Was Datensouveränität wirklich heißt
Digitale-Soverenität

Was Datensouveränität wirklich heißt

Datensouveränität wird oft mit DSGVO-Konformität verwechselt. Das ist verständlich — beides klingt nach Datenschutz, beides taucht in Anbieterwerbung auf, beides hat mit Verantwortung zu tun. In der Praxis sind es aber zwei verschiedene Dinge: Eine US-Cloud lässt sich DSGVO-konform betreiben, ohne dass man von Datensouveränität sprechen kann. Ein Auftragsverarbeitungsvertrag ist ein Vertrag — kein Bauplan für die Realität, in der die Daten leben.

Souveränität beschreibt, wer die Hand auf den Daten hat — technisch, rechtlich, organisatorisch. DSGVO-Konformität beschreibt, ob diese Hand die richtigen Regeln einhält. Beides ist wichtig, aber das eine ersetzt das andere nicht. Wer 2026 als KMU oder Agentur eine sinnvolle IT-Landschaft bauen will, kommt um diesen Unterschied nicht herum.

Drei Fragen, die in der Praxis weiterhelfen

Statt sich an juristischer Theorie abzuarbeiten, lassen sich für jede Komponente einer IT-Landschaft drei Fragen stellen. Die Antworten ergeben zusammen ein realistisches Bild.

Wo liegen die Daten physisch? Ein Rechenzentrum in Frankfurt ist nicht dasselbe wie eines in Dublin oder Virginia, auch wenn der Anbieter überall „europäische Datenresidenz” verspricht. Lohnenswert ist die Frage nach dem konkreten Standort — und ob er garantiert ist oder ob der Anbieter Daten bei Bedarf auch anderswohin verschiebt.

Wer hat technisch und rechtlich Zugriff? Hier wird es interessant. Ein US-Mutterkonzern hinter einer europäischen Tochter kann unter bestimmten Bedingungen rechtlich auf Daten zugreifen, auch wenn diese physisch in Europa liegen. Subprozessoren — also die Dienstleister des Anbieters — sind oft die unsichtbare Hälfte der Antwort. Eine vollständige Liste sollte verfügbar sein, sonst bleibt offen, mit wem man eigentlich Geschäfte macht.

Wie realistisch ist der Ausstieg? Ein Anbieterwechsel ist die Stunde der Wahrheit. Liegen die Daten in Standardformaten vor? Lassen sich Konfigurationen exportieren? Oder gibt es proprietäre Strukturen, die einen Umzug zur Migration eines kompletten Geschäftsbereichs machen? Lock-in ist ein Souveränitätsproblem — auch wenn es im Marketing gern als Komfort verkauft wird.

Ein typisches Beispiel: E-Mail

Nehmen wir ein konkretes Setup: ein KMU mit eigener Domain, E-Mail bei einem großen US-Anbieter, Newsletter-Versand über einen amerikanischen Marketing-Dienst, Backup über einen weiteren Cloud-Anbieter. DSGVO-konform? Vermutlich, mit den richtigen Verträgen. Souverän? Eher nicht.

Die Daten verteilen sich über mehrere Anbieter mit unterschiedlichen Mutterkonzernen, unterschiedlichen Subprozessoren, unterschiedlichen Exit-Pfaden. Bei einem Streitfall, einem politischen Schock oder einer kommerziellen Entscheidung des Anbieters bleibt der eigene Hebel begrenzt. Das ist kein Drama — viele Unternehmen leben gut mit dieser Realität, weil die Vorteile überwiegen. Aber es ist eine bewusste Entscheidung, keine technische Selbstverständlichkeit.

Was das praktisch heißt

Datensouveränität ist kein Alles-oder-Nichts. Niemand muss die gesamte Infrastruktur in den eigenen Keller stellen. Die sinnvolle Frage ist, wo Souveränität wirklich zählt — typischerweise dort, wo besonders sensible Daten liegen, wo Geschäftskontinuität davon abhängt oder wo regulatorische Anforderungen darüber hinausgehen, was die DSGVO ohnehin verlangt.

Für vieles andere reichen DSGVO-konforme Anbieter, mit denen man pragmatisch arbeitet. Wichtig ist nur: Man sollte wissen, wo man steht. Genau dafür sind die drei Fragen oben gedacht — nicht als Manifest, sondern als Werkzeug.

Wer beim Durchgehen merkt, dass an bestimmten Stellen die Antworten nicht passen oder Fragezeichen bleiben, kann mit uns sprechen. solidport.de ist unsere Antwort auf diese Fragen für E-Mail-, Domain- und Hosting-Bedarfe — nicht die einzig richtige, aber eine, hinter der wir technisch und rechtlich nachvollziehbar stehen.