Contact us!

Datensouveränität und die Realität externer Zugriffsrechte

  • Home
  • Insights
  • Blog
Headergrafik zum Thema Datensouveränität und Datenzugriff: Gegenüberstellung von europäischem Datenstandort und möglichen externen Zugriffsrechten unter US-Recht.

Lange war die Sache klar: IT-Infrastruktur war eine operative Entscheidung. Man wählte den günstigsten Anbieter, den schnellsten Weg in die Cloud, und das Thema wanderte vom Vorstand in die IT-Abteilung.

Das hat sich verändert — nicht durch ein einzelnes Ereignis, sondern durch die stille Kumulation von Entwicklungen, die heute zusammen eine neue Logik ergeben.

Standort Österreich: Wann US-Behörden auf Ihre Cloud-Daten zugreifen können

Im Dezember 2025 wurde ein Rechtsgutachten der Universität Köln — im Auftrag des deutschen Bundesinnenministeriums erstellt — öffentlich. Der Befund, bezieht sich auf europäische Rechenzentren, somit auch Österreich: US-Behörden können auf Basis des CLOUD Acts und des FISA 702 US-Unternehmen verpflichten, Daten herauszugeben – auch wenn diese physisch in europäischen Rechenzentren gespeichert sind. Denn entscheidend ist dabei nicht der physische Speicherort, sondern die Frage, ob ein US-amerikanisches Unternehmen die Daten in seinem Besitz, seiner Verwahrung oder unter seiner Kontrolle hat („possession, custody or control“).

Und das ist kein deutsches Problem. Es betrifft jedes österreichische Unternehmen, das Dienste von US-Cloud-Anbietern nutzt,  egal ob das Rechenzentrum in Wien, Frankfurt oder Dublin steht.

Und Österreich hat in diesem Punkt sogar mehr Präzedenz als Deutschland: Die österreichische Datenschutzbehörde war EU-weit die erste Behörde, die in einem konkreten Bescheid (Teilbescheid vom 22.12.2021, GZ D155.027, 2021‑0.586.257) – dem Google‑Analytics‑Verfahren – den praktischen Konflikt zwischen US‑Überwachungsgesetzen wie FISA 702 und den Anforderungen der DSGVO aufgezeigt hat. Die Behörde verneinte in diesem Fall das angemessene Schutzniveau nach Art. 44 DSGVO, da US-Überwachungsgesetze wie FISA 702 den Anbieter zur Datenherausgabe verpflichten können.

Die entscheidende Frage lautet daher nicht mehr: Wo liegen unsere Daten?
Sondern: Wer hat im Hintergrund rechtliche Zugriff auf die Daten – und welcher Rechtsordnung unterliegt der Dienstleister, wenn es drauf ankommt?

Quellen:

Der Markt hat den Trend verstanden

Das Thema ist längst bekannt und keine Nischendiskussion mehr.

Neun von zehn Unternehmen in der DACH-Region setzen bereits Maßnahmen zur digitalen Souveränität um oder planen diese. Gartner prognostiziert, dass Europas Ausgaben für souveräne Cloud-Infrastruktur von 6,9 Milliarden Dollar (2025) auf 23,1 Milliarden Dollar (2027) steigen werden. Laut Flexera wurden 23 Prozent der Cloud-Workloads bereits zurück in lokale Umgebungen verlagert (Stand 2026), 83 Prozent der CIOs haben das Thema auf der Agenda.

Das Vertrauen in US-Technologieanbieter ist dabei messbar gesunken: Anfang 2025 vertrauten noch 51 Prozent der deutschsprachigen Unternehmen den USA als IT-Lieferanten — nach den geopolitischen Verwerfungen sank dieser Wert auf 38 Prozent. (Quelle: Bitkom-Research, Studie zur Chip-/IT-Versorgung 2025).

Geopolitik ist damit in die IT-Strategie eingedrungen. Und sie bleibt dort.

Quellen & weiterführende Links:

Regulatorik macht Kontrolle zur Pflicht

Parallel zur Diskussion rund um US-Zugriffsrechte hat sich das rechtliche Umfeld in Österreich grundlegend verändert.

Das NISG 2026 — die österreichische Umsetzung der EU-Richtlinie NIS-2, im Dezember 2025 beschlossen und mit 1. Oktober 2026 in Kraft tretend —  erfasst nach aktuellen Schätzungen rund 4.000 österreichische Unternehmen, über Lieferketten noch erheblich mehr. Wer als IT-Dienstleister, Zulieferer oder Partner von betroffenen Betrieben tätig ist, kann ohne eigenes Zutun in den Geltungsbereich fallen. Das Gesetz verlangt nachweisbares Risikomanagement, dokumentierte Sicherheitsprozesse und Business-Continuity-Konzepte — mit Sanktionen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – ja nachdem, welcher Betrag höher ist.

Der Digital Operational Resilience Act (DORA) ist seit Jänner 2025 anwendbar und macht die Steuerung externer IT-Anbieter zur regulierten Governance-Frage — besonders für Finanzunternehmen und ihre IT-Partner. Wer kritische Funktionen auf einen einzigen, außereuropäischen Cloud-Hyperscaler aufgebaut hat, muss dieses Konzentrationsrisiko aktiv managen und dokumentieren.

Der EU Data Act, seit September 2025 in Kraft, verpflichtet Cloud‑Anbieter zu standardisierten Wechselmöglichkeiten und macht Cloud‑Switching‑Entgelte (Wechselgebühren beim Umzug von Daten) ab 2027 grundsätzlich unzulässig. Die EU behandelt damit fehlende Wechselmöglichkeiten und Lock‑in‑Effekte offiziell als strukturelles Risiko – und gibt Unternehmen erstmals ein klares Recht, aus unpassenden Cloud‑Modellen auszusteigen. In der aktuellen Übergangsphase müssen Wechselentgelte an tatsächlich anfallende, nachweisbare Kosten gebunden sein; pauschale Straf- oder Abschreckungsgebühren sind nicht mehr zulässig.

Was früher eine technische Beschaffungsfrage war, ist heute eine Compliance- und Governance-Aufgabe auf Vorstandsebene.

Infografik zu NIS2, DORA und Data Act mit Zeitstrahl 2025–2026 sowie Übersicht der wichtigsten Compliance-Anforderungen für österreichische Unternehmen.
Erstellt mit KI

Quellen & weiterführende Links:

Dazu kommt: die Ressourcen fehlen

Lt. WKÖ/Fachverband UBIT gibt es aktuell 28.000 offene IT-Stellen in Österreich, drei von vier Unternehmen können IT-Positionen nicht besetzen. Das ist kein vorübergehendes Problem, sondern ein strukturelles.

Die steigenden Anforderungen an Security, Governance und Compliance übersteigen das, was mittlere Unternehmen intern dauerhaft leisten können. Selbst wenn der Wille da ist, fehlen oft die Kapazitäten. IT-Outsourcing ist in diesem Kontext keine Kostensparmaßnahme mehr. Für viele mittelständische Unternehmen wird es zur realistischen Handlungsoption angesichts eines Arbeitsmarktes, der sich in absehbarer Zeit nicht entspannen wird.

Zwei Wege, wie Unternehmen die Kontrolle über ihre Daten zurückgewinnen

Die Kombination aus rechtlichem Kontrollverlust, regulatorischem Pflichtenheft und fehlendem oder wegfallendem internen Know-how ergibt eine neue strategische Logik: Der Infrastrukturstandort und das Betriebsmodell werden zur unternehmerischen Verantwortungsfrage. Nicht die Cloud ist das Risiko, sondern fehlende Kontrolle über Rechtsraum, Zugriffsmöglichkeiten und Betriebsmodell.

Auch große Cloud-Anbieter entwickeln Sovereign-Cloud-Ansätze mit zusätzlichen Kontrollmechanismen. Die rechtliche Herausforderung bleibt jedoch bestehen: Solange der Anbieter US-Recht unterliegt, kann er unter US-Recht zur Datenherausgabe verpflichtet werden – unabhängig von technischen Kontrollmechanismen.

Für Unternehmen, die das ernstnehmen, ergeben sich zwei strategisch belastbare Wege:

Infografik zur neuen Entscheidungslogik in der IT: Rechtlicher Druck, Geopolitik, Regulatorik und Fachkräftemangel führen zu neuen Infrastrukturentscheidungen für mehr Datensouveränität und Resilienz.
Erstellt mit KI

Eigene Infrastruktur – professionell betrieben

Wer kritische Systeme unter eigener Kontrolle halten will, braucht heute mehr als Hardware. Er braucht Security-Prozesse, Monitoring, Backup-Strategie, Incident Response und regulatorisch konforme Dokumentation. Das intern vollständig aufzubauen und dauerhaft zu betreiben, übersteigt die Kapazitäten vieler mittlerer Unternehmen. Spezialisierte Managed-Service-Partner schließen diese Lücke — ohne dass Kontrolle abgegeben werden muss.

IT-PS Angebot:

IT-Outsourcing zu einem echten österreichischen Partner

Wer externe Infrastruktur nutzen will, und Wert auf Datensouveränität legt, braucht einen Partner, der österreichischem Recht unterliegt, lokale Ansprechpartner hat, keine US-Konzernstruktur im Hintergrund  hat – und ein transparentes, auditierbares Betriebsmodell.

Genau hier setzen wir als IT-PS an: mit österreichischer Eigentümerstruktur, ISO-27001 Zertifizierung und der IT-PS Cloud inkl. 3 Standorte-Konzept.

IT-PS Angebot:

IT-Infrastruktur ist eine Vertrauensfrage

Unternehmen, die heute klar beantworten können, wer Zugriff auf ihre Infrastruktur und Daten im Ernstfall hat, treffen strategische Entscheidungen. Unternehmen, die es nicht beantworten können, haben eine offene Flanke — regulatorisch, operativ und betrieblich.

Der Infrastrukturstandort ist zurück auf der Agenda. Nicht als IT-Thema. Als Managemententscheidung.

Sie wollen mehr über unser Serviceangebot wissen?

Holen Sie sich die Informationen von uns, die Sie brauchen

Email an Karl “Charly” Schober
Karl "Charly" SChober der IT-PS als Ansprechpartner für das IT-PS Rechenzentrum
Headergrafik zum Thema Datensouveränität und Datenzugriff: Gegenüberstellung von europäischem Datenstandort und möglichen externen Zugriffsrechten unter US-Recht.

Datensouveränität und die Realität externer Zugriffsrechte

Visualisierung von ESG und nachhaltiger Digitalisierung: Daten bilden die Grundlage für erneuerbare Energie, effiziente Prozesse und nachhaltige Unternehmensentscheidungen.

Nachhaltigkeit zwischen Pflicht und Wirkung: Warum ESG ohne saubere Datenbasis scheitert

Risiken für Manager

Datenchaos ist kein Schönheitsfehler – sondern ein Risiko für Manager

Ein Mitarbeiter mit einer verwirrenden Fernbedienung in der Hand und Fragezeichen über dem Kopf steht vor vielen Dashboards und Zahlen

Die neue Plattform steht – Warum Dateninitiativen am Alltag scheitern

Instabile Datenbasis unter moderner Plattform durch inkonsistente und unstrukturierte Daten

Warum OpenShift Ihre Datenprobleme sichtbar macht – und genau das Ihr Vorteil ist

Back to Insights
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors