Eine neue Form der Industrie benötigt neue Verfahren und Techniken, die die künstliche Intelligenz gerade an die Hand liefert. Basis jeder Entwicklung sind und bleiben aber Daten – und die müssen souverän gehalten werden.
Daten gelten seit langem als das wertvollste Kapital eines Unternehmens, Beyond Buzzword wird nicht müde, deren Bedeutung hervorzuheben. Sie sind wohl wichtiger als die physische Infrastruktur oder sogar die Marke. Dies spiegelt sich im immateriellen Unternehmenskapital wider, vor allem in Daten zu Forschung und Entwicklung sowie geistigem Eigentum, deren Wert im Jahr 2024 60 Billionen Dollar überstieg. Bei effektiver Nutzung eröffnen Daten Wettbewerbsvorteile und neue Märkte, sorgen für bessere Entscheidungen und tragen dazu bei, transformative Kundenerlebnisse zu schaffen.
Angesichts der entscheidenden Bedeutung von Daten für den täglichen Betrieb moderner Unternehmen müssen diese mehr denn je verwaltet und geschützt werden. Aufgrund der anhaltenden globalen geopolitischen Unsicherheit ist das Thema Datensouveränität für Regierungen, Behörden und Unternehmen in den Vordergrund gerückt – und wird auch in 2026 stark im Fokus stehen.
„Datensouveränität definiert das Prinzip, dass Daten den Gesetzen und Governance-Strukturen des Landes unterliegen, in dem sie erhoben oder gespeichert werden“, erläutert Markus Grau, Enterprise Architect im Office of the CTO bei Pure Storage. „Dies betrifft die Frage, wer die Befugnis hat, zu bestimmen, wie Daten verwaltet, abgerufen und genutzt werden, insbesondere in einer zunehmend vernetzten und datengesteuerten Welt.“
Lange Zeit hätten Unternehmen geglaubt, dass Datensouveränität einfach bedeutet, wo sich ihre Daten befinden. Angesichts geopolitischer Veränderungen und der anbrechenden Industrie 4.0 müssten Unternehmen nun jedoch zwischen Datenresidenz – dem Ort, an dem Daten physisch gespeichert sind – und Datensouveränität – der Frage, wer die rechtliche Zuständigkeit für diese Daten hat – unterscheiden.
Risiken der Datensouveränität – Konstellation für einen perfekten Sturm
„Heute verändern neue Risikofaktoren die Landschaft der Datensouveränität und werfen neue Fragen hinsichtlich des Zugriffs auf und der Nutzung von geschäftskritischen Daten auf. Geopolitische Konflikte, neue Vorschriften, internationaler Wettbewerb und der Wunsch nach einer strengeren Kontrolle der Daten zur Förderung von Innovationen prägen das aktuelle Zeitgeschehen“, so Grau. All dies zwinge Führungskräfte dazu, den Standort ihrer geschäftskritischen Daten, die Zuständigkeit für diese Daten und die Auswirkungen auf den Betrieb zu überdenken.
Bis vor kurzem sei die Vorstellung, dass die digitalen Prozesse oder Dienste eines Unternehmens durch einen „Kill Switch“ eines Dritten unterbrochen werden könnten, für unmöglich gehalten worden. Mittlerweile seien jedoch die Voraussetzungen gegeben, dass die Kerngeschäfte von Regierungen oder globalen Unternehmen ohne Vorwarnung durch ausländische Gesetze oder Verordnungen unterbrochen oder aufgehoben werden können.
Drei Faktoren zeigten insbesondere, dass Dienstunterbrechungen oder -ausfälle nicht mehr nur hypothetisch sind.
Geopolitische Spannungen
Angesichts zunehmender Konflikte zwischen Ländern und wirtschaftlicher Sanktionen schränkten Nationalstaaten den Fluss von Waren, Dienstleistungen und Daten, den Handel, die Zusammenarbeit und den freien Informationsaustausch ein. Eine Studie der OECD/WTO schätzt, dass allein Störungen des grenzüberschreitenden Datenaustauschs das globale BIP um 4,5 Prozent reduzieren könnten. Die heutige unsichere geopolitische Lage habe das Risiko von Dienstunterbrechungen für Unternehmen erhöht, die von Dienstleistungen ausländischer Anbieter abhängig sind. Dies unterstreiche, wie wichtig die Herkunft der Daten ist.
Regulatorischer Druck
In den letzten Jahren hätten Gesetzgeber versucht, den Datenfluss zu regulieren, um die Rechte ihrer Bürger zu stärken – beispielsweise habe die EU mit der Datenschutz-Grundverordnung (DSGVO) den Schutz der Privatsphäre einzelner Bürger verbessert. Diese Art von Gesetzgebung habe den Spielraum von Unternehmen für die Speicherung und Verarbeitung personenbezogener Daten neu definiert. Durch die Erhöhung der Compliance-Anforderungen veränderten solche Maßnahmen bereits jetzt die Investitionsentscheidungen der Führungsetage in Bezug auf Cloud-Strategien, die Einführung von KI und den Zugriff Dritter auf Unternehmensdaten.
Kritische Infrastruktur
Modifikationen in der Politik einzelner Regierungen führten zu Unsicherheiten hinsichtlich der grenzüberschreitenden Datenverwaltung, des Cloud-Zugangs und der internationalen Harmonisierung von Vorschriften. In allen Regionen strebten Unternehmen nach mehr Kontrolle, Transparenz und einer einheitlichen Rechtslage in Bezug auf ihre Dateninfrastruktur. Dies geschehe nicht nur aus Gründen der Compliance, sondern auch, um ihre Geschäftsziele zu erreichen. Viele Unternehmen überprüften ihre Lieferkette und die Standorte ihrer Infrastruktur, die Gerichtsbarkeit ihrer Lieferanten und rechtliche Risiken, insbesondere, wenn sie in stark regulierten Branchen wie dem Gesundheitswesen tätig seien.
Führungskräfte überdenken Risiken
Eine neue Studie, die von der University of Technology Sydney (UTS) in Auftrag gegeben wurde, untersucht die Ansichten von Führungskräften zu den sich wandelnden Rahmenbedingungen. Sie zeigt, wie sich die Datensouveränität von einer Compliance-Anforderung im Hintergrund zu einer Priorität auf Vorstandsebene entwickelt hat.
Es bestand allgemeine Einigkeit (100 Prozent der Befragten), dass Souveränitätsprobleme wie Dienstunterbrechungen ihr Unternehmen dazu gezwungen haben, den Standort seiner Daten zu überprüfen. Mehr als neun von zehn (92 Prozent) gaben an, dass geopolitische Veränderungen das Risiko erhöht haben, dass Unternehmen Fragen der Datensouveränität nicht vollständig klären können. Unternehmensleiter befürchten, dass ihre Datensouveränität beeinträchtigt werden könnte: 92 Prozent befürchten Reputationsschäden und 85 Prozent, dass sie letztendlich das Vertrauen ihrer Kunden verlieren könnten.
Angesichts potenzieller Dienstausfälle bis hin zu existenziellen Bedrohungen für ihr Unternehmen haben Führungskräfte Maßnahmen ergriffen: 78 Prozent integrieren Souveränität in ihre Kernprozesse, migrieren von mehreren Dienstleistern zu Investitionen in souveräne Rechenzentren und nehmen Governance-Klauseln in Verträge auf.
Eindämmung von Risiken für die Datensouveränität
Für die Datensouveränität stehen Unternehmen laut Grau drei Hauptansätze zur Auswahl: „Erstens können sie einen gezielten Risikobewertungsansatz verfolgen. Sie können eine Datenstrategie definieren, die dringende Prioritäten behandelt und festlegt, welche Daten wohin gelangen und wie sie verwaltet werden sollen“, so der Software-Architekt. Dies erfolge basierend auf Schlüsselkennzahlen wie der Sensibilität der Daten, der Art der personenbezogenen Daten, den Auswirkungen auf nachgelagerte Bereiche und dem Identifizierungspotenzial. Ein vorausschauender Ansatz dieser Art erfordere jedoch eine klare Vision und eine detaillierte Planung.
„Alternativ könnte das Unternehmen reaktiver vorgehen und sich vollständig von seinen ausländischen Public-Cloud-Anbietern lösen. Dies ist riskanter, da dadurch wahrscheinlich der Zugang zu Innovationen verloren geht und, schlimmer noch, finanzielle Folgen entstehen könnten, die das Erreichen wichtiger Geschäftsziele gefährden könnten.“
Schließlich könnten Führungskräfte auch beschließen, nichts zu unternehmen und zu hoffen, dass keines dieser Risiken sie direkt betreffe. Dies sei die Option mit dem höchsten Risiko, da sie keinen Schutz vor den potenziell verheerenden finanziellen und rufschädigenden Folgen einer ineffektiven Datensouveränitätsstrategie biete.
Sicherung der Datensouveränität
„Angesichts der heutigen konvergierenden geopolitischen, regulatorischen und operativen Risikofaktoren haben Unternehmensleiter schnell erkannt, dass Datensouveränität nicht mehr gleichbedeutend mit Datenresidenz ist. Es handelt sich um ein komplexeres Prinzip, das die rechtliche Zuständigkeit für Daten, den Zugriff auf oder die Weitergabe von Daten und die Frage umfasst, unter welche Gerichtsbarkeit sie fallen. Wahre Datensouveränität geht über den physischen Standort hinaus und umfasst die operative Kontrolle, Governance und vollständige Autorität eines Unternehmens über sein gesamtes digitales Ökosystem.
Zukunftsorientierte Unternehmen können die Herausforderungen der Datensouveränität erfolgreich bewältigen, indem sie Datenstrategien implementieren, die festlegen, welche Daten wohin gelangen sollen, und gleichzeitig alle relevanten Risiken in Bezug auf Infrastruktur, Partner, Lieferkette und Regulierung managen.“