Pressemitteilung

Jede dritte Organisation hat im vergangenen Jahr einen Vorfall im Zusammenhang mit Datensouveränität erlebt.

Kiteworks, das Unternehmen, das Organisationen befähigt, Risiken bei jedem Versand, Teilen, Empfang und der Nutzung vertraulicher Daten effektiv zu steuern, veröffentlicht heute seinen 2026 Data Security and Compliance Risk: Data Sovereignty Report. Die regionsübergreifende Umfrage unter Fachleuten aus den Bereichen Risikomanagement, Compliance, IT und Sicherheit zeigt eine deutliche Diskrepanz beim Thema Datensouveränität: Organisationen kennen die Souveränitätsregeln besser denn je, doch jede dritte Organisation verzeichnete im vergangenen Jahr einen Vorfall im Zusammenhang mit Datensouveränität. Der Bericht befragte Fachleute aus Kanada, dem Nahen Osten und Europa zu ihrer Compliance mit PIPEDA, PDPL, DSGVO und neuen KI-Governance-Rahmenwerken.

Die auffälligste Erkenntnis des Berichts ist die Gleichzeitigkeit von Bewusstsein und anhaltenden Vorfällen. Rund 44 % der Befragten in jeder Region bezeichnen sich als „sehr gut informiert“ über die Anforderungen an die Datensouveränität – Kanada 44 %, Naher Osten 44 %, Europa 44 %. Dennoch reichen die Vorfallquoten von 23 % in Kanada über 32 % in Europa bis zu 44 % im Nahen Osten. Die häufigsten Vorfallarten sind Datenschutzverstöße mit Souveränitätsbezug (17 %), Compliance-Verstöße von Drittparteien (17 %), behördliche Untersuchungen (15 %), unautorisierte grenzüberschreitende Übertragungen (12 %) und behördliche Zugriffsanfragen auf Daten (10 %).

„Organisationen in allen von uns untersuchten Regionen investieren Millionen in Souveränitäts-Compliance, sind sich der Risiken bewusst und werden dennoch von Datenschutzverstößen, unautorisierten Transfers und behördlichen Zugriffsanfragen getroffen“, sagt Dario Perfettibile, EMEA GM für GTM und Customer Operations bei Kiteworks. „Das Problem ist nicht das Wissen. Es ist die Lücke zwischen Richtliniendokumenten und einer Architektur, die tatsächlich Datenresidenz durchsetzt, Zugriffe steuert und auf Abruf revisionssichere Nachweise liefert.“

Zentrale Erkenntnisse: Die Souveränitätslücke ist operativ, nicht informativ

Der Bericht zeigt mehrere regionale Dynamiken auf, die gängige Annahmen zur Souveränitätsreife infrage stellen. Der Nahe Osten meldet mit 44 % die höchste Vorfallquote, obwohl 93 % der Befragten angeben, dass PDPL- und SDAIA-Regulierungen direkte Auswirkungen auf den Betrieb haben, und zwei Drittel jährlich über 1 Million US-Dollar investieren. Kanadas Vorfallquote ist mit 23 % am niedrigsten, doch 40 % der kanadischen Befragten sehen Änderungen beim Kanada–USA-Datenaustausch als größte Sorge und 21 % betrachten den US CLOUD Act als direkte Bedrohung für die Souveränität.

In Europa nennen 44 % die Souveränitätsgarantien der Anbieter als größtes Hindernis für die Cloud-Einführung – der höchste Wert aller Regionen – trotz nahezu flächendeckender DSGVO-Compliance. Besonders bemerkenswert: Umgebungen wie Microsoft GCC High erfüllen zwar die Anforderungen an Datenresidenz, bieten jedoch keine alleinige Kontrolle über den Verschlüsselungsschlüssel – der Anbieter behält also technisch die Möglichkeit, auf Kundendaten zuzugreifen. Diese Lücke untergräbt die Souveränitätsgarantien, die viele Organisationen benötigen.

Technische Infrastrukturänderungen (59 %) sowie rechtliche und Compliance-Expertise (53 %) führen die Liste der Ressourcenbelastungen an, und die Mehrheit der Organisationen investiert jährlich mehr als 1 Million US-Dollar in Souveränitäts-Compliance. Dennoch zeigt der Bericht: Der Markt verschiebt sich von Richtlinien hin zu Architektur – Automatisierung der Compliance und technische Kontrollmechanismen stehen in allen drei Regionen im Mittelpunkt der Zweijahresplanung.

KI-Governance wird zum nächsten Schlachtfeld der Souveränität

Der Bericht hebt zudem eine wachsende Herausforderung bei der KI-Datensouveränität hervor. Rund ein Drittel der Befragten speichert alle KI-Trainingsdaten in der eigenen Region, ein weiteres Drittel verfolgt je nach Sensibilität einen gemischten Ansatz, und 21 % entwickeln ihre KI-Souveränitätsstrategie noch. Mit Inkrafttreten des EU AI Act und der aktiven Gestaltung der KI-Governance durch die SDAIA in Saudi-Arabien identifiziert der Bericht diese letzte Gruppe als besonders gefährdet, ohne Plan in die Durchsetzungsphase zu gehen.

Das Private Data Network von Kiteworks adressiert diese Herausforderungen mit Funktionen, die auf nachweisbare Souveränität ausgelegt sind:

Alleinige Kontrolle über Verschlüsselungsschlüssel: Kiteworks behält die Schlüsselverwaltung in der Umgebung des Kunden, sodass der Anbieter technisch nicht in der Lage ist, Inhalte zu entschlüsseln – selbst bei rechtlicher Verpflichtung. Für die 10 % der Befragten, die behördliche Zugriffsanfragen als Souveränitätsvorfall nannten, ist dies der architektonische Unterschied zwischen einem Workflow-Problem und einer kryptografischen Unmöglichkeit.
Flexible Bereitstellung nach Rechtsraum: On-Premises-, Private-Cloud-, Hybrid- und FedRAMP-Bereitstellungen ermöglichen es Organisationen, sensible Inhalte ausschließlich im eigenen Rechtsraum zu speichern – ob Kanada, Naher Osten oder EU – mit Geofencing durch konfigurierbare IP-Kontrollen.
Unveränderliche Audit-Trails und automatisierte Compliance-Berichte: Zentrale, unveränderliche Protokolle und vorkonfigurierte Vorlagen für DSGVO, PIPEDA, PDPL, DORA und NIS 2 liefern die exportierbaren Nachweise, die der Bericht als kritische Lücke zwischen deklarierter Compliance und nachweisbarer Kontrolle identifiziert.
Vereinheitlichte Governance für den Datenaustausch: E-Mail, Filesharing, Managed File Transfer, SFTP und Web-Formulare – die Kanäle, in denen sich Vorfälle mit Drittparteien und grenzüberschreitende Transfers häufen – werden auf einer einzigen zero trust Plattform zusammengeführt.

„Souveränität bedeutete früher Geografie – solange die Daten im richtigen Land lagen, war alles in Ordnung“, sagt Dario Perfettibile, EMEA GM für GTM und Customer Operations bei Kiteworks. „Diese Zeit ist vorbei. Regulierungsbehörden, Kunden und Einkaufsteams verlangen heute Beweise: Wer kann auf die Daten zugreifen, wer kontrolliert die Schlüssel, und können Sie Compliance auf Abruf nachweisen? Organisationen, die diesen Nachweis in ihre Architektur integrieren, werden sich durchsetzen. Alle anderen werden die Regeln weiterhin kennen – und weiterhin getroffen werden.“

Über Kiteworks

Kiteworks hat es sich zur Aufgabe gemacht, Unternehmen dabei zu unterstützen, Risiken beim Senden, Teilen, Empfangen und Nutzen vertraulicher Daten effektiv zu steuern. Die Kiteworks-Plattform bietet Kunden ein Private Data Network, das Daten-Governance, Compliance und Schutz gewährleistet. Diese Plattform vereint, überwacht, steuert und schützt sensible Daten, die innerhalb des Unternehmens sowie bei externen und internen Transfers übertragen werden. Dadurch verbessert sie das Risikomanagement erheblich und gewährleistet die Einhaltung gesetzlicher Vorgaben bei allen vertraulichen Datentransfers. Mit Hauptsitz im Silicon Valley schützt Kiteworks über 100 Millionen Endanwender sowie mehr als 1.500 Unternehmen und Behörden weltweit.

Pressekontakt
Martin Brindley
PR Manager
martin.brindley@kiteworks.com