← Back to all articles

Digitale Souveränität in der Dokumenteninfrastruktur: Bedeutung und Relevanz

SealDoc Team · · 5 min read

“In der EU gehostet” ist nicht dasselbe wie “EU-souverän”. Diese Unterscheidung ist die Ursache der meisten Compliance-Probleme, die Organisationen entdecken, wenn es zu spät ist: nach einer Datentransfer-Folgenabschätzung, nach einer behördlichen Anfrage oder nachdem ein Anbieter seine Bedingungen geändert hat.

Für Dokumente, die rechtliches Gewicht haben, ist die Frage der Souveränität nicht akademisch. Sie bestimmt, ob Ihre Organisation ihre eigenen Beweise kontrolliert oder ob diese Kontrolle zu einem Anbieter delegiert wird, unter Bedingungen, die sich ändern können.

Was Souveränität für Dokumenteninfrastruktur bedeutet

Souveränität über Dokumenteninfrastruktur bedeutet:

Datensitz: Dokumente werden auf Infrastruktur gespeichert, die sich physisch in einer Jurisdiktion befindet, in der das anwendbare Datenschutzrecht gilt, und keine Kopie wird ohne ausdrückliche Zustimmung außerhalb dieser Jurisdiktion gehalten oder verarbeitet.

Zugangskontrolle ohne Anbieterausnahmen: Der Anbieter kann nur unter den Bedingungen auf Ihre Dokumente zugreifen, denen Sie ausdrücklich zugestimmt haben. Dies schließt Anbieterwartungszugang, Strafverfolgungsanfragen nach ausländischem Recht und Zugang durch Muttergesellschaften in anderen Jurisdiktionen aus.

Beweisportabilität: Sie können alle Ihre Dokumente, Prüfpfade, Zeitstempel und Evidence Packs in einem Format exportieren, das ohne die Beteiligung des Anbieters verifizierbar ist. Wenn der Anbieter morgen schließt, bleiben Ihre Beweise gültig.

Keine Exposition gegenüber ausländischen Jurisdiktionen: Der Anbieter unterliegt nicht Gesetzen, die eine Offenlegung gegenüber ausländischen Behörden erzwingen, wie dem US CLOUD Act oder entsprechenden Rechtsvorschriften in anderen Jurisdiktionen.

Warum “in der EU gehostet” nicht ausreicht

Ein Cloud-Dienst kann Daten in EU-Rechenzentren hosten und trotzdem einer Nicht-EU-Jurisdiktion unterliegen. Wenn das betreibende Unternehmen in den USA gegründet ist, die Muttergesellschaft US-amerikanisch ist oder es durch andere Mittel dem US-Recht unterliegt, kann es unter dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) gezwungen werden, in EU-Einrichtungen gespeicherte Daten an US-Strafverfolgungsbehörden herauszugeben, ohne Wissen oder Zustimmung des Betroffenen.

Der Gerichtshof der EU (EuGH) hat den EU-US-Datenschutzschild im Jahr 2020 (Schrems II) genau deshalb für ungültig erklärt, weil das US-Überwachungsrecht einen angemessenen Schutz für personenbezogene Daten, die an US-kontrollierte Einheiten übertragen werden oder für diese zugänglich sind, unmöglich macht. Das anschließende EU-US-Datenschutzrahmenwerk befindet sich seit seiner Verabschiedung in rechtlicher Unsicherheit.

Für Dokumente mit personenbezogenen Daten (dazu gehören Rechnungen, HR-Unterlagen, Verträge und medizinische Dokumente) ist ein Anbieter, der US-Jurisdiktion unterliegt und Daten in EU-Rechenzentren speichert, keine souveräne Lösung. Der Datensitz ist EU-basiert; die rechtliche Exposition ist es nicht.

Das Vendor-Lock-in-Problem speziell bei Dokumentenbeweisen

Die meisten Dokumentenplattformen erzeugen Lock-in, der unsichtbar ist, bis man versucht zu wechseln. Für Dokumente ohne rechtliches Gewicht ist das eine Unannehmlichkeit. Für Dokumente, die als Rechtsbeweise dienen, ist es ein strukturelles Risiko.

Die spezifischen Lock-in-Mechanismen, auf die zu achten ist:

Proprietäre Prüfpfadformate: Wenn der Prüfpfad des Anbieters nicht in einem verifizierbaren Format exportierbar ist, hängt Ihre Chain of Custody davon ab, dass das System des Anbieters in Betrieb ist und seine API zugänglich bleibt. Wenn der Anbieter übernommen wird, schließt oder seine API ändert, kann Ihre Chain of Custody nicht mehr verifizierbar werden.

Zeitstempel von anbieterkontrollierten Behörden: Wenn die RFC 3161-Zeitstempel auf Ihren Dokumenten von einer TSA ausgestellt werden, die vom Anbieter betrieben wird, erfordert die Verifizierung dieser Zeitstempel nach Ende der Anbieterbeziehung die fortgesetzte Kooperation des Anbieters. Das ist ein Widerspruch: Der Zeitstempel soll unabhängig verifizierbar sein.

Undurchsichtige Validierungsberichte: Wenn die Validierungsberichte in Ihrem Evidence Pack menschenlesabares HTML anstatt maschinenlesbarer strukturierter Daten sind, kann ein zukünftiger Prüfer möglicherweise die Validierung nicht reproduzieren, ohne sie erneut durchzuführen, was ihm nichts darüber verrät, ob das Dokument zum Archivierungszeitpunkt gültig war.

Der Test für echte Souveränität: Können Sie Ihre Dokumente und Evidence Packs zu einem fachkundigen Dritten bringen, der nie mit Ihrem Anbieter interagiert hat, und ihn die Integrität und Herkunft jedes Dokuments verifizieren lassen, unter Verwendung ausschließlich offener Standards und Public-Key-Infrastruktur?

Wenn die Antwort nein lautet, ist Ihre Beweisinfrastruktur nicht souverän.

DSGVO und Aufbewahrungspflichten für Dokumente

Die DSGVO erzeugt spezifische Spannungen mit der Langzeitaufbewahrung von Dokumenten. Artikel 5 Abs. 1 lit. e verlangt Datensparsamkeit: Personenbezogene Daten sollten nicht länger als notwendig aufbewahrt werden. Artikel 17 begründet das Recht auf Löschung. Aber nationale Steuergesetze verlangen die Aufbewahrung von Rechnungen (die personenbezogene Daten enthalten) für sieben bis zehn Jahre.

Die Auflösung findet sich in der Aufbewahrungsausnahme von DSGVO Artikel 17 Abs. 3 lit. b: Löschungspflichten gelten nicht, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Die Rechnungsaufbewahrung nach GoBD, dem französischen Steuergesetzbuch oder dem belgischen Mehrwertsteuergesetz qualifiziert sich hierfür.

Die praktische Implikation für Souveränität: Sie müssen für jedes aufbewahrte Dokument nachweisen können, dass die Aufbewahrung von einer bestimmten Rechtspflicht abgedeckt ist, und dass die Aufbewahrungsfrist und der Umfang nicht über diese Verpflichtung hinausgehen. Das ist eine Dokumentations- und Prüfpfadanforderung, nicht nur eine Speicheranforderung.

Wie souveräne Dokumenteninfrastruktur aussieht

Eine souveräne Dokumenteninfrastruktur erfüllt diese Kriterien:

  1. Betrieben von einer Einheit, die ausschließlich in einer Jurisdiktion mit angemessenem Datenschutz gegründet ist und dort tätig ist (EU-Mitgliedstaaten erfüllen diese Messlatte für EU-Daten)
  2. Keine Muttergesellschaft, Beteiligungsstruktur oder vertragliche Vereinbarung, die eine Exposition gegenüber nicht-EU-Jurisdiktionen schafft
  3. Evidence Packs exportierbar in offenen, verifizierbaren Formaten (PDF/A-3, CMS-Zeitstempel-Token, JSON-Prüfpfade)
  4. RFC 3161-Zeitstempel von TSAs, die auf der EU-Vertrauensliste geführt werden, keine anbieterbetriebenen TSAs
  5. Hash-Ketten mit Open-Source-Tools ohne Anbieterbeteiligung verifizierbar
  6. Self-Hosting-Option für Organisationen, die vollständige Infrastrukturkontrolle benötigen

Punkt 6 ist besonders relevant für Behörden, regulierte Finanzinstitute und Betreiber kritischer Infrastruktur, die möglicherweise Anforderungen haben, die die Nutzung jedes Drittanbieter-Hosting-Dienstes unabhängig von der Jurisdiktion ausschließen.

SealDoc und EU-Souveränität

SealDoc betreibt seine Infrastruktur ausschließlich in der EU, unter EU-Jurisdiktion. Es gibt keine Muttergesellschaftsbeziehung, die eine ausländische Jurisdiktionsexposition schafft.

Von SealDoc erstellte Evidence Packs sind unabhängig verifizierbar: RFC 3161-Zeitstempel von TSAs auf der EU-Vertrauensliste, Hash-Ketten mit SHA-256 verifizierbar und Prüfpfade als strukturiertes JSON exportiert. Die Verifizierung erfordert keinen API-Aufruf bei SealDoc und keine fortgesetzte Beziehung mit SealDoc.

Für Organisationen, die eine On-Premises- oder Private-Cloud-Bereitstellung benötigen, unterstützt SealDoc Self-Hosted-Deployment auf Ihrer eigenen Infrastruktur. Das Evidence-Format ist identisch mit der gehosteten Version, sodass die Migration von gehostet zu selbst gehostet oder zurück die Verifizierbarkeit bereits ausgestellter Evidence Packs nicht beeinträchtigt.

Das zugrundeliegende Prinzip lautet: Die Beweise sollen jede bestimmte Anbieterbeziehung überdauern. Wenn SealDoc 2038 nicht mehr existiert, sollte jedes heute ausgestellte Evidence Pack von einem Prüfer mit einer SHA-256-Implementierung und dem öffentlichen Zertifikat der TSA verifizierbar sein.

← Back to all articles