[datensicherheit.de, 13.04.2026] Die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA steht 2026 offensichtlich vor einer Belastungsprobe: „Transatlantische Datenströme werden zunehmend zum Bestandteil internationaler Handelskonflikte“, so Ari Albertini, CEO von FTAPI, in seiner aktuellen Stellungnahme. Für Unternehmen in Deutschland wachse damit die Rechtsunsicherheit, da die Stabilität aktueller Abkommen zur Datenübermittlung massiv von politischen Weichenstellungen in Washington D.C. abhänge. „Damit entwickelt sich die Frage der Digitalen Souveränität – also der Fähigkeit, selbstbestimmt über die eigenen Daten zu verfügen, – von einer juristischen Pflichtaufgabe zu einer Kernfrage der strategischen Risikovorsorge!“, betont Albertini.

Foto: FTAPI

Ari Albertini: Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt

Rechtsunsicherheit beim Datenschutz als Standortrisiko

Zwar sollten internationale Abkommen den Datenfluss regeln, doch bleibt der Grundkonflikt zwischen europäischem Datenschutz gemäß DSGVO und US-Gesetzen wie dem „US CLOUD Act“ bisher ungelöst – letzterer erlaubt nämlich US-Behörden den Zugriff auf Daten selbst dann, wenn diese physisch auf Servern innerhalb Europas gespeichert sind. Für deutsche Unternehmen entsteht dadurch laut Albertini eine doppelte Belastung:

1. Regulatorisches Risiko
   Sollten Abkommen fallen, droht ein Rechtsvakuum. Ohne souveräne Alternativen drohten dann langwierige Verfahren und Sanktionen von bis zu vier Prozent des weltweiten Jahresumsatzes.
2. Operative Abhängigkeit
   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in diesem Zusammenhang vor einer schleichenden „Cyber Dominance“. Dieser Begriff beschreibt die Macht von Software-Herstellern, durch die Kontrolle über proprietäre Systeme dauerhaft Einfluss auf die Infrastruktur ihrer Kunden auszuüben.

In einer vernetzten Wirtschaft werde diese Abhängigkeit zum „Single Point of Failure“: Ein plötzlicher Stopp oder eine Einschränkung essenzieller „Cloud“-Dienste aus politischen Gründen könnte kritische Geschäftsprozesse binnen kürzester Zeit lähmen und die Wettbewerbsfähigkeit des gesamten Standorts gefährden.

FTAPI-Checkliste: In drei Schritten zur Datenhoheit

Um die Handlungsfähigkeit unabhängig von geopolitischen Entwicklungen zu wahren, empfiehlt FTAPI folgendes Vorgehen:

Schritt 1: Bestandsaufnahme und Abhängigkeiten prüfen!

Unternehmen müssten ihre Software-Landschaft analysieren:

• „Wo werden geschäftskritische US-Lösungen genutzt, die einen schnellen Wechsel verhindern (,Vendor-Lock-in’)?“

• Der „EU Data Act“ biete hierzu den rechtlichen Hebel, um die Übertragbarkeit von Daten gegenüber Providern einzufordern und technische Wechselhürden abzubauen.

Schritt 2: Risikobasierte Maßnahmen ableiten!

Migration: Für sensible Bereiche wie Personalwesen oder Forschung wird der Wechsel zu europäischen Anbietern mit Gerichtsstand in der EU empfohlen.

• Vertragliche Leitplanken: Wo US-Anbieter alternativlos sind, sollte auf die Fixierung der „EU Data Residency“ (Speicherung in der EU) bestanden werden. Dies biete zwar keinen Schutz vor dem „CLOUD Act“, erschwere aber den unbefugten Zugriff auf administrativer Ebene.
• Exit-Strategien: Für den Ernstfall müssten Notfallpläne existieren, um Daten zeitnah in souveräne „Cloud“-Umgebungen umzuziehen.

Schritt 3: Technologische Schutzschirme implementieren!

Echte Unabhängigkeit entsteht erst durch Technik, nicht durch Verträge:

• Zero-Knowledge-Prinzip: Der Einsatz von Verschlüsselung, bei welcher der Anbieter technisch keinen Zugriff auf die Schlüssel hat, stelle sicher, dass Daten selbst bei einer Herausgabepflicht im Drittstaat unlesbar blieben.
• Standards nutzen: Die Bevorzugung von Software mit offenen Schnittstellen (APIs) verhindere die dauerhafte technologische Bindung an einen einzelnen Hersteller.
• Datensparsamkeit: Automatisierte Abläufe sollten so eingestellt sein, dass nur das für den Prozess absolut notwendige Minimum an Daten geteilt werde.

Souveränität als Wettbewerbsvorteil: Schutz der eigenen Daten und der operativen Handlungsfreiheit

„Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt!“, betont Albertini.

• Er führt weiter aus: „In der Praxis bedeutet das: Wir dürfen uns nicht allein auf politische Abkommen verlassen! Unternehmen müssen ihre Resilienz durch eine Kombination aus rechtlicher Absicherung und technischen Standards aktiv steuern.“
• Die aktuelle Debatte markiere das Ende der technologischen Naivität. Echte Souveränität lasse sich nicht allein durch Verträge herbeiführen, sondern müsse durch „strategisches Mapping“ und moderne Verschlüsselung aktiv hergestellt werden.

Albertinis Fazit: „Unternehmen, die diese Unabhängigkeit als Wettbewerbsvorteil begreifen, schützen nicht nur ihre Daten, sondern ihre gesamte operative Handlungsfreiheit in einem volatilen globalen Markt.“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld / Michael Scheffler rät Unternehmen zur „Zero Trust“-Policy

datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen / Stellv. BfDI, Jürgen H. Müller, berichtet von Ergebnissen der letzten Sitzung des Europäischen Datenschutzausschusses

[datensicherheit.de, 25.01.2026] Laut einer Stellungnahme von Matt Cooke, „Cybersecurity Strategist“ von Proofpoint, hat Henna Virkkunen, Exekutiv-Vizepräsidentin der Europäischen Kommission für „Tech-Souveränität, Sicherheit und Demokratie“, am 21. Januar 2026 deren „Digital Networks Act“ (DNA) vorgestellt. Der DNA soll demnach den „European Electronic Communications Code“ (EECC) ersetzen und zielt auf einheitliche Regeln ab, um Investitionen in Glasfaser, „5G“/„6G“, „Cloud-“ und Satelliteninfrastruktur zu fördern sowie die Digitale Souveränität zu stärken.

Foto: Proofpoint

Matt Cooke zur DNA-Relevanz: Der Zeitraum zwischen einem erfolgreichen Phishing-Versuch und einer vollständigen Lähmung eines Unternehmens ist gefährlich klein!

DNA unterstreicht Notwendigkeit koordinierter EU-Maßnahmen gegen Cyberkriminalität

Der DNA decke ein weites Themenfeld ab. Ein wichtiger Schwerpunkt liege allerdings auf dem Schutz der Endnutzer: So sei der Artikel 284 ausschließlich dem „Schutz der Endnutzer vor betrügerischen Aktivitäten” gewidmet.

• Darin werde ausdrücklich die Notwendigkeit koordinierter Maßnahmen der EU gegen Formen der Cyberkriminalität wie Phishing, Smishing und CLI-Spoofing hervorgehoben.

Die Kommission trage der Tatsache Rechnung, dass mit dem Übergang der EU zu einer „Gigabit“-Infrastruktur die Sicherheit dieses Netzwerks zunehmend davon abhänge, „wie Personen geschützt sind, die es nutzen“.

DNA definiert Digitale Resilienz auf der menschlichen Ebene

Cooke erläutert die Folgen des DNA insbesondere für das Management von Unternehmen:

• „Das Bekenntnis des ,Digital Networks Act’ zum Schutz der Endnutzer unterstreicht einen entscheidenden Wandel: Digitale Resilienz wird auf der menschlichen Ebene definiert.“

Cyberkriminelle nutzten KI als Waffe, um Social-Engineering-Angriffe zu entwickeln, die so überzeugend seien, dass sie traditionelle Abwehrmaßnahmen umgingen und direkt auf die Personen abzielten, welche zentrale Dienste und Kritische Infrastrukturen am Laufen halten.

DNA-Compliance mehr als technische Herausforderung – eine Aufgabe auf Vorstandsebene

Die Verwirklichung des von der EU geforderten „vertrauenswürdigen digitalen Ökosystems“ sei eine Aufgabe auf Vorstandsebene und keine reine IT-Aufgabe.

• „Wie die jüngsten Vorfälle gezeigt haben, ist der Zeitraum zwischen einem erfolgreichen Phishing-Versuch und einer vollständigen Lähmung eines Unternehmens gefährlich klein“, warnt Cooke.

Um die Vorgaben des DNA zu erfüllen und sowohl die wirtschaftliche Lebensfähigkeit als auch den Ruf einer Organisation zu schützen, müssten diese den menschlichen Faktor in den Vordergrund stellen und integrierte Abwehrmaßnahmen einsetzen, welche „die Menschen in die Lage versetzen, der unerbittlichen Welle KI-gesteuerter Täuschungsmanöver zu widerstehen“.

Weitere Informationen zum Thema:

proofpoint
Proofpoint Leadership

proofpoint
Blog Authors: Matt Cooke – Cybersecurity Strategist

European Commission
Henna Virkkunen: EXECUTIVE VICE-PRESIDENT (2024-2029) | Tech Sovereignty, Security and Democracy 

European Commission
The Digital Networks Act / The Digital Networks Act – DNA – will modernise the legal framework for connectivity to boost innovation and investment in an advanced and resilient digital infrastructure in the European Union.

European Union, EUR-Lex
European Electronic Communications Code

datensicherheit.de, 17.07.2025
Digital Networks Act: vzbv-Warnung vor Beeinträchtigung der Verbraucherrechte und Netzneutralität / Der Verbraucherzentrale Bundesverband (vzbv) hat eine Stellungnahme zum „Call for Evidence“ für den „Digital Networks Act“ (DNA) abgegeben