Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Vorfall bei der Datensouveränität: Jedes dritte Unternehmen war im letzten Jahr betroffen

Vorfall bei der Datensouveränität: Jedes dritte Unternehmen war im letzten Jahr betroffen

von Patrick Spencer updated Februar 25, 2026 Cybersecurity-Risikomanagement
Lesezeit: 11 Minuten

Hier ist etwas, das eigentlich nicht möglich sein sollte: 44 % der Unternehmen bezeichnen sich als „sehr gut informiert“ über Anforderungen an die Datensouveränität, und 33 % von ihnen haben im vergangenen Jahr einen Vorfall im Zusammenhang mit Souveränität erlebt.

wichtige Erkenntnisse

  1. Das Bewusstsein für Souveränität hat eine Obergrenze erreicht. Die Vorfälle nicht. Rund 44 % der Befragten in jeder Region bezeichnen sich als „sehr gut informiert“ über Souveränitätsanforderungen – dennoch berichteten 33 % von einem Vorfall im Zusammenhang mit Souveränität in den letzten zwölf Monaten. Die Lücke zwischen dem Wissen um die Regeln und dem Aufbau von Systemen zu deren Durchsetzung ist der Ort, an dem Vorfälle entstehen.
  2. Der Nahe Osten investiert am meisten und ist am stärksten betroffen. Zwei Drittel der Befragten aus dem Nahen Osten investieren jährlich über 1 Million US-Dollar in Souveränitäts-Compliance, und 93 % geben an, dass PDPL- und SDAIA-Vorgaben ihre Geschäftstätigkeit direkt beeinflussen. Die Vorfallrate von 44 % – fast doppelt so hoch wie Kanadas 23 % – zeigt, dass neue regulatorische Umfelder eine Compliance-Bewusstseinslücke schaffen, in der Unternehmen die Regeln kennen, aber noch keine entsprechende Durchsetzungsinfrastruktur aufgebaut haben.
  3. Kanadas tatsächliche Souveränitätsbedrohung kommt aus dem Süden. 40 % der kanadischen Befragten sehen Änderungen bei den Datenfreigabeabkommen zwischen Kanada und den USA als ihr größtes regulatorisches Problem, und 21 % stufen den US CLOUD Act als direkte Souveränitätsbedrohung ein. 23 % migrieren aktiv weg von Cloud-Anbietern mit US-Hauptsitz – eine strukturelle Antwort auf eine Zuständigkeitslücke, die Verträge und Zusicherungen von Anbietern nicht schließen können.
  4. Europas regulatorische Reife hat das Vertrauensproblem bei Anbietern nicht beseitigt. 44 % der europäischen Befragten nennen Bedenken hinsichtlich Souveränitätsgarantien von Anbietern als größtes Hindernis für die Cloud-Einführung – der höchste Wert aller untersuchten Regionen. Trotz nahezu universeller DSGVO-Compliance und der höchsten kombinierten Bewusstseinswerte erlebten 32 % dennoch einen Souveränitätsvorfall. Das bestätigt: Regulatorische Reife reduziert das Risiko, beseitigt es aber nicht, wenn Anbieterarchitekturen den Entschlüsselungspfad offenlassen.
  5. AI Governance ist die neue Trennlinie zwischen vorbereitet und exponiert. Sektoren, die am meisten in KI-Audits und Datenlokalisierung investieren, melden Vorfallraten auf oder unter dem Durchschnitt von 33 %, während 21 % der Befragten ihre KI-Souveränitätspolitik noch vollständig entwickeln. Mit dem Inkrafttreten des EU AI Act und der aktiven Gestaltung der KI-Governance durch die SDAIA in Saudi-Arabien steuert diese 21-%-Gruppe ohne Plan auf die Durchsetzung zu.

Diese beiden Zahlen sollten nicht nebeneinander existieren. Wenn Menschen die Regeln wirklich verstehen – wo Daten bleiben müssen, wer darauf zugreifen darf, was passiert, wenn sie eine Grenze überschreiten – sollten Vorfälle selten sein. Ausnahmen. Randfälle.

Das sind sie aber nicht. In jeder untersuchten Region liegt die Rate bei einem von drei Fällen, unabhängig davon, wie ausgereift das regulatorische Umfeld ist. Das zeigt, wo die Datensouveränität 2026 steht: Das Problem ist nicht mehr Unwissenheit. Es ist die Distanz zwischen dem Wissen um die Anforderungen und dem Aufbau von Systemen, die sie durchsetzen.

Wir haben sechs Monate lang 286 IT- und Sicherheitsexperten in Kanada, dem Nahen Osten und Europa für den Bericht „2026 Data Security and Compliance Risk: Data Sovereignty Report“ befragt. Im Folgenden finden Sie die Ergebnisse, die bestimmen sollten, wie Ihr Unternehmen in den nächsten zwei Jahren über Souveränität denkt – und einige, die Ihren CISO nachts wachhalten sollten.

Das Bewusstsein hat sich angeglichen. Die Vorfalllücke nicht.

Beginnen wir mit der guten Nachricht: Das Bewusstsein für Souveränität ist kein Problem mehr, das sich je nach Region stark unterscheidet.

Der Nahe Osten liegt bei 45 % „sehr gut informiert“. Kanada bei 44 %. Europa bei 44 %. Zählt man die „gut informiert“-Gruppe hinzu, beschreiben sich rund 80 % der Befragten in allen drei Regionen als sicher im Umgang mit lokalen Souveränitätsanforderungen. Ob Sie nun nach PIPEDA, PDPL oder DSGVO arbeiten: Die für den Datenschutz Verantwortlichen wissen meist, was zu tun ist.

Nun zur schlechten Nachricht: Wissen hat sich nicht in Handeln übersetzt – oder zumindest nicht in ausreichend gutes Handeln.

Kanada meldet eine Vorfallrate von 23 %. Europa liegt bei 32 %. Der Nahe Osten führt mit 44 %. Über alle Regionen hinweg hat ein Drittel der Befragten im vergangenen Jahr einen Souveränitätsvorfall erlebt. Weitere 5 % wollten keine Angabe machen – was in der Umfragesprache meist bedeutet, dass die Antwort nicht schmeichelhaft ausgefallen wäre.

Die Vorfallarten sind nicht exotisch. Datenschutzverstöße mit Souveränitätsbezug und Compliance-Ausfälle von Drittparteien teilen sich mit je 17 % den Spitzenplatz. Es folgen behördliche Untersuchungen mit 15 %. Unautorisierte grenzüberschreitende Übertragungen liegen bei 12 %. Regierungsanfragen zum Datenzugriff machen 10 % aus. Das sind keine Black-Swan-Ereignisse, sondern alltägliche Systemausfälle, die genau diese Ergebnisse verhindern sollten.

Die Erkenntnis ist unbequem, aber notwendig: Bewusstsein ist Grundvoraussetzung – kein Schutz. Die Unternehmen, die Vorfälle vermeiden konnten, sind nicht die, die die Regeln am besten verstanden haben. Es sind diejenigen, die die Durchsetzung in ihre Architektur integriert haben.

Der Nahe Osten bewegt sich am schnellsten und wird am härtesten getroffen

Wer die Lücke zwischen Anspruch und Umsetzung verstehen will, sollte in den Nahen Osten blicken.

93 % der Befragten aus dem Nahen Osten geben an, dass PDPL- und SDAIA-Vorgaben ihre Geschäftstätigkeit direkt beeinflussen – der höchste Wert der Umfrage. Sie investieren massiv: Zwei Drittel geben jährlich mehr als 1 Million US-Dollar für Souveränitäts-Compliance aus, 28 % sogar über 5 Millionen. Sie planen voraus: 48 % wollen regionale Cloud-Anbieter nutzen, 46 % setzen auf Compliance-Automatisierung, 48 % investieren in erweiterte technische Kontrollen.

Und ihre Vorfallrate liegt bei 44 %. Fast doppelt so hoch wie in Kanada. Der höchste Wert aller untersuchten Regionen.

Warum? Drei Faktoren kommen zusammen. Die PDPL- und SDAIA-Rahmenwerke sind relativ neu, Unternehmen hatten also weniger Zeit, Durchsetzungsstrukturen aufzubauen, während die regulatorischen Anforderungen schnell steigen. 30 % der Befragten im Nahen Osten arbeiten in Unternehmen mit 10.000–19.999 Mitarbeitern – groß genug für komplexe Datenarchitekturen, aber noch im Aufbau der passenden Governance. Und 33 % nennen geopolitische Instabilität als Souveränitätsrisiko – eine Variable, die Compliance-Programme in ruhigeren Regionen nicht berücksichtigen müssen.

Die Daten aus dem Nahen Osten machen deutlich, was überall gilt: Hohes Compliance-Bewusstsein und hohe Ausgaben führen nicht automatisch zu weniger Vorfällen. Das fehlende Element ist operative Tiefe – Kontrollen, die durchsetzen statt dokumentieren, Nachweise, die belegen statt behaupten, und Incident-Response-Playbooks, die vor der Krise getestet wurden.

Kanadas ruhige Oberfläche verbirgt ein grenzüberschreitendes Problem

Kanadas Zahlen wirken auf den ersten Blick beruhigend. Eine Vorfallrate von 23 % – der niedrigste Wert aller Regionen. 79 % PIPEDA-Compliance. Hohes Bewusstsein in allen Rollen.

Doch ein Blick auf die Sorgen der kanadischen Befragten zeigt ein anderes Bild.

40 % nennen Änderungen bei den Datenfreigabeabkommen zwischen Kanada und den USA als ihr größtes regulatorisches Problem. 21 % stufen den US CLOUD Act als direkte Souveränitätsbedrohung ein. 23 % migrieren aktiv weg von Cloud-Anbietern mit US-Hauptsitz. Das sind keine hypothetischen Planspiele, sondern aktive Reaktionen auf eine Zuständigkeitsrealität, die sich nicht mehr ignorieren lässt.

Das Problem ist strukturell: Speichert ein kanadisches Unternehmen Daten bei einem Anbieter mit US-Hauptsitz, können diese Daten unabhängig vom physischen Speicherort US-Regierungsanfragen unterliegen. Verträge setzen ausländische Zugriffsrechte nicht außer Kraft. Zusicherungen von Anbietern neutralisieren keine Durchsuchungsbefehle. Die 23 %, die von US-Anbietern wegmigrieren, übertreiben nicht – sie reagieren auf eine Lücke, die kein Vertrag schließen kann.

Kundendruck verstärkt die Dringlichkeit. Über die Hälfte der kanadischen Befragten berichtet, dass zwischen 26 % und 75 % ihrer Kunden aktiv nach Souveränitätspraktiken fragen. Souveränität ist zur vertrauensbildenden Kundenfrage geworden, nicht mehr nur eine interne Compliance-Übung. Unternehmen, die ihre Position auf Abruf nachweisen können – mit exportierbaren Nachweisen, nicht mit Präsentationen – sichern sich einen Wettbewerbsvorteil, der mit zunehmender Kontrolle wächst. Die 51 % der kanadischen Befragten, die verbessertes Kundenvertrauen als Souveränitätsvorteil nennen, haben das bereits erkannt. Die anderen werden es bald erfahren.

Europa: Der am stärksten regulierte Markt meldet trotzdem einen von drei Vorfällen

Europa sollte eigentlich die Erfolgsgeschichte sein. Die DSGVO ist seit 2018 durchsetzbar. NIS 2 und DORA stärken die operative Resilienz. Der Data Act gilt seit September 2025. Die GPAI-Pflichten des EU AI Act folgten im August 2025. Europäische Unternehmen melden das höchste kombinierte Verständnis und nahezu universelle DSGVO-Compliance.

Und dennoch erlebten 32 % im vergangenen Jahr einen Souveränitätsvorfall.

Die europäischen Daten widerlegen die Annahme, dass regulatorische Reife Souveränitätsrisiken irgendwann eliminiert. Sie reduziert sie – aber die verbleibende Lücke, also der Unterschied zwischen Compliance-Rahmen und operativer Durchsetzung, bleibt selbst im am stärksten regulierten Umfeld bestehen.

Die zentrale europäische Herausforderung ist das Vertrauen in Anbieter. 44 % der Befragten nennen Bedenken hinsichtlich Souveränitätsgarantien von Anbietern als Hindernis für die Cloud-Einführung – der höchste Wert der Umfrage. Jüngste Eingeständnisse großer US-Anbieter zu Datenzugriffsgrenzen machen das zu mehr als einer abstrakten Sorge. Die Schrems-II-Entscheidung hat schon vor Jahren klargestellt, dass Verträge ausländische Zugriffsrechte nicht aushebeln. Dennoch agieren viele europäische Unternehmen, als seien Anbietervereinbarungen ein adäquater Ersatz für technische Kontrollen.

Die Reaktion zeigt sich in den Planungsdaten: 46 % wollen EU-basierte Anbieter stärker nutzen, 55 % setzen auf Compliance-Automatisierung, 45 % verfolgen Datenlokalisierung. Europäische Unternehmen warten nicht auf die nächste Regulierungswelle. Sie bauen ihre Souveränitätsstrategie von der Infrastruktur aus neu auf – weil sie aus acht Jahren DSGVO-Compliance und Milliardenstrafen gelernt haben, dass regulatorische Reife ohne operative Durchsetzung ein teurer Weg ist, exponiert zu bleiben.

Die Kosten sind real – und wachsen schneller als erwartet

Souveränität ist nicht günstig, und die Umfragedaten machen das unmissverständlich klar.

Technische Infrastrukturänderungen führen mit 59 % die Liste der Ressourcenfresser an, gefolgt von juristischer und Compliance-Expertise mit 53 %. Dokumentation und Audits, Bewertungen grenzüberschreitender Übertragungen und Mitarbeiterschulungen komplettieren die Top 5. Das sind keine einmaligen Projektkosten, sondern laufende operative Anforderungen, die mit jeder neuen Regulierung, jeder neuen Jurisdiktion und jeder neuen Anbieterbeziehung wachsen.

Auch die jährlichen Ausgaben erzählen die gleiche Geschichte. Die meisten Unternehmen investieren jährlich über 1 Million US-Dollar. Bei Großunternehmen mit mehr als 10.000 Mitarbeitern konzentrieren sich die Ausgaben stark in den oberen Segmenten. Die 28 % der Befragten aus dem Nahen Osten, die jährlich über 5 Millionen US-Dollar ausgeben, zeigen, was passiert, wenn eine Region gleichzeitig Souveränitätsinfrastruktur aufbaut und neue Vorgaben einführt.

Doch hier liegt der Punkt, den die meisten Budgetdiskussionen übersehen: Die Kosten des Nicht-Ausgebens sind höher. Die Umfragedaten zu Vorfällen – Datenschutzverstöße, behördliche Untersuchungen, unautorisierte Übertragungen, Regierungsanfragen – bringen jeweils eigene Kosten für Bußgelder, Schadensbehebung, Kundenabwanderung und Reputationsschäden mit sich. Allein die DSGVO hat bereits Milliardenstrafen verursacht. Die PIPEDA-Bußgelder in Kanada steigen. Die PDPL-Durchsetzung in Saudi-Arabien nimmt zu – das bedeutet, das Strafrisiko wächst weiter.

Die Nutzen-Seite ist hier entscheidend. Die Befragten investieren nicht blind. Eine verbesserte Sicherheitslage steht in allen Regionen an erster Stelle der Vorteile. Verbesserte Kundenbindung folgt – im Nahen Osten nennen das sogar 56 %, der höchste Wert der Umfrage. Bessere Daten-Governance, geringere Rechtsrisiken und Wettbewerbsvorteile runden die Top 5 ab. Das sind keine weichen Faktoren, sondern die Gründe, warum Vorstände Souveränitätsbudgets genehmigen und Einkaufsteams Anbieter nach Datenresidenz fragen, bevor sie Verträge abschließen.

Unternehmen, die Souveränität als Kostenstelle betrachten, stellen die falsche Frage. Die eigentliche Frage ist, ob Sie in Kontrollen investieren, die Vorfälle verhindern, oder ob Sie für die Beseitigung von Vorfällen zahlen, die Ihre Kontrollen nicht verhindert haben. Die Umfragedaten zeigen klar, welche Option teurer ist – und welche nachhaltige Vorteile bei Vertrauen, Marktzugang und regulatorischer Positionierung bringt.

AI Governance ist das nächste Souveränitäts-Schlachtfeld

Die Umfrage enthält eine Frage, die viele Souveränitätsstudien noch ignorieren: Wie steuern Sie die Governance von KI-Daten?

Die Antworten teilen sich in drei Gruppen: Rund ein Drittel hält alle KI-Trainingsdaten in der eigenen Region. Ein weiteres Drittel nutzt einen gemischten Ansatz je nach Datensensibilität. Und eine relevante Minderheit – 21 % – entwickelt ihre KI-Souveränitätspolitik noch vollständig.

Diese letzte Gruppe sollte sich Sorgen machen. Der EU AI Act ist jetzt in Kraft. Die SDAIA gestaltet die KI-Governance in Saudi-Arabien aktiv. Kanadas bundesstaatliche und regionale Datenschutzreformen schreiten mit KI-spezifischen Auswirkungen voran. Unternehmen ohne dokumentierte, belastbare KI-Datenschutzstrategie steuern ohne Plan in die nächste Durchsetzungsrunde.

Die Unternehmen, die KI-Daten bereits lokalisieren und regelmäßige KI-Audits durchführen, sind der Entwicklung voraus. Die Gruppe mit gemischtem Ansatz hat noch Zeit, ihre Sensitivitätsklassifizierungen zu formalisieren, bevor Regulierungsbehörden diese als unzureichend einstufen. Die 21 %, die noch daran arbeiten, müssen sich beeilen – denn „wir arbeiten daran“ hat noch nie einen Auditor überzeugt und wird auch der KI-Gesetzgebung nicht genügen.

Was tatsächlich funktioniert: Drei Muster aus den Daten

Blendet man regionale Unterschiede und branchenspezifische Details aus, zeigen die Umfragedaten drei Muster, die Unternehmen mit Vorfallprävention von solchen mit Vorfallserfahrung unterscheiden.

Compliance-Reife schlägt Compliance-Bewusstsein. Kanada hat mit 79 % die höchste PIPEDA-Compliance und mit 23 % die niedrigste Vorfallrate. Der Nahe Osten hat mit 93 % den höchsten regulatorischen Einfluss und mit 44 % die höchste Vorfallrate. Der Unterschied liegt nicht im Wissen, sondern darin, wie lange Unternehmen Zeit hatten, Wissen in Infrastruktur umzusetzen. Neue regulatorische Umfelder schaffen eine Compliance-Bewusstseinslücke, in der Unternehmen die Regeln kennen, aber noch keine Durchsetzungsmechanismen aufgebaut haben. Zeit hilft – aber auf Zeit zu setzen, ist keine Strategie.

Jurisdiktionskomplexität vervielfacht das Risiko. Unternehmen, die über mehrere Jurisdiktionen hinweg agieren – in unseren Daten abgebildet durch Branche und Mitarbeiterzahl – melden höhere Vorfallraten. Die Fertigungsindustrie mit ihren grenzüberschreitenden Lieferketten meldet 52 % Vorfälle. Unternehmen mit über 20.000 Mitarbeitern berichten deutlich höhere Raten als solche mit 500–999 Beschäftigten. Souveränität ist kein fixer Kostenblock. Sie wächst mit der Exposition gegenüber verschiedenen Jurisdiktionen – Unternehmen, die sie als fixe Gemeinkosten betrachten, unterschätzen ihr Risiko.

Investitionen in AI Governance korrelieren mit weniger Vorfällen. Sektoren, die stark in KI-Audits und Lokalisierung investieren – insbesondere Finanzdienstleister mit 59 % KI-Audit-Anteil – melden Vorfallraten auf oder unter dem Durchschnitt von 33 %. Behörden mit hoher Lokalisierungsquote berichten 27 %. Das Muster ist richtungsweisend, nicht kausal – aber es deutet darauf hin, dass die Disziplin, KI-Daten gut zu steuern, sich positiv auf die gesamte Souveränitätsbilanz auswirkt.

Wie es weitergeht

Die Planungsdaten des Berichts zeigen eine klare Richtung: Compliance-Automatisierung steht in allen Regionen an der Spitze der Zwei-Jahres-Strategien. Verbesserte technische Kontrollen folgen dicht dahinter. Die Nutzung regionaler Anbieter, Datenlokalisierung und der Ausbau von Rechtsteams runden die wichtigsten Investitionen ab.

Zusammengenommen ergibt sich ein klares Signal: Unternehmen behandeln Souveränität nicht mehr als reine Policy-Übung. Sie setzen auf Architektur – Systeme, die Residenz durchsetzen, Zugriffe steuern und Nachweise liefern, ohne dass ein Mensch sich an den Prozess erinnern muss. Die 59 %, die technische Infrastruktur als größten Ressourcenfresser nennen, klagen nicht über die Kosten – sie zeigen, wohin das Geld fließen muss.

Dieser Wandel spiegelt auch eine Reife im Umgang mit Souveränität wider. Vor drei Jahren fragte man, ob Datensouveränität überhaupt relevant ist. Vor zwei Jahren, welche Vorgaben gelten. Jetzt geht es um den operativen Nachweis: Können Sie unter Druck belegen, dass Daten dort geblieben sind, wo sie hingehören, dass Zugriffe autorisiert waren und dass grenzüberschreitende Bewegungen gesteuert wurden – nicht nur dokumentiert, sondern auf Infrastrukturebene gesteuert?

Das ist ein höherer Standard, als die meisten Unternehmen gewohnt sind. Er verlangt, dass der Verschlüsselungsschlüssel im eigenen Land bleibt und nicht an einen Anbieter ausgelagert wird, der gezwungen werden könnte, ihn zu verwenden. Er verlangt revisionssichere, exportierbare Audit-Trails, nicht solche, die über sechs Plattformen verstreut sind. Er verlangt Incident-Response-Playbooks, die an den realen Szenarien der Umfrage getestet wurden – Datenschutzverstöße, Drittparteien-Ausfälle, behördliche Untersuchungen, Regierungsanfragen, unautorisierte Übertragungen.

Die Unternehmen, die die nächste Regulierungsrunde erfolgreich meistern, sind diejenigen, die Souveränität beweisen können – mit Kontrollen auf Architekturebene, Nachweisen, die Regulatoren und Kunden auf Abruf überzeugen, und einer Einsatzbereitschaft, die vor dem Ernstfall geprobt wurde.

Alle anderen kennen die Regeln. Und ein Drittel von ihnen wird trotzdem getroffen.

Laden Sie den vollständigen Bericht „2026 Data Security and Compliance Risk: Data Sovereignty Report“ herunter

Häufig gestellte Fragen

Datensouveränität bedeutet, dass Daten den Gesetzen und Governance-Strukturen der Jurisdiktion unterliegen, in der sie erhoben oder gespeichert werden. Im Jahr 2026 ist das relevant, weil Vorgaben wie DSGVO, PIPEDA und PDPL Unternehmen dazu verpflichten, nachzuweisen – nicht nur zu behaupten –, dass sie kontrollieren, wo Daten gespeichert werden, wer darauf zugreifen darf und wie grenzüberschreitende Bewegungen gesteuert werden. Die Durchsetzungsstrafen steigen, und Kunden verlangen aktiv Nachweise für Compliance.

33 % der 286 befragten IT- und Sicherheitsexperten aus Kanada, dem Nahen Osten und Europa berichteten von einem Souveränitätsvorfall in den letzten zwölf Monaten, weitere 5 % machten keine Angabe. Die häufigsten Vorfallarten waren Datenschutzverstöße mit Souveränitätsbezug und Compliance-Ausfälle von Drittparteien (je 17 %), gefolgt von behördlichen Untersuchungen (15 %), unautorisierten grenzüberschreitenden Übertragungen (12 %) und Regierungsanfragen zum Datenzugriff (10 %).

Der Nahe Osten meldete mit 44 % die höchste Vorfallrate – fast doppelt so hoch wie Kanada mit 23 % und über Europa mit 32 %. Das geschieht, obwohl 93 % der Befragten aus dem Nahen Osten angeben, dass Vorgaben ihre Geschäftstätigkeit direkt beeinflussen, und zwei Drittel jährlich mehr als 1 Million US-Dollar ausgeben – das zeigt, dass hohes Bewusstsein und hohe Ausgaben nicht automatisch zu weniger Vorfällen führen, wenn regulatorische Rahmen und Durchsetzungsstrukturen noch im Aufbau sind.

Die Mehrheit der befragten Unternehmen investiert jährlich mehr als 1 Million US-Dollar in Souveränitäts-Compliance, 28 % der Befragten aus dem Nahen Osten sogar über 5 Millionen US-Dollar. Technische Infrastrukturänderungen (59 %) sowie juristische und Compliance-Expertise (53 %) sind die größten Ressourcenfresser. Die Kosten steigen deutlich mit der Unternehmensgröße – bei Unternehmen mit mehr als 10.000 Mitarbeitern konzentrieren sich die Ausgaben stark in den oberen Segmenten.

Der CLOUD Act legt fest, dass US-Anbieter verpflichtet werden können, Daten in ihrem „Besitz, Gewahrsam oder unter Kontrolle“ bereitzustellen – unabhängig davon, wo sie physisch gespeichert sind. Das bedeutet: Daten bei einem Cloud-Anbieter mit US-Hauptsitz können US-Regierungsanfragen unterliegen, selbst wenn sie in einem kanadischen oder europäischen Rechenzentrum gespeichert sind. In unserer Umfrage stuften 21 % der kanadischen Befragten den CLOUD Act als direkte Souveränitätsbedrohung ein, und 23 % migrieren aktiv weg von US-Anbietern.

Rund ein Drittel der Befragten hält alle KI-Trainingsdaten in der eigenen Region, ein weiteres Drittel nutzt einen gemischten Ansatz je nach Datensensibilität, und 21 % entwickeln ihre KI-Souveränitätspolitik noch. Mit den GPAI-Pflichten des EU AI Act und der aktiven Gestaltung der KI-Governance durch die SDAIA in Saudi-Arabien stehen Unternehmen ohne dokumentierte und belastbare KI-Datenstrategie vor wachsendem Durchsetzungsrisiko – insbesondere die Gruppe mit gemischtem Ansatz, deren Sensitivitätsklassifizierungen regulatorischer Prüfung möglicherweise nicht standhalten.

Compliance-Automatisierung und erweiterte technische Kontrollen stehen bei geplanten Investitionen in allen drei Regionen an der Spitze, gefolgt von der Nutzung regionaler Cloud-Anbieter, Datenlokalisierung und dem Ausbau von Rechtsteams. Das Muster signalisiert einen marktweiten Wandel von policy-basierter Souveränität hin zu architektur-basierter Durchsetzung – Unternehmen investieren in Systeme, die Residenz durchsetzen, Zugriffe einschränken und prüfbereite Nachweise liefern, anstatt sich auf manuelle Prozesse und Anbieterzusicherungen zu verlassen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks