--- title: Was ist Datensouveränität? Definition und drei Dimensionen date: 2025-12-16T09:50:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/was-ist-datensouveränität-definition-und-drei-dimensionen" section: "Entries: Articles" --- ### Defi­ni­ti­on: Daten­sou­ve­rä­ni­tät vs. Daten­schutz [\#](#definition-datensouver%C3%A4nit%C3%A4t-vs-datenschutz "Definition: Datensouveränität vs. Datenschutz") **Daten­schutz (DSGVO, etc.):** - Schützt die **Pri­vat­sphä­re von Individuen** - Regeln: Wie darf ich Per­so­nen­da­ten nutzen? - Bei­spiel: ​“Darf ich E‑Mail-Adres­sen von Kun­den spei­chern? Ja, nur mit Zustimmung.” **Daten­sou­ve­rä­ni­tät:** - Schützt die **Auto­no­mie des Unter­neh­mens über sei­ne Daten** - Fra­gen: ​“Bin ich abhän­gig von Cloud-Anbie­ter? Kann ich mei­ne Daten zurück? Kann eine Regie­rung mei­ne Daten beschlagnahmen?” - Bei­spiel: ​“Mei­ne Daten lie­gen bei AWS US. Die US-Regie­rung kann sie mit dem CLOUD Act beschlag­nah­men. Ich habe kei­ne Kontrolle.” **Ver­ein­facht:** Daten­schutz = Schutz von Per­so­nen­da­ten. Daten­sou­ve­rä­ni­tät = Kon­trol­le über alle Daten. --- ### Die drei Dimen­sio­nen der Daten­sou­ve­rä­ni­tät [\#](#die-drei-dimensionen-der-datensouver%C3%A4nit%C3%A4t "Die drei Dimensionen der Datensouveränität") #### 1. Recht­li­che Dimen­si­on [\#](#1-rechtliche-dimension "1. Rechtliche Dimension") **Was bedeu­tet das?** - Unter wel­chem Rechts­sys­tem lie­gen Ihre Daten? - Kann eine frem­de Regie­rung auf Ihre Daten zugreifen? - Wem gehö­ren die Daten wirk­lich? (Ihnen oder dem Cloud-Provider?) **Pro­ble­me mit Cloud (US-Anbie­ter):** - US **CLOUD Act:** US-Behör­den kön­nen auf US-Unter­neh­mens­da­ten zugrei­fen, egal wo die Ser­ver sind - **Patri­ot Act / FISA:** Geheim­dienst­li­che Zugrif­fe sind mög­lich (ohne Rich­ter-Beschluss in man­chen Fällen) - **Schrems II:** EU-Gerichts­hof sagt: US-Cloud ist DSGVO-rechts­wid­rig wegen CLOUD Act - **Risi­ko:** Trade secrets, medi­zi­ni­sche Daten, Finanz-Daten könn­ten von US-Behör­den ein­ge­se­hen werden **Ech­te Kontrolle:** - ✅ Daten lie­gen in Deutschland/​EU - ✅ Unter deut­sche­m/EU-Recht geschützt - ✅ Cloud-Pro­vi­der ist euro­pä­isch (oder mit EU-Daten-Residency-Garantie) - ✅ Zugriffs­rech­te sind ver­trag­lich ausgeschlossen #### 2. Tech­ni­sche Dimen­si­on [\#](#2-technische-dimension "2. Technische Dimension") **Was bedeu­tet das?** - Wie leicht kann ich mei­ne Daten **mit­neh­men**? - Bin ich tech­nisch vom Cloud-Pro­vi­der **abhän­gig**? - Kann ich **Pro­prie­ta­ry For­mats** oder **Stan­dard-For­ma­te** nutzen? **Pro­ble­me mit Cloud (Ven­dor Lock-in):** - **Pro­prie­tä­re Daten-For­ma­te:** AWS S3 ist Stan­dard (gut), aber dyna­mo­DB ist pro­prie­tär (schlecht) - **API-Abhän­gig­keit:** Wenn ich Tau­sen­de AWS Lamb­da-Func­tions geschrie­ben habe, bin ich abhän­gig von AWS - **Egress-Kos­ten:** Daten raus­be­we­gen kos­tet 0,05 – 0,12 EUR/GB (100TB Migra­ti­on = 6.000 – 12.500 EUR!) - **Export-Limi­tie­run­gen:** Man­che SaaS-Apps (z. B. Sales­force) machen Daten­mi­gra­ti­on schwierig **Ech­te Kontrolle:** - ✅ Offe­ne Stan­dards (SQL, JSON, nicht proprietär) - ✅ Unbe­grenz­ter Export (kei­ne Egress-Kosten) - ✅ Mul­ti-Cloud mög­lich (nicht vendor-locked) - ✅ On-Pre­mi­ses mög­lich (nicht nur Cloud) #### 3. Ope­ra­ti­ve Dimen­si­on [\#](#3-operative-dimension "3. Operative Dimension") **Was bedeu­tet das?** - Wer ver­wal­tet die Daten? (Ich oder der Provider?) - Wie viel **Down­ti­me** kann der Pro­vi­der mir aufzwingen? - Kann ich **Daten löschen oder ändern** jederzeit? **Pro­ble­me mit Cloud:** - **Pro­vi­der-Abhän­gig­keit:** Wenn AWS down ist, sind mei­ne Daten nicht erreich­bar (nicht mei­ne Schuld, aber mein Problem) - **Ände­rungs-Zyklen:** Der Pro­vi­der macht Updates ohne mei­ne Zustim­mung (Brea­king Chan­ges möglich) - **Com­pli­ance-Anfor­de­run­gen:** Euro­päi­sche Daten sol­len in Euro­pa­re­chen­zen­tren sein, aber AWS ändert die Poli­cy spontan - **Back­up-Abhän­gig­keit:** Wenn ich nur Cloud-Back­ups habe und AWS gehackt wird (sel­ten, aber mög­lich), alle Back­ups weg **Ech­te Kontrolle:** - ✅ Ich ver­wel­te mei­ne Daten (nicht der Provider) - ✅ Ich kon­trol­lie­re den Wartungs-Zeitplan - ✅ Ich habe Daten lokal (nicht nur Cloud) - ✅ Ich kann auf Com­pli­ance-Anfor­de­run­gen reagie­ren (ohne Zustim­mung des Providers) --- ### War­um Daten­sou­ve­rä­ni­tät jetzt wich­tig ist [\#](#warum-datensouver%C3%A4nit%C3%A4t-jetzt-wichtig-ist "Warum Datensouveränität jetzt wichtig ist") #### 1. Geo­po­li­ti­sche Span­nun­gen [\#](#1-geopolitische-spannungen "1. Geopolitische Spannungen") **Sze­na­ri­en:** - US sank­tio­niert Deutsch­land / EU sank­tio­niert China - Zugang zu US-Cloud wird für deut­sche Unter­neh­men blockiert - Bei­spiel: Hua­wei-Chips — deut­sche Fir­men durf­ten auf ein­mal nicht mehr mit Hua­wei-Hard­ware arbeiten **Mit Daten­sou­ve­rä­ni­tät:** Sie kön­nen schnell zu ande­rem Pro­vi­der wechseln #### 2. Regu­la­to­ri­sche Anfor­de­run­gen (NIS2, KRI­TIS) [\#](#2-regulatorische-anforderungen-nis2-kritis "2. Regulatorische Anforderungen (NIS2, KRITIS)") **NIS2 ver­langt:** - Kon­trol­le über kri­ti­sche Daten - Back­up-Stra­te­gie (oft nur On-Pre­mi­ses, nicht Cloud) - Schnel­le Recovery **KRI­TIS verlangt:** - Kri­ti­sche Infra­struk­tur muss phy­sisch resi­li­ent sein - Daten dür­fen nicht von aus­län­di­schen Pro­vi­dern abhängen - Back­up muss off­line und unver­än­der­bar sein #### 3. Daten­schutz-Unsi­cher­heit (Schrems III) [\#](#3-datenschutz-unsicherheit-schrems-iii "3. Datenschutz-Unsicherheit (Schrems III)") **Schrems II Urteil (2020):** EU-Gerichts­hof sagt US-Cloud ist DSGVO-rechts­wid­rig **Schrems III (Befürch­tung):** Wei­te­re Ein­schrän­kun­gen möglich Mit loka­len Daten: Sie sind sicherer. #### 4. Cyber-Resi­li­enz (Ran­som­wa­re) [\#](#4-cyber-resilienz-ransomware "4. Cyber-Resilienz (Ransomware)") **Risi­ko:** Cloud-Back­ups sind anfäl­lig für Ran­som­wa­re (Admin-Cre­den­ti­als gestoh­len = alle Back­ups weg) **Mit Daten­sou­ve­rä­ni­tät:** Hard­ware Air Gap (off­line, phy­si­cal iso­liert) ist siche­rer als Cloud --- ### Prak­ti­sche Bei­spie­le [\#](#praktische-beispiele "Praktische Beispiele") #### Bei­spiel 1: Medi­zin­tech­nik-Unter­neh­men [\#](#beispiel-1-medizintechnik-unternehmen "Beispiel 1: Medizintechnik-Unternehmen") **Situa­ti­on:** Medi­zi­ni­sche Gerä­te-Daten in AWS US **Daten­sou­ve­rä­ni­tät-Risi­ken:** - ❌ Recht­lich: US-Geheim­diens­te könn­ten medi­zi­ni­sche Daten einsehen - ❌ Tech­nisch: Migra­ti­ons­kos­ten 500.000 EUR, wenn raus aus AWS - ❌ Ope­ra­tiv: AWS-Update könn­te Com­pli­ance bre­chen (HIP­AA) **Lösung:** Daten in euro­päi­scher Cloud + On-Pre­mi­ses Back­up (Hard­ware Air Gap) #### Bei­spiel 2: Auto­mo­bil­zu­lie­fe­rer [\#](#beispiel-2-automobilzulieferer "Beispiel 2: Automobilzulieferer") **Situa­ti­on:** CAD-Plä­ne und Fer­ti­gungs-Daten bei Cloud-Pro­vi­der (Ven­dor Lock-in durch pro­prie­tä­re APIs) **Daten­sou­ve­rä­ni­tät-Risi­ken:** - ❌ Tech­nisch: Migra­ti­on dau­ert 2 Jah­re und kos­tet 5 Mio EUR - ❌ Ope­ra­tiv: Pro­vi­der macht Brea­king Chan­ges, zwingt Upgrade - ❌ Recht­lich: Falls USA sank­tio­niert — Zugriff blockiert **Lösung:** Mul­ti-Cloud oder On-Pre­mi­ses mit Hybrid-Cloud-Backup --- ### Check­lis­te: Daten­sou­ve­rä­ni­tät bewer­ten [\#](#checkliste-datensouver%C3%A4nit%C3%A4t-bewerten "Checkliste: Datensouveränität bewerten") #### Recht­lich [\#](#rechtlich "Rechtlich") - \[ \] Wo lie­gen mei­ne Daten phy­sisch? (Land?) - \[ \] Unter wel­chem Recht sind sie geschützt? - \[ \] Kann eine frem­de Regie­rung zugrei­fen? (Ja = Risiko) - \[ \] Kann ich Daten-Resi­den­cy erzwin­gen? (Ver­trag­lich?) #### Tech­nisch [\#](#technisch "Technisch") - \[ \] Kann ich mei­ne Daten ein­fach exportieren? - \[ \] Sind die For­ma­te Stan­dard (SQL, JSON, CSV) oder proprietär? - \[ \] Wie hoch sind Egress-Kos­ten? (soll­ten ~0 EUR sein) - \[ \] Kann ich Mul­ti-Cloud oder On-Pre­mi­ses nutzen? #### Ope­ra­tiv [\#](#operativ "Operativ") - \[ \] Kon­trol­lie­re ich Back­up- und Recovery-Prozesse? - \[ \] Kon­trol­lie­re ich den Wartungs-Zeitplan? - \[ \] Kann ich Daten jeder­zeit löschen? - \[ \] Habe ich Daten-Red­un­danz (nicht nur beim Provider)? --- ### Häu­fi­ge Fra­gen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Heißt Daten­sou­ve­rä­ni­tät ​“kei­ne Cloud”?** Nein. Cloud ist okay, aber: - Nut­zen Sie euro­päi­sche Cloud (z. B. Sca­le­way, OVH­cloud, statt AWS US) - Oder: AWS mit EU-Daten-Residency-Garantie - Oder: Hybrid (Cloud für unkri­ti­sche, On-Pre­mi­ses für kri­ti­sche Daten) **Ist Daten­sou­ve­rä­ni­tät teu­rer als Cloud?** Anfangs ja (Hard­ware-Inves­ti­ti­on). Lang­fris­tig nein (weni­ger Egress-Kos­ten, kei­ne Abhängigkeit). **Brau­chen wir Daten­sou­ve­rä­ni­tät für alles?** Nein. Nur für kri­ti­sche Daten: - ✅ Trade Secrets - ✅ Medi­zi­ni­sche Daten - ✅ Finanz-Daten - ✅ Kun­den-Per­so­nen­da­ten (sen­si­bel) - ❌ Öffent­li­che Daten - ❌ Test-Daten --- ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)