«Bei der Datensouveränität gilt es die richtige Balance zu finden»

Sollten nicht alle Organisationen die maximale Kontrolle über ihre Daten und Infrastruktur behalten? Im Alltag wären solche Massnahmen für die allermeisten Unternehmen jedoch übertrieben. Ein so hohes Mass an Souveränität macht Systeme sehr starr und teuer in der Wartung. Es mindert die Agilität von Organisationen und würde ihnen die Vorteile der Cloud-Technologie verwehren, die sie möglicherweise für ihre Skalierung und Flexibilität benötigen. So die Ansicht von Daniel Bachofner.

So viel wie nötig, so wenig wie möglich

Die Souveränitäts-Balance hängt laut Bachofner von drei Faktoren ab: 

• Regulatorische Verpflichtungen schreiben vor, wo Daten gespeichert werden dürfen und wie sie verarbeitet werden müssen, wobei oft wenig Spielraum für Kompromisse bleibt. 
• Leistungsanforderungen können Nähe und geringe Latenz erfordern, insbesondere in Branchen wie dem Finanzwesen oder der industriellen Automatisierung. 
• Und dann gibt es noch die Abhängigkeit von Anbietern. Die Konzentration kritischer Workloads auf einen einzigen Hyperscaler kann den Betrieb vereinfachen und eine bequeme kurzfristige Option sein. Diese Anbieter sind wertvolle Technologiepartner, unterliegen jedoch auch den Gesetzen und dem Druck der Gerichtsbarkeiten, in denen sie ihren Hauptsitz haben. Eine übermässige Abhängigkeit von ihnen kann strategische Risiken mit sich bringen, etwa wenn sich, wie momentan, die geopolitische Situation ändert. Wenn beispielsweise ein Hyperscaler gezwungen ist, Kundendaten auf Anfrage seiner Regierung zur Verfügung zu stellen, wird diese Angelegenheit vermutlich nicht mehr in der IT, sondern vom Vorstand entschieden.

Unternehmen müssen diese Faktoren sorgfältig abwägen, um zu entscheiden, wie viel Souveränität sie brauchen, um handlungssicher zu sein, ohne Innovationen zu behindern oder untragbare Kosten zu verursachen. Auch Governance und die Datenarchitektur sind dabei zu berücksichtigen. Ein Unternehmen muss Klarheit darüber haben, wo sich Daten befinden, wie sie bewegt werden und wer sie auf ihrem Weg berührt. So viel Transparenz erfordert eine kontinuierliche Abbildung der Datenflüsse und die Bereitschaft, zu handeln, wenn sich etwas ändert, zum Beispiel durch neue Vorschriften oder sich ändernde Geschäftsprioritäten. 

Damit die Daten-Compliance gewährt ist, müssen bei Datenschutz, Sicherheit und Speicherort sowohl die lokalen als auch die globalen Vorschriften berücksichtigt werden. Internationale Unternehmen müssen nachweisen, dass sie die Anforderungen jeder Gerichtsbarkeit erfüllen können, in der sie aktiv sind, von der DSGVO in Europa bis hin zu branchenspezifischen Vorschriften in den Vereinigten Staaten oder Asien. Dabei können sich die Vorschriften zum Speicherort von Daten jederzeit weiterentwickeln und die Bedeutung von «souverän» kann sich grundlegend verändern. Eine Dateninfrastruktur, die zu einem späteren Zeitpunkt neu konfiguriert werden kann, macht die datenbezogenen Prozesse eines Unternehmens zukunftssicher.

Schliesslich muss die Souveränität über den gesamten Lebenszyklus der Daten hinweg verwaltet werden. Erstellung, Nutzung, Speicherung und Löschung sind Teil ein und derselben Verantwortungskette. Denn nur wenn Systeme Daten sicher löschen können, sobald diese nicht mehr benötigt werden, sind sie wirklich souverän.

(Textauszug aus «Datensouveränität als Spektrum: die richtige Balance finden», Daniel Bachofner, NetApp, 18.12.2025)