Auswirkungen der Datenlokalisierungsspeicherungspolitik auf die IT-Systemarchitektur von Unternehmen

Auswirkungen der Datenlokalisierungsspeicherungspolitik auf die IT-Systemarchitektur von Unternehmen

Sehr geehrte Investoren, die Sie gewohnt sind, auf Deutsch zu lesen, ich grüße Sie. Als Lehrer Liu, der seit über einem Vierteljahrhundert – genauer gesagt 12 Jahre im Dienstleistungssektor für ausländische Unternehmen bei der Jiaxi Steuerberatungsfirma und weitere 14 Jahre in der Registrierungsabwicklung – tätig ist, beobachte ich einen tiefgreifenden Wandel, der vielen Geschäftsmodellen geradezu den Boden unter den Füßen wegzieht. Es geht nicht mehr nur um Steuern oder Gesellschaftsrecht, sondern um das neue Gold: Daten. Immer mehr Länder, von der EU mit ihrer DSGVO über China bis hin zu Indien und Russland, schreiben vor, wo die Daten ihrer Bürger gespeichert und verarbeitet werden müssen. Diese sogenannte Datenlokalisierungspolitik ist kein technisches Nischenthema mehr, sondern eine strategische Investitionsfrage erster Ordnung. Sie zwingt Unternehmen dazu, ihre gesamte IT-Landschaft auf den Prüfstand zu stellen – und das hat massive Auswirkungen auf Kosten, Agilität und letztlich den Unternehmenswert. Wer hier als Investor die Architektur nicht versteht, riskiert, in Unternehmen zu investieren, deren technologische Grundfesten auf tönernen Füßen stehen. In diesem Artikel möchte ich mit Ihnen, basierend auf meinen praktischen Erfahrungen aus Hunderten von Projekten, die konkreten Auswirkungen dieser Politik auf die IT-Systemarchitektur durchdeklinierten.

Architekturwandel: Von global zu lokal

Die vielleicht offensichtlichste Auswirkung ist der erzwungene Abschied von einer einheitlichen, globalen Cloud-Architektur. Früher konnte ein Unternehmen eine Handvoll großer Rechenzentren weltweit betreiben und von dort aus alle Märkte bedienen – kosteneffizient und einfach zu managen. Datenlokalisierungsvorschriften bremsen diesen Traum aus. Plötzlich müssen für jeden Rechtsraum, der solche Regeln hat, eigene Speicherlösungen, oft sogar eigene Rechenkapazitäten, vorgehalten werden. Das bedeutet nicht einfach nur, ein paar zusätzliche Server zu mieten. Es bedeutet die Notwendigkeit einer „verteilten, aber konsistenten“ Architektur. Stellen Sie sich vor, ein europäischer Online-Händler möchte in Südostasien expandieren. Während er in Deutschland vielleicht auf AWS oder Azure setzt, muss er für Vietnam prüfen, ob er einen lokalen Cloud-Anbieter nutzen oder sogar eine eigene Infrastruktur aufbauen muss, nur um die Kundendaten dort zu speichern. Die IT-Architektur verwandelt sich von einem eleganten, zentralisierten Netz in ein komplexes Flickwerk regionaler Knotenpunkte. Die Kunst besteht darin, diese Knoten so zu gestalten, dass sie einerseits den lokalen Gesetzen genügen und andererseits noch halbwegs effizient aus der Ferne gesteuert und integriert werden können. Das ist ein Balanceakt, der hohe Investitionen in Design und Betrieb erfordert.

Ein konkretes Beispiel aus meiner Praxis: Ein deutscher Maschinenbauer, den wir bei Jiaxi betreuen, wollte seine Predictive Maintenance-Daten (ein schönes Fachwort, das einfach vorausschauende Wartung bedeutet) aus seinen Anlagen in China in die firmeneigene Cloud in Frankfurt streamen, um sie mit KI-Algorithmen zu analysieren. Die chinesischen Cyberspace-Regularien machten diesem Vorhaben einen Strich durch die Rechnung. Die Lösung war eine aufwändige Hybrid-Architektur: Die Rohdaten bleiben und werden initial in einem Rechenzentrum in Shanghai verarbeitet. Nur aggregierte, anonymisierte Kennzahlen – keine personenbezogenen oder detaillierten Maschinendaten – dürfen zur weiteren Analyse exportiert werden. Diese Architektur hat das Projekt um Monate verzögert und die Kosten verdreifacht. Für Investoren ist es daher entscheidend, bei Unternehmen mit internationalem Geschäft nicht nur auf die geplanten Funktionen der IT zu schauen, sondern zu fragen: „Wie ist eure Datenarchitektur in den Top-3-Regulierungsländern aufgestellt, und was kostet sie im Betrieb?“ Die Antwort darauf sagt viel über die zukünftige Profitabilität aus.

Kostenexplosion im Rechenzentrum

Die finanziellen Folgen dieser architektonischen Zersplitterung sind enorm und werden oft unterschätzt. Skaleneffekte, der große Treiber der Cloud-Ökonomie, gehen Stück für Stück verloren. Statt eines Volumenrabatts bei einem großen Anbieter hat man nun Rechnungen von mehreren, oft kleineren Anbietern in verschiedenen Ländern. Die Betriebskosten steigen nicht linear, sondern exponentiell, weil jedes zusätzliche Rechenzentrum nicht nur Hardware, sondern auch lokales Personal, Sicherheitsaudits, Compliance-Checks und eigene Notfallkonzepte erfordert. Hinzu kommen die Kosten für die sichere Datenverknüpfung zwischen diesen Standorten. Die „Datenautobahn“ zwischen den Ländern, also dedizierte Leitungen wie MPLS oder sichere VPN-Tunnel, ist ein erheblicher Posten im IT-Budget.

Ich erinnere mich an ein Gespräch mit dem CFO eines mittelständischen Softwareunternehmens, das in 20 Länder expandiert war. Stolz berichtete er von der hohen Margen seiner SaaS-Lösung. Als wir dann im Zuge einer Due Diligence für eine mögliche Kapitalerhöhung die IT-Kosten aufschlüsselten, kam Schreckliches zutage: Fast 40% der sogenannten „Cost of Revenue“ gingen inzwischen für die Bereitstellung und den Betrieb der lokalen Datenhaltung in sieben verschiedenen Ländern drauf. Die vermeintliche Skalierbarkeit der Software war durch die regulatorischen Vorgaben stark eingeschränkt worden. Für Investoren ist dies eine klare Warnung: Hohe Wachstumsraten in neuen Märkten können durch die damit einhergehenden IT-Komplexitätskosten schnell aufgefressen werden. Eine detaillierte Analyse der IT-Kostenstruktur und ihrer Treiber ist daher unerlässlich.

Komplexität bei Datenflüssen

In einer idealen Welt fließen Daten frei, sicher und schnell dorthin, wo sie gebraucht werden – für Analysen, Reporting oder Prozessoptimierung. Datenlokalisierung zerschneidet diese Flüsse. Plötzlich muss für jeden Datentransfer über eine Grenze hinweg geprüft werden: Ist er erlaubt? Unter welchen Bedingungen? Benötigen wir Standardvertragsklauseln (SCCs)? Ist eine ausdrückliche Einwilligung eingeholt? Die IT-Architektur muss diese Compliance-Checks idealerweise automatisiert und technisch erzwingen können. Das erfordert eine tiefe Integration von Recht und Technik, sogenannte „Compliance by Design“-Ansätze.

Technisch bedeutet das den Einsatz von Data-Loss-Prevention-Tools, verschlüsselten Datenpipelines und ausgeklügelten Data-Governance-Plattformen, die jedem Datensatz ein „Heimatland“ und entsprechende Transferregeln zuweisen. Das ist hochkomplex und fehleranfällig. In meiner Arbeit sehe ich oft, dass Unternehmen diese Komplexität zunächst unterschätzen. Sie bauen eine schöne globale Data-Warehouse-Architektur und merken dann im Betrieb, dass halb Europa nicht hineingespeist werden darf, weil die Daten nicht in der EU bleiben. Die nachträgliche Umrüstung ist ein Albtraum. Für Sie als Investor ist ein Indikator für gute Vorbereitung, ob ein Unternehmen ein klares, technisch umgesetztes Data-Governance-Framework hat und ob die IT-Abteilung eng mit dem Datenschutzbeauftragten und der Rechtsabteilung zusammenarbeitet. Wenn diese Bereiche in Silos arbeiten, ist das ein erhebliches Risiko.

Herausforderung für Sicherheit

Mehr Standorte bedeuten mehr Angriffsflächen. Jedes lokale Rechenzentrum, jeder lokale Cloud-Account muss nach dem gleichen, hohen Sicherheitsstandard gehärtet, überwacht und gepatcht werden. Das ist eine gewaltige operative Herausforderung. Ein zentrales Security-Operations-Center (SOC) muss in der Lage sein, Incident-Reports aus der ganzen Welt in Echtzeit zu konsolidieren und zu analysieren. Unterschiedliche lokale Provider haben unterschiedliche Sicherheitsstandards und Meldewege. Die Konsistenz der Sicherheit wird zum größten Problem. Ein schwaches Glied in der Kette – etwa ein unterfinanziertes lokales Rechenzentrum in einem Schwellenland – kann das gesamte globale Sicherheitsniveau gefährden.

Persönlich habe ich bei einem Kunden aus der Logistikbranche miterlebt, wie ein vergessener, nicht gepatchter Server in einem lokalen Rechenzentrum in Osteuropa zum Einfallstor für einen Ransomware-Angriff wurde, der sich dann über die VPN-Verbindungen auch in andere Teile des Netzwerks ausbreitete. Die Ursache war nicht böser Wille, sondern schlicht Überlastung des kleinen lokalen IT-Teams und mangelnde Integration in die zentralen Patch-Management-Prozesse. Für Investoren sollte die Frage nach dem einheitlichen Sicherheitsframework und den Audits für alle lokalen IT-Standorte eine Standardfrage im Due-Diligence-Katalog sein. Die Antwort darauf gibt Aufschluss über das operative Risiko des Unternehmens.

Agilität und Innovation leiden

Die vielleicht subtilste, aber langfristig folgenschwerste Auswirkung ist die Verlangsamung von Innovation und Agilität. In der modernen Softwareentwicklung setzt man auf DevOps, Continuous Integration/Continuous Deployment (CI/CD) und schnelle, automatisierte Releases. Wenn nun für jedes Release geprüft werden muss, ob es in einem bestimmten Land neue Datenspeicherungen auslöst oder Datenflüsse verändert, wird dieser Prozess ausgebremst. Die Einführung einer neuen Funktion, die Daten in einem neuen Feld speichert, kann plötzlich eine rechtliche Prüfung in einem Dutzend Länder erfordern. Die Time-to-Market verlängert sich spürbar.

Ein junges, innovatives FinTech-Unternehmen, das wir beraten haben, wollte eine personalisierte Budgetierungs-App einführen. Der Prototyp war in sechs Wochen entwickelt. Die juristische und technische Abstimmung, um sicherzustellen, dass die persönlichen Finanzdaten in jedem der acht Zielmärkte korrekt lokalisiert und verarbeitet werden, dauerte über neun Monate. In dieser Zeit zogen zwei Wettbewerber mit ähnlichen, wenn auch weniger ausgefeilten Produkten an ihnen vorbei. Das ist der reale Preis der Datenlokalisierung: Sie kann den Innovationsvorsprung auffressen. Investoren in Tech-Unternehmen müssen daher das Produkt-Roadmap-Risiko abschätzen: Wie sehr ist die geplante Innovation von der Fähigkeit abhängig, Daten global zu nutzen, und wie gut ist das Unternehmen darauf vorbereitet, diese Innovation trotz Fragmentierung umzusetzen?

Auswahl der Anbieter wird kritisch

Die Wahl des Cloud- oder Hosting-Anbieters ist nicht mehr primär eine Frage von Preis und Leistung, sondern von geografischer Präsenz und Compliance-Zertifizierungen. Unternehmen sind plötzlich auf Anbieter angewiesen, die in spezifischen Ländern eine „Region“ oder ein lokales Rechenzentrum betreiben. Das kann die Verhandlungsmacht des Unternehmens schwächen und zu Vendor-Lock-in führen. Man bindet sich nicht nur an eine Technologie, sondern auch an die regulatorische Strategie dieses Anbieters. Ein Multi-Cloud-Strategy wird dadurch nicht einfacher, sondern noch komplexer und teurer.

Bei der Beratung für einen europäischen E-Commerce-Händler, der nach Brasilien expandierte, war die größte Hürde nicht die Steuer, sondern die Suche nach einem verlässlichen lokalen Cloud-Partner, der die strengen LGPD-Anforderungen (das brasilianische Datenschutzgesetz) nicht nur auf dem Papier, sondern auch in der Technik erfüllte und gleichzeitig eine stabile Anbindung an das europäische Hauptsystem ermöglichte. Die Entscheidung für einen bestimmten Anbieter war eine strategische Entscheidung mit langfristigen Folgen, die weit über die IT-Abteilung hinausging. Als Investor sollte man prüfen, wie diversifiziert die Anbieterlandschaft eines Unternehmens ist und ob es Exit-Strategien oder Migrationspläne für den Fall gibt, dass ein lokaler Anbieter den Compliance-Anforderungen nicht mehr genügt oder vom Markt verschwindet.

Zusammenfassung und Ausblick

Zusammenfassend lässt sich sagen, dass Datenlokalisierungspolitiken kein vorübergehendes Ärgernis sind, sondern ein dauerhafter Strukturfaktor für die IT-Systemarchitektur international tätiger Unternehmen. Sie erzwingen eine Dezentralisierung, die zu massiv höheren Kosten, operativer Komplexität, Sicherheitsherausforderungen und einer gebremsten Innovationsfähigkeit führt. Die IT-Architektur muss von Grund auf als eine „Compliance-first“- und „Location-aware“-Architektur gedacht werden. Für Sie als Investor bedeutet das: Die Bewertung der IT eines Unternehmens ist heute untrennbar mit der Bewertung seiner regulatorischen Risiken in den Zielmärkten verbunden. Eine schlanke, globale Cloud-Architektur ist kein reiner Kostenvorteil mehr, sondern unter Umständen ein erhebliches Compliance-Risiko.

Meine persönliche, vorausschauende Einschätzung nach all den Jahren in der Beratung ist folgende: Die Unternehmen, die langfristig gewinnen werden, sind nicht die mit der billigsten oder elegantesten Technologie, sondern diejenigen, die es schaffen, eine flexible, modulare Architektur mit einer starken, automatisierten Data-Governance-Schicht zu kombinieren. Sie behandeln Datenlokalisierung nicht als lästige Pflicht, sondern integrieren sie als Design-Prinzip. Zukünftige Forschung sollte sich meiner Meinung nach darauf konzentrieren, wie sich diese verteilten Architekturen durch Technologien wie Edge Computing und homomorphe Verschlüsselung (die Berechnungen auf verschlüsselten Daten erlaubt) wieder effizienter und sicherer gestalten lassen. Der Weg führt von der erzwungenen physischen Lokalisierung zurück zu einer kontrollierten, sicheren virtuellen Nutzung – aber bis dahin ist es noch ein weiter und kostspieliger Weg.

Einschätzung der Jiaxi Steuerberatung

Bei der Jiaxi Steuerberatung beobachten wir die Entwicklung der Datenlokalisierungsanforderungen mit großer Aufmerksamkeit, denn sie überschneidet sich zunehmend mit klassischen steuer- und gesellschaftsrechtlichen Fragestellungen. Die Entscheidung, wo Daten physisch gespeichert werden, hat oft Auswirkungen auf die Betriebsstättenproblematik und die damit verbundene steuerliche Zurechnung von Gewinnen. Eine isolierte Betrachtung der IT-Architektur ohne Berücksichtigung der fiskalischen und rechtlichen Konsequenzen ist daher fahrlässig. Unsere Erfahrung aus der Begleitung zahlreicher Markteintritte zeigt: Erfolgreich sind die Projekte, bei denen von Anfang an ein interdisziplinäres Team aus IT-Architekten, Steuerexperten, Datenschützern und lokalen Rechtsberatern die Architektur plant. Die rein technische Lösung ist nur die halbe Miete. Die wahre Herausforderung liegt in der konvergenten Betrachtung von Technologie, Recht und Steuer. Unternehmen, die hier investieren und eine integrierte Strategie verfolgen, minimieren nicht nur Risiken, sondern schaffen auch einen nachhaltigen Wettbewerbsvorteil, der in einer zunehmend fragmentierten digitalen Welt immer wertvoller wird. Für Investoren empfehlen wir, genau auf diese integrative Herangehensweise zu achten – sie ist ein starker Indikator für professionelles Risikomanagement und langfristige Planungsfähigkeit.