Strategy

Souveräne KI: Warum europäische CISOs US-Cloud-DLP ablehnen

Schrems II, FISA 702, der CLOUD Act und Maßnahmen von BfDI und CNIL haben die Rechnung verändert. Praxisleitfaden, wann ein US-Cloud-DLP-Anbieter nicht mehr tragbar ist.

ZTZeuslock Team··7 min
EU- und US-Flagge als Leiterplatte stilisiert, mit Vorhängeschloss an der Grenze als Symbol für Datensouveränität bei KI-DLP.

Der Rechtsrahmen spielt nicht mehr für US-Cloud-DLP

Vor fünf Jahren konnte ein europäischer CISO Symantec, McAfee, Forcepoint, Microsoft Purview oder Zscaler auf die Shortlist setzen, ohne dass die Rechtsabteilung die Hand hob. 2026 ist diese Shortlist schwer zu verteidigen. Der Wandel kommt nicht aus einem einzigen Urteil, sondern aus einem Stapel, in dem jedes Element das vorige verstärkt. Schrems II kippte 2020 den Privacy Shield und machte Übermittlungen in die US-Infrastruktur von zusätzlichen Maßnahmen abhängig, die die meisten Anbieter nicht ehrlich beschreiben können. Der Data Privacy Framework von 2023 sollte das richten; er wurde 2024 erneut angefochten und liegt aus den bekannten Gründen beim EuGH. FISA Section 702 ist unverändert und bedeutet, dass ein in den USA ansässiger Anbieter einer National Security Letter oder einer FISA-Anordnung Folge leisten muss, auch wenn die betroffenen Daten in Frankfurt liegen. Der CLOUD Act von 2018 verankert diese Reichweite ausdrücklich.

Dann kam 2025. Die Änderungen, die die aktuelle US-Administration an der Executive Order vornahm, die den DPF stützt, schwächten die Unabhängigkeit des Data Protection Review Court — genau jenes Zugeständnis, das Brüssel zur Unterzeichnung bewegt hatte. Die Erklärung des EDSA vom Januar 2026 war diplomatisch. Die Botschaft an die Einkaufsabteilungen war es nicht: Gehen Sie davon aus, dass die Angemessenheitsentscheidung erneut geprüft wird, und kalkulieren Sie entsprechend.

Die Durchsetzung hat die Theorie eingeholt

Lange war das regulatorische Risiko abstrakt. Das ist es nicht mehr. Die CNIL entschied 2022, dass die Standardkonfiguration von Google Analytics eine unzulässige Übermittlung darstellt; 2024 ging sie gegen Anbieter vor, die US-Analytik in ihr europäisches SaaS-Angebot eingebaut hatten, darunter zwei Sicherheitswerkzeuge. Das BSI veröffentlicht Hinweise, die Bundesbehörden von US-Cloud-SaaS für jede Verarbeitung mit Bezug zu eingestuften oder regulierten Workloads abrät. Die AEPD behandelt in den USA gehostete Auftragsverarbeiter konsequent als Hochrisiko für Gesundheit und Finanzen. Selbst die ICO nach dem Brexit, traditionell flexibler als ihre kontinentalen Pendants, beginnt bei KI-spezifischen Übermittlungen zu divergieren.

Die Bußgelder sind noch nicht existenziell, die Präzedenzfälle aber schon. Wer 2026 einen Vertrag für US-Cloud-DLP unterschreibt, unterschreibt in einem feindseligen rechtlichen Klima, und die Beweislast ist auf sie oder ihn übergegangen. Wenn eine Aufsichtsbehörde fragt, warum Mitarbeitendendaten über US-Infrastruktur an ein US-kontrolliertes DLP-Werkzeug fließen, wird „der Anbieter hat gesagt, das gehe schon“ keine Verteidigung sein.

Was „souverän“ wirklich bedeutet

Die Anbieter haben das verstanden. Jedes große DLP-Haus beansprucht heute eine Form von Souveränität. Der Begriff ist so abgenutzt, dass er vor jedem Einkaufsgespräch definiert werden muss. Souveränität ist ein Spektrum, kein Binärwert, und das Gegenteil zu behaupten ist der sichere Weg zu einem Werkzeug, das das nächste Audit nicht besteht.

StufeBedeutungReale Exposition
1. EU-gehostet, US-MutterDatenplane in Frankfurt oder Dublin, Konzernmutter mit Sitz in den USACLOUD Act und FISA 702 erreichen die Mutter. Vom Anbieter gehaltene Schlüssel sind kompulsionsfähig.
2. EU-Einheit, ausschließlich EU-DatenplaneDie europäische Einheit verantwortet die Infrastruktur; keine US-Tochter berührt den DatenpfadSchrems-II-Position vertretbar. Hängt weiter von der Lieferkette ab.
3. Kundenverwaltete Schlüssel (BYOK)Der Anbieter betreibt den Dienst, die Schlüssel liegen im KMS des KundenAuch unter Zwang kann der Anbieter nicht entschlüsseln. Praktische Souveränität für die meisten Workloads.
4. On-Premise / Air-GapDie Steuerungsebene läuft vollständig im Netz des KundenKeine externe Abhängigkeit. Konfiguration, die Verteidigung und Zentralbanken verlangen.

Stufe 1 ist das, was die meisten US-Anbieter verkaufen, wenn sie sagen „in Europa gehostet“. Das reicht nicht. Stufe 2 ist das Minimum, das ein ernstes Einkaufsteam 2026 für KI-DLP akzeptieren sollte. Stufe 3 sollte im Finanz-, Gesundheits- und kritischen Infrastruktursektor der Standard sein. Stufe 4 bleibt den Fällen vorbehalten, in denen Aufsicht oder Bedrohungsmodell es verlangen.

Wenn Ihr DLP-Anbieter Ihnen nicht schriftlich sagen kann, auf welcher Stufe er steht und welche Tochter den AVV unterzeichnet, haben Sie keine Souveränitätsgeschichte. Sie haben einen Marketing-Anspruch.

Die ehrlichen Trade-offs voller Souveränität

Souveränität ist nicht umsonst. Wer sie als reinen Fortschritt verkauft, hat etwas zu verkaufen. Das realistische Kostenbild aus den europäischen Mid-Market-Deals der letzten achtzehn Monate, in die wir Einblick haben:

  • Eine Preisprämie von rund 25 bis 35 Prozent gegenüber dem vergleichbaren US-Cloud-Angebot, getrieben von kleinerer Infrastrukturskala und den Kosten eines reinen EU-Betriebs.
  • Ein Funktionsrückstand von sechs bis zwölf Monaten am vordersten Rand, besonders bei ML-getriebener Erkennung. Die US-Giganten liefern schneller, weil sie mehr Telemetrie und mehr Personal haben.
  • Ein kleineres Integrations-Ökosystem. Weniger fertige Konnektoren zu Nischen-SaaS, weniger Marketplace-Plug-ins, weniger Beratungen, die das Werkzeug ausrollen können.
  • Weniger Bekanntheit beim Aufsichtsrat. Manche Aufsichtsräte halten den „Gartner Magic Quadrant Leader“ weiterhin für Synonym mit Sicherheit, auch wenn der Leader die Quelle des regulatorischen Risikos ist.

Diese Trade-offs sind real. Sie sind aber für die meisten europäischen Unternehmen in regulierten Branchen handhabbar. Die 30-Prozent-Prämie auf DLP ist Rundungsfehler gegenüber einer einzigen CNIL- oder BfDI-Sanktion, und der Funktionsrückstand wiegt weniger, als Anbieter andeuten, wenn die fraglichen Funktionen das Leck von morgen abfangen sollen, nicht das von gestern.

Warum das speziell für KI-DLP zählt

Die Souveränitätsdebatte läuft in der allgemeinen DLP- und SIEM-Welt seit Jahren. Was sich geändert hat, ist der Workload. KI-Prompts sind nicht wie der Rest der Mitarbeitendenproduktion. Wenn ein Vertriebsingenieur ein Deal-Memo in ChatGPT klebt, um es zusammenfassen zu lassen, enthält der Prompt typischerweise Kundenname, Deal-Größe, Wettbewerbskontext, technische Einwände und manchmal Credentials aus einer Debug-Session. Wenn eine Entwicklerin Claude Code oder Cursor bittet, eine Funktion zu refaktorieren, enthält der Prompt häufig Verbindungszeichenketten, API-Schlüssel, interne Hostnamen und die umgebende Geschäftslogik. Prompts an Gemini für Marketing-Texte tragen regelmäßig unangekündigte Kampagnen, M&A-Codenamen und Preisstrategie.

Pro Token ist ein generativer KI-Prompt der dichteste Träger sensibler Daten im modernen Unternehmen. Der ENISA-Bericht zur KI-Bedrohungslage 2025 nannte Prompt-Leakage als am schnellsten wachsenden Datenexfiltrations-Vektor. Diesen Verkehr durch eine US-Cloud-DLP-Pipeline zu schicken, verdoppelt das Risiko, das gemindert werden soll: Sie haben den sensibelsten Inhalt Ihres Unternehmens von einem regulierten Kanal in einen weniger regulierten verschoben und routen ihn dann durch einen Anbieter, der unter FISA auf Anforderung offenlegen muss.

Das ist der Teil, den viele CISOs noch nicht verinnerlicht haben. Ein KI-DLP-Produkt ist per Konstruktion ein Werkzeug zur Inhaltsinspektion. Es muss die sensible Daten sehen, um sie zu erkennen. Die architektonische Frage, wo diese Inspektion stattfindet und wer den Zugriff erzwingen kann, ist daher keine Randfrage. Sie ist die ganze Frage.

Die Beschaffungsfragen, die wirklich filtern

Die meisten RFP-Vorlagen sind für Storage-Werkzeuge geschrieben und verfehlen die Punkte, die für KI-DLP zählen. Die folgenden sechs Fragen, schriftlich gestellt und schriftlich zu beantworten, eliminieren in der ersten Runde rund zwei Drittel der Kandidaten.

  1. Wo liegt die Datenplane, nicht nur die Webseite? Eine Landingpage in Paris bedeutet nichts. Der Kunde muss die AWS-Region, das GCP-Projekt, die Azure-Resource-Group kennen — und wissen, ob irgendein Steuerungs-Komponentenpfad eine US-Region für Telemetrie, Logs oder Modell-Inferenz erreicht.
  2. Welche juristische Person verarbeitet meine Daten? „Acme Inc.“ und „Acme Europe GmbH“ sind nicht dieselbe Antwort. Der AVV muss von einer Einheit unterzeichnet werden, deren Rechenzentren und Personal in der EU sitzen und deren Konzernmutter den Vertrag nicht in die US-Gerichtsbarkeit zieht.
  3. Können Sie garantieren, dass kein Transit durch Infrastruktur unter US-Gerichtsbarkeit erfolgt? Einschließlich CDN, WAF, Analytik, Support-Werkzeuge und Modell-Inferenz-Endpunkt. Cloudflare US, Datadog US und OpenAI US sind die klassischen blinden Flecken.
  4. Unterstützen Sie kundenverwaltete Schlüssel? Lautet die Antwort „auf der Roadmap“, behandeln Sie sie als Nein. BYOK ist das, was den Anbieter unfähig macht, unter Zwang zu entschlüsseln. Ohne BYOK ist Souveränität Pose, keine Architektur.
  5. Zeigen Sie mir Ihren Transparenzbericht der letzten 24 Monate. Volumen und Art empfangener Regierungsersuchen, was offengelegt, was angefochten wurde. Anbieter ohne Bericht sind nicht zwangsläufig kompromittiert, haben sich den Vertrauensvorschuss aber nicht verdient.
  6. Was geschieht mit meinen Daten am Vertragsende? Löschfrist, Export-Format, Audit-Vernichtungszertifikat. Ein souveräner Anbieter hat eine schriftliche Antwort; ein US-Platzhirsch muss oft eskalieren.

Eine ehrliche Bemerkung eines europäischen Anbieters

Zeuslock ist europäisch. Wir sind in dieser Frage nicht neutral. Das Ziel des obigen Rahmens ist nicht, eine Marke zu pushen; es ist, Ihnen Entscheidungskriterien an die Hand zu geben, die gegen jeden funktionieren, uns eingeschlossen. Wenn ein Anbieter — Zeuslock oder ein anderer — diese sechs Fragen nicht sauber beantworten kann, ist die Lösung nicht, zu unterschreiben und zu hoffen, dass die Aufsicht woandershin schaut.

Die CISOs, mit denen wir in Deutschland, Frankreich, Spanien, Italien und Skandinavien arbeiten, sind nicht aus Ideologie bei Souveränität gelandet. Sie sind dort gelandet, nachdem ihre Rechtsabteilung die Schrems-Analyse nach 2024 gelesen hatte, nachdem ihr DSB die extraterritoriale Mechanik des CLOUD Act durchgegangen war und nachdem ihr Aufsichtsrat zu fragen begann, was mit ihren KI-Pipelines passiert, wenn der Data Privacy Framework das nächste Mal wackelt. Die Rechnung hat sich geändert. Die Shortlist sollte sich mit ihr ändern.

Für ein schriftliches Briefing zur Datenplane von Zeuslock, zur Liste der Unter-Auftragsverarbeiter und zur BYOK-Architektur siehe unsere DSGVO-Referenzseite oder wenden Sie sich an Ihr Account-Team. Das Dokument ist signiert, datiert und versioniert.

Protect your data from AI leaks

Try Zeuslock free — DLP for ChatGPT, Claude, Gemini and more.

Book a demo →