Kontakt Newsletter abonnieren Wissensspeicher
Headerbild
„Datensouveränität ist geschäftskritisch“
Wie mittelständische Unternehmen die Kontrolle über ihre Daten behalten

Interview mit Lienhard Siegmund, Experte für IT-Governance und digitale Souveränität

Ob sensible Kundendaten, Produktentwicklungen oder interne Strategien – Daten sind das Rückgrat des modernen Mittelstands. Doch mit dem zunehmenden Einsatz von Cloud-Diensten wächst auch das Risiko, die Kontrolle über diese Daten zu verlieren. Lienhard Siegmund spricht im Interview über das Prinzip der Datensouveränität, warum es gerade für mittelständische Unternehmen überlebenswichtig ist und wie Betriebe technologische Abhängigkeiten vermeiden können – ohne gleich auf die Vorteile moderner Infrastruktur zu verzichten. Dabei wird schnell klar: Datensouveränität ist keine technische Fußnote, sondern strategisches Fundament für nachhaltige digitale Unabhängigkeit.

Darunter finden Sie 3 wichtige Tipps, die dabei helfen, Daten souverän zu verwalten.

Portrait: Lienhard Siegmund, OPITZ CONSULTING

Lienhard Siegmund

Senior Manager Solutions
OPITZ CONSULTING Software

Kontakt aufnehmen

„Wer die Kontrolle über seine Daten verliert, verliert die Kontrolle über das Geschäft.“

– Lienhard Siegmund über Datensouveränität in mittelständischen Unternehmen

Lienhard, du sprichst oft von Datensouveränität. Was genau bedeutet das – gerade für den Mittelstand?

Pfeil nach rechts unten„Datensouveränität bedeutet, dass ein Unternehmen jederzeit weiß, wo seine Daten liegen, wer darauf zugreifen kann – und dass es im Zweifel auch wieder die Kontrolle übernehmen kann. Gerade im Mittelstand ist das wichtig, um nicht in eine einseitige Abhängigkeit vom Cloud-Anbieter zu geraten. Es geht also nicht gleich darum, Cloud zu vermeiden, sondern sie souverän zu nutzen – so, dass ich handlungsfähig bleibe.“

Was unterscheidet Datensouveränität von digitaler Souveränität?

Pfeil nach rechts unten„Digitale Souveränität meint die Fähigkeit, digitale Technologien unabhängig zu nutzen und weiterzuentwickeln – durch Staaten, Organisationen oder Unternehmen. Datensouveränität ist ein konkreter Teil davon: Es geht um den souveränen Umgang mit Daten – nicht nur technisch, sondern auch rechtlich und organisatorisch. Wer die Kontrolle über seine Daten verliert, macht sich abhängig.“

Was passiert, wenn ein Hyperscaler plötzlich den Zugang sperrt – wie beim Microsoft-Mailkonto, das kürzlich deaktiviert wurde?

Pfeil nach rechts unten„Ein plötzlicher Ausfall oder eine Sperrung ist selten, aber möglich – umso wichtiger ist es, technische Abhängigkeiten zu minimieren, z.B. Schlüssel selbst zu verwalten und Governance-Strukturen aufzubauen. Unternehmen sollten sich fragen: Habe ich Zugriff auf meine Daten ohne Anbieterzugang? Kann ich Dienste migrieren? Wer kontrolliert die Schlüssel?“

Du sprichst von Kontrolle – was heißt das konkret?

Pfeil nach rechts unten„Kontrolle heißt auf der technischen Ebene: Verschlüsselung, rollenbasierte Zugriffssysteme, Audit-Logs. Auf der organisatorischen Ebene: klare Regeln, Zuständigkeiten und Prozesse. Wer darf was? Wann? Warum? Nur so verhinderst Du, dass Daten falsch genutzt oder unbemerkt weitergegeben werden.“

Viele Mittelständler setzen auf US-Cloudanbieter. Welche Risiken birgt das mit Blick auf Compliance?

Pfeil nach rechts unten„US-Cloudanbieter bieten mittelständischen Unternehmen viele technische Vorteile – etwa Skalierbarkeit, moderne Dienste und schnelle Innovation. Doch mit Blick auf Compliance gibt es Risiken: Der US CLOUD Act erlaubt Behörden unter Umständen den Zugriff auf Daten, auch wenn diese in der EU liegen. Das steht im Konflikt mit der DSGVO. Zwar haben die Anbieter vertragliche und technische Maßnahmen wie EU-Regionenwahl oder Verschlüsselung etabliert, doch rechtliche Unsicherheiten bleiben – insbesondere bei sehr sensiblen Daten. Hinzu kommt: Viele Unternehmen verlieren durch komplexe Cloud-Setups oder KI-Nutzung schnell den Überblick über Zugriffsrechte und Datenflüsse. Das kann zu Datenschutzverstößen und Vertrauensverlust führen. Wer US-Clouds nutzt, sollte die Risiken aktiv adressieren – etwa durch Verschlüsselung mit eigener Schlüsselhoheit, klare Governance und regelmäßige Risikoanalysen.“

Was bedeutet das für die digitale Unabhängigkeit mittelständischer Unternehmen?

Pfeil nach rechts unten„Du musst wissen: Wo liegen Deine Daten? Wer verarbeitet sie – Menschen oder Maschinen? Welches Know-how ist im Haus, was ist ausgelagert? Ohne diese Transparenz ist kein souveränes Handeln möglich. Ziel muss sein, zentrale Kompetenzen intern aufzubauen – in Cloud-Technologien, Datenarchitektur und IT-Governance.“

Was rätst du konkret? 3 Punkte, die Mittelständler sofort angehen sollten?

Nicht alle Daten sind gleich – klare Schutzregeln und Verschlüsselung gewährleisten, dass sensible Informationen stets geschützt sind.

Warum ist das wichtig? 

Nicht alle Unternehmensdaten haben denselben Schutzbedarf. Während etwa Marketingmaterialien öffentlich zugänglich sein dürfen, unterliegen Kundendaten, Finanzinformationen oder Forschungsdokumente strengen gesetzlichen und vertraglichen Anforderungen. Ohne eine systematische Datenklassifikation besteht die Gefahr, dass hochsensible Daten unzureichend geschützt oder unbeabsichtigt offengelegt werden. Verschlüsselung und Schutzregeln helfen dabei, den Zugriff auf diese Daten zu kontrollieren – technisch wie organisatorisch.

Beispiel: Ein Maschinenbauer speichert Konstruktionsdaten und Lieferantenverträge in der Cloud. Ohne klare Klassifikation werden alle Dokumente gleich behandelt. Eines Tages wird ein Technikerkonto kompromittiert – und hochsensible Baupläne geraten in falsche Hände. Hätte das Unternehmen diese Daten als „vertraulich“ eingestuft, stark verschlüsselt und mit Zugriffsbeschränkungen versehen, wäre der Schaden verhindert worden.

Souveränität bedeutet, jederzeit zu wissen, wie Daten zurückgeholt oder migriert werden können.

Warum ist das wichtig? 

Cloud-Anbieterwechsel oder Systemmigrationen sind oft komplex – und ohne vertraglich gesicherte Ausstiegsmöglichkeiten drohen Unternehmen in eine Lock-in-Falle zu geraten. Datensouveränität bedeutet, dass ein Unternehmen jederzeit weiß, wie und ob es seine Daten zurückbekommt – im lesbaren Format, vollständig und zeitnah. Das ist nicht nur eine rechtliche Absicherung, sondern auch essenziell für Krisenresilienz und strategische Weiterentwicklung.

Beispiel: Ein IT-Dienstleister kündigt die Partnerschaft mit einem Cloud-Anbieter. Bei der Datenrückführung stellt sich heraus, dass die Exportformate proprietär sind und eine vollständige Datenmigration aufgrund fehlender Snapshots und unzureichendem Support viel länger dauert als erwartet. Hätte das Unternehmen bei der Architekturplanung von Anfang an auf eine standardisierte Datenportabilität geachtet, wäre der Wechsel zu einem neuen Anbieter deutlich einfacher und schneller möglich gewesen.

Setze auf hybride Modelle, Open Source und gegebenenfalls europäische Anbieter, um langfristige Kontrolle und Flexibilität zu sichern.

Warum ist das wichtig? 

Eine souveräne IT-Architektur schützt nicht nur vor technischer Abhängigkeit, sondern erhöht auch die Anpassungsfähigkeit bei regulatorischen oder geschäftlichen Veränderungen. Durch hybride Modelle – also die Kombination aus eigener Infrastruktur, Public und Private Cloud – lassen sich sensible Daten im eigenen Haus halten, während skalierbare Dienste ausgelagert werden. Open Source und europäische Anbieter bieten dabei zusätzliche Transparenz und rechtliche Sicherheit.

Beispiel: Ein mittelständisches Pharmaunternehmen nutzt eine hybride Cloud-Architektur: Patientendaten werden lokal auf sicheren Servern gehalten, Analysemodelle laufen in der Public Cloud mit europäischen Anbietern. Bei neuen EU-Vorgaben zur Datenspeicherung kann das Unternehmen flexibel reagieren, ohne Betriebsunterbrechung oder teure Umstellungen – ein klarer Vorteil gegenüber rein US-basierten Lösungen.

Fazit für Entscheider

Datensouveränität ist kein IT-Thema – sie ist geschäftskritisch. Wer strategisch denkt, baut heute die Strukturen, um morgen unabhängig zu bleiben.

Wie souverän sind Ihre Daten wirklich?

Ein Sticker mit dem Titel des WorkshopsViele Unternehmen unterschätzen, wie abhängig sie bereits von einzelnen Anbietern oder intransparenten Cloud-Architekturen sind. Mit unserem Souveränitäts-Check decken wir gemeinsam Schwachstellen auf – pragmatisch, konkret und auf Ihr Geschäftsmodell zugeschnitten. In nur 4 Stunden!

Jetzt Workshop entdecken und starten

Ihre Daten, Ihre Entscheidung

Datenstrategien brauchen mehr als Technik: Sie brauchen Kontrolle, Transparenz und unabhängige Entscheidungsfreiheit. Auf unserer Themenseite erfahren Sie, wie Sie Datensouveränität in Ihrem Unternehmen ganzheitlich umsetzen – technisch, organisatorisch und rechtlich.

Mehr erfahren über Wege zur digitalen Unabhängigkeit
Das Bild zeigt eine Person, die eine Nachricht in ihr Handy eintippt.

Nehmen Sie Kontakt zu uns auf

Zweispaltig
Mit diesem Häkchen stimmen Sie unseren Datenschutzbestimmungen zu.*
*Pflichtfelder
Newsletter
Die neuesten Fachartikel und Videos direkt ins Postfach?
Mit unserem Newsletter-Service informieren wir Sie regelmäßig über neue Publikationen und Angebote zu den aktuellen IT-Herausforderungen. Natürlich kostenlos und jederzeit abbestellbar.
Jetzt abonnieren