Zurück zur Übersicht
03.03.2026 Fachbeitrag

Digitale Souveränität in Unternehmen: Cloud- und KI-Nutzung rechtssicher gestalten

Update Datenschutz Nr. 237

Die digitale Wertschöpfung deutscher Unternehmen basiert heute in weiten Teilen auf Infrastrukturen und Diensten weniger globaler Technologieanbieter. Cloud-Speicher, Kollaborationsplattformen, ERP-Systeme, KI-Anwendungen oder Cybersecurity-Lösungen stammen häufig von US-amerikanischen Anbietern wie Amazon Web Services, Microsoft oder Google. Diese Konzentration schafft Effizienz und Innovationsgeschwindigkeit, führt jedoch zugleich zu rechtlichen und strategischen Abhängigkeiten etwa im Hinblick auf Datenzugriffe aus Drittstaaten, regulatorische Konflikte oder eingeschränkte Wechselmöglichkeiten. Spätestens seit den Diskussionen um den US CLOUD Act, transatlantische Datentransfers und verschärfte Cybersicherheitsanforderungen ist digitale Souveränität daher kein abstraktes politisches Leitbild mehr, sondern eine konkrete Governance- und Risikofrage für Unternehmen. Der Beitrag beleuchtet die rechtliche Einordnung dieser Abhängigkeiten, die aktuelle transatlantische Situation sowie die europäischen Initiativen und Handlungsoptionen für die Unternehmenspraxis.

I. Hintergrund: Aktuelle Situation für deutsche Unternehmen

Digitale Souveränität beschreibt aus Unternehmensperspektive die Fähigkeit, digitale Infrastrukturen, Daten und Anwendungen so einzusetzen, dass rechtliche Vorgaben eingehalten, wirtschaftliche Abhängigkeiten beherrscht und strategische Risiken kontrolliert werden können. Gemeint ist damit keine vollständige technologische Autarkie, sondern eine belastbare Steuerungs- und Entscheidungsfähigkeit über zentrale IT-Ressourcen insbesondere über Cloud-Dienste, Datenflüsse und KI-Systeme.

In der Praxis greifen viele deutsche Unternehmen für Infrastruktur (IaaS), Plattformdienste (PaaS) oder Softwarelösungen (SaaS) auf Angebote großer US-Anbieter zurück, insbesondere von Amazon Web Services, Microsoft oder Google. Diese Anbieter stellen leistungsfähige, skalierbare und wirtschaftlich attraktive Lösungen bereit und sind vielfach tief in bestehende IT-Architekturen integriert.

Die Kehrseite dieser Marktkonzentration ist jedoch eine rechtliche und faktische Abhängigkeit. Unternehmen können regelmäßig weder vollständig kontrollieren, wo Daten physisch verarbeitet werden, noch ausschließen, dass ausländische Behörden unter bestimmten Voraussetzungen Zugriff auf gespeicherte Informationen verlangen.

1. CLOUD Act und DSGVO

Die Diskussion um digitale Souveränität deutscher Unternehmen ist maßgeblich durch den 2018 verabschiedeten CLOUD Act geprägt worden. Das Gesetz verpflichtet Anbieter elektronischer Kommunikations- und Cloud-Dienste mit Sitz in den USA, auf Anordnung US-amerikanischer Strafverfolgungsbehörden Daten herauszugeben, die sich in ihrem „possession, custody or control“ befinden. Entscheidend ist dabei nicht der physische Speicherort der Daten, sondern die rechtliche Zugriffsmöglichkeit des Unternehmens. Auch Daten, die auf Servern innerhalb der Europäischen Union gespeichert werden, können daher grundsätzlich erfasst sein, sofern sie von einem US-Unternehmen oder einer von diesem kontrollierten Gesellschaft verwaltet werden.

Für deutsche Unternehmen, die Cloud-Infrastrukturen oder Softwarelösungen etwa von Amazon Web Services, Microsoft oder Google einsetzen, entsteht daraus ein strukturelles Spannungsverhältnis zum europäischen Datenschutzrecht. Während die Datenschutz-Grundverordnung hohe Anforderungen an Drittlandübermittlungen und staatliche Zugriffsbefugnisse stellt, knüpft der CLOUD Act allein an die US-Jurisdiktion des Anbieters an. Selbst wenn Daten ausschließlich in europäischen Rechenzentren verarbeitet werden, kann ein US-Mutterunternehmen verpflichtet sein, diese offenzulegen. Die rechtliche Bewertung hängt dabei maßgeblich von der konkreten Konzernstruktur, den vertraglichen Kontrollrechten sowie der tatsächlichen Einflussmöglichkeit auf die Datenverarbeitung ab.

Vor diesem Hintergrund haben mehrere US-Anbieter sogenannte „souveräne Cloud“-Modelle entwickelt. Prominent sind etwa europäische Cloud-Varianten von Microsoft oder Partnerschaftsmodelle von Google mit europäischen Betreibern. Diese Konzepte sehen regelmäßig vor, dass Daten ausschließlich in der EU gespeichert werden, der operative Betrieb durch eine europäische Gesellschaft erfolgt und besonders sensible administrative Zugriffe beschränkt oder technisch abgesichert sind. Teilweise wird eine separate juristische Einheit mit Sitz in einem EU-Mitgliedstaat etabliert, die den Dienst anbietet und bestimmte Kontrollrechte wahrnimmt.

Rechtlich entscheidend ist jedoch, ob solche Konstruktionen die Anwendbarkeit des CLOUD Act tatsächlich ausschließen oder jedenfalls substantiell reduzieren. Maßgeblich ist, ob das US-Mutterunternehmen weiterhin faktische oder rechtliche Kontrollmöglichkeiten über die Daten oder die europäische Betreibergesellschaft besitzt. Besteht ein Beherrschungsverhältnis oder können Daten mittelbar zugänglich gemacht werden, ist nicht ohne Weiteres auszuschließen, dass US-Behörden Herausgabeansprüche geltend machen könnten. Die bloße Datenlokalisierung innerhalb der EU oder eine vertragliche Zusicherung „europäischer Souveränität“ genügt daher nicht zwangsläufig, um das Risiko extraterritorialer Zugriffe auszuschließen.

2. Rolle des EU-US Data Privacy Framework

Vor dem Hintergrund dieses Spannungsverhältnisses kommt dem EU-US Data Privacy Framework (DPF) zentrale Bedeutung zu (wir berichteten in Datenschutzupdate Nr. 206 und Nr. 219). Seit Juli 2023 stützt sich der transatlantische Datenverkehr auf den Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO. Für deutsche Unternehmen bedeutet dies, dass personenbezogene Daten an US-Dienstleister, die nach dem DPF zertifiziert sind, grundsätzlich ohne zusätzliche Garantien wie z. B. etwa Standardvertragsklauseln übermittelt werden dürfen.

Gerade für Unternehmen, die in erheblichem Umfang Cloud- und SaaS-Dienste von Amazon Web Services, Microsoft oder Google nutzen, stellt dies eine erhebliche operative Erleichterung dar. Die Nutzung global integrierter IT-Architekturen bleibt damit datenschutzrechtlich handhabbar, ohne dass für jeden Transfer eine eigenständige Risikoprüfung im Sinne der „Schrems II“-Rechtsprechung erforderlich wäre.

Die rechtliche Stabilität dieses Konstrukts war jedoch von Beginn an umstritten. Mit Urteil vom 3. September 2025 hat das Gericht der Europäischen Union (EuG) die gegen den Angemessenheitsbeschluss erhobene Nichtigkeitsklage (T-553/23) abgewiesen und damit die Wirksamkeit des DPF bestätigt. Das Gericht kam nach materieller Prüfung zu dem Ergebnis, dass die von den USA eingeführten Reformmaßnahmen insbesondere Executive Order 14086, der zweistufige Rechtsbehelfsmechanismus über den Civil Liberties Protection Officer (CLPO) und das Data Protection Review Court (DPRC) sowie erweiterte Kontrollmechanismen im Bereich von FISA-702-Anordnungen den vom EuGH in „Schrems II“ entwickelten Maßstab eines „im Wesentlichen gleichwertigen“ Schutzniveaus erfüllen.

Für die Praxis bedeutet dies zunächst, dass solange der Angemessenheitsbeschluss besteht, sind Aufsichtsbehörden an ihn gebunden; Bußgelder wegen DPF-gestützter Transfers kommen nicht in Betracht. Die Entscheidung verschafft Unternehmen damit eine erhebliche, wenn auch möglicherweise nur temporäre Rechtssicherheit.

Gleichwohl ist das Thema digitale Souveränität damit nicht abschließend beantwortet, denn das DPF adressiert ausschließlich die datenschutzrechtliche Zulässigkeit von Datenübermittlungen. Es beseitigt nicht die strukturelle Abhängigkeit von außereuropäischen Anbietern, die dem CLOUD Act unterliegen, noch löst es Fragen des Vendor-Lock-in, der technischen Interoperabilität oder der strategischen Resilienz von IT-Infrastrukturen. Digitale Souveränität erschöpft sich daher nicht in der formalen Nutzung eines Angemessenheitsbeschlusses.

II. Initiativen der EU

Die Europäische Union reagiert auf die beschriebenen Abhängigkeiten nicht allein politisch, sondern mit einer zunehmend dichten regulatorischen und strukturellen Rahmensetzung. Digitale Souveränität wird dabei auf zwei Ebenen für Unternehmen besonders relevant: der regulatorische Ordnungsrahmen und der Aufbau europäischer Daten- und Infrastrukturökosysteme.

1. Regulatorischer Rahmen

Mit der NIS-2-Richtlinie hat die EU die Cybersicherheitsanforderungen an Unternehmen erheblich verschärft. Erfasst sind nicht mehr nur klassische KRITIS-Betreiber, sondern ein deutlich erweiterter Kreis „wesentlicher“ und „wichtiger“ Einrichtungen, darunter Cloud-Anbieter, Rechenzentren, digitale Infrastrukturdienstleister und zahlreiche Industrieunternehmen. Die Richtlinie verpflichtet zu umfassenden Risikomanagementmaßnahmen, Incident-Reporting, Lieferkettenkontrollen und einer aktiven Einbindung der Geschäftsleitung. Digitale Souveränität wird hier faktisch zu einer Compliance-Anforderung, denn Unternehmen müssen Risiken aus IT-Abhängigkeiten systematisch identifizieren und steuern.

Für den Finanzsektor konkretisiert die Digital Operational Resilience Act (DORA) diese Anforderungen weiter. Sie verpflichtet Banken, Versicherungen und andere Finanzunternehmen zu einem strukturierten ICT-Risikomanagement, umfassenden Testpflichten und einer besonderen Kontrolle „kritischer“ IT-Drittdienstleister. Cloud-Anbieter können dabei direkt einer europäischen Aufsicht unterstellt werden. DORA greift damit unmittelbar in die Vertrags- und Beschaffungsfreiheit ein und zwingt Unternehmen, Exit-Strategien, Substitutionsmöglichkeiten und Konzentrationsrisiken vertraglich wie organisatorisch vorzudenken.

Flankiert wird dieser Rahmen durch weitere Digitalrechtsakte, wie etwa den Data Act oder sektorspezifische Sicherheitsvorgaben, die Interoperabilität, Portabilität und Datenzugang stärken sollen. In ihrer Gesamtschau zielen diese Regelungen darauf ab, einseitige Abhängigkeiten zu reduzieren, Wechselmöglichkeiten zu verbessern und technische wie organisatorische Resilienz verbindlich vorzuschreiben. Digitale Souveränität wird damit nicht nur politisch eingefordert, sondern rechtlich operationalisiert.

2. EU-Datenräume

Neben der Regulierung setzt die EU auf den Aufbau eigener Datenökosysteme (wir berichteten in Datenschutzupdate Nr. 231). Ein zentrales Projekt ist GAIA-X, eine europäische Initiative zur Entwicklung föderierter, interoperabler Cloud- und Dateninfrastrukturen. Ziel ist nicht die Schaffung eines einzelnen „europäischen Hyperscalers“, sondern die Etablierung gemeinsamer Standards für Transparenz, Datenkontrolle und Interoperabilität. Anbieter, auch außereuropäische, können sich beteiligen, sofern sie die definierten Governance- und Compliance-Anforderungen erfüllen.

Darüber hinaus entstehen sektorale europäische Datenräume, etwa im Industrie-, Mobilitäts- oder Energiebereich. Besonders weit fortgeschritten ist der geplante europäische Gesundheitsdatenraum, der European Health Data Space, European Health Data Space (EHDS). Er soll den grenzüberschreitenden Austausch von Gesundheitsdaten für Versorgung, Forschung und Innovation ermöglichen, zugleich aber strenge Zugriffs- und Sicherheitsanforderungen normieren. Für Unternehmen im Life-Sciences- und Digital-Health-Bereich entstehen damit neue Marktchancen, aber auch komplexe Compliance-Anforderungen.

III. Handlungsempfehlungen für Unternehmen

Digitale Souveränität ist kein politisches Schlagwort, sondern eine Frage konkreter Governance-Entscheidungen. Unternehmen sollten das Thema strukturiert angehen und in bestehende Compliance-, IT- und Risikomanagementprozesse integrieren.

1. IT- und Datenabhängigkeiten systematisch erfassen

Ausgangspunkt jeder Souveränitätsstrategie ist Transparenz. Unternehmen sollten vollständig erfassen, welche Cloud-, Plattform- und SaaS-Dienste genutzt werden, welche Datenkategorien betroffen sind und welchen Jurisdiktionen die jeweiligen Anbieter unterliegen. Dabei ist nicht nur der unmittelbare Vertragspartner zu betrachten, sondern auch die Subprozessorenkette.

Erst auf dieser Grundlage lässt sich bewerten, ob besonders sensible Daten wie Forschungs-, Gesundheits-, Verteidigungs- oder Beschäftigtendaten von außereuropäischen Rechtsordnungen erfasst sein könnten und welche regulatorischen Risiken daraus folgen.

2. Vertrags- und Exit-Strategien stärken

Digitale Souveränität entscheidet sich häufig im Vertrag. Unternehmen sollten darauf achten, dass Cloud- und IT-Verträge klare Regelungen zu Datenlokalisierung, Audit-Rechten, Informationspflichten bei Behördenanfragen und technischen Sicherheitsmaßnahmen enthalten.

Ebenso wichtig sind belastbare Exit-Klauseln. Datenportabilität, Interoperabilität und Unterstützung bei Migrationen sollten vertraglich abgesichert sein. Gerade vor dem Hintergrund von NIS-2- und DORA-Anforderungen ist es geboten, Anbieterwechsel zumindest theoretisch und organisatorisch durchspielen zu können. Vendor-Lock-in ist nicht nur ein wirtschaftliches, sondern zunehmend ein aufsichtsrechtliches Risiko.

3. Technische Resilienz durch Architekturentscheidungen erhöhen

Digitale Souveränität ist nicht allein eine Rechtsfrage, sondern auch eine Frage der Systemarchitektur. Multi-Cloud-Strategien, hybride Modelle oder die bewusste Trennung besonders sensibler Workloads können Abhängigkeiten reduzieren.

Zudem sollten Unternehmen prüfen, ob client-seitige Verschlüsselung mit eigener Schlüsselhoheit implementiert werden kann. Wo möglich, kann eine klare Trennung zwischen personenbezogenen und nicht-personenbezogenen Daten zusätzliche Flexibilität schaffen. Compliance- und IT-Abteilungen sollten hier eng zusammenarbeiten; reine „Papierlösungen“ genügen nicht.

4. Transfer-Governance resilient ausgestalten

Auch wenn das EU-US Data Privacy Framework derzeit gilt, sollten Unternehmen ihre Transfermechanismen nicht ausschließlich darauf stützen. Es empfiehlt sich, Standardvertragsklauseln als Fallback bereitzuhalten, Transfer-Folgenabschätzungen regelmäßig zu aktualisieren und regulatorische Entwicklungen aktiv zu monitoren.

Digitale Souveränität bedeutet in diesem Zusammenhang, regulatorische Volatilität einzuplanen. Wer organisatorisch und vertraglich vorbereitet ist, kann auf eine mögliche Neubewertung durch den EuGH reagieren, ohne operative Unterbrechungen zu riskieren.

5. Digitale Souveränität als Board-Level-Thema verankern

Spätestens mit NIS-2 und DORA wird die Geschäftsleitung ausdrücklich in die Verantwortung genommen. IT-Abhängigkeiten, Cloud-Konzentrationsrisiken und Drittstaatenzugriffe sind Teil des unternehmensweiten Risikomanagements.

Unternehmen sollten digitale Souveränität daher nicht isoliert in der IT-Abteilung behandeln, sondern als Bestandteil von Compliance, ESG, M&A-Due-Diligence und strategischer Unternehmensplanung begreifen. Bei Transaktionen oder Kooperationen sollte die Abhängigkeit von bestimmten Plattformen ebenso geprüft werden wie finanzielle oder kartellrechtliche Risiken.

IV. Ausblick und Fazit

Digitale Souveränität ist für deutsche Unternehmen weder ein politisches Schlagwort noch ein kurzfristiger Trend, sondern Ausdruck einer dauerhaft veränderten regulatorischen und geopolitischen Rahmenlage. Die Abhängigkeit von globalen IT- und Cloud-Anbietern bleibt wirtschaftlich vielfach sinnvoll und praktisch unvermeidbar. Sie ist jedoch rechtlich und organisatorisch beherrschbar, sofern Unternehmen ihre IT-Strukturen, Vertragsbeziehungen und Datenflüsse transparent analysieren und in ihr Compliance- und Risikomanagement integrieren.

Die unionsrechtlichen Entwicklungen von der Bestätigung des EU-US Data Privacy Framework durch das EuG über NIS-2 bis hin zu DORA und sektoralen Datenräumen schaffen einerseits Rechtssicherheit, erhöhen andererseits aber auch die Anforderungen an Dokumentation, Resilienz und Governance. Zugleich bleibt die transatlantische Rechtslage nicht statisch und gerichtliche Überprüfungen und politische Entwicklungen können Anpassungen erforderlich machen.

Vor diesem Hintergrund empfiehlt sich ein pragmatischer Ansatz. Digitale Souveränität sollte als Bestandteil ordnungsgemäßer Unternehmensorganisation verstanden werden. Wer Abhängigkeiten kennt, vertraglich adressiert und technisch absichert, bewegt sich nicht nur im Einklang mit den regulatorischen Erwartungen, sondern stärkt zugleich die eigene Handlungsfähigkeit in einem zunehmend komplexen digitalen Umfeld.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Datenschutz & Datenrecht
IP, Media & Technology
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

25.02.2026
DIGITAL OMNIBUS: Welche Erleichterungen ergeben sich für Unternehmen?
23.02.2026
AI Act: Der deutsche Entwurf zum Durchführungsgesetz im Überblick
19.02.2026
NIS-2: Registrierungspflicht bis zum 6. März 2026 – Jetzt handeln!
13.02.2026
Neuer Widerrufsbutton: Was Unternehmen bis zum 19. Juni 2026 umsetzen müssen
12.02.2026
„Mogelpackungen“ – Alles nur heiße Luft oder handfestes Risiko?
11.02.2026
28. Regime für innovative Unternehmen: Wie ein optionaler EU Rahmen Gründung und Skalierung erleichtern soll
26.01.2026
EU-Datenräume im Aufbruch: Was Unternehmen jetzt rechtlich wissen müssen
22.01.2026
EU-Digitalrecht 2026: Welche Änderungen sind auf nationaler Ebene zu erwarten?
20.01.2026
Digitalrecht im Wandel: Was das EU-Mercosur Abkommen jetzt für Unternehmen bedeutet
15.01.2026
Neue Entscheidung aus Luxemburg bricht bestehende Grundsätze in der Plattformhaftung auf
09.01.2026
Auswirkungen der Rechtswidrigkeit einer anfänglichen Verarbeitung personenbezogener Daten auf die Weiterverarbeitung durch einen anderen Verantwortlichen
09.01.2026
EuGH verneint Provider-Privileg bei DSGVO-Verstößen: „Russmedia“ erhöht Pflichten für Plattformbetreiber

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.