Die Zukunft der Datensouveränität wird gestaltet, nicht verhandelt
Stefan Keller, Chief Product Officer 
Im Juni 2025 wurde der Legal Director von Microsoft Frankreich unter Eid vor dem französischen Senat gefragt, ob er garantieren könne, dass Daten französischer Bürgerinnen und Bürger niemals ohne Zustimmung Frankreichs an US-Behörden übermittelt würden. Seine Antwort war einfach: Nein.
Dieses eine Wort bestätigte, worüber viele europäische Sicherheitsverantwortliche seit Jahren diskutieren. Datensouveränität ist keine Einstellung, die man aktiviert. Sie ist kein Häkchen in einem Anbieter-Vertrag. Und sie ist längst nicht mehr primär eine juristische Frage. Sie ist eine Architekturentscheidung – und das Zeitfenster, sie richtig zu treffen, schliesst sich.
Drei Kräfte laufen derzeit zusammen, die dieses Thema für jeden europäischen CISO und IT-Leader dringlich machen: geopolitische Fragmentierung, extraterritorialer Datenzugriff und Cyberrisiken in der Lieferkette. Jede für sich verlangt Aufmerksamkeit. Zusammen verändern sie grundlegend, wie europäische Organisationen darüber nachdenken müssen, wo ihre Daten liegen, wer darauf zugreifen kann und wie resilient ihre Infrastruktur tatsächlich ist.
Geopolitische Fragmentierung: Die Netzwerkkarte vom letzten Quartal kann bereits falsch sein
Die meisten Unternehmensnetzwerke wurden für eine Welt entworfen, die von stabilen Routing-Strukturen, neutraler Infrastruktur und grenzenlosen Cloud-Regionen ausging. Diese Welt existiert nicht mehr.
Als Russland im Februar 2022 die Ukraine angriff, mussten Organisationen, die auf SD-WAN-Routen durch Osteuropa angewiesen waren, ihren Datenverkehr innerhalb weniger Tage umleiten. Diejenigen, die sich am schnellsten erholten, verfügten über Architekturen, die ein richtlinienbasiertes Umleiten ermöglichten – ohne ihre Infrastruktur neu aufbauen zu müssen. Das war kein Zufall. Das war Design.
Seither hat sich die Fragmentierung weiter beschleunigt. EU-Gesetzgebung zur digitalen Souveränität wird verschärft. Die USA ziehen sich aus multilateralen Technologieverpflichtungen zurück. China baut weiterhin staatlich kontrollierte Netzwerkinfrastrukturen aus. Sanktionen und Exportkontrollen verändern – manchmal über Nacht – auf welche Cloud-Regionen, Anbieter und Transitpfade sich Organisationen operativ verlassen können.
Im November 2025 verabschiedeten die EU-Mitgliedstaaten eine Erklärung zur europäischen digitalen Souveränität– rechtlich nicht bindend, politisch jedoch ein klares Signal: Digitale Autonomie ist zur strategischen Priorität geworden. Gleichzeitig prüft die Europäische Kommission, ob AWS und Microsoft Azure im Rahmen des Digital Markets Act als zentrale Plattformdienste eingestuft werden sollen.
Für Security-Verantwortliche bedeutet das: Die Netzwerkkarte, die im letzten Quartal gezeichnet wurde, kann bereits falsch sein. Eine Architektur, die sich an geopolitische Veränderungen anpassen kann, ist nicht länger optional. Sie ist grundlegend.
Extraterritorialer Datenzugriff: Zuständigkeit folgt dem Unternehmen, nicht den Daten
Der US CLOUD Act, verabschiedet 2018, erlaubt es US-Behörden, amerikanische Unternehmen zur Herausgabe von Daten zu verpflichten – unabhängig davon, wo diese physisch gespeichert sind. Für europäische Organisationen, die Cloud-, Security- oder SASE-Plattformen mit Hauptsitz in den USA nutzen, entsteht dadurch ein struktureller Konflikt mit der DSGVO und europäischen Datenschutzprinzipien.
Das ist kein theoretisches Szenario. In seiner Aussage vor dem französischen Senat bestätigte Microsoft-Manager Anton Carniaux unter Eid, dass eine gültige Anfrage der US-Regierung erfüllt werden müsste – selbst wenn sich die Daten auf europäischem Boden befinden.
Zur gleichen Zeit kündigte der Internationale Strafgerichtshof in Den Haag an, Microsoft Office durch OpenDesk, eine europäische Open-Source-Alternative, zu ersetzen. Der Auslöser: Der Chefankläger war infolge US-Sanktionen zeitweise von seinem Microsoft-Konto ausgesperrt worden. Der IT-Leiter des ICC erklärte öffentlich, das Gericht müsse Abhängigkeiten reduzieren und technologische Autonomie stärken – auch wenn das teuer und unbequem sei.
Ein weiteres Beispiel ist der Fall Solvinity in den Niederlanden. Niederländische Behörden, darunter die Stadt Amsterdam und das Justizministerium, hatten sich bewusst für Solvinity entschieden – einen niederländischen Managed-Cloud-Provider –, um die Abhängigkeit von amerikanischen Anbietern zu reduzieren und Risiken durch den CLOUD Act zu minimieren.
Im November 2025 kündigte jedoch das US-Unternehmen Kyndryl an, Solvinity zu übernehmen. Amsterdam wurde erst einen Tag vor der öffentlichen Bekanntgabe informiert. Über Nacht wurde eine souveräne Cloud-Entscheidung zu einem Anbieter unter US-Jurisdiktion. Das niederländische Parlament stimmte daraufhin über eine Initiative ab, Investitionen in europäische Cloud-Alternativen zu beschleunigen.
Für CISOs ist die Konsequenz klar: Der Hauptsitz eines Anbieters ist genauso relevant wie der Speicherort der Daten. Ein europäisches Rechenzentrum garantiert keine europäische Souveränität, wenn das Mutterunternehmen dem US-Recht unterliegt.
Cyberrisiken in der Lieferkette: Die Schwachstelle ist oft der Anbieter
Staatlich unterstützte Angreifer haben gelernt, dass direkte Angriffe auf Unternehmen teuer sind. Die Anbieter anzugreifen, denen diese Unternehmen vertrauen, ist wesentlich effizienter. Ein kompromittierter Managed-Service-Provider oder eine kompromittierte Security-Plattform kann privilegierten Zugriff auf Dutzende oder Hunderte Organisationen gleichzeitig ermöglichen.
Dieses Muster ist inzwischen gut dokumentiert. Im Januar 2024 nutzten chinesische, staatlich unterstützte Akteure (von Mandiant als UNC5221 verfolgt) Zero-Day-Schwachstellen in Ivanti Connect Secure aus – einem weit verbreiteten Secure-Access-Produkt. Tausende Organisationen weltweit waren betroffen. Die Angreifer griffen nicht Endgeräte oder Nutzer an. Sie gelangten über das Sicherheitsprodukt selbst ins Netzwerk.
Und dieses Muster hat sich seither wiederholt. Anfang 2026 meldete Ivanti zwei weitere kritische Zero-Day-Schwachstellen in seinem Endpoint Manager Mobile. Betroffen waren unter anderem die Europäische Kommission und die niederländische Datenschutzbehörde. Forschende ordneten rund zwanzig Angriffe derselben China-nahen Gruppe zu. Zu den Opfern gehörten Organisationen aus Telekommunikation, Gesundheitswesen und Luft- und Raumfahrt in ganz Europa.
Ihre SASE-Plattform steht nicht ausserhalb Ihrer Lieferkette. Sie ist Ihre Lieferkette – für Netzwerkzugang, Richtlinien-Durchsetzung und Security-Telemetry.
Organisationen mit der stärksten Sicherheitslage verlassen sich deshalb nicht allein auf Anbieter-Fragebögen. Sie bauen kontinuierliche Verifikation in die Netzwerkschicht ein, sodass selbst bei einer Kompromittierung eines Anbieters laterale Bewegungen begrenzt bleiben.
Warum diese drei Risiken gerade jetzt zusammenlaufen
Jede dieser Kräfte ist für sich genommen bereits ernst. Neu ist, dass sie nicht mehr getrennt voneinander wirken – sie konvergieren.
Geopolitische Fragmentierung verstärkt extraterritoriale Reichweite, weil Regierungen Notstands- und Geheimdienstbefugnisse ausweiten. Extraterritorialer Datenzugriff macht Lieferketten verwundbar, weil ein Anbieter unter fremder Jurisdiktion zum rechtlichen Zugangspunkt zu Ihren Daten wird. Und Angriffe auf Lieferketten werden zu Souveränitätsereignissen, weil Angreifer zunehmend genau jene Plattformen ausnutzen, auf die Organisationen für Richtlinien-Durchsetzung und Sicherheit angewiesen sind.
Organisationen, die damit erfolgreich umgehen, reagieren nicht auf jede Krise einzeln. Sie haben Datensouveränität bereits zur Architekturentscheidung gemacht: kontinuierliche Verifikation, Transparenz über Lieferketten und richtlinienbasierte Kontrollen, von Anfang an in die Netzwerkschicht integriert.
Deshalb überdenken immer mehr europäische Organisationen grundlegend, wie sie Netzwerk- und Sicherheitsarchitekturen gestalten. Statt sich auf global zentralisierte Plattformen zu verlassen, bewegen sie sich hin zu souveränen, richtliniengesteuerten SASE-Modellen, die innerhalb klar definierter Jurisdiktionen betrieben werden können und die operative Kontrolle näher an Daten und Nutzer bringen.
Genau diesen Ansatz verfolgen wir bei Open Systems mit Managed SASE. Aus unserer Arbeit mit Unternehmen sehen wir immer wieder: Organisationen, die Datensouveränität als Designprinzip verstehen – nicht als Krisenreaktion –, bleiben langfristig im Vorteil.
Was europäische Security-Leader jetzt tun sollten
Prüfen Sie die Jurisdiktion Ihrer Anbieter – nicht nur den Speicherort Ihrer Daten. Verstehen Sie, wo Ihre SASE-, Cloud- und Managed-Service-Provider ihren Hauptsitz haben und welche rechtlichen Risiken daraus entstehen.
Bauen Sie eine richtliniengesteuerte Architektur, die sich an geopolitische Veränderungen anpassen kann, ohne dass Ihre Infrastruktur neu aufgebaut werden muss. Und fordern Sie Transparenz in der Lieferkette, die über Fragebögen hinausgeht – mit kontinuierlicher Verifikation, die direkt in Ihr Netzwerkdesign integriert ist.
Datensouveränität ist nichts mehr, das man in einem Vertrag verhandelt. Sie wird in der Infrastruktur gestaltet.
Die Organisationen, die das heute verstehen, werden diejenigen sein, die auch die nächste grosse Disruption überstehen.
Datensouveränität wird nicht allein durch Regulierung gelöst werden. Sie wird durch Architektur gelöst werden. Bei Open Systems arbeiten wir mit europäischen Unternehmen daran, souveräne SASE-Architekturen zu entwerfen und zu betreiben, die genau diesen Herausforderungen gerecht werden.
Sprechen Sie mit dem Open Systems Team über Managed SASE, entwickelt für die Realitäten, mit denen europäische Organisationen heute konfrontiert sind.
Lassen Sie die Komplexität
hinter sich
Sie möchten auch von der Open Systems SASE Experience profitieren? Unsere Experten helfen Ihnen gern weiter.
Kontakt