---
title: Datensouveränität
date: 2026-04-16T10:59:00+02:00
author: Hannes Heckel
canonical_url: "https://www.fast-lta.de//de/blog/datensouveränität"
section: Pillar Pages
---
[1. 1. Was bedeutet Datensouveränität?](#1-was-bedeutet-datensouver%C3%A4nit%C3%A4t)[1. 2. Die regulatorische Landschaft](#2-die-regulatorische-landschaft)[1. 3. Cloud vs. On-Premises: Die Souveränitätsfrage](#3-cloud-vs-on-premises-die-souver%C3%A4nit%C3%A4tsfrage)[1. 4. Vendor Lock-in: Das unterschätzte Risiko](#4-vendor-lock-in-das-untersch%C3%A4tzte-risiko)[1. 5. Made in Germany: Warum Herkunft bei Hardware zählt](#5-made-in-germany-warum-herkunft-bei-hardware-z%C3%A4hlt)[1. 6. Branchenspezifische Anforderungen](#6-branchenspezifische-anforderungen)[1. 7. Souveräne Datenarchitektur: Referenzmodell](#7-souver%C3%A4ne-datenarchitektur-referenzmodell)[1. 8. Handlungsempfehlungen](#8-handlungsempfehlungen)[1. 9. Häufige Fragen (FAQ)](#9-h%C3%A4ufige-fragen-faq)
### 1. Was bedeu­tet Daten­sou­ve­rä­ni­tät? [\#](#1-was-bedeutet-datensouver%C3%A4nit%C3%A4t "1. Was bedeutet Datensouveränität?")

Daten­sou­ve­rä­ni­tät hat drei Dimensionen:

#### Dimen­si­on 1: Recht­li­che Sou­ve­rä­ni­tät [\#](#dimension-1-rechtliche-souver%C3%A4nit%C3%A4t "Dimension 1: Rechtliche Souveränität")

Ihre Daten unter­lie­gen dem Rechts­rah­men, den Sie wäh­len — nicht dem eines Dritt­staats. Das bedeu­tet: Die Daten wer­den in einer Juris­dik­ti­on gespei­chert und ver­ar­bei­tet, deren Daten­schutz­ge­set­ze Sie ken­nen und akzep­tie­ren. Für euro­päi­sche Unter­neh­men heißt das: DSGVO als pri­mä­rer Rechts­rah­men, ohne Kon­flik­te durch extra­ter­ri­to­ria­le Geset­ze wie den US CLOUD Act.

#### Dimen­si­on 2: Tech­ni­sche Sou­ve­rä­ni­tät [\#](#dimension-2-technische-souver%C3%A4nit%C3%A4t "Dimension 2: Technische Souveränität")

Sie haben die tech­ni­sche Kon­trol­le über Ihre Daten — unab­hän­gig von einem ein­zel­nen Anbie­ter. Das bedeutet:

- Zugriff auf Ihre Daten ist jeder­zeit mög­lich, ohne Geneh­mi­gung eines Dritten
- Daten kön­nen ohne unver­hält­nis­mä­ßi­gen Auf­wand zu einem ande­ren Sys­tem migriert werden
- Kein Sin­gle Point of Fail­ure durch einen ein­zel­nen Cloud-Provider

#### Dimen­si­on 3: Ope­ra­ti­ve Sou­ve­rä­ni­tät [\#](#dimension-3-operative-souver%C3%A4nit%C3%A4t "Dimension 3: Operative Souveränität")

Sie kön­nen Ihre Daten eigen­stän­dig ver­wal­ten, sichern und wie­der­her­stel­len — ohne Abhän­gig­keit von exter­nen Diens­ten oder Netz­werk­ver­bin­dun­gen. Im Kri­sen­fall (Cyber­an­griff, Netz­werk­aus­fall, Pro­vi­der-Insol­venz) bleibt Ihre Daten­ver­füg­bar­keit gewährleistet.

#### War­um Daten­sou­ve­rä­ni­tät jetzt rele­vant ist [\#](#warum-datensouver%C3%A4nit%C3%A4t-jetzt-relevant-ist "Warum Datensouveränität jetzt relevant ist")

Ent­wick­lungAus­wir­kung auf Datensouveränität**Schrems-II-Urteil (2020)**EU-US Pri­va­cy Shield für ungül­tig erklärt; Daten­trans­fers in die USA recht­lich unsicher**US CLOUD Act (2018)**US-Behör­den kön­nen Zugriff auf Daten for­dern, die von US-Unter­neh­men gespei­chert wer­den — auch wenn die Ser­ver in der EU stehen**EU-US Data Pri­va­cy Frame­work (2023)**Nach­fol­ger des Pri­va­cy Shield; recht­lich fra­gil — nächs­tes Schrems-Urteil möglich**NIS2 (2024)**Stren­ge­re Anfor­de­run­gen an Daten­si­che­rung und Lieferkettensicherheit**DORA (17. Janu­ar 2025)**Digi­tal Ope­ra­tio­nal Resi­li­ence Act für Finanz­sek­tor; Anfor­de­run­gen an ICT-Drittanbieter**EU Data Act (12. Sep­tem­ber 2025)**Neue Regeln für Daten­por­ta­bi­li­tät und Cloud-Wechsel### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

  

[###### Post | 16.12.2025

Was ist Datensouveränität? Definition und drei Dimensionen

"Datensouveränität" ist ein Modewort in der IT-Industrie. Aber was bedeutet es wirklich? Und wie unterscheidet es sich von "Datenschutz"?Einfache Definition: Datensouveränität bedeutet, dass Sie die vollständige Kontrolle über Ihre Daten haben — rechtlich, technisch und operativ.Dieser Artikel erklärt die drei Dimensionen und warum das für Ihr Unternehmen wichtig ist.

[](https://www.fast-lta.de//de/blog/was-ist-datensouver%C3%A4nit%C3%A4t-definition-und-drei-dimensionen "Was ist Datensouveränität? Definition und drei Dimensionen")](https://www.fast-lta.de//de/blog/was-ist-datensouver%C3%A4nit%C3%A4t-definition-und-drei-dimensionen "Was ist Datensouveränität? Definition und drei Dimensionen")[###### Post | 10.02.2026

EU-US Data Privacy Framework: Wie stabil ist der neue Rahmen?

Das EU-US Data Privacy Framework (DPF) ist seit Juli 2023 gültig. Es soll die Umsetzung von Schrems II klären und wieder ermöglichen, Personendaten in die USA zu transferieren. Aber ist es wirklich sicher?Kurz: Nein, nicht vollständig. Der CLOUD Act gilt weiter, und neue Gerichtsurteile (Schrems III befürchtet) können alles wieder umstoßen.

[](https://www.fast-lta.de//de/blog/eu-us-data-privacy-framework-wie-stabil-ist-der-neue-rahmen "EU-US Data Privacy Framework: Wie stabil ist der neue Rahmen?")](https://www.fast-lta.de//de/blog/eu-us-data-privacy-framework-wie-stabil-ist-der-neue-rahmen "EU-US Data Privacy Framework: Wie stabil ist der neue Rahmen?")[![3949693e0b2da4b12a356d10549bd98c MD5 | FAST LTA](https://fast-lta.transforms.svdcdn.com/production/images/blog/3949693e0b2da4b12a356d10549bd98c_MD5.jpg?w=960&q=80&auto=format%2Cavif&fit=crop&dm=1776231132&s=39509ece2650fb43a54e458c64aecb94)](https://www.fast-lta.de//de/blog/eu-daten-in-den-h%C3%A4nden-der-usa "EU-Daten in den Händen der USA")[###### Fachartikel | 25.03.2025

EU-Daten in den Händen der USA

[](https://www.fast-lta.de//de/blog/eu-daten-in-den-h%C3%A4nden-der-usa "EU-Daten in den Händen der USA")](https://www.fast-lta.de//de/blog/eu-daten-in-den-h%C3%A4nden-der-usa "EU-Daten in den Händen der USA")

### 2. Die regu­la­to­ri­sche Land­schaft [\#](#2-die-regulatorische-landschaft "2. Die regulatorische Landschaft")

#### DSGVO: Das Fun­da­ment [\#](#dsgvo-das-fundament "DSGVO: Das Fundament")

Die Daten­schutz-Grund­ver­ord­nung (DSGVO/GDPR) ist der regu­la­to­ri­sche Rah­men, der Daten­sou­ve­rä­ni­tät für euro­päi­sche Unter­neh­men defi­niert. Die rele­van­tes­ten Arti­kel für die Datenspeicherung:

**Art. 44 – 49 DSGVO — Daten­über­mitt­lung in Drittländer:** Per­so­nen­be­zo­ge­ne Daten dür­fen nur in Dritt­län­der über­mit­telt wer­den, wenn ein ange­mes­se­nes Schutz­ni­veau gewähr­leis­tet ist. Für die USA gilt seit 2023 das EU-US Data Pri­va­cy Frame­work — des­sen lang­fris­ti­ge Sta­bi­li­tät jedoch unge­wiss ist.

**Art. 32 DSGVO — Sicher­heit der Verarbeitung:** Der Ver­ant­wort­li­che muss tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men tref­fen, die dem Risi­ko ange­mes­sen sind — ein­schließ­lich Ver­schlüs­se­lung, Pseud­ony­mi­sie­rung und der Fähig­keit, die Ver­füg­bar­keit per­so­nen­be­zo­ge­ner Daten nach einem Zwi­schen­fall rasch wiederherzustellen.

**Art. 28 DSGVO — Auftragsverarbeiter:** Cloud-Pro­vi­der als Auf­trags­ver­ar­bei­ter müs­sen ver­trag­lich gebun­den wer­den; der Ver­ant­wort­li­che bleibt ver­ant­wort­lich für die Ein­hal­tung aller DSGVO-Anfor­de­run­gen — auch wenn die Daten bei einem exter­nen Anbie­ter liegen.

#### US CLOUD Act: Das Kon­flikt­po­ten­zi­al [\#](#us-cloud-act-das-konfliktpotenzial "US CLOUD Act: Das Konfliktpotenzial")

Der Cla­ri­fy­ing Lawful Over­se­as Use of Data Act (CLOUD Act, 2018) ermäch­tigt US-Behör­den, von US-Unter­neh­men die Her­aus­ga­be von Daten zu ver­lan­gen — **unab­hän­gig davon, wo die­se Daten phy­sisch gespei­chert sind**. Das betrifft:

- Ama­zon Web Ser­vices (AWS)
- Micro­soft Azure
- Goog­le Cloud Plat­form (GCP)
- Alle wei­te­ren US-Cloud-Pro­vi­der und deren Tochtergesellschaften

**Die prak­ti­sche Kon­se­quenz:** Wenn Ihr Back­up bei einem US-Cloud-Pro­vi­der liegt — auch auf einem Ser­ver in Frank­furt — kann eine US-Behör­de die Her­aus­ga­be die­ser Daten ver­lan­gen. Der Pro­vi­der steht dann vor einem Kon­flikt zwi­schen US-Recht (Her­aus­ga­be­pflicht) und EU-Recht (DSGVO-Ver­bot der Herausgabe).

**Wie bewer­ten Daten­schutz­be­hör­den die­ses Risiko?**

Die euro­päi­schen Daten­schutz­be­hör­den (ins­be­son­de­re die öster­rei­chi­sche DSB, die fran­zö­si­sche CNIL und das baye­ri­sche LDA) haben in meh­re­ren Ent­schei­dun­gen fest­ge­stellt, dass die Nut­zung von US-Cloud-Diens­ten für bestimm­te Daten­ka­te­go­rien ein unzu­rei­chen­des Schutz­ni­veau dar­stellt — unab­hän­gig vom Data Pri­va­cy Framework.

#### NIS2 und Lie­fer­ket­ten­si­cher­heit [\#](#nis2-und-lieferkettensicherheit "NIS2 und Lieferkettensicherheit")

Die NIS2-Richt­li­nie (§30 BSIG-neu, seit Dezem­ber 2025 in Kraft) for­dert expli­zit die Bewer­tung der Sicher­heit in der Lie­fer­ket­te. Cloud-Pro­vi­der und Back­up-Soft­ware-Her­stel­ler sind Teil die­ser Lie­fer­ket­te. Für NIS2-betrof­fe­ne Unter­neh­men stellt sich die Fra­ge: Wel­chem Rechts­rah­men unter­liegt mein Back­up-Pro­vi­der? Und wel­che Risi­ken erge­ben sich daraus?

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

  

[###### Post | 02.12.2025

DSGVO und Cloud-Speicherung: Rechtskonformer Umgang mit Personenbezogenen Daten

Die DSGVO erlaubt Datenspeicherung in der Cloud — aber mit strikten Bedingungen. Besonders Drittlandtransfers (in die USA, China, etc.) sind komplex. Viele Unternehmen wissen nicht, dass sie aktuell illegal agieren.Dieser Artikel erklärt die DSGVO-Anforderungen für Cloud-Speicherung.

[](https://www.fast-lta.de//de/blog/dsgvo-und-cloud-speicherung-rechtskonformer-umgang-mit-personenbezogenen-daten "DSGVO und Cloud-Speicherung: Rechtskonformer Umgang mit Personenbezogenen Daten")](https://www.fast-lta.de//de/blog/dsgvo-und-cloud-speicherung-rechtskonformer-umgang-mit-personenbezogenen-daten "DSGVO und Cloud-Speicherung: Rechtskonformer Umgang mit Personenbezogenen Daten")[###### Post | 04.12.2025

US CLOUD Act erklärt: Warum der Serverstandort allein nicht schützt

Das ist das größte Missverständnis in der Cloud-Welt: "Meine Daten liegen auf einem Server in Frankfurt, also sind sie sicher vor US-Behörden."Das ist falsch. Der US CLOUD Act macht Serverstandort egal.

[](https://www.fast-lta.de//de/blog/us-cloud-act-erkl%C3%A4rt-warum-der-serverstandort-allein-nicht-sch%C3%BCtzt "US CLOUD Act erklärt: Warum der Serverstandort allein nicht schützt")](https://www.fast-lta.de//de/blog/us-cloud-act-erkl%C3%A4rt-warum-der-serverstandort-allein-nicht-sch%C3%BCtzt "US CLOUD Act erklärt: Warum der Serverstandort allein nicht schützt")[###### Post | 07.01.2026

NIS2 einfach erklärt: Wer ist betroffen und was muss ich tun?

NIS2 ist da. Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) trat in Deutschland am 6. Dezember 2025 in Kraft — in Form der Umsetzungsverordnung NIS2UmsuCG. Das bedeutet: Tausende Unternehmen müssen jetzt konkrete IT-Sicherheitsmaßnahmen umsetzen. Und wer nicht, riskiert Bußgelder bis 10 Millionen EUR.Dieser Artikel erklärt, wer betroffen ist, welche Anforderungen gelten, und was Sie jetzt tun müssen.

[](https://www.fast-lta.de//de/blog/nis2-einfach-erkl%C3%A4rt-wer-ist-betroffen-und-was-muss-ich-tun "NIS2 einfach erklärt: Wer ist betroffen und was muss ich tun?")](https://www.fast-lta.de//de/blog/nis2-einfach-erkl%C3%A4rt-wer-ist-betroffen-und-was-muss-ich-tun "NIS2 einfach erklärt: Wer ist betroffen und was muss ich tun?")

### 3. Cloud vs. On-Pre­mi­ses: Die Sou­ve­rä­ni­täts­fra­ge [\#](#3-cloud-vs-on-premises-die-souver%C3%A4nit%C3%A4tsfrage "3. Cloud vs. On-Premises: Die Souveränitätsfrage")

#### Die Cloud-Ver­spre­chen — und ihre Gren­zen [\#](#die-cloud-versprechen-und-ihre-grenzen "Die Cloud-Versprechen — und ihre Grenzen")

Cloud-Spei­cher bie­tet unbe­streit­ba­re Vor­tei­le: Ska­lier­bar­keit, Pay-as-you-go-Model­le, glo­ba­le Ver­füg­bar­keit. Aber für die Daten­sou­ve­rä­ni­tät erge­ben sich spe­zi­fi­sche Risiken:

Kri­te­ri­umPublic Cloud (US-Hypers­ca­ler)Euro­päi­sche CloudOn-Pre­mi­ses**Rechts­rah­men**DSGVO + CLOUD Act KonfliktDSGVODSGVO**Phy­si­sche Kontrolle**Kei­ne — Pro­vi­der bestimmt StandortBegrenztVoll­stän­dig**Ven­dor Lock-in**Hoch — pro­prie­tä­re APIs und FormateMit­telKei­ner**Zugriff bei Netzausfall**Unmög­lichUnmög­lichGewähr­leis­tet**Daten­por­ta­bi­li­tät**Auf­wen­dig (Egress-Kos­ten)Mit­telSofort**Behör­den­zu­griff Drittstaaten**Ja (CLOUD Act)Nein (bei EU-Anbietern)Nein**Gesamt­kos­ten (5 Jah­re, 100 TB)**Kal­ku­lier­bar mit Egress-ÜberraschungenMit­telKal­ku­lier­bar#### Wann Cloud sinn­voll ist — und wann nicht [\#](#wann-cloud-sinnvoll-ist-und-wann-nicht "Wann Cloud sinnvoll ist — und wann nicht")

**Cloud sinn­voll:**

- Für unkri­ti­sche Daten ohne per­so­nen­be­zo­ge­ne Informationen
- Als ergän­zen­de geo­gra­fi­sche Red­un­danz (Tier 4)
- Für kurz­fris­ti­ge Skalierungsspitzen
- Wenn die Orga­ni­sa­ti­on kei­ne eige­ne Rechen­zen­trums­in­fra­struk­tur betreibt

**Cloud pro­ble­ma­tisch:**

- Für Back­up-Daten, die im Kri­sen­fall off­line ver­füg­bar sein müssen
- Für per­so­nen­be­zo­ge­ne Daten mit hohem Schutzbedarf
- Für regu­lier­te Bran­chen mit strik­ten Anfor­de­run­gen an Daten­stand­ort (BAIT, §203 StGB)
- Wenn Sin­gle-Point-of-Fail­ure-Risi­ken ver­mie­den wer­den müssen

#### Die hybri­de Rea­li­tät [\#](#die-hybride-realit%C3%A4t "Die hybride Realität")

In der Pra­xis fah­ren die meis­ten Orga­ni­sa­tio­nen einen hybri­den Ansatz. Die Sou­ve­rä­ni­täts­fra­ge lau­tet dann nicht ​„Cloud oder On-Pre­mi­ses?”, son­dern: **Wel­che Daten gehö­ren wo hin?**

**Emp­feh­lung für eine sou­ve­rä­ne hybri­de Architektur:**

- **Tier 1 (Pri­mä­res Back­up):** On-Pre­mi­ses — schnel­ler Zugriff, vol­le Kontrolle
- **Tier 2 (Air Gap):** On-Pre­mi­ses — phy­si­sche Iso­la­ti­on, kei­ne Cloud-Abhängigkeit
- **Tier 3 (Lang­zeit­ar­chiv):** On-Pre­mi­ses — revi­si­ons­si­che­re WORM-Spei­che­rung unter eige­nem Dach
- **Tier 4 (Geo-Red­un­danz):** Euro­päi­sche Cloud ODER zwei­ter On-Premises-Standort

**Der ent­schei­den­de Punkt:** Ihre kri­tischs­ten Daten — Back­ups für den Kri­sen­fall — soll­ten nicht von einer Netz­werk­ver­bin­dung, einem Cloud-Pro­vi­der oder einem Dritt­staa­ten-Rechts­rah­men abhängen.

→ [Silent Brick Sys­tem: On-Pre­mi­ses Air-Gap-Backup](/de/produkte/silent-brick-system/)

### Air Gap

Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

  

[###### Post | 06.01.2026

Egress-Kosten: Die versteckten Kosten Ihres Cloud-Backups

Cloud-Backups sehen günstig aus: "S3 kostet 0,02 EUR/GB/Monat!" Aber wenn Sie Ihre Daten rausholen (Recovery, Migration), zahlen Sie Egress-Kosten: 0,05–0,12 EUR/GB — 5–6x höher!Eine 100-TB-Migration kostet plötzlich 6.000–12.500 EUR nur für den Transfer. Das ist ein Hidden Charge, der Unternehmen überrascht.

[](https://www.fast-lta.de//de/blog/egress-kosten-die-versteckten-kosten-ihres-cloud-backups "Egress-Kosten: Die versteckten Kosten Ihres Cloud-Backups")](https://www.fast-lta.de//de/blog/egress-kosten-die-versteckten-kosten-ihres-cloud-backups "Egress-Kosten: Die versteckten Kosten Ihres Cloud-Backups")

#### Wie souverän ist Ihre Dateninfrastruktur?

Unsere Architekten bewerten Ihre aktuelle Speicher- und Backup-Architektur auf Souveränitätsrisiken — kostenlos und unverbindlich.

 

### 4. Ven­dor Lock-in: Das unter­schätz­te Risi­ko [\#](#4-vendor-lock-in-das-untersch%C3%A4tzte-risiko "4. Vendor Lock-in: Das unterschätzte Risiko")

#### Was Ven­dor Lock-in bedeu­tet [\#](#was-vendor-lock-in-bedeutet "Was Vendor Lock-in bedeutet")

Ven­dor Lock-in ent­steht, wenn die Abhän­gig­keit von einem ein­zel­nen Anbie­ter so groß wird, dass ein Wech­sel unver­hält­nis­mä­ßig teu­er, zeit­auf­wen­dig oder tech­nisch schwie­rig ist. Bei Cloud-Spei­cher und Back­up mani­fes­tiert sich das in:

- **Pro­prie­tä­re Daten­for­ma­te:** Back­up-Daten in her­stel­ler­spe­zi­fi­schen For­ma­ten, die nicht ohne Wei­te­res migrier­bar sind
- **Egress-Kos­ten:** Cloud-Pro­vi­der berech­nen hohe Gebüh­ren für das Her­un­ter­la­den eige­ner Daten (typisch: 0,05 – 0,12 EUR/GB)
- **API-Abhän­gig­kei­ten:** Appli­ka­tio­nen, die auf pro­vi­der-spe­zi­fi­sche APIs aufsetzen
- **Ver­trag­li­che Bin­dung:** Lang­fris­ti­ge Ver­trä­ge mit Mindestabnahmen

#### Die Kos­ten des Lock-in [\#](#die-kosten-des-lock-in "Die Kosten des Lock-in")

**Bei­spiel­rech­nung: 100 TB Back­up-Daten bei einem Hypers­ca­ler migrieren**

Kos­ten­fak­torBetragEgress-Kos­ten (100 TB × 0,09 EUR/GB)9.000 EURMigra­ti­ons­auf­wand (Per­so­nal, 2 Wochen)15.000 – 30.000 EURPar­al­lel­be­trieb wäh­rend Migration5.000 – 10.000 EURRisi­ko: Aus­fall­zei­ten wäh­rend MigrationNicht bezif­fer­bar**Gesamt­kos­ten eines Provider-Wechsels****30.000 – 50.000 EUR**Die­se Kos­ten fal­len jedes Mal an, wenn Sie den Pro­vi­der wech­seln wol­len — oder müs­sen. Und sie stei­gen line­ar mit dem Datenvolumen.

#### Der EU Data Act und Daten­por­ta­bi­li­tät [\#](#der-eu-data-act-und-datenportabilit%C3%A4t "Der EU Data Act und Datenportabilität")

Der EU Data Act (in Kraft seit 12. Sep­tem­ber 2025) adres­siert die­ses Pro­blem teilweise:

- Cloud-Pro­vi­der müs­sen den Wech­sel zu einem ande­ren Anbie­ter erleichtern
- Egress-Gebüh­ren für Anbie­ter­wech­sel sol­len schritt­wei­se entfallen
- Min­dest­an­for­de­run­gen an Inter­ope­ra­bi­li­tät wer­den definiert

Aber: Die voll­stän­di­ge Umset­zung braucht Zeit, und pro­prie­tä­re Daten­for­ma­te blei­ben ein prak­ti­sches Hindernis.

#### Die sou­ve­rä­ne Alter­na­ti­ve: Offe­ne Stan­dards, loka­le Kon­trol­le [\#](#die-souver%C3%A4ne-alternative-offene-standards-lokale-kontrolle "Die souveräne Alternative: Offene Standards, lokale Kontrolle")

On-Pre­mi­ses-Spei­cher­lö­sun­gen mit offe­nen Schnitt­stel­len eli­mi­nie­ren das Lock-in-Risiko:

- **Stan­dard-Pro­to­kol­le:** NFS, SMB, iSCSI, FC, S3-kom­pa­ti­bel — kei­ne pro­prie­tä­ren Formate
- **Kei­ne Egress-Kos­ten:** Ihre Daten sind jeder­zeit lokal verfügbar
- **Her­stel­ler­un­ab­hän­gig­keit:** Back­up-Soft­ware und Sto­rage-Hard­ware kön­nen unab­hän­gig von­ein­an­der gewech­selt werden
- **Kal­ku­lier­ba­re Kos­ten:** Kei­ne varia­blen Cloud-Gebüh­ren, kei­ne Über­ra­schun­gen bei der Abrechnung

  

[###### Post | 20.01.2026

EU Data Act: Was sich für Cloud-Nutzer ändert

Der EU Data Act trat am 12. September 2025 in Kraft. Das ist ein neues Gesetz, das Cloud-Provider zwingt, Ihre Daten portabler zu machen und die Abhängigkeit (Vendor Lock-in) zu reduzieren.Die praktischen Implikationen sind sehr wichtig für IT-Entscheider, aber viele kennen das Gesetz noch nicht.

[](https://www.fast-lta.de//de/blog/eu-data-act-was-sich-f%C3%BCr-cloud-nutzer-%C3%A4ndert "EU Data Act: Was sich für Cloud-Nutzer ändert")](https://www.fast-lta.de//de/blog/eu-data-act-was-sich-f%C3%BCr-cloud-nutzer-%C3%A4ndert "EU Data Act: Was sich für Cloud-Nutzer ändert")

### 5. Made in Ger­ma­ny: War­um Her­kunft bei Hard­ware zählt [\#](#5-made-in-germany-warum-herkunft-bei-hardware-z%C3%A4hlt "5. Made in Germany: Warum Herkunft bei Hardware zählt")

#### War­um Her­stel­ler­her­kunft eine Sou­ve­rä­ni­täts­fra­ge ist [\#](#warum-herstellerherkunft-eine-souver%C3%A4nit%C3%A4tsfrage-ist "Warum Herstellerherkunft eine Souveränitätsfrage ist")

Bei Daten­sou­ve­rä­ni­tät geht es nicht nur um den Spei­cher­ort — es geht auch um die Her­kunft der Tech­no­lo­gie. Hard­ware, die in einem Dritt­staat ent­wi­ckelt und pro­du­ziert wird, unter­liegt dem dor­ti­gen Rechts­rah­men. Und der kann Hin­ter­tü­ren, Zugriffs­ver­pflich­tun­gen oder Export­be­schrän­kun­gen umfas­sen, die euro­päi­sche Nut­zer nicht kon­trol­lie­ren können.

#### Die Argu­men­te für euro­päi­sche Hard­ware [\#](#die-argumente-f%C3%BCr-europ%C3%A4ische-hardware "Die Argumente für europäische Hardware")

**Rechts­rah­men:** Hard­ware, die in der EU ent­wi­ckelt und pro­du­ziert wird, unter­liegt aus­schließ­lich euro­päi­schem Recht. Kein CLOUD Act, kein FISA 702, kei­ne extra­ter­ri­to­ria­le Herausgabepflicht.

**Lie­fer­ket­ten­si­cher­heit:** NIS2 for­dert die Bewer­tung der Lie­fer­ket­ten­si­cher­heit. Ein euro­päi­scher Her­stel­ler bie­tet eine trans­pa­ren­te­re Lie­fer­ket­te als ein glo­ba­ler Kon­zern mit Fer­ti­gung in Dut­zen­den Ländern.

**Geo­po­li­ti­sche Unab­hän­gig­keit:** In einer Welt zuneh­men­der geo­po­li­ti­scher Span­nun­gen — Export­be­schrän­kun­gen, Sank­tio­nen, Han­dels­kon­flik­te — redu­ziert euro­päi­sche Hard­ware Abhän­gig­kei­ten, die zum stra­te­gi­schen Risi­ko wer­den können.

**Daten­schutz by Design:** Euro­päi­sche Her­stel­ler ent­wi­ckeln Pro­duk­te im Kon­text der DSGVO und euro­päi­scher Daten­schutz­prin­zi­pi­en. Daten­schutz ist kein nach­träg­li­ches Add-on, son­dern Designprinzip.

#### FAST LTA: Made in Ger­ma­ny [\#](#fast-lta-made-in-germany "FAST LTA: Made in Germany")

FAST LTA GmbH ent­wi­ckelt und fer­tigt alle Spei­cher­sys­te­me in München:

- **Silent Brick Sys­tem:** Air-Gap-Back­up mit phy­si­scher Netztrennung
- **Silent Cubes:** Hard­ware-WORM für revi­si­ons­si­che­re Langzeitarchivierung
- **Silent AI:** On-Premises-KI-Speicher

Alle Sys­te­me: Deut­sche Ent­wick­lung, deut­sche Fer­ti­gung, euro­päi­scher Rechts­rah­men. Kein CLOUD Act. Kein Drittstaaten-Risiko.

→ [Mehr über FAST LTA](/de/fast/wir/) → [Pro­duk­te im Überblick](/de/produkte/)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

  

### 6. Bran­chen­spe­zi­fi­sche Anfor­de­run­gen [\#](#6-branchenspezifische-anforderungen "6. Branchenspezifische Anforderungen")

#### Finanz­dienst­leis­ter: BAIT und DORA [\#](#finanzdienstleister-bait-und-dora "Finanzdienstleister: BAIT und DORA")

**BAIT (Bank­auf­sicht­li­che Anfor­de­run­gen an die IT):** Die BaFin for­dert von Finanz­in­sti­tu­ten, dass IT-Aus­la­ge­run­gen (ein­schließ­lich Cloud-Diens­te) kei­ne Kon­troll­ver­lus­te ver­ur­sa­chen. Back­up-Daten in einer US-Cloud wer­fen spe­zi­fi­sche Fra­gen auf, die mit der Auf­sicht geklärt wer­den müssen.

**DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act):** Seit 17. Janu­ar 2025 müs­sen Finanz­un­ter­neh­men die Abhän­gig­kei­ten von ICT-Dritt­an­bie­tern (ein­schließ­lich Cloud-Pro­vi­der) bewer­ten und mana­gen. DORA ver­langt Stress­tests und Exit-Stra­te­gien für jeden kri­ti­schen ICT-Dienstleister.

**Emp­feh­lung:** Kri­ti­sche Back­up-Daten On-Pre­mi­ses mit Air-Gap-Schutz. Cloud nur für unkri­ti­sche Daten oder als ergän­zen­de Red­un­danz bei euro­päi­schen Providern.

#### Gesund­heits­we­sen: §203 StGB und Pati­en­ten­da­ten [\#](#gesundheitswesen-203-stgb-und-patientendaten "Gesundheitswesen: §203 StGB und Patientendaten")

Im Gesund­heits­we­sen unter­lie­gen Pati­en­ten­da­ten dem straf­recht­li­chen Schutz des §203 StGB (Ver­let­zung von Pri­vat­ge­heim­nis­sen). Die Wei­ter­ga­be an Drit­te — auch an Cloud-Pro­vi­der — ist nur unter engen Vor­aus­set­zun­gen zulässig.

**Emp­feh­lung:** Pati­en­ten­da­ten-Back­ups aus­schließ­lich On-Pre­mi­ses spei­chern. Hard­ware-WORM für die Lang­zeit­ar­chi­vie­rung medi­zi­ni­scher Doku­men­te (§85 StrlSchG für Strah­len­the­ra­pie-Auf­zeich­nun­gen: 30 Jah­re; §127 StrlSchV für dia­gnos­ti­sche Rönt­gen­auf­nah­men: 10 Jahre).

→ [Bran­chen­lö­sung Gesundheitswesen](/de/branchen/gesundheitswesen/)

#### Öffent­li­che Ver­wal­tung: BSI-Anfor­de­run­gen und VS-NfD [\#](#%C3%B6ffentliche-verwaltung-bsi-anforderungen-und-vs-nfd "Öffentliche Verwaltung: BSI-Anforderungen und VS-NfD")

Behör­den auf Bun­des- und Lan­des­ebe­ne unter­lie­gen den IT-Grund­schutz-Anfor­de­run­gen des BSI. Für Ver­schluss­sa­chen (VS-NfD und höher) gel­ten zusätz­li­che phy­si­sche Sicher­heits­an­for­de­run­gen, die Cloud-Spei­che­rung in vie­len Fäl­len ausschließen.

**Emp­feh­lung:** On-Pre­mi­ses-Spei­che­rung mit BSI-kon­for­mer Back­up-Archi­tek­tur. Air-Gap-Lay­er für KRI­TIS-rele­van­te Systeme.

→ [Bran­chen­lö­sung Öffent­li­che Verwaltung](/de/branchen/oeffentliche-verwaltung/)

#### Indus­trie und KRI­TIS: Pro­duk­ti­ons­da­ten und OT-Sicher­heit [\#](#industrie-und-kritis-produktionsdaten-und-ot-sicherheit "Industrie und KRITIS: Produktionsdaten und OT-Sicherheit")

In der Indus­trie und bei KRI­TIS-Betrei­bern geht es neben per­so­nen­be­zo­ge­nen Daten auch um Pro­duk­ti­ons­da­ten, Rezep­tu­ren, Steue­rungs­kon­fi­gu­ra­tio­nen und OT-Sys­te­me (Ope­ra­tio­nal Tech­no­lo­gy). Die­se Daten sind geschäfts­kri­tisch und dür­fen weder ver­lo­ren gehen noch in fal­sche Hän­de geraten.

**Emp­feh­lung:** Strik­te Tren­nung von OT- und IT-Back­up. Air-Gap-Schutz für Pro­duk­ti­ons­da­ten-Back­ups. Sou­ve­rä­ne Spei­cher­lö­sung ohne Cloud-Abhängigkeit.

→ [Bran­chen­lö­sung Industrie](/de/branchen/industrie/)

### DORA

DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)

### DORA

DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

  

#### Souveräne Backup-Architektur für Ihre Branche

Wir kennen die regulatorischen Anforderungen Ihrer Branche — und zeigen Ihnen, wie eine souveräne Architektur konkret aussieht.

 

[Backup-Beratung anfragen ](https://www.fast-lta.de//de/fast/kontakt/backup "Backup-Beratung anfragen")

### 7. Sou­ve­rä­ne Daten­ar­chi­tek­tur: Refe­renz­mo­dell [\#](#7-souver%C3%A4ne-datenarchitektur-referenzmodell "7. Souveräne Datenarchitektur: Referenzmodell")

#### Die vier Prin­zi­pi­en sou­ve­rä­ner Daten­spei­che­rung [\#](#die-vier-prinzipien-souver%C3%A4ner-datenspeicherung "Die vier Prinzipien souveräner Datenspeicherung")

**Prin­zip 1: Recht­li­che Klarheit** Alle Spei­cher­sys­te­me unter­lie­gen aus­schließ­lich euro­päi­schem Recht. Kei­ne Dritt­staa­ten-Kon­flik­te, kein CLOUD-Act-Risiko.

**Prin­zip 2: Phy­si­sche Kontrolle** Kri­ti­sche Daten wer­den auf eige­ner Hard­ware gespei­chert, die phy­sisch im eige­nen Rechen­zen­trum steht. Kein Kon­troll­ver­lust durch Drittanbieter.

**Prin­zip 3: Offe­ne Standards** Stan­dard-Pro­to­kol­le und offe­ne Schnitt­stel­len ver­mei­den Ven­dor Lock-in. Daten sind jeder­zeit portabel.

**Prin­zip 4: Aut­ar­ke Wiederherstellbarkeit** Im Kri­sen­fall — Netz­werk­aus­fall, Cloud-Aus­fall, Pro­vi­der-Insol­venz — kön­nen alle kri­ti­schen Daten eigen­stän­dig wie­der­her­ge­stellt wer­den, ohne Abhän­gig­keit von exter­nen Diensten.

#### Refe­renz­ar­chi­tek­tur: Sou­ve­rä­nes Back­up und Archiv [\#](#referenzarchitektur-souver%C3%A4nes-backup-und-archiv "Referenzarchitektur: Souveränes Backup und Archiv")

```
┌────────────────────────────────────────────────────────┐
│                    EIGENES RECHENZENTRUM                │
│                                                        │
│  Tier 1: Primäres Backup (Silent Brick)                │
│  ├── Schnelle Wiederherstellung (RTO < 1h)             │
│  ├── Standard-Protokolle: NFS, SMB, iSCSI, S3         │
│  └── Vollständig unter eigener Kontrolle               │
│                                                        │
│  Tier 2: <button data-glossary="true" data-popover-target="glossary-129403524-5" data-popover-trigger="hover" type="button">Air Gap</button> Layer (Silent Brick Max Air)          │
│  ├── <button data-glossary="true" data-popover-target="glossary-129403524-1" data-popover-trigger="hover" type="button">Physische Netztrennung</button> nach Backup                │
│  ├── <button data-glossary="true" data-popover-target="glossary-129403524-4" data-popover-trigger="hover" type="button">Ransomware</button>-sichere Wiederherstellung              │
│  └── Hardware Made in Germany                          │
│                                                        │
│  Tier 3: <button data-glossary="true" data-popover-target="glossary-129403524-3" data-popover-trigger="hover" type="button"><button data-glossary="true" data-popover-target="glossary-129403524-6" data-popover-trigger="hover" type="button">WORM</button>-Archiv</button> (Silent Cubes)                    │
│  ├── <button data-glossary="true" data-popover-target="glossary-129403524-2" data-popover-trigger="hover" type="button">Hardware-<button data-glossary="true" data-popover-target="glossary-129403524-7" data-popover-trigger="hover" type="button">WORM</button></button>: physisch unveränderlich             │
│  ├── Revisionssichere Langzeitarchivierung              │
│  └── 10+ Jahre Aufbewahrung, compliance-konform        │
│                                                        │
└────────────────────────────────────────────────────────┘
              │ (optional, nur für Geo-Redundanz)
              ▼
┌────────────────────────────────────────────────────────┐
│  Tier 4: Geo-Redundanz                                 │
│  ├── Option A: Zweiter eigener Standort                │
│  └── Option B: Europäischer Cloud-Provider (ergänzend) │
└────────────────────────────────────────────────────────┘

```

**Ergeb­nis:** Eine Archi­tek­tur, die voll­stän­dig sou­ve­rän ist — unter eige­nem Dach, unter eige­nem Recht, mit eige­ner Wiederherstellungsfähigkeit.

→ [Pro­duk­te im Überblick](/de/produkte/)

### Air Gap

Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### Ransomware

Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware)

### Air Gap

Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

  

### 8. Hand­lungs­emp­feh­lun­gen [\#](#8-handlungsempfehlungen "8. Handlungsempfehlungen")

#### Sofort: Quick Wins für mehr Sou­ve­rä­ni­tät [\#](#sofort-quick-wins-f%C3%BCr-mehr-souver%C3%A4nit%C3%A4t "Sofort: Quick Wins für mehr Souveränität")

1. **Daten­in­ven­tar erstel­len:** Wo lie­gen wel­che Daten? Wel­chem Rechts­rah­men unter­lie­gen die Speichersysteme?
2. **CLOUD-Act-Expo­sure bewer­ten:** Nut­zen Sie US-Cloud-Pro­vi­der für per­so­nen­be­zo­ge­ne oder geschäfts­kri­ti­sche Daten? Wenn ja: Risi­ko bewer­ten und dokumentieren.
3. **Egress-Kos­ten berech­nen:** Was wür­de es kos­ten, Ihre Cloud-Daten her­un­ter­zu­la­den? Das ist der Preis Ihrer Abhängigkeit.
4. **Back­up-Stand­ort prü­fen:** Sind Ihre Back­up-Daten im Kri­sen­fall ohne Netz­werk­ver­bin­dung verfügbar?

#### Mit­tel­fris­tig: Archi­tek­tur anpas­sen [\#](#mittelfristig-architektur-anpassen "Mittelfristig: Architektur anpassen")

1. **Kri­ti­sche Daten On-Pre­mi­ses brin­gen:** Back­up- und Archiv­da­ten mit hohem Schutz­be­darf auf eige­ne, sou­ve­rä­ne Hard­ware migrieren.
2. **Air-Gap-Lay­er ein­füh­ren:** Phy­sisch iso­lier­tes Back­up für Ran­som­wa­re-Resi­li­enz und ope­ra­ti­ve Souveränität.
3. **WORM-Archi­vie­rung imple­men­tie­ren:** Revi­si­ons­si­che­re Lang­zeit­ar­chi­vie­rung auf Hard­ware-WORM — ohne Cloud-Abhängigkeit.
4. **Ven­dor Lock-in redu­zie­ren:** Auf Stan­dard-Pro­to­kol­le und offe­ne Schnitt­stel­len umstellen.

#### Lang­fris­tig: Sou­ve­rä­ni­tät als Stra­te­gie [\#](#langfristig-souver%C3%A4nit%C3%A4t-als-strategie "Langfristig: Souveränität als Strategie")

1. **Lie­fer­ket­ten­be­wer­tung nach NIS2:** Hard­ware- und Soft­ware-Her­stel­ler auf Her­kunft, Rechts­rah­men und Abhän­gig­kei­ten bewerten.
2. **Euro­päi­sche Alter­na­ti­ven eva­lu­ie­ren:** Für neue Pro­jek­te euro­päi­sche Anbie­ter bevor­zu­gen — GAIA-X-kom­pa­ti­bel, DSGVO-nativ, ohne Drittstaaten-Risiken.

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### WORM

WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

### EU AI Act

Der EU AI Act ist die weltweit erste umfassende gesetzliche Regulierung von KI-Systemen, in Kraft seit August 2024. Er klassifiziert KI-Anwendungen nach Risikoklassen und stellt an Hochrisiko-Systeme konkrete Anforderungen an Transparenz, Kontrolle, Datenschutz und menschliche Aufsicht.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/eu-ai-act)

  

### 9. Häufige Fragen (FAQ)

  

#### Reicht es, wenn meine Cloud-Daten auf Servern in der EU liegen?

Nein — nicht automatisch. Der US CLOUD Act ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen, unabhängig vom Serverstandort. Wenn Ihr Cloud-Provider ein US-Unternehmen ist (AWS, Azure, GCP), schützt der EU-Serverstandort allein nicht vor einem Herausgabeverlangen. Entscheidend ist der Rechtsrahmen, dem der Provider unterliegt — nicht der physische Standort des Servers.

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

### US CLOUD Act

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)

 

#### Was ist der Unterschied zwischen Datensouveränität und Datenschutz?

Datenschutz (insbesondere die DSGVO) regelt den Schutz personenbezogener Daten — Zweckbindung, Einwilligung, Betroffenenrechte. Datensouveränität geht weiter: Sie umfasst die vollständige Kontrolle über alle Daten — auch nicht-personenbezogene Geschäftsdaten, Produktionsdaten, Konfigurationen. Datensouveränität bedeutet: Sie entscheiden, wo Ihre Daten liegen, wer darauf zugreift und welchem Recht sie unterliegen.

### Datensouveränität

Datensouveränität beschreibt die vollständige Kontrolle einer Organisation über ihre Daten: wo sie gespeichert werden, wer darauf zugreifen kann, welchem Rechtsrahmen sie unterliegen und ob sie jederzeit ohne Abhängigkeit von einem einzelnen Anbieter verfügbar sind.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/datensouver%C3%A4nit%C3%A4t)

### Datensouveränität

Datensouveränität beschreibt die vollständige Kontrolle einer Organisation über ihre Daten: wo sie gespeichert werden, wer darauf zugreifen kann, welchem Rechtsrahmen sie unterliegen und ob sie jederzeit ohne Abhängigkeit von einem einzelnen Anbieter verfügbar sind.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/datensouver%C3%A4nit%C3%A4t)

### DSGVO

Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)

 

#### Was bedeutet der EU Data Act für meine Cloud-Verträge?

Der EU Data Act (seit 12. September 2025 gültig) verbessert die Datenportabilität: Cloud-Provider müssen den Wechsel erleichtern und Egress-Gebühren schrittweise abbauen. Für bestehende Verträge empfiehlt es sich, bei der nächsten Vertragsverlängerung auf Data-Act-konforme Konditionen zu bestehen.

 

#### Ist On-Premises-Speicherung nicht teurer als Cloud?

Kurzfristig oft ja — die Anschaffungskosten sind höher. Über 5 Jahre betrachtet ist On-Premises-Speicherung in vielen Szenarien kosteneffizienter: Keine laufenden Storage-Gebühren, keine Egress-Kosten, keine variablen Kosten bei steigendem Datenvolumen. Unser TCO-Vergleich zeigt die Unterschiede transparent auf.

 

#### Wie bewertet das BSI Cloud-Speicherung für kritische Daten?

Das BSI empfiehlt in seinen Cloud-Computing-Richtlinien eine risikoorientierte Bewertung. Für Daten mit hohem Schutzbedarf und für KRITIS-relevante Systeme empfiehlt das BSI zusätzliche Schutzmaßnahmen — einschließlich der Frage, ob Cloud-Speicherung für diese Datenkategorie überhaupt angemessen ist.

### KRITIS

KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis)

 

#### Was ist GAIA-X?

GAIA-X ist eine europäische Initiative für eine souveräne, interoperable Dateninfrastruktur. Ziel ist es, europäische Cloud- und Datenökosysteme zu schaffen, die europäischen Werten und Rechtsrahmen entsprechen. GAIA-X definiert Standards für Portabilität, Transparenz und Souveränität — ist aber noch in der Entwicklungsphase und kein fertiges Produkt.

### EU AI Act

Der EU AI Act ist die weltweit erste umfassende gesetzliche Regulierung von KI-Systemen, in Kraft seit August 2024. Er klassifiziert KI-Anwendungen nach Risikoklassen und stellt an Hochrisiko-Systeme konkrete Anforderungen an Transparenz, Kontrolle, Datenschutz und menschliche Aufsicht.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/eu-ai-act)

### EU AI Act

Der EU AI Act ist die weltweit erste umfassende gesetzliche Regulierung von KI-Systemen, in Kraft seit August 2024. Er klassifiziert KI-Anwendungen nach Risikoklassen und stellt an Hochrisiko-Systeme konkrete Anforderungen an Transparenz, Kontrolle, Datenschutz und menschliche Aufsicht.

[Mehr erfahren →](https://www.fast-lta.de//de/glossar/eu-ai-act)