Daten sind der Treibstoff der digitalen Welt – und gleichzeitig ein strategisches Gut im geopolitischen Wettbewerb. Während sich Unternehmen und öffentliche Einrichtungen zunehmend auf KI stützen, wächst die Sorge vor technologischer Abhängigkeit und Kontrollverlust. Die geopolitische Dimension von Datenschutz und Datensicherheit für europäische Unternehmen lässt sich im Wesentlichen auf drei zentrale Aspekte reduzieren:

  1. Abhängigkeit von US-amerikanischen Technologiekonzernen.
  2. Schutz, Souveränität und Innovationsförderung durch die EU.
  3. Schutz vor Cyberangriffen insbesondere aus China und Russland.

Technologische Abhängigkeiten von US-Amerikanischen Technologiekonzernen

Die Mehrheit marktführender KI-Plattformen wird von US-amerikanischen Tech-Giganten betrieben (z. B. OpenAI, Microsoft, Google). Die damit verbundene Cloud-Zentralisierung führt zu Abhängigkeiten, die gerade in Krisenzeiten – wie jüngst durch Exportbeschränkungen unter Trump – zur Achillesferse werden können. Der bekannte Slogan „Make America Great Again“ des US-Präsidenten Donald Trump symbolisiert ganz klar eine protektionistische Politik, die nationale Interessen über internationale Partnerschaften stellt. Dies betrifft nicht nur Regierungen, sondern auch Unternehmen – insbesondere im Bereich der digitalen Infrastruktur.

Ein zentrales geopolitisches Problem ergibt sich aus dem US CLOUD-Act (Clarifying Lawful Overseas Use of Data Act, 2018). Dieses Gesetz verpflichtet US-Unternehmen, auch dann Daten an US-Behörden herauszugeben, wenn sie auf Servern außerhalb der USA gespeichert sind – etwa in Rechenzentren innerhalb der EU. Das heißt, selbst wenn europäische Unternehmen die Cloud-Dienstleistungen mit eigenen Schlüsseln (z. B. Customer-Managed Encryption Keys – CMEK) implementieren und verschlüsseln, sind diese Anbieter weiterhin gegenüber US-Behörden auskunftspflichtig – auch gegen den Willen des Kunden.

Dieser Sachverhalt stellt die digitale Souveränität Europas infrage und zwingt Unternehmen zur Abwägung: Vertrauen sie auf bewährte Infrastruktur – oder auf rechtliche Kontrolle?

Schutz, Souveränität und Innovationsförderung durch die EU

Die Europäische Union verfolgt mit der DSGVO (Datenschutz-Grundverordnung) und dem neuen AI Act (Gesetz zur Regulierung Künstlicher Intelligenz) einen anderen Ansatz: den Schutz individueller Rechte, die Förderung vertrauenswürdiger Technologien und den Aufbau eines innovationsfreundlichen und gleichzeitig rechtssicheren digitalen Binnenmarkts. Damit stärkt die EU sowohl die digitale Autonomie europäischer Unternehmen als auch deren Fähigkeit zur Innovation – ohne geopolitische Abhängigkeit. Wem sollen nun europäische Unternehmen vertrauen?

Vor dieser geopolitischen Kulisse stehen europäische Unternehmen vor einer strategischen Entscheidung:

  • Vertrauen sie auf Lösungen aus den vereinigten Staaten – mit dem Risiko staatlicher Zugriffsmöglichkeiten?
  • Oder investieren sie in langfristige digitale Souveränität, Rechtsklarheit und Innovation – unterstützt durch die EU?

Schutz vor Cyberangriffen insbesondere aus China und Russland

Staatlich gesteuerte oder -tolerierte Cyberangriffe aus autoritären Staaten wie Russland oder China stellen eine zunehmende Bedrohung dar. Ziele sind nicht nur Regierungen, sondern vor allem auch kritische Infrastrukturen, Forschungsinstitutionen und große Unternehmen – insbesondere im Technologie- und Gesundheitssektor.

Beispiel: Die berüchtigte SolarWinds-Attacke (vermutlich russischer Ursprung) [Link] oder die Hafnium-Gruppe (aus China) [Link] zeigen, wie tiefgreifend staatlich koordinierte Angriffe sein können, auch auf europäische Firmen über Drittanbieter.

In einem zunehmend multipolaren Weltgefüge gelten Daten nicht mehr nur als Rohstoff, sondern als Waffe – sei es für wirtschaftliche Vorteile, politische Einflussnahme oder gezielte Desinformation. Die Nutzung ausländischer Cloud-Dienste birgt deshalb ein erhöhtes Risiko der Datenexfiltration oder staatlicher Zugriffsmöglichkeiten, insbesondere außerhalb des Geltungsbereichs der DSGVO.

Für Krankenhäuser, Verwaltungen, Bildungseinrichtungen und Unternehmen bedeutet das: Wer auf nicht-europäische KI-Anbieter setzt, setzt sich auch geopolitischem Risiko aus – mit potenziellen Folgen für Datenschutz, Compliance und Geschäftskontinuität. Aber europäische Cloudanbieter verfügen oft nicht über vergleichbare Budgets wie US-Konzerne zur Abwehr solcher Angriffe. Das macht sie anfälliger – besonders für hochfinanzierte, zielgerichtete Attacken (Advanced Persistent Threats).

Fazit

Langfristiger Schutz und echte digitale Souveränität gelingen nur durch Unabhängigkeit in der Datenverarbeitung und -speicherung. Nur so behalten Organisationen die volle Kontrolle über ihre sensiblen Informationen – unabhängig von externen Anbietern oder geopolitischen Einflüssen.
Doch wie lässt sich dieser Anspruch in der Praxis umsetzen? Genau das beleuchtet unser nächster Artikel, in dem wir mögliche Lösungen vergleichen und konkrete Ansätze vorstellen.