Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wie Sie europäischen Kunden Datenhoheit nachweisen: Von vertraglichen Zusicherungen bis zu architektonischen Nachweisen

Wie Sie europäischen Kunden Datenhoheit nachweisen: Von vertraglichen Zusicherungen bis zu architektonischen Nachweisen

von Marc ten Eikelder updated Februar 18, 2026 DSGVO-Compliance
Lesezeit: 11 Minuten

Europäische Beschaffungsteams akzeptieren Souveränitätszusagen nicht mehr ungeprüft. Datenschutzbeauftragte verlangen vor Vertragsabschluss Transfer Impact Assessments. Sicherheitsarchitekten fragen gezielt nach der Schlüsselverwaltungsarchitektur, nicht nur nach Klauseln zur Datenresidenz. Die Lücke zwischen vertraglichen Souveränitätsversprechen und dem technischen Nachweis, der diese stützt, hat direkte kommerzielle Auswirkungen: Anbieter, die Belege liefern können, gewinnen Aufträge; Anbieter, die das nicht können, verlieren sie oder müssen Haftungsklauseln akzeptieren, die die Unsicherheit des Käufers widerspiegeln.

Dieser Beitrag zeigt die drei Kategorien von Souveränitätsnachweisen, die europäische Kunden heute verlangen – vertraglich, technisch und operativ – und erklärt, wie glaubwürdige Nachweise in jeder Kategorie aussehen.

Executive Summary

Kernaussage: Europäische B2B-Kunden führen strenge Souveränitätsprüfungen durch, getrieben durch die Durchsetzung nach Schrems II, die Kontrolle der Auftragsverarbeiterkette und branchenspezifische Pflichten nach NIS 2 und DORA. Vertragliche Zusagen – DPAs, Klauseln zur Datenresidenz, Subunternehmerlisten – sind notwendig, aber nicht mehr ausreichend. Kunden verlangen technische Nachweise, dass die Architektur das liefert, was der Vertrag verspricht: vom Kunden kontrollierte Verschlüsselungsschlüssel in EWR-kontrollierter Hardware, Single-Tenant-Bereitstellung und Geofencing auf Infrastrukturebene.

Warum das wichtig ist: Die Durchsetzung der DSGVO-Compliance verlagert sich auf die Überprüfung der Lieferkette. Verantwortliche müssen nachweisen, dass ihre Auftragsverarbeiter denselben Souveränitätsstandards genügen wie sie selbst. Können Ihre Kunden ihren Aufsichtsbehörden nicht belegen, dass Ihre Plattform ihre Daten schützt, verlieren Sie den Auftrag – oder werden gemeinsam mit ihnen in einem Verfahren genannt.

5 wichtige Erkenntnisse

  1. Europäische Kunden unterscheiden zwischen Souveränitätsversprechen und Souveränitätsnachweis. Eine Souveränitätsklausel im DPA dokumentiert Ihre Zusage. Architekturdokumentation, die vom Kunden kontrollierte Verschlüsselungsschlüssel in dessen Jurisdiktion nachweist, zeigt, was tatsächlich umgesetzt wurde. Anspruchsvolle Käufer und ihre Datenschutzbeauftragten kennen diesen Unterschied – und fordern beides ein.
  2. Vertragliche Souveränitätszusagen haben eine strukturelle Grenze. Ein DPA kann eine US-CLOUD-Act-Anfrage an die Infrastruktur eines US-Anbieters nicht verhindern. Keine vertragliche Zusage löst das Problem der Jurisdiktion. Nur eine Architektur, bei der Verschlüsselungsschlüssel außerhalb der Kontrolle des Anbieters liegen, kann diese Lücke schließen – und genau das ist es, worauf Datenschutzbeauftragte jetzt geschult sind.
  3. Alle drei Nachweiskategorien sind erforderlich. Verträge schaffen Verantwortlichkeit. Die technische Architektur belegt die Fähigkeit. Operative Nachweise – Audit-Logs, Zugriffsprotokolle, Incident-Reports – belegen die kontinuierliche Compliance. Ein Anbieter, der alle drei liefert, ist deutlich besser aufgestellt als einer, der nur den ersten Punkt erfüllt.
  4. Schlüsselmanagement ist die entscheidende technische Frage. Wo Schlüssel gespeichert werden und wer Zugriff hat, entscheidet, ob Verschlüsselung echte Souveränität bringt oder nur vorgibt. Schlüssel in der Infrastruktur des Anbieters – selbst wenn sie als „kundengesteuert“ bezeichnet werden – unterliegen der Jurisdiktion des Anbieters. Schlüssel in einer vom Kunden kontrollierten HSM-Integration außerhalb der Anbieterumgebung nicht.
  5. Zertifizierungen sind notwendig, aber nicht ausreichend. ISO 27001, SOC2 und FIPS belegen die Reife des Sicherheitsprogramms – sie sind Grundvoraussetzung. Sie adressieren jedoch nicht die Frage der Jurisdiktion. Ein Kunde, der nach CLOUD-Act-Risiken fragt, ist mit einem ISO-27001-Zertifikat nicht zufrieden; er braucht Architekturdokumentation, die die Jurisdiktionsfrage direkt adressiert.

Warum vertragliche Zusagen nicht mehr ausreichen

Das Standardpaket an Souveränitätsdokumenten – ein Auftragsverarbeitungsvertrag nach DSGVO Art. 28, Standardvertragsklauseln für internationale Übermittlungen, eine Subunternehmerliste und eine Zusage zur Datenresidenz – stand schon vor Schrems II unter Beobachtung. Nach Schrems II ist es als alleinige Souveränitätsstrategie für Datenverarbeitung durch US-verbundene Anbieter klar unzureichend.

Der Grund ist strukturell. Verträge regeln Beziehungen zwischen Parteien; sie setzen aber die gesetzlichen Pflichten, die sich aus Sitz oder Eigentumsverhältnissen ergeben, nicht außer Kraft. Ein US-Anbieter, der einen umfassenden DPA mit einem europäischen Kunden abgeschlossen hat, unterliegt dennoch US-CLOUD-Act-Anfragen für Daten, die er kontrolliert – unabhängig vom Inhalt des DPA. DSGVO Art. 48 verbietet Übermittlungen an Nicht-EU-Behörden auf Basis ausländischer Anordnungen allein – verhindert aber weder, dass US-Behörden solche Anordnungen erlassen, noch dass US-Unternehmen verpflichtet sind, ihnen nachzukommen. Der DPA dokumentiert die Absicht des Anbieters; er ändert aber nichts an dessen rechtlicher Exponierung.

Die Rechts- und Compliance-Teams europäischer Kunden kennen diesen Unterschied. Nach Schrems II sind Datenschutzbeauftragte darauf geschult, gezielt danach zu fragen. DPA-Prüfungen – einschließlich der Verfahren, die seit 2018 zu über 5,88 Milliarden Euro DSGVO-Bußgeldern geführt haben – konzentrieren sich zunehmend auf Datenflüsse in der Lieferkette und darauf, ob Verantwortliche ausreichende Nachweise über die tatsächliche technische Architektur ihrer Auftragsverarbeiter haben. Die Frage lautet nicht mehr „Haben Sie die richtigen Verträge unterschrieben?“, sondern „Was macht Ihre Architektur tatsächlich mit unseren Daten?“

Eine vollständige Checkliste für die DSGVO-Compliance

Jetzt lesen

Kategorie 1: Vertragliche Nachweise – Was Verträge tatsächlich enthalten müssen

Verträge bleiben das Fundament des Souveränitätsnachweises. Sie schaffen den Verantwortlichkeitsrahmen, in dem technische und operative Nachweise greifen. Aber nicht alle Verträge sind gleichwertig, und die Rechtsabteilungen europäischer Käufer prüfen zunehmend die Substanz der DPAs, statt Standardformulierungen zu akzeptieren.

Was ein glaubwürdiger DPA abdecken muss

Ein Souveränitäts-DPA geht über die Mindestanforderungen aus DSGVO Art. 28 hinaus. Er sollte die technischen und organisatorischen Maßnahmen, die Souveränität gewährleisten, konkret benennen – nicht nur „angemessene“ Maßnahmen zusagen –, einschließlich der eingesetzten Verschlüsselungsstandards, der Schlüsselverwaltungsarchitektur und des Bereitstellungsmodells. Subunternehmer und deren Jurisdiktionen sollten explizit genannt werden, mit einem Benachrichtigungsmechanismus bei Änderungen, der dem Kunden ein echtes Prüfungsrecht einräumt. CLOUD Act und FISA Section 702 sollten explizit adressiert werden – mit Anerkennung der Jurisdiktionsrisiken und Benennung der technischen Maßnahmen, die diese mindern. Verträge, die zum CLOUD-Act-Risiko schweigen, werden von Datenschutzbeauftragten zunehmend als Hinweis gewertet, dass der Anbieter sich mit dem Souveränitätsthema nicht ernsthaft auseinandergesetzt hat.

Das Subunternehmerregime verdient besondere Aufmerksamkeit. Europäische Kunden wissen, dass die Souveränitätszusagen eines Anbieters nur so stark sind wie das schwächste Glied in der Subunternehmerkette. Ein europäischer Anbieter, der Daten über einen US-basierten Cloud-Service-Provider, eine Analyseplattform oder ein Supportsystem leitet, hat ein Subunternehmer-Souveränitätsproblem, das der Haupt-DPA nicht kaschieren kann. Die Rechtsabteilungen der Kunden prüfen Subunternehmerlisten gezielt auf US-Jurisdiktionsrisiken, und Anbieter, die keine Souveränitätskontrollen auf Subunternehmer-Ebene nachweisen können, werden Fragen erhalten, die sie mit Verträgen allein nicht beantworten können.

Transfer Impact Assessments als kundenseitige Dokumente

Transfer Impact Assessments werden von europäischen Kunden zunehmend als Teil der Beschaffungsprüfung angefordert – nicht nur intern als Compliance-Dokumentation geführt. Ein TIA, das CLOUD-Act- und FISA-702-Risiken benennt, bewertet, wie diese Gesetze die Wirksamkeit der SCCs beeinflussen, und dann nachweist, dass vom Kunden kontrollierte Verschlüsselungsschlüssel außerhalb der Anbieterinfrastruktur einen im Wesentlichen gleichwertigen Schutz bieten, ist das glaubwürdigste Souveränitätsdokument, das ein Anbieter einem Datenschutzbeauftragten vorlegen kann. Es zeigt, dass sich der Anbieter ernsthaft mit dem Rechtsrahmen auseinandergesetzt hat, statt nur Compliance-Checkboxen abzuhaken.

Anbieter sollten TIAs als lebende Dokumente behandeln und bereit sein, redigierte Versionen im Beschaffungsprozess zu teilen. Ein TIA, das zuletzt 2021 aktualisiert wurde und aktuelle Durchsetzungstrends nicht abbildet, wirft mehr Fragen auf, als es beantwortet. Ein TIA, das den aktuellen Durchsetzungsrahmen, die strukturelle Fragilität des DPF und die spezifischen architektonischen Maßnahmen des Anbieters berücksichtigt, belegt kontinuierliches Engagement für Datenschutz-Compliance – und nicht nur eine historische Übung.

Kategorie 2: Technische Nachweise – Was die Architektur tatsächlich liefert

Technische Nachweise machen die Lücke zwischen Souveränitätsversprechen und Souveränitätsrealität am deutlichsten sichtbar. Architekturdokumentation, die zeigt, wie die Plattform Daten tatsächlich verarbeitet – wo sie verschlüsselt werden, wer die Schlüssel hält, wie die Isolierung der Bereitstellung erfolgt – ist die Nachweiskategorie, die Datenschutzbeauftragte und Sicherheitsarchitekten am sorgfältigsten prüfen und die viele Anbieter am wenigsten überzeugend liefern können.

Verschlüsselungsarchitektur und Schlüsselmanagement

Die entscheidende technische Frage bei jeder Souveränitätsbewertung ist das Schlüsselmanagement. Wo werden Verschlüsselungsschlüssel gespeichert? Wer hat Zugriff? Unter wessen Jurisdiktion steht die Schlüsselverwaltungsinfrastruktur? Diese Fragen entscheiden, ob Verschlüsselung echte Souveränität bringt oder nur den Anschein davon.

Vom Kunden kontrollierte Verschlüsselungsschlüssel – generiert und gehalten vom Kunden in Hardware-Sicherheitsmodulen unter dessen exklusiver Kontrolle, innerhalb seiner Jurisdiktion – ist die Architektur, die die Empfehlungen 01/2020 des EDSA als geeignet zur Adressierung von US-Überwachungsgesetzen benennen. Verlassen Schlüssel nie die kontrollierte Umgebung des Kunden, erreicht eine CLOUD-Act-Anfrage an den Anbieter zwar dessen Infrastruktur, kann aber keine lesbaren Daten liefern. Die rechtliche Exponierung des Anbieters wird irrelevant, weil er technisch nicht in der Lage ist, selbst auf Anordnung Daten herauszugeben.

Anbieter, die glaubwürdige technische Souveränitätsnachweise liefern wollen, sollten vorlegen können: Architekturdiagramme mit Darstellung der Verschlüsselung im Datenfluss, Dokumentation zum Schlüsselmanagement, die belegt, dass Schlüssel in kundengesteuerter Infrastruktur liegen, FIPS-140-3-Level-1-zertifizierte Verschlüsselung und Nachweise zur HSM-Bereitstellung. Anbieter, deren Schlüsselmanagement Schlüssel in der eigenen Cloud-Infrastruktur platziert – auch wenn dies in Marketingmaterialien als „kundengesteuert“ bezeichnet wird – sollten Kunden gegenüber ehrlich sein, was das tatsächlich bedeutet, denn Datenschutzbeauftragte werden gezielt nachfragen.

Bereitstellungsarchitektur und Mandantenisolation

Multitenant-Cloud-Architekturen – Standard bei den meisten SaaS-Anbietern – bergen ein Souveränitätsrisiko, das unabhängig von der Jurisdiktionsfrage ist, aber für anspruchsvolle Kunden ebenso relevant. In einer Multitenant-Umgebung teilen sich verschlüsselte Daten und Schlüssel mehrerer Organisationen die gleiche Infrastruktur. Ein einziger Kompromittierungsfall kann mehrere Kunden gleichzeitig betreffen. Für europäische Unternehmen, die regulierte personenbezogene Daten, geschäftskritische Informationen oder rechtlich geschützte Kommunikation verarbeiten, ist dieses Vermischungsrisiko ein reales Souveränitätsproblem – kein theoretisches.

Single-Tenant-Bereitstellung – bei der jede Kundenumgebung vollständig isoliert ist, mit dedizierter Infrastruktur, eigenen Verschlüsselungsschlüsseln und ohne geteilte Ressourcen mit anderen Kunden – eliminiert dieses Risiko vollständig. Technische Nachweise, die Kunden anfordern sollten, umfassen Dokumentation zur Bereitstellungsarchitektur mit Nachweis der Mandantenisolation, Nachweise zur Netzwerksegmentierung und unabhängige Bestätigung, dass keine geteilte Infrastruktur zwischen Mandantenumgebungen besteht. Anbieter, die Single-Tenant-Bereitstellung als sichere Option anbieten – On-Premises, in einer kundengesteuerten Private Cloud oder als dedizierte gehostete Instanz – sind deutlich besser aufgestellt, um diese Nachweisanforderungen zu erfüllen, als reine Multitenant-Cloud-Anbieter.

Geofencing und Nachweis der Datenresidenz

Vertragliche Zusagen zur Datenresidenz sind üblich. Die technische Durchsetzung der Datenresidenz auf Infrastrukturebene ist seltener – und genau darauf kommt es Kunden an, die ihren Aufsichtsbehörden Datenlokalisierung nachweisen müssen. Vertragliche Zusagen sagen dem Kunden, wo Daten gespeichert werden sollen. Geofencing-Kontrollen – IP-Allow- und Block-Lists auf Infrastrukturebene, konfigurierbar nach Jurisdiktion – zeigen, wo Daten tatsächlich gespeichert werden, und liefern einen überprüfbaren Nachweis dafür.

Das technische Nachweispaket zur Datenresidenz sollte Infrastrukturkonfigurationen mit Geofencing-Kontrollen, unabhängige Verifizierung der Speicherorte und die Möglichkeit, auf Abruf jurisdiktionsspezifische Speicherberichte zu generieren, umfassen. Für deutsche Kunden mit BDSG-Pflichten, französische Kunden mit ANSSI-Anforderungen, niederländische Kunden unter AP-Prüfung oder britische Kunden mit UK-DSGVO-Vorgaben ist die Fähigkeit, nachzuweisen – nicht nur zu behaupten –, dass Daten in der geforderten Jurisdiktion verblieben sind, der Nachweis, der eine Datenresidenzklausel in echten Souveränitätsschutz verwandelt.

Kategorie 3: Operative Nachweise – Kontinuierliche Compliance belegen

Die technische Architektur zeigt, was ein System leisten kann. Operative Nachweise zeigen, was es tatsächlich kontinuierlich leistet. Das ist entscheidend, denn Architekturdokumentation ist eine Momentaufnahme; Audit-Logs und Betriebsaufzeichnungen belegen die laufende Compliance. Europäische Kunden unter regulatorischer Beobachtung müssen kontinuierliche Compliance nachweisen – nicht nur ein Architektur-Snapshot – und benötigen dafür die Unterstützung ihrer Anbieter.

Unveränderliche Audit-Logs als Souveränitätsnachweis

Umfassende, unveränderliche Audit-Logs, die alle Datenzugriffe, Dateibewegungen, Benutzeraktivitäten und Systemereignisse abdecken, sind die operative Nachweisschicht, die architektonische Souveränitätsaussagen in belegbare Compliance-Historie überführt. Ein Audit-Log, das dokumentiert, wer wann auf welche Daten zugegriffen hat, von welchem Standort, unter welcher Zugriffsrichtlinie und über welche Anwendung – und das kryptografisch gegen Manipulation geschützt ist – kommt einem kontinuierlichen Compliance-Nachweis am nächsten.

Für Kunden, die dem Rechenschaftsprinzip aus DSGVO Art. 5(2) unterliegen, ist die Fähigkeit, nachzuweisen, dass eine Plattform kontinuierlich Souveränitätskontrollen eingehalten hat – nicht nur bei der Implementierung – direkt relevant für die eigene Compliance. Anbieter sollten Kunden Zugriff auf Audit-Log-Exporte zu ihren Daten auf Abruf und in Formaten bieten, die das eigene Compliance-Reporting unterstützen. Das Kiteworks CISO Dashboard bietet diese zentrale Transparenz – jeder Dateiaustausch, jedes Zugriffsereignis, jede Richtliniendurchsetzung – in einer Oberfläche, die sowohl kundenseitige Nachweiserstellung als auch die eigene operative Kontrolle unterstützt.

Zugriffskontrollnachweise und das Zero-Trust-Prinzip

Zugriffskontrollen sind der operative Mechanismus, mit dem Souveränitätsarchitektur praktisch durchgesetzt wird. Ein Souveränitätsversprechen ist nur so stark wie das Vertrauen, dass ausschließlich autorisierte Personen Zugriff erhalten – und dass Zugriffsereignisse protokolliert, überprüfbar und bestimmten Benutzeridentitäten, Rollen und Berechtigungen zugeordnet sind. Rollenbasierte Zugriffskontrollen mit Least-Privilege-Standard, Multi-Faktor-Authentifizierung und granularen Berechtigungsstrukturen sind die operativen Kontrollen, die Verschlüsselungsarchitektur in der Praxis wirksam machen.

Das zero-trust-Prinzip für den Datenaustausch – niemals vertrauen, immer verifizieren, auf Inhaltsebene – ist die operative Philosophie, die europäische Kunden zunehmend nicht nur behauptet, sondern nachgewiesen sehen wollen. Nachweise umfassen: Konfigurationsaufzeichnungen zu Zugriffskontrollen mit Rollendefinitionen und Berechtigungszuweisungen, Authentifizierungsprotokolle als Nachweis der Durchsetzung sowie Aufzeichnungen zu etwaigen Richtlinienüberschreibungen mit Autorisierungskette. Anbieter, deren Plattformen zero-trust-Prinzipien auf Inhaltsebene durchsetzen – bei denen Zugriffsentscheidungen pro Datei, pro Anwender, pro Aktion und nicht am Netzwerkperimeter getroffen werden – sind deutlich besser aufgestellt, diese Nachweise zu liefern, als Anbieter mit perimeterbasierten Kontrollen.

Incident Response und Meldebereitschaft bei Datenschutzvorfällen

Europäische Kunden verlangen zunehmend Nachweise, dass Anbieter getestete und dokumentierte Incident-Response-Fähigkeiten haben – nicht nur einen Plan auf dem Papier. Die 72-Stunden-Meldepflicht der DSGVO schafft eine echte operative Abhängigkeit von der Fähigkeit der Anbieter, Vorfälle rechtzeitig zu erkennen, einzudämmen und zu melden. NIS 2 bringt eigene Meldepflichten für Betreiber kritischer Infrastrukturen und wichtige Einrichtungen, einschließlich Anforderungen an die Meldung von Vorfällen in der Lieferkette. Anbieter, deren Plattformen getestete Incident-Erkennung, einen dokumentierten Incident-Response-Plan und ein klares Meldeverfahren – mit Nachweisen aus der Praxis – vorlegen können, liefern operative Souveränitätsnachweise, die generische Sicherheitszertifikate nicht ersetzen können.

Wie Zertifizierungen ins Souveränitätsnachweispaket passen

Compliance-Zertifizierungen – ISO-27001-Compliance, SOC2-Type-II-Zertifizierung, FIPS-140-3-Validierung – sind für europäische Unternehmensanbieter Grundvoraussetzung. Sie belegen, dass ein Sicherheitsprogramm existiert, unabhängig geprüft wurde und anerkannte Standards erfüllt. Sie gehören als Nachweis der Programmreife ins Souveränitätsnachweispaket. Was sie nicht leisten: Sie adressieren nicht explizit die Frage der Jurisdiktion, CLOUD-Act-Risiken oder das Schlüsselmanagement. Ein ISO-27001-Zertifikat belegt systematisches Informationssicherheitsmanagement. Es belegt aber nicht, dass die Verschlüsselungsschlüssel des Anbieters außerhalb der US-Jurisdiktion liegen. Datenschutzbeauftragte, die letzteres wissen wollen, geben sich mit ersterem nicht zufrieden – und Anbieter, die Zertifikate als Ersatz für architektonische Souveränitätsnachweise präsentieren, werden mit Nachfragen konfrontiert, auf die sie nicht vorbereitet sind.

Die richtige Einordnung ist: Zertifikate bilden das Vertrauensfundament, auf dem technische Souveränitätsnachweise aufbauen. Ein Anbieter mit ISO 27001 und SOC2 Type II, dazu Architekturdokumentation zu kundengesteuertem Schlüsselmanagement und Single-Tenant-Bereitstellung sowie einem aktuellen TIA zur CLOUD-Act-Exponierung, präsentiert ein vollständiges Souveränitätsnachweispaket. Ein Anbieter mit nur Zertifikaten liefert das Fundament ohne das Gebäude.

Wie Kiteworks Anbietern hilft, europäischen Kunden Datensouveränität nachzuweisen

Europäische B2B-Kunden werden in Sachen Souveränitätsnachweise nicht weniger anspruchsvoll. Anbieter, die in den Aufbau des vertraglichen, technischen und operativen Nachweispakets investieren, das anspruchsvolle Käufer heute verlangen, gewinnen nicht nur einzelne Aufträge – sie schaffen sich einen Wettbewerbsvorteil, der mit zunehmender Regulierung immer schwerer einzuholen ist.

Kiteworks ist darauf ausgelegt, Souveränitätsnachweise zu liefern – nicht nur Souveränitätsarchitektur. Das Private Data Network wird als Single-Tenant-Instanz bereitgestellt – On-Premises, Private Cloud oder von Kiteworks gehostet – mit vom Kunden verwalteten AES-256-Verschlüsselungsschlüsseln, die in einer jurisdiktionskontrollierten HSM-Integration liegen, auf die Kiteworks keinen Zugriff hat. Architekturdiagramme, Nachweise zum Schlüsselmanagement und Dokumentation zur Bereitstellungsisolation stehen zur Unterstützung der Kundensorgfalt und zur Vorbereitung von Transfer Impact Assessments bereit.

Das CISO Dashboard liefert die operative Nachweisschicht – unveränderliche Audit-Logs zu jedem Datenaustausch, jedem Zugriffsereignis und jeder Richtliniendurchsetzung über alle Kanäle, exportierbar in Formaten, die das Compliance-Reporting der Kunden unterstützen. Geofencing-Kontrollen auf Infrastrukturebene, konfigurierbar nach Jurisdiktion, liefern den Nachweis der Datenresidenz, den vertragliche Zusagen nicht ersetzen können. FIPS-140-3-Level-1-validierte Verschlüsselung, ISO-27001-Compliance, SOC2-Type-II-Zertifizierung und Compliance-Dokumentation für DSGVO-Compliance, NIS2-Compliance und DORA-Compliance vervollständigen die Zertifikateschicht.

Erfahren Sie, wie Kiteworks Ihr Souveränitätsnachweispaket unterstützt – vereinbaren Sie eine individuelle Demo.

Häufig gestellte Fragen

Eine Souveränitätszusage ist eine vertragliche Verpflichtung – zum Beispiel eine Datenschutzklausel im DPA oder eine Zusage zur Datenresidenz im Vertrag. Ein Souveränitätsnachweis ist der technische und operative Beleg, dass die Architektur das tatsächlich liefert, was der Vertrag verspricht: vom Kunden kontrollierte Verschlüsselungsschlüssel außerhalb der Anbieterinfrastruktur, Single-Tenant-Bereitstellung zur Vermeidung von Datenvermischung, Geofencing auf Infrastrukturebene und unveränderliche Audit-Logs als Nachweis kontinuierlicher Compliance.

Verträge regeln die Beziehung zwischen Parteien – sie setzen aber die gesetzlichen Pflichten aufgrund von Sitz oder Jurisdiktion des Anbieters nicht außer Kraft. Ein US-Anbieter unterliegt CLOUD-Act-Anfragen – unabhängig vom Inhalt des DPA. Die einzige Lösung ist eine Architektur, bei der der Anbieter weder unverschlüsselte Daten noch Verschlüsselungsschlüssel hält – sodass eine technische Erfüllung einer Datenanforderung unmöglich ist. Standardvertragsklauseln dokumentieren Absicht, können aber keinen architektonischen Schutz ersetzen.

Ein vollständiges Souveränitätsnachweispaket umfasst: ein aktuelles Transfer Impact Assessment zu CLOUD-Act- und FISA-702-Risiken; Architekturdiagramme zu Schlüsselmanagement und Bereitstellungsisolation; Nachweise zur HSM-Integration und FIPS-140-3-Level-1-validierte Verschlüsselung; eine Subunternehmerliste mit Jurisdiktionsangaben; ISO-27001- und SOC2-Zertifikate; Nachweise zur Geofencing-Konfiguration sowie Audit-Log-Exportbeispiele als Beleg für kontinuierliches Compliance-Monitoring.

In Multitenant-Architekturen teilen sich Daten und Schlüssel mehrerer Organisationen eine Infrastruktur – ein einziger Kompromittierungsfall kann mehrere Kunden betreffen, und die Jurisdiktion des Anbieters gilt für alle. Single-Tenant-Bereitstellung bietet vollständige Isolierung: dedizierte Infrastruktur, vom Kunden kontrollierte Verschlüsselungsschlüssel, keine geteilten Ressourcen mit anderen Mandanten. Das eliminiert das Vermischungsrisiko und macht die Architekturdokumentation zu einem deutlich stärkeren Souveränitätsnachweis für Kunden und Aufsichtsbehörden.

Die Sicherheitsanforderungen an die Lieferkette nach NIS 2 bedeuten, dass Betreiber kritischer Infrastrukturen und wichtige Einrichtungen die Sicherheitslage ihrer Anbieter im Rahmen ihres eigenen Compliance-Programms überprüfen müssen. Organisationen mit NIS2-Compliance-Pflichten werden Architekturdokumentation, Audit-Logs und Incident-Response-Nachweise als Standardanforderung im Beschaffungsprozess verlangen. Anbieter sollten dieses Paket bereithalten – NIS-2-pflichtige Kunden akzeptieren keine Zusicherungen anstelle von Nachweisen.

Weitere Ressourcen 

  • Blogbeitrag  
    Datensouveränität: Best Practice oder regulatorische Pflicht?
  • eBook  
    Datensouveränität und DSGVO
  • Blogbeitrag  
    Vermeiden Sie diese Fallstricke bei der Datensouveränität
  • Blogbeitrag  
    Datensouveränität Best Practices
  • Blogbeitrag  
    Datensouveränität und DSGVO [Verstehen Sie Datensicherheit]

    •  

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks