Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > 100 Millionen Euro zeigen: Ihre SCCs reichen für Datensouveränität nicht aus

100 Millionen Euro zeigen: Ihre SCCs reichen für Datensouveränität nicht aus

von Marc ten Eikelder updated Mai 25, 2026 DSGVO-Compliance
Lesezeit: 9 Minuten

Wichtige Erkenntnisse

  1. Verträge haben den Verantwortlichen nicht geschützt. Die niederländische Datenschutzbehörde verhängte gegen eine Taxi-Plattform eine Geldstrafe von 100 Millionen Euro wegen der Übermittlung personenbezogener Daten aus der EU nach Russland – obwohl das Unternehmen EU-Standardvertragsklauseln unterzeichnet hatte. SCCs allein bieten keinen Schutz mehr.
  2. Aufsichtsbehörden verlangen Architektur, nicht Zusicherungen. Die Entscheidung basiert auf einem einfachen Test: Kann der Verantwortliche den unbefugten Zugriff durch das Drittland tatsächlich verhindern? Papierbasierte Schutzmaßnahmen bestehen diesen Test nicht. Verschlüsselungsschlüssel-Verwahrung, Durchsetzung der Datenresidenz und Zugriffskontrollen hingegen schon.
  3. Das Muster verbreitet sich. Die irische DPC hat eine parallele Untersuchung gegen Shein wegen Datenübermittlungen nach China eingeleitet. Zwei Behörden, zwei Hochrisiko-Zielländer, eine regulatorische These: Kontrolle nachweisen oder Bußgeld zahlen.
  4. Die meisten Organisationen können Verarbeitungssouveränität nicht nachweisen. Souveräne Speicherung ist gelöst. Souveräne Verarbeitung nicht. Nur 36 % der Unternehmen haben Transparenz darüber, wie Drittparteien Daten in KI-Systemen verarbeiten – und KI-Workloads erschweren jede Annahme zu grenzüberschreitender Kontrolle.
  5. Der CFO ist jetzt Stakeholder für Datensouveränität. DSGVO-Höchststrafen von 4 % des weltweiten Umsatzes, Reputationsschäden und die Kosten für die Umstrukturierung von Transfers machen Datensouveränität zum Thema auf Vorstandsebene – nicht mehr nur für die Compliance-Abteilung.

Die niederländische AP zieht eine Grenze. SCCs schützen nicht mehr.

Im April 2026 verhängte die niederländische Datenschutzbehörde (AP) eine DSGVO-Strafe in Höhe von 100 Millionen Euro gegen MLU B.V., den in den Niederlanden ansässigen Betreiber der Yango-Taxi-App und Tochterunternehmen des russischen Technologiekonzerns Yandex, wegen unrechtmäßiger Übermittlung personenbezogener Daten finnischer und norwegischer Nutzer nach Russland. Die Entscheidung datiert auf den 1. April 2026; die AP gab die Strafe am 8. Mai 2026 gemeinsam mit den Datenschutzbehörden Finnlands und Norwegens bekannt, die den Fall seit 2023 mituntersuchten. Das Unternehmen hatte EU-Standardvertragsklauseln unterzeichnet. Die AP kam zu dem Schluss, dass diese angesichts der Überwachungs- und Zugriffsmöglichkeiten in Russland unzureichend waren. Die Übermittlungen waren somit rechtswidrig.

Das ist die ganze Geschichte. SCCs sind kein Nachweis für ein angemessenes Schutzniveau. Sie sind ein Ausgangspunkt. Der Verantwortliche muss weiterhin nachweisen, dass das Rechtssystem des Drittlandes den Schutz der Daten auf einem „im Wesentlichen gleichwertigen“ Niveau wie in der EU ermöglicht. Gelingt dieser Nachweis nicht – und Russlands Überwachungsregime machte dies unmöglich – scheitert der vertragliche Mechanismus.

Das ist die Schrems-II-Logik in der Praxis. Der Europäische Gerichtshof hat 2020 entschieden, dass SCCs ergänzende Maßnahmen erfordern, wenn das Recht des Drittlandes systemische Zugriffsrisiken birgt. Sechs Jahre lang behandelte die Branche dieses Urteil als Theorie. Die niederländische AP hat daraus eine 100-Millionen-Euro-Rechnung gemacht.

Die Lehre gilt weit über Taxi-Plattformen und Russland hinaus. Jedes multinationale Unternehmen, das Offshore-Entwickler, Support-Teams, Analyse-Dienstleister oder Cloud-Regionen in Ländern mit starken staatlichen Zugriffsrechten nutzt, steht nun unter demselben rechtlichen Mikroskop. Entscheidend ist nicht, ob der Vertrag existiert. Entscheidend ist, ob die Architektur den Vertrag durchsetzbar macht.

Was die MLU-Entscheidung besonders schwer widerlegbar macht, ist die Argumentation der AP. Die Behörde kritisiert nicht die SCCs an sich. Sie stellt fest, dass SCCs allein die Zugriffsrechte ausländischer Regierungen nicht einschränken können. Das ist ein strukturelles, kein dokumentarisches Problem. Keine Vertragsklausel kann ein strukturelles Problem lösen. Die einzige Lösung ist, dass die Daten praktisch unerreichbar sind – durch Verschlüsselung mit EU-kontrollierten Schlüsseln, durch Durchsetzung der Datenresidenz, durch architektonische Kontrollen, die unabhängig von vertraglichem Wohlwollen funktionieren.

Was „ergänzende Maßnahmen“ in der Praxis wirklich bedeutet

Die AP-Entscheidung unterstreicht einen Begriff, den europäische Aufsichtsbehörden seit Jahren verwenden und den viele Verantwortliche unterschätzt haben: „ergänzende Maßnahmen“. Artikel 46 der DSGVO erlaubt Übermittlungen auf Basis geeigneter Garantien – aber nur, wenn diese tatsächlich wirken. Sind SCCs das gewählte Instrument, machen erst die ergänzenden Maßnahmen sie wirksam.

In der Praxis gibt es drei Kontrollkategorien.

  • Technische Kontrollen. Verschlüsselung mit Schlüsseln außerhalb des Drittlandes. Pseudonymisierung, bei der keine Entschlüsselung im Zielland erfolgen kann. Zugriffsprotokollierung, die dokumentiert, welche Stellen – auch staatliche – versucht haben, auf die Daten zuzugreifen. Die technische Architektur muss unbefugten Zugriff praktisch erschweren, nicht nur vertraglich verbieten.
  • Organisatorische Kontrollen. Dokumentierte Transfer Impact Assessments, die das Rechtssystem jedes Ziellandes bewerten. Lieferantenprüfungen, die Überwachungsgesetze berücksichtigen, nicht nur SOC-2-Berichte. Reaktionspläne für staatliche Zugriffsanfragen.
  • Vertragliche Kontrollen über SCCs hinaus. Freistellungsklauseln, Audit-Rechte, strengere Meldefristen bei Datenschutzverletzungen als die DSGVO vorsieht und Klauseln, die den Auftragsverarbeiter verpflichten, unrechtmäßige Zugriffsanfragen anzufechten. Diese ersetzen nicht die technischen und organisatorischen Kontrollen, sondern ergänzen sie.

Die niederländische AP bewertete die ergänzenden Maßnahmen von MLU angesichts des systemischen Überwachungsrisikos als unzureichend. Die Strafe ist der Preis dafür, „geeignete Garantien“ als reine Checkbox zu behandeln.

Warum Speichersouveränität keine Verarbeitungssouveränität ist

Die meisten Großunternehmen haben Speichersouveränität gelöst. Daten liegen in EU-Rechenzentren. Backups bleiben in der Region. Notfallwiederherstellungsstandorte sind dokumentiert. Die nächste Regulierungswelle stellt die schwierigere Frage: Wo werden die Daten tatsächlich verarbeitet – und reicht die Datensouveränität so weit?

Daten aus dem Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigen die Lücke deutlich: 29 % der Unternehmen nennen grenzüberschreitende Transfers über KI-Anbieter als zentrales Datenschutzrisiko. 30 % sehen das Handling durch Drittanbieter als zentrales Sicherheitsproblem. Aber nur 36 % haben Transparenz darüber, wie Partner Daten in KI-Systemen verarbeiten. Der Rest verlässt sich auf Verträge – genau diese Abhängigkeit hat die niederländische AP jetzt sanktioniert.

Der 2026 Forecast Report beschreibt den Wandel: von „Wo werden Daten gespeichert?“ zu „Wo werden sie verarbeitet, wer kann darauf zugreifen und können Sie das nachweisen?“ Speicher-Kontrollen beantworten die erste Frage. Die beiden anderen nicht.

Mit KI-Workloads wird das besonders relevant. Ein Prompt an einen Cloud-KI-Anbieter kann in einer anderen Jurisdiktion verarbeitet werden als der Speicherort. Das Modell kann in einem dritten Land gehostet und in einem vierten feinjustiert werden. Das Ergebnis kann mehrere Grenzen passieren. Traditionelle Souveränitätskontrollen – die davon ausgehen, dass Daten einen festen Ort haben – greifen hier nicht.

Die Entscheidung der niederländischen AP gilt für all das. Die rechtliche Frage ist nicht „Waren die Daten in der EU gespeichert?“ Die Frage ist: „Konnte ein Akteur im Drittland Zugriff erzwingen?“ Bei den meisten KI-Einsätzen ist die ehrliche Antwort: „Wir wissen es nicht.“

Diese ehrliche Antwort hat Folgen. Wenn die Aufsicht fragt, wo ein Prompt verarbeitet wurde, wo das Modell gehostet war und welches Recht für Zugriffsanfragen gilt, muss der Verantwortliche Belege liefern – keine Absichtserklärung. Verträge dokumentieren die Absicht. Architektur liefert die Beweise. Die MLU-Entscheidung schlägt die Brücke: Sie sanktioniert Absicht ohne Nachweis.

Der Fall Shein bestätigt das Muster

Drei Tage bevor die niederländische AP die Yango-Strafe öffentlich machte, gab die irische Datenschutzbehörde eine Untersuchung gegen Infinite Styles Services Co. Ltd. (Shein Ireland) wegen Übermittlungen von EU- und EWR-Nutzerdaten nach China bekannt. Die DPC leitete das Verfahren am 30. April 2026 nach Section 110 des Data Protection Act 2018 ein und machte es am 5. Mai 2026 öffentlich. Die Untersuchung prüft Rechtsgrundlage, Transparenz und Schutzmaßnahmen für die Auslandsverarbeitung über Sheins EMEA-Zentrale in Dublin.

Zwei Durchsetzungsmaßnahmen im selben Monat, zwei Hochrisiko-Zielländer, beide mit demselben rechtlichen Hebel: Schutzmaßnahmen für grenzüberschreitende Übermittlungen. Das ist kein Einzelfall mehr, sondern ein regulatorisches Muster.

China stellt dieselbe rechtliche Herausforderung wie Russland. Das PIPL enthält Beschränkungen für grenzüberschreitende Übermittlungen; Chinas Sicherheits- und Nachrichtengesetze enthalten Zugriffsrechte in die entgegengesetzte Richtung. Das bedeutet: Wer europäische Daten in chinesische Verarbeitungsinfrastrukturen verschiebt, steht vor demselben Schrems-II-Problem, das die niederländische AP gerade entschieden hat.

Der Shein-Fall ist noch nicht abgeschlossen. Aber die DPC kann nach DSGVO erhebliche Strafen verhängen – bis zu 4 % des weltweiten Umsatzes. Für eine große Verbraucherplattform ist das keine Theorie.

Die größere Implikation: Jedes Unternehmen mit Entwicklungs-, Analyse- oder Support-Teams in Ländern mit starken staatlichen Zugriffsrechten – nicht nur Russland und China, sondern auch andere von der EU in Angemessenheitsverfahren geprüfte Staaten – muss mit ähnlicher Prüfung rechnen. Die Datenschutzbehörden stimmen sich ab, der rechtliche Test ist harmonisiert, und das Budget für solche Fälle wächst.

Souveränität, die Sie nachweisen können: Der europäische Standard

Europäische Aufsichtsbehörden haben den neuen Standard seit Jahren angekündigt. Die Executive Summary des Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in Europe beschreibt den Wandel von „Wir glauben, wir sind compliant“ zu „Wir können nachweisen, wo Daten liegen, wie Zugriffe gesteuert werden und wie grenzüberschreitende Bewegungen verhindert oder dokumentiert werden“.

Der Europe Sovereignty Report benennt drei operative Säulen.

  • Kontrollen. Durchsetzung der Datenresidenz, Verschlüsselungsschlüssel-Verwahrung und Zugriffspolicies, die grenzüberschreitende Bewegungen auf Architekturebene verhindern. Nicht auf Policy-Ebene. Nicht auf Vertragsebene. Auf Architekturebene – das heißt: Die Daten können die Grenze nicht verlassen, weil das System es nicht zulässt, egal wer fragt.
  • Beweis-Artefakte. Exportierbare Audit-Trails, Datenresidenz-Protokolle und Compliance-Berichte, die Regulatoren und Kunden auf Abruf zufriedenstellen. Nicht quartalsweise. Auf Abruf.
  • Reaktionsbereitschaft. Erprobte Playbooks für staatliche Zugriffsanfragen, Ausfälle von Drittanbietern, Transfer Impact Assessments und Schrems-II-Compliance-Szenarien. Die Übung muss vor dem Vorfall stattfinden.

44 % der europäischen Befragten nennen Bedenken an den Souveränitätsgarantien von Anbietern als Hürde für die Nutzung europäischer Cloud-Lösungen – der höchste Wert aller Regionen. Der Markt hat den Anbietern gesagt, was er braucht. Die Aufsichtsbehörden haben es jetzt mit einer 100-Millionen-Euro-Strafe unterstrichen.

Der Kiteworks-Ansatz: Architektur statt Absicht

Kiteworks operationalisiert Datensouveränität auf Infrastrukturebene statt auf Policy-Ebene. Sicherer Datenaustausch unterstützt flexible Bereitstellungsoptionen – On-Premises, Private Cloud, Hybrid und FedRAMP –, sodass Unternehmen sensible Inhalte im eigenen Land speichern können, egal ob EU, Kanada, Naher Osten oder USA.

Die Verwahrung der Verschlüsselungsschlüssel bleibt in der jeweiligen Jurisdiktion. Geofencing wird durch konfigurierbare IP-Kontrollen durchgesetzt. E-Mail, Filesharing, Managed File Transfer, SFTP und Web-Formulare werden auf einer einzigen zero-trust Plattform konsolidiert, auf der jede Datei über ihren gesamten Lebenszyklus kontrolliert, nachverfolgt und geschützt wird. Die Architektur erzwingt die Datenresidenz. Genau das fordert die niederländische AP.

Auch die Audit-Dimension ist entscheidend. Zentrale, unveränderliche Audit-Logs und automatisiertes Compliance-Reporting – mit vorkonfigurierten Templates für DSGVO, DORA, NIS 2, PIPEDA, PDPL und weitere – liefern die exportierbaren Nachweise, die der Europe Sovereignty Report als operatives Unterscheidungsmerkmal zwischen Unternehmen mit Vorfällen und solchen ohne benennt. Wenn eine Aufsicht fragt, wo Daten verarbeitet wurden, liefert eine Abfrage im unveränderlichen Log die Antwort – kein forensischer Rückbau.

Für Unternehmen, die nach der MLU-Entscheidung ihre Datenübermittlungen neu bewerten, liefert der Kiteworks 2026 Forecast Report die richtige Perspektive: Ziel sind nicht bessere Verträge. Ziel ist ein einheitliches Governance-Framework, das auditfähige Dokumentation liefert – wie sie Regulatoren, Auditoren und Unternehmenskunden zunehmend verlangen.

Was CISOs und General Counsel jetzt tun sollten

  1. Geografie prüfen. Erfassen Sie alle Systeme, Dienstleister und Workflows, die europäische personenbezogene Daten grenzüberschreitend bewegen. Laut Kiteworks 2026 Forecast Report haben nur 36 % der Unternehmen Transparenz über das Datenhandling von Partnern in KI-Systemen – ein Wert, der die nächste DPC-Prüfung nicht überstehen wird. Beginnen Sie bei KI-Anbietern, dann Offshore-Entwicklungsteams, dann Analyse-Dienstleistern.
  2. SCCs als Schutzmaßnahme neu bewerten. Laut Kiteworks 2026 Forecast Report reichen vertragliche Schutzmaßnahmen allein gegen staatliche Zugriffsregime immer weniger aus. Behandeln Sie SCCs als eine Ebene einer Defense-in-Depth-Sicherheitsstrategie, nicht als die entscheidende Ebene. Ergänzen Sie technische Kontrollen – Verschlüsselung, Schlüsseltrennung, Durchsetzung der Datenresidenz – und dokumentieren Sie diese in aktualisierten Transfer Impact Assessments.
  3. Verarbeitungssouveränität nachweisen – nicht nur Speichersouveränität. Der Kiteworks 2026 Forecast Report zeigt: 29 % der Unternehmen erkennen grenzüberschreitende KI-Transfers als Risiko – aber Erkennen ist keine Kontrolle. Bauen Sie eine technische Architektur, die den Verarbeitungsort steuert, nicht nur den Speicherort. Für KI-Workloads ist das die größere und dringendere Herausforderung.
  4. Den Audit-Trail instrumentieren. Wenn eine Aufsicht fragt, wie ein Transfer ablief, muss die Antwort aus einem manipulationssicheren Log kommen – nicht aus einer Rekonstruktion. Der Kiteworks 2026 Forecast Report zeigt: 33 % der Unternehmen verfügen nicht über auditfähige Nachweise. Der Europe Sovereignty Report beschreibt exportierbare Audit-Trails als operatives Unterscheidungsmerkmal zwischen Unternehmen mit und ohne Souveränitätsvorfälle.
  5. Das Playbook vor dem Vorfall testen. Üben Sie die Reaktion auf staatliche Zugriffsanfragen. Üben Sie die Reaktion auf einen Ausfall eines Anbieters in einer Hochrisiko-Jurisdiktion. Die Entscheidung der niederländischen AP zeigt: Die Aufsicht bewertet die Reaktion anhand dokumentierter Vorbereitung, nicht guter Absichten. Tabletop-Übungen mit Legal, Security, Datenschutz und Geschäftsleitung sind die günstigste Versicherung gegen eine missglückte Prüfung.

Die MLU-Strafe betrug 100 Millionen Euro. Die Architektur, die sie verhindert hätte, kostet weniger. Die Rechnung für den Vorstand hat sich geändert. Was früher ein Posten der Datenschutzabteilung war, ist jetzt ein Eintrag im Unternehmensrisikoregister – und konkurriert mit Cybersecurity, Finanzkontrollen und operativer Resilienz. Unternehmen, die Datensouveränität als Architektur begreifen, sparen langfristig Geld – im Gegensatz zu denen, die sie als Papierübung behandeln. Die niederländische AP hat das teuer genug gemacht, um es ernst zu nehmen.

Häufig gestellte Fragen

Ja. Die Entscheidung der niederländischen AP stellt klar: SCCs allein reichen bei systemischen staatlichen Zugriffsrisiken im Zielland nicht aus. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt, dass nur 36 % der Unternehmen Transparenz über das Datenhandling von Partnern haben. Ergänzen Sie Verschlüsselung mit EU-kontrollierten Schlüsseln, dokumentieren Sie ein Transfer Impact Assessment und prüfen Sie, ob die Verarbeitung verlagert werden kann.

Finanzunternehmen haben das höchste kombinierte DSGVO- und branchenspezifische Risiko. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 29 % der Unternehmen sehen grenzüberschreitende Transfers über KI-Anbieter als zentrales Datenschutzrisiko. Das AP-Präzedenzfall legt nahe: Nur auf SCCs zu setzen, wird nicht bestehen. Architektonische Kontrollen – Durchsetzung der Datenresidenz, Schlüsselverwahrung in der Jurisdiktion – werden zum neuen Standard.

Behandeln Sie die Auswahl von KI-Anbietern als Transfer Impact Assessment, nicht als reinen Einkauf. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 30 % der Unternehmen sehen das Handling durch Drittanbieter als zentrales Sicherheitsproblem. Dokumentieren Sie das Trainingsland des Modells, den Inferenz-Standort und den Datenfluss. SCCs allein reichen bei staatlichen Zugriffsregimen nicht mehr aus.

Teilweise. Souveräne Cloud löst die Speichersouveränität. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 44 % der europäischen Befragten nennen fehlende Souveränitätsgarantien als Hürde. Die MLU-Entscheidung zielt auf Verarbeitungssouveränität – also darauf, wer auf die Daten zugreifen kann und unter welcher Jurisdiktion. Schlüsselverwahrung und Zugriffsprotokollierung sind die architektonischen Antworten.

Aufsichtsbehörden erwarten dokumentierte technische, organisatorische und vertragliche Schutzmaßnahmen sowie getestete Reaktionspläne. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 33 % der Unternehmen verfügen nicht über auditfähige Nachweise. Exportierbare Residenz-Protokolle, unveränderliche Zugriffslogs und dokumentierte Reaktionsbereitschaft sind die Beweis-Artefakte, die Regulatoren jetzt auf Abruf erwarten – nicht quartalsweise.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks