Digitale Souveränität: Basis für NIS2- und DSGVO-Compliance im Mittelstand

Kontrollverlust in Europa: Warum Unternehmen sich emanzipieren müssen

Die Zahlen sind alarmierend: Laut Bitkom sind 9 von 10 deutschen Unternehmen digital abhängig von externen Plattformen. Deshalb beschäftigt sich die Wirtschaft aktuell mit der Frage, wie Unternehmen ihre digitale Souveränität stärken können.  

Der jüngste Konflikt um Grönland hat gezeigt, wie schnell das Vertrauen in US-Technologiekonzerne und damit in die IT-Infrastruktur vieler europäischer Unternehmen bröckeln kann. Laut einem Bericht im Handelsblatt sorgte digitale Souveränität deshalb auf dem Weltwirtschaftsforum in Davos für Gesprächsstoff.  

So reagieren Wirtschaft, Verwaltung und Politik auf die zunehmende technologische Abhängigkeit:

• SAP investiert 20 Milliarden Euro in digitale Souveränität. SAP-Vorstand Thomas Saueressig berichtete in Davos von „massiv gestiegener Nachfrage“ nach souveränen Cloud-Lösungen und resümierte: „Das ist kein Hype, das wird bleiben.“  

• Deutsche und französische Behörden wechseln von US-Anbietern wie Microsoft zu Open-Source-Lösungen oder staatlichen Diensten.  

• Das EU-Parlament fordert mehr digitale Souveränität als Schlüssel für demokratische Resilienz. Denn die Abhängigkeit von außereuropäischen Tech-Konzernen gefährdet nicht nur Unternehmen, sondern auch staatliche Handlungsfähigkeit.

Die Frage ist nicht mehr ob, sondern wie Unternehmen digitale Souveränität erreichen und damit ihre Compliance-Fähigkeit sicherstellen und zu einem starken Europa beitragen.

Was ist digitale Souveränität und warum ist sie Compliance-Voraussetzung?

Für Unternehmen bedeutet digitale Souveränität, die Kontrolle über die eigene IT-Infrastruktur, Geschäftsdaten und technologische Entscheidungen zu behalten und möglichst unabhängig von externen Anbietern und deren Rechtsräumen zu bleiben.  

Digitale Souveränität ruht auf drei Säulen, die gleichzeitig ein solides Fundament für Ihre Compliance bilden.

1. Datensouveränität: DSGVO-Konformität über Verbundstrukturen nachweisen

Datensouveränität ist die Hoheit über eigene und von Kunden anvertraute Daten. Die DSGVO verlangt von Unternehmen, jederzeit zu wissen, wo personenbezogene Daten liegen, wer darauf zugreifen kann und welches Recht gilt.

🚨 Ohne Datensouveränität keine DSGVO-Compliance

Eine „Cloud in Deutschland“ ist nicht automatisch eine „deutsche Cloud“. Sind Ihre Kundendaten auf einem Server in Frankfurt gespeichert, kann die US-Regierung trotzdem darauf zugreifen, sofern der Cloud-Anbieter eine US-Muttergesellschaft hat. Grund ist der Cloud Act, der US-Behörden den Zugriff auf Daten ermöglicht, die von US-Providern außerhalb der USA gehostet werden.

Die DSGVO untersagt allerdings die direkte Herausgabe von innerhalb der EU gesicherten Daten an Behörden in Drittländern ohne Rechtshilfeabkommen (Art. 48 DSGVO). Zwar haben die USA seit Juli 2023 mit dem EU-US Data Privacy Framework einen Angemessenheitsbeschluss, jedoch kein Rechtshilfeabkommen. Der Cloud Act steht damit in direktem Konflikt zur DSGVO.

2. Technologische Souveränität: NIS2- und DORA-Resilienz in der Lieferkette nachweisen

Technologische Souveränität bedeutet, von Hardware, Software und Cloud-Infrastruktur unabhängig zu sein. In der Realität sind deutsche Unternehmen jedoch weit davon entfernt: 90 Prozent sind von digitalen Technologien aus den USA und China abhängig und 63 Prozent des globalen Cloud-Markts teilen die drei großen Hyperscaler Amazon, Microsoft und Google unter sich auf.

🚨 Ohne technologische Souveränität keine NIS2/DORA-Compliance:

NIS2 und Digital Operational Resilience Act (DORA) fordern nachweisbare digitale Resilienz über die gesamte Lieferkette hinweg. Unternehmen in Europa müssen Störfälle zügig bewältigen und den Betrieb aufrechterhalten können. Die NIS2-Richtlinie verlangt explizit ein Konzept für die Sicherheit der Lieferkette, das die Beziehungen zu direkten Anbietern und Diensteanbietern regelt.

Viele Cloud-Dienste nutzen allerdings proprietäre Technologien. Wer auf Microsoft 365, SharePoint oder AWS-spezifische Services setzt, gerät in einen Vendor Lock-in. Ein Anbieterwechsel bei geänderten Geschäftsbedingungen oder Marktaustritt ist zwar möglich, kostet allerdings in der Regel viel Zeit und Geld.

3. Digitale Handlungsfähigkeit: Audit-Fähigkeit über mehrere Gesellschaften sicherstellen

Digitale Handlungsfähigkeit ist die Fähigkeit, Ihre IT-Landschaft zu durchschauen, bei Compliance-Anforderungen schnell zu reagieren und technologische Entscheidungen selbstbestimmt zu treffen, ohne vollständig von externen Dienstleistern abhängig zu sein.

🚨 Ohne digitale Handlungsfähigkeit keine Compliance-Reaktionsfähigkeit:

Bei NIS2-Vorfällen müssen Unternehmen innerhalb von 24 Stunden die Behörden informieren, bei ISO-27001-Audits eine transparente Dokumentation bereithalten und bei Behördenanfragen auskunftsfähig sein. Wer nicht weiß, welche Cloud-Services über welche Gesellschaften genutzt werden, welche Dienstleister involviert sind und wo Daten liegen, kann das nicht leisten.

Beispiele für IT-Abhängigkeit in deutschen Unternehmen

Wenn Sie sich fragen, ob digitale Souveränität für Ihr Unternehmen überhaupt relevant ist, lautet die Antwort fast immer: ja. Die meisten deutschen Unternehmen nutzen Technologien und digitale Services, mit denen sie sich von US-Anbietern abhängig machen oder von Herstellern, die den chinesischen Cybersecurity Laws unterliegen.

So nutzen viele Unternehmen in Deutschland Microsoft-Produkte, die tief in ihre Arbeitsprozesse integriert sind. Bei der Unternehmenskommunikation sind Video-Tools wie Zoom oder Teams verbreitet, Kameras und Handys stammen oft aus China und viele Marketing-Teams nutzen Plattformen wie Salesforce oder HubSpot.  

Wie erreichen KMU digitale Souveränität? 3 konkrete Lösungsansätze

Die EU hat die Messlatte für IT-Compliance 2026 höher gehängt. Es reicht nicht mehr, Sicherheitskonzepte in der Schublade zu haben oder Verarbeitungsverzeichnisse in Excel zu führen. Wer NIS2, DORA und Co. sicher einhalten will, muss Transparenz, Unabhängigkeit und offene Systeme priorisieren.  

Die folgenden Lösungsansätze zeigen beispielhaft, was Unternehmen im Mittelstand jetzt tun können.

Lösungsansatz 1: Transparenz über Datenströme und Verarbeitungen schaffen

Digitale Souveränität beginnt mit Wissen. Verschaffen Sie sich einen Überblick über Datenströme, User und Tools innerhalb Ihrer IT-Infrastruktur und Ihrer Tools:  

• Welche Cloud-Services nutzen Sie?  

• Wo stehen die Server?  

• Welchem Recht unterliegen sie?  

Priorisieren Sie dabei besonders kritische Datenverarbeitungen:  

• Welche sind VVT-pflichtig?  

• Welche betreffen Geschäftsgeheimnisse oder F&E-Daten?  

• Welche würden bei Verlust den Geschäftsbetrieb gefährden?

Schaffen Sie eine zentrale Dokumentationsplattform, die alle Abteilungen und Gesellschaften abdeckt, damit Sie bei Audits schnell reagieren und konsolidierte Nachweise erbringen können.

Lösungsansatz 2: Vendor Lock-in bei Cloud-Services strategisch vermeiden

Setzen Sie bei Ihrer IT- und Tool-Landschaft auf Diversifizierung statt Single-Vendor-Abhängigkeit. Nutzen Sie mehrere Anbieter, um Single Points of Failure zu vermeiden.  

Kritische Daten sollten on-premise bleiben oder in zertifizierte souveräne Clouds wandern, die im besten Fall von Anbietern mit Trusted Cloud-Zertifizierung des Bundeswirtschaftsministeriums betrieben werden.

Achten Sie bei Vertragsverhandlungen auf Exit-Optionen:

• Ist Datenportabilität garantiert?

• In welchem Format werden Daten bei Kündigung übergeben?

• Wie lang sind Kündigungsfristen?

• Haben Sie Audit-Rechte gegenüber dem Cloud-Anbieter?

Für Unternehmen, die eine Zertifizierung nach ISO 27001 anstreben, gilt: Dokumentieren Sie alle Lieferantenbeziehungen gemäß ISO 27001, Anhang A (Supplier relationships).

Lösungsansatz 3: Open-Source-Alternativen für kritische Prozesse prüfen

Open-Source-Lösungen geben Ihnen ein Stück Kontrolle zurück. Das ist besonders bei kritischen Prozessen, strengen Audit-Anforderungen und komplexen Verbundstrukturen relevant.  

Open Source bedeutet dabei nicht in erster Linie kostenlos, sondern vor allem kontrollierbar. Die Vorteile für Ihre digitale Souveränität liegen auf der Hand: Sie können den Code prüfen (lassen), wissen genau, wo Daten liegen, und sind nicht von proprietären Schnittstellen abhängig.

Wichtig dabei: Setzen Sie für kritische Support-Leistungen auf lokale IT-Dienstleister. Diese unterliegen deutscher Rechtsprechung, reagieren schneller bei Sicherheitsproblemen und können individuelle Lösungen für Ihr Unternehmen entwickeln.  

Digitale Souveränität mit Proliance effizient und nachweisbar erreichen

Volle digitale Souveränität ist für viele KMU unrealistisch. Souveräne Cloud-Lösungen europäischer Anbieter sind oft teurer als die der Hyperscaler, eigene Server verursachen hohe Wartungskosten und Open-Source-Lösungen benötigen qualifiziertes Personal oder externe Dienstleister.  

Priorisieren Sie Souveränität deshalb dort, wo Compliance-Risiken und Geschäftskritikalität am höchsten sind. Verschaffen Sie sich dazu als erstes einen konsolidierten Überblick über Ihre Datenverarbeitungen, Dienstleister und IT-Systeme über alle Gesellschaften hinweg und identifizieren Sie dann Ihre Risiken.  

Dabei unterstützt Sie die Compliance-Plattform Proliance 360, die zentrales Asset Management, Risikoanalysen und saubere Dokumentationen ermöglicht. Und für alle Fragen und Bedenken zur digitalen Souveränität Ihres Unternehmens stehen erfahrene Compliance-Experten Ihnen Rede und Antwort.