Forcepoint DLP EU Alternative 2026: Raytheon-Erbe, Francisco Partners PE und CLOUD Act 17/25 — Wenn Rüstungstechnologie Ihre Geschäftsdaten scannt
Post #1220 in der sota.io EU Cyber Compliance Series — EU-DATA-LOSS-PREVENTION-SERIE #3/5
Data Loss Prevention ist keine neutrale Technologie. Ein DLP-System analysiert jeden ausgehenden E-Mail-Anhang, scannt Dokumente auf sensible Inhalte, überwacht das Kopierverhalten auf USB-Sticks und protokolliert Dateiübertragungen ins Web. Wem dieses System gehört — und unter welcher Rechtsordnung es operiert — ist keine Detailfrage.
Forcepoint DLP ist in Tausenden europäischer Unternehmen im Einsatz. Was viele Compliance-Verantwortliche nicht wissen: Das Produkt wurde ursprünglich im Umfeld eines der größten US-Rüstungskonzerne entwickelt und wird heute von einem Private-Equity-Fonds ohne Börsenaufsicht kontrolliert. Die Kombinaton aus US-Jurisdiktion, Defense-Contractor-Erbe und Cloud-nativer Architektur ergibt einen CLOUD Act Score von 17/25 — und konkrete Implikationen für EU-Datenschutzverantwortliche.
Die Unternehmensgeschichte: Von San Diego über Raytheon nach Francisco Partners
Um Forcepoint DLP zu verstehen, muss man drei Unternehmen kennen.
Websense wurde 1994 in San Diego, Kalifornien gegründet — zunächst als URL-Filtering-Lösung für Unternehmen. Über zwei Jahrzehnte entwickelte Websense ein breites Portfolio in den Bereichen Web Security, E-Mail-Security und Data Theft Prevention (DTP). 2013 übernahm Vista Equity Partners (Austin TX, Robert F. Smith) das Unternehmen für 906 Millionen Dollar — Private Equity, erste Runde.
Parallel dazu operierte Raytheon Cybersecurity als Geschäftsbereich von Raytheon Technologies (heute RTX Corporation, NYSE:RTX, Connecticut). Raytheon ist einer der vier größten US-Rüstungskonzerne, bekannt für Patriot-Raketen, Tomahawk-Marschflugkörper und — weniger bekannt — umfangreiche Verträge mit der NSA, DHS, DoD und dem US-Geheimdienst-Apparat. Der Cybersecurity-Bereich entwickelte Lösungen ursprünglich für den Einsatz in Behörden mit Geheimhaltungsstufen.
2015/2016: Websense und Raytheon Cybersecurity fusionierten zum Gemeinschaftsunternehmen Forcepoint — ein Joint Venture zwischen Vista Equity (Websense-Seite) und Raytheon (Cybersecurity-Seite). Die Namensgebung 2016 markiert den Start des kommerziellen Brands.
2021: Francisco Partners (San Francisco CA, Private Equity, gegründet 2000) übernahm die Mehrheit an Forcepoint von Raytheon. Die Defense-Contractor-Verbindung blieb damit im Gesellschafterkreis, der operative Kontrollwechsel führte jedoch zu einer Neuausrichtung auf den kommerziellen Enterprise-Markt.
2023: Forcepoint vollzog einen bemerkenswerten strukturellen Schritt: Die gesamte Government-Division wurde als eigenständiges Unternehmen abgetrennt und unter dem Namen Everfox rebranded — kontrolliert von Crosspoint Capital Partners (weiteres PE-Haus). Everfox bedient weiterhin NSA, DHS, DoD und Intelligence Community. Forcepoint LLC (Francisco Partners) konzentriert sich auf den kommerziellen Enterprise-Markt.
Das bedeutet für EU-Compliance-Verantwortliche: Die DLP-Lösung, die in ihrem Unternehmen läuft, wurde in einem Defense-Contractor-Ökosystem entwickelt, ist durch drei PE-Runden gegangen und operiert heute als US-LLC unter voller US-Jurisdiktion — ohne Börsenaufsicht und ohne öffentliche Transparenzberichte.
CLOUD Act Scoring: 17/25
Das sota.io CLOUD Act Scoring-Framework bewertet fünf Dimensionen, jeweils 0–5 Punkte (0 = kein Risiko, 5 = maximales Risiko):
D1: Rechtliche Jurisdiktion (5/5)
Forcepoint LLC ist als Limited Liability Company in Delaware eingetragen — der klassische US-Inkorporationsstandort mit maximaler CLOUD-Act-Exponierung. Der Hauptsitz liegt in Austin, Texas. Francisco Partners als Hauptgesellschafter ist ein US-amerikanisches Private-Equity-Unternehmen in San Francisco, CA.
Alle drei Ebenen — Inkorporation, Headquarter, Eigentümerstruktur — liegen unter vollständiger US-Jurisdiktion. Das bedeutet: US-Behörden können über den CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) auf Daten zugreifen, die Forcepoint im Auftrag europäischer Kunden verarbeitet — unabhängig vom physischen Speicherort. 5/5.
D2: Raytheon-Erbe und Defense-Contractor-Exponierung (4/5)
Hier liegt Forcepoints spezifisches Risikoprofil: Die DLP-Technologie wurde nicht in einem kommerziellen Software-Unternehmen entwickelt, sondern in einem Raytheon-Kontext mit tiefer Verwurzelung im US-Intelligence-Komplex.
Raytheon Technologies (heute RTX Corp) hält aktive Verträge mit NSA, CIA, DHS und DoD. Mitarbeiter mit Sicherheitsfreigaben (Security Clearances) haben jahrelang an Forcepoint-Technologie gearbeitet. Auch nach der Abspaltung zu Everfox 2023 verbleiben institutionelles Wissen, technische Architektur-Entscheidungen und Personalüberschneidungen in der kommerziellen Forcepoint-Einheit.
Everfox (die Government-Tochter) vermarktet explizit "Cross Domain Solutions" für klassifizierte Netzwerke bei NSA und DoD. Die enge technologische Verwandtschaft zur kommerziellen Forcepoint-DLP-Plattform ist kein Zufall — sie teilen eine gemeinsame Entwicklungsgeschichte.
Francisco Partners selbst ist keine Defense-Firma, hat jedoch ein Tech-Portfolio mit mehreren Dual-Use-Technologie-Unternehmen. 4/5.
D3: Cloud-Infrastruktur und Datenprozessierung (3/5)
Forcepoint ONE ist die cloud-native SASE-Plattform, auf der das moderne Forcepoint DLP aufsetzt. Die Infrastruktur läuft auf AWS und Microsoft Azure — mit US-Regionen als Default.
Für EU-Kunden bietet Forcepoint Data Residency-Optionen für primäre Datenspeicher in EU-Rechenzentren. Jedoch gilt: DLP-Content-Scanning erfordert Verarbeitung in der Analyse-Engine, und die Threat Intelligence Feeds sowie Behavioural Baselines (für Risk-Adaptive Protection) werden global aggregiert und in US-Infrastruktur zentralisiert verarbeitet.
Das bedeutet: Selbst bei EU-Datenspeicherung fließen Metadaten, Verhaltensmuster und Anomalie-Signale EU-europäischer Mitarbeiter durch Forcepoints globale Analyse-Infrastruktur. Vollständige Datensouveränität ist nicht erreichbar ohne dedizierte On-Premises-Deployment. 3/5.
D4: Risk-Adaptive Protection — KI-Verhaltensanalyse (3/5)
Risk-Adaptive Protection (RAP) ist Forcepoints proprietäres System zur dynamischen Risikoeinschätzung. Es analysiert Nutzerverhalten über Zeit: Wann loggt sich jemand ein? Welche Dateitypen öffnet er? Wie oft werden große Datenmengen auf externe Speicher kopiert? Aus diesen Mustern baut RAP ein individuelles Risikoprofil pro Mitarbeiter auf.
Für EU-Organisationen bedeutet das: Verhaltensprofile europäischer Mitarbeiter werden kontinuierlich in Forcepoints Cloud-Infrastruktur verarbeitet und gespeichert. Das berührt Art. 88 DSGVO (Datenschutz im Beschäftigungskontext), Betriebsrat-Rechte nach nationalem Recht (BetrVG § 87 in Deutschland), und erfordert eine DSFA (Datenschutz-Folgenabschätzung) gemäß Art. 35 DSGVO bei systematischer Mitarbeiterüberwachung.
Die RAP-Technologie ist leistungsfähig — aber sie verarbeitet hochsensible HR-Daten in einer US-Cloud unter US-Recht. 3/5.
D5: Transparenz und Disclosure-Praxis (2/5)
Forcepoint LLC veröffentlicht keinen öffentlichen Transparency Report über Regierungsanfragen auf Kundendaten. Als nicht-börsennotiertes PE-Portfolio-Unternehmen unterliegt Forcepoint keinen SEC-Berichtspflichten, die solche Angaben erzwingen würden.
Francisco Partners veröffentlicht als PE-Firma ebenfalls keine Transparenzberichte zu Portfolio-Unternehmen. Im Gegensatz zu börsennotierten Unternehmen wie Microsoft oder Alphabet gibt es keine regulatorische Anforderung, Behördenanfragen zu melden oder zu quantifizieren.
Immerhin: Forcepoint veröffentlicht eine Privacy Policy und DPA-Vorlage für Kunden. Ein Subprocessor-Register existiert. Das entspricht dem Mindeststandard für einen EU-Datenschutzvertrag — aber keine aktive Disclosure-Kultur. 2/5.
Gesamt: 17/25 — Unterhalb von Microsoft Purview (22/25) und Symantec/Broadcom (20/25), aber immer noch signifikant durch das Defense-Contractor-Erbe und die PE-Governance-Lücken.
Was Forcepoint DLP tatsächlich verarbeitet
Ein Blick auf die Produktarchitektur verdeutlicht das Datenvolumen:
Forcepoint DLP Network überwacht den gesamten ausgehenden Netzwerktraffic: E-Mail (SMTP), Web-Uploads (HTTP/HTTPS), FTP, Instant Messaging. Jeder Anhang, jede Übertragung wird gegen Policy-Regeln geprüft. Bei Cloud-Deployment: Content-Scanning in Forcepoints Cloud.
Forcepoint DLP Endpoint sitzt direkt auf dem Rechner europäischer Mitarbeiter. Er überwacht Druckvorgänge, USB-Übertragungen, Copy-Paste in Anwendungen, Screenshot-Aktivitäten und Dateioperationen. Die gesammelten Telemetriedaten werden an die zentrale Management-Konsole zurückgemeldet.
Forcepoint DLP Cloud (über Forcepoint ONE/CASB) verbindet sich mit Microsoft 365, Google Workspace, Salesforce, Box und anderen Cloud-Anwendungen. Es scannt dort gespeicherte Dokumente direkt über API-Integrationen.
Forcepoint Behavioral Intelligence korreliert alle diese Daten zu individuellen Risikoprofilen. Das System "versteht" welche Aktivitäten für einen bestimmten Mitarbeiter normal sind — und flaggt Abweichungen.
Die Gesamtheit dieser Datenpunkte repräsentiert einen außerordentlich sensiblen Einblick in das Arbeitsverhalten europäischer Mitarbeiter, in M&A-Planungen, Produktentwicklungs-Dokumente, HR-Informationen und Kundendaten. All das unter der Kontrolle einer US-LLC mit Raytheon-Erbe und ohne öffentliche Transparenzberichte.
Die 2023-Aufspaltung: Forcepoint vs. Everfox
Die Trennung in Forcepoint (kommerziell) und Everfox (Government) 2023 ist rechtlich bedeutsam, aber technologisch weniger trennscharf als sie erscheint:
Everfox (Crosspoint Capital PE) bedient weiterhin:
- NSA Cross Domain Solutions
- DHS Trusted Internet Connections
- DoD Classified Network DLP
- Intelligence Community Insider Threat Programs
Forcepoint (Francisco Partners PE) bedient:
- Fortune 500 Enterprise
- EU-Unternehmen in regulierten Branchen
- Finanzdienstleister, Pharma, Telekommunikation
Die technologische Basis beider Unternehmen teilt eine gemeinsame Entwicklungsgeschichte. Mitarbeiter, die an Forcepoints kommerzieller DLP-Engine arbeiten, haben oft Backgrounds aus der Government-Division. Patent-Portfolios und Kernalgorithmen haben gemeinsamen Ursprung.
Für EU-Compliance-Beauftragte ist die rechtliche Trennung 2023 ein wichtiger Datenpunkt — aber kein Freifahrtschein. Die Frage ist nicht nur, wer rechtlich Eigentümer der Technologie ist, sondern auch: Welche institutionellen Verbindungen bestehen zwischen kommerzieller und Government-Sparte eines Unternehmens, das denselben technologischen Stammbaum teilt?
EU-native DLP-Alternativen: Der Markt ist dünn
Data Loss Prevention ist eine der Kategorien, in der EU-native Anbieter besonders schwach aufgestellt sind. Drei existieren — alle mit erheblichen Marktanteil-Unterschieden zu den US-Marktführern:
Safetica Technologies (Tschechien) — 0/25 CLOUD Act Risk
Safetica ist ein tschechisches Cybersecurity-Unternehmen mit Headquarter in Prag. Die Lösung bietet endpoint-basiertes DLP für SMB und Mid-Market. Safetica ist GDPR-konform, speichert Daten in EU-Rechenzentren und unterliegt tschechischem Datenschutzrecht (unter GDPR). 0/25 CLOUD Act Risiko.
Einschränkungen: Safetica ist auf Windows-Endpoints ausgelegt, hat limitierte Cloud-DLP-Fähigkeiten (kein nativer CASB-Schutz für M365/Salesforce), und ist für komplexe Enterprise-Deployments mit Tausenden von Endpoints weniger skalierbar als Forcepoint oder Symantec. Für mittelgroße EU-Unternehmen mit klarem Schwerpunkt auf Endpoint-DLP ist Safetica eine solide Option.
EgoSecure / Matrix42 (Deutschland) — 0/25 CLOUD Act Risk
EgoSecure ist eine Marke von Matrix42 AG (Frankfurt am Main), einem deutschen Softwareunternehmen mit Fokus auf Digital Workspace Management. Die DLP-Komponente EgoSecure Data Protection bietet Endpoint-Schutz, Verschlüsselung und Audit-Trail-Funktionen.
Matrix42 AG ist ein deutsches Unternehmen unter deutschem Recht — keine US-Konzernmutter, keine CLOUD Act Exponierung. 0/25 für US-Jurisdiktion. Einschränkung: Die DLP-Funktionalität ist weniger spezialisiert als dedizierte DLP-Suites und eher als Zusatzmodul zur Matrix42-Plattform positioniert.
SECUDE HALOCORE (Schweiz/Deutschland) — 0/25 CLOUD Act Risk
SECUDE GmbH ist ein deutsch-schweizerisches Unternehmen (Hauptsitz in der Schweiz, Entwicklungszentrum in Deutschland) mit Spezialisierung auf SAP-Datenschutz. HALOCORE bietet DLP-Funktionen speziell für SAP-Umgebungen: Rights Management, Klassifizierung und Export-Kontrolle für SAP-Dokumente.
Für EU-Organisationen mit SAP als Kernsystem ist HALOCORE eine echte Alternative zu US-basierten DLP-Lösungen. Die Fokussierung auf SAP ist jedoch auch die Einschränkung: Kein allgemeines Endpoint-DLP, keine Cloud-DLP-Abdeckung über SAP hinaus.
Entscheidungsmatrix: Wann ist Forcepoint noch vertretbar?
| Szenario | Bewertung | Empfehlung |
|---|---|---|
| Reine On-Premises-Deployment ohne Cloud-Komponenten | Reduziertes Risiko (D3/D4 sinken), D1/D2 bleiben | Risikoakzeptanz mit TIA möglich |
| Kritische Infrastruktur (KRITIS NIS2) | CLOUD Act 17/25 ist schwer begründbar | Wechsel zu EU-native prüfen |
| Forcepoint ONE / Cloud-DLP im Einsatz | Volles 17/25-Risikoprofil | DSFA Pflicht, TIA erforderlich |
| Finanzsektor (DORA Art.9/10) | Vendor-Risk Assessment erforderlich | Forcepoint als High-Risk Vendor einstufen |
| M&A, IP-intensive Branchen | Besonders sensibel: DLP scannt Strategiedokumente | Prüfen ob EU-native ausreichend |
| SMB/Mid-Market mit Windows-Endpoints | Safetica als EU-native Alternative möglich | Migration evaluieren |
| SAP-lastiges Unternehmen | SECUDE HALOCORE prüfen | Starke EU-native Option |
Sofortmaßnahmen für bestehende Forcepoint-Kunden
Wenn Forcepoint DLP bereits im Einsatz ist, sind folgende Schritte GDPR-konform:
1. Datenschutz-Folgenabschätzung aktualisieren (Art. 35 DSGVO) Risk-Adaptive Protection als systematische Mitarbeiterüberwachung qualifiziert. Eine DSFA ist Pflicht — falls noch nicht durchgeführt, sofort nachholen.
2. Transfer Impact Assessment (TIA) durchführen Nach Schrems II ist eine TIA für die Übermittlung personenbezogener Daten in die USA erforderlich. Das CLOUD Act 17/25-Scoring dient als Ausgangsbasis. Dokumentieren Sie konkret: Welche Daten fließen in welche US-Infrastruktur?
3. Datenverarbeitungsvertrag (DPA) prüfen Stellen Sie sicher, dass ein aktueller AVV nach Art. 28 DSGVO mit Forcepoint vorliegt und EU-Standardvertragsklauseln (SCCs, 2021-Version) eingebunden sind.
4. Datenresidenz-Einstellungen konfigurieren Für Forcepoint ONE: Aktivieren Sie explizit EU-Datenspeicherung. Prüfen Sie in den Admin-Einstellungen, welche Analytics-Daten in US-Infrastruktur fließen und ob Opt-Out möglich ist.
5. Betriebsrat einbinden (in Deutschland: § 87 BetrVG) Risk-Adaptive Protection ist mitbestimmungspflichtig. Ohne Betriebsrats-Vereinbarung ist der Einsatz von RAP in Deutschland rechtlich problematisch.
Was bedeutet die Francisco Partners PE-Struktur konkret?
Private Equity als Eigentümer einer kritischen Enterprise-Security-Lösung hat spezifische Implikationen, die über CLOUD Act hinausgehen:
Investitionshorizont: PE-Fonds haben typische Haltezeiten von 5–8 Jahren. Francisco Partners ist seit 2021 Mehrheitseigentümer. Das bedeutet: Forcepoint steht voraussichtlich 2026–2029 vor einem Exit — entweder IPO, strategischer Verkauf, oder Secondary PE Sale. Wer der nächste Eigentümer ist und welches Risikoprofil er mitbringt, ist heute unbekannt.
Keine Börsenaufsicht: Als Private-LLC ist Forcepoint nicht zur SEC-Disclosure verpflichtet. Änderungen in Eigentümerstruktur, Finanzlage oder Datenschutz-Praxis müssen nicht öffentlich berichtet werden. EU-Kunden haben keine regulatorische Transparenz über das Unternehmen, dem sie ihre sensibelsten Datenprozesse anvertrauen.
Kostenoptimierungsdruck: PE-Portfolio-Unternehmen stehen typischerweise unter Margendruck. Das kann sich in reduzierten Datenschutz-Compliance-Investitionen, Personalabbau in Security-relevanten Teams, oder verzögerten EU-Regulierungs-Anpassungen niederschlagen.
Fazit: Raytheon-Erbe trifft PE-Governance-Lücke
Forcepoint DLP hat ein klar erkennbares Risikoprofil für EU-Organisationen: 17/25 auf dem CLOUD Act Scoring, kombiniert mit einem Defense-Contractor-Ursprung und Private-Equity-Eigentümerschaft ohne Börsenaufsicht.
Das bedeutet nicht, dass Forcepoint DLP grundsätzlich nicht einsetzbar ist. Für On-Premises-Deployments ohne Cloud-Komponenten und mit vollständiger TIA/DSFA-Dokumentation ist eine rechtskonforme Nutzung begründbar. Für Cloud-native Forcepoint ONE-Deployments in kritischen Infrastrukturen oder regulierten Branchen wird die Rechtsgrundlage erheblich schwieriger.
Die EU-native Alternativen — Safetica für SMB/Mid-Market Endpoint-DLP, EgoSecure/Matrix42 für Windows-fokussierte Umgebungen, SECUDE HALOCORE für SAP-intensive Organisationen — decken nicht das gesamte Feature-Spektrum einer Enterprise-DLP-Suite ab. Der EU-DLP-Markt hat eine echte Lücke für vollwertige, EU-domizilierte Enterprise-DLP-Lösungen.
In der nächsten Episode der EU-DATA-LOSS-PREVENTION-SERIE analysieren wir Digital Guardian (Fortra/Roper Technologies, Eden Prairie MN) — eine der wenigen DLP-Lösungen mit echter Endpoint-DNA, aber ebenfalls unter US-Jurisdiktion und mit eigener PE-Geschichte.
sota.io hilft EU-Unternehmen, konforme Cloud-Infrastruktur in Europa zu betreiben. Kein CLOUD Act, keine US-Jurisdiktion, keine Compliance-Grauzone. Jetzt starten →
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.