1. Themen
  2. IT-Management
  3. Risiken: Nutzung von IT-Ressourcen in nicht-europäischen Rechtsräumen

Risiken: Nutzung von IT-Ressourcen in nicht-europäischen Rechtsräumen

Veröffentlicht 17.10.2025 09:50, Kim Wehrs

Die Nutzung von IT-Ressourcen in nicht-europäischen Rechtsräumen birgt strategische und rechtliche Risiken für Unternehmen und öffentliche Einrichtungen. Besonders im Gesundheitswesen, wo hochsensible Daten verarbeitet werden, kann der Einsatz von Cloud-Diensten oder IT-Infrastrukturen außerhalb der EU zum Verlust des tatsächlichen Kontrollrechts über die Daten führen. Unterschiedliche Datenschutzstandards, fehlende oder schwache Verschlüsselungsvorgaben sowie staatliche Zugriffsrechte im Gastland erhöhen die Gefahr von Datendiebstahl, Wirtschaftsspionage und unautorisierten Einsichten durch ausländische Behörden.

Ein zentrales Risiko liegt in der Verletzung von EU-Gesetzen wie der Datenschutz-Grundverordnung (DSGVO) oder sektorspezifischen Regelungen, etwa der eIDAS-Verordnung oder nationalen Gesundheitsdatengesetzen. Datentransfers in Länder ohne gleichwertiges Datenschutzniveau können zu erheblichen Bußgeldern führen und das Vertrauen von Patienten, Partnern und Bürgern nachhaltig schädigen. Zudem bestehen geopolitische Unsicherheiten: politische Spannungen, Sanktionen oder Änderungen im lokalen Recht können abrupt den Zugang zu kritischen IT-Ressourcen beschränken oder deren Sicherheit gefährden.

Zur Minimierung dieser Risiken ist ein Bündel technischer, organisatorischer und vertraglicher Maßnahmen erforderlich. Technisch sollten Zero-Trust-Architekturen, durchgehende Ende-zu-Ende-Verschlüsselung und strikte Zugriffskontrollen etabliert werden. Daten sollten möglichst in europäisch kontrollierten Rechenzentren gespeichert werden – idealerweise in GAIA-X-konformen oder national zertifizierten Cloud-Umgebungen. Ergänzend sollten sogenannte Data Residency Policies festlegen, dass sensible Informationen ausschließlich innerhalb der EU verbleiben.

Organisatorisch spielt eine präzise Risikoanalyse mit laufender Compliance-Überprüfung eine zentrale Rolle. Verträge mit ausländischen IT-Dienstleistern müssen klare Regelungen zu Datenschutz, Geheimhaltung, Haftung und Rechtswahl enthalten, ergänzt durch Audit- und Exit-Klauseln. Die Etablierung von internen Melde- und Eskalationswegen für Sicherheitsvorfälle sowie die Schulung aller IT- und Fachmitarbeiter in Bezug auf Datenschutzpflichten stärkt die Abwehrkraft.

Digitale Souveränität entsteht letztlich durch die Kombination aus technischer Kontrolle, rechtlicher Absicherung und geopolitischer Vorsicht. Nur wenn Organisationen ihre Datenhoheit gegenüber Drittstaaten wahren, können sie langfristig die Integrität ihrer Systeme sichern und das Vertrauen in ihre digitalen Dienste erhalten.

Schutzmaßnahmen

  • On-Premises oder europäische Cloud-Lösungen für kritische Daten verwenden und die Speicherorte regelmäßig prüfen.?
  • Ende-zu-Ende-Verschlüsselung mit eigenen Schlüsseln: Minimiert die Zugriffsmöglichkeiten externer Behörden.
  • Hybride Infrastrukturen und Air-gapped-Backups für Betriebsautonomie und Wiederherstellbarkeit.?
  • Rechtskonforme Verträge, regelmäßige Audits und Compliance-Überwachung erstellen, um regulatorische Anforderungen (DSGVO, NIS-2, DORA) nachzuweisen.?
  • Lokale Partner und europäische Technologien bevorzugen, um Support- und Lieferkettenrisiken sowie Abhängigkeit von fremden Rechtsräumen zu verringern.?
  • Datentransparenz erhöhen: Speicherorte und Zugriff lückenlos dokumentieren, Schutzmaßnahmen nachhalten.
  • Kernpunkte von wichtigen Risikoarten – umsetzbare Maßnahmen zur Erhöhung der digitalen Souveränität und zur Nachweisführung gegenüber Behörden und IT-Prüfern.

Kriterien zur Auswahl europäischer Cloud- und On‑Prem‑Anbieter

Die Auswahl von Cloud- und On-Prem‑Anbietern innerhalb Europas erfordert eine strukturierte Bewertung entlang technischer, rechtlicher und organisatorischer Kriterien. Ziel ist, langfristige Sicherheit, digitale Souveränität und regulatorische Konformität zu garantieren.

1. Datenschutz und Datenhoheit
Anbieter sollten ausschließlich Rechenzentren in der EU oder dem EWR betreiben und nach europäischem Datenschutzrecht (DSGVO) agieren. Maßgebend ist die Einhaltung von Standards wie dem EU Cloud Code of Conduct (Level3), dem BSI‑C5-Testat und ISO27001/27018‑Zertifikaten. Ein klarer Nachweis über Speicherorte und Datenflüsse ist zwingend erforderlich, um Risiken aus Gesetzen wie dem US CLOUDAct auszuschließen.?

2. Informations‑ und Betriebssicherheit
Zentrale Auswahlkriterien sind Multi‑Faktor‑Authentifizierung, Zero‑Trust‑Architekturen und nachvollziehbares Zugriffsmanagement. Besonders hochwertige Angebote beinhalten Security Level Agreements (SecLA), die technische Sicherheitsmaßnahmen, Monitoring‑Pflichten und Reaktionszeiten vertraglich festschreiben. On‑Prem‑Lösungen sollten zusätzliche physische Sicherheitsmaßnahmen für Serverstandorte aufweisen.?

3. Rechtliche und vertragliche Anforderungen
Bei europäischen Anbietern sind transparente Service Level Agreements (SLA), individuelle Auftragsverarbeitungsverträge (AVV) und detaillierte Regelungen zu Subunternehmen entscheidend. Wichtig ist außerdem die Aufnahme von Exit‑Strategien, um Daten verlustfrei zu migrieren, falls der Anbieter gewechselt werden muss. Zusätzlich sollte die Verantwortung über kritische Dienste gemäß NIS‑2 und DORA klar geregelt sein.?

4. Technische Integrations‑ und Migrationsfähigkeit
Bewertet werden sollte die Kompatibilität mit bestehenden IT‑Systemen, offene APIs sowie Unterstützung gängiger Datenformate (z.B. FHIR, HL7, DICOM im Gesundheitswesen). Europäische On‑Prem‑ oder Hybrid‑Modelle bieten hier häufig Vorteile, da sie eine bessere Individualisierung und Datensouveränität ermöglichen.?

5. Wirtschaftlichkeit und Nachhaltigkeit
Neben Lizenz‑ und Nutzungskosten sind langfristige Energieeffizienz, ökologische Rechenzentrumsstrategien und die Nachvollziehbarkeit der Preisgestaltung zu prüfen. Besonders Anbieter mit GAIA‑X‑Konformität sichern nicht nur regulatorische Übereinstimmung, sondern fördern auch europäische Innovationsautonomie.?

Die Entscheidung für einen europäischen Cloud‑ oder On‑Prem‑Anbieter sollte nicht primär nach Kosten, sondern nach Sicherheits‑ und Rechtskonformität getroffen werden. Anbieter mit eindeutiger Datenlokalisierung, überprüfbaren Zertifizierungen und souveräner technischer Steuerbarkeit stellen die strategisch nachhaltigste Wahl für kritische IT‑Ressourcen dar.

 

Autor: Wolf-Dietrich Lorenz

Symbolbild: Senang / AdobeStock

 


Lesen Sie mehr zum Thema "IT-Management"

Wie die KHTFV Krankenhäuser resilienter macht – ein Beispiel aus der Cybersecurity
IT-Management
KHTFV

Wie die KHTFV Krankenhäuser resilienter macht – ein Beispiel aus der Cybersecurity

Digitale Zerreißprobe: Klinik-IT und CIO im Umbruch
IT-Management
CIO

Digitale Zerreißprobe: Klinik-IT und CIO im Umbruch

CIO als moderner Dienstleister im Krankenhaus
IT-Management
Chief

CIO als moderner Dienstleister im Krankenhaus

Mit KI-Agenten und Decision Intelligence hin zu autonomen Krankenhausunternehmen
IT-Management
KI

Mit KI-Agenten und Decision Intelligence hin zu autonomen Krankenhausunternehmen

Datenschutzrisiken der ePA – ein Appell an Krankenhäuser
IT-Management
ePA

Datenschutzrisiken der ePA – ein Appell an Krankenhäuser

GAIA-X-kompatible Datenräume als strategischer Schlüssel für das Gesundheitswesen
IT-Management
GAIAX

GAIA-X-kompatible Datenräume als strategischer Schlüssel für das Gesundheitswesen

Lesen Sie hier die neuesten Beiträge

SAP IS-H Ende bedroht IT-Zukunft von Kliniken: DSAG warnt vor Abhängigkeiten
IS-H Nachfolge News
DSAG

SAP IS-H Ende bedroht IT-Zukunft von Kliniken: DSAG warnt vor Abhängigkeiten

Umstellung der Verschlüsselungsalgorithmen für die TI
Digitalisierung
ECC

Umstellung der Verschlüsselungsalgorithmen für die TI

Besser sehen, aufrecht stehen: digitales OP-Mikroskop in der Neurochirurgie
Robotik
3D

Besser sehen, aufrecht stehen: digitales OP-Mikroskop in der Neurochirurgie

Diese Webseite verwendet Cookies.   Mehr Info.      oder