Datensouveränität

1. Was bedeu­tet Daten­sou­ve­rä­ni­tät? #

Daten­sou­ve­rä­ni­tät hat drei Dimensionen:

Dimen­si­on 1: Recht­li­che Sou­ve­rä­ni­tät #

Ihre Daten unter­lie­gen dem Rechts­rah­men, den Sie wäh­len — nicht dem eines Dritt­staats. Das bedeu­tet: Die Daten wer­den in einer Juris­dik­ti­on gespei­chert und ver­ar­bei­tet, deren Daten­schutz­ge­set­ze Sie ken­nen und akzep­tie­ren. Für euro­päi­sche Unter­neh­men heißt das: DSGVO als pri­mä­rer Rechts­rah­men, ohne Kon­flik­te durch extra­ter­ri­to­ria­le Geset­ze wie den US CLOUD Act.

Dimen­si­on 2: Tech­ni­sche Sou­ve­rä­ni­tät #

Sie haben die tech­ni­sche Kon­trol­le über Ihre Daten — unab­hän­gig von einem ein­zel­nen Anbie­ter. Das bedeutet:

• Zugriff auf Ihre Daten ist jeder­zeit mög­lich, ohne Geneh­mi­gung eines Dritten
• Daten kön­nen ohne unver­hält­nis­mä­ßi­gen Auf­wand zu einem ande­ren Sys­tem migriert werden
• Kein Sin­gle Point of Fail­ure durch einen ein­zel­nen Cloud-Provider

Dimen­si­on 3: Ope­ra­ti­ve Sou­ve­rä­ni­tät #

Sie kön­nen Ihre Daten eigen­stän­dig ver­wal­ten, sichern und wie­der­her­stel­len — ohne Abhän­gig­keit von exter­nen Diens­ten oder Netz­werk­ver­bin­dun­gen. Im Kri­sen­fall (Cyber­an­griff, Netz­werk­aus­fall, Pro­vi­der-Insol­venz) bleibt Ihre Daten­ver­füg­bar­keit gewährleistet.

War­um Daten­sou­ve­rä­ni­tät jetzt rele­vant ist #

2. Die regu­la­to­ri­sche Land­schaft #

DSGVO: Das Fun­da­ment #

Die Daten­schutz-Grund­ver­ord­nung (DSGVO/GDPR) ist der regu­la­to­ri­sche Rah­men, der Daten­sou­ve­rä­ni­tät für euro­päi­sche Unter­neh­men defi­niert. Die rele­van­tes­ten Arti­kel für die Datenspeicherung:

Art. 44 – 49 DSGVO — Daten­über­mitt­lung in Drittländer: Per­so­nen­be­zo­ge­ne Daten dür­fen nur in Dritt­län­der über­mit­telt wer­den, wenn ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet ist. Für die USA gilt seit 2023 das EU-US Data Pri­va­cy Frame­work — des­sen lang­fris­ti­ge Sta­bi­li­tät jedoch unge­wiss ist.

Art. 32 DSGVO — Sicher­heit der Verarbeitung: Der Ver­ant­wort­li­che muss tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men tref­fen, die dem Risi­ko ange­mes­sen sind — ein­schließ­lich Ver­schlüs­se­lung, Pseud­ony­mi­sie­rung und der Fähig­keit, die Ver­füg­bar­keit per­so­nen­be­zo­ge­ner Daten nach einem Zwi­schen­fall rasch wiederherzustellen.

Art. 28 DSGVO — Auftragsverarbeiter: Cloud-Pro­vi­der als Auf­trags­ver­ar­bei­ter müs­sen ver­trag­lich gebun­den wer­den; der Ver­ant­wort­li­che bleibt ver­ant­wort­lich für die Ein­hal­tung aller DSGVO-Anfor­de­run­gen — auch wenn die Daten bei einem exter­nen Anbie­ter liegen.

US CLOUD Act: Das Kon­flikt­po­ten­zi­al #

Der Cla­ri­fy­ing Lawful Over­se­as Use of Data Act (CLOUD Act, 2018) ermäch­tigt US-Behör­den, von US-Unter­neh­men die Her­aus­ga­be von Daten zu ver­lan­gen — unab­hän­gig davon, wo die­se Daten phy­sisch gespei­chert sind. Das betrifft:

• Ama­zon Web Ser­vices (AWS)
• Micro­soft Azure
• Goog­le Cloud Plat­form (GCP)
• Alle wei­te­ren US-Cloud-Pro­vi­der und deren Tochtergesellschaften

Die prak­ti­sche Kon­se­quenz: Wenn Ihr Back­up bei einem US-Cloud-Pro­vi­der liegt — auch auf einem Ser­ver in Frank­furt — kann eine US-Behör­de die Her­aus­ga­be die­ser Daten ver­lan­gen. Der Pro­vi­der steht dann vor einem Kon­flikt zwi­schen US-Recht (Her­aus­ga­be­pflicht) und EU-Recht (DSGVO-Ver­bot der Herausgabe).

Wie bewer­ten Daten­schutz­be­hör­den die­ses Risiko?

Die euro­päi­schen Daten­schutz­be­hör­den (ins­be­son­de­re die öster­rei­chi­sche DSB, die fran­zö­si­sche CNIL und das baye­ri­sche LDA) haben in meh­re­ren Ent­schei­dun­gen fest­ge­stellt, dass die Nut­zung von US-Cloud-Diens­ten für bestimm­te Daten­ka­te­go­rien ein unzu­rei­chen­des Schutz­ni­veau dar­stellt — unab­hän­gig vom Data Pri­va­cy Framework.

NIS2 und Lie­fer­ket­ten­si­cher­heit #

Die NIS2-Richt­li­nie (§30 BSIG-neu, seit Dezem­ber 2025 in Kraft) for­dert expli­zit die Bewer­tung der Sicher­heit in der Lie­fer­ket­te. Cloud-Pro­vi­der und Back­up-Soft­ware-Her­stel­ler sind Teil die­ser Lie­fer­ket­te. Für NIS2-betrof­fe­ne Unter­neh­men stellt sich die Fra­ge: Wel­chem Rechts­rah­men unter­liegt mein Back­up-Pro­vi­der? Und wel­che Risi­ken erge­ben sich daraus?

3. Cloud vs. On-Pre­mi­ses: Die Sou­ve­rä­ni­täts­fra­ge #

Die Cloud-Ver­spre­chen — und ihre Gren­zen #

Cloud-Spei­cher bie­tet unbe­streit­ba­re Vor­tei­le: Ska­lier­bar­keit, Pay-as-you-go-Model­le, glo­ba­le Ver­füg­bar­keit. Aber für die Daten­sou­ve­rä­ni­tät erge­ben sich spe­zi­fi­sche Risiken:

Wann Cloud sinn­voll ist — und wann nicht #

Cloud sinn­voll:

• Für unkri­ti­sche Daten ohne per­so­nen­be­zo­ge­ne Informationen
• Als ergän­zen­de geo­gra­fi­sche Red­un­danz (Tier 4)
• Für kurz­fris­ti­ge Skalierungsspitzen
• Wenn die Orga­ni­sa­ti­on kei­ne eige­ne Rechen­zen­trums­in­fra­struk­tur betreibt

Cloud pro­ble­ma­tisch:

• Für Back­up-Daten, die im Kri­sen­fall off­line ver­füg­bar sein müssen
• Für per­so­nen­be­zo­ge­ne Daten mit hohem Schutzbedarf
• Für regu­lier­te Bran­chen mit strik­ten Anfor­de­run­gen an Daten­stand­ort (BAIT, §203 StGB)
• Wenn Sin­gle-Point-of-Fail­ure-Risi­ken ver­mie­den wer­den müssen

Die hybri­de Rea­li­tät #

In der Pra­xis fah­ren die meis­ten Orga­ni­sa­tio­nen einen hybri­den Ansatz. Die Sou­ve­rä­ni­täts­fra­ge lau­tet dann nicht ​„Cloud oder On-Pre­mi­ses?”, son­dern: Wel­che Daten gehö­ren wo hin?

Emp­feh­lung für eine sou­ve­rä­ne hybri­de Architektur:

• Tier 1 (Pri­mä­res Back­up): On-Pre­mi­ses — schnel­ler Zugriff, vol­le Kontrolle
• Tier 2 (Air Gap): On-Pre­mi­ses — phy­si­sche Iso­la­ti­on, kei­ne Cloud-Abhängigkeit
• Tier 3 (Lang­zeit­ar­chiv): On-Pre­mi­ses — revi­si­ons­si­che­re WORM-Spei­che­rung unter eige­nem Dach
• Tier 4 (Geo-Red­un­danz): Euro­päi­sche Cloud ODER zwei­ter On-Premises-Standort

Der ent­schei­den­de Punkt: Ihre kri­tischs­ten Daten — Back­ups für den Kri­sen­fall — soll­ten nicht von einer Netz­werk­ver­bin­dung, einem Cloud-Pro­vi­der oder einem Dritt­staa­ten-Rechts­rah­men abhängen.

→ Silent Brick Sys­tem: On-Pre­mi­ses Air-Gap-Backup

4. Ven­dor Lock-in: Das unter­schätz­te Risi­ko #

Was Ven­dor Lock-in bedeu­tet #

Ven­dor Lock-in ent­steht, wenn die Abhän­gig­keit von einem ein­zel­nen Anbie­ter so groß wird, dass ein Wech­sel unver­hält­nis­mä­ßig teu­er, zeit­auf­wen­dig oder tech­nisch schwie­rig ist. Bei Cloud-Spei­cher und Back­up mani­fes­tiert sich das in:

• Pro­prie­tä­re Daten­for­ma­te: Back­up-Daten in her­stel­ler­spe­zi­fi­schen For­ma­ten, die nicht ohne Wei­te­res migrier­bar sind
• Egress-Kos­ten: Cloud-Pro­vi­der berech­nen hohe Gebüh­ren für das Her­un­ter­la­den eige­ner Daten (typisch: 0,05 – 0,12 EUR/GB)
• API-Abhän­gig­kei­ten: Appli­ka­tio­nen, die auf pro­vi­der-spe­zi­fi­sche APIs aufsetzen
• Ver­trag­li­che Bin­dung: Lang­fris­ti­ge Ver­trä­ge mit Mindestabnahmen

Die Kos­ten des Lock-in #

Bei­spiel­rech­nung: 100 TB Back­up-Daten bei einem Hypers­ca­ler migrieren

Die­se Kos­ten fal­len jedes Mal an, wenn Sie den Pro­vi­der wech­seln wol­len — oder müs­sen. Und sie stei­gen line­ar mit dem Datenvolumen.

Der EU Data Act und Daten­por­ta­bi­li­tät #

Der EU Data Act (in Kraft seit 12. Sep­tem­ber 2025) adres­siert die­ses Pro­blem teilweise:

• Cloud-Pro­vi­der müs­sen den Wech­sel zu einem ande­ren Anbie­ter erleichtern
• Egress-Gebüh­ren für Anbie­ter­wech­sel sol­len schritt­wei­se entfallen
• Min­dest­an­for­de­run­gen an Inter­ope­ra­bi­li­tät wer­den definiert

Aber: Die voll­stän­di­ge Umset­zung braucht Zeit, und pro­prie­tä­re Daten­for­ma­te blei­ben ein prak­ti­sches Hindernis.

Die sou­ve­rä­ne Alter­na­ti­ve: Offe­ne Stan­dards, loka­le Kon­trol­le #

On-Pre­mi­ses-Spei­cher­lö­sun­gen mit offe­nen Schnitt­stel­len eli­mi­nie­ren das Lock-in-Risiko:

• Stan­dard-Pro­to­kol­le: NFS, SMB, iSCSI, FC, S3-kom­pa­ti­bel — kei­ne pro­prie­tä­ren Formate
• Kei­ne Egress-Kos­ten: Ihre Daten sind jeder­zeit lokal verfügbar
• Her­stel­ler­un­ab­hän­gig­keit: Back­up-Soft­ware und Sto­rage-Hard­ware kön­nen unab­hän­gig von­ein­an­der gewech­selt werden
• Kal­ku­lier­ba­re Kos­ten: Kei­ne varia­blen Cloud-Gebüh­ren, kei­ne Über­ra­schun­gen bei der Abrechnung

5. Made in Ger­ma­ny: War­um Her­kunft bei Hard­ware zählt #

War­um Her­stel­ler­her­kunft eine Sou­ve­rä­ni­täts­fra­ge ist #

Bei Daten­sou­ve­rä­ni­tät geht es nicht nur um den Spei­cher­ort — es geht auch um die Her­kunft der Tech­no­lo­gie. Hard­ware, die in einem Dritt­staat ent­wi­ckelt und pro­du­ziert wird, unter­liegt dem dor­ti­gen Rechts­rah­men. Und der kann Hin­ter­tü­ren, Zugriffs­ver­pflich­tun­gen oder Export­be­schrän­kun­gen umfas­sen, die euro­päi­sche Nut­zer nicht kon­trol­lie­ren können.

Die Argu­men­te für euro­päi­sche Hard­ware #

Rechts­rah­men: Hard­ware, die in der EU ent­wi­ckelt und pro­du­ziert wird, unter­liegt aus­schließ­lich euro­päi­schem Recht. Kein CLOUD Act, kein FISA 702, kei­ne extra­ter­ri­to­ria­le Herausgabepflicht.

Lie­fer­ket­ten­si­cher­heit: NIS2 for­dert die Bewer­tung der Lie­fer­ket­ten­si­cher­heit. Ein euro­päi­scher Her­stel­ler bie­tet eine trans­pa­ren­te­re Lie­fer­ket­te als ein glo­ba­ler Kon­zern mit Fer­ti­gung in Dut­zen­den Ländern.

Geo­po­li­ti­sche Unab­hän­gig­keit: In einer Welt zuneh­men­der geo­po­li­ti­scher Span­nun­gen — Export­be­schrän­kun­gen, Sank­tio­nen, Han­dels­kon­flik­te — redu­ziert euro­päi­sche Hard­ware Abhän­gig­kei­ten, die zum stra­te­gi­schen Risi­ko wer­den können.

Daten­schutz by Design: Euro­päi­sche Her­stel­ler ent­wi­ckeln Pro­duk­te im Kon­text der DSGVO und euro­päi­scher Daten­schutz­prin­zi­pi­en. Daten­schutz ist kein nach­träg­li­ches Add-on, son­dern Designprinzip.

FAST LTA: Made in Ger­ma­ny #

FAST LTA GmbH ent­wi­ckelt und fer­tigt alle Spei­cher­sys­te­me in München:

• Silent Brick Sys­tem: Air-Gap-Back­up mit phy­si­scher Netztrennung
• Silent Cubes: Hard­ware-WORM für revi­si­ons­si­che­re Langzeitarchivierung
• Silent AI: On-Premises-KI-Speicher

Alle Sys­te­me: Deut­sche Ent­wick­lung, deut­sche Fer­ti­gung, euro­päi­scher Rechts­rah­men. Kein CLOUD Act. Kein Drittstaaten-Risiko.

→ Mehr über FAST LTA → Pro­duk­te im Überblick

6. Bran­chen­spe­zi­fi­sche Anfor­de­run­gen #

Finanz­dienst­leis­ter: BAIT und DORA #

BAIT (Bank­auf­sicht­li­che Anfor­de­run­gen an die IT): Die BaFin for­dert von Finanz­in­sti­tu­ten, dass IT-Aus­la­ge­run­gen (ein­schließ­lich Cloud-Diens­te) kei­ne Kon­troll­ver­lus­te ver­ur­sa­chen. Back­up-Daten in einer US-Cloud wer­fen spe­zi­fi­sche Fra­gen auf, die mit der Auf­sicht geklärt wer­den müssen.

DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act): Seit 17. Janu­ar 2025 müs­sen Finanz­un­ter­neh­men die Abhän­gig­kei­ten von ICT-Dritt­an­bie­tern (ein­schließ­lich Cloud-Pro­vi­der) bewer­ten und mana­gen. DORA ver­langt Stress­tests und Exit-Stra­te­gien für jeden kri­ti­schen ICT-Dienstleister.

Emp­feh­lung: Kri­ti­sche Back­up-Daten On-Pre­mi­ses mit Air-Gap-Schutz. Cloud nur für unkri­ti­sche Daten oder als ergän­zen­de Red­un­danz bei euro­päi­schen Providern.

Gesund­heits­we­sen: §203 StGB und Pati­en­ten­da­ten #

Im Gesund­heits­we­sen unter­lie­gen Pati­en­ten­da­ten dem straf­recht­li­chen Schutz des §203 StGB (Ver­let­zung von Pri­vat­ge­heim­nis­sen). Die Wei­ter­ga­be an Drit­te — auch an Cloud-Pro­vi­der — ist nur unter engen Vor­aus­set­zun­gen zulässig.

Emp­feh­lung: Pati­en­ten­da­ten-Back­ups aus­schließ­lich On-Pre­mi­ses spei­chern. Hard­ware-WORM für die Lang­zeit­ar­chi­vie­rung medi­zi­ni­scher Doku­men­te (§85 StrlSchG für Strah­len­the­ra­pie-Auf­zeich­nun­gen: 30 Jah­re; §127 StrlSchV für dia­gnos­ti­sche Rönt­gen­auf­nah­men: 10 Jahre).

→ Bran­chen­lö­sung Gesundheitswesen

Öffent­li­che Ver­wal­tung: BSI-Anfor­de­run­gen und VS-NfD #

Behör­den auf Bun­des- und Lan­des­ebe­ne unter­lie­gen den IT-Grund­schutz-Anfor­de­run­gen des BSI. Für Ver­schluss­sa­chen (VS-NfD und höher) gel­ten zusätz­li­che phy­si­sche Sicher­heits­an­for­de­run­gen, die Cloud-Spei­che­rung in vie­len Fäl­len ausschließen.

Emp­feh­lung: On-Pre­mi­ses-Spei­che­rung mit BSI-kon­for­mer Back­up-Archi­tek­tur. Air-Gap-Lay­er für KRI­TIS-rele­van­te Systeme.

→ Bran­chen­lö­sung Öffent­li­che Verwaltung

Indus­trie und KRI­TIS: Pro­duk­ti­ons­da­ten und OT-Sicher­heit #

In der Indus­trie und bei KRI­TIS-Betrei­bern geht es neben per­so­nen­be­zo­ge­nen Daten auch um Pro­duk­ti­ons­da­ten, Rezep­tu­ren, Steue­rungs­kon­fi­gu­ra­tio­nen und OT-Sys­te­me (Ope­ra­tio­nal Tech­no­lo­gy). Die­se Daten sind geschäfts­kri­tisch und dür­fen weder ver­lo­ren gehen noch in fal­sche Hän­de geraten.

Emp­feh­lung: Strik­te Tren­nung von OT- und IT-Back­up. Air-Gap-Schutz für Pro­duk­ti­ons­da­ten-Back­ups. Sou­ve­rä­ne Spei­cher­lö­sung ohne Cloud-Abhängigkeit.

→ Bran­chen­lö­sung Industrie

7. Sou­ve­rä­ne Daten­ar­chi­tek­tur: Refe­renz­mo­dell #

Die vier Prin­zi­pi­en sou­ve­rä­ner Daten­spei­che­rung #

Prin­zip 1: Recht­li­che Klarheit Alle Spei­cher­sys­te­me unter­lie­gen aus­schließ­lich euro­päi­schem Recht. Kei­ne Dritt­staa­ten-Kon­flik­te, kein CLOUD-Act-Risiko.

Prin­zip 2: Phy­si­sche Kontrolle Kri­ti­sche Daten wer­den auf eige­ner Hard­ware gespei­chert, die phy­sisch im eige­nen Rechen­zen­trum steht. Kein Kon­troll­ver­lust durch Drittanbieter.

Prin­zip 3: Offe­ne Standards Stan­dard-Pro­to­kol­le und offe­ne Schnitt­stel­len ver­mei­den Ven­dor Lock-in. Daten sind jeder­zeit portabel.

Prin­zip 4: Aut­ar­ke Wiederherstellbarkeit Im Kri­sen­fall — Netz­werk­aus­fall, Cloud-Aus­fall, Pro­vi­der-Insol­venz — kön­nen alle kri­ti­schen Daten eigen­stän­dig wie­der­her­ge­stellt wer­den, ohne Abhän­gig­keit von exter­nen Diensten.

Refe­renz­ar­chi­tek­tur: Sou­ve­rä­nes Back­up und Archiv #

┌────────────────────────────────────────────────────────┐
│                    EIGENES RECHENZENTRUM                │
│                                                        │
│  Tier 1: Primäres Backup (Silent Brick)                │
│  ├── Schnelle Wiederherstellung (RTO < 1h)             │
│  ├── Standard-Protokolle: NFS, SMB, iSCSI, S3         │
│  └── Vollständig unter eigener Kontrolle               │
│                                                        │
│  Tier 2: Air Gap Layer (Silent Brick Max Air)          │
│  ├── Physische Netztrennung nach Backup                │
│  ├── Ransomware-sichere Wiederherstellung              │
│  └── Hardware Made in Germany                          │
│                                                        │
│  Tier 3: WORM-Archiv (Silent Cubes)                    │
│  ├── Hardware-WORM: physisch unveränderlich             │
│  ├── Revisionssichere Langzeitarchivierung              │
│  └── 10+ Jahre Aufbewahrung, compliance-konform        │
│                                                        │
└────────────────────────────────────────────────────────┘
              │ (optional, nur für Geo-Redundanz)
              ▼
┌────────────────────────────────────────────────────────┐
│  Tier 4: Geo-Redundanz                                 │
│  ├── Option A: Zweiter eigener Standort                │
│  └── Option B: Europäischer Cloud-Provider (ergänzend) │
└────────────────────────────────────────────────────────┘

Ergeb­nis: Eine Archi­tek­tur, die voll­stän­dig sou­ve­rän ist — unter eige­nem Dach, unter eige­nem Recht, mit eige­ner Wiederherstellungsfähigkeit.

→ Pro­duk­te im Überblick

8. Hand­lungs­emp­feh­lun­gen #

Sofort: Quick Wins für mehr Sou­ve­rä­ni­tät #

1. Daten­in­ven­tar erstel­len: Wo lie­gen wel­che Daten? Wel­chem Rechts­rah­men unter­lie­gen die Speichersysteme?
2. CLOUD-Act-Expo­sure bewer­ten: Nut­zen Sie US-Cloud-Pro­vi­der für per­so­nen­be­zo­ge­ne oder geschäfts­kri­ti­sche Daten? Wenn ja: Risi­ko bewer­ten und dokumentieren.
3. Egress-Kos­ten berech­nen: Was wür­de es kos­ten, Ihre Cloud-Daten her­un­ter­zu­la­den? Das ist der Preis Ihrer Abhängigkeit.
4. Back­up-Stand­ort prü­fen: Sind Ihre Back­up-Daten im Kri­sen­fall ohne Netz­werk­ver­bin­dung verfügbar?

Mit­tel­fris­tig: Archi­tek­tur anpas­sen #

1. Kri­ti­sche Daten On-Pre­mi­ses brin­gen: Back­up- und Archiv­da­ten mit hohem Schutz­be­darf auf eige­ne, sou­ve­rä­ne Hard­ware migrieren.
2. Air-Gap-Lay­er ein­füh­ren: Phy­sisch iso­lier­tes Back­up für Ran­som­wa­re-Resi­li­enz und ope­ra­ti­ve Souveränität.
3. WORM-Archi­vie­rung imple­men­tie­ren: Revi­si­ons­si­che­re Lang­zeit­ar­chi­vie­rung auf Hard­ware-WORM — ohne Cloud-Abhängigkeit.
4. Ven­dor Lock-in redu­zie­ren: Auf Stan­dard-Pro­to­kol­le und offe­ne Schnitt­stel­len umstellen.

Lang­fris­tig: Sou­ve­rä­ni­tät als Stra­te­gie #

1. Lie­fer­ket­ten­be­wer­tung nach NIS2: Hard­ware- und Soft­ware-Her­stel­ler auf Her­kunft, Rechts­rah­men und Abhän­gig­kei­ten bewerten.
2. Euro­päi­sche Alter­na­ti­ven eva­lu­ie­ren: Für neue Pro­jek­te euro­päi­sche Anbie­ter bevor­zu­gen — GAIA-X-kom­pa­ti­bel, DSGVO-nativ, ohne Drittstaaten-Risiken.