
Die falsche Architektur zu wählen bedeutet nicht nur operationale Reibung: Es kann Ihr Unternehmen auf die falsche Seite der DSGVO-Durchsetzung bringen. Laut dem Verizon 2026 Data Breach Investigations Report hatten 50 % der Ransomware-Opfer innerhalb von 95 Tagen vor dem Angriff ein Credential- oder Infostealer-Ereignis . Credential-Sicherheit ist Infrastruktursicherheit. Das gewählte Bereitstellungsmodell bestimmt, wer diese Infrastruktur kontrolliert.
Das Compliance-Schlachtfeld: Datenspeicherort vs. Datensouveränität
Datenspeicherort (Data Residency) und Datensouveränität (Data Sovereignty) sind nicht dasselbe, und ihre Verwechslung ist einer der häufigsten Fehler bei der Unternehmensbeschaffung.
Data Residency definiert, wo Ihre Daten physisch gespeichert sind. Data Sovereignty definiert, welches Rechtssystem sie regelt. Ein Cloud-Anbieter kann Ihren Vault auf EU-Servern hosten und dabei vollständig dem Recht seines Heimatlandes unterliegen. In dieser Lücke liegt das Compliance-Risiko.
Der US CLOUD Act (2018) ist das deutlichste Beispiel. Er erlaubt US-amerikanischen Strafverfolgungsbehörden, US-amerikanische Anbieter zu zwingen, Daten herauszugeben, die weltweit gespeichert sind, einschließlich EU-Rechenzentren.
Nicht-US-amerikanische Anbieter sind von vergleichbaren Rahmenwerken nicht ausgenommen: Kanada beispielsweise beteiligt sich an der Geheimdienstkooperation im Rahmen der Five Eyes, was für Organisationen mit strengen Souveränitätsanforderungen eigene grenzüberschreitende Rechtsrisiken birgt.
DSGVO-Artikel 48 besagt, dass eine ausländische Gerichtsentscheidung allein keine gültige Rechtsgrundlage für die Übermittlung personenbezogener Daten aus der EU darstellt. Diese Einschränkung gilt für Ihre Organisation als Verantwortliche.
Eine ausländische Regierung kann einen Nicht-EU-Anbieter zur Herausgabe verpflichten. Ihre DSGVO-Pflichten ändern daran nichts.
On-Premises-Bereitstellung löst dieses Problem strukturell. Wenn Credential-Daten Ihre Infrastruktur nie verlassen, gilt ausschließlich die Jurisdiktion Ihrer Server: vorhersehbar, prüfbar, unter Ihrer Kontrolle.
Passwork ist als selbst gehostete Lösung verfügbar, mit vollständiger Kontrolle über Ihre Daten und Infrastruktur, bereitgestellt innerhalb Ihres eigenen Netzwerkperimeters ohne Abhängigkeit von externen Diensten. Bereitstellungsoptionen erkunden
NIS2 und das Management von Lieferkettenrisiken
NIS2-Artikel 21 stellt Ihre IKT-Dienstleister direkt in Ihr Risikoregister. Ein Cloud-basierter Passwort-Manager ist ein IKT-Dienstleister: Ihre Organisation bewertet dessen Sicherheitslage und trägt die Konsequenzen.
Wenn eine Datenpanne beim Anbieter Ihre Zugangsdaten offenlegt, laufen NIS2-Meldepflichten auf Ihrer Seite an: erste Benachrichtigung innerhalb von 24 Stunden, detaillierter Bericht innerhalb von 72 Stunden. Diese Uhr läuft unabhängig davon, wo die Panne entstanden ist.
Bei selbst gehosteter Bereitstellung ist die Angriffsfläche Ihre eigene Infrastruktur. Lieferkettenrisikobewertungen werden einfacher, wenn die Credential-Speicherung intern liegt. Kein Drittanbieter, dessen Sicherheitslage Sie dauerhaft überwachen müssen.
Kryptografische Kontrolle und die Post-Quanten-Zukunft
Ab 2027 zertifiziert ANSSI keine Sicherheitsprodukte mehr ohne quantenresistente Verschlüsselung. Für EU-Beschaffungsteams stellt sich damit eine konkrete Folgefrage: Wer kontrolliert, wann und wie der Übergang zu Post-Quanten-Kryptografie (PQC) stattfindet?
Bei einem Cloud-basierten Passwort-Manager liegt die Kontrolle beim Anbieter:
- Migrationszeitplan wird vom Anbieter bestimmt
- Algorithmenauswahl trifft der Anbieter
- Schlüsselmigration läuft über geteilte Multi-Tenant-Infrastruktur
Bei einer selbst gehosteten Bereitstellung mit Zero-Knowledge-Verschlüsselung liegt die Kontrolle bei Ihrer Organisation:
- Kryptografische Updates werden nach Ihrem eigenen Zeitplan eingespielt
- NIST-standardisierte PQC-Algorithmen wählt Ihr Team aus
- Schlüsselmigration findet vollständig innerhalb Ihres Netzwerkperimeters statt
Für Organisationen, die sich auf die ANSSI-Zertifizierung oder EU-Beschaffung vorbereiten, ist die Kontrolle über diese drei Parameter eine harte Anforderung.
Erfahren Sie, wie Passwork das Verschlüsselungsschlüssel-Management und die Audit-Protokollierung innerhalb Ihrer eigenen Infrastruktur handhabt. Technischen Leitfaden lesen
Gesamtbetriebskosten und Bereitstellungsrealitäten
Lizenzgebühren sind der sichtbare Kostenposten. DSGVO-Artikel 83 erlaubt Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bei Verstößen gegen Artikel 32. Im April 2026 verhängte die italienische Garante gegen Ambrosetti 85.000 Euro — konkret für Klartext-Passwörter und MD5-Hashing. Datenschutzbehörden prüfen jetzt die kryptografische Implementierung, nicht nur Meldefristen.
On-Premises bringt realen Infrastrukturaufwand mit sich:
- Server-Bereitstellung und Patching
- Interne Betriebsverantwortung
- Höhere Anfangsinvestitionskosten ohne bestehende Infrastruktur
Für Organisationen in regulierten Sektoren (Finanzdienstleistungen, Gesundheitswesen, kritische Infrastruktur, öffentlicher Sektor) sind die Grenzkosten für einen selbst gehosteten Credential-Vault gering. Was DSGVO-, NIS2- und DORA-Prüfungen als Nachweis verlangen, liefert On-Premises direkt:
- Kontrolle über die Verschlüsselungsschicht
- Vollständige Audit-Protokolle
- Definierte Jurisdiktionsgrenzen
Das richtige Bereitstellungsmodell wählen
Die richtige Wahl hängt davon ab, wo Ihr Compliance-Perimeter endet.
Wählen Sie einen Cloud-basierten Passwort-Manager, wenn:
- Ihr Team global verteilt und cloud-nativ ist
- Entwicklererfahrung und plattformübergreifende Benutzerfreundlichkeit Vorrang vor der Compliance-Architektur haben
- Ihre regulatorische Umgebung keine strenge Datensouveränität erfordert
- Sie eine tiefe Integration mit einem modernen Cloud-Identity-Stack benötigen
Wählen Sie einen On-Premises-Passwort-Manager, wenn:
- Ihre Organisation der DSGVO, NIS2 oder DORA unterliegt und Datensouveränität nachweisen muss
- Sie in kritischer Infrastruktur, Finanzdienstleistungen, Gesundheitswesen oder dem öffentlichen Sektor tätig sind
- Sie eine AD/LDAP-native Integration in einer bestehenden On-Premises-Identity-Umgebung benötigen
- Sie sich auf die ANSSI-Zertifizierung oder die Beschaffung im EU-öffentlichen Sektor vorbereiten
- Ihr Sicherheitsteam vollständige Kontrolle über die Verschlüsselungsschicht, Audit-Protokolle und Schlüsselmanagement benötigt
Für europäische Unternehmen in regulierten Sektoren ist die Architektur, die alle fünf dieser Kriterien erfüllt, selbst gehostet, On-Premises und jurisdiktionell eindeutig.
Compliance-Anforderungen bestimmen die Architektur
Kann Ihr Team die Audit-Nachweise liefern, die ein Regulierer tatsächlich akzeptiert? Selbst gehostete Bereitstellungen geben Ihrer Organisation direkte Kontrolle über Datenjurisdiktion, kryptografische Implementierung und den Audit-Pfad. Für Organisationen unter DSGVO, NIS2 oder DORA ist das der entscheidende Faktor.
Für einen tieferen Einblick in die architektonischen und rechtlichen Unterschiede lesen Sie den umfassenden Leitfaden: Europäischer Passwort-Manager-Hosting: Cloud vs. On-Premises Leitfaden
Passwork ist ein unabhängiges europäisches Cybersicherheitsunternehmen, das selbst gehostete und cloudbasierte Passwortmanagement-Lösungen für Unternehmen und öffentliche Einrichtungen entwickelt. Das Unternehmen operiert nach EU-Recht und ist vollständig NIS2-, ENS- und DSGVO-konform. Passwork legt den Schwerpunkt auf nachhaltigen Mehrwert, hält ISO-27001-zertifizierte Entwicklungsstandards ein und gewährleistet absoluten Datenschutz für seine Kunden.
Passwork Europe SL.
Carrer d’Arago, 208, 2-5
E08011 Barcelona
Telefon: +34613704284
https://passwork.pro/de/
CEO
Telefon: +34673328602
![]()
