Wie behalten Unternehmen die Kontrolle über ihre Daten, wenn diese in Cloud-Umgebungen gespeichert, geteilt und bearbeitet werden? Speicherort, Verträge und allgemeine Sicherheitsversprechen klingen zweifelsohne beruhigend. Aber sie geben keine vollständige Antwort auf die Frage, auf die es letztlich ankommt: Wer hat in der Praxis tatsächlich Zugriff auf die Daten und die Kontrolle darüber? Dieser Beitrag zeigt, warum Datensouveränität technische Sicherheitsvorkehrungen braucht und welche Kriterien bei der Auswahl von Cloud-Lösungen, die eine echte und durchsetzbare Kontrolle gewährleisten, wirklich zählen.

Ob Verträge, Kundendaten, Finanzunterlagen oder interne Projektdokumente: Viele personenbezogene oder geschäftskritische Informationen liegen heute nicht mehr nur auf den eigenen Servern. Im Rahmen alltäglicher Arbeitsabläufe werden sie zwischen Systemen, Kunden, Partnern und Rechtsräumen ausgetauscht. Genau das macht moderne Zusammenarbeit effektiv: Sie ist schneller, vernetzter und flexibler. Gleichzeitig hat sie die Bedeutung von Datenkontrolle neu definiert, insbesondere angesichts weltweit verschärfter regulatorischer Anforderungen.

Warum Datenresidenz allein nicht ausreicht

Um wieder ein Gefühl der Kontrolle zu erlangen, greifen viele Unternehmen auf bewährte Maßnahmen zurück: Sie entscheiden sich für vertrauenswürdige Anbieter, handeln solide Verträge aus und stellen die Einhaltung von Vorschriften wie der DSGVO sicher.

Viele Cloud-Anbieter unterstützen diesen Ansatz und werben mit europäischen Rechenzentren, regionaler Datenhaltung und vertraglichen Garantien als Sicherheitsvorkehrungen. Damit ist das Versprechen verknüpft, Daten innerhalb klarer rechtlicher Grenzen zu halten.

Dies spiegelt das traditionelle Verständnis von Datensouveränität wider. In diesem Modell ist die Kontrolle an die Gerichtsbarkeit gebunden: wo Daten gespeichert werden, welche Gesetze gelten und wer rechtlich befugt ist, auf sie zuzugreifen. Der Speicherort der Daten spielt dabei eine zentrale Rolle. Daten beispielsweise in der EU oder der Schweiz zu speichern, hilft Unternehmen, regulatorische Anforderungen zu erfüllen und rechtliche Risiken zu minimieren.

Wo Vertrauen an seine Grenzen stößt

Diese Aspekte sind wichtig und in regulierten Branchen mitunter vorgeschrieben. Sie beruhen jedoch auf der Annahme, dass der Zugang zu Daten allein durch Vertrauen und Regeln steuerbar ist.

Was dabei jedoch nicht vollständig beleuchtet wird, ist die Frage, wie Cloud-Systeme auf technischer Ebene tatsächlich funktionieren.

Einem Anbieter kann der Zugriff auf Daten vertraglich untersagt sein. Auch gesetzliche Vorschriften können den Zugriff verbieten. Wenn das System selbst dies jedoch technisch zulässt, bleibt – still und leise – eine Hintertür offen.

Globale Geschäftstätigkeiten fügen dieser Gemengelage eine weitere Ebene hinzu. Viele Cloud-Anbieter sind über Ländergrenzen hinweg und damit in unterschiedlichen Rechtsordnungen aktiv. Auch wenn sie Daten in Europa speichern, können für sie Gesetze wie der US-amerikanische CLOUD Act zur Anwendung kommen.

Genau hier wird die Lücke deutlich: Richtlinien und Vorschriften legen fest, wer auf Daten zugreifen darf. Dabei ist nicht immer transparent nachvollziehbar, welches Recht am Ende gilt. Fakt ist: Echte Kontrolle beginnt dort, wo der Zugriff technisch unmöglich ist. Alles andere ist eine Form des Risikomanagements.

Dieses Maß an Kontrolle – echte Datensouveränität – bedeutet gleichzeitig aber auch nicht, dass Unternehmen auf die Cloud verzichten oder ihre Infrastruktur isoliert betreiben müssen. Ein solcher Ansatz ist in einer vernetzten Welt ohnehin weder praktikabel noch wirtschaftlich sinnvoll. Die Herausforderung besteht darin, wie man die Cloud nutzen kann, ohne die Kontrolle abzugeben.

Datensouveränität braucht technische Garantien

Echte Datenhoheit ist gegeben, wenn Unternehmen eine nachweisbare, technische Kontrolle über den Zugriff auf ihre Daten behalten – unabhängig von Infrastruktur, Anbieter oder Standort. Daher sollten Unternehmen die technische Architektur von Cloud-Lösungen genauer unter die Lupe nehmen. Die folgenden Fragen helfen, Annahmen zu hinterfragen und herauszufinden, ob tatsächlich Kontrolle besteht.

1. Sind Inhalte lückenlos vor unbefugtem Zugriff geschützt?

Wer sensible Daten in der Cloud verarbeitet, muss sicherstellen bzw. sich darauf verlassen können, dass sie jederzeit vor unbefugtem Zugriff geschützt sind – nicht nur während der Übertragung oder Speicherung. „Wir verschlüsseln Ihre Daten“ ist in diesem Zusammenhang ein häufiges Sicherheitsversprechen vieler Cloud-Anbieter. Auf den ersten Blick klingt das gut. Es sagt jedoch nichts darüber aus, ob die Daten während der Verarbeitung an der einen oder anderen Stelle entschlüsselt werden.

Tatsächlich werden in vielen Cloud-Konfigurationen Daten während der Übertragung und im Ruhezustand verschlüsselt, dazwischen jedoch kurzzeitig entschlüsselt – beispielsweise wenn Dateien im Browser in der Vorschau angezeigt, für die Suche indexiert oder für Funktionen zur Zusammenarbeit verarbeitet werden. In diesen Momenten liegen die Daten im Klartext vor und sind technisch zugänglich.

Hier macht echte Ende-zu-Ende-Verschlüsselung den Unterschied. Inhalte werden immer auf dem Endgerät der Nutzer verschlüsselt – also vor dem Übertragen oder Teilen mit Empfängern. Die dafür verwendeten kryptografischen Schlüssel erzeugen entsprechende Systeme ebenfalls lokal bzw. clientseitig – und damit unter der Kontrolle des Nutzers. Server erhalten wiederum ausschließlich verschlüsselte Daten. Damit gibt es keinen Moment, in dem der Anbieter auf lesbare Inhalte zugreifen könnte.

2. Verfügt de Anbieter über Schlüssel?

Verschlüsselung schützt Daten. Zu Ende gedachte Kontrolle hängt aber davon ab, wer die Schlüssel besitzt. In vielen Cloud-Architekturen behalten Anbieter den Zugriff auf Verschlüsselungsschlüssel oder verwalten diese zentral. Sie nutzen sie z. B. für Support, Datenverarbeitung oder Datenwiederherstellung. Das bedeutet jedoch im Klartext, dass sie weiterhin die Möglichkeit haben, auf Kundendaten zuzugreifen. Der Kernunterschied liegt also in der Beantwortung dieser zwei Fragen:

  • Wer darf auf Daten zugreifen? (basierend auf Verträgen und Richtlinien)
  • Wer kann auf Daten zugreifen? (basierend auf dem Systemdesign)

Das ist nicht dasselbe. Echte Datensouveränität hängt vom zweiten Punkt ab. Bei einer Zero-Knowledge-Architektur stehen dem Anbieter die Verschlüsselungsschlüssel niemals zur Verfügung. Nur die vorgesehenen Nutzer können die Daten entschlüsseln. Folglich wird der Zugriff nicht durch Vertrauen, Verträge oder Richtlinien geregelt: Er wird durch Technik verhindert. Selbst im Falle rechtlicher Aufforderungen hat der Anbieter schlicht keine Möglichkeit, Dateneinsicht zu gewähren.

3. Wer kontrolliert Rechte und Freigaben?

Unbefugten Datenzugriff zu verhindern, ist ein wesentlicher Teil des Ganzen. Aber was geschieht, wenn einmal Zugriff gewährt wurde?

Ein typischer Arbeitsablauf kann wie folgt aussehen: Eine Datei wird mit einem Partner geteilt, von einem externen Berater geprüft und zwischen Teams weitergereicht. In dieser Phase wird die Kontrolle oft durchlässig – nicht aufgrund von Sicherheitsverletzungen, sondern durch routinemäßige Zusammenarbeit. Die eigentliche Frage lautet: Wie genau lässt sich festlegen und durchsetzen, was andere mit Daten tun dürfen?

In vielen Tools ist die Freigabe standardmäßig breit angelegt. Sobald der Zugriff gewährt ist, sind die Möglichkeiten zur Einschränkung der Nutzung begrenzt oder im Laufe der Zeit schwer zu verwalten.

Robustere Ansätze ermöglichen es Unternehmen, den Zugriff feingranular zu steuern.

Sie können:

  • … genau festlegen, wer Inhalte anzeigen, bearbeiten oder freigeben darf – und für wie lange.

  • … freigegebene Dateien schützen, z. B. durch Passwörter, E-Mail-Benachrichtigungen und Wasserzeichen.

  • …. den Zugriff bei Bedarf sofort widerrufen.

Durch diese Funktionen bleibt die Zugriffsfrage keine einmalige Entscheidung, sondern wird zu einem Sicherheitshebel, der aktiv verwaltet, durchgesetzt und kontinuierlich aktualisiert werden kann.

4. Sind Berechtigungen und Aktivitäten nachvollziehbar?

Selbst klar definierte Zugriffsregeln bleiben nicht unverändert. Teams entwickeln sich weiter, Projekte laufen aus, Zuständigkeiten verschieben sich. So häufen sich mit der Zeit auch Zugriffsrechte. Ohne Transparenz wird es dann schwer, den Überblick darüber zu behalten, was tatsächlich geschieht. Wer hat derzeit Zugriff auf diese Daten und wie wurden sie genutzt?

Hier ist Rückverfolgbarkeit unerlässlich. Funktionen wie Audit-Protokolle, Versionsverwaltung und detaillierte Administratorberichte machen die Datennutzung transparent. Dieses Maß an Transparenz dient nicht nur der Einhaltung von Vorschriften oder der Unterstützung von Audits. Es ermöglicht Unternehmen, kontinuierlich zu überprüfen, ob Kontrolle tatsächlich noch intakt ist und nicht nur angenommen wird. In der Praxis sorgt genau das dafür, dass Datenhoheit nicht nur auf dem Papier steht, sondern im Alltag auch wirklich funktioniert.

Tresorit Datensouveränität by design

Tresorit: Datensouveränität-by-Design

Die Auseinandersetzung mit diesen Fragen macht deutlich, dass sich Datenhoheit nicht aus Verträgen, dem Standort, einer einzelnen Maßnahme oder Funktionen ergibt. Sie wird dadurch bestimmt, wie Kontrolle in das System integriert ist.

Tresorit kombiniert hierfür drei Kontrollebenen:

  • Rechtliche Kontrollen verankern die Daten im richtigen rechtlichen Kontext, mit Speicherortoptionen auf der ganzen Welt – von der EU über die Schweiz bis hin zu den USA.
  • Kryptografischer Schutz stellt sicher, dass nur berechtigte Nutzer auf Inhalte zugreifen können – durch clientseitige Ende-zu-Ende-Verschlüsselung und Zero-Knowledge-Architektur.
  • Durchdachte Zugriffssteuerung schafft eineKontrollebene, mit der Unternehmen festlegen, begrenzen und nachvollziehen können, wie Daten in der Praxis genutzt werden.

Tresorit bezeichnet diesen kombinierten Ansatz als „Datensouveränität-by-Design“ und stellt damit sicher, dass Unternehmen kontrollieren können, wer auf Daten zugreifen, diese entschlüsseln und damit arbeiten darf – unabhängig davon, wo sie gespeichert sind oder welche Infrastruktur genutzt wird.

Wie souverän ist ein Cloud-Angebot wirklich? Mit unserer Praxis-Checkliste zum Download prüfen Sie Schritt für Schritt, ob ein Angebot nur mit Speicherort und Sicherheitsversprechen wirbt – oder ob es Ihnen auch technische und damit die volle Kontrolle über Daten, Schlüssel, Zugriffe und Nachvollziehbarkeit gibt.

Oliver Jäger