SailPoint EU Alternative 2026: Identity Governance ohne US-Jurisdiktion
Post #1208 in der sota.io EU Cyber Compliance Series
Identity Governance and Administration (IGA) ist das Rückgrat jeder NIS2-konformen Zugangskontrolle — und gleichzeitig eines der sensibelsten GDPR-Systeme im Unternehmen. IGA-Plattformen wie SailPoint speichern nicht nur Zugriffsrechte, sondern vollständige Behavioral-Profile: Wer hat wann auf welches System zugegriffen, wer hat welchen Zugriff zertifiziert, welche Rollen wurden durch welchen Manager approved. Das ist hochsensible Employee-PII unter Art.9-Schwelle plus vollständige Arbeitsprofile unter Art.5 GDPR.
Das Problem: Der globale IGA-Markt wird von drei US-Unternehmen dominiert — SailPoint (Austin TX), Saviynt (El Segundo CA) und One Identity (Quest Software, Aliso Viejo CA). Alle drei fallen unter den CLOUD Act (18 U.S.C. § 2523), der US-Behörden Zugriff auf gespeicherte Daten ermöglicht — unabhängig davon, ob die Daten in einer EU-Region liegen.
Dieser Post analysiert SailPoints CLOUD Act-Risiko (19/25) und stellt EU-native IGA-Alternativen vor, die NIS2 Art.21(2)(i), GDPR Art.32 und DORA Art.28 ohne US-Jurisdiktionsrisiko erfüllen.
Was macht IGA zum GDPR-Hochrisiko-System?
Identity Governance and Administration verwaltet drei Datenkategorien mit erhöhtem GDPR-Risiko:
1. Employee Identity Data (Art.4 Nr.1 GDPR)
- Name, E-Mail, Job-Titel, Abteilung, Vorgesetzter
- Organisationsstruktur-Mapping (wer berichtet an wen)
- HR-System-Integration: Eintrittsdatum, Kündigungsdatum, Elternzeit-Status
2. Behavioral Access Data (Art.32 GDPR)
- Welche Anwendungen nutzt ein Mitarbeiter täglich
- Anomalie-Erkennung: "User X greift plötzlich auf 500 Dateien zu" (verhaltensbasierte Analytics)
- Privileged Access: Wann wurde Root-Zugriff genutzt, welche Commands ausgeführt
3. Compliance-Audit-Trail (Art.17 GDPR — Löschkonflikt)
- Zugriffs-Zertifizierungshistorie: Wer hat wann welchen Zugriff approved/revoked
- SOD (Separation of Duties)-Konflikte: Protokoll aller Verstöße
- Rezertifizierungs-Entscheidungen: Mit Begründungen und Timestamps
Das GDPR-Dilemma: Art.17 gewährt Mitarbeitern das Recht auf Löschung — aber Compliance-Frameworks (ISO 27001, SOC 2, NIS2) verlangen Audit-Trails für 3-7 Jahre. IGA-Systeme sitzen direkt in diesem Spannungsfeld.
SailPoint Technologies — CLOUD Act Risiko: 19/25
Unternehmensstruktur
| Merkmal | Detail |
|---|---|
| Rechtsform | SailPoint Technologies Holdings, Inc. |
| Bundesstaat | Delaware, USA |
| Börsennotierung | NASDAQ: SAIL (Re-IPO April 2024, $1,4 Mrd. raised) |
| Hauptinvestor | Thoma Bravo (Chicago IL) — signifikanter Aktionär post-IPO |
| Hauptsitz | Austin, Texas, USA |
| Umsatz (2025) | ~$500M ARR |
| Kunden | 3.000+ Unternehmen weltweit |
| Employees | ~3.500 |
Produkte
Identity Security Cloud (ISC) — früher IdentityNow
- SaaS-Plattform, primär AWS us-east-1
- EU-Region: AWS eu-central-1 (Frankfurt) verfügbar
- AI-Features: Identity Security Atlas (ML-basierte Anomalieerkennung)
- Integrationen: SAP, Microsoft 365, Workday, ServiceNow, 200+ Konnektoren
IdentityIQ (IIQ)
- On-premise/Private-Cloud-Deployment
- Ältere Enterprise-Plattform, viele Fortune-500-Installationen
- End-of-Life-Pfad: SailPoint drängt Kunden zu ISC Migration
CLOUD Act Risiko-Assessment (19/25)
| Dimension | Score | Begründung |
|---|---|---|
| US-Parent-Jurisdiktion | 5/5 | Delaware Corp. = CLOUD Act verpflichtet |
| Infrastruktur-Kontrolle | 4/5 | AWS eu-central-1 verfügbar, aber US-parent-controlled |
| Government Contracts | 4/5 | FedRAMP Moderate authorized, Federal civilian agencies |
| Thoma Bravo PE-Struktur | 3/5 | Chicago IL PE-Firma als signifikanter Shareholder |
| Behavioral Analytics Scope | 3/5 | Identity Security Atlas: verhaltensbasierte Employee-Daten |
| Gesamt | 19/25 | Hoch |
PRISM-Analogie für IGA-Systeme
SailPoint ist kein PRISM-Partner (keine bekannte NSA-Direktverbindung). Aber die CLOUD Act-Implikation ist strukturell dieselbe wie bei den Hyperscalern: Wenn US-Behörden ein National Security Letter (NSL) oder einen FISA Court Order ausstellen, muss SailPoint den Zugriff auf gespeicherte Identity-Daten gewähren — auch für EU-Region-Deployments.
Was konkret betroffen wäre:
- Vollständige Zugriffsrechte-Profile aller EU-Mitarbeiter
- Behavioral Analytics (wer hat wann auf was zugegriffen)
- SOD-Konflikte und Compliance-Violations
- Privileged Account Nutzungshistorie (Admins, Root-Zugriffe)
Für Unternehmen in kritischen Sektoren (NIS2 Essential Entities, DORA Financial Entities) ist das ein strukturelles Risiko — unabhängig von SailPoints eigener Compliance-Haltung.
NIS2 Art.21(2)(i) — Identity Governance als Pflicht
NIS2 Erwägungsgrund 79 und Art.21(2)(i) mandatieren explizit "human resources security, access control policies and asset management" als Teil des Risikomanagementsystems. Für Essential Entities (Anhang I) gilt dies mit erhöhtem Durchsetzungsrisiko ab dem Leitungsorgan (Art.20 NIS2 — persönliche Haftung).
Was Art.21(2)(i) konkret fordert:
- Zugangskontrollrichtlinien — dokumentierte Policies wer auf was zugreift
- Berechtigungsmanagement — JIT (Just-in-Time) und JEA (Just-Enough-Access)
- Privileged Access Management — explizit für kritische Infrastruktur
- Rezertifizierung — regelmäßige Access Reviews (typisch: quartalsweise)
- Offboarding-Prozesse — automatische Deprovisioning bei HR-Termination
IGA-Systeme wie SailPoint automatisieren all das — aber sie tun es mit US-Jurisdiction.
NIS2-Umsetzungsrisiko mit US-IGA:
Deutschland (NIS2UmsuCG, seit Oktober 2024): BSI kann bei KRITIS-Betreibern die Verwendung von US-Diensten für sicherheitskritische Systeme einschränken (§ 9a BSIG neu). IGA-Systeme werden explizit als "kritisch für die Zugriffskontrolle" eingestuft.
Frankreich (ANSSI, NIS2-Umsetzung 2025): Ähnliche Tendenz für OES (Opérateurs de Services Essentiels) — EU-native IT-Systeme für identity management preferred.
DORA Art.28 — ICT Third-Party Risk für IGA
Für Finanzunternehmen unter DORA (seit Januar 2025 anwendbar) ist SailPoint ein kritischer IKT-Drittanbieter:
Warum IGA unter DORA "kritisch" ist:
"Der Ausfall oder die Beeinträchtigung eines kritischen IKT-Drittdienstleisters kann die Erbringung wesentlicher Finanzdienstleistungen beeinträchtigen" — DORA Art.28(1)
Wenn SailPoint ausfällt oder Zugang verweigert wird:
- Neue Mitarbeiter können nicht ongeboardet werden (kein Systemzugang)
- Kritische Incident-Response wird behindert (Zugriffs-Eskalation blockiert)
- Regulatorische Access Reviews können nicht durchgeführt werden
EBA/ESMA Erwartungen unter DORA:
- Exit-Strategie (Art.28(8)(e)): Sauberes Offboarding von SailPoint muss dokumentiert sein — inkl. Datenportabilität und Übergabe der Access-History
- Concentration Risk (Art.28(10)): EBA prüft ob >50% EU-Finanzinstitute denselben IGA-Anbieter nutzen
- Sub-Outsourcing (Art.28(4)(c)): SailPoints AWS-Subprozessoren müssen in Register gemeldet werden
EU-native IGA-Alternativen
Omada Identity (Kopenhagen, Dänemark)
Das einzige vollständige EU-native Enterprise-IGA
| Merkmal | Detail |
|---|---|
| Rechtsform | Omada A/S |
| HQ | Kopenhagen, Dänemark |
| Gründung | 2000 |
| Kunden | 700+ Enterprises |
| Infrastruktur | Microsoft Azure West Europe (Amsterdam) |
| CLOUD Act Score | 2/25 (Azure = Microsoft US-Infrastruktur) |
| GDPR-Aufsicht | Datatilsynet (Dänische DPA) |
| NIS2-Heimrecht | Dänisches Umsetzungsgesetz |
Omadas EU-Stärken:
- Dänisches Datenschutzrecht seit 2000 — GDPR-native, kein Retrofit
- Keine US-Government-Verträge — kein FedRAMP, keine IC-Adjacenz
- Azure West Europe: Microsoft ist zwar US-Konzern, aber Omada hält die Kundenbeziehung und Datenverantwortung als EU-Processor
- EU-Enterprise-Fokus: DSGVO-konforme Löschkonzepte, EU-Betriebsrat-Agreements (works council compliance) eingebaut
Omada Identity Cloud (OIC) — Feature-Parität mit SailPoint:
| Feature | SailPoint ISC | Omada OIC |
|---|---|---|
| Access Certifications | ✅ | ✅ |
| Role Management | ✅ | ✅ |
| SOD Enforcement | ✅ | ✅ |
| AI/ML Analytics | ✅ (Identity Security Atlas) | ✅ (AI Risk Scoring) |
| SAP-Integration | ✅ | ✅ |
| Microsoft 365 | ✅ | ✅ |
| Workday HCM | ✅ | ✅ |
| ServiceNow | ✅ | ✅ |
| Privileged Access | ✅ (Partner: BeyondTrust) | ✅ (Native PAM-Integration) |
| DORA Exit-Strategy | ⚠️ (komplex) | ✅ (EU-Datenportabilität) |
Einschränkungen von Omada:
- Kleinere Ecosystem-Größe (700+ vs. 3.000+ Kunden)
- Weniger Konnektoren für US-SaaS-Tools (Salesforce, Okta)
- Azure-Basis = Microsoft US-Infrastruktur (Score 2/25, kein CLOUD Act-Nullrisiko)
- Professional Services: Kapazitätslimitierung bei sehr großen Rollouts (>50.000 User)
Evidian — Eviden (Atos-Gruppe, Frankreich)
| Merkmal | Detail |
|---|---|
| Rechtsform | Eviden SAS (vormals Atos SE-Sparte) |
| HQ | Bezons, Île-de-France |
| Börsennotierung | Euronext Paris: EVID |
| CLOUD Act Score | 1/25 (nur: börsenkotiertes Unternehmen, keine US-Jurisdiktion) |
| GDPR-Aufsicht | CNIL (Commission Nationale de l'Informatique et des Libertés) |
| Besonderheit | Frankreich als Großaktionär (indirekter Staatseinfluss) |
Evidian Identity & Access Manager:
- Vollständige IGA-Plattform: Provisioning, Access Reviews, PAM-Integration
- Stärke: SAP- und Mainframe-Integration (für Industrie/Finanz)
- On-premise, Private Cloud und SaaS-Deployment
- ANSSI (französische Cybersicherheitsbehörde) Zertifizierung für kritische Sektoren
Einschränkungen:
- Atos/Eviden Konzernkrise (Restrukturierung 2024): finanzielle Stabilität unsicher
- Kleineres Produkt-Ökosystem als SailPoint oder Omada
- Weniger English-language Support für nicht-frankophone Märkte
Beta Systems Software AG (Berlin, Deutschland)
| Merkmal | Detail |
|---|---|
| Rechtsform | Beta Systems Software AG |
| Börsennotierung | Frankfurt Stock Exchange: BSDW |
| HQ | Berlin, Deutschland |
| CLOUD Act Score | 1/25 |
| Spezialisierung | Mainframe IAM + IGA, Banking/Insurance |
| GDPR-Aufsicht | BfDI (Bundesbeauftragter für Datenschutz und Informationsfreiheit) |
Beta Systems Stärken:
- Mainframe-IGA: Einziger EU-native Anbieter mit vollständiger IBM z/OS-Integration
- Deutsche Bankensektor: DZ Bank, Sparkassen, Versicherungen als Referenzkunden
- Datenschutz by Design: BayLDA-Kooperation, BSI IT-Grundschutz-Konformität
Einschränkungen:
- Hauptfokus Mainframe — Cloud-SaaS-Ökosystem begrenzt
- Kleineres Team, langsamere Produktentwicklung
- Kein nativer Cloud-IGA für Microsoft Azure/AWS-Umgebungen
Soffid IAM (Barcelona, Spanien)
| Merkmal | Detail |
|---|---|
| Rechtsform | Soffid Community SLU |
| HQ | Barcelona, Katalonien, Spanien |
| Modell | Open Source Core + Enterprise Support |
| CLOUD Act Score | 0/25 |
| Besonderheit | Einziges vollständiges Open-Source-IGA in der EU |
Soffid Stärken:
- Open Source: Vollständige Code-Transparenz, keine Vendor-Lock-in
- Self-Hosted: Kein Cloud-Drittanbieter nötig
- Kostenstruktur: Signifikant günstiger als SailPoint (kein Lizenz-Overhead)
- EU-Regulatorik: Spanische AEPD-Prüfung, GDPR-native
Einschränkungen:
- Kleinere Enterprise-Referenzliste
- Weniger out-of-box Konnektoren als SailPoint/Omada
- Community-Support-Abhängigkeit für non-Enterprise-Deployments
CLOUD Act Risikovergleich — IGA-Anbieter 2026
| Anbieter | Land | Score | FedRAMP | GDPR-DPA | NIS2-Heimrecht |
|---|---|---|---|---|---|
| SailPoint ISC | USA (TX) | 19/25 | Moderate | US-DPA | Keines |
| Saviynt | USA (CA) | 18/25 | In progress | US-DPA | Keines |
| One Identity | USA (CA) | 16/25 | — | US-DPA | Keines |
| IBM Security Verify | USA (NY) | 20/25 | High | US-DPA | Keines |
| Omada Identity | Dänemark | 2/25 | — | Datatilsynet | Dänisches NIS2 |
| Evidian (Eviden) | Frankreich | 1/25 | — | CNIL | Französisches NIS2 |
| Beta Systems | Deutschland | 1/25 | — | BfDI | BSIG/NIS2UmsuCG |
| Soffid IAM | Spanien | 0/25 | — | AEPD | Spanisches NIS2 |
Score: 0 = kein CLOUD Act Risiko, 25 = höchstes Risiko
GDPR Art.28 — DPA-Gaps mit SailPoint
Problem 1: Sub-Processor-Kettenhaftung
SailPoint ISC nutzt AWS (Frankfurt-Region) als primären Sub-Prozessor. Die DPA-Kette lautet:
Ihr Unternehmen → SailPoint (Processor) → Amazon AWS (Sub-Processor) → Amazon Inc. (US-Parent)
Amazon Inc. ist ebenfalls CLOUD Act-verpflichtet. Das bedeutet: Selbst wenn SailPoint alle GDPR-Art.28-DPA-Anforderungen erfüllt, bleibt das US-Jurisdiktionsrisiko durch den Sub-Prozessor-Pfad bestehen.
Problem 2: Löschkonflikt Art.17 vs. Audit-Trail
GDPR Art.17 gibt Mitarbeitern das Recht auf Löschung — aber IGA-Systeme halten 3-7 Jahre Zugriffshistorie für Compliance (SOC 2, ISO 27001, NIS2 Art.21 Nachweis). SailPoint bietet kein vollständiges Löschungskonzept das beide Anforderungen erfüllt.
Problem 3: Behavioral Analytics und Betriebsrat
SailPoints Identity Security Atlas analysiert Verhaltensanomalien (wann greift ein User auf ungewöhnliche Systeme zu?). In Deutschland (BetrVG § 87(1)(6)) ist das mitbestimmungspflichtig. US-basierte Systeme mit in Deutschland unbekannten Processing-Details können Betriebsrats-Verhandlungen eskalieren.
Omoda-Vorteil: Omada liefert EU-Betriebsrats-konforme Templates für Access Review Policies und Behavioral Analytics — pragmatisch für DE/AT/NL-Deployments.
Entscheidungs-Framework: Wann welches IGA?
Profil 1 — NIS2 Essential Entity (KRITIS)
Empfehlung: Omada Identity oder Evidian
BSI IT-Grundschutz Baustein ORP.4 (Identitäts- und Berechtigungsmanagement) schreibt "nachvollziehbare, vollständige und korrekte Berechtigungsvergabe" vor. Bei Nutzung von US-IGA-Systemen:
- CLOUD Act-Risiko muss im ISMS explizit dokumentiert sein
- Transferfolgenabschätzung (TFA) nach Schrems II + EDPB Guidance 01/2020
- Alternativ: On-premise SailPoint IIQ mit EU-Hosting (höhere Komplexität)
Profil 2 — DORA Financial Entity (Bank, Versicherung)
Empfehlung: Omada Identity (oder Beta Systems für Mainframe-Umgebungen)
DORA Art.28 Exit-Strategie ist mit EU-nativen Anbietern erheblich einfacher zu dokumentieren. EBA erwartet Nachweis dass kritische IKT-Drittanbieter ersetzbar sind.
Profil 3 — Microsoft 365 / Azure-zentrisch
Empfehlung: SailPoint ISC mit EU-Region + CLOUD Act-Risikoakzeptanz, oder Omada (native Azure-Integration)
Wenn das gesamte Identity-Ökosystem bereits Microsoft ist (Entra ID als Source of Truth), bietet Omadas Azure-native Integration einen natürlichen Fit — ohne zusätzliche US-Jurisdiktion durch SailPoint.
Profil 4 — SAP-zentrisch (Industrie, Prozess)
Empfehlung: Omada Identity oder Evidian (SAP-Stärke)
Beide EU-Anbieter haben starke SAP-GRC-Integration. SailPoints SAP-Konnektoren sind mächtiger, aber nur mit CLOUD Act-Risikoakzeptanz.
Profil 5 — Budget-limitiert / SME
Empfehlung: Soffid IAM (Open Source) oder Omada Growth
Soffid bietet vollständiges IGA ohne Lizenzkosten — EU-native, Open Source, selbst-gehostet.
Migration von SailPoint zu Omada — 10-Wochen-Guide
Phase 1 (Wochen 1-2): Inventory & TFA
- CLOUD Act Transfer Impact Assessment dokumentieren (EDPB Guidance 01/2020)
- Vollständige Datenkategorien-Übersicht: welche Employee-PII in SailPoint ISC gespeichert
- Konnektoren-Inventar: Welche Systeme werden von SailPoint verwaltet (SAP, AD, Workday)
- Exportformat klären: SailPoint unterstützt SCIM 2.0 und CSV-Export für Identity-Daten
Phase 2 (Wochen 3-5): Omada Pilot
- Omada Identity Cloud in EU Azure West Europe provisionieren
- Priorität-1-Konnektoren migrieren: Active Directory, Microsoft 365, Workday
- Rollen-Modell exportieren aus SailPoint IdentityIQ (Rollenstruktur in XML/JSON)
- SOD-Matrix in Omada replizieren (kritisch: kein manueller Neuaufbau nötig wenn XML-Export sauber)
Phase 3 (Wochen 6-8): Parallel-Betrieb
- Neue Mitarbeiter: Omada als primäres Provisionierungssystem
- Bestandsmitarbeiter: Lesezugriff aus SailPoint, Schreibzugriff Omada
- Access Reviews: erste Kampagne komplett in Omada durchführen
- Gap-Analysis: Welche SailPoint-Features fehlen noch?
Phase 4 (Woche 9-10): Cutover & SailPoint-Decommission
- Vollständige Datenmigration: Zugriffshistorie-Export aus SailPoint (DORA Exit-Strategie-Dokumentation)
- SailPoint ISC-Konnektoren deaktivieren
- DSGVO-konforme Datenlöschung bei SailPoint beauftragen (Art.17 DSGVO-Request)
- BSI/NIS2-Nachweis: Neues IGA-System in ISMS-Dokumentation aktualisieren
Kritischer Hinweis: Die Zugriffshistorie aus SailPoint ISC muss vor dem Decommission vollständig exportiert und lokal archiviert werden — sie wird für NIS2 Art.21-Nachweise und SOC 2-Audits benötigt.
TCO-Vergleich: SailPoint vs. Omada (3 Jahre, 5.000 User)
| Kostenkategorie | SailPoint ISC | Omada OIC |
|---|---|---|
| Lizenz/SaaS-Abo | €180.000/Jahr | €120.000/Jahr |
| CLOUD Act Compliance (TFA, DPA-Review, Anwaltskosten) | €25.000/Jahr | €2.000/Jahr |
| DORA Exit-Strategy-Dokumentation | €15.000 einmalig | €3.000 einmalig |
| NIS2-Audit-Overhead (US-Jurisdiction-Nachweis) | €20.000/Jahr | €5.000/Jahr |
| 3-Jahres-Gesamt | €720.000 | €396.000 |
Die EU-Regulierungskosten für US-IGA sind substantiell — GDPR Art.28 DPA-Review, DORA Art.28 Third-Party-Risikoassessment, NIS2 Transferfolgenabschätzung.
Fazit: SailPoint für EU-Essential-Entities risikoreich
SailPoint ist ein ausgereiftes, leistungsfähiges IGA-System — aber für NIS2 Essential Entities, DORA Financial Entities und KRITIS-Betreiber schafft der CLOUD Act-Score von 19/25 strukturelles Haftungsrisiko.
Was SailPoint gut kann:
- Breites Konnektoren-Ökosystem (200+ Integrationen)
- Reife AI/ML-Anomalieerkennung (Identity Security Atlas)
- FedRAMP-Zertifizierung für US-Government-Kunden
- Große Community und Implementierungspartner
Wo SailPoint EU-Unternehmen exponiert:
- CLOUD Act-Risiko trotz EU-Region nicht eliminierbar
- GDPR Art.17 Löschkonflikt ohne vollständiges Konzept
- Behavioral Analytics: Betriebsrats-Compliance in DE/AT/NL komplex
- DORA Exit-Strategie: Hoher Dokumentationsaufwand
EU-native IGA (Omada Identity) schließt den CLOUD Act-Gap — mit vergleichbarem Feature-Set für die meisten Enterprise-Anforderungen, 45% niedrigeren Gesamtkosten und GDPR-nativem Löschkonzept.
Für Unternehmen die SailPoint nicht ersetzen wollen: SailPoint IIQ (on-premise) auf EU-eigenem Infrastructure reduziert das Risiko deutlich — beseitigt aber nicht die US-Jurisdiktion durch den Software-Hersteller.
sota.io hilft EU-Unternehmen, US-Cloud-Tools gegen GDPR- und NIS2-konforme Alternativen zu evaluieren. Jetzt kostenlos starten →
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.