Digitale Souveränität ist ein wichtiger strategischer Erfolgsfaktor und viele Maßnahmen sind auch gesetzlich vorgeschrieben.
Unter anderem mit dem Data Act, NIS‑2, dem Cyber Resilience Act und dem AI Act verpflichtet der europäische Gesetzgeber Unternehmen, ihre IT‑Systeme beherrschbar, kontrollierbar und verantwortbar zu organisieren.
Digitale Souveränität bedeutet die Fähigkeit, im digitalen Raum Technologien und Daten unabhängig, sicher und rechtskonform zu nutzen. Unabhängig heißt vor allem: Handlungsoptionen haben.
Warum schreibt der Gesetzgeber Maßnahmen zur digitalen Souveränität vor?
Weil geopolitische Spannungen die digitale Souveränität Europas dringlicher machen. Und weil Cyberangriffe zunehmen und unsere Infrastruktur, unsere Wirtschaft und den Staat angreifbar machen oder gar lahmlegen können.
Konkret bedeutet Datensouveränität für Unternehmen: Sie müssen jederzeit nachvollziehen können, wo ihre Daten liegen, wer Zugriff hat und unter welcher Rechtsordnung dieser Zugriff erfolgt.
Unternehmen sollten die verschiedenen gesetzlichen Pflichten integriert denken und die digitale Souveränität in einem einheitlichen Governance‑Rahmen verankern.
Digitale Souveränität ist in verschiedenen Gesetzen verankert
Eine Pflicht zur digitalen Souveränität ergibt sich aus dem Zusammenspiel der EU‑Digitalgesetze.
Die DSGVO begründet die Kontrolle über Datenflüsse, insbesondere bei Drittlandübermittlungen. NIS‑2, Data Act, Cyber Resilience Act und AI Act konkretisieren diese Steuerungspflicht durch Anforderungen an Risikomanagement, Transparenz, organisatorische Zuständigkeiten und technische Beherrschbarkeit digitaler Systeme.
Gemeinsam verfolgen diese Regelwerke einen einheitlichen Regelungsansatz:
- Kontrolle über Systeme, Datenzugriffe und Abhängigkeiten,
- risikobasierte Steuerung entlang Kritikalität und Einsatzkontext,
- klare organisatorische Verantwortung bis auf Leitungsebene.
Digitale Souveränität bündelt diese Anforderungen und macht die rechtliche Beherrschbarkeit digitaler Systeme zur verbindlichen Grundlage unternehmerischer IT‑ und Datenverantwortung.
Die EU-Digitalgesetze ermöglichen eine einheitliche Steuerung
Die EU‑Digitalgesetze greifen ineinander und sind aufeinander abgestimmt. Unternehmen müssen sie nicht isoliert umsetzen, sondern können und sollten sie gemeinsam und einheitlich steuern.
Die Regelwerke haben inhaltliche Schnittstellen. So verpflichten sowohl der Cyber Resilience Act (CRA) als auch NIS‑2 zu einem strukturierten Risikomanagement. Meldungen von Schwachstellen nach dem Cyber Resilience Act können zugleich Meldepflichten nach NIS‑2 auslösen, und CRA‑konforme Produkte können als Nachweis für einzelne NIS‑2‑Anforderungen dienen. Auch die Absicherung der Lieferkette wird in beiden Regelwerken gemeinsam adressiert.
Ähnliche Wechselwirkungen bestehen zwischen NIS‑2 und dem Data Act. Während NIS‑2 ein umfassendes Risikomanagement einschließlich der Steuerung von Drittanbietern verlangt, erfordert der Data Act vertragliche Anpassungen zur Datenweitergabe und ‑herausgabe. Diese Pflichten lassen sich in der Praxis miteinander verbinden und gemeinsam umsetzen.
Auch der AI Act ist in dieses Regelungsgefüge eingebettet. Die Nutzung von KI‑Systemen ist bei der Risikoanalyse nach NIS‑2 zu berücksichtigen. Und Bewertungen nach dem AI Act können als Input für das übergreifende Risikomanagement dienen.
Für Unternehmen bedeutet das: Die EU‑Digitalgesetze ermöglichen eine integrierte Steuerung. Unternehmen müssen bestehende Bewertungen, Prozesse und Nachweise nicht mehrfach neu erschaffen, sondern können sie regelwerksübergreifend nutzen und weiterentwickeln.
Was digitale Souveränität für die einzelnen IT-Systeme bedeutet
Cloud-Dienste
Unternehmen müssen Cloud‑Dienste so nutzen und vertraglich gestalten, dass Anbieterwechsel möglich bleiben, Kontrollrechte gesichert sind und unzulässige Zugriffe aus Drittstaaten verhindert werden können.
Cloud‑Dienste stehen im Zentrum der aktuellen Diskussion um digitale Souveränität, insbesondere die Abhängigkeit von Cloud‑Anbietern mit Hauptsitz in Drittstaaten. Unternehmen, die Cloud‑Infrastrukturen außerhalb der EU nutzen, sollten prüfen, ob vertragliche Schutzmaßnahmen – etwa zusätzliche Klauseln, Datenlokalisierung oder EU‑Residency‑Modelle – sowie technische Vorkehrungen ausreichend sind.
Vor diesem Hintergrund gewinnt die Trennung von Schlüsselverwaltung und Datenhaltung strategische Bedeutung. Die Nutzung kundenseitig kontrollierter Verschlüsselungsschlüssel, etwa über Key‑Management‑Systeme oder Hardware‑Security‑Module („Hold Your Own Key“), kann dazu beitragen, die Kontrolle über Daten auch bei Nutzung externer Cloud‑Infrastrukturen zu sichern.
Außerdem möchte der Gesetzgeber den Vendor‑Lock‑in bei Cloud‑Diensten vermeiden, indem er Anbieterwechsel rechtlich und faktisch ermöglicht. Daher verpflichtet der Data Act Cloud‑Anbieter, schrittweise die Gebühren für den Datentransfer beim Anbieterwechsel abzuschaffen und sicherzustellen, dass Kunden ihre Daten und Anwendungen funktional gleichwertig zu einem anderen Anbieter migrieren können.
Zugleich verlangt der Gesetzgeber, dass Unternehmen den Zugriff ausländischer Behörden auf in der Cloud verarbeitete Daten rechtlich und organisatorisch absichern. Der Data Act verpflichtet Cloud‑ und Datenanbieter, technische und rechtliche Vorkehrungen zu treffen, um die Übermittlung nicht‑personenbezogener Daten an Drittstaaten zu verhindern, sofern dies im Widerspruch zu EU‑Recht steht.
Geschäftskritische Kernsysteme
Unternehmen müssen geschäftskritische IT‑Systeme abhängig von Branche, Größe und regulatorischer Einordnung so organisieren, dass Sicherheit, Verfügbarkeit und Verantwortlichkeiten beherrschbar bleiben.
Welche rechtlichen Anforderungen an geschäftskritische Kernsysteme im Einzelnen gelten, hängt maßgeblich von der regulatorischen Einordnung des Unternehmens ab, insbesondere davon, ob es als wichtige oder besonders wichtige Einrichtung im Sinne der NIS-2-Richtlinie oder als KRITIS‑Betreiber gilt. Entsprechend unterschiedlich sind Umfang und Intensität der Pflichten.
Der Ausfall geschäftskritischer Kernsysteme kann erhebliche Auswirkungen auf den Geschäftsbetrieb haben. NIS‑2 adressiert dieses Risiko durch Governance‑ und Resilienzpflichten für wesentliche und wichtige Einrichtungen; der Cyber Resilience Act ergänzt dies durch verbindliche Sicherheitsregeln für digitale Produkte. Unternehmen müssen offenlegen, welche Software‑Komponenten sie einsetzen, etwa in Form einer Software Bill of Materials, und ihre Produkte nach den Prinzipien Secure by Design und Secure by Default entwickeln und betreiben.
Ergänzend verpflichtet NIS‑2 die erfassten Unternehmen zu einem umfassenden Risiko‑ und Governance‑Ansatz für ihre geschäftskritischen Systeme. Dazu gehören insbesondere Störfall‑, Krisen‑ und Geschäftskontinuitätsmanagement, die Absicherung der Lieferkette und die Überwachung kritischer IT‑Drittanbieter. Die Verantwortung hierfür ist ausdrücklich auf Leitungs‑ und Organisationsebene verankert und kann mit Haftungsrisiken verbunden sein.
Auch für Unternehmen außerhalb des unmittelbaren NIS‑2‑Anwendungsbereichs setzen diese Regelwerke jedoch einen klaren Orientierungsrahmen.
KI‑Systeme
Unternehmen müssen festlegen, wofür sie KI einsetzen, welche Daten verwendet werden und wer im Unternehmen dafür verantwortlich ist. Andernfalls entstehen erhebliche Haftungs‑ und Compliance‑Risiken.
Der EU AI Act ordnet KI‑Systeme einem risikobasierten Regulierungsansatz zu. Die Pflichten richten sich nach der Art des Risikos und auch nach der Rolle des Unternehmens als Anbieter oder Betreiber. Unternehmen müssen dokumentieren, wie sie KI einsetzen, welche Rolle sie dabei haben und welche Risiken daraus entstehen, damit diese Einordnung überhaupt rechtlich möglich ist.
Alle Unternehmen, die KI einsetzen, sollten eine KI‑Governance etablieren, Zuständigkeiten festlegen, KI‑Prinzipien definieren und Richtlinien in bestehende Compliance‑Strukturen integrieren. Außerdem müssen sie Risiken bewerten und den gesamten Lebenszyklus von KI‑Systemen überwachen. Schulungen, laufende Evaluierungen sowie Monitoring‑ und Berichtspflichten sind Teil dieses Ansatzes.
Was viele Unternehmen unterschätzen
Ein verbreitetes Praxisproblem ist, dass Unternehmen NIS‑2, Data Act und AI Act isoliert nach einzelnen Rechtsakten angehen, statt die gemeinsamen Governance‑Anforderungen zusammenzuführen. Der eigentliche Hebel liegt jedoch woanders: in der Fähigkeit, regulatorische Anforderungen systemübergreifend in Entscheidungs‑ und Freigabeprozesse zu übersetzen. Ein bislang oft unterschätzter Punkt ist dabei die interne Verbindlichkeit. Digitale Souveränität entsteht nicht durch zusätzliche Policies, sondern dadurch, dass Rechts‑ und Governance‑Vorgaben tatsächlich in Beschaffungs‑, Projekt‑ und Freigabeentscheidungen wirken, etwa bei der Auswahl von Cloud‑Anbietern, der Einführung von KI‑Anwendungen oder der Auslagerung kritischer Systeme. Das setzt voraus, dass Rechtsabteilungen nicht erst am Ende prüfen, sondern bereits bei der Entwicklung von IT‑, Cloud‑ und KI‑Strategien eingebunden sind.
Für Rechtsabteilungen bedeutet das eine veränderte Rolle: Nicht die Auslegung einzelner Normen steht im Vordergrund, sondern die Gestaltung von Entscheidungsrahmen, die IT‑, Einkaufs‑ und Fachabteilungen handlungsfähig machen und zugleich rechtlich absichern. Wer digitale Souveränität so versteht, nutzt die Regulierung nicht nur zur Risikominimierung, sondern als Steuerungsinstrument für komplexe IT‑Landschaften.
