Cloud und künstliche Intelligenz (KI) verändern Unternehmen rasant, doch rechtliche Datenzugriffe bleiben ein blinder Fleck. Was bedeutet Compliance heute wirklich und wo werden bestehende Setups gefährlich?
Wer trägt die Verantwortung? Echte Datensouveränität bei KI und Cloud bedeutet, die Kontrolle über sensible Daten sicher in der eigenen Hand zu behalten.
In europäischen Ländern wie Finnland werden Wahlsysteme und Gesundheitsdaten auf US-amerikanischer Cloud-Infrastruktur betrieben. Laut dem US CLOUD Act könnten US-Behörden unter Umständen Zugriff verlangen – unabhängig davon, wo die Server stehen.
Inwiefern das auch Unternehmen in Deutschland betrifft? Sehr sogar. Deutsche Unternehmen und Behörden nutzen dieselben Anbieter, dieselben Verträge und unterliegen derselben Rechtslage. Der Unterschied aber ist, dass hierzulande noch zu selten darüber gesprochen wird.
Datensouveränität: Mehr als ein technisches Konzept
Neu ist nun die Dringlichkeit. Denn mit dem Einzug von KI-Anwendungen in Kernprozesse – von der automatisierten Dokumentenverarbeitung bis zur prädiktiven Wartung – wandern zunehmend sensible und geschäftskritische Daten in Infrastrukturen, deren rechtliche Kontrolle nicht beim Nutzer liegt.
Häufig wird Datensouveränität als technisches Sicherheitsproblem interpretiert. Tatsächlich betrifft sie jedoch primär die Frage der rechtlichen Zugriffshoheit, und das unabhängig von Verschlüsselung oder Infrastrukturdesign. Genau das ist die strukturelle Schwachstelle vieler bestehender Cloud-Setups: nicht mangelnde Technik, sondern fehlende rechtliche Kontrolle.
Cloud-Strategien: Optimiert für Effizienz, nicht für Kontrolle
In den vergangenen Jahren war das Ziel vieler Cloud-Initiativen klar definiert. Es ging darum, Kosten zu senken, Ressourcen flexibel zu skalieren und Innovationszyklen zu verkürzen. Hyperscaler und Plattformdienste haben diese Versprechen in weiten Teilen eingelöst. Cloud ist heute ein zentraler Enabler für Effizienz und Geschwindigkeit. Weniger im Fokus stand hingegen die Frage, welchem Rechtsrahmen diese Daten unterliegen.
In der Praxis führt das zu mehreren strukturellen Risiken, die noch unterschätzt werden:
Extraterritoriale Gesetzgebung: Nationale Gesetze können über Ländergrenzen hinweg wirken und Zugriff auf Daten ermöglichen.
Komplexe Anbieterstrukturen: Internationale Konzernstrukturen und Tochtergesellschaften erschweren die klare Zuordnung von Verantwortlichkeiten und Zugriffsmöglichkeiten.
Intransparente Datenflüsse: Insbesondere in Multi-Cloud- und Hybrid-Umgebungen ist oft unklar, wo Daten tatsächlich verarbeitet oder zwischengespeichert werden.
Lock-in-Effekte: Proprietäre Plattformdienste erhöhen die Abhängigkeit vom Anbieter und erschweren es, Daten bei Bedarf zu migrieren.
Das Ergebnis? Eine paradoxe Situation. Unternehmen betreiben zwar technisch hochmoderne Infrastrukturen und glauben, sie behielten die Hoheit über ihre Daten. Tatsächlich haben sie die Kontrolle längst abgegeben.
KI als zusätzlicher Komplexitätstreiber
Durch den Einsatz von KI-Systemen verändert sich die Problemlage von der statischen Datenhaltung hin zu dynamischen, hochverteilten Daten- und Modellflüssen. Daten werden nicht nur gespeichert, sondern kontinuierlich verarbeitet, transformiert und erneut genutzt – häufig über mehrere Cloud-Umgebungen hinweg.
Datenherkunft und -qualität müssen nachvollziehbar sein.
Trainings- und Nutzungsdaten unterliegen häufig regulatorischen Vorgaben.
Entscheidungsprozesse von Modellen müssen erklärbar bleiben.
Datenflüsse müssen revisionssicher dokumentiert werden.
Gleichzeitig steigt die Abhängigkeit von Cloud-Infrastrukturen. Denn ohne skalierbare Ressourcen sind die meisten KI-Workloads kaum realisierbar. IT-Verantwortliche sehen sich dadurch einem Spannungsfeld gegenüber: Einerseits ermöglicht die Cloud die notwendige Skalierung und Innovationsgeschwindigkeit. Andererseits entstehen jedoch neue Risiken, wenn Transparenz, Steuerbarkeit und rechtliche Kontrolle nicht von Anfang an berücksichtigt werden.
Automatisierung: Beschleuniger mit Nebenwirkungen
Automatisierung ist längst ein Grundpfeiler moderner Cloud- und KI-Architekturen. Infrastructure-as-Code, Continuous Integration und automatisierte Deployments sorgen dabei für eine hohe Geschwindigkeit und Konsistenz.
Doch genau diese Stärke kann auch neue Herausforderungen mit sich bringen:
Automatisierte Prozesse können Daten unbeabsichtigt in andere Regionen verschieben.
Fehlkonfigurationen werden schnell vervielfacht.
Compliance-Regeln lassen sich schwer durchsetzen, wenn sie nicht in die Automatisierung integriert sind.
Das Problem ist, dass in vielen Organisationen weiterhin eine Trennung zwischen technischer Umsetzung und regulatorischen Anforderungen existiert. Automatisierung zielt primär auf Effizienz und Geschwindigkeit ab, während Compliance als nachgelagerte Kontrollinstanz verstanden wird.
In hochdynamischen Cloud-Umgebungen greift dieses Modell zu kurz. Wenn Infrastruktur, Deployments und Datenflüsse vollständig automatisiert sind, muss auch Compliance als integraler Bestandteil von Policies und Architekturentscheidungen gedacht werden. Andernfalls entsteht ein strukturelles Risiko. So können Unternehmen ihre Prozesse zwar merklich beschleunigen, verlieren dabei jedoch schrittweise die Transparenz und Steuerbarkeit darüber, was diese Prozesse tatsächlich ausführen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Neue Perspektiven auf Cloud-Compliance
Klassische Zielgrößen wie Kosten, Performance und Skalierbarkeit sind nach wie vor relevant, reichen aber nicht mehr aus. Stattdessen rücken zunehmend strukturelle Anforderungen in den Fokus, die direkt mit Governance und Risiko verbunden sind:
Rechtliche Souveränität über Daten und Prozesse.
Transparenz über Datenflüsse und Zugriffsrechte.
Unabhängigkeit von extraterritorialen Eingriffsmöglichkeiten.
Technisch integrierte Compliance-Mechanismen.
Das bedeutet nicht, dass globale Cloud-Anbieter grundsätzlich ungeeignet sind. Es bedeutet, dass ihre Nutzung differenzierter bewertet werden muss, insbesondere in sensiblen Anwendungsbereichen.
Für die Praxis ergibt sich daraus eine klare Verschiebung: Cloud-Entscheidungen sind nicht mehr nur technische oder wirtschaftliche Fragestellungen. Entsprechend sollten neben der IT und den Fachbereichen auch die Bereiche Recht, Compliance und Risikomanagement frühzeitig eingebunden werden.
Leitfragen für die Entscheidungsfindung sind dabei:
Wer hat potenziell Zugriff auf unsere Daten – unabhängig vom Speicherort?
Welche regulatorischen Anforderungen gelten für unsere Anwendungen?
Wie können wir Datenflüsse transparent und kontrollierbar gestalten?
Welche Rolle spielt Automatisierung in unserer Governance-Strategie?
Unternehmen, die diese Fragen systematisch angehen, legen den Grundstein für ihre Cloud-Strategie. Sie reduzieren nicht nur regulatorische Risiken, sondern steigern auch ihre Handlungsfähigkeit – und das selbst in zunehmend komplexen und dynamischen Umgebungen.
Fazit: Transparenz vor Performance
Künftig müssen Cloud- und KI-Architekturen nicht nur auf Leistung und Skalierung, sondern auch auf überprüfbare rechtliche und technische Steuerbarkeit optimiert werden. Ohne diese zweite Dimension entsteht keine echte Datensouveränität, sondern lediglich eine verteilte Abhängigkeit.
Eine zukunftsfähige Cloud-Strategie muss demnach mehr leisten als nur technische Performance. Entscheidend ist, ob sie ausreichend Transparenz und Steuerbarkeit bietet, um Datenflüsse nachvollziehen und aktiv kontrollieren zu können. Erst dann lässt sich das Versprechen der Cloud einlösen: Innovation ohne Kontrollverlust.
* Der Autor Arno Schäfer ist CEO des europäischen Cloud-Anbieters Upcloud und verfügt über mehr als 20 Jahre Führungserfahrung auf C-Level im Bereich digitale Technologie. Sein Schwerpunkt liegt auf der Entwicklung, Umstrukturierung, Steuerung, Umsetzung und Durchführung von Geschäftsstrategien in disruptiven SaaS-B2B-Sektoren.
Bildquelle: Upcloud / Raimar von Wienskowski
Bildquelle: Vogel-IT Medien
Neue Sonderpublikation
Digitale Souveränität
Grundlagen, Strategien und Umsetzung
Daten, Anwendungen, Infrastrukturen: Wer die Kontrolle behält, sichert Innovation und Handlungsfähigkeit. Unsere neue Sonderpublikation zeigt, welche Strategien, Technologien und Lösungen Unternehmen auf dem Weg zu mehr digitaler Selbstbestimmung unterstützen – und wie realistisch das Ziel einer souveränen digitalen Zukunft für Europa wirklich ist.