.svg)
Über fast ein Jahrzehnt hinweg haben sich europäische Unternehmen eine beruhigende Geschichte erzählt. Solange die Daten in einem Rechenzentrum in Frankfurt oder Paris lagen, war das Compliance-Häkchen gesetzt. Man wählte in der AWS- oder Azure-Konsole die europäische Region, unterschrieb den Auftragsverarbeitungsvertrag und hakte das Thema ab.
Diese Geschichte gerät jetzt ins Wanken. Eine Welle von EU-Gesetzen und politischen Maßnahmen, die 2025 und 2026 durch Brüssel, Paris und Berlin läuft, macht eines deutlich: Wo Ihre Daten gespeichert sind, ist weit weniger entscheidend als die Frage, wer das speichernde Unternehmen kontrolliert. Europäische Datenresidenz allein reicht nicht mehr aus.
Dieser Wandel hat unmittelbare Folgen für jeden Softwareanbieter, mit dem Sie zusammenarbeiten, und er erhöht den Einsatz erheblich für eine Kategorie ganz besonders: die Compliance-Plattform, die den Nachweis darüber enthält, wie Sie Ihre rechtlichen Pflichten erfüllen. Dieser Artikel erläutert die Vorschläge, die die Landschaft umgestalten, warum Frankreich am stärksten drängt, was Deutschland und andere Mitgliedstaaten tun und was das alles für Ihre Anbieterwahl bedeutet.
Das Problem, für das europäische Datenresidenz nie gedacht war
Der rechtliche Druckpunkt ist der US CLOUD Act aus dem Jahr 2018. Er erlaubt US-Strafverfolgungsbehörden, jeden Anbieter mit Hauptsitz in den USA zur Herausgabe von Daten zu zwingen, die der Anbieter kontrolliert, unabhängig davon, wo auf der Welt diese Daten physisch liegen. Ein Server in Frankfurt, der von einem US-Unternehmen betrieben wird, ist damit weiterhin erreichbar.
Über Jahre wurde dies als theoretisches Risiko behandelt. Im Juni 2025 hörte es auf, theoretisch zu sein. In einer Anhörung unter Eid vor dem französischen Senat bestätigten die Rechtsvertreter von Microsoft, dass sie nicht garantieren könnten, dass in der EU gespeicherte Daten vor US-Behörden geschützt seien. Das Eingeständnis schlug hart ein, weil es bestätigte, was europäische Regulierungsbehörden vermutet hatten: Datenresidenz und Datensouveränität sind nicht dasselbe. Bei der Residenz geht es um Geografie. Bei der Souveränität geht es um Rechtshoheit und Kontrolle. Eine europäische Adresse stellt einen US-eigenen Anbieter nicht außerhalb der Reichweite des US-Rechts.
Diese Unterscheidung ist der Motor hinter fast jedem der folgenden Vorschläge.
Das EU-Paket für technologische Souveränität und das Cloud Sovereignty Framework
Auf europäischer Ebene war die Reaktion zweigeteilt: zunächst einen Messmaßstab schaffen, ihn dann an die Regeln knüpfen, die über öffentliche Gelder und sensible Daten entscheiden.
Das Cloud Sovereignty Framework der Europäischen Kommission, das Mitte 2025 ausführlich erläutert und 2026 angewendet wurde, bewegt Souveränität weg vom vagen Prinzip hin zu etwas, das eine Beschaffungsstelle bewerten kann. Es beurteilt Cloud-Dienste anhand von acht Zielen, die strategische, rechtliche, betriebliche und technologische Souveränität abdecken, ergänzt um Transparenz der Lieferkette und Sicherheit. Zum ersten Mal kann ein Käufer Anbieter danach einstufen, wie wirklich unabhängig sie von nicht-europäischer Kontrolle sind.
Das Framework ist nicht akademisch. Im April 2026 vergab die Kommission eine Ausschreibung für souveräne Cloud-Dienste im Wert von bis zu 180 Millionen Euro über sechs Jahre, und jedes der vier erfolgreichen Angebote kam von europäischen Anbietern, die gezielt nach ihrer Übereinstimmung mit den Souveränitätskriterien ausgewählt wurden. Die Botschaft an den Markt war unmissverständlich: Übereinstimmung mit europäischer Kontrolle ist jetzt ein Beschaffungsvorteil.
Darüber steht das Paket für technologische Souveränität, das den Cloud and AI Development Act (CADA) und einen zweiten Chips Act umfasst. Berichte aus dem Jahr 2026 deuten darauf hin, dass die Kommission Beschränkungen erwägt, die es Regierungen der Mitgliedstaaten untersagen würden, US-Cloud-Anbieter für die Verarbeitung sensibler Daten des öffentlichen Sektors in Bereichen wie Gesundheit, Finanzen und Justiz zu nutzen. Im November 2025 verabschiedeten die Mitgliedstaaten eine Erklärung für europäische digitale Souveränität, ein Signal des politischen Willens hinter der technischen Grundlagenarbeit.
Für private Unternehmen ist der öffentliche Sektor der Frühindikator. Souveränitätsanforderungen, die in der öffentlichen Beschaffung beginnen, haben eine lange Geschichte darin, in regulierte Branchen und dann in die Erwartungen an Lieferanten in der gesamten Wirtschaft hineinzuwirken.
Frankreich: der dringlichste Vorstoß
Kein Land bewegt sich schneller als Frankreich. Seine Zertifizierung SecNumCloud, betrieben von der nationalen Cybersicherheitsbehörde ANSSI, ist der strengste Souveränitätsstandard Europas und der klarste Vorgeschmack darauf, wohin sich der Kontinent bewegen könnte.
SecNumCloud fragt nicht einfach, wo Daten liegen. Es stellt rund 1.200 technische und organisatorische Anforderungen und legt entscheidend Eigentumsbedingungen fest: Ein zertifizierter Anbieter darf nicht über definierte Grenzen hinaus von nicht-europäischen Interessen kontrolliert werden, und Schlüsselpersonal sowie der Betrieb müssen innerhalb der EU angesiedelt sein. Die Logik ist unmittelbar. Wenn ein Anbieter von einer ausländischen Regierung rechtlich gezwungen werden kann, schließt keine noch so starke Verschlüsselung oder Datenlokalisierung die Lücke vollständig. Frankreich setzt sich dafür ein, SecNumCloud-ähnliche Souveränitätsanforderungen in das EU-weite Cybersicherheits-Zertifizierungsschema aufzunehmen.
Frankreichs Dringlichkeit ist teils kulturell, teils strategisch begründet, doch das zugrunde liegende Argument sollte jede Compliance-Verantwortliche ernst nehmen: Der einzige dauerhafte Schutz gegen ausländische Rechtshoheit besteht darin, einen Anbieter zu wählen, den ausländische Rechtshoheit nicht erreichen kann.
Deutschland: Messung, Migration und ein ehrlicher Blick auf Abhängigkeit
Deutschland hat einen stärker ingenieurmäßig geprägten Weg zum selben Ziel eingeschlagen. Im April 2026 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine C3A-Kriterien, kurz für Criteria enabling Cloud Computing Autonomy, die Cloud-Souveränität erstmals objektiv überprüfbar machen, und zwar über sechs Dimensionen: strategische, rechtliche, datenbezogene, betriebliche, lieferkettenbezogene und technologische Souveränität.
Neben der Messarbeit haben deutsche öffentliche Stellen begonnen zu handeln. Der Bundestag hat ausgelotet, was Beobachter "Operation Souveränität" nennen, um die Abhängigkeit von US-Software zu verringern. Das Land Schleswig-Holstein migrierte Zehntausende Konten von Microsoft-E-Mail- und Produktivitätswerkzeugen auf quelloffene Alternativen, und die Bundeswehr schloss einen mehrjährigen Vertrag für eine souveräne Desktop-Umgebung ab.
Der aussagekräftigste Datenpunkt betrifft die Kluft zwischen Absicht und Wirklichkeit. Umfragen zeigen, dass rund 82 Prozent der deutschen Unternehmen ihre technische Abhängigkeit von US-Cloud-Anbietern beenden wollen, während etwa 78 Prozent in der Praxis abhängig bleiben. Genau diese Kluft ist die Risikofläche, die die neuen Regeln schließen sollen, und genau dort beginnen vorausschauende Unternehmen, sich zu bewegen.
Ein Kontinent, der sich noch nicht ganz einig ist
Es wäre irreführend, dies als gefestigten europäischen Konsens darzustellen. Als Frankreich darauf drängte, strenge Souveränitäts- und Eigentumsanforderungen in das EU-weite Zertifizierungsschema aufzunehmen, brachte eine Gruppe von Mitgliedstaaten, darunter Dänemark, Estland, Griechenland, Irland, die Niederlande, Polen und Schweden, Einwände vor. Sie argumentierten, harte Eigentumskriterien könnten den Binnenmarkt fragmentieren und Europa von der besten verfügbaren Technologie abschneiden.
Diese Uneinigkeit ist für die Planung von Bedeutung. Sie zeigt, dass das Ziel zunehmend klar wird, während der Zeitplan und die genauen Schwellenwerte noch in Bewegung sind. Am besten fahren jene Unternehmen, die nicht auf den endgültigen Text warten. Sie reduzieren ihre Exponierung frühzeitig, sodass sie unabhängig davon, welche Fassung der Regeln kommt, bereits auf der richtigen Seite stehen.
Warum dies Compliance-Plattformen härter trifft als fast alles andere
Alles Genannte gilt für jeden Anbieter in Ihrem Technologie-Stack. Ihre E-Mail, Ihr CRM, Ihre Analytik, Ihr Speicher: Sie alle tragen jetzt eine Souveränitätsfrage. Doch es gibt eine Kategorie, in der die Exponierung schärfer ist, und es lohnt sich, ausdrücklich zu benennen, warum.
Eine Compliance-Management-Plattform enthält keine gewöhnlichen Betriebsdaten. Sie enthält den Nachweis darüber, wie Sie Ihre rechtlichen Pflichten erfüllen. Sie umfasst Ihre Auditnachweise, Ihre Risikobewertungen, Ihre Verzeichnisse von Verarbeitungstätigkeiten, Ihre Vorfalldokumentation, Ihre Zuordnung von Kontrollen zu Rahmenwerken wie ISO 27001, NIS2, DSGVO und DORA. Sie enthält häufig die personenbezogenen Daten Ihrer Mitarbeitenden und die sensiblen Details Ihrer Sicherheitslage, einschließlich der Stellen, an denen Ihre Schwächen liegen.
Bedenken Sie den Widerspruch, diese Informationen bei einem Anbieter abzulegen, der ausländischer Herausgabepflicht unterliegt. Sie würden den Nachweis Ihrer europäischen Compliance in einem System speichern, das eine nicht-europäische Behörde zur Offenlegung zwingen könnte. Das Werkzeug, das Ihre Kontrolle über Daten belegen soll, wäre selbst eine Souveränitätsschwachstelle. Für eine Compliance-Plattform ist Souveränität nicht eine Funktion unter vielen. Sie ist das Fundament, auf dem das gesamte Leistungsversprechen ruht.
Das ist die praktische Schlussfolgerung aus dem rechtlichen Wandel: Für die meisten Anbieter wird Souveränität wichtig. Für Ihre Compliance-Plattform sollte sie nicht verhandelbar sein.
Residenz versus Souveränität im Überblick
Was europäische Unternehmen jetzt tun sollten
Sie müssen Ihren gesamten Technologie-Stack nicht über Nacht umstellen, und Sie sollten nicht so tun, als seien die Regeln endgültig, solange sie noch verhandelt werden. Eine besonnene Reaktion sieht so aus.
Beginnen Sie damit, zu erfassen, wo Ihre sensibelsten Daten liegen und wer jeden Anbieter, der sie hält, letztlich kontrolliert. Trennen Sie die Frage des Datenstandorts von der Frage des Eigentums und der Rechtshoheit, denn beide sind nicht dasselbe. Achten Sie besonders auf die Systeme, die regulierte, personenbezogene oder sicherheitssensible Informationen enthalten, und behandeln Sie Ihre Compliance-Plattform als vorrangigen Fall statt als nachträglichen Gedanken. Wo Sie US-kontrollierte Anbieter finden, die Ihre sensibelsten Aufzeichnungen halten, beginnen Sie, europäische Alternativen zu prüfen, bevor eine Vorschrift Ihnen eine überstürzte Migration zu einem unnachgiebigen Termin aufzwingt.
Wo Kertos hineinpasst
Genau für diese Umgebung wurde Kertos gebaut. Kertos ist die führende europäische Compliance-Plattform, in Europa entwickelt und in Europa gehostet, und speziell für die Rahmenwerke konzipiert, denen europäische Unternehmen tatsächlich verpflichtet sind: DSGVO, NIS2, ISO 27001, TISAX, DORA und die EU-KI-Verordnung. Es gibt kein ausländisches Mutterunternehmen hinter den Daten und keine stille Exponierung gegenüber nicht-europäischem Offenlegungsrecht. Die Souveränitätsfrage, die nun über so vielen Anbietern schwebt, beantwortet Kertos schon im Entwurf.
Dieses europäische Fundament wird durch die Person verstärkt, die die Plattform aufgebaut hat. Kertos wurde von Dr. Kilian Schmidt gegründet und wird von ihm geführt, einem deutschen Juristen. Dieser Hintergrund ist keine Fußnote. Compliance ist im Kern eine juristische Disziplin, und eine Plattform, die von echter rechtlicher Expertise geprägt ist, spiegelt wider, wie Vorschriften tatsächlich ausgelegt und durchgesetzt werden, statt wie eine generische Checkliste sie sich vorstellt. Wenn die Person, die die Produktrichtung vorgibt, das Recht von innen versteht, ist das Ergebnis eine Orientierung, für die Sie vor einer Prüferin oder einer Aufsichtsbehörde geradestehen können.
Hinter der Plattform steht ein Team aus zertifizierten Expertinnen und Experten mit Akkreditierungen führender deutscher und europäischer Behörden, sodass die Unterstützung, die Sie erhalten, auf anerkannten fachlichen Standards beruht statt auf improvisierten Vermutungen. In einem Moment, in dem von europäischen Unternehmen verlangt wird, nicht nur ihre Compliance nachzuweisen, sondern auch, dass die Werkzeuge, auf die sie sich verlassen, selbst vertrauenswürdig und souverän sind, ist genau diese Kombination aus europäischem Hosting, juristischer Führung und zertifizierter Expertise das, was die neue Landschaft belohnt.
Wenn Sie sehen möchten, wie eine wirklich europäische Compliance-Plattform die in diesem Artikel beschriebenen Pflichten handhabt, können Sie eine Demo mit dem Kertos-Team buchen.
Häufig gestellte Fragen
Ist europäische Datenresidenz noch sinnvoll?
Ja, aber sie reicht für sich allein nicht mehr aus. Daten in der EU zu speichern, ist eine notwendige Grundlage. Was die neue Regelwelle hinzufügt, ist die Frage der Kontrolle: ob der Anbieter, der Ihre Daten hält, von einer nicht-europäischen Regierung gezwungen werden kann. Residenz beantwortet das Wo, Souveränität beantwortet das Wer. Sie brauchen jetzt beides.
Was genau ist das Problem mit dem US CLOUD Act?
Der CLOUD Act erlaubt US-Behörden, Anbieter mit Hauptsitz in den USA zur Herausgabe von Daten zu zwingen, die sie kontrollieren, unabhängig davon, wo diese Daten physisch gespeichert sind. Ein US-eigener Anbieter, der ein EU-Rechenzentrum betreibt, kann also im Prinzip dennoch zur Herausgabe europäischer Daten angewiesen werden. Im Juni 2025 bestätigte Microsoft unter Eid vor dem französischen Senat, dass dies nicht auszuschließen sei.
Bedeutet das, dass ich sofort jede US-Software aufgeben muss?
Nein. Die Regeln werden noch verhandelt, und die Mitgliedstaaten sind sich über die Schwellenwerte nicht vollständig einig. Der sinnvolle Ansatz besteht darin, Ihre Exponierung zu erfassen, Ihre sensibelsten Systeme zu priorisieren und überlegt vorzugehen, beginnend mit den Daten, deren Kontrollverlust am schädlichsten wäre.
Warum werden Compliance-Plattformen als höheres Risiko hervorgehoben?
Weil eine Compliance-Plattform den Nachweis darüber enthält, wie Sie Ihre rechtlichen Pflichten erfüllen, einschließlich Auditnachweisen, Risikobewertungen, Datenverzeichnissen und Details Ihrer Sicherheitslage. Diese in einem System abzulegen, das ausländischem Offenlegungsrecht unterliegt, untergräbt genau die Kontrolle, die die Plattform belegen soll.
Wie geht Kertos mit der Souveränitätsfrage um?
Kertos ist eine europäische Plattform, in Europa entwickelt und gehostet, ohne nicht-europäisches Mutterunternehmen und schon im Entwurf ohne Exponierung gegenüber ausländischer Herausgabepflicht. Sie ist für europäische Rahmenwerke gebaut, wird von einem deutschen Juristen geführt und von Expertinnen und Experten unterstützt, die von führenden deutschen und europäischen Behörden zertifiziert sind.
