Daten­sou­ve­rä­ni­tät hat drei Dimen­sio­nen: Recht­li­che Sou­ve­rä­ni­tät bedeu­tet, dass Daten dem Rechts­rah­men unter­lie­gen, den die Orga­ni­sa­ti­on wählt — für euro­päi­sche Orga­ni­sa­tio­nen idea­ler­wei­se aus­schließ­lich der , ohne Kon­flik­te durch extra­ter­ri­to­ria­le Geset­ze wie den US CLOUD Act. Tech­ni­sche Sou­ve­rä­ni­tät bedeu­tet, dass die Orga­ni­sa­ti­on jeder­zeit ohne Geneh­mi­gung eines Drit­ten auf ihre Daten zugrei­fen kann und Daten ohne unver­hält­nis­mä­ßi­gen Auf­wand migrie­ren kann. Ope­ra­ti­ve Sou­ve­rä­ni­tät bedeu­tet, dass Daten auch im Kri­sen­fall — Cyber­an­griff, Netz­werk­aus­fall, Pro­vi­der-Insol­venz — eigen­stän­dig ver­füg­bar und wie­der­her­stell­bar sind.

Das The­ma hat durch drei Ent­wick­lun­gen an Dring­lich­keit gewon­nen: Der US CLOUD Act (2018) ermäch­tigt US-Behör­den, von US-Unter­neh­men die Her­aus­ga­be von Daten zu ver­lan­gen — unab­hän­gig davon, wo die Daten phy­sisch gespei­chert sind. Selbst Ser­ver in Frank­furt unter­lie­gen die­ser Rege­lung, wenn der Pro­vi­der ein US-Unter­neh­men ist (AWS, Micro­soft Azu­re, Goog­le Cloud). Das Schrems-II-Urteil des EuGH (2020) erklär­te das EU-US Pri­va­cy Shield für ungül­tig. Sein Nach­fol­ger, das EU-US Data Pri­va­cy Frame­work (2023), ist recht­lich fra­gil. Geo­po­li­ti­sche Risi­ken wie Sank­tio­nen und Export­be­schrän­kun­gen machen Abhän­gig­kei­ten von ein­zel­nen gro­ßen Anbie­tern zum stra­te­gi­schen Risiko.

Für regu­lier­te Bran­chen ist Daten­sou­ve­rä­ni­tät häu­fig kei­ne stra­te­gi­sche Opti­on, son­dern Com­pli­ance-Pflicht: Im Gesund­heits­we­sen ver­bie­tet §203 StGB die unzu­läs­si­ge Wei­ter­ga­be von Pati­en­ten­da­ten. In der öffent­li­chen Ver­wal­tung schlie­ßen BSI-Anfor­de­run­gen Cloud-Spei­che­rung für Ver­schluss­sa­chen aus. In der Finanz­bran­che bewer­ten euro­päi­sche Daten­schutz­be­hör­den die Nut­zung von US-Cloud-Diens­ten für sen­si­ble Daten­ka­te­go­rien zuneh­mend kritisch.

Fragen und Antworten

Nein — nicht automatisch. Der US CLOUD Act ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen, unabhängig vom Serverstandort. Wenn Ihr Cloud-Provider ein US-Unternehmen ist (AWS, Azure, GCP), schützt der EU-Serverstandort allein nicht vor einem Herausgabeverlangen. Entscheidend ist der Rechtsrahmen, dem der Provider unterliegt — nicht der physische Standort des Servers.
Datenschutz (insbesondere die DSGVO) regelt den Schutz personenbezogener Daten: Zweckbindung, Einwilligung, Betroffenenrechte. Datensouveränität geht weiter und umfasst die vollständige Kontrolle über alle Daten — auch nicht-personenbezogene Geschäftsdaten, Produktionsdaten, Konfigurationen. Datensouveränität bedeutet: Sie entscheiden, wo Ihre Daten liegen, wer darauf zugreift und welchem Recht sie unterliegen.
GAIA-X ist eine europäische Initiative für eine souveräne, interoperable Dateninfrastruktur. Ziel ist es, europäische Cloud- und Datenökosysteme zu schaffen, die europäischen Werten und Rechtsrahmen entsprechen — mit Standards für Portabilität, Transparenz und Souveränität. GAIA-X befindet sich noch in der Entwicklungsphase.