Datensouveränität & Datenportabilität: Kontrolle über Unternehmensdaten

Daten sind der wertvollste digitale Rohstoff eines Unternehmens – doch wer hat tatsächlich die Kontrolle? Datensouveränität bedeutet, über Speicherort, Zugriff, Verarbeitung und Export der eigenen Daten vollständig selbst zu bestimmen. Datenportabilität ist die technische Voraussetzung dafür: die Fähigkeit, Daten jederzeit in offenen Formaten zu exportieren und in ein anderes System zu übertragen. Dieser Leitfaden zeigt, wie beide Konzepte in Softwareprojekten umgesetzt werden.

Zu sehen sind die Hände eines Softwareentwicklers auf einer Notebook-Tastatur. Durch das Bild schweben digitale Zahnräder. Ein Symbolbild für die Sicherheit von Datensouveränität.

1. Datensouveränität im Überblick
2. Was ist Datensouveränität?
3. Datenportabilität als Recht und Geschäftsanforderung
4. Portabilität in Softwareprojekten umsetzen
5. Datenmigration: Vom alten ins neue System
6. Datensouveränität als Grundprinzip
7. Weiterführende Informationen

Datensouveränität im Überblick

🟢 Datensouveränität = Kontrolle über Speicherort, Zugriff, Verarbeitung und Export der eigenen Daten
🟢 Datenportabilität ist das Recht und die technische Fähigkeit, Daten in offenen Formaten zu exportieren.
🟢 DSGVO Art. 20 und EU Data Act stärken das Recht auf Datenübertragbarkeit erheblich.
🟢 API-First-Architektur und offene Formate sind die technische Basis für Datensouveränität.
🟢 Individualsoftware bietet strukturelle Vorteile: Code-Eigentum, offene Formate, volle Exportfähigkeit.

Was ist Datensouveränität?

Datensouveränität (auch Datenhoheit) beschreibt die vollständige Kontrolle einer Organisation über ihre Daten. Im Unterschied zu Datensicherheit, die den Schutz von Daten vor Verlust und unbefugtem Zugriff fokussiert, geht Datensouveränität weiter: Es geht um die aktive Steuerungsfähigkeit.

Eine umfassendere Betrachtung bietet unser Hauptartikel Digitale Souveränität.

Datensouveränität vs. Datensicherheit vs. Datenschutz

Diese drei Begriffe sind verwandt, beschreiben aber unterschiedliche Aspekte:

Begriff	Fokus	Kernfrage
Datensicherheit	Technischer Schutz	„Sind unsere Daten vor Verlust und Zugriff geschützt?”
Datenschutz	Rechtlicher Schutz personenbezogener Daten	„Verarbeiten wir Daten DSGVO-konform?”
Datensouveränität	Kontrolle und Unabhängigkeit	„Haben wir die volle Kontrolle über unsere Daten?”

Datensouveränität schließt beide anderen Aspekte ein, geht aber darüber hinaus: Sie umfasst auch die Fähigkeit, Daten zu migrieren, Anbieter zu wechseln und die Datenverarbeitung nach eigenen Regeln zu gestalten.

Datenportabilität als Recht und Geschäftsanforderung

DSGVO Art. 20: Das Recht auf Datenübertragbarkeit

Die DSGVO verankert in Artikel 20 das Recht auf Datenportabilität. Betroffene Personen können ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format anfordern und einem anderen Verantwortlichen übermitteln lassen.

Für Softwareprojekte bedeutet das: Jede Anwendung, die personenbezogene Daten verarbeitet, muss technisch in der Lage sein, diese Daten in einem standardisierten Format zu exportieren. Das ist keine optionale Funktion, sondern eine gesetzliche Pflicht.

EU Data Act: Portabilität für alle Daten

Der EU Data Act, seit 2025 in Kraft, erweitert die Portabilitätsanforderungen erheblich:

Nicht-personenbezogene Daten werden einbezogen (z. B. IoT-Daten, Maschinendaten)
Anbieter müssen den Wechsel zu einem anderen Dienst technisch ermöglichen
Wechselgebühren müssen schrittweise auf null reduziert werden
Offene, standardisierte Datenformate werden Pflicht

Portabilität als Geschäftsanforderung

Unabhängig von regulatorischen Pflichten ist Datenportabilität eine strategische Geschäftsanforderung:

Anbierunabhängigkeit: Wer seine Daten jederzeit exportieren kann, ist nicht an einen Anbieter gebunden (Vendor Lock-in vermeiden)
Geschäftskontinuität: Bei Anbieterwechsel, Insolvenz oder Produkteinstellung bleiben die Daten verfügbar
Innovation: Daten können für neue Anwendungen, Analysen oder KI-Modelle genutzt werden – unabhängig vom Ursprungssystem

Portabilität in Softwareprojekten umsetzen

Offene Datenformate

Die Wahl der Datenformate entscheidet über die Portabilität einer Software:

Empfohlene offene Formate:

JSON: Standard für API-Kommunikation und strukturierte Daten
XML: Für komplexe, hierarchische Datenstrukturen
CSV: Für tabellarische Daten, universell lesbar
Standard-SQL: Für Datenbankexporte, unabhängig vom Datenbanksystem
PDF/A: Für archivierbare Dokumente

Zu vermeiden:

Proprietäre Binärformate ohne offene Spezifikation
Herstellerspezifische Exportformate, die nur mit einer bestimmten Software lesbar sind
Verschlüsselte Formate ohne Schlüsselübergabe

API-First-Architektur

Eine API-First-Architektur stellt sicher, dass alle Daten über standardisierte Schnittstellen zugänglich sind:

REST-APIs mit vollständiger Dokumentation (OpenAPI/Swagger)
GraphQL-Endpunkte für flexible Datenabfragen
Bulk-Export-Endpoints für den vollständigen Datenexport
Webhook-Integration für die Echtzeit-Synchronisation mit anderen Systemen

Das Prinzip: Alles, was die Benutzeroberfläche anzeigt, ist auch über die API verfügbar. Es gibt keine Daten, die nur über die GUI zugänglich sind.

Datenbankunabhängigkeit

ORM-Frameworks (Object-Relational Mapping) entkoppeln die Anwendungslogik von der konkreten Datenbank:

Laravel mit Eloquent: Unterstützt MySQL, PostgreSQL, SQLite, SQL Server
Symfony mit Doctrine: Unterstützt MySQL, PostgreSQL, Oracle, SQLite und weitere
Migrationen: Datenbankänderungen werden als Code definiert und lassen sich auf jedem unterstützten Datenbanksystem ausführen

Das bedeutet: Die Datenbank kann gewechselt werden, ohne den Anwendungscode zu ändern. Ein wichtiger Baustein für die infrastrukturelle Unabhängigkeit.

Datenmigration: Vom alten ins neue System

Wenn Daten von einem bestehenden System in ein neues übertragen werden müssen, ist eine strukturierte Datenmigration entscheidend. Portabilität erleichtert diesen Prozess erheblich, aber eine Migration umfasst mehr als reinen Datenexport:

Migrationsphasen

Analyse: Bestandsaufnahme aller Daten, Formate und Abhängigkeiten
Mapping: Definition, wie Daten aus dem alten System in das neue übertragen werden
Transformation: Bereinigung, Konvertierung und Anpassung der Daten
Migration: Übertragung der Daten in das neue System
Validierung: Überprüfung der Vollständigkeit und Korrektheit
Parallelbetrieb: Zeitweiser Betrieb beider Systeme zur Absicherung

Risiken minimieren

Vollständige Datensicherung vor der Migration
Testmigration mit einem Teilbestand der Daten
Dokumentation aller Transformationsregeln
Rollback-Plan für den Fall unerwarteter Probleme

Datensouveränität als Grundprinzip

Als Berliner Agentur für individuelle Softwareentwicklung verankert TenMedia Datensouveränität in jedem Projekt – von der Architektur bis zum laufenden Betrieb:

Code-Eigentum: Der Quellcode gehört dem Auftraggeber – inklusive der gesamten Datenverarbeitungslogik
Offene Formate: Alle Daten werden in standardisierten, offenen Formaten gespeichert
API-First: Dokumentierte REST-APIs ermöglichen den programmatischen Zugriff auf alle Daten
Exportfunktionen: Vollständiger Datenexport ist eine Standardfunktion jeder TenMedia-Anwendung
Datenbankunabhängigkeit: ORM-basierte Entwicklung ermöglicht den Wechsel des Datenbanksystems

Weiterführende Informationen

Digitale Souveränität in der Softwareentwicklung – Der übergeordnete Leitfaden
Vendor Lock-in vermeiden – Strategien für Unabhängigkeit
Open-Source-Strategien für Unternehmen
Datensouveränität im Kurzabriss

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte zu regulatorischen Anforderungen empfehlen wir die Konsultation einer spezialisierten Rechtsberatung.