Digitale Souveränität bei SaaS

Geografischer Standort heißt nicht automatisch Souveränität

Ein Server in Frankfurt macht einen Anbieter nicht souverän. Entscheidend ist, wer den Server betreibt, wer Zugriff auf die Systeme hat und welchem Rechtssystem der Anbieter unterliegt. Ein deutsches Rechenzentrum, das von einem US-amerikanischen Konzern betrieben wird, unterliegt US-amerikanischem Recht – einschließlich des CLOUD Act, der US-Behörden unter bestimmten Voraussetzungen Datenzugriff ermöglicht, ohne dass der betroffene Kunde informiert werden muss.

Das ist keine Panikmache. Es ist Vertragsrealität.

Dazu kommt ein weniger diskutiertes Thema: Viele Anbieter schalten vor ihre Infrastruktur einen sogenannten CDN-Dienst – ein weltweit verteiltes Netzwerk, das Inhalte schneller ausliefert und vor Angriffen schützt. Klingt harmlos. Der Marktführer in diesem Bereich ist Cloudflare, ein US-amerikanisches Unternehmen. Das Problem: Solche Dienste terminieren in der Regel die verschlüsselte Verbindung zwischen Browser und Server. Das bedeutet, der Datenverkehr wird an einem Punkt entschlüsselt, bevor er weitergeschickt wird – durch eine Infrastruktur, die nicht unter europäischer Jurisdiktion steht. Die eigentlichen Daten mögen am Ende auf einem deutschen Server landen. Aber sie waren unterwegs. Europäische Alternativen existieren und erfüllen denselben Zweck – ohne diesen Umweg.

Souveränität bedeutet: rechtliche, physische und logische Kontrolle über die Daten. Alle drei zusammen.

Kein Lock-in ist auch Souveränität

Digitale Souveränität hat eine zweite Dimension, die im Gespräch über Cloud-Jurisdiktion oft untergeht: Portabilität. Wer seine Daten nicht jederzeit vollständig exportieren und zu einem anderen Anbieter migrieren kann, ist abhängig – unabhängig davon, wo die Server stehen.

Viele SaaS-Anbieter machen den Datenexport technisch möglich, aber praktisch mühsam. Proprietäre Formate, fehlende APIs, unvollständige Exporte. Das ist kein Zufall. Vendor Lock-in ist ein Geschäftsmodell.

Souveränität bedeutet hier: vollständiger, maschinenlesbarer Export aller eigenen Daten, jederzeit, ohne Begründung.

Was wir konkret anders machen

Wir haben bei BRAINORITY keine strategische Entscheidung gegen bestimmte Anbieter getroffen – wir haben eine Entscheidung für ein bestimmtes Mindset getroffen. Und die Konsequenzen davon ziehen sich durch jeden Teil der Infrastruktur.

SecIdent läuft ausschließlich auf Servern in deutschen Rechenzentren, betrieben von deutschen Hostern. Wenn Nähe zum Nutzer eine Edge-Infrastruktur erfordert, geschieht das ausschließlich über europäische Anbieter. Backups werden Ende-zu-Ende verschlüsselt an mehrere Standorte innerhalb der EU ausgelagert – selbst die Betreiber der Backup-Infrastruktur haben keinen Klartextzugriff auf diese Sicherungskopien.

KI-gestützte Hintergrundfunktionen laufen auf eigenen Systemen in deutschen Rechenzentren, die vom öffentlichen Internet nicht erreichbar sind. Kein Datenstrom verlässt dafür das System in Richtung externer KI-Dienste.

Und: Wir erfassen keine Daten jenseits des Kundenzwecks. Keine Nutzungsprofile, keine verhaltensbasierte Auswertung, keine Aggregation für eigene Zwecke. Die Daten gehören dem Kunden – auch konzeptuell.

Was ist SecIdent?

SecIdent ist eine SaaS-Plattform für digitale Produktidentitäten – entwickelt für regulierte Märkte wie den Digitalen Produktpass nach ESPR (EU) 2024/1781, den Batteriepass nach (EU) 2023/1542 und die Pharma-Serialisierung nach 2011/62/EU. Die Plattform wird ausschließlich in deutschen Rechenzentren betrieben, ist ISO 27001 zertifiziert und DSGVO-konform. Datenexport ist vollständig und jederzeit möglich – ohne künstliche Hürden.