Kiteworks Studie: Ein Drittel aller befragten Unternehmen in Kanada, dem Nahen Osten und Europa erlebte im vergangenen Jahr mindestens einen datensouveränitätsbezogenen Sicherheitsvorfall – obwohl fast alle wissen, was die Regeln sind.
Wer gedacht hat, dass wachsendes Regulierungsbewusstsein automatisch zu weniger Sicherheitsvorfällen führt, wird durch den aktuellen „Kiteworks Data Sovereignty Report 2026“ eines Besseren belehrt. Vier von fünf Befragten halten sich für gut informiert – doch jeder Dritte musste in den vergangenen zwölf Monaten trotzdem einen Vorfall melden. Die Studie, für die 286 Fachleute aus Kanada, dem Nahen Osten und Europa befragt wurden, zeigt: Das eigentliche Problem liegt nicht im Wissen, sondern in der Umsetzung.
Das Wissens-Paradox
Rund 44 Prozent der Befragten bezeichnen sich als „sehr gut informiert“ über die für sie geltenden Datensouveränitätsanforderungen. Das gilt bemerkenswert gleichmäßig in allen drei untersuchten Regionen: Kanada kommt auf 44 Prozent, der Nahe Osten auf 45 Prozent, Europa auf 44 Prozent. Wer nun erwartet hätte, dass Europa mit seiner jahrelangen DSGVO-Erfahrung hier deutlich vorne liegt, sieht sich getäuscht. Das Regulierungsbewusstsein hat in allen Regionen aufgeholt – auch dort, wo neuere Rahmenwerke wie Saudi-Arabiens Personal Data Protection Law (PDPL) erst seit Kurzem gelten.
Doch genau hier beginnt das Paradox. Denn während das Wissen überall ähnlich hoch ist, sind die Vorfallquoten alles andere als gleichmäßig verteilt. Insgesamt berichtete jeder dritte Befragte (33 Prozent) von mindestens einem datensouveränitätsbezogenen Vorfall innerhalb der vergangenen zwölf Monate. Im Nahen Osten liegt diese Quote bei erschreckenden 44 Prozent – also fast jede zweite Organisation. Europa folgt mit 32 Prozent, Kanada ist mit 23 Prozent das Schlusslicht der traurigen Rangliste. Die Schlussfolgerung der Studienautoren ist eindeutig: Nicht das Wissen ist der entscheidende Faktor, sondern die Reife der Implementierung.
Was passiert, wenn etwas schiefläuft
Die häufigsten Vorfalltypen sind Datenpannen mit Souveränitätsbezug (17 Prozent) und Compliance-Versagen bei Drittanbietern (ebenfalls 17 Prozent). Behördliche Untersuchungen oder Audits traf es 15 Prozent der Betroffenen, unerlaubte grenzüberschreitende Datentransfers wurden in zwölf Prozent der Fälle gemeldet. Dass diese Zahlen die Realität noch unterschätzen könnten, legt ein weiteres Detail nahe: Fünf Prozent der Befragten gaben an, sich zur Beantwortung der Vorfallfrage zu enthalten – was die tatsächliche Vorfallquote nach oben verschiebt.
Besonders aufschlussreich ist der Zusammenhang zwischen Unternehmensgröße und Vorfallhäufigkeit. Während bei Unternehmen mit 500 bis 999 Mitarbeitenden rund 28 Prozent von Vorfällen berichten, sind es bei Organisationen mit über 20.000 Beschäftigten bereits 45 Prozent. Größe bedeutet hier also nicht automatisch besseren Schutz – im Gegenteil. Mehr Standorte, mehr Partner, mehr grenzüberschreitende Datenbewegungen: Je größer das Unternehmen, desto größer die Angriffsfläche.
Drei Regionen, drei Realitäten
Der Bericht zeichnet drei sehr unterschiedliche regulatorische Landschaften. Europa steht vor dem dichtesten Regelwerk der Welt: DSGVO seit 2018, der Data Act seit September 2025 in Kraft, der EU-KI-Act mit GPAI-Pflichten seit August 2025. Kein Wunder, dass rund 15 Prozent der europäischen Befragten sich „äußert besorgt“ über mögliche DSGVO-Bußgelder zeigen – bei einem kumulierten Bußgeldvolumen von bereits über 5,66 Milliarden Euro europaweit. Zugleich findet in Europa ein Wandel statt: Nicht mehr nur die bloße Compliance treibt die Nachfrage nach souveränen Cloud-Lösungen, sondern der Wunsch nach echter Autonomie. Laut IDC ist der Schutz vor extraterritorialen Datenzugriffen – gemeint sind vor allem Anfragen aus den USA – zum wichtigsten Marktreiber für Sovereign Cloud in Europa geworden.
Kanada präsentiert sich als das ruhigste der drei Länder – aber nicht weil die Lage entspannt wäre, sondern weil das regulatorische Fundament mit dem Personal Information Protection and Electronic Documents Act (PIPEDA) schon länger steht. 79 Prozent der kanadischen Befragten geben volle PIPEDA-Compliance an. Dennoch blickt man nervös nach Süden: 40 Prozent nennen mögliche Änderungen in den USA-Kanada-Datenaustauschvereinbarungen als ihre größte Sorge, 21 Prozent sehen im US-CLOUD Act eine direkte Bedrohung für ihre Datensouveränität. Ob Daten, die bei US-amerikanischen Cloud-Anbietern liegen, wirklich unter kanadischer Rechtshoheit bleiben, ist eine offene Frage.
Der Nahe Osten ist das am stärksten im Wandel befindliche regulatorische Terrain. 93 Prozent der dortigen Befragten geben an, dass PDPL und das SDAIA-Rahmenwerk (Saudi Data and Artificial Intelligence Authority) direkte Auswirkungen auf ihren Betrieb haben. Gleichzeitig sehen 37 Prozent regulatorische Unsicherheit als wesentliches Hindernis für die Nutzung regionaler Cloud-Anbieter, und 33 Prozent benennen geopolitische Instabilität als Top-Sorge – eine Dimension, die in Kanada oder Europa in dieser Form nicht existiert.
Datensouveränität ist mehr als Speicherort
Ein zentraler Befund des Berichts stellt eine weit verbreitete Annahme in Frage: dass lokale Datenspeicherung allein Souveränität garantiert. Ende 2025 ordnete ein kanadisches Gericht das Cloud-Unternehmen OVHcloud an, Kundendaten herauszugeben – obwohl diese auf Servern in Frankreich lagen. Das Urteil illustriert: Grenzüberschreitende Rechtsdurchsetzung kann souveräne Cloud-Versprechen unterlaufen. Wer wirklich souverän agieren will, braucht nicht nur Datenlokalisierung, sondern auch nachprüfbare Zugriffskontrollen, klare Prozesse für staatliche Datenanfragen und Verträge, die regeln, wie Anbieter mit extraterritorialen Forderungen umgehen.
Wer weiß was – und wer handelt
Industrie und Berufsrolle prägen das Datensouveränitätsbewusstsein stärker als die Region. Technology- und Software-Profis führen die Selbsteinschätzungs-Rangliste mit 48 Prozent „sehr gut informiert“ an, Financial Services folgen mit 45 Prozent. Manufacturing landet bei 41 Prozent, der öffentliche Sektor nur bei 36 Prozent. Noch größer sind die Unterschiede nach Rolle: CISOs und CSOs, die unmittelbar mit Souveränitätsfragen befasst sind, bewerten sich zu 63 Prozent als sehr gut informiert. IT-Manager und Spezialisten – mit 42 Prozent der größten Berufsgruppe im Sample – kommen dagegen nur auf 41 Prozent. Sie sind die Menschen, die Compliance operativ umsetzen müssen, haben aber oft das geringste Regulierungswissen. Das ist eine der heikelsten Lücken, die der Bericht aufdeckt.
Was Compliance tatsächlich bringt – und was sie kostet
Trotz allem sind die wahrgenommenen Vorteile von Datensouveränitäts-Compliance beeindruckend. 63 Prozent der Befragten verbinden ihre Compliance-Bemühungen mit einer verbesserten Sicherheitslage, 52 Prozent mit gestärkertem Kundenvertrauen, 41 Prozent mit besserem Daten-Governance, 40 Prozent mit reduzierten Rechtsrisiken. Ein Drittel sieht sogar einen Wettbewerbsvorteil. Diese Wahrnehmungen mögen subjektiv sein – doch ihre Konsistenz über Regionen und Branchen hinweg verleiht ihnen Gewicht.
Gratis kommt das alles nicht. Technische Infrastrukturveränderungen belasten 59 Prozent der Befragten am stärksten, juristische und Compliance-Expertise wird von 53 Prozent als Hauptkostenpunkt genannt. Bei Unternehmen mit über 20.000 Beschäftigten geben rund 45 Prozent mehr als fünf Millionen in lokaler Währung jährlich für Datensouveränitäts-Compliance aus. Das ist kein Einmalbetrag – es ist ein dauerhaftes operatives Commitment.
KI als neue Souveränitätsfrage
Künstliche Intelligenz bringt eine neue Dimension in die Souveränitätsdebatte. Der häufigste Ansatz beim Management von KI-Trainingsdaten ist eine gemischte Strategie nach Datensensitivität (34 Prozent der Befragten). 36 Prozent halten alle KI-Trainingsdaten in ihrer Heimatregion – letzteres besonders in Regierungs- und öffentlichen Organisationen. Bedenklich: 21 Prozent entwickeln ihre KI-Datenstrategie noch. Das sind Organisationen, die noch kein konsistentes Framework haben, um Lokalisierungsentscheidungen zu treffen – eine klare Risikogruppe, wenn EU-KI-Act und SDAIA-Anforderungen strenger werden.
Was als nächstes kommt
Der Blick in die Zukunft zeigt eine Branche in Bewegung. 53 Prozent planen in den nächsten zwei Jahren Investitionen in Compliance-Automatisierung – besonders bei Großunternehmen, wo dieser Anteil auf 69 Prozent steigt. 50 Prozent wollen technische Kontrollen ausbauen, 45 Prozent planen mehr regionale Cloud-Anbieter einzusetzen. Die regionalen Prioritäten divergieren dabei: Europa setzt am stärksten auf Automatisierung (55 Prozent) und Ausbau von Rechts- und Compliance-Teams (42 Prozent). Der Nahe Osten betont regionale Anbieter (48 Prozent) und Umstrukturierung internationaler Betriebe (35 Prozent). Kanada führt bei der Datenlokalisierung (42 Prozent), hat aber auch den höchsten Anteil an Organisationen, die „keine wesentlichen Veränderungen“ planen (12 Prozent) – eine auffällige Spaltung zwischen aktiven Investoren und Selbstzufriedenen.
Das Fazit des Reports ist klar: Datensouveränität ist kein Zukunftsthema mehr. Sie ist operative Realität – mit messbaren Kosten, nachweisbaren Vorteilen und einer wachsenden Zahl von Vorfällen, die belegen, dass Wissen allein nicht schützt. Organisationen, die jetzt in Automatisierung, Training, regionale Infrastruktur und regulatorisches Monitoring investieren, werden die Gewinner sein. Alle anderen riskieren, im nächsten Bericht als Teil der Vorfallstatistik zu erscheinen.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de