Drei Ebenen der Informationsverantwortung: und warum die Cloud für KMU die beste Wahl ist

Verfasst von Tim Haas

In der öffentlichen Debatte rund um „Cloud vs. On‑Premises“ geht es fast immer nur um den Speicherort. Doch Unternehmen tragen Verantwortung auf drei unabhängigen Ebenen, die sich nicht gegenseitig ersetzen können:

  1. Datensicherheit – Schutz vor Angriffen

  2. Datenschutz – Einhaltung gesetzlicher Vorgaben

  3. Datensouveränität – Kontrolle über Daten und Dienste, unabhängig von äußeren Einflüssen

Wichtig: Keine dieser Ebenen ist automatisch erfüllt, nur weil Daten „auf einem Server in Deutschland“ liegen.

1. Datensouveränität: Mehr als eine Standortfrage

Oft wird Datensouveränität ausschließlich mit dem Speicherort gleichgesetzt. Doch entscheidend sind andere Fragen:

  • Wer kann Daten einsehen?

  • Wer darf darauf zugreifen?

  • Ist der Betrieb auch dann gesichert, wenn internationale Infrastruktur ausfällt oder politische Spannungen entstehen?

Warum ein Server in Deutschland keine Souveränität garantiert

Tatsache ist: Auch deutsche Behörden können Datenzugriffe verlangen – und tun das sehr häufig. Analysen zeigen:

  • Deutsche Behörden stellten zwischen 2013 und 2022 709.400 Anfragen an Tech‑Unternehmen wie Microsoft, Google, Meta und Apple – mehr als jedes andere Land in Europa.

  • Deutschland führt auch bei Microsoft‑Anfragen: Im zweiten Halbjahr 2022 verzeichnete Microsoft 6.983 behördliche Datenanfragen allein aus Deutschland – mehr als aus den USA oder dem Vereinigten Königreich.

Das zeigt: Der reine Standort „Deutschland“ schützt nicht vor Zugriffen.

Was Microsoft zur Stärkung der Souveränität umgesetzt hat

Microsoft hat in den letzten Jahren mehrere Maßnahmen eingeführt, die echte digitale Souveränität ermöglichen:

  • Die EU Data Boundary stellt sicher, dass Kundendaten, pseudonymisierte Daten und Support‑Daten für Microsoft 365, Azure und Dynamics 365 ausschließlich innerhalb der EU/EFTA verarbeitet und gespeichert werden.

  • Die europäischen Sovereign‑Cloud‑Optionen bieten zusätzliche Kontrollmechanismen:
    – europäisch kontrollierte Supportzugriffe (Data Guardian)
    – vom Kunden verwaltete Schlüssel (External Key Management)
    – Microsoft 365 Local und Azure Local für lokale Betriebsmodelle

  • Transparenzzentren ermöglichen europäischen Behörden die Einsicht in Quellcode und Sicherheitsdokumentation.

Schweizer Quellcode‑Sicherung für Krisenszenarien

Eine wenig bekannte, aber bedeutende Maßnahme ist die Sicherung von Microsoft‑Produktquellcode in der Schweiz. Sie dient als Resilienzmechanismus für den Fall, dass transatlantische Verbindungen oder US‑Infrastrukturen geopolitisch gestört werden.
Damit wäre der Betrieb europäischer Microsoft‑Cloud‑Dienste weiterhin gewährleistet.

Fazit: Datensouveränität entsteht nicht durch Geografie, sondern durch rechtliche, organisatorische und technische Rahmenbedingungen.

2. Datenschutz: Microsoft 365 ist heute datenschutzkonform einsetzbar

Durch umfangreiche technische Anpassungen, klare Vertragswerke und vollständige Dokumentation zur Datenverarbeitung kann Microsoft 365 heute datenschutzkonform betrieben werden. Viele deutsche Landesdatenschutzbeauftragte teilen diese Einschätzung.

Die EU Data Boundary sorgt dafür, dass Datenflüsse transparent und nachvollziehbar bleiben. Microsoft veröffentlicht regelmäßig Berichte zu Datenanfragen, unterstützt Unternehmen mit Datenschutzwerkzeugen und bietet detaillierte Datenflussdokumentationen.

Wichtig bleibt: Datenschutz ist kein Automatismus. Unternehmen müssen eigene Konfigurationen wie Purview‑Richtlinien, Verschlüsselungen und Rollenmodelle korrekt einrichten.

3. Datensicherheit: Schutz auf einem Niveau, das KMU selbst nicht erreichen können

IT‑Sicherheit ist heute ein globaler Wettlauf. Cyberangriffe sind hochprofessionell, international vernetzt und technologische Angriffe in einer Tiefe, die kleine und mittlere Unternehmen alleine nicht abwehren können.

Ein beeindruckendes Beispiel ist Microsofts Unterstützung der Ukraine nach dem russischen Angriff. Microsoft half dabei, digitale Infrastrukturen zu schützen und Angriffe staatlicher Akteure abzuwehren. Die dafür eingesetzten Schutzmechanismen basieren auf denselben Plattformen, die auch Microsoft‑365‑ und Azure‑Kunden nutzen.

Für ein mittelständisches Unternehmen wäre eine vergleichbare Sicherheitsarchitektur weder organisatorisch noch finanziell realisierbar. Doch:

Für rund 23 Euro pro Monat erhalten KMU mit Microsoft 365 Business Premium Zugang zu genau diesem Sicherheitsniveau – sofern die Funktionen aktiviert werden.

Fazit: Die Microsoft‑Cloud ist für kleine und mittlere Unternehmen die beste Option

Wer die drei Ebenen der Informationsverantwortung getrennt betrachtet, erkennt klar:

  • Datensicherheit: global erprobte Schutzmechanismen, kontinuierliche Überwachung, Abwehr selbst komplexer geopolitischer Angriffe

  • Datenschutz: durch EU Data Boundary und moderne Compliance‑Werkzeuge zuverlässig umsetzbar

  • Datensouveränität: europäische Kontrollmechanismen, Schlüsselhoheit, Transparenzzentren und die Schweizer Quellcode‑Sicherung schaffen echte Unabhängigkeit

Für kleine und mittlere Unternehmen gibt es kaum eine realistische Alternative, mit der sich alle drei Anforderungen gleichzeitig so zuverlässig erfüllen lassen wie mit Microsoft 365 und Azure.

Tim Haas
Weiter

PDFs bearbeiten – Basis-Kompetenz im volldigitalen Büro