifikatoren, die mit den richtigen Referenzdaten wiederhergestellt werden können | Wird in der DSGVO ausdrücklich als Maßnahme zur Risikominderung anerkannt; pseudonymisierte Daten unterliegen im Vergleich zu direkt identifizierbaren Daten einer geringeren behördlichen Kontrolle | Bleibt im Geltungsbereich der DSGVO; das Risiko der Re-Identifizierung muss aktiv gemanagt werden |
| Anonymisierung | Entfernt alle identifizierenden Informationen unwiderruflich, sodass eine Re-Identifizierung nach vernünftigem Ermessen nicht möglich ist | Echte anonymisierte Daten fallen vollständig aus dem Geltungsbereich der DSGVO heraus, wodurch die meisten regulatorischen Verpflichtungen entfallen | Der Standard für echte Anonymisierung ist hoch; schlecht anonymisierte Daten sind häufig re-identifizierbar und werden von den Aufsichtsbehörden weiterhin als personenbezogene Daten behandelt |
In Kombination tragen diese Techniken dazu bei, dass Unternehmen ihr regulatorisches Risiko in verschiedenen Datenkategorien verringern können. Dazu gehören:
- Die Anwendung einer vollständigen Anonymisierung, wenn Daten nicht mehr mit Einzelpersonen verknüpft werden müssen
- Die Wahl der Pseudonymisierung, wenn eine Verknüpfung aus betrieblichen Gründen erforderlich ist
- Die Verwendung von Verschlüsselung als grundlegende Schutzebene für alle personenbezogenen Daten
Für Unternehmen ist es wichtig, sicherzustellen, dass ihre Vorkehrungen zur Schlüsselverwaltung derselben strengen souveränitätsrechtlichen Prüfung unterliegen wie Entscheidungen zur Datenspeicherung und -verarbeitung.
Wann ist eine Hybrid- oder Multi-Cloud-Architektur aus Sicht der Souveränität und bei Bedenken hinsichtlich Cloud-Diensten vorzuziehen?
Die Wahl einer Cloud-Architektur für in der EU ansässige Unternehmen ist nicht rein technischer Natur – wo Daten verarbeitet werden und von wem, hat direkte rechtliche Konsequenzen. Eine einzelne Public-Cloud-Bereitstellung bei einem Anbieter außerhalb der EU könnte aus betrieblicher Sicht die bequemste Option sein, birgt jedoch auch verschiedene rechtliche Risiken, die souveränitätsbewusste Unternehmen zunehmend nicht mehr akzeptieren wollen.
Die folgende Tabelle behandelt drei Hauptoptionen in Bezug auf die Cloud-Architektur und hebt deren Vorteile und Kompromisse hervor:
| Architektur | Am besten geeignet, wenn | Vorteil der Souveränität | Wichtiger Kompromiss |
| Hybrid Cloud | Sensible oder regulierte Daten müssen vor Ort oder in einer von der EU kontrollierten Umgebung verbleiben, während weniger sensible Workloads die öffentliche Cloud nutzen können | Ermöglicht eine detaillierte Kontrolle darüber, welche Daten die von der EU regulierte Umgebung verlassen | Erhöhte betriebliche Komplexität; erfordert eine klare Datenklassifizierung, um Grenzen konsequent durchzusetzen |
| Multi-Cloud | Ein Unternehmen möchte die Abhängigkeit von einem einzelnen Anbieter vermeiden und Workloads auf mehrere Cloud-Umgebungen verteilen | Reduziert die Anbieterabhängigkeit und ermöglicht die Auswahl von EU-konformen Anbietern für regulierte Workloads | Die Komplexität der Governance steigt erheblich; es müssen einheitliche Sicherheits- und Compliance-Kontrollen über alle Anbieter hinweg aufrechterhalten werden |
| EU-souveräne Cloud | Alle Workloads beinhalten regulierte Daten oder das Unternehmen ist in einem hochsensiblen Sektor wie Finanzen, Gesundheit oder öffentlicher Verwaltung tätig | Maximale Übereinstimmung mit den Anforderungen der EU an die digitale Souveränität; Anbieter, wie beispielsweise solche, die nach EUCS zertifiziert sind, bieten vertragliche Souveränitätsgarantien | Höhere Kosten; kleineres Anbieter-Ökosystem im Vergleich zu hyperskalierten Alternativen außerhalb der EU |
Was sind die bewährten Verfahren für das Identitäts- und Zugriffsmanagement (IAM) sowie für sichere Datenlebenszyklen innerhalb der EU?
Identitäts- und Zugriffsmanagement ist die erste Verteidigungslinie gegen unbefugten Datenzugriff. Es ist zudem eine direkte Compliance-Anforderung gemäß den Grundsätzen der DSGVO zur Zugriffskontrolle und Datenminimierung. Ein wirksames IAM im EU-Kontext bedeutet:
- Durchsetzung des Prinzips der geringsten Berechtigungen, sodass Personen und Systeme nur auf die Daten zugreifen können, die für ihre spezifische Funktion erforderlich sind
- Implementierung einer Multi-Faktor-Authentifizierung (MFA) in allen Systemen, die personenbezogene oder sensible Daten verarbeiten
- Führung von Zugriffsprotokollen, die detailliert genug sind, um die Anforderungen für behördliche Audits und die Untersuchung von Datenschutzverletzungen zu erfüllen
- Durchführung regelmäßiger Zugriffsprüfungen, um Zugangsdaten für ausgeschiedene Mitarbeiter, geänderte Rollen und stillgelegte Systeme zu widerrufen
- Sicherstellung, dass der privilegierte Zugriff auf sensible Datenspeicher zusätzlichen Kontrollen unterliegt, einschließlich einer Just-in-Time-Zugriffsbereitstellung, wo dies möglich ist
Sicheres Datenlebenszyklusmanagement umfasst Daten vom Zeitpunkt der Erfassung bis hin zu ihrer Löschung – ein Aspekt, den die DSGVO mit ihrem Grundsatz der Speicherbegrenzung direkt regelt. Zu den wichtigsten Vorgehensweisen gehören:
- Festlegung von Aufbewahrungsfristen nach Datenkategorien, abgestimmt auf die Rechtsgrundlage und den Zweck, für den die Daten erhoben wurden
- Automatisierung von Lösch- und Archivierungsprozessen, um zu verhindern, dass Daten ohne manuelles Eingreifen über ihre Aufbewahrungsfrist hinaus bestehen bleiben
- Anwendung von Datenklassifizierungs-Labels bereits bei der Erfassung, damit Lebenszyklusrichtlinien konsistent durchgesetzt werden, während Daten zwischen Systemen übertragen werden
- Führung von Prüfpfaden für Datenlöschvorgänge, die den Nachweis der Einhaltung der Löschpflichten gemäß Artikel 17 der DSGVO ermöglichen
Wie können Unternehmen Cloud-Dienstleister hinsichtlich der Einhaltung der digitalen Souveränität der EU bewerten?
Die Auswahl eines Cloud-Dienstleisters ist eine der entscheidendsten Entscheidungen im Zusammenhang mit der Souveränität, die ein Unternehmen treffen kann. Diese Entscheidung ist in der Regel auch am schwierigsten rückgängig zu machen, sobald alle Infrastrukturabhängigkeiten etabliert sind. Eine umfassende Bewertung in der Beschaffungsphase ist stets kostengünstiger als die Durchführung von Abhilfemaßnahmen nach einem behördlichen Feststellungsbescheid oder dem Zusammenbruch einer Angemessenheitsentscheidung.
Welche Fragen sollten Unternehmen Anbietern bezüglich Datenverarbeitung und -übertragung stellen?
Es ist wichtig, dass Anbieterbewertungen über Standard-Sicherheitsfragebögen hinausgehen, um alle souveränitätsspezifischen Risiken zu adressieren, die die digitalen Rahmenwerke der EU mit sich bringen. Die folgenden Fragen sollten die Grundlage für die Bewertung jedes Cloud-Anbieters bilden:
- Wo werden die Daten physisch gespeichert, und können die Speicherorte vertraglich auf bestimmte EU-Länder festgelegt werden?
- Welche Unterauftragsverarbeiter setzt der Anbieter ein, und unterliegen diese Unterauftragsverarbeiter ebenfalls datenschutzrechtlichen Verpflichtungen, die denen der EU entsprechen?
- Unterliegt der Anbieter oder eines seiner Mutterunternehmen ausländischen Rechtsvorschriften – wie dem US CLOUD Act –, die eine Datenoffenlegung ohne eine DSGVO-konforme Benachrichtigung erzwingen könnten?
- Wer verwahrt die Verschlüsselungsschlüssel, und kann das Unternehmen die ausschließliche Kontrolle über die Schlüsselverwaltung behalten?
- Welche Zugriffsanfragen von Regierungs- oder Strafverfolgungsbehörden hat der Anbieter erhalten, und wie sieht sein dokumentierter Prozess zur Anfechtung oder Benachrichtigung von Kunden über solche Anfragen aus?
- Bietet der Anbieter Audit-Rechte an, und auf welche Ebene der Infrastruktur und der Verarbeitungsdetails erstrecken sich diese Rechte?
- Welche Mechanismen zur Datenportabilität unterstützt der Anbieter, und wie sehen die praktischen Zeitpläne und Kosten für die Datenextraktion aus?
- Ist der Anbieter nach einem EU-Souveränitäts- oder Sicherheitsrahmenwerk wie EUCS oder ISO 27001 zertifiziert, und sind diese Zertifizierungen aktuell?
Wie sollten Verträge und SLAs gestaltet sein, um Compliance und Risikoverteilung sicherzustellen?
Die wichtigsten Mechanismen, mit denen Regierungen Souveränitätsverpflichtungen ihrer Cloud-Anbieter formalisieren, sind vertragliche Schutzmaßnahmen. Eine ordnungsgemäß strukturierte Datenverarbeitungsvereinbarung und Dienstleistungslizenzvereinbarung sollte folgende Punkte abdecken:
| Vertragsbestandteil | Was darin festgelegt werden sollte | Warum dies wichtig ist |
| Datenverarbeitungsvereinbarung (DPA) | Verarbeitungszwecke, Datenkategorien, Speicherorte, Liste der Unterauftragsverarbeiter und Löschpflichten | Vorgeschrieben gemäß DSGVO Artikel 28; schafft die Rechtsgrundlage für das Auftragsverarbeitungsverhältnis |
| Klausel zum Datenstandort | Ausdrückliches Verbot der Verarbeitung oder Übermittlung von Daten außerhalb der vereinbarten Rechtsordnungen ohne vorherige schriftliche Zustimmung | Verhindert unbefugte grenzüberschreitende Übermittlungen, die den verwendeten Übermittlungsmechanismus ungültig machen könnten |
| Protokoll zum behördlichen Zugriff | Verpflichtung des Anbieters, den Kunden über Zugriffsanfragen zu informieren, sofern dies gesetzlich zulässig ist, und Anträge anzufechten, sofern Gründe dafür vorliegen | Behandelt Risiken im Zusammenhang mit dem CLOUD Act und ähnlichen ausländischen Rechtsvorschriften |
| Prüfungsrechte | Recht des Kunden, Prüfungen der Verarbeitungsaktivitäten und Sicherheitskontrollen des Anbieters durchzuführen oder in Auftrag zu geben | Unterstützt die Rechenschaftspflichten gemäß DSGVO und ermöglicht eine fortlaufende Überprüfung der Compliance |
| Benachrichtigung bei Vorfällen | Fristen und Verfahren für die Benachrichtigung bei Datenschutzverletzungen, abgestimmt auf die 72-Stunden-Frist der DSGVO | Stellt sicher, dass die Organisation ihren eigenen Benachrichtigungspflichten gegenüber den Aufsichtsbehörden nachkommen kann |
| Haftung und Freistellung | Haftung des Anbieters für Verstöße gegen die Datenhoheit, einschließlich unbefugter Übermittlungen, Verzögerungen bei der Meldung von Datenschutzverletzungen und der Einsatz nicht konformer Unterauftragsverarbeiter, sowie die damit verbundenen Freistellungsverpflichtungen | Behandelt direkt die Risikoverteilung im Falle von Compliance-Verstößen auf Seiten des Anbieters, die das Unternehmen dem Risiko behördlicher Sanktionen aussetzen |
| Austritt und Portabilität | Format der Datenrückgabe, Zeitplan für die Extraktion und Bestätigung der Löschung bei Vertragsbeendigung | Verhindert die Bindung an einen bestimmten Anbieter und stellt sicher, dass Daten in einem nutzbaren Format wiederhergestellt werden können |
Welche Sorgfaltspflichten und laufenden Überwachungsmaßnahmen sind unerlässlich?
Die anfängliche Sorgfaltsprüfung ermittelt, ob ein Anbieter die Anforderungen an die Hoheitsgewalt zum Zeitpunkt der Auftragsvergabe erfüllt. Das regulatorische Umfeld, die Eigentumsverhältnisse der Anbieter und der Status von Angemessenheitsbeschlüssen ändern sich jedoch im Laufe der Zeit. Daher schafft eine Sorgfaltsprüfung, die nur einmal durchgeführt und nie überprüft wurde, ein gefährliches falsches Gefühl der Sicherheit, das die Aufsichtsbehörden nicht als stichhaltige Verteidigung akzeptieren werden.
In der Beschaffungsphase muss die Due Diligence Folgendes umfassen:
- Eine Überprüfung der aktuellen Zertifizierungen des Anbieters
- Eine Folgenabschätzung für den Datentransfer, falls Daten außerhalb des EWR fließen sollen
- Rechtliche Prüfung aller Vertragsunterlagen
- Überprüfung, dass Unterauftragsnehmerketten keine unkontrollierten Souveränitätsrisiken mit sich bringen
Sobald dies geschehen ist, müsste die laufende Überwachung auch bestimmte dynamische Aspekte des Themas berücksichtigen, die die anfängliche Due Diligence allein nicht vorhersehen kann:
- Verfolgung von Angemessenheitsbeschlüssen – Überwachen Sie den Status aller Angemessenheitsbeschlüsse, die Datenübermittlungen an oder über den Anbieter untermauern, insbesondere angesichts der bisherigen Praxis der Ungültigkeitserklärung
- Eigentumswechsel beim Anbieter – Fusionen, Übernahmen oder Änderungen der Gerichtsbarkeit der Muttergesellschaft können das Souveränitätsprofil eines Anbieters verändern, ohne eine automatische Vertragsüberprüfung auszulösen
- Verlängerung von Zertifizierungen – Überprüfen Sie, ob Souveränitäts- und Sicherheitszertifizierungen aktuell bleiben und nicht abgelaufen sind oder herabgestuft wurden
- Überwachung der Regulierung und Durchsetzung – Verfolgen Sie Leitlinien der Aufsichtsbehörden und Durchsetzungsentscheidungen, die die Gültigkeit von Übertragungsmechanismen beeinträchtigen oder neue Anforderungen an die Beziehungen zu Auftragsverarbeitern auferlegen könnten
- Jährliche Vertragsüberprüfung – Überprüfen Sie Datenschutzvereinbarungen (DPAs) und Service Level Agreements (SLAs) mindestens einmal jährlich, um sicherzustellen, dass sie den aktuellen regulatorischen Anforderungen sowie etwaigen Änderungen der Verarbeitungsaktivitäten des Anbieters entsprechen
Wie können Unternehmen die digitale Souveränität der EU mit sicheren Backup- und Data-Governance-Lösungen wie Bacula Systems unterstützen?
Bei der Auswahl eines Cloud-Anbieters geht es darum, wo sich Daten befinden und wer den Zugriff darauf kontrolliert, doch dies ist nur ein Teil des gesamten technischen Gesamtbildes. Die Backup- und Data-Governance-Infrastruktur ist ein Teil der digitalen Souveränität der EU, der regelmäßig unterschätzt wird – obwohl sie darüber entscheidet, ob Unternehmen Daten nach ihren eigenen Bedingungen wiederherstellen, Prüfpfade führen können, die den regulatorischen Anforderungen genügen, und die Abhängigkeit von nicht von der EU kontrollierten Wiederherstellungssystemen vermeiden können.
Die Wahl einer Backup-Lösung hat direkten Einfluss auf den Datenstandort, die Zugriffskontrollen und die zukünftige Compliance-Situation des Unternehmens.
Bacula Enterprise wurde auf Basis eines Open-Source-Kerns entwickelt, wodurch das Problem proprietärer Datenformate und Plattformabhängigkeit vermieden wird, die die Portabilität beeinträchtigen. Allein dieses Thema wird zu einem direkten Souveränitätsproblem, wenn Unternehmen von Anbietern außerhalb der EU weg migrieren oder ihre Abhängigkeit von diesen verringern müssen.
Das Produkt von Bacula funktioniert in physischen, virtuellen und Cloud-Umgebungen und ermöglicht es Unternehmen, eine konsistente Backup-Governance in Hybrid- und Multi-Cloud-Architekturen aufrechtzuerhalten, ohne die bestehende Datensicherungsstrategie aufteilen zu müssen. Verschlüsselungsfunktionen mit Unterstützung für unternehmensverwaltete Schlüssel tragen dazu bei, dass der Souveränitätsvorteil der Verschlüsselung nicht unmittelbar durch den Zugriff Dritter auf die Schlüssel untergraben wird.
Aus Compliance-Sicht unterstützt Bacula Enterprise mehrere Anforderungen, die die Rahmenwerke zur digitalen Souveränität der EU direkt vorschreiben:
- Datenstandort – Speicherorte sind explizit konfigurierbar, was die Durchsetzung von Standortanforderungen ermöglicht, ohne auf die Standardeinstellungen eines Anbieters angewiesen zu sein
- Zugriffskontrolle und Audit-Protokollierung – Rollenbasiertes Zugriffsmanagement und detaillierte Protokolle liefern den Prüfpfad, den die Rechenschaftspflichten der DSGVO und behördliche Anfragen erfordern
- Skalierbarkeit über Rechtsräume hinweg – Groß angelegte Bereitstellungen über verteilte Infrastrukturen hinweg unterstützen Unternehmen bei der Verwaltung von Daten über mehrere EU-Mitgliedstaaten hinweg mit unterschiedlichen branchenspezifischen Anforderungen
Wo passen Datenschutz, Backup und Wiederherstellung in all dies hinein?
Antwort: überall. Europa investiert massiv in digitale Souveränität, widerstandsfähige Infrastruktur und strategische Autonomie. Doch bei einem Cyberangriff, einem Systemausfall, einer Unterbrechung der Lieferkette oder einer geopolitischen Krise stellt sich die Frage: Von welchem System kann sich eine Organisation tatsächlich erholen? Die Antwort ist entscheidend, denn ohne souveräne Backup- und Wiederherstellungsfähigkeiten kann es keine Garantie für souveräne Technologie oder Daten geben. Ganz gleich, wie sicher eine Cloud-Plattform, ein Rechenzentrum, ein Netzwerk oder ein Anwendungsstack auch erscheinen mag – die wahre Kontrolle liegt letztendlich bei der Backup- und Wiederherstellungsplattform, die diese schützt.
Für Organisationen aus den Bereichen Verteidigung, Luft- und Raumfahrt, Regierung und anderen sicherheitsrelevanten Bereichen wirft dies wichtige strategische Überlegungen auf. Viele europäische Organisationen verlassen sich weiterhin auf Backup- und Wiederherstellungslösungen, die außerhalb Europas kontrolliert, verwaltet oder entwickelt werden, was potenziell rechtliche, operative, lieferkettenbezogene oder geopolitische Abhängigkeiten mit sich bringt – und zwar genau in dem Moment, in dem Resilienz am wichtigsten ist. Da Europa sich zunehmend auf Souveränität, Cyber-Resilienz und Sicherheit konzentriert, empfiehlt Bacula Organisationen respektvoll, zu prüfen, ob ihre Backup- und Wiederherstellungsarchitekturen mit denselben Zielen im Einklang stehen.
Bacula, der in der Schweiz ansässige Anbieter von Bacula Enterprise (Backup- und Wiederherstellungssoftware), unterstützt seit Jahren einige der anspruchsvollsten Organisationen der Welt – darunter große Unternehmen aus den Bereichen Verteidigung, HPC, KI, Forschung und kritische Infrastruktur – dabei, ein außergewöhnlich hohes Maß an Sicherheit, Kontrolle, Skalierbarkeit und Resilienz zu erreichen.
Welche Risiken und Trends bei der Durchsetzung sollten Sie im Auge behalten?
Das regulatorische Umfeld rund um die digitale Souveränität der EU entwickelt sich ständig weiter, wobei verstärkte Durchsetzung, höhere Strafen und verschiedene geopolitische Entwicklungen den Rechtsrahmen beeinflussen, auf den sich Unternehmen stützen. Unternehmen können Compliance nicht als einmalige Maßnahme betrachten, da sie angesichts dieser sich wandelnden Landschaft mit zunehmenden Risiken konfrontiert wären.
Wie setzen die EU-Regulierungsbehörden die Vorschriften zur Datenhoheit und zum Datenschutz durch?
Die Durchsetzung der EU-Vorschriften zum Datenschutz und zur Datenhoheit ist auf die nationalen Aufsichtsbehörden verteilt und wird über den Europäischen Datenschutzausschuss (EDPB) koordiniert.
Der EDPB verfügt über eine verbindliche Streitbeilegungsbefugnis, die es ihm ermöglicht, nationale Entscheidungen aufzuheben und bei wichtigen Transaktionsfällen EU-weite Einheitlichkeit durchzusetzen – ein Mechanismus, der zu einer wesentlich einheitlicheren Durchsetzung in den Mitgliedstaaten geführt hat. Die praktischen Auswirkungen dieses Mechanismus sind höhere Geldbußen, eine intensivere grenzüberschreitende Zusammenarbeit und eine fortlaufende behördliche Überwachung in Bezug auf Datenübertragungspraktiken.
Angesichts der Rolle Irlands als EU-Standort für viele große Technologieunternehmen ist auch die irische Datenschutzkommission (DPC) als besonders bedeutende Durchsetzungsbehörde erwähnenswert. Andere nationale Behörden (Frankreich, Italien, die Niederlande) haben ebenfalls viel beachtete Maßnahmen ergriffen, was ein Zeichen für einen breiteren Trend ist, wonach sich die Durchsetzungsaktivitäten nicht mehr nur auf eine einzige Gerichtsbarkeit konzentrieren.
Die jüngsten Durchsetzungsmaßnahmen richteten sich gegen mehrere wiederkehrende Problembereiche:
- Rechtswidrige Datenübermittlungen – Mehrere hohe Geldbußen folgten auf Feststellungen, dass Organisationen personenbezogene Daten ohne gültige Rechtsgrundlage in Drittländer übermittelt hatten, darunter auch Übermittlungen in die USA, die auf ungültigen Mechanismen beruhten
- Unzureichende Datenverarbeitungsvereinbarungen – Die Aufsichtsbehörden haben Organisationen dafür bestraft, dass sie keine DSGVO-konformen Verträge mit Auftragsverarbeitern, einschließlich Cloud-Anbietern, unterhielten
- Unzureichende technische Kontrollen – In Durchsetzungsmaßnahmen wurden Mängel bei der Verschlüsselung, der Zugriffsverwaltung und der Datenminimierung als Beweis für unzureichende organisatorische Maßnahmen angeführt
- Verstöße gegen Cookie- und Einwilligungsvorschriften – Nationale Behörden in der gesamten EU haben systematisch gegen nicht konforme Einwilligungsmechanismen vorgegangen und dabei insbesondere große Plattformen ins Visier genommen
Welche Strafen und geschäftlichen Auswirkungen können bei Nichteinhaltung drohen?
Die DSGVO und andere damit verbundene EU-Rahmenwerke haben eine abgestufte Strafstruktur geschaffen, wobei Geldbußen nur eine von mehreren Dimensionen der geschäftlichen Auswirkungen sind, die eine Nichteinhaltung mit sich bringen kann:
| Art der Auswirkungen | Grundlage | Mögliche Höhe |
| Verwaltungsstrafen (oberste Stufe) | Verstöße gegen zentrale Verpflichtungen der DSGVO, einschließlich der Rechtsgrundlage, der Datenübermittlungsvorschriften und der Rechte betroffener Personen | Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Verwaltungsstrafen (untere Stufe) | Verstöße gegen Verfahrenspflichten, einschließlich Aufbewahrungspflichten, Ernennung eines Datenschutzbeauftragten und Meldung von Datenschutzverletzungen | Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist |
| Aussetzung von Datenübermittlungen | Anordnung der Aufsichtsbehörde zur Aussetzung grenzüberschreitender Datenübermittlungen bis zur Behebung der Verstöße | Betriebsstörungen bei allen Geschäftsprozessen, die von den betroffenen Datenflüssen abhängig sind |
| Reputationsschaden | Öffentliche Durchsetzungsentscheidungen, die von den Aufsichtsbehörden veröffentlicht werden | Vertrauensverlust bei Kunden und Partnern, Medienberichterstattung und Wettbewerbsnachteil |
| Zivilrechtliche Haftung | Einzel- oder Sammelklagen von betroffenen Personen, die einen materiellen oder immateriellen Schaden erlitten haben | Variabel; insbesondere Sammelklagen bergen ein erhebliches Gesamtrisiko |
| Kosten für operative Abhilfemaßnahmen | Interne und externe Kosten für die Herstellung der Compliance nach einer Feststellung der Aufsichtsbehörde | Übersteigt in großen Organisationen mit komplexer Dateninfrastruktur häufig die Höhe der Geldbuße selbst |
Wie werden sich geopolitische Spannungen und gerichtliche Entscheidungen voraussichtlich auf die künftige Durchsetzung auswirken?
Die Stabilität der Rahmenwerke zur digitalen Souveränität der EU wird unmittelbar von geopolitischen Entwicklungen beeinflusst, die sich oft der Kontrolle einzelner Organisationen entziehen. Die aufeinanderfolgenden Ungültigkeitserklärungen von „Safe Harbor“ und „Privacy Shield“ wurden durch gerichtliche Feststellungen zum US-amerikanischen Überwachungsrecht ausgelöst. Das EU-US-Datenschutzrahmenwerk ist zwar derzeit gültig, sieht sich jedoch ebenfalls anhaltenden rechtlichen Anfechtungen gegenüber, die demselben Muster folgen. Eine dritte Ungültigkeitserklärung würde, sollte sie erfolgen, Tausende von Organisationen betreffen, die für transatlantische Datenübermittlungen auf das DPF angewiesen sind (ohne dass ein garantierter Ersatz zur Verfügung steht).
Allgemeine geopolitische Spannungen dürften zudem die Souveränitätsagenda der EU beschleunigen, anstatt sie zu dämpfen. Zu den potenziellen Faktoren zählen hier der Krieg in der Ukraine, die sich wandelnden Handelsbeziehungen zwischen der EU und den USA sowie zunehmende regulatorische Reibungen zwischen der EU und großen Technologieplattformen außerhalb der EU.
Gerichtsurteile des Gerichtshofs der EU haben den Vorrang der EU-Grundrechte gegenüber konkurrierenden wirtschaftlichen und diplomatischen Interessen weiter bekräftigt. Der beste Ratschlag für Organisationen lautet derzeit, den aktuellen Compliance-Rahmen als einen Schritt auf dem Weg zu strengerer Lokalisierung, verstärkter Durchsetzung und eingehenderer Prüfung von Abhängigkeiten von Technologien außerhalb der EU zu betrachten.
FAQ
Reicht Datenverschlüsselung allein aus, um die Erwartungen der EU an die digitale Souveränität zu erfüllen?
Auch wenn Verschlüsselung eine notwendige Schutzmaßnahme ist, kann sie die Anforderungen der EU an die digitale Souveränität nicht allein erfüllen. Die DSGVO erfordert eine Kombination aus technischen und organisatorischen Maßnahmen (Zugriffskontrollen, Datenminimierung, Aufbewahrungsmanagement, dokumentierte Governance-Prozesse), von denen keine allein durch Verschlüsselung abgedeckt werden kann.
Auch die Zuständigkeit für die Schlüsselverwaltung ist hier ein wichtiges Anliegen, da Verschlüsselungsanbieter außerhalb der EU nicht den Souveränitätsschutz bieten können, den eine vom Unternehmen selbst kontrollierte Verschlüsselung gewährleisten würde.
Könnten künftige EU-Vorschriften eine strengere Lokalisierung kritischer Infrastrukturen und Cloud-Dienste vorschreiben?
Die derzeitige Ausrichtung der Regulierungsbemühungen macht strengere Lokalisierungsanforderungen zu einer de facto garantierten kurzfristigen Entwicklung, insbesondere in Sektoren, die bereits im Rahmen von NIS2 und verwandten Rahmenwerken als kritisch eingestuft sind. Die Europäische Kommission hat ein anhaltendes Interesse daran gezeigt, die strategische Abhängigkeit von digitaler Infrastruktur außerhalb der EU zu verringern, und es gibt mehrere Mitgliedstaaten, die bereits Lokalisierungsanforderungen auf nationaler Ebene einführen oder in Erwägung ziehen, die über das bestehende EU-Recht hinausgehen.
Organisationen, die bereits jetzt eine auf Souveränität ausgerichtete Infrastruktur aufbauen, sind besser in der Lage, zusätzliche Anforderungen ohne erhebliche Nachrüstungskosten zu bewältigen.
Können Unternehmen die digitale Souveränität der EU erreichen, während sie weiterhin auf Technologieanbieter mit Sitz im Ausland zurückgreifen?
Dies ist zwar möglich, doch sind die mit diesem Ziel verbundenen Anforderungen erheblich und können sogar ein anhaltendes rechtliches Risiko mit sich bringen. So stützen sich beispielsweise Datenübermittlungen an Anbieter mit Sitz in den USA derzeit auf das EU-US-Datenschutzabkommen, das derzeit rechtlich angefochten wird und in naher Zukunft wie seine Vorgänger für ungültig erklärt werden könnte.
Unternehmen, die auf US-amerikanische Anbieter angewiesen sind, müssen vertragliche Souveränitätsschutzmaßnahmen aufrechterhalten, regelmäßige Folgenabschätzungen für Datenübermittlungen durchführen und die Stabilität des DPF als eine zu überwachende Annahme betrachten – nicht als eine Garantie, auf die man sich verlassen kann.
