EU ITSM Comparison Finale 2026: ServiceNow vs BMC Helix vs Jira Service Management vs Freshservice
Post #1217 in der sota.io EU Cyber Compliance Series — EU-IT-SERVICE-MANAGEMENT-SERIE #5/5
IT Service Management ist der Nervenstrang jeder IT-Organisation. Incident-Tickets enthalten Produktionsfehler-Details, Employee-PII, Change-Historien und mitunter GDPR Art.9-Sonderkategorien (z.B. Gesundheitsdaten in HR-Service-Requests). Alle vier Marktführer — ServiceNow, BMC Helix, Atlassian Jira Service Management und Freshworks Freshservice — sind US-amerikanische Unternehmen mit Delaware-Inkorporation. Für CISOs und Compliance-Verantwortliche in der EU stellt sich nicht die Frage ob ein CLOUD-Act-Risiko besteht, sondern wie stark es ausgeprägt ist — und welche EU-nativen Alternativen ernstzunehmen sind.
Diese Analyse schließt die fünfteilige EU-ITSM-Serie ab. Wir vergleichen alle vier Anbieter anhand des 25-Kriterien-CLOUD-Act-Frameworks, analysieren NIS2 Art.21(2)(e)- und DORA Art.17-Implikationen und leiten konkrete Handlungsempfehlungen für 6 typische EU-Organisationsprofile ab.
25-Kriterien CLOUD Act Scoring — Die Gesamtübersicht
Das Scoring-Framework bewertet fünf Risikodimensionen mit je bis zu 5 Punkten:
| Dimension | ServiceNow | BMC Helix | Atlassian JSM | Freshworks FS |
|---|---|---|---|---|
| D1: Rechtliche Einordnung (Jurisdiktion, Inkorporation) | 5/5 | 4/5 | 5/5 | 5/5 |
| D2: US-Regierungsverträge (FedRAMP, Gov-Cloud, DoD) | 5/5 | 4/5 | 4/5 | 4/5 |
| D3: Datenverarbeitung USA (Rechenzentren, Datenflüsse) | 4/5 | 4/5 | 4/5 | 4/5 |
| D4: KI/ML-Verarbeitung (AI-Features, US-Modelle) | 3/5 | 3/5 | 3/5 | 3/5 |
| D5: Transparenz & Rechtsweg (DPA-Kooperation, SCCs) | 2/5 | 2/5 | 2/5 | 2/5 |
| GESAMT | 19/25 | 17/25 | 18/25 | 18/25 |
| Risikoeinstufung | 🔴 Kritisch | 🔴 Hoch | 🔴 Hoch | 🔴 Hoch |
Alle vier Anbieter landen im roten Bereich. Der Unterschied zwischen 17/25 und 19/25 ist graduell, nicht kategorial — es gibt keine grüne Option unter den vier Marktführern.
Detailanalyse je Anbieter
ServiceNow Inc. — 19/25 (Höchstes Risiko)
Rechtliche Einordnung: ServiceNow wurde 2004 in San Diego CA gegründet. NYSE: NOW (S&P 500). Delaware Corporation. Operativer Hauptsitz: Santa Clara, CA. Europäische Tochtergesellschaft: ServiceNow Netherlands B.V. — Datentransfers verbleiben unter US-Muttergesellschaft.
US-Regierungsverträge (5/5): ServiceNow hält das breiteste US-Regierungsportfolio aller vier Anbieter. FedRAMP High Authorized. US Department of Defense (DoD) IL4/IL5-Authorization für die Government-Cloud. Verträge mit NASA, VA (Veterans Affairs), DoD-Agenturen, US Air Force und über 70 weiteren Federal-Agencies. Jeder NSL (National Security Letter) ist rechtlich bindend.
KI-Risiko: ServiceNow Now Intelligence / Now Assist analysiert Incident-Text, empfiehlt Lösungen und priorisiert Tickets. Verarbeitung auf ServiceNow-US-Cloud-Infrastruktur. Kein Opt-out ohne Feature-Verlust.
GDPR Art.28 Bewertung: SCCs vorhanden, aber: Transfer Impact Assessment (TIA) wird positiv ausgefallen, obwohl CLOUD Act + FedRAMP High DoD eine erhöhte NSL-Exposition bedeuten. Aufsichtsbehörden in DE/FR/NL haben ServiceNow-Kunden explizit auf residuale Risiken hingewiesen.
BMC Software Inc. — 17/25 (Niedrigstes Risiko unter den vier, aber immer noch hoch)
Rechtliche Einordnung: BMC Software gegründet 1980 in Houston TX. Seit 2018 im Privateigentum von KKR & Co. Inc. (NYSE: KKR, New York). Delaware Corporation. Kein öffentliches Listing — aber KKR als PE-Eigentümer unterliegt vollständig US-Jurisdiktion. Europäische Entität: BMC Software B.V. (Niederlande).
US-Regierungsverträge (4/5): FedRAMP Moderate. BMC Helix ITSM im US-DoD-Umfeld eingesetzt (DISA, Army). Kein IL5-Niveau wie ServiceNow, aber aktive Federal-Kundschaft. KKR selbst verwaltet Infrastruktur-Investments mit US-Strategic-Bedeutung.
Niedrigstes Risiko weil: BMC hat keinen NASDAQ/NYSE-Listing (weniger SEC-Transparenzpflichten), kleineres FedRAMP-Footprint als ServiceNow und weniger aggressives KI-Feature-Marketing mit Datenverarbeitungsimplikationen.
BMC Cognitive Service (AI): Natürliche Sprache, Incident-Klassifikation, Change-Risk-Scoring. Verarbeitung auf US-Cloud. Geringerer Umfang als Now AI oder Atlassian Intelligence, aber konzeptionell gleiches CLOUD-Act-Risiko.
Atlassian Corporation — JSM — 18/25
Rechtliche Einordnung: Atlassian wurde 2002 in Sydney, Australien gegründet. Kritisch: Seit der Redomizilierung 2022 ist Atlassian eine Delaware C-Corp (NASDAQ: TEAM). Die australische Herkunft schützt EU-Kunden nicht: als US-Körperschaft unterliegt Atlassian vollständig dem CLOUD Act und ECPA.
US-Regierungsverträge (4/5): FedRAMP Moderate (Atlassian Cloud Government). Einsatz bei US-Bundesbehörden für IT-Prozessverwaltung. Weniger FedRAMP-Scope als ServiceNow, aber wachsend.
Atlassian Intelligence (4/5 KI-Risiko): Atlassian Intelligence, basierend auf AWS Bedrock (Claude, weitere Foundational Models), analysiert Jira-Tickets, schreibt Zusammenfassungen und antwortet auf natürlichsprachige Abfragen. AWS Bedrock = US-Cloud-Verarbeitung. Alle Ticket-Inhalte, die durch AI-Features fließen, verlassen den EU-Kontext.
OpsGenie-Vektor: OpsGenie (On-Call-Management, 2018 von Atlassian akquiriert) speichert: Bereitschaftspläne mit Mitarbeitermobilnummern, Eskalationspfade, Dienstpläne. Alles auf US-Infrastruktur — GDPR Art.6/Art.9-Risiko für Beschäftigtendaten.
Freshworks Inc. — Freshservice — 18/25
Rechtliche Einordnung: Freshworks wurde 2010 in Chennai, Indien gegründet — aber seit dem NASDAQ-IPO 2021 (FRSH) ist Freshworks vollständig als Delaware C-Corporation inkorporiert. Die India-Gründungsgeschichte ist marketingmäßig präsent, hat aber keine rechtliche Schutzwirkung für EU-Kunden.
US-Regierungsverträge (4/5): Freshworks Federal ist eine eigenständige Unit mit aktiven Verträgen bei US-DHS (Department of Homeland Security) und DoD-Agenturen. FedRAMP Moderate. Weniger Scope als ServiceNow, aber DHS-Exposition ist besonders relevant: DHS koordiniert CISA und Cyber-Intelligence für kritische Infrastruktur.
Freddy AI: Freshservice's KI-Layer analysiert Incident-Inhalte für automatische Kategorisierung, Lösungsvorschläge (Solution Article Suggestions) und Freddy Copilot-Antworten. Verarbeitung auf US-Infrastruktur. Keine EU-only Verarbeitungsoption bekannt.
India-Jurisdiktion-Irrtum: Viele EU-Beschaffer nehmen an, Freshworks sei ein indisches Unternehmen und damit günstiger zu bewerten als US-Konzerne. Das ist falsch: CLOUD Act gilt für Delaware-Corporates unabhängig vom operativen Ursprungsland. Der NASDAQ-IPO hat Freshworks rechtlich vollständig in den US-Jurisdiktionsraum überführt.
NIS2 Art.21(2)(e) — Incident-Management-Anforderungen
Art.21(2)(e) NIS2: Wesentliche und wichtige Einrichtungen müssen Maßnahmen zur Behandlung von Sicherheitsvorfällen einführen. ITSM-Systeme sind der primäre Implementierungsort dieser Anforderung.
| Anforderung | ServiceNow | BMC Helix | JSM | Freshservice |
|---|---|---|---|---|
| Incident-Dokumentation (Art.21(2)(e)) | ✅ | ✅ | ✅ | ✅ |
| SLA-Tracking für 72h-CSIRT-Meldung | ✅ | ✅ | ✅ | ✅ |
| Audit-Trail unter EU-Aufsicht | ⚠️ US-Cloud | ⚠️ US-Cloud | ⚠️ US-Cloud | ⚠️ US-Cloud |
| Behördliche Datenzugriffsrechte | CLOUD Act | CLOUD Act | CLOUD Act | CLOUD Act |
| NIS2 Art.24 Zertifizierung (EU-ISAC) | Keine | Keine | Keine | Keine |
Kritischer Punkt: NIS2 Art.23(1) verlangt Meldung erheblicher Sicherheitsvorfälle an nationale CSIRTs. Die Incident-Details, die für diese Meldung benötigt werden, liegen in ITSM-Systemen. Wenn diese Daten auf US-Cloud-Infrastruktur verarbeitet werden, entsteht ein theoretischer Konflikt: US-Behörden könnten über den CLOUD Act auf dieselben Incident-Daten zugreifen, bevor EU-Behörden informiert werden.
DORA Art.17 — ICT-Incident-Klassifizierung (Finanzsektor)
Für Finanzinstitute, die DORA unterliegen (ab Januar 2025 in Kraft):
DORA Art.17 verlangt die Klassifizierung von ICT-bezogenen Vorfällen als "major incidents" anhand definierter Kriterien. ITSM-Systeme implementieren diese Klassifizierungslogik. DORA-Erwägungsgrund 52 betont das Prinzip der digitalen operationalen Resilienz, das auch Supply-Chain-Abhängigkeiten umfasst.
| DORA-Requirement | Alle vier US-ITSM | Risiko |
|---|---|---|
| Art.17: Incident-Klassifizierung | Implementierbar | Niedrig |
| Art.28: IKT-Drittdienstleister-Risiko | Hoch: alle vier sind kritische ICT-Third-Party | Kritisch |
| Art.30: Vertragsklauseln | SCCs vorhanden, aber CLOUD Act override möglich | Mittel |
| Art.42: Aufsichtsbehörden-Zugang | EU-RAs können Daten bei US-Providern nicht direkt fordern | Hoch |
DORA Art.28(8): Finanzunternehmen müssen ICT-Drittdienstleister regelmäßig auf Anzeichen von Kompromittierung überprüfen. Wenn der ITSM-Anbieter selbst Gegenstand eines US-Geheimverfahrens (NSL) wäre, hätte das Finanzunternehmen keine Kenntnis. Dieser Informations-Gap ist systeminherent bei US-Cloud-Diensten.
TCO-Analyse — 3 Jahre, 5.000 Nutzer, EU-Finanzsektor
Annahmen: 5.000 ITSM-Nutzer, 3-Jahres-Laufzeit, EUR-Konvertierung (1 USD = 0.93 EUR), inkl. Implementation, Training, Compliance-Overhead.
| Kostenkategorie | ServiceNow | BMC Helix | Atlassian JSM | Freshservice |
|---|---|---|---|---|
| Lizenz 3y (EUR) | ~€2.850.000 | ~€1.950.000 | ~€1.320.000 | ~€1.050.000 |
| Implementation | ~€450.000 | ~€380.000 | ~€280.000 | ~€220.000 |
| Training & Adoption | ~€180.000 | ~€150.000 | ~€120.000 | ~€100.000 |
| CLOUD Act Compliance-Overhead | ~€120.000 | ~€100.000 | ~€110.000 | ~€110.000 |
| TIA + DPA-Beratung | ~€45.000 | ~€40.000 | ~€40.000 | ~€40.000 |
| Gesamt 3y | ~€3.645.000 | ~€2.620.000 | ~€1.870.000 | ~€1.520.000 |
| EU-native Alternative (OTRS/TOPdesk) | — | — | — | ~€780.000 |
Der Compliance-Overhead (TIA, DPA-Beratung, SCCs-Review, regelmäßige Risiko-Neubewertung) liegt bei allen vier US-Anbietern zwischen €100.000 und €120.000 über drei Jahre. Dieser Kostenfaktor fehlt regelmäßig in Vendor-Angeboten und überrascht Compliance-Teams nachträglich.
EU-native Alternativen — Detailbewertung
| Anbieter | Land | CLOUD Act | Besonderheiten | Für wen geeignet |
|---|---|---|---|---|
| TOPdesk | 🇳🇱 Niederlande | 2/25 | ISO 27001, ITIL v4, SaaS + On-Premise, 25+ Jahre ITSM-Erfahrung | Mittelstand, Hochschulen, Kommunen |
| OTRS AG | 🇩🇪 Deutschland | 0/25 | ITIL v4-zertifiziert, On-Premise möglich, BSI-Kundschaft, Zülpich | Behörden, KRITIS, Bundesbehörden |
| Zammad GmbH | 🇩🇪 Deutschland (Berlin) | 0/25 | Open Source, Help-Desk-Fokus, günstigster Einstieg | KMU, Startups, kommunale IT |
| iTop / Combodo | 🇧🇪🇫🇷 Belgien/Frankreich | 0/25 | CMDB-stark, ITIL, Open Source, NIS2-ready | CMDB-getriebene Organisationen |
| GLPI / Teclib' | 🇫🇷 Frankreich | 1/25 | Open Source, EU-Behörden weit verbreitet, Asset-Management integriert | Öffentlicher Sektor, Schulen |
| Znuny GmbH | 🇩🇪 Deutschland (Berlin) | 0/25 | OTRS-Fork, Community-driven, Enterprise-Support verfügbar | OTRS-Migrations-Kandidaten |
Wichtige Einschränkung: EU-native Anbieter haben (noch) nicht die Feature-Tiefe von ServiceNow oder die Marketplace-Ökosysteme von Atlassian. Für komplexe Enterprise-ITSM mit CMDB-Orchestrierung, Problem-Management und Change-Advisory-Board-Workflows ist TOPdesk der einzige EU-native Anbieter mit vergleichbarem Funktionsumfang im Enterprise-Segment.
GDPR Risk-Matrix — 7 Dimensionen
| Risikodimension | ServiceNow | BMC Helix | JSM | Freshservice | OTRS/TOPdesk |
|---|---|---|---|---|---|
| Art.28 DPA-Klauseln | ⚠️ SCCs | ⚠️ SCCs | ⚠️ SCCs | ⚠️ SCCs | ✅ Keine Drittlandübertragung |
| Art.44 Drittlandtransfer | ⚠️ CLOUD Act | ⚠️ CLOUD Act | ⚠️ CLOUD Act | ⚠️ CLOUD Act | ✅ EU-Verarbeitung |
| Art.9 Sonderkategorien | 🔴 Hochrisiko | 🔴 Hochrisiko | 🔴 Hochrisiko | 🔴 Hochrisiko | ✅ EU-Kontrolle |
| Art.22 Profiling/AI | ⚠️ Now AI | ⚠️ Cognitive AI | ⚠️ Atlassian AI | ⚠️ Freddy AI | ✅ Kein US-AI |
| Art.35 DPIA-Pflicht | 🔴 Pflicht | 🔴 Pflicht | 🔴 Pflicht | 🔴 Pflicht | ⚠️ Ggf. Pflicht |
| Art.17 Löschrecht | ⚠️ Komplex | ⚠️ Komplex | ⚠️ Komplex | ⚠️ Komplex | ✅ Direkte Kontrolle |
| Art.83 Bußgeldrisiko | 🔴 Hoch | 🔴 Hoch | 🔴 Hoch | 🔴 Hoch | ✅ Niedrig |
DPIA-Pflicht: Nach GDPR Art.35 müssen Verarbeitungsvorgänge mit hohem Risiko einer DPIA (Data Protection Impact Assessment) unterzogen werden. US-CLOUD-Act-Exposition in Kombination mit AI-Feature-Nutzung und möglichen Art.9-Sonderkategorien löst in aller Regel die DPIA-Pflicht aus. Viele Organisationen übersehen diesen Schritt bei der ITSM-Beschaffung.
6 Entscheidungsszenarien
Szenario 1: Bundesbehörde oder KRITIS-Betreiber
Empfehlung: OTRS AG (0/25) Bundesbehörden und KRITIS-Betreiber unterliegen BSI-IT-Grundschutz und VS-NfD-Anforderungen. US-CLOUD-Act-Exposition ist mit diesen Anforderungen in aller Regel nicht vereinbar. OTRS AG bietet ITIL v4-Zertifizierung, On-Premise-Deployment und aktive BSI-Kundschaft. Zülpich (NRW) als deutsches Unternehmen mit 0/25 CLOUD Act.
Szenario 2: Mittelständisches Fertigungsunternehmen (NIS2-pflichtig)
Empfehlung: TOPdesk (2/25) TOPdesk bietet die beste Balance aus Enterprise-Funktionstiefe und EU-Jurisdiktion. ISO 27001, ITIL v4, SaaS und On-Premise-Option. Für Fertigungsunternehmen mit 500–10.000 Mitarbeitern ist TOPdesk der reifste EU-native Anbieter.
Szenario 3: Finanzinstitut (DORA-pflichtig ab 2025)
Empfehlung: TOPdesk oder OTRS — evaluiere Atlassian JSM nur wenn Atlassian Cloud Government Region EU verfügbar DORA Art.28 klassifiziert ITSM-Anbieter als kritische ICT-Drittdienstleister. US-Anbieter erhöhen das Art.28-Risiko. Wenn ein US-Anbieter unumgänglich ist: Atlassian JSM Government (EU-Region) mit strikter TIA ist die risikoärmste Option unter den vier.
Szenario 4: Großkonzern mit globalem IT-Betrieb (>10.000 Mitarbeiter)
Empfehlung: ServiceNow mit EU-Datenspeicherung + SOC-Team + DPIA Für globale Konzerne mit bestehender ServiceNow-Implementierung ist ein Migrationsprojekt ein Mehrjahresvorhaben. Kurzfristig: EU-Datenspeicherungsregion aktivieren, AI-Features durch DPA-geprüfte Zusatzvertrag einschränken, jährliche TIA durchführen, DPIA dokumentieren.
Szenario 5: Startup / Scale-Up (GDPR-bewusst, Cloud-first)
Empfehlung: Freshservice oder Zammad Freshservice hat die günstigste TCO unter den vier US-Anbietern und die modernste UX. Wenn CLOUD-Act-Compliance vertraglich abgesichert ist (SCCs + TIA): akzeptable Wahl. Alternativ: Zammad GmbH (Berlin) für Help-Desk-fokussierte Workflows zu Bruchteil der Kosten.
Szenario 6: Öffentliche Hochschule / Universität
Empfehlung: GLPI (France) oder iTop Hochschulen verarbeiten Studierenden-PII und müssen EU-Datenschutz-Anforderungen erfüllen. GLPI (Teclib', Frankreich) ist weit verbreitet in EU-Hochschulen und EU-Behörden, bietet starkes Asset-Management und ist Open-Source. iTop (Combodo, Belgien) für CMDB-starke Umgebungen.
Gesamtranking nach EU-Compliance-Tauglichkeit
| Rang | Anbieter | CLOUD Act | TCO 3y/5k User | EU-Tauglichkeit |
|---|---|---|---|---|
| 🥇 1 | OTRS AG (DE) | 0/25 | ~€640k | ✅ Optimal |
| 🥇 1 | Zammad GmbH (DE) | 0/25 | ~€180k | ✅ Optimal (Help Desk) |
| 🥈 2 | TOPdesk (NL) | 2/25 | ~€780k | ✅ Sehr gut |
| 🥈 2 | iTop / Combodo (BE/FR) | 0/25 | ~€420k | ✅ Sehr gut |
| 🥉 3 | BMC Helix | 17/25 | ~€2.620k | ⚠️ Mit DPIA+TIA |
| 🥉 3 | Atlassian JSM | 18/25 | ~€1.870k | ⚠️ Mit DPIA+TIA |
| 🥉 3 | Freshservice | 18/25 | ~€1.520k | ⚠️ Mit DPIA+TIA |
| 4 | ServiceNow | 19/25 | ~€3.645k | 🔴 Nur mit intensivem Compliance-Programm |
Migrationsstrategie — Wechsel von US-ITSM zu EU-native
Ein ITSM-Wechsel ist ein Minimalprojekt von 12–18 Monaten. Checkliste für den strukturierten Wechsel:
Phase 1 — Datenbestandsaufnahme (Monate 1–2):
- Ticket-Export aus dem bestehenden US-System (CSV/JSON)
- Klassifizierung nach Datenkategorien: Employee-PII, Sonderkategorien, Change-History, CI-Daten (CMDB)
- DPIA für die Migrationsphase (beide Systeme parallel laufend)
Phase 2 — EU-Anbieter-Piloten (Monate 3–6):
- TOPdesk: 90-Tage-Piloten in einer Abteilung (z.B. IT-Help-Desk)
- OTRS: Parallelbetrieb für KRITIS-Prozesse
- Customizing der Workflows (ITIL v4 Incident/Problem/Change)
Phase 3 — Datenmigration (Monate 7–12):
- CMDB-Daten: CI-Relationships, Asset-Inventory
- Ticket-Archiv: Historical-Import für Audit-Zwecke
- Knowledge-Base: Lösungsartikel, FAQs
Phase 4 — Hypercare & Decommission (Monate 13–18):
- Parallelbetrieb bis alle Workflows validiert
- Datenlöschung im US-System (GDPR Art.17 + DSGVO §35)
- DPA-Benachrichtigung über den Wechsel zu einem EU-Provider
Fazit: Kein US-ITSM ist CLOUD-Act-sicher — aber die Unterschiede sind relevant
ServiceNow (19/25), Atlassian JSM (18/25), Freshservice (18/25) und BMC Helix (17/25) sind alle US-amerikanische Unternehmen mit Delaware-Inkorporation. CLOUD-Act-Risikofreiheit ist bei keinem erreichbar — wohl aber ein abgestuftes Risikomanagement.
Die wichtigste Erkenntnis dieser Serie: Alle vier Anbieter bewerben EU-Datenspeicherung als Schutzmaßnahme. Diese Darstellung ist unvollständig. GDPR Art.44 und der CLOUD Act betreffen die Kontrolle über die Daten, nicht nur den physischen Speicherort. Ein in Frankfurt gespeichertes Ticket ist dem Zugriff US-amerikanischer Behörden nicht entzogen, wenn der Betreiber eine US-Delaware-Corporation ist.
Für Organisationen mit streng regulierten Daten — KRITIS, Finanzsektor (DORA), öffentliche Verwaltung — ist die EU-native Lösung (TOPdesk, OTRS, iTop) die einzige Option, die CLOUD-Act-Exposition strukturell ausschließt.
Serie abgeschlossen: EU-IT-SERVICE-MANAGEMENT-SERIE 5/5 ✅
Diese finale Analyse schließt die EU-ITSM-Serie ab:
- Post #1213: ServiceNow EU Alternative 2026 — CLOUD Act 19/25
- Post #1214: BMC Helix ITSM EU Alternative 2026 — CLOUD Act 17/25
- Post #1215: Jira Service Management EU Alternative 2026 — CLOUD Act 18/25
- Post #1216: Freshservice EU Alternative 2026 — CLOUD Act 18/25
- Post #1217: EU ITSM Comparison Finale 2026 ← dieser Post
Alle Scoring-Werte basieren auf öffentlich zugänglichen Informationen (FedRAMP Marketplace, SEC-Filings, EUCS-Entwurfsdokumenten, Privacy Policies, Sub-Processor-Listen). Kein Anbieter wurde vorab kontaktiert. Stand: Mai 2026.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.