Bericht von Kiteworks Datensouveränität: Jedes dritte Unternehmen hatte 2025 einen Vorfall

Anbieter zum Thema

Flexera Software GmbH

STACKIT - Schwarz Digits Cloud GmbH & Co. KG

Yorizon GmbH & Co. KG

Trotz hohem Bewusstsein für regulatorische Anforderungen verzeichnete 2025 rund ein Drittel der Unternehmen in Europa einen Vorfall im Bereich Datensouveränität. Laut einem aktuellen Report von Kiteworks liegt das vor allem an strukturellen Mängeln in der technischen Architektur.

Für den „2026 Data Security and Compliance Risk: Data Sovereignty Report“ befragte Kiteworks 286 IT-Fachleute – überwiegend IT-Manager, CIOs und CTOs – in Europa (189), Kanada (43) und dem Nahen Osten (54). In Europa bezeichnen sich demnach 80 Prozent der Befragten als gut oder sehr gut über die geltenden Anforderungen an die Datensouveränität informiert. Dennoch berichten 32 Prozent der europäischen Teilnehmer von mindestens einem einschlägigen Vorfall im zurückliegenden Jahr – im Nahen Osten lag der Anteil mit 44 Prozent noch deutlich höher, in Kanada mit 23 Prozent darunter.

Als häufigste Vorfallarten nennt der Report unbefugte grenzüberschreitende Datenübermittlungen, behördliche Auskunftsersuche, Datenschutzverletzungen mit souveränitätsbezogenen Auswirkungen sowie Compliance-Verstöße durch Drittanbieter.

Die Souveränitätslücke ist operativer, nicht informativer Natur

Kiteworks interpretiert die Diskrepanz zwischen hohem Informationsstand und fortbestehenden Vorfällen als strukturelles Problem. Viele Cloud-Umgebungen erfüllten zwar die rechtlichen Anforderungen an den Datenstandort, böten jedoch keine exklusive Kontrolle über Verschlüsselungsschlüssel – was bedeute, dass Anbieter technisch weiterhin Zugriff auf Kundendaten haben könnten. Laut dem General Manager EMEA von Kiteworks, Dario Perfettibile, liege die Lücke „nicht im Wissen, sondern zwischen den Richtlinien und der Architektur, die die Datenresidenz tatsächlich durchsetzt, den Zugriff kontrolliert und bei Bedarf auditierbare Nachweise liefert.“

Europäische Unternehmen nennen laut Report besonders viele gleichzeitige Hindernisse: 44 Prozent sehen die Souveränitätsgarantien ihrer Cloud-Anbieter als größtes Hemmnis – der höchste Wert aller befragten Regionen. Weitere Bremsklötze sind demnach der EU AI Act (40 %), politische Kurswechsel in den USA (36 %), die Durchsetzung von Datenschutzgesetzen (34 %) sowie mögliche Änderungen bei Angemessenheitsentscheidungen (23 %).

Investitionen hoch, Schwerpunkt auf Automatisierung

Als ressourcenintensivste Bereiche führen 58 Prozent der europäischen Befragten technische Infrastrukturmaßnahmen sowie Rechts- und Compliance-Expertise an. Dokumentation und Auditierung folgen mit 41 Prozent. Die Mehrheit der Unternehmen gibt laut Bericht jährlich mehr als eine Million US-Dollar für die Einhaltung von Souveränitätsvorschriften aus.

Für die kommenden zwei Jahre planen 55 Prozent der europäischen Befragten Investitionen in die Automatisierung von Compliance-Prozessen; 51 Prozent wollen technische Kontrollen verbessern. Als geschäftlichen Nutzen ihrer bisherigen Maßnahmen nennen 61 Prozent eine erhöhte Sicherheitslage und 51 Prozent ein gesteigertes Kundenvertrauen.

KI-Governance als wachsender Komplexitätsfaktor

Der Report beleuchtet auch den Umgang mit KI-Trainingsdaten: In Europa bewahren 34 Prozent der Befragten sämtliche KI-Trainingsdaten innerhalb der EU auf; weitere 34 Prozent verfolgen einen nach Datensensibilität differenzierten Ansatz. Der verbleibende Anteil entwickelt seine KI-Souveränitätsstrategie noch oder macht keine Angaben. Kiteworks sieht hier ein wachsendes regulatorisches Spannungsfeld, da Aufsichtsbehörden zunehmend prüfbare Nachweise über Datenzugriff, Schlüsselverwaltung und Compliance verlangten.

Neben dem „2026 Data Security and Compliance Risk: Data Sovereignty Report“ ist mit dem Bericht „2026 Data Security and Compliance Risk: Data Sovereignty in Europe“ auch eine auf Europa fokussierte Auswertung verfügbar.

(ID:50819437)