newsonline24

Unternehmen stehen zunehmend vor der Aufgabe, ihre Daten entlang regulatorischer, strategischer und operativer Anforderungen souverän zu führen. Aus CISO-Sicht ist Daten-Souveränität nicht nur eine Compliance-Anforderung, sondern ein zentraler Hebel für Cyberresilienz, Risikominimierung und die Fähigkeit, auf sich verändernde Bedrohungslagen agil zu reagieren.

Daten-Souveränität bedeutet, die volle Kontrolle über Speicherorte, Zugriffe und Verarbeitung sicherzustellen – ein zentraler Faktor für Transparenz, Risikoreduzierung, Compliance und digitale Unabhängigkeit.

Executive Summary

• Rechtliche Sicherheit: Nach den Vorgaben von EU-DSGVO, EU-EBA sowie CH-nDSG, CH-FINMA und kantonale Regelwerke verlangen klare Verantwortlichkeiten und transparente Datenflüsse. Aus CISO-Sicht ist die Einhaltung dieser Vorgaben nicht nur eine Pflicht, sondern ein kritischer Schutzmechanismus gegen regulatorische Sanktionen und Reputationsrisiken.
• Strategische Architektur, ob On-Premises, Hybrid-Cloud, Sovereign Cloud und Open Source bietet unterschiedliche Grade an Kontrolle, Skalierung und Kostenstruktur. Die Wahl der Architektur sollte im Kontext einer Risikoanalyse mit einem klaren Sicherheitskonzept erfolgen.
• Souveränität entsteht nicht automatisch. Sie erfordert die aktive Steuerung von Governance, Technologie und Organisationskompetenz. Die DPO- und CISO-Rolle ist dabei zentral: Sie stellen im Auftrag von Geschäftsleitung und Verwaltungsrat sicher, dass Sicherheitsstandards, Incident-Response-Pläne und kontinuierliche Audits in die Souveränitätsstrategie integriert werden. 
• Zero-Trust und Verschlüsselung bilden die technische Basis für sichere, regulatorisch belastbare Datenverarbeitung – unabhängig vom Infrastrukturmodell. Aus CISO-Sicht sind diese Massnahmen nicht verhandelbar, sondern Grundvoraussetzung für jede souveräne IT-Architektur. 

«Hybrid-Cloud-Modelle, kombiniert mit souveränen Cloud-Anbietern und automatisierter Compliance, sind für die meisten Grossunternehmen der wirtschaftlich und regulatorisch tragfähigste Ansatz.»

Daten bilden die Grundlage moderner Wertschöpfung. Umso wichtiger ist die Fähigkeit, deren Verfügbarkeit, Integrität und rechtliche Konformität dauerhaft zu sichern. Für Organisationen in Deutschland, Österreich und in der Schweiz wird Daten-Souveränität damit zur Voraussetzung für Betriebsmodelle, die strategisch tragfähig, regulatorisch belastbar und operativ umsetzbar sind.

Was bedeutet Daten-Souveränität?

Daten-Souveränität beschreibt die Fähigkeit, jederzeit bestimmen zu können, wo Daten liegen, wer sie nutzt und wie sie verarbeitet werden.

Kurzüberblick: Bevor Unternehmen über technische Lösungen sprechen, müssen die Anforderungen an Kontrolle, Sicherheit und Compliance klar definiert sein.

Die Grundlagen dazu sind:

• Kontrolle: Steuerbarkeit aller Datenflüsse und Zugriffe. Jeder Zugriff muss protokolliert, überwacht und im Zweifel revidierbar sein.
• Compliance: Erfüllung der geltenden Vorgaben wie EU-DSGVO und EU-EBA sowie CH-nDSG, CH-FINMA und kantonale Vorschriften in der Schweiz. Die CISO Rolle ist dafür verantwortlich, dass durch technische und organisatorische Massnahmen (TOM) die Compliance mit den rechtlichen Vorgaben sichergestellt ist.
• Sicherheit: Schutz vor unbefugtem Zugriff und struktureller Abhängigkeit von Drittparteien. Ohne Sicherheit gibt es keine echte Kontrolle.

Das Ziel ist ein technologisches Setup, das Flexibilität ermöglicht und gleichzeitig regulatorische Sicherheit gewährleistet. Es muss resilient gegen Cyberangriffe, Datenlecks und interne Bedrohungen sein.

Drei kritische Handlungsfelder in der Hybrid-Cloud

Die Ausgangslage vieler Organisationen ist geprägt von gewachsenen Cloud-Landschaften, regulatorischem Druck und steigenden Sicherheitsanforderungen. Je mehr Daten zwischen On-Premises-Systemen, Cloud-Plattformen und Dienstleistern zirkulieren, desto wichtiger werden klare Datenflüsse, Zuständigkeiten und Sicherheitskontrollen.

Besonders kritisch sind dabei drei Handlungsfelder:

• Abhängigkeit von Dienstleistern: Public-Cloud-Nutzung ohne Exit-Strategien führt zu Lock-in-Risiken und kann internationale Datenflüsse erzeugen, die regulatorisch anspruchsvoll sind. Ohne klare Exit-Strategie und Datenportabilität drohen nicht nur Compliance-Verstösse, sondern auch operative Abhängigkeiten, die im Krisenfall fatal sein können.
• Rechtliche Anforderungen in der EU und in der Schweiz: Beide verlangen Transparenz, angemessene Schutzmassnahmen und klare Zuständigkeiten – in der EU etwa durch die DSGVO, EBA-Regulatorik und NIS2-Verordnung sowie in der Schweiz durch nDSG, FINMA-Outsourcing, kantonale Datenschutzgesetze und öffentliche Beschaffungsregeln. Die CISO-Rolle muss sicherstellen, dass diese Anforderungen nicht nur formal erfüllt, sondern technisch umgesetzt und regelmässig überprüft werden.
• Technische Komplexität: Interoperabilität zwischen On-Premises, Cloud und souveränen Infrastrukturen erfordert klare Datenklassifizierung, Rollenmodelle und Governance. Aus CISO-Sicht ist dies eine der grössten Herausforderungen: Die Komplexität erhöht die Angriffsfläche. Daher müssen Sicherheitsarchitekturen so einfach wie möglich, aber so robust wie nötig sein.

Ein belastbares Zusammenspiel aus Governance, Sicherheitsarchitektur und Compliance ist entscheidend, um Daten-Souveränität in hybriden und cloudbasierten Umgebungen nachhaltig sicherzustellen. Ein Cloud Security Assessment schafft Transparenz über Datenflüsse, Zugriffskonzepte, Architekturmodelle und regulatorische Risiken – und bildet damit die Grundlage für sichere, souveräne und compliance-konforme Betriebsmodelle.

Cloud Security Assessment

Fünf Architekturmodelle für Daten-Souveränität im Vergleich

Es gibt keinen universellen Ansatz für Daten-Souveränität. Welches Architekturmodell geeignet ist, hängt von Schutzbedarf, Budget, regulatorischer Exponierung und bestehender IT-Struktur ab.

Die folgenden Modelle zeigen, wie unterschiedlich Unternehmen Kontrolle, Compliance, Sicherheit und Betriebsfähigkeit gewichten können:

• On-Premises-Lösungen: Geeignet für Organisationen mit höchstem Schutzbedarf oder klaren regulatorischen Begrenzungen. On-Premises-Lösungen sind vollständig konform in Deutschland, Österreich und der Schweiz, da Daten physisch im jeweiligen Rechtsraum verbleiben.
• Hybrid-Cloud-Strategien: Für die meisten Unternehmen die effektivste Balance zwischen Agilität und Governance. Sie sind DSGVO- und nDSG-konform bei sauber dokumentierten Prozessen, Verschlüsselung und definierter Datenklassifizierung. Die Hybrid-Architektur soll nicht zu einer «Sicherheitslücke» werden: Jede Schnittstelle zwischen On-Premises und Cloud muss abgesichert, überwacht und regelmässig auditiert werden.
• Sovereign-Cloud-Anbieter: Eine attraktive Option, um Cloud-Komfort mit lokaler Rechtssicherheit zu verbinden. Sie sind DSGVO-/nDSG-konform, sofern Subdienstleister im gleichen Rechtsraum bleiben. Die Due Diligence ist wichtig: Wer betreibt die Cloud? Wo liegen die Rechenzentren? Wie werden Daten verschlüsselt und wer hat Zugriff?
• Open-Source- und Community-Lösungen: Ideal für Organisationen, die Unabhängigkeit und Transparenz priorisieren. Sie sind sowohl in Deutschland, Österreich als auch in der Schweiz uneingeschränkt nutzbar – entscheidend ist der Hosting- und Betriebsort.
• Zero-Trust und Verschlüsselung: Zentrales Element jeder souveränen IT-Architektur. In Deutschland, Österreich und in der Schweiz ausdrücklich empfohlen; erfüllt Grundsätze von Privacy by Design. Aus CISO-Sicht ist Zero Trust kein «Nice-to-have», sondern ein «Must-have». Jeder Zugriff muss authentifiziert, autorisiert und verschlüsselt sein – unabhängig von Standort oder Gerät.

Von Governance bis Awareness: 6 Schritte zur Daten-Souveränität

Daten-Souveränität entsteht, wenn zentrale Steuerungsdimensionen systematisch zusammenspielen. Erfolgreiche Programme benötigen einen klaren Rahmen, automatisierte Prozesse und organisationsweite Verankerung.

Diese sechs Schritte helfen bei der Umsetzung:

• Governance etablieren: Rollen und Verantwortlichkeiten sowie Entscheidungswege definieren, Richtlinien erstellen bzw. ergänzen (Datenklassifizierung, Zugriffsmanagement, Retention, Datenlokalisierung).
• Daten kategorisieren: Datenbestände anhand von DSGVO-Kategorien und nDSG-Risikobeurteilung einordnen.
• Anbieter evaluieren: Rechtshoheit, Subdienstleister, Zertifizierungen wie ISO 27001, SOC 2 sowie ISAE 3402/3000 prüfen.
• Exit-Strategie definieren: Portabilität und Rückführung frühzeitig vertraglich fixieren und prüfen.
• Compliance automatisieren: Kontrollen, Nachweise und Reporting-Prozesse automatisiert erfassen und regelmässig prüfen.
• Awareness stärken: Mitarbeitende kontinuierlich zu Datenschutz, Zugriffskonzepten und Governance schulen.

Fazit: Aus Technologie wird erst durch Steuerung Souveränität

Daten-Souveränität ist ein fortlaufender Transformationsprozess. Die regulatorischen Anforderungen in Deutschland, Österreich und in der Schweiz schaffen klare Leitplanken, lassen aber ausreichend Gestaltungsspielraum. Entscheidend ist ein sauber orchestriertes Zusammenspiel aus Governance, technologischer Basisarchitektur und organisatorischer Kompetenz.

Der Weg zu echter Daten-Souveränität führt über modernisierte Sicherheitsarchitekturen, transparente Governance und belastbare Compliance-Prozesse. Viele Organisationen stehen dabei vor der Herausforderung, technische, regulatorische und organisatorische Anforderungen unter ein einheitliches Steuerungsmodell zu bringen. Wo diese Anforderungen zusammenlaufen, braucht es eine belastbare Einordnung von Datenflüssen, Architekturmodellen, Zugriffskonzepten und regulatorischen Risiken.

Unsere Leistungen zur Stärkung Ihrer Daten-Souveränität:

• Zero-Trust-Architekturen als Fundament der Souveränität
  Wir entwickeln Zero-Trust-Modelle, die sicherstellen, dass Daten nur durch zweifelsfrei autorisierte Identitäten verarbeitet werden. So entstehen transparente, kontrollierte Datenwege – entscheidend für DSGVO-, EBA,- nDSG- und FINMA-konforme Prozesse.
• Hochsichere Lösungen und souveräne Betriebsumgebungen
  Aufbau souveräner Plattformen in On-Premises-, Hybrid- oder Sovereign-Cloud-Kontexten. Dazu gehören isolierte Datenzonen, datenschutzkonforme Cloud-Integrationen, Verschlüsselungssysteme und Umgebungen für kritische Datenbestände oder regulierte Branchen.
• Compliance-Prüfungen entlang der Regulatorik
  Wir führen belastbare Assessments durch, die Datenklassifizierung, Auftragsverarbeitung, internationale Datenflüsse, Schlüsselmanagement und Governance-Strukturen abdecken. Ziel ist eine lückenlose Transparenz über Datenstandorte, Zugriffspfade und regulatorische Risiken.

Durch die Kombination dieser Elemente entstehen Betriebsmodelle, die nicht nur sicher und konform sind, sondern Organisationen mehr Kontrolle über ihre Daten geben. Ein Cloud Security Assessment schafft dafür die notwendige Transparenz und damit einen entscheidenden Wettbewerbsvorteil.

Cloud Security Assessment