Digitale Souveränität und DSGVO: Warum Unternehmen ihre Abhängigkeit von Drittstaaten kritisch prüfen sollten
FAQ: Digitale Souveränität, DSGVO und Drittstaaten
Digitale Souveränität beschreibt die Fähigkeit eines Unternehmens, seine digitalen Ressourcen – also Daten, Systeme und Prozesse – selbstbestimmt zu gestalten und zu steuern. Konkret geht es darum, jederzeit nachvollziehen zu können, welche Daten wo verarbeitet werden, wer darauf zugreifen kann, welche Rechtsordnungen zur Anwendung kommen und wie flexibel Sie auf Veränderungen reagieren können. Digitale Souveränität ist damit kein rein technischer Begriff, sondern eine Kombination aus rechtlicher, organisatorischer und technischer Gestaltungsmacht.
Für die Praxis heißt das: Ein souverän aufgestelltes Unternehmen weiß, welche Cloud- und Softwaredienste im Einsatz sind, welche personenbezogenen Daten dort verarbeitet werden, auf welchen Rechtsgrundlagen dies geschieht (z. B. Art. 6, 28, 44 ff. DSGVO) und welche Alternativen im Falle von Änderungen zur Verfügung stehen. Es geht weniger darum, auf internationale Anbieter zu verzichten, sondern darum, Abhängigkeiten bewusst zu steuern und im Bedarfsfall handlungsfähig zu bleiben.
Die DSGVO verpflichtet Verantwortliche dazu, eine datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen und Risiken angemessen zu bewerten (Art. 5, 24, 25, 32 DSGVO). Digitale Souveränität ist dafür eine wichtige Grundlage. Wer nicht weiß, wo Daten verarbeitet werden, welche Dienstleister beteiligt sind und welche rechtlichen Rahmenbedingungen gelten, kann die eigenen Rechenschafts- und Nachweispflichten nur schwer erfüllen.
Hinzu kommt, dass sich rechtliche und technische Rahmenbedingungen laufend verändern. Angemessenheitsbeschlüsse können entfallen, Standardvertragsklauseln werden angepasst, Anbieter ändern ihre Infrastruktur oder ihr Geschäftsmodell. Ein Unternehmen, das seine digitale Souveränität aktiv gestaltet, ist besser darauf vorbereitet, auf solche Veränderungen zu reagieren – sei es durch zusätzliche Schutzmaßnahmen, Vertragsnachverhandlungen oder einen Wechsel des Dienstleisters. Digitale Souveränität ist damit ein wichtiger Baustein, um die DSGVO langfristig praktisch umsetzen zu können.
Drittstaaten sind im Sinne der DSGVO alle Staaten außerhalb des Europäischen Wirtschaftsraums (EWR). Sobald personenbezogene Daten in solche Länder übermittelt oder von dort aus verarbeitet werden, greifen die besonderen Regeln der Art. 44 ff. DSGVO. Der Hintergrund ist, dass die DSGVO außerhalb des EWR nicht ohne Weiteres durchgesetzt werden kann und das Datenschutzniveau in Drittstaaten teilweise erheblich von europäischen Standards abweicht.
Kritisch wird es insbesondere dann, wenn Behördenzugriffe, nationale Sicherheitsgesetze oder fehlende Rechte der Betroffenen dazu führen können, dass personenbezogene Daten nicht in der gleichen Weise geschützt sind wie innerhalb der EU. Unternehmen müssen daher prüfen, ob für eine konkrete Übermittlung ein angemessenes Schutzniveau besteht – etwa durch einen Angemessenheitsbeschluss, geeignete Garantien (z. B. Standardvertragsklauseln mit ergänzenden Maßnahmen) oder andere in der DSGVO vorgesehene Mechanismen. Ohne eine solche Prüfung und dokumentierte Entscheidung ist ein Drittlandtransfer regelmäßig nicht zulässig.
In der Praxis ist häufig nicht auf den ersten Blick erkennbar, ob ein Cloud-Dienst zu einem Drittlandtransfer führt. Der Sitz des Anbieters ist ein erster Hinweis, aber keineswegs der einzige Faktor. Auch ein Anbieter mit europäischer Gesellschaft kann Daten in Rechenzentren außerhalb des EWR verarbeiten oder einer Konzernmutter in einem Drittstaat unterliegen, die Zugriffsrechte hat. Hinzu kommen global verteilte Infrastrukturen, Content Delivery Networks (CDN) und Backup-Standorte, die ebenfalls relevant sein können.
Unternehmen sollten daher die Vertragsunterlagen, Datenschutzhinweise, AV-Verträge (Art. 28 DSGVO) und technischen Dokumentationen ihrer Dienstleister sorgfältig prüfen. Wichtige Fragen sind: In welchen Regionen werden Daten gespeichert? Werden Subunternehmer in Drittstaaten eingesetzt? Gibt es Support- oder Administrationszugriffe aus Drittstaaten? Werden Daten zu Analyse- oder Trainingszwecken weitergegeben? Idealerweise werden diese Informationen im Verarbeitungsverzeichnis (Art. 30 DSGVO) und in einer Übersicht Ihrer Dienstleister und Datenflüsse strukturiert dokumentiert, sodass Sie Drittlandtransfers jederzeit nachvollziehen und bewerten können.
Ein Vendor-Lock-in entsteht, wenn ein Unternehmen so stark von einem bestimmten Anbieter oder System abhängig wird, dass ein Wechsel nur mit erheblichem Aufwand möglich ist. Aus datenschutzrechtlicher Sicht ist das problematisch, weil sich rechtliche Rahmenbedingungen oder Einschätzungen ändern können – etwa wenn ein Dienstleister in einem Drittstaat plötzlich als risikoreicher eingestuft wird oder ein Angemessenheitsbeschluss entfällt.
In solchen Situationen kann ein Wechsel erforderlich sein, um die Vorgaben der DSGVO weiterhin zu erfüllen. Ist das Unternehmen aber technisch, organisatorisch und fachlich stark an den bisherigen Anbieter gebunden, kann die Umsetzung sehr schwierig und zeitkritisch werden. Die Folge sind Übergangsrisiken, mögliche Regelverstöße und ein hoher Ressourcenaufwand. Um dem vorzubeugen, sollten Sie bereits bei der Auswahl von Systemen auf offene Schnittstellen, Exportfunktionen, dokumentierte Datenformate und realistische Alternativen achten. So wird die Einhaltung von Datenschutzanforderungen nicht von einem einzelnen Anbieter abhängig.
Die Risikobewertung ist ein zentraler Bestandteil des datenschutzrechtlichen Umgangs mit internationalen Datenübermittlungen. Die DSGVO verlangt einen risikobasierten Ansatz (Art. 24, 32, 35, 44 ff. DSGVO): Verantwortliche müssen die Wahrscheinlichkeit und Schwere möglicher Beeinträchtigungen für die Rechte und Freiheiten der betroffenen Personen bewerten und entsprechende Schutzmaßnahmen treffen. Bei Drittlandtransfers bedeutet das, dass nicht nur formale Garantien wie Standardvertragsklauseln betrachtet werden, sondern auch die tatsächlichen Umstände der Verarbeitung und die Rechtslage im Empfängerland.
In der Praxis umfasst eine solche Risikobewertung unter anderem die Art der Daten (z. B. besondere Kategorien), den Verarbeitungszweck, das Volumen und die Dauer der Verarbeitung, die Zugriffsmöglichkeiten im Drittstaat, etwaige Behördenzugriffe, die eingesetzten technischen Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung) sowie mögliche Folgen für Betroffene bei einem Datenabfluss. Auf dieser Basis wird entschieden, ob die Übermittlung vertretbar ist, welche ergänzenden Maßnahmen nötig sind oder ob auf einen Drittlandtransfer verzichtet werden sollte. Eine sorgfältige Dokumentation dieser Bewertung ist wichtig, um gegenüber Aufsichtsbehörden die eigene Entscheidung nachvollziehbar zu begründen.
Der Einsatz von KI-Systemen muss sich, wie jede andere Verarbeitung, an den Grundsätzen der DSGVO messen lassen (Art. 5 DSGVO). Zentrale Punkte sind Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und Integrität/Vertraulichkeit. Für die Praxis bedeutet das zunächst, dass Sie klar definieren, zu welchen Zwecken Sie KI einsetzen wollen und welche Daten dafür tatsächlich erforderlich sind. Sensible Daten, umfangreiche Nutzerprofile oder Beschäftigtendaten sollten besonders kritisch geprüft und nur in Ausnahmefällen in KI-Systeme eingebracht werden.
Zudem sollten Sie klären, wo die KI verarbeitet wird, ob Drittstaaten involviert sind und welche Verträge und TOMs existieren (Art. 28, 32, 44 ff. DSGVO). Eine datenschutzfreundliche Konfiguration kann etwa bedeuten, personenbezogene Daten vor der Verarbeitung zu pseudonymisieren, lokale bzw. europäische Rechenzentren zu wählen oder bestimmte Datenkategorien bewusst auszuschließen. Je nach Art und Umfang der KI-Nutzung kann eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich sein, um Risiken systematisch zu identifizieren und zu reduzieren. Digitale Souveränität bedeutet hier, dass Sie nicht nur die Leistung der KI betrachten, sondern auch, wie transparent, kontrollierbar und ersetzbar das System ist.
Nein, nicht jede Nutzung von Cloud- oder KI-Diensten erfordert automatisch eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Eine DSFA ist insbesondere dann durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Typische Beispiele sind umfangreiche Profilbildungen, systematische Überwachungen, Verarbeitungen besonderer Kategorien personenbezogener Daten in großem Umfang oder hochgradig automatisierte Entscheidungen mit spürbaren Auswirkungen für Betroffene.
In der Praxis ist allerdings festzustellen, dass viele moderne Cloud- und KI-Anwendungen durchaus ein erhöhtes Risikopotenzial aufweisen – insbesondere dann, wenn sie zentrale Geschäftsprozesse betreffen, große Datenmengen verarbeiten oder sensible Datenkategorien einbeziehen. Es ist daher sinnvoll, für neue oder wesentlich geänderte Verarbeitungen zunächst eine strukturierte Vorprüfung vorzunehmen: Liegen Indikatoren für ein hohes Risiko vor? Welche Kriterien der Aufsichtsbehörden-Listen werden erfüllt? Falls ja, bietet eine DSFA einen geordneten Rahmen, um Risiken zu bewerten, geeignete Maßnahmen zu definieren und die getroffene Entscheidung nachvollziehbar zu dokumentieren.
Digitale Strategien und die eingesetzte Systemlandschaft sollten nicht nur einmalig geprüft, sondern regelmäßig evaluiert werden. Die Frequenz hängt von der Dynamik Ihrer Branche, der Anzahl der eingesetzten Systeme und der Sensibilität der verarbeiteten Daten ab. Für viele Unternehmen hat sich ein jährlicher Überprüfungszyklus bewährt, ergänzt um anlassbezogene Prüfungen bei größeren Veränderungen – etwa bei der Einführung neuer Cloud- oder KI-Dienste, der Integration neuer Tochtergesellschaften oder bei relevanten Rechtsänderungen.
Diese Überprüfung sollte nicht nur technische Aspekte betrachten, sondern auch Verträge, Datenflüsse, Drittstaatenbezüge und organisatorische Prozesse. Ziel ist es, sicherzustellen, dass Ihre Dokumentation (z. B. Verarbeitungsverzeichnisse, TOM, AV-Verträge), Ihre Risikobewertungen und Ihre Notfall- bzw. Migrationsszenarien mit der tatsächlichen Praxis übereinstimmen. In einem solchen Zyklus können auch Schulungsbedarfe, Anpassungen von Richtlinien und die Weiterentwicklung des Datenschutzmanagementsystems adressiert werden.
Ein externer Datenschutzbeauftragter bringt eine neutrale, fachlich fundierte Perspektive auf Ihre digitale Infrastruktur mit und kann helfen, Risiken, Abhängigkeiten und Handlungsoptionen strukturiert zu identifizieren. Konkret kann er oder sie Ihre eingesetzten Systeme erfassen, Datenflüsse dokumentieren, Drittlandtransfers bewerten, Verträge prüfen und gemeinsam mit Ihnen ein tragfähiges Datenschutz- und Compliance-Konzept entwickeln. Dabei geht es nicht nur um die Beantwortung einzelner Detailfragen, sondern um die Gestaltung eines konsistenten Gesamtbildes.
Darüber hinaus kann ein externer Datenschutzbeauftragter Sie im laufenden Betrieb begleiten: bei der Einführung neuer Cloud- oder KI-Lösungen, bei Datenschutz-Folgenabschätzungen, bei Audits, Schulungen und der Kommunikation mit Aufsichtsbehörden. Digitale Souveränität wird so zu einem Bestandteil Ihrer Unternehmensstrategie – nicht nur zu einem kurzfristigen Projekt. Durch die externe Perspektive lassen sich zudem Vendor-Lock-in-Risiken, unnötige Drittlandtransfers oder dokumentationsarme „Schatten-IT“ oftmals schneller erkennen und adressieren.
Datenschutz bedeutet mehr als gesetzliche Pflichterfüllung
In vielen Unternehmen wird Datenschutz noch immer mit Einwilligungserklärungen, Datenschutzhinweisen, Cookie-Bannern oder Verarbeitungsverzeichnissen gleichgesetzt. Diese Elemente gehören zweifellos zu den gesetzlichen Mindestanforderungen der Datenschutz-Grundverordnung (DSGVO). Aus Sicht eines externen Datenschutzbeauftragten greift diese Perspektive jedoch zu kurz.
Die DSGVO verfolgt einen risikobasierten Ansatz. Unternehmen sollen nicht nur aktuelle Risiken erkennen und bewerten, sondern auch mögliche zukünftige Entwicklungen berücksichtigen, die Auswirkungen auf personenbezogene Daten und auf die eigene Handlungsfähigkeit haben können (u. a. Art. 5, 24, 25, 32 und 35 DSGVO). Im Zuge der Digitalisierung wurden in den vergangenen Jahren zahlreiche Geschäftsprozesse in Cloud-Umgebungen, Online-Plattformen und digitale Ökosysteme verlagert. Dabei werden personenbezogene Daten häufig über Systeme verarbeitet, deren Betreiber, Konzernmütter oder technische Infrastrukturen außerhalb der Europäischen Union beziehungsweise außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig sind.
Diese Entwicklung bietet viele Vorteile: Skalierbarkeit, hohe Verfügbarkeit, moderne Funktionen und oftmals eine schnelle Einführung neuer Services. Gleichzeitig entstehen neue datenschutzrechtliche, organisatorische und strategische Fragestellungen, die Unternehmen bewusst adressieren sollten. Es geht nicht nur darum, ob ein Tool „funktioniert“, sondern auch darum, unter welchen rechtlichen Rahmenbedingungen es betrieben wird, wie transparent die Datenflüsse sind und wie flexibel ein Unternehmen im Bedarfsfall reagieren kann.
Eine zentrale Frage lautet daher:
Wie souverän ist Ihr Unternehmen im Umgang mit seinen Daten und digitalen Geschäftsprozessen – heute und in Zukunft?
Digitale Souveränität wird zum Wettbewerbsfaktor
Der Begriff der digitalen Souveränität hat sich in den vergangenen Jahren von einem eher abstrakten Schlagwort zu einem konkreten strategischen Thema entwickelt. Für Unternehmen meint digitale Souveränität die Fähigkeit, selbstbestimmt über Daten, Systeme und digitale Prozesse zu entscheiden und handlungsfähig zu bleiben, wenn sich Rahmenbedingungen ändern.
Digitale Souveränität umfasst insbesondere die Kontrolle darüber, wo Daten verarbeitet werden, wer auf sie zugreifen kann, welche Rechtsordnungen zur Anwendung kommen und welche technischen und organisatorischen Schutzmaßnahmen (TOM) implementiert sind. Aus Sicht eines Datenschutzbeauftragten geht es nicht um Abschottung oder die pauschale Ablehnung internationaler Technologien. Vielmehr steht im Vordergrund, Abhängigkeiten zu erkennen, Risiken realistisch zu bewerten und die eigene strategische Entscheidungsfreiheit zu sichern.
Unternehmen sollten jederzeit nachvollziehen können,
- wo personenbezogene Daten gespeichert und verarbeitet werden,
- welche Dienstleister und Unterauftragsverarbeiter eingebunden sind,
- welche gesetzlichen Regelungen (z. B. DSGVO, nationale Gesetze, Drittstaatenrecht) gelten,
- welche TOMs bestehen und wie diese überprüft werden,
- und welche Alternativen im Bedarfsfall zur Verfügung stehen.
Je besser diese Informationen dokumentiert und verstanden sind, desto einfacher lassen sich Risiken bewerten und fundierte Entscheidungen treffen – etwa bei der Auswahl neuer Software, bei der Nutzung von KI-Systemen oder bei der Umstellung bestehender Prozesse. Digitale Souveränität wird damit zunehmend zu einem Wettbewerbsfaktor: Wer seine Datenflüsse kennt und beherrscht, kann schneller reagieren, besser planen und regulatorische Anforderungen nachhaltig erfüllen.
Die Bedeutung von Drittstaaten im Datenschutzrecht
Was sind Drittstaaten?
Die DSGVO unterscheidet zwischen Datenverarbeitungen innerhalb des Europäischen Wirtschaftsraums und Datenübermittlungen in sogenannte Drittstaaten. Als Drittstaaten gelten alle Länder außerhalb des EWR. Werden personenbezogene Daten in solche Staaten übertragen oder dort verarbeitet, greifen die besonderen Regelungen der Art. 44 ff. DSGVO.
Der Hintergrund: Die DSGVO kann außerhalb ihres unmittelbaren Geltungsbereichs nicht ohne Weiteres durchgesetzt werden. Unternehmen müssen deshalb sicherstellen, dass bei internationalen Datenübermittlungen ein angemessenes Datenschutzniveau gewährleistet bleibt. Dies kann etwa durch Angemessenheitsbeschlüsse der EU-Kommission, geeignete Garantien (z. B. Standardvertragsklauseln) oder – in besonderen Konstellationen – durch ausdrückliche Einwilligungen erfolgen.
Für die Praxis bedeutet das: Wer Cloud-Dienste, Kommunikationsplattformen, Analyse-Tools oder KI-Anwendungen nutzt, sollte systematisch prüfen, ob und in welchem Umfang Daten in Drittstaaten fließen – und auf welcher rechtlichen Grundlage dies erfolgt.
Warum Unternehmen Drittlandtransfers bewerten müssen
Internationale Datenübermittlungen sind heute Bestandteil nahezu aller digitalisierten Geschäftsmodelle. Cloud-basierte Kollaborationswerkzeuge, CRM- und ERP-Systeme, Marketing- und Trackingtools, Video-Konferenzsysteme oder KI-gestützte Dienstleistungen greifen häufig auf global verteilte Infrastrukturen zurück.
Die DSGVO verlangt eine sorgfältige Bewertung solcher Verarbeitungen, insbesondere wenn personenbezogene Daten die EU/EWR verlassen. Für Unternehmen stellen sich dabei unter anderem folgende Fragen, die nicht nur formal, sondern strategisch beantwortet werden sollten:
Wo befinden sich die Daten konkret?
Der Sitz eines Anbieters sagt oft wenig darüber aus, wo die tatsächliche Datenverarbeitung stattfindet. Viele Dienstleister arbeiten mit global verteilten Rechenzentren, Content Delivery Networks (CDN) und Backup-Standorten. Für Unternehmen ist es daher wichtig, Konfigurationen, Datenregionen und Speicherorte zu kennen. Ein in Europa nutzbarer Dienst kann technisch Daten in mehrere Weltregionen replizieren – etwa zur Ausfallsicherheit oder Lastverteilung. Für die datenschutzrechtliche Bewertung ist entscheidend, ob damit ein Drittlandtransfer im Sinne der Art. 44 ff. DSGVO verbunden ist.
Wer hat Zugriff auf die Daten – direkt oder mittelbar?
Neben dem unmittelbaren Anbieter sind häufig weitere Dienstleister, Konzernunternehmen oder Unterauftragnehmer beteiligt. Auch ein Anbieter mit Rechenzentrum in der EU kann rechtlich an eine Konzernmutter in einem Drittstaat gebunden sein, die theoretisch Zugriff auf die Daten verlangen könnte. Unternehmen sollten daher Transparenz über Subunternehmerketten, Support-Zugriffe, Remote-Wartung und administrativen Zugriff haben und diese Aspekte in Auftragsverarbeitungsverträgen (Art. 28 DSGVO) klar regeln.
Welche Rechtsgrundlagen gelten für die Übermittlung?
Für jede internationale Datenübermittlung ist zu klären, auf welche Rechtsgrundlage sie gestützt wird. In der Praxis stehen häufig EU-Angemessenheitsbeschlüsse, Standardvertragsklauseln oder – in Ausnahmefällen – Einwilligungen im Raum. Unternehmen sollten prüfen, ob die gewählte Rechtsgrundlage passt, wie sie dokumentiert ist und ob ergänzende technische Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung) erforderlich sind, um ein angemessenes Schutzniveau zu erreichen.
Welche Risiken bestehen – heute und morgen?
Bei der Bewertung von Drittlandtransfers geht es nicht nur um den Status quo. Auch mittel- und langfristige rechtliche, politische oder wirtschaftliche Entwicklungen können relevant sein. Änderungen in der Gesetzgebung eines Drittstaats, neue Gerichtsentscheidungen oder geänderte Einschätzungen von Aufsichtsbehörden können dazu führen, dass ein heute tragfähiges Modell künftig kritisch gesehen wird. Ein vorausschauendes Risikomanagement berücksichtigt deshalb auch Szenarien wie: „Was passiert, wenn ein Angemessenheitsbeschluss entfällt?“ oder „Wie reagieren wir, wenn ein Anbieter sein Geschäftsmodell oder seine Vertragsbedingungen ändert?“.
Die wachsende Bedeutung digitaler Abhängigkeiten
Warum Datenschutz auch Risikomanagement ist
Datenschutz ist nicht nur die Erfüllung rechtlicher Mindestanforderungen, sondern immer auch Risikomanagement. Unternehmen müssen sich regelmäßig die Frage stellen, wie widerstandsfähig ihre digitale Infrastruktur gegenüber Veränderungen ist – sei es durch neue gesetzliche Vorgaben, technische Entwicklungen oder Änderungen bei Dienstleistern.
Zu den typischen Fragestellungen gehören etwa: Was passiert, wenn sich gesetzliche Rahmenbedingungen ändern und ein bisher unproblematischer Drittlandtransfer plötzlich kritisch wird? Welche Auswirkungen haben neue regulatorische Anforderungen, etwa strengere Dokumentationspflichten oder zusätzliche Sicherheitsanforderungen? Wie flexibel können Systeme gewechselt werden, wenn ein Anbieter nicht mehr zur eigenen Strategie passt oder ein eingesetztes Produkt abgekündigt wird? Sind Daten jederzeit in brauchbarer Form exportierbar, oder verhindern proprietäre Strukturen einen Wechsel? Und vor allem: Gibt es realistische Alternativen, die im Notfall schnell aktiviert werden können?
Diese Überlegungen betreffen nicht nur Datenschutz, sondern gleichermaßen Informationssicherheit, Compliance-Management und die strategische Unternehmensplanung. Ein robustes Datenschutzmanagementsystem ist deshalb immer auch ein Baustein für die Gesamtresilienz einer Organisation.
Vendor-Lock-in als Herausforderung
Ein oft unterschätztes Risiko ist der sogenannte Vendor-Lock-in, also die starke Abhängigkeit von einem einzelnen Anbieter oder einer Plattform. Je tiefer Prozesse, Datenmodelle und Arbeitsabläufe mit einem spezifischen System verwoben sind, desto aufwendiger wird ein späterer Wechsel – fachlich, technisch und organisatorisch.
Die Folgen können erheblich sein: Ein Anbieterwechsel kann hohe Umstellungskosten verursachen, umfangreiche Datenmigrationen erforderlich machen und zu Kompatibilitätsproblemen mit anderen Systemen führen. Mitarbeiter müssen geschult, Schnittstellen neu aufgebaut und Prozesse angepasst werden. Im ungünstigen Fall drohen temporäre Betriebsunterbrechungen oder Funktionseinbußen.
Aus Datenschutzsicht ist ein Vendor-Lock-in deshalb kritisch, weil er die Handlungsfähigkeit des Unternehmens einschränkt: Wenn sich die rechtlichen Rahmenbedingungen ändern oder ein Dienst datenschutzrechtlich nicht mehr tragbar ist, kann ein Wechsel notwendig werden. Unternehmen sollten bereits bei der Auswahl von Systemen darauf achten, wie offen die Datenformate sind, welche Exportfunktionen existieren und ob eine Migration zu Alternativlösungen realistisch ist. Diese Überlegungen zahlen direkt auf digitale Souveränität ein.
Europa und die Herausforderung der digitalen Souveränität
Die Entwicklung digitaler Infrastrukturen
Die heutige digitale Landschaft ist das Ergebnis jahrzehntelanger globaler Investitionen in Rechenzentren, Netzwerke, Cloud-Plattformen und Software-Ökosysteme. Europa verfügt über leistungsfähige Technologieunternehmen, moderne Rechenzentren und eine dynamische Forschungslandschaft. Gleichzeitig ist offensichtlich, dass viele der weltweit zentralen digitalen Dienste und Plattformen ihren Ursprung außerhalb Europas haben.
Das führt zu Abhängigkeiten, die nicht per se problematisch sind, aber bewusst bewertet werden müssen. Unternehmen sollten sich fragen, in welchen Bereichen sie bewusst auf global etablierte Dienste setzen – und wo sie strategisch alternative, möglichst souveräne Optionen aufbauen wollen. Ziel ist nicht die vollständige Autarkie, sondern ein ausgewogenes Verhältnis zwischen internationaler Vernetzung und eigener Entscheidungsfreiheit.
Digitale Souveränität als strategisches Ziel
Auf europäischer Ebene wird digitale Souveränität seit Jahren intensiv diskutiert. Initiativen zielen darauf ab, Unternehmen, Behörden und Organisationen mehr Wahlmöglichkeiten bei der Gestaltung ihrer digitalen Infrastruktur zu geben. Dazu gehören zum Beispiel der Ausbau europäischer Cloud-Infrastrukturen, die Förderung datenschutzfreundlicher Softwarelösungen, die Stärkung sicherer Rechenzentren, transparente Datenverarbeitung, offene Standards und interoperable Systeme.
Je größer die Auswahl an datenschutzkonformen, interoperablen Lösungen wird, desto unabhängiger können Unternehmen ihre digitale Strategie ausrichten. Wer frühzeitig prüft, welche europäischen oder datenschutzfreundlichen Alternativen es zu bestehenden Diensten gibt, verschafft sich Spielräume für zukünftige Entscheidungen – und stärkt gleichzeitig die eigene Position gegenüber Anbietern.
Künstliche Intelligenz verändert die Datenschutzlandschaft
KI-Systeme werden zum festen Bestandteil moderner Unternehmen
Künstliche Intelligenz (KI) entwickelt sich in vielen Branchen zu einer Schlüsseltechnologie. Bereits heute kommen KI-basierte Systeme im Kundenservice (z. B. Chatbots, virtuelle Assistenten), im Marketing (z. B. personalisierte Inhalte, Segmentierung), im Wissensmanagement (z. B. semantische Suche, Dokumentenanalyse), in der Dokumentation und Protokollierung, in der Datenanalyse und im Reporting, bei der Prozessautomatisierung sowie zunehmend auch in der Softwareentwicklung zum Einsatz.
Mit der zunehmenden Verbreitung wachsen jedoch auch die Anforderungen an Datenschutz, Transparenz, IT-Sicherheit und Compliance. Unternehmen stehen vor der Aufgabe, den praktischen Nutzen von KI mit den rechtlichen Vorgaben der DSGVO und weiteren Regularien – perspektivisch etwa auch mit KI-spezifischen Regelwerken – in Einklang zu bringen.
Datenschutz bei KI-Systemen
Aus Sicht eines Datenschutzbeauftragten sollten Unternehmen insbesondere folgende Aspekte systematisch prüfen:
Welche Daten werden verarbeitet und zu welchem Zweck?
Nicht jede Information eignet sich für die Verarbeitung durch KI-Systeme. Besonders sensible Kategorien personenbezogener Daten (Art. 9 DSGVO), Daten von Beschäftigten oder umfangreiche Verhaltens- und Nutzungsprofile erfordern eine besonders sorgfältige Bewertung. Es ist zu klären, welche Daten tatsächlich benötigt werden, in welchem Umfang sie verarbeitet werden und ob sich der gewünschte Zweck nicht auch mit datensparsameren Alternativen erreichen lässt (Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO).
Wo erfolgt die Verarbeitung – und unter welcher Rechtsordnung?
Der Ort der Datenverarbeitung spielt bei KI-Anwendungen eine zentrale Rolle. Viele KI-Dienste werden als Cloud-Angebot bereitgestellt, teils mit Rechenzentren und Entwicklungsstandorten außerhalb des EWR. Unternehmen sollten genau prüfen, ob personenbezogene Daten in Drittstaaten übertragen werden und – falls ja – auf welchen Mechanismen nach Art. 44 ff. DSGVO diese Übermittlungen beruhen. Wo immer möglich, kann die Nutzung von Diensten mit Verarbeitung innerhalb des EWR und klaren TOMs ein wichtiger Baustein für die Risiko-Reduktion sein.
Welche Kontroll- und Steuerungsmöglichkeiten bestehen?
Ein wesentliches Kriterium ist, ob Unternehmen nachvollziehen können, wie Daten verarbeitet, gespeichert und gelöscht werden. Dazu gehört Transparenz über Datenflüsse, Protokollierung und Zugriffskonzepte, aber auch über Trainingsdaten und Modellaktualisierungen. Unternehmen sollten sich fragen, wie sie im Fall von Betroffenenanfragen (Auskunft, Löschung, Berichtigung) reagieren können und ob die eingesetzten KI-Systeme diese Anforderungen praktisch unterstützen.
Welche Verträge, TOMs und organisatorischen Maßnahmen sind umgesetzt?
Auch bei KI-Anwendungen gelten die bekannten Grundsätze: Es braucht klare Verträge (insbesondere Auftragsverarbeitungsverträge nach Art. 28 DSGVO), angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO), ein schlüssiges Berechtigungskonzept und einen dokumentierten Umgang mit Vorfällen. Je nach Art, Umfang und Risiken der Verarbeitung kann auch eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich sein. Unternehmen sollten dokumentieren, warum sie eine KI-Lösung als tragfähig und vertretbar einstufen – und diese Einschätzung regelmäßig überprüfen.
Europäische Entwicklungen im KI-Bereich
Europa investiert zunehmend in Forschung, Entwicklung und Infrastruktur für KI-Systeme. Ziel ist es, vertrauenswürdige, transparente und datenschutzfreundliche KI zu fördern. Universitäten, Forschungseinrichtungen und Unternehmen arbeiten daran, Innovation mit hohen Datenschutz- und Sicherheitsstandards zu verbinden.
Dabei entstehen Konzepte für vertrauenswürdige KI, transparente Algorithmen, datenschutzfreundliche Systemarchitekturen und nachvollziehbare Entscheidungen. Ergänzend wird der Aufbau europäischer Rechenkapazitäten vorangetrieben, um sensiblen Anwendungen eine Verarbeitung innerhalb des EWR zu ermöglichen. Für Unternehmen eröffnen sich dadurch perspektivisch mehr Optionen, KI einzusetzen, ohne bei Datenschutz und digitaler Souveränität zu große Kompromisse eingehen zu müssen.
Warum Unternehmen ihre digitale Strategie regelmäßig überprüfen sollten
Die Digitalisierung ist kein abgeschlossener Zustand, sondern ein fortlaufender Prozess. Neue Technologien entstehen, bestehende Lösungen verändern sich, rechtliche Rahmenbedingungen werden fortentwickelt und Geschäftsprozesse immer stärker vernetzt. Vor diesem Hintergrund genügt es nicht, eine einmalige Bestandsaufnahme durchzuführen. Digitale Strategien sollten regelmäßig überprüft und weiterentwickelt werden.
Im Sinne eines gelebten Datenschutz- und Compliance-Managements empfiehlt sich insbesondere eine wiederkehrende Bewertung folgender Bereiche:
Datenflüsse:
Welche personenbezogenen Daten werden in welchen Prozessen verarbeitet, an welche internen und externen Stellen übermittelt und in welchen Ländern gespeichert? Sind die Datenflüsse vollständig dokumentiert und nachvollziehbar?
Dienstleister:
Welche Anbieter sind an der Datenverarbeitung beteiligt? Liegen aktuelle Verträge, AV-Verträge und – bei Drittstaaten – geeignete Garantien vor? Haben sich Anbieterstrukturen, Konzernzugehörigkeiten oder Subunternehmer geändert?
Vertragsgrundlagen:
Entsprechen die bestehenden Vereinbarungen den aktuellen Anforderungen von DSGVO und Aufsichtsbehörden? Müssen Standardvertragsklauseln oder sonstige Garantien aktualisiert werden? Sind technische und organisatorische Maßnahmen im Vertrag hinreichend konkret beschrieben?
Notfallplanung und Ausfallsicherheit:
Wie reagiert das Unternehmen, wenn zentrale Dienste ausfallen, ein Anbieter seine Leistungen einstellt oder eine Lösung datenschutzrechtlich nicht mehr tragbar ist? Gibt es Notfall- und Migrationsszenarien, die zumindest konzeptionell vorbereitet sind?
Alternativen und Handlungsoptionen:
Welche realistischen Optionen stehen im Bedarfsfall zur Verfügung? Sind Alternativanbieter bekannt, wurden diese zumindest grob bewertet, und ist klar, welche Anforderungen ein zukünftiger Wechsel erfüllen müsste?
Eine regelmäßige Überprüfung dieser Punkte erhöht die Transparenz und stärkt die langfristige Handlungsfähigkeit. Sie ist damit ein zentraler Baustein für digitale Souveränität.
Praktische Empfehlungen eines Datenschutzbeauftragten
Aus Sicht eines externen Datenschutzbeauftragten haben sich in der Praxis folgende Maßnahmen bewährt, um Datenschutz, digitale Souveränität und Risikomanagement miteinander zu verbinden:
Vollständige Dokumentation der eingesetzten Systeme
Unternehmen sollten jederzeit nachvollziehen können, welche Anwendungen personenbezogene Daten verarbeiten, zu welchen Zwecken dies geschieht und auf welcher Rechtsgrundlage die Verarbeitung beruht. Neben einem Verarbeitungsverzeichnis nach Art. 30 DSGVO gehören dazu auch Übersichten über eingesetzte Cloud-Dienste, KI-Systeme und externe Schnittstellen sowie Angaben zu Speicherorten, Datenkategorien und beteiligten Dienstleistern.
Transparente Datenflüsse
Die Wege personenbezogener Daten sollten – von der Erhebung über die Speicherung und Nutzung bis hin zur Löschung – dokumentiert und regelmäßig überprüft werden. Dabei ist zu klären, welche Daten intern bleiben, welche an externe Dienstleister gehen und ob Daten in Drittstaaten übertragen werden. Je transparenter diese Datenflüsse sind, desto einfacher lassen sich Risiken und Abhängigkeiten erkennen.
Fortlaufende Risikobewertung internationaler Datenübermittlungen
Internationale Datenübermittlungen sind kein einmaliger Vorgang, sondern Gegenstand einer fortlaufenden Bewertung. Änderungen bei Anbietern, neue rechtliche Einschätzungen oder technische Anpassungen können Einfluss auf das Risiko nehmen. Unternehmen sollten daher regelmäßig prüfen, ob die gewählten Garantien und Maßnahmen weiterhin angemessen sind und ob zusätzliche technische Schutzmaßnahmen (z. B. Ende-zu-Ende-Verschlüsselung) erforderlich oder sinnvoll sind.
Datenschutz-Folgenabschätzungen für risikobehaftete Verarbeitungen
Bei besonders risikoreichen Verarbeitungen – etwa umfangreichen Tracking-Maßnahmen, sensiblen Datenverarbeitungen oder komplexen KI-Anwendungen – empfiehlt sich eine strukturierte Datenschutz-Folgenabschätzung (Art. 35 DSGVO). Sie hilft, Risiken systematisch zu identifizieren, geeignete Schutzmaßnahmen abzuleiten und die getroffenen Entscheidungen nachvollziehbar zu dokumentieren.
Regelmäßige Audits von Datenschutz und Informationssicherheit
Datenschutz und Informationssicherheit sind laufende Aufgaben. Regelmäßige interne oder externe Audits unterstützen dabei, Schwachstellen zu identifizieren, Maßnahmen nachzujustieren und die Wirksamkeit bestehender Regelungen zu überprüfen. Dabei können sowohl organisatorische Aspekte (Prozesse, Verantwortlichkeiten, Schulungen) als auch technische Vorkehrungen (TOM, Systemkonfigurationen, Berechtigungskonzepte) betrachtet werden.
Strategische Verankerung digitaler Souveränität
Digitale Souveränität sollte kein isoliertes IT- oder Datenschutzthema sein, sondern Teil der langfristigen Unternehmensstrategie. Entscheidungen über neue Systeme, Anbieter oder Architekturen sollten stets auch unter dem Blickwinkel getroffen werden, wie sich diese auf Unabhängigkeit, Flexibilität und Compliance auswirken. So wird Datenschutz von der reinen Pflichterfüllung zur Grundlage nachhaltiger Unternehmensentwicklung.
Digitale Souveränität ist ein wesentlicher Bestandteil moderner Datenschutzstrategien
Die Datenschutz-Grundverordnung verpflichtet Unternehmen, personenbezogene Daten verantwortungsvoll zu verarbeiten und Risiken angemessen zu bewerten. Dazu gehört auch, internationale Datenübermittlungen, digitale Abhängigkeiten und langfristige Entwicklungen in den Blick zu nehmen. Digitale Souveränität bedeutet in diesem Zusammenhang nicht, auf internationale Technologien zu verzichten. Sie bedeutet vielmehr, die Kontrolle über Daten, Prozesse und Entscheidungen zu behalten – und dadurch handlungsfähig zu bleiben.
Unternehmen, die ihre Datenflüsse kennen, Drittstaatenrisiken bewerten, ihre Dienstleister sorgfältig auswählen und ihre digitale Infrastruktur bewusst gestalten, schaffen die Grundlage für nachhaltige Compliance, Informationssicherheit und Zukunftsfähigkeit. In einer zunehmend vernetzten Welt wird die Fähigkeit, selbstbestimmt über digitale Ressourcen zu entscheiden, zu einem entscheidenden Erfolgsfaktor – unabhängig von Unternehmensgröße oder Branche.
Quellen und fachliche Grundlagen
Die Inhalte dieses Beitrags basieren auf allgemein anerkannten datenschutzrechtlichen Grundlagen, Veröffentlichungen europäischer Institutionen, Stellungnahmen von Datenschutzaufsichtsbehörden, Entscheidungen europäischer Gerichte sowie Fachpublikationen zu digitaler Souveränität, internationalen Datenübermittlungen, Cloud Computing und künstlicher Intelligenz.
Berücksichtigte Rechtsgrundlagen
- Datenschutz-Grundverordnung (DSGVO), insbesondere Art. 5, 24, 25, 28, 30, 32, 35 sowie Art. 44 ff.
- Europäische Datenschutzrichtlinien und Leitlinien
- Entscheidungen des Europäischen Gerichtshofs zu Datenschutz und internationalen Datenübermittlungen
- Empfehlungen und Leitlinien des Europäischen Datenschutzausschusses (EDSA) und nationaler Aufsichtsbehörden
Berücksichtigte Fachthemen
- Internationale Datenübermittlungen und Drittstaatenregelungen
- Digitale Souveränität von Unternehmen und öffentlichen Stellen
- Cloud Computing, Plattformökonomien und Vendor-Lock-in
- Datenschutz bei KI-Systemen und automatisierten Entscheidungsprozessen
- Informationssicherheit und technische und organisatorische Maßnahmen (TOM)
- Aufbau und Betrieb von Datenschutz- und Compliance-Managementsystemen
Hinweis
Dieser Beitrag dient ausschließlich der allgemeinen Information und Sensibilisierung für datenschutzrechtliche Fragestellungen. Er ersetzt keine rechtliche Beratung im Einzelfall. Die datenschutzrechtliche Bewertung konkreter Verarbeitungen, Systeme oder Geschäftsprozesse erfordert stets eine individuelle Prüfung durch eine fachkundige Person, etwa einen Datenschutzbeauftragten oder entsprechend qualifizierten Rechtsbeistand.
Zusätzlicher Haftungshinweis:
Die vorstehenden Inhalte wurden mithilfe einer KI erstellt und stellen keine abschließende oder verbindliche Rechtsauffassung dar. Sie sollten grundsätzlich durch dich als zuständigen Datenschutzbeauftragten bzw. Datenschutzmanager vor einer Verwendung fachlich geprüft, angepasst und freigegeben werden.