Im Februar 2026 verschickte das US-Aussenministerium eine interne diplomatische Mitteilung, unterzeichnet von Aussenminister Marco Rubio, mit der Anweisung an amerikanische Diplomaten, ausländische Regierungen gegen Gesetze zur Daten- und Privatsphäre-Souveränität zu beeinflussen. Diese Gesetze wurden in dem Schreiben als Bedrohung für „KI-Services, globale Datenflüsse und Bürgerrechte“ bezeichnet.

Zwei Wochen später begannen US-Bundesbehörden damit, chinesische KI-Tools von Regierungsgeräten zu verbannen. Die offizielle Begründung: nationale Sicherheitsbedenken darüber, wohin Daten fliessen und unter wessen Jurisdiktion sie fallen.

Das zugrunde liegende Prinzip hinter beiden Positionen ist identisch. Der einzige Unterschied liegt nur in der Richtung.

Der Widerspruch im Zentrum der Debatte

Ich erwähne das nicht, um die US-Regierung zu kritisieren. Beide Positionen lassen sich aus nationaler Perspektive gut erklären. Doch der scheinbare Widerspruch lohnt eine ehrliche Betrachtung, denn er zeigt etwas Wichtiges: Jede grosse Regierung der Welt wendet inzwischen Souveränitätslogik auf Daten und Technologie an.

Die USA bilden hier keine Ausnahme, sie verwenden lediglich eine andere Sprache dafür.

„Datensouveränität“ ist kein europäischer Euphemismus für Protektionismus. Es ist dieselbe praktische Kernfrage, die auch hinter CFIUS-Prüfungen chinesischer Cloud-Infrastruktur steht, hinter dem Verbot von DeepSeek auf Bundesgeräten oder hinter den seit Jahren bestehenden Beschränkungen für Huawei in der US-Telekommunikation.

Sie müssen wissen, unter wessen Jurisdiktion Ihre Daten und Ihre Entscheidungen stehen. Diese Notwendigkeit verschwindet nicht nur deshalb, weil Ihr Unternehmen seinen Hauptsitz in einem Land mit einer starken Technologieindustrie hat.

Was Souveränität tatsächlich bedeutet

Die Definition ist eigentlich einfach:

Sie wissen,

  • wo sich Ihre Daten befinden,
  • wer darauf zugreifen kann,
  • welche Gesetze gelten,
  • und Sie haben architektonische Kontrolle über diese Grenzen.

Mehr nicht. Nichts an dieser Definition ist spezifisch europäisch. Nichts daran ist anti-amerikanisch.

Es ist vielmehr eine Governance-Anforderung für eine Welt, in der Daten rechtlicher Autorität unterliegen, und jedes Land übt rechtliche Autorität über Daten innerhalb seiner Grenzen aus.

Ein US-Unternehmen mit 10’000 Mitarbeitenden in Deutschland muss deren Daten gemäss GDPR verarbeiten. Dasselbe Unternehmen muss in China die Personal Information Protection Law (PIPL) einhalten, die eine lokale Datenspeicherung verlangt und der Regierung weitreichende Zugriffsmöglichkeiten einräumt.

In Saudi-Arabien und den Vereinigten Arabischen Emiraten gehören lokale Data-Residency-Anforderungen inzwischen zum Standard. Indien bewegt sich in dieselbe Richtung.

Das sind keine europäischen Regeln. So funktioniert die Welt heute tatsächlich.

Das regulatorische Flickwerk, in dem globale Unternehmen heute operieren

Wenn Sie IT oder Security für ein wirklich globales Unternehmen verantworten, dann sieht die Lage heute ungefähr so aus:

Europäische Union: Die GDPR setzt strenge Regeln für Datenübertragungen. Ein europäisches Rechenzentrum löst das Problem jedoch nicht automatisch, wenn Ihr Anbieter seinen Hauptsitz in den USA hat. Der CLOUD Act erlaubt es US-Behörden, US-Unternehmen zur Herausgabe von Daten zu verpflichten – unabhängig davon, wo diese physisch gespeichert sind.
Europäisches Datenschutzrecht und US-Recht stehen hier teilweise direkt im Konflikt, und Unternehmen befinden sich dazwischen.

China:
Das PIPL verlangt lokale Datenspeicherung und gibt staatlichen Stellen weitreichende Zugriffsmöglichkeiten. Das ist keine Grauzone. Chinesische Geschäftsprozesse lassen sich nicht einfach über eine globale Plattform betreiben, die diese juristischen Anforderungen ignoriert.

Naher Osten:
Das Datenschutzgesetz der Vereinigten Arabischen Emirate sowie das Framework des saudi-arabischen National Data Management Office orientieren sich zunehmend an der GDPR – einschliesslich lokaler Speicheranforderungen. Diese Märkte gewinnen gleichzeitig an strategischer Bedeutung und regulatorischer Komplexität.

Die Vereinigten Staaten selbst:
Wie der DeepSeek-Fall gezeigt hat, wenden die USA exakt dieselbe Logik auf Daten aus potenziellen Rivalenstaaten an, wie europäische Regulierungsbehörden auf Datentransfers in die USA. Die Argumentation ist nachvollziehbar. Das Prinzip ist universell.

Diese Situation ist nicht vorübergehend. Die regulatorische Fragmentierung nimmt zu – sie konvergiert nicht.

Jede Unternehmensarchitektur, die davon ausgeht, dass Daten frei über alle Jurisdiktionen hinweg fliessen können, ist bereits heute überholt.

Warum eine einzige globale Plattform dieses Problem nicht lösen kann

Die Idee einer zentralen globalen Security-Plattform ist verständlich: ein Anbieter, eine Managementebene, konsistente Richtlinien weltweit. Dieses Modell funktionierte, solange Netzwerkperformance und Bedrohungserkennung die wichtigsten Faktoren waren.

Doch dieses Modell funktioniert nicht mehr in einer Welt, in der dieselben Daten – abhängig von Standort und Anbieter – gleichzeitig sechs unterschiedlichen Rechtsrahmen unterliegen können.

Eine souveränitätsbewusste Architektur bedeutet konkret:

  • Richtlinien, die erkennen, welche Daten in welcher Jurisdiktion liegen
  • Zugriffskontrollen, die regionale Gesetzgebung berücksichtigen
  • Transparenz darüber, welche Anbieter unter welcher rechtlichen Autorität operieren

Es bedeutet auch, unterschiedliche Richtlinien für unterschiedliche Jurisdiktionen über eine zentrale Managementoberfläche durchsetzen zu können.

Und es bedeutet, nicht den gesamten Datenverkehr über eine einzige globale Infrastruktur zu leiten – denn das würde lediglich eine neue juristische Abhängigkeit schaffen.

Genau das beschreibt souveräne SASE-Architektur – jurisdiction-aware Secure Access Service Edge.

Nicht „europäisches SASE“. Nicht ein Produkt, das nur eine einzelne Regulierung erfüllt. Sondern ein Modell, das für eine operative Realität gebaut wurde, in der die Regeln überall unterschiedlich sind – und das auch bleiben werden.

Fragen, die globale IT-Verantwortliche stellen sollten

Bevor Sie eine SASE- oder Managed-Security-Plattform für einen globalen Einsatz prüfen, sollten die entscheidenden Fragen nicht nur Performance-Benchmarks oder Threat-Intelligence-Feeds betreffen.

Die zentralen Fragen sind:

  • Wo befinden sich meine Daten tatsächlich?
    Nicht dort, wo der Anbieter es behauptet – sondern rechtlich betrachtet: unter welcher Jurisdiktion stehen sie?
  • Welche rechtliche Autorität kann meinen Anbieter zur Herausgabe von Daten verpflichten?
    CLOUD Act, lokale Gesetze oder nationale Sicherheitsanordnungen sind reale Risiken.
  • Kann meine Security-Plattform jurisdiktionsspezifische Richtlinien durchsetzen, ohne dass ich für jede Region eine eigene Plattform betreiben muss?
  • Wie schnell kann sich meine Architektur anpassen, wenn sich regulatorische Rahmenbedingungen in einem Land ändern?
  • Hat eine Regierung ein politisches oder rechtliches Interesse an meinen Daten?
    Der Unternehmenssitz bestimmt die rechtliche Angriffsfläche stärker als jedes Marketingversprechen.

Bei Open Systems haben wir unseren Hauptsitz in der Schweiz. Das bedeutet, dass keine nationale Regierung ein politisches Eigeninteresse an den Daten unserer Kunden hat. Wir sind in 185 Ländern aktiv. Unser Managed-SASE-Modell wurde von Beginn an mit der Realität entwickelt, dass sich Compliance-Anforderungen je nach Jurisdiktion unterscheiden – und dass die Annahme „eine globale Plattform, ein Regelwerk“ bereits von der Realität widerlegt wurde.

Souveränität ist keine Frage der Nationalität. Sondern der Kontrolle.

Das Kabel des US-Aussenministeriums und die DeepSeek-Verbote sind kein Widerspruch, weil eine Regierung inkonsequent wäre. Sie zeigen vielmehr, dass alle grossen Akteure im globalen System erkannt haben, dass Datenjurisdiktion entscheidend ist.

Die entscheidende Frage lautet daher: Spiegelt Ihre Unternehmensarchitektur diese Realität wider?

Wenn Ihre Sicherheitsinfrastruktur für eine Welt mit freien Datenflüssen und einheitlicher Jurisdiktion entwickelt wurde, ist es Zeit für eine Neubewertung.

Das globale regulatorische Flickwerk wird sich nicht durch diplomatischen Druck auflösen. Es ist die Umgebung, in der Ihre IT- und Security-Entscheidungen heute stattfinden.

Jurisdiktionssensitive Architektur ist kein europäisches Nischenthema; sie ist eine operative Voraussetzung für jedes Unternehmen, das grenzüberschreitend tätig ist.

Wenn Sie besprechen möchten, wie eine solche Architektur für Ihre Sicherheitsinfrastruktur aussehen kann, nehmen Sie Kontakt mit dem Open-Systems-Team auf. Genau mit diesen Fragen beginnen diese Gespräche.