Digitale Souveränität – Warum Unternehmen jetzt unabhängiger werden müssen

03.04.2025

Als deutscher Datenraum-Anbieter kennen wir seit Jahren die Thematik der digitalen Souveränität Europas. Spätestens seit der Debatte um das transatlantische Datenschutzabkommen und die zunehmenden geopolitischen Spannungen mit den USA ist klar: Unternehmen, die sensible Daten mit US-Diensten wie Office365 oder Amazon Web Services verarbeiten, begeben sich in eine gefährliche Abhängigkeit. Was passiert, wenn der Zugang plötzlich eingeschränkt wird? Wenn politische Entscheidungen darüber bestimmen, wie europäische Unternehmen arbeiten dürfen? Wie können Unternehmen ihre Daten selbstbestimmt, sicher und gesetzeskonform managen – etwa mit Lösungen wie dataroomX®?

Was bedeutet digitale Souveränität?

Digitale Souveränität beschreibt die Fähigkeit eines Staates, einer Organisation oder eines Unternehmens, digitale Infrastrukturen, Anwendungen und Datenverarbeitung unabhängig und eigenverantwortlich zu gestalten. Es geht um Kontrolle, Sicherheit – und um Freiheit. Wer seine Daten nicht mehr vollständig kontrollieren kann, verliert Gestaltungsmacht.

In der Praxis betrifft das:

• Die Wahl der Cloud-Anbieter
• Die Nutzung von Kommunikations- und Kollaborationsplattformen
• Die Datenverarbeitung im Rahmen von Geschäftsprozessen
• Die Einhaltung europäischer Datenschutzstandards (Stichwort DSGVO)
• Die Absicherung von sensiblen Unternehmensinformationen gegen staatlichen Zugriff durch Drittstaaten

Das Dilemma mit US-Diensten: Office365 & Amazon Web Services

US-amerikanische Dienste wie Microsoft Office365 und Amazon Web Services (AWS) gehören zu den meistgenutzten IT-Angeboten weltweit. Sie sind leistungsfähig, bequem – aber eben auch problematisch im Hinblick auf Datenschutz und Souveränität.

Office365: Komfort mit Risiko

Viele Unternehmen nutzen Office365 für E-Mail, Dokumentenbearbeitung, Teams-Konferenzen oder Kalenderfunktionen. Dabei wandern Unmengen personenbezogener und geschäftskritischer Daten in die Cloud. Und genau hier liegt das Problem: Microsoft unterliegt dem US-amerikanischen Cloud Act.

Dieser erlaubt es US-Behörden, auf Daten zuzugreifen – selbst wenn die Server in Europa stehen. Die Folge: Europäische Datenschutzvorgaben wie die DSGVO lassen sich damit nicht vollumfänglich einhalten. Zahlreiche Datenschutzaufsichtsbehörden (u. a. in Baden-Württemberg und Bayern) haben bereits Stellung bezogen und zweifeln die Vereinbarkeit von Office365 mit der DSGVO an.

Amazon Web Services: Der Gigant aus Seattle mit Rechenzentrum in Frankfurt

Ähnlich kritisch ist die Lage bei Amazon Web Services. AWS hostet nicht nur Websites, sondern ganze Unternehmensinfrastrukturen, Datenbanken und sensible Anwendungen. Auch hier gilt: US-Gesetze haben Vorrang. Unternehmen, die AWS nutzen, müssen sich darüber im Klaren sein, dass sie einem potenziellen Zugriff Dritter ausgesetzt sind – und damit ein Risiko eingehen, das sich nicht immer rechtfertigen lässt. Der amerikanische Geheimdienst bietet als Dienstleistung das Ausspähen deutscher Unternehmen an.

Trump und das transatlantische Datenschutzabkommen: Ein Rückblick mit Folgen

Im März 2024 titelte n-tv: „Unternehmen sorgen sich wegen Trump um wichtigen Daten-Deal“. Gemeint ist das transatlantische Datenschutzabkommen, das in der Vergangenheit mehrfach gekippt und neu verhandelt wurde – zuletzt als Data Privacy Framework. Es ist nicht ausgeschlossen, dass das Abkommen erneut aufgekündigt oder ausgehöhlt wird. Schon in seiner ersten Amtszeit hatte Trump klar gemacht, dass er europäische Datenschutzbedenken für zweitrangig hält. Der damalige Ausstieg aus der Privacy-Shield-Vereinbarung sorgte für massive Rechtsunsicherheit. Unternehmen mussten teils über Nacht ihre IT-Prozesse umstellen, weil der Datentransfer in die USA illegal wurde. Ein solches Szenario droht erneut – mit potenziell noch größeren Folgen, da heute weitaus mehr Dienste in die Cloud ausgelagert wurden als noch 2020.

Welche Branchen sind besonders betroffen?

Nahezu alle. Doch besonders kritisch ist die Lage in:

• Gesundheitswesen (Patientendaten, Forschungsergebnisse)
• Finanz- und Versicherungswesen (Kontodaten, Risikomodelle)
• Industrie & Mittelstand (Konstruktionspläne, Lieferketteninformationen)
• Beratung & Kanzleien (Mandantendaten, Verträge)
• Öffentliche Verwaltung (Bürgerinformationen, IT-Dienstleistungen)

In all diesen Bereichen gilt: Vertraulichkeit und Integrität der Daten sind geschäftsentscheidend – und gesetzlich geschützt.

Wege zur digitalen Souveränität: 5 Handlungsempfehlungen

1. Sensibilisierung und Risikoanalyse

Die Geschäftsleitung muss sich der Abhängigkeiten bewusst werden. Welche Dienste laufen über US-Clouds? Welche Daten sind betroffen? Gibt es Alternativen?

Ein IT-Audit mit Fokus auf digitale Souveränität kann Klarheit schaffen.

2. Cloud-Dienste mit Hosting in Europa bevorzugen

Setzen Sie auf Anbieter, die ihre Infrastruktur ausschließlich in der EU betreiben – idealerweise in Deutschland. Nur so können Sie sicherstellen, dass europäisches Datenschutzrecht greift und US-Gesetze außen vor bleiben.

Ein Beispiel: dataroomX®. Der virtuelle Datenraum wird vollständig in deutschen Rechenzentren gehostet, ist DSGVO-konform und eignet sich ideal für sensible Geschäftsprozesse wie Due Diligence, M&A oder Compliance-Dokumentation.

3. Open Source und europäische Anbieter stärken

Viele Funktionen von Office365 oder AWS lassen sich auch mit Open-Source-Software oder europäischen SaaS-Anbietern abbilden. Beispiele sind:

• Nextcloud statt Microsoft OneDrive
• grommunio statt Microsoft Office365
• CryptPad oder OnlyOffice statt Word/Excel
• Tutanota oder Mailbox.org statt Outlook
• Ionos, Hetzner oder StackIT statt AWS
• dataroomX statt ideals oder drooms.

Solche Dienste ermöglichen mehr Kontrolle, Transparenz – und damit Souveränität.

4. Verträge prüfen – Datenschutzfolgen abschätzen

Nutzen Sie Standardvertragsklauseln? Wie steht es um die Datenübermittlung in Drittländer? Gibt es technische Maßnahmen zur Verschlüsselung? Der Einsatz von US-Diensten erfordert immer eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Diese kann bei US-Anbietern negativ ausfallen.

5. Bewusstsein im Unternehmen schaffen

IT-Sicherheit und Datenschutz sind keine reinen IT-Themen – sie betreffen alle Mitarbeitenden. Schulen Sie Ihre Teams regelmäßig in Bezug auf:

• Datenklassifizierung
• Sichere Kommunikation
• Nutzung von Cloud-Diensten
• Social Engineering & Phishing

Digitale Souveränität ist auch eine Frage der Kultur.

Fallbeispiel: Digitale Souveränität bei M&A-Prozessen mit dataroomX®

Ein klassisches Einsatzszenario für dataroomX® ist die Unternehmensnachfolge oder ein geplanter Firmenverkauf. Hierbei müssen vertrauliche Unterlagen mit potenziellen Käufern geteilt werden – z. B. Bilanzen, Verträge, IP-Rechte, Kundenlisten oder Investitionspläne.

Ein US-Cloud-Dienst wäre in diesem Kontext nicht geeignet, da die DSGVO-konforme Absicherung und Nachvollziehbarkeit fehlt.

Mit dataroomX® profitieren Unternehmen von:

• Hosting in zertifizierten deutschen Rechenzentren
• Vollständiger DSGVO-Konformität
• Q&A-Modulen für sichere Kommunikation
• Revisionssicherem Logging jeder Nutzeraktion
• Flexiblem Rollen- und Rechtemanagement

Ein weiterer Vorteil: dataroomX® lässt sich ohne IT-Abteilung in Minuten einrichten und skalieren – ideal für mittelständische Unternehmen, Kanzleien und M&A-Berater.