Digitale Souveränität klingt nach einem großen politischen Begriff. Für Wealth- und Asset Manager ist sie jedoch vor allem eines: ein Thema der Risikokontrolle.
Aktueller Anlass ist die neu entfachte Diskussion um das EU-US Data Privacy Framework. Am 29. Juni 2026 entschied der US Supreme Court in Trump v. Slaughter mit 6 zu 3 Stimmen, dass die gesetzlichen Kündigungsschutzregeln für Mitglieder der Federal Trade Commission verfassungswidrig sind. Damit kippte das Gericht das mehr als 90 Jahre alte Grundsatzurteil Humphrey’s Executor aus dem Jahr 1935. Der US-Präsident kann Mitglieder der FTC und vergleichbarer Behörden künftig ohne Angabe von Gründen abberufen.
Was auf den ersten Blick wie eine rein US-amerikanische Verfassungsfrage wirkt, betrifft den europäischen Datenschutz unmittelbar. Die Angemessenheitsentscheidung der Europäischen Kommission stützt sich an zentraler Stelle auf die FTC als unabhängige Aufsichts- und Durchsetzungsbehörde. Genau diese Unabhängigkeit ist eine Voraussetzung dafür, dass die EU den USA ein angemessenes Datenschutzniveau bescheinigt. Entfällt sie, gerät die rechtliche Grundlage für Datentransfers in die USA unter Druck.
Das bedeutet nicht, dass Datenübertragungen in die USA über Nacht unzulässig geworden sind. Das EU-US Data Privacy Framework gilt formal weiter. Die Europäische Kommission hatte im Juli 2023 festgestellt, dass für Datenübermittlungen an teilnehmende US-Unternehmen ein angemessenes Schutzniveau besteht. Diese Feststellung bleibt zunächst in Kraft.
Aber der Vorgang zeigt erneut, wie fragil digitale Abhängigkeiten sind, wenn sie nicht nur technisch, sondern auch rechtlich und politisch auf externen Voraussetzungen beruhen. Safe Harbor wurde gekippt. Privacy Shield wurde gekippt. Nun steht auch das Data-Privacy-Framework wieder unter verstärkter Beobachtung. Die Datenschutzorganisation noyb um Max Schrems hat die Europäische Kommission bereits formal aufgefordert, die Angemessenheitsentscheidung geordnet zurückzunehmen, und weitere rechtliche Schritte angekündigt.
Für regulierte Finanzunternehmen ist das keine abstrakte Debatte. Wealth- und Asset-Manager arbeiten mit Kundendaten, Kommunikationsdaten, CRM-Systemen, Analyseplattformen, Videokonferenzlösungen, Cloudspeichern, Newsletter-Tools, KI-Anwendungen und zunehmend auch automatisierten Workflows. Viele dieser Dienste laufen über große US-Anbieter oder über Dienstleister, die ihrerseits US-Infrastruktur nutzen.
Die entscheidende Frage lautet deshalb nicht: Kann man ab morgen vollständig auf US-Clouds verzichten? Die bessere Frage lautet: Weiß das Unternehmen, wo kritische Daten liegen, welche Rechtsgrundlagen genutzt werden, welche Anbieter austauschbar sind und wo echte Abhängigkeiten bestehen?
Genau hier beginnt digitale Souveränität. Nicht als Ideologie. Nicht als Reflex gegen bestimmte Anbieter. Sondern als nüchterne Bestandsaufnahme der eigenen operativen Verwundbarkeit.
Ein Unternehmen, das Kundendaten, Kommunikation, Videoinhalte, KI-Prozesse und Vertriebsinfrastruktur vollständig auf Dienste stützt, deren rechtliche Grundlage sich kurzfristig verändern kann, hat kein reines IT-Thema. Es hat ein Geschäftsrisiko.
Risikokontrolle ist für Finanzunternehmen keine Nebendisziplin, sondern eine Kernaufgabe. Das gilt für Portfolios, Gegenparteien, Liquidität und Regulierung. Es gilt inzwischen ebenso für die digitale Infrastruktur.
altii hat diese Frage bereits in anderen Zusammenhängen aufgegriffen. Im Beitrag „Wenn ein KI-Modell über Nacht verschwindet” ging es um die Abhängigkeit von KI-Modellen, APIs und Plattformentscheidungen. Wird ein Modell geändert, eingeschränkt oder abgeschaltet, kann ein darauf aufgebauter Workflow plötzlich nicht mehr funktionieren.
Im Beitrag „Eigene Videoplattform statt Drittanbieter: Warum Wealth- und Asset Manager digitale Souveränität brauchen” stand die Frage im Mittelpunkt, wem die Distributionswege, Nutzungsdaten und Kundenkontakte bei digitalen Medienformaten eigentlich gehören.
Die aktuelle Diskussion um das EU-US Data Privacy Framework ergänzt diese Perspektive um eine dritte Ebene: die rechtliche Infrastruktur. Auch sie kann zum Risikofaktor werden, wenn Unternehmen keine Alternativen vorbereitet haben.
Daraus folgt keine einfache Parole. Es geht nicht darum, etablierte Systeme überstürzt auszutauschen. Für viele Anwendungen sind Microsoft, Google, Amazon Web Services oder andere internationale Anbieter tief in bestehende Prozesse integriert. Ein abrupter Wechsel wäre weder realistisch noch professionell.
Sinnvoller ist ein schrittweiser Ansatz. Er beginnt mit einigen klaren Fragen:
- Welche Daten sind besonders sensibel?
- Welche Systeme sind geschäftskritisch?
- Welche Anbieter verarbeiten personenbezogene Daten außerhalb der EU?
- Welche Anwendungen lassen sich europäisch, selbst gehostet oder hybrid betreiben?
- Wo braucht es Exit-Szenarien, technische Portabilität und vertragliche Klarheit?
Für Wealth- und Asset-Manager wird digitale Souveränität damit sehr konkret: europäische Hosting-Optionen für sensible Daten, eigene Videoinfrastruktur für Kundenformate, klar dokumentierte Datenflüsse, geringere Abhängigkeit von einzelnen KI-Anbietern, offene Standards, exportierbare Daten und ein realistischer Plan B für kritische Systeme.
Der wichtigste Schritt ist nicht der sofortige Wechsel. Der wichtigste Schritt ist Transparenz. Wer weiß, wo seine Abhängigkeiten liegen, kann entscheiden. Wer es nicht weiß, wird von externen Ereignissen überrascht: von Gerichtsurteilen, Produktänderungen, API-Preisen, Plattformregeln oder regulatorischen Neubewertungen.
Digitale Souveränität bedeutet deshalb nicht, alles selbst zu bauen. Sie bedeutet, handlungsfähig zu bleiben.
Für Wealth- und Asset Manager ist das eine zentrale Lehre aus der aktuellen Cloud-Debatte. Kundendaten, Kommunikation und digitale Wertschöpfung gehören zu den Kernressourcen des Geschäfts. Wer sie vollständig von Rechtsgrundlagen und Plattformentscheidungen abhängig macht, die außerhalb des eigenen Einflussbereichs liegen, sollte dieses Risiko zumindest kennen, messen und steuern.
Bleib datensouverän heißt am Ende: nicht warten, bis die nächste Grundlage wegbricht, sondern heute beginnen, digitale Abhängigkeiten wie jedes andere Geschäftsrisiko zu behandeln. csa
Quellen: US Supreme Court, Trump v. Slaughter (No. 25-332), Entscheidung vom 29. Juni 2026; Europäische Kommission, Durchführungsbeschluss (EU) 2023/1795 zum EU-US Data Privacy Framework, Juli 2023; noyb (None of Your Business), Stellungnahme und Schreiben an die Europäische Kommission vom 29. Juni 2026.
* DE: Die ergänzenden Inhalte können KI-generiert sein. EN: The additional content may be AI-generated.