Jedes dritte europäische Unternehmen verlor 2025 die Kontrolle über den Verbleib seiner Daten
Unternehmen investieren Millionen, um die Hoheit über ihre Daten zu sichern, und kennen die regulatorischen Anforderungen so gut wie nie zuvor. Dennoch offenbart ein aktueller Report eine hartnäckige Lücke zwischen Wissen und tatsächlicher Umsetzung.
Der „2026 Data Security and Compliance Risk: Data Sovereignty Report“ des Sicherheitsanbieters Kiteworks zeichnet ein widersprüchliches Bild: Obwohl sich 80 Prozent der europäischen Befragten als „gut“ oder „sehr gut“ über die Anforderungen an die Datensouveränität informiert bezeichnen, hat laut dem Report fast jedes dritte europäische Unternehmen (32 Prozent) in den vergangenen zwölf Monaten einen souveränitätsbezogenen Vorfall erlebt. Für die Erhebung wurden 286 Fachleute befragt – überwiegend IT-Manager, CIOs und CTOs – aus Europa (189), Kanada (43) und dem Nahen Osten (54). Im regionalen Vergleich liegt die Vorfallrate in Europa zwischen Kanada (23 Prozent) und dem Nahen Osten (44 Prozent).
Zu den häufigsten Vorfällen zählen unbefugte grenzüberschreitende Datenübermittlungen, behördliche Auskunftsersuche, Datenschutzverletzungen mit Auswirkungen auf die Souveränität sowie Compliance-Verstöße durch Drittanbieter. Die Schlussfolgerung des Reports: Die verbleibende Lücke sei operativer, nicht informativer Natur – und um sie zu schließen, brauche es eine geeignete technische Architektur, nicht weitere Schulungen.
Das Vertrauensproblem mit Cloud-Anbietern
Als größtes Hindernis für ihre Souveränitätsbestrebungen nennen 44 Prozent der europäischen Befragten die Souveränitätsgarantien ihrer Anbieter – der höchste Wert aller untersuchten Regionen.
Das Problem laut dem Report: Viele Cloud-Umgebungen erfüllen zwar die rechtlichen Anforderungen an den Datenstandort, gewähren den Unternehmen jedoch keine alleinige Kontrolle über die Verschlüsselungsschlüssel. Dadurch bleibe der Anbieter technisch in der Lage, auf Kundendaten zuzugreifen. Die Autoren der Studie verweisen dabei auf die Schrems-II-Entscheidung, die klargestellt habe, dass Verträge ausländische Zugriffsgesetze nicht aushebeln können.
Die europäische Regulierungslandschaft verschärft die Situation zusätzlich. Laut Kiteworks empfinden 40 Prozent der europäischen Befragten den EU AI Act als Hindernis, 36 Prozent sorgen sich wegen politischer Kurswechsel in den USA, 34 Prozent wegen der Durchsetzung des Data Acts und 23 Prozent wegen möglicher Änderungen bei den Angemessenheitsentscheidungen. Keine andere der befragten Regionen sehe sich mit so vielen regulatorischen Herausforderungen gleichzeitig konfrontiert. „Die Lücke liegt nicht im Wissen. Es ist die Kluft zwischen den Richtlinien und der Architektur, die die Datenresidenz tatsächlich durchsetzt, den Zugriff kontrolliert und bei Bedarf auditierbare Nachweise liefert“, sagt Dario Perfettibile, General Manager EMEA bei Kiteworks.
Millionenbudgets für Compliance – mit klarem geschäftlichen Kalkül
Und die Kosten für Datensouveränität sind laut dem Studie erheblich: So führen 58 Prozent der Befragten Änderungen an der technischen Infrastruktur als ressourcenintensivsten Bereich an, gefolgt von Fachwissen in Recht und Compliance (53 Prozent) sowie Dokumentation und Auditierung (41 Prozent).
Die Mehrheit der Unternehmen gibt jährlich mehr als eine Million US-Dollar für die Einhaltung von Souveränitätsvorschriften aus. 28 Prozent der europäischen Befragten geben demnach sogar mehr als fünf Millionen Euro pro Jahr aus, weitere 31 Prozent liegen zwischen einer und fünf Millionen Euro. Bei Unternehmen mit mehr als 10.000 Mitarbeitern fallen laut Kiteworks über 70 Prozent in diese oberen Ausgabenstufen.
Dennoch sehen die Befragten in ihren Souveränitätsbemühungen einen klaren geschäftlichen Nutzen. 61 Prozent der Unternehmen verbinden ihre Maßnahmen mit einer verbesserten Sicherheitslage, 51 Prozent mit gesteigertem Kundenvertrauen, 42 Prozent mit besserer Data Governance und 40 Prozent mit reduzierten rechtlichen Risiken. 33 Prozent sehen darin sogar einen Wettbewerbsvorteil.
Automatisierung und technische Kontrollen als strategische Antwort
Für die kommenden zwei Jahre planen die europäischen Unternehmen laut dem Report vorwiegend in zwei Richtungen: 55 Prozent wollen in die Automatisierung von Compliance-Prozessen investieren – die meistgenannte Strategie in der Region. 51 Prozent setzen auf verbesserte technische Kontrollen. 46 Prozent planen eine Migration zu EU-basierten Anbietern, 45 Prozent die Lokalisierung von Daten, 34 Prozent eine Umstrukturierung internationaler Abläufe und 30 Prozent den Ausbau ihrer Rechtsabteilungen.
Die Untersuchung identifiziert zudem fünf Prioritäten für 2026: die Schließung der Anbieter-Vertrauenslücke durch Architektur statt Verträge, Investitionen in Compliance-Automatisierung, die Vorbereitung auf den AI Act, den Aufbau getesteter Reaktionspläne für Schrems-II- und Regierungszugriffsszenarien sowie die Umwandlung von Souveränität in ein kundenorientiertes Vertrauensmerkmal.
KI-Governance als nächstes Konfliktfeld
Ein weiterer Schwerpunkt des Reports ist die wachsende Herausforderung bei der Datensouveränität im Zusammenhang mit künstlicher Intelligenz. Laut der Erhebung bewahren 34 Prozent der europäischen Befragten alle KI-Trainingsdaten innerhalb der EU auf. Weitere 34 Prozent verfolgen einen gemischten Ansatz, der sich nach der Sensibilität der Daten richtet. Der Rest entwickle seine KI-Souveränitätsstrategie noch.
Bei den Schutzmaßnahmen setzt die Mehrheit auf regelmäßige KI-Audits, gefolgt von Folgenabschätzungen für Hochrisiko-KI (48 Prozent), Transparenzdokumentation, Einwilligungsmanagement und Bias-Tests. Die Pflichten des EU AI Acts, die im August 2025 in Kraft traten, hätten laut Kiteworks formalisiert, was viele Organisationen bereits aufbauten. Der Report warnt jedoch: Unternehmen, die noch einen gemischten Ansatz „nach Sensibilität“ verfolgen, sollten ihre Klassifizierungskriterien dringend konkretisieren und dokumentieren, denn mit Beginn der Durchsetzung sei ein unklares Kriterium nicht mehr verteidigungsfähig.
„Früher bedeutete Souveränität vor allem Geografie – man musste die Daten nur im richtigen Land aufbewahren“, sagt Perfettibile. „Diese Ära ist vorbei. Aufsichtsbehörden, Kunden und Beschaffungsteams verlangen heute Nachweise: Wer hat Zugriff auf die Daten, wer verwaltet die Schlüssel und lässt sich die Einhaltung der Vorschriften auf Anfrage nachweisen?“
Der vollständige Report „2026 Data Security and Compliance Risk: Data Sovereignty Report“ sowie die europaspezifische Auswertung „Data Sovereignty in Europe“ stehen zum kostenfreien Download bereit.
Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen erstellt. Die inhaltliche Verantwortung, Überprüfung der Fakten und redaktionelle Bearbeitung liegen bei der Redaktion.