München – 80 Prozent der europäischen Unternehmen glauben, ihre E-Mail-Kommunikation weitgehend unter Kontrolle zu haben. Dennoch gibt gleichzeitig etwa die Hälfte an, von aussereuropäischen Anbietern abhängig zu sein. Das zeigt eine aktuelle Studie von Retarus, die das Unternehmen in Zusammenarbeit mit Researchscape in Deutschland, Frankreich und Spanien durchgeführt hat. 56 Prozent der Befragten befürchten zudem, dass ihre Daten damit extraterritorialen Gesetzen wie dem US-amerikanischen CLOUD Act unterliegen könnten.
Kontrolle über die eigene E-Mail-Kommunikation zu haben, bedeutet weit mehr als sich allein auf stabile Systeme und reibungslose Abläufe zu verlassen. Sie umfasst die Fähigkeit, Prozesse eigenständig zu steuern, rechtliche Risiken zu überblicken und im Ernstfall unabhängig von Dritten handlungsfähig zu bleiben. Die Studienergebnisse zeigen jedoch: Nur 61 Prozent der befragten Unternehmen geben an, ihre Richtlinien eigenständig umsetzen zu können und 49 Prozent sind in der Lage, E-Mail-Konten zu verwalten oder zu migrieren, ohne dabei von ihrem Dienstleister abhängig zu sein.
Souveränität bleibt in erster Linie Anspruch
89 Prozent der befragten Unternehmen betrachten Souveränität als strategische Priorität; 94 Prozent nennen sie sogar als ausschlaggebendes Kriterium bei der Dienstleisterwahl. Die Studie identifiziert dabei ein weit verbreitetes Missverständnis: Viele Unternehmen setzen das Hosting von Daten in Europa fälschlicherweise mit Datenschutz und Kontrolle gleich. Entscheidend ist jedoch nicht allein der Speicherort, sondern der Rechtsrahmen, dem der Anbieter unterliegt und damit die Frage, wer unter welchen Bedingungen Zugriff auf Daten verlangen kann. 77 Prozent der befragten Organisationen verfügen zwar nach eigenen Angaben über zertifizierte und überprüfbare vertragliche Garantien zu Speicherort und Zugangsbedingungen. 22 Prozent räumen jedoch ein, dass diese Garantien nur teilweise greifen.
Regulatorischer Druck macht Nachweisbarkeit zur Pflicht
Mit Regulatorien wie NIS2 und DORA verschiebt sich der Compliance-Massstab grundlegend. Unternehmen müssen die Wirksamkeit von Sicherheitsmassnahmen belegen, Abläufe lückenlos dokumentieren und im Audit-Fall schnell verwertbare Nachweise erbringen. 92 Prozent der Befragten halten vor diesem Hintergrund ein umfassendes und transparentes Reporting für unverzichtbar und 88 Prozent wollen den E-Mail-Verkehr über eigene Regeln aktiv steuern können. Tatsächlich sind aber nur 41 Prozent sind in der Lage, kurzfristig auf eine Audit-Anfrage zu reagieren. In den übrigen Fällen ist eine aufwendige Vorbereitung notwendig. Dabei müssen Abläufe rekonstruiert und Informationen zusammengeführt werden. 52 Prozent der Unternehmen geben zudem an, pro Jahr drei- bis fünfmal auf ihre Daten zugreifen oder diese für Prüfzwecke aufbereiten zu müssen.
Lokaler Support entscheidet im Ernstfall
Die Studie zeigt auch: Support ist längst kein nachrangiges Servicekriterium mehr. 84 Prozent der befragten Unternehmen halten lokalen Support für unverzichtbar oder sehr wichtig und 83 Prozent erwarten einen erreichbaren und reaktionsschnellen Dienstleister. Denn lokaler Support gewinnt im Souveränitätskontext zusätzlich an Bedeutung. Sensible Daten und Metadaten verlassen die EU nicht, und externe Mitarbeiter erhalten keinen Zugriff auf kritische Informationen. Zudem sind kurze Reaktionszeiten essenziell, da im Störungsfall der schnelle Austausch mit einem qualifizierten Ansprechpartner darüber entscheidet, ob ein Vorfall eingedämmt werden kann oder eskaliert. Fast 46 Prozent gaben an, dass fehlender lokaler Support ein ausschlaggebender Grund für einen Anbieterwechsel wäre.
„Systemarchitekturen sind heute deutlich komplexer als noch vor wenigen Jahren. Dadurch entstehen Risiken und Abhängigkeiten, deren Auswirkungen viele Unternehmen nicht vollständig erkennen. Was dem Blick entgeht, entzieht sich jedoch im Ernstfall auch der Kontrolle. Deshalb müssen Unternehmen ihre E-Mail-Infrastruktur so gestalten, dass sie unabhängig vom Anbieter handlungsfähig bleiben und jederzeit eigenständig reagieren können“, sagt Martin Hager, CEO und Gründer von Retarus. „Unternehmen müssen dringend ihre Abhängigkeiten kritisch hinterfragen und genau prüfen, ob Transparenz, Kontrolle und Nachweisbarkeit objektiv – und nicht nur auf dem Papier – gewährleistet sind.“
Das wachsende Bewusstsein für Souveränität, Kontrolle und Compliance schlägt sich in der Praxis jedoch noch zu selten in konkreten Massnahmen nieder. Solange Unternehmen die tatsächlichen Voraussetzungen echter Handlungsfähigkeit nicht vollständig durchdringen, werden sich Verhalten und Sicherheitsniveau kaum verändern. Wer langfristig rechtlich abgesichert und operativ unabhängig agieren will, kommt an europäischen Anbietern, die lokale Datenverwaltung und nachweisbare Compliance-Standards verbinden, nicht vorbei. (Retarus/mc/ps)
Den vollständigen Studien-Report „Retarus Enterprise E-Mail Report 2026 – Souveränität“ finden Sie hier. (pdf)
Den Selbsttest „Benchmark: Wie souverän ist Ihre E-Mail?“ finden Sie hier.