Saviynt EU Alternative 2026: Identity Governance ohne US-Jurisdiktion
Post #1209 in der sota.io EU Cyber Compliance Series
Saviynt positioniert sich als "cloud-native" Alternative zu SailPoint — eine reine SaaS-Plattform ohne On-Premise-Ballast, spezialisiert auf Application Access Governance für komplexe ERP-Landschaften. Was im US-Markt als architektonischer Vorteil gilt, schafft für europäische Unternehmen ein strukturelles GDPR-Problem: Saviynt ist eine US-Gesellschaft nach California-Recht, finanziert durch US-Investoren, mit Infrastruktur auf AWS und Azure.
Das bedeutet: Jeder SAP-SoD-Konflikt, jede Salesforce-Berechtigungsentscheidung, jede Oracle-Rollenzertifizierung — verarbeitet in Saviynt — läuft potenziell durch US-Jurisdiktion. Für NIS2 Essential Entities und DORA Financial Entities ist das kein theoretisches Risiko, sondern ein Compliance-Gap, das Leitungsorgane persönlich verantworten (NIS2 Art.20).
Dieser Post analysiert Saviynts CLOUD Act-Risiko (18/25) mit besonderem Fokus auf die Application Access Governance- und Third-Party Access Governance-Module — und stellt EU-native IGA-Alternativen vor, die ohne US-Jurisdiktionsexposure operieren.
Das Saviynt-Alleinstellungsmerkmal: Application Access Governance
Saviynt unterscheidet sich von klassischen IGA-Systemen durch vier spezialisierte Module:
Enterprise Identity Cloud (EIC) — Kern-IGA
- Lifecycle Management, Rollenmodellierung, Access Certification
- Cloud-native, keine On-Premise-Variante
- AI-gestützte Anomalieerkennung (Saviynt Analytics)
Application Access Governance (AAG) — ERP-Spezialisierung
- Native SAP-Integration: SoD-Analyse für SAP ECC, S/4HANA, SuccessFactors
- Oracle EBS/Fusion, Salesforce, Workday: vollständige Berechtigungsmodellierung
- Granulare Transaktions-Level-Analyse statt nur Rollen-Level
- Kritisch für SOX-Compliance in börsennotierten Unternehmen
Third-Party Access Governance (TPAG) — Contractor/Vendor-Identitäten
- Selbst-Service-Onboarding für externe Dienstleister
- Zeitlich begrenzte Zugriffsrechte mit automatischem Ablauf
- NIS2 Art.21(2)(d) Supply Chain — direkte Regulierungsrelevanz
Data Access Governance (DAG) — Unstrukturierte Daten
- SharePoint, OneDrive, Google Drive: Datei-Level-Berechtigungsanalyse
- Findet verwaiste Zugriffsrechte in Dokumentenablagen
- Relevant für GDPR Art.32 (Datenschutz durch Technikgestaltung)
Diese modulare Tiefe macht Saviynt besonders für SAP-lastige Großunternehmen attraktiv — aber sie vergrößert gleichzeitig den Datenfußabdruck unter US-Jurisdiktion erheblich.
Was macht Saviynt zum GDPR-Hochrisiko-System?
Saviynt verarbeitet durch seine vier Module eine deutlich breitere Datenbasis als klassische IGA-Systeme:
1. Employee Identity und Rollenhistorie (EIC)
- Name, E-Mail, Abteilung, Kostenstelle, Vorgesetzter
- Vollständige Zugriffsrechte-Historie (wer hatte wann welche Rolle)
- Lifecycle-Events: Einstellung, interne Versetzung, Kündigung, Wiedereinstellung
2. ERP-Berechtigungsdaten (AAG) — besonders sensitiv
- SAP-Transaktionscodes pro Mitarbeiter (was kann jemand im SAP tun)
- SoD-Konflikte: Protokoll aller Verstöße + Ausnahme-Approvals
- Oracle/Salesforce Objektrechte: Granulare Datenzugriffsprofile
3. Contractor/Vendor-Daten (TPAG)
- Externe Dienstleister sind nicht Beschäftigte, aber ihre Daten liegen im System
- GDPR-Grauzone: Wer ist Verantwortlicher für Contractor-PII in TPAG?
- NIS2 Lieferkette: Vendor-Zugriff auf kritische Systeme = Audit-Pflicht
4. Dokumentenzugriffs-Daten (DAG)
- SharePoint/OneDrive: Zugriff auf welche Dokumente von wem
- Kann Rückschlüsse auf Projektarbeit, M&A-Aktivitäten, HR-Vorgänge ermöglichen
- Besonders sensitiv in regulierten Branchen (Finanzsektor, Pharma)
Das GDPR-Dilemma bei Saviynt (identisch zu SailPoint, aber größerer Scope): Art.17 Löschrecht vs. Audit-Trail-Retention: AAG-Systeme müssen SoD-Konflikte und Zugriffs-Approvals für Compliance-Nachweise (SOX 7 Jahre, ISO 27001 Scope) aufbewahren — aber Mitarbeiter können Löschung ihrer Verhaltensdaten fordern. Saviynt löst das durch Retention-Policies, aber die rechtliche Zuständigkeit über diese Entscheidung liegt in den USA.
Saviynt Inc. — CLOUD Act Risiko: 18/25
Unternehmensstruktur
| Merkmal | Detail |
|---|---|
| Rechtsform | Saviynt, Inc. |
| Bundesstaat | California, USA |
| Gründung | 2013 (Sachin Nayyar, El Segundo CA) |
| Hauptinvestor | Vector Capital (San Francisco CA) — Lead Series B |
| Co-Investor | AB Private Credit Investors (AllianceBernstein, New York) |
| Letzte Finanzierungsrunde | $130M Series B (Oktober 2021) |
| Hauptsitz | El Segundo, California, USA |
| Umsatz (2025) | ~$150M ARR (geschätzt) |
| Kunden | ~500 Enterprise-Kunden weltweit |
| Employees | ~1.500 |
Cloud-Infrastruktur
AWS-Deployment:
- Primär: AWS us-east-1 (Virginia)
- EU-Region: AWS eu-central-1 (Frankfurt) verfügbar
- EU-West-2 (London) für UK-Kunden
Azure-Deployment:
- Microsoft Azure West Europe (Amsterdam)
- Azure Germany (Frankfurt/Berlin) auf Anfrage
Saviynt Data Residency:
- EU-Data-Residency-Option für EIC verfügbar (Marketing-Commitment)
- Aber: Vector Capital und Saviynt Inc. bleiben US-Jurisdiktion — kein EU-Subsidiary
CLOUD Act Risiko-Assessment (18/25)
| Dimension | Score | Begründung |
|---|---|---|
| US-Parent-Jurisdiktion | 5/5 | California Corp = CLOUD Act verpflichtet |
| Infrastruktur-Kontrolle | 4/5 | AWS eu-central-1 verfügbar, aber US-parent-controlled |
| Government Contracts | 3/5 | FedRAMP Ready (nicht Authorized) — geringeres Govt-Exposure als SailPoint |
| PE/Investor-Struktur | 3/5 | Vector Capital (SF) + AB Private Credit (NY) = US-Kapital-Dominanz |
| Analytics-Scope | 3/5 | 4 Module (EIC + AAG + TPAG + DAG) = größter Datenfußabdruck |
| Gesamt | 18/25 | Hoch |
Warum 18/25 statt 19/25 wie SailPoint: Saviynt hat keinen FedRAMP Authorized-Status (nur FedRAMP Ready), was bedeutet, dass US-Regierungsbehörden Saviynt noch nicht als zertifizierten Cloud-Dienst für klassifizierte Systeme nutzen. Das reduziert die direkte Verflechtung mit US-Regierungsinfrastruktur leicht — ändert aber nichts an der grundlegenden CLOUD Act-Verpflichtung.
Vector Capital und AB Private Credit — Investor-Risiko
Vector Capital (San Francisco):
- Spezialisiert auf Tech-buyouts und Growth-Equity
- Portfolio: diverse US-SaaS-Unternehmen
- Keine spezifische US-Government-Exposure, aber US-Finanzsystem-verankert
AB Private Credit Investors (AllianceBernstein):
- Tochter von AllianceBernstein Holding (AXA-Mehrheitsbeteiligung)
- NYSE-notiert: AB
- US-Schuld-Investor mit Berichtspflichten gegenüber US-Regulatoren
M&A-Risiko: Beide Investoren haben übliche Exit-Optionen (IPO, Trade Sale). Ein Verkauf an einen US-Hyperscaler (Amazon/Microsoft/Google) würde Saviynts CLOUD Act-Risiko auf 25/25 anheben. Keine EU-Subsidiary-Struktur schützt vor dieser Konsolidierung.
NIS2 Art.21(2)(i) — IGA als Pflichtbestandteil des ISMS
NIS2 Erwägungsgrund 79 und Art.21(2)(i) mandatieren "human resources security, access control policies and asset management" als Kernelement des Risikomanagementsystems. Für Essential Entities (NIS2 Anhang I) gilt verschärfte Durchsetzung mit persönlicher Haftung der Leitungsorgane (Art.20 NIS2 — bis zu 2% Jahresumsatz Bußgeld).
Saviynts AAG-Module und NIS2-Compliance
NIS2 Art.21(2)(i) — Least Privilege: Saviynts AAG ermöglicht granulare SAP-Transaktions-Level-SoD-Analyse — exakt das was NIS2 für kritische Systeme fordert. Das Problem: Diese Analyse-Ergebnisse liegen in Saviynts US-Cloud.
NIS2 Art.21(2)(d) — Supply Chain Security: Das TPAG-Modul ist direkt für NIS2 Art.21(2)(d) relevant — Vendor/Contractor-Zugriffsmanagement ist explizite Anforderung. Aber: Die Verarbeitung von Third-Party-Identitätsdaten in einer US-SaaS-Plattform kann als zusätzliche Lieferketten-Vulnerabilität gewertet werden.
NIS2 Art.21(2)(j) — Security in acquisition: DAG-Modul für unstrukturierte Daten deckt Dokumentenzugangsrechte ab — relevant für NIS2-Anforderungen zur Datenschutz-in-Technik-Implementierung.
Fazit für NIS2-Prüfungen: Saviynt erfüllt die funktionale NIS2-Anforderung für IGA, aber die Datenlage in US-Jurisdiktion ist ein Prüfungspunkt für EU-Aufsichtsbehörden. Insbesondere NIS2 Art.21(2)(d) Supply Chain schafft eine Paradox-Situation: Das Tool, das Lieferketten-Risiken managen soll, ist selbst ein US-Lieferketten-Risiko.
DORA Art.28 — IGA-Systeme als kritische ICT-Drittanbieter
DORA Art.28 klassifiziert ICT-Drittanbieter als "kritisch" wenn ihre Ausfälle wesentliche Auswirkungen auf Finanzinstitute haben können. Identity Governance-Systeme erfüllen diese Schwelle für alle DORA-regulierten Unternehmen (Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister).
Saviynt als kritischer DORA-ICT-Anbieter
DORA Art.28 Abs.2 — Schriftliche Vereinbarungen: Saviynt muss als potenziell kritischer ICT-Anbieter schriftliche Vereinbarungen nach DORA Art.30 haben, die Folgendes sicherstellen:
- Vollständige Auditierbarkeit durch das Finanzinstitut
- Ausfallszenario-Management und Wiederherstellungsplan
- Sub-Processor-Transparenz (AWS → Amazon Inc. → US-Jurisdiktion)
- Exit-Strategie-Support bei Beendigung
DORA Art.30 Abs.2(b) — Datenlokalisierung: DORA verlangt explizit Information über "the countries in which data is to be processed and stored". Saviynt kann EU-Data-Residency anbieten — aber die Verarbeitungskontrolle liegt in den USA. Das schafft Compliance-Gap zwischen Marketing-Commitment und regulatorischer Anforderung.
Exit-Strategie-Anforderung: DORA Art.30 Abs.2(e) verlangt Bestimmungen zur "exit strategy". Bei Saviynt als Cloud-native-Anbieter ohne On-Premise-Variante ist die Migrations-Komplexität erheblich: Alle AAG-Konfigurationen, SoD-Regeln, Rollenmodelle müssen in ein alternatives System migriert werden — typisch 12-18 Monate.
GDPR Art.32 — Technische Schutzmaßnahmen für IGA-Daten
Verschlüsselung und Key Management
Saviynt bietet Customer-Managed Keys (CMK) über AWS KMS oder Azure Key Vault. Das ist ein wichtiger Schutzmechanismus — aber mit einer kritischen Einschränkung:
Der CMK-Trugschluss bei US-Cloud: Selbst wenn der Encryption-Key beim EU-Kunden liegt, kann ein FISA Court Order Saviynt Inc. verpflichten, den Zugriff auf unverschlüsselte Daten während einer aktiven Verarbeitungssession zu ermöglichen. CMK schützt Daten "at rest" bei Server-Beschlagnahme — nicht bei Anfragen während der Verarbeitung.
Pseudonymisierung bei Behavioral Analytics
Saviynts Analytics-Engine (für Anomalieerkennung) verarbeitet Verhaltensprofile von Mitarbeitern. GDPR Art.32 fordert Pseudonymisierung wo möglich — aber Anomalieerkennung erfordert korrelierte Identitäten. Das schafft eine technisch-rechtliche Spannung, die Saviynt nicht vollständig auflöst.
Art.28 GDPR Datenverarbeitungsvertrag
Saviynt bietet standardisierte DPA-Vereinbarungen. Sub-Processors:
- Amazon Web Services Inc. (Delaware, USA) — Primär-Infrastruktur
- Microsoft Corporation (Washington, USA) — Azure-Deployment
- Diverse US-SaaS-Dienste für Support/Operations
Die Sub-Processor-Kette endet bei US-Unternehmen. Das Art.28 GDPR-DPA kann die strukturelle US-Jurisdiktion nicht eliminieren — es regelt lediglich die vertraglichen Beziehungen.
Betriebsrat § 87(1)(6) BetrVG — Behavioral Analytics in Deutschland
Saviynts Analytics-Funktionen analysieren Mitarbeiterverhalten für Anomalieerkennung. Das löst in Deutschland obligatorisch das Mitbestimmungsrecht des Betriebsrats nach § 87(1)(6) BetrVG aus.
Was genau triggert § 87(1)(6):
- Saviynt Analytics: "User Access Risk Scoring" — automatisierte Risikobewertung pro Mitarbeiter
- Behavioral Anomalies: "Access Pattern Deviation" — Vergleich mit Peer-Group
- AAG-Analytics: Häufigkeitsanalyse von SAP-Transaktionen pro Mitarbeiter
Praktische Konsequenz für DE-Unternehmen:
- Betriebsvereinbarung über Saviynt-Nutzung vor Einführung zwingend erforderlich
- Analytics-Module möglicherweise zu deaktivieren (wenn BV nicht abgeschlossen)
- Datenschutzbeauftragter muss DPIA nach GDPR Art.35 für Behavioral Analytics durchführen
- BSI C5:2020 Testat für EU-Compliance relevant (Saviynt hat kein BSI C5)
TPAG und Betriebsrat: Das TPAG-Modul verwaltet auch Contractor-Identitäten — die nicht unter § 87(1)(6) BetrVG fallen (keine Arbeitsverhältnisse). Aber: Wenn Contractors in denselben Systemen arbeiten wie Mitarbeiter, und Saviynt Analytics Cross-Analysen zwischen Internen und Externen durchführt, kann das in die BetrVG-Pflicht fallen.
Third-Party Access Governance (TPAG) — Spezifisches EU-Compliance-Risiko
Saviynts TPAG-Modul ist ein USP gegenüber SailPoint — aber es schafft ein spezifisches EU-Compliance-Risiko, das in der Anbieter-Kommunikation oft unterbelichtet bleibt.
Was TPAG verarbeitet
TPAG verwaltet Identitäten von Personen, die keine Mitarbeiter sind:
- Externe IT-Dienstleister (SAP-Berater, Cloud-Integratoren)
- Auditoren und Wirtschaftsprüfer
- Regulatoren mit System-Zugriff (bei Banken/Versicherungen: BaFin-Prüfer)
- Joint-Venture-Partner
- Kunden mit Self-Service-Portalen
GDPR-Implikationen für TPAG-Daten
Verantwortlichkeit: Wer ist GDPR Art.4 Nr.7 Verantwortlicher für die Verarbeitung von Contractor-PII in TPAG?
- Technischer Verantwortlicher: Saviynt Inc. (US-Gesellschaft)
- Rechtlicher Auftraggeber: Das EU-Unternehmen
- Sub-Processor: AWS/Azure (US-Gesellschaften)
Datenbasis-Transparenz: Contractors müssen über die Verarbeitung ihrer Daten in Saviynt (US-Cloud) informiert werden — DSGVO Art.13/14. Ob das in der Praxis bei allen Saviynt-TPAG-Kunden so umgesetzt wird, ist fraglich.
NIS2 Art.21(2)(d) Paradox: Das Modul, das Lieferketten-Identitätsrisiken managen soll, ist selbst ein US-Cloud-Dienst unter CLOUD Act. Das schafft einen regulatorischen Zirkelschluss: Man managt Lieferketten-Risiken mit einem Lieferketten-Risiko.
EU-native IGA-Alternativen: Marktübersicht 2026
Omada Identity (Dänemark) — CLOUD Act Risiko: 2/25
Unternehmen:
- Omada A/S, Kopenhagen, Dänemark
- Gründung: 2000
- Rechtsstatus: Dänisches Unternehmen, keine US-Muttergesellschaft
- Investoren: Dänische Kapitalbeteiligung (nicht US-PE-backed)
- Revenue: ~€50-70M ARR (geschätzt)
Produkt: Omada Identity Cloud (OIC)
- Full-SaaS und On-Premise-Hybrid
- Hosted in EU (Azure West Europe + Azure Germany)
- SOC 2 Type II, ISO 27001
CLOUD Act Risiko 2/25:
- Keine US-Muttergesellschaft
- Azure-Infrastruktur: Microsoft ist US-Unternehmen (unvermeidbar für Cloud-Deployment)
- Keine US-Investor-Abhängigkeit
- GDPR Art.28 DPA mit EU-Recht-Gerichtsstand
Schwächen vs. Saviynt:
- Keine native TPAG-Funktion (nur über Partner-Integrationen)
- DAG weniger umfangreich
- Kleinere Konnektoren-Bibliothek (150+ vs. 500+ bei Saviynt)
- AI-Analytics weniger ausgereift
Evidian IAM (Frankreich, Eviden/Atos) — CLOUD Act Risiko: 1/25
Unternehmen:
- Eviden SAS, Puteaux, Frankreich (Atos-Tochter)
- Gründung: 1997 (als Bull-Tochter, später Atos-Integration)
- Rechtsstatus: Französisches Unternehmen (Société par actions simplifiée)
- Finanzlage: Atos-Konzern in Restrukturierung (Eviden als gesunde Einheit ausgegliedert)
- Revenue: Nicht separat ausgewiesen
Produkt: Evidian Identity Manager
- On-Premise und Private-Cloud-Variante
- Keine US-Infrastruktur-Abhängigkeit (eigene RZs oder europäische Cloud)
- Starke Integration in Atos/Eviden-IT-Services
CLOUD Act Risiko 1/25:
- Keine US-Gesellschaft, keine US-Investoren
- Einziges Risiko: Eviden nutzt ggf. US-Drittdienste für Support
Schwächen vs. Saviynt:
- Kein AAG für SAP/Oracle auf Saviynt-Niveau
- SaaS-First-Architektur fehlt — primär On-Premise
- Geringere globale Support-Abdeckung
- Atos-Konzern-Restrukturierung als Geschäftsrisiko
Beta Systems (Deutschland) — CLOUD Act Risiko: 1/25
Unternehmen:
- Beta Systems Software AG, Berlin, Deutschland
- Gründung: 1983
- Börsennotiert: Freiverkehr Frankfurt
- Focus: Identity & Access Management für Finanzsektor + Öffentlichen Sektor
Produkt: Beta Systems Identity Manager
- On-Premise und managed in deutschen RZs
- BSI-Grundschutz-zertifizierter Betrieb möglich
- Starke SAP-Integration (langjährige Finanzsektor-Erfahrung)
CLOUD Act Risiko 1/25:
- Deutsche AG, keine US-Investoren
- Infrastruktur in Deutschland
- Einziger Risikopunkt: Drittdienste
Schwächen:
- Kein Cloud-native (kein SaaS wie Saviynt)
- Kleinere Konnektoren-Bibliothek
- Hauptfokus DACH-Region
Soffid IAM (Spanien) — CLOUD Act Risiko: 0/25
Unternehmen:
- Soffid S.L., Cerdanyola del Vallès, Katalonien, Spanien
- Open-Source-Basis (Community + Enterprise)
- Sehr kleine Firma, primär für öffentlichen Sektor Spanien/Lateinamerika
CLOUD Act Risiko 0/25:
- Spanische GmbH, kein US-Exposure
- Open-Source-Basis = vollständige Code-Kontrolle
Schwächen:
- Kein Enterprise-Support auf Saviynt-Niveau
- Keine US-Marktpräsenz
- Sehr begrenzte AAG-Fähigkeiten
Feature-Parität: Saviynt EIC vs. Omada Identity Cloud
| Feature | Saviynt EIC | Omada OIC | Bewertung |
|---|---|---|---|
| Core IGA | |||
| Lifecycle Management | ✅ Vollständig | ✅ Vollständig | Gleichwertig |
| Role Management | ✅ Advanced ML-basiert | ✅ Gut | Saviynt besser bei KI |
| Access Certification | ✅ Automated | ✅ Automated | Gleichwertig |
| SOD Management | ✅ Granular | ✅ Solide | Saviynt marginal besser |
| Application Governance | |||
| SAP SoD Analyse | ✅ Transaction-Level | ⚠️ Role-Level | Saviynt besser |
| Oracle EBS/Fusion | ✅ Native | ⚠️ Connector | Saviynt besser |
| Salesforce | ✅ Native | ✅ Native | Gleichwertig |
| Workday | ✅ Native | ✅ Native | Gleichwertig |
| ServiceNow | ✅ Native | ✅ Native | Gleichwertig |
| Spezialmodule | |||
| Third-Party Governance | ✅ TPAG | ⚠️ Begrenzt | Saviynt besser |
| Data Access Governance | ✅ DAG | ❌ Nicht verfügbar | Saviynt besser |
| AI/ML Analytics | ✅ Advanced | ⚠️ Grundlegend | Saviynt besser |
| Compliance | |||
| GDPR Data Residency | ⚠️ Marketing-Commit | ✅ EU-native | Omada besser |
| CLOUD Act-Risiko | 18/25 | 2/25 | Omada deutlich besser |
| BSI C5 | ❌ Nicht vorhanden | ❌ Nicht vorhanden | Gleichwertig (schlecht) |
| ISO 27001 | ✅ | ✅ | Gleichwertig |
| FedRAMP | In Process | ❌ | Saviynt (US-Markt) |
| Deployment | |||
| SaaS | ✅ Cloud-native | ✅ Cloud-option | Gleichwertig |
| On-Premise | ❌ Nicht verfügbar | ✅ Verfügbar | Omada flexibler |
| Hybrid | ❌ | ✅ | Omada flexibler |
| Marktposition | |||
| Kunden weltweit | ~500 | ~400 | Vergleichbar |
| Gartner Magic Quadrant | Challenger | Niche Player | Saviynt sichtbarer |
| Konnektoren | 500+ | 150+ | Saviynt breiter |
TCO-Vergleich: Saviynt vs. Omada für 5.000 Benutzer (3 Jahre)
| Position | Saviynt EIC | Omada OIC |
|---|---|---|
| Lizenz/Subscription | €720.000 | €420.000 |
| Implementation | €180.000 | €150.000 |
| EU-Compliance-Overhead | €60.000 | €15.000 |
| Betriebsrat-Mehraufwand (DE) | €20.000 | €5.000 |
| DPIA + Datenschutzgutachten | €15.000 | €5.000 |
| DORA Exit-Strategie-Docs | €25.000 | €10.000 |
| Gesamt 3 Jahre | €1.020.000 | €605.000 |
| Delta | €415.000 günstiger |
Annahme: 5.000 User, mittelgroßes EU-Unternehmen, SAP-Umgebung. Preise geschätzt. Compliance-Overhead-Schätzung basiert auf durchschnittlichem Beratungsaufwand für US-Cloud-Datenschutzgutachten.
Hinweis zur SAP-Spezialisierung: Bei stark SAP-zentrierten Umgebungen mit komplexen SoD-Anforderungen kann Saviynts AAG-Vorteil die Compliance-Mehrkosten teilweise rechtfertigen. Omada erreicht vergleichbare SAP-SoD-Tiefe über Partner-Integrationen, die zusätzliche Implementierungskosten erzeugen.
Entscheidungs-Framework: Wer braucht Saviynt, wer Omada?
Profil 1: DORA Financial Entity (Bank/Versicherung)
Risikofaktoren:
- DORA Art.28 Kritikalitätsprüfung für Saviynt als ICT-Drittanbieter
- BaFin-Prüfer haben Sonderregeln für System-Zugriff (TPAG-relevant)
- Behavioral Analytics unter US-Jurisdiktion = bankaufsichtliches Risiko
Empfehlung: Omada Identity Cloud oder Beta Systems Begründung: DORA Exit-Strategie + BaFin-Compliance überwiegen den AAG-Vorteil. Beta Systems hat nachgewiesene Finanzsektor-Referenzen in DE.
Profil 2: NIS2 Essential Entity mit SAP-Fokus (Energie/Transport)
Risikofaktoren:
- SAP S/4HANA-SoD ist NIS2-Kernpflicht
- Saviynt AAG hat technischen Vorteil
- Aber: CLOUD Act-Risiko bei kritischer Infrastruktur = Regulator-Risiko
Empfehlung: Omada mit SAP-Integrationspartner Begründung: Omada deckt SAP-SoD auf Role-Level ab. Für Transaction-Level-Analyse: Ergänzung durch SAP-nativen GRC (SAP Access Control) möglich — ohne US-Jurisdiktionsrisiko.
Profil 3: Internationales Unternehmen mit US- und EU-Entitäten
Risikofaktoren:
- US-Entitäten profitieren von Saviynt FedRAMP-Vorbereitung
- EU-Entitäten: GDPR-Konflikt
- Globales Rollout eines Systems einfacher
Empfehlung: Regionale Trennung oder Saviynt mit striktem EU-Data-Residency-Vertrag Begründung: Wenn ein System für beide Regionen: Saviynt mit dokumentierten Compliance-Abstrichen für EU-Entitäten. Besser: Saviynt (US) + Omada (EU) als regionale Lösung.
Profil 4: Mittelstand ohne US-Exposition (DE/AT/CH)
Risikofaktoren:
- Kein US-Geschäft = volle EU-Datensouveränität möglich
- Budgetbeschränkung
- Keine regulatorische US-Berührung
Empfehlung: Omada Identity Cloud (SaaS) oder Beta Systems (On-Premise) Begründung: Kein funktionaler Mehrwert durch Saviynt rechtfertigt 18/25 CLOUD Act-Risiko.
Profil 5: Unternehmen mit massivem Contractor-Netzwerk
Risikofaktoren:
- TPAG ist Saviynt-USP — echter funktionaler Vorteil
- Viele Contractors = GDPR Art.13/14 für alle Contractor-Daten in US-Cloud
- NIS2 Art.21(2)(d) Supply Chain Paradox
Empfehlung: Saviynt TPAG mit explizitem DPIA und Contractor-Datenschutz-Dokumentation Begründung: Wenn kein EU-natives System TPAG-Tiefe bietet und Contractor-Governance kritisch ist: Saviynt mit transparenter Dokumentation der US-Jurisdiktion gegenüber Datenschutzbehörden.
10-Wochen-Migrationsplan: Saviynt → EU-natives IGA
Wochen 1-2: Assessment und Scope
Woche 1:
- Saviynt Data Export: Alle Rollenmodelle, SoD-Regeln, Access Certifications exportieren
- Connector-Inventar: Welche Systeme sind über Saviynt integriert?
- Analytics-Inventory: Welche Behavioral Analytics sind aktiv? (BetrVG-Impact-Assessment)
Woche 2:
- Zielarchitektur definieren: Welches EU-System für welche Funktion?
- AAG-Gap-Analyse: Welche SAP/Oracle-SoD-Regeln müssen manuell nachgebaut werden?
- TPAG-Alternative: Wie wird Contractor-Governance ohne Saviynt-TPAG abgedeckt?
Wochen 3-5: EU-System Setup
Woche 3-4:
- Omada/Beta Systems Installation und EU-Data-Residency konfigurieren
- Basis-Connectors für Tier-1-Systeme (AD, SAP, Microsoft 365)
- Rollenmodell-Import aus Saviynt (meist CSV/SCIM-Export)
Woche 5:
- SAP-Connector konfigurieren und SoD-Regeln übertragen
- Betriebsvereinbarung für neues System (BetrVG § 87(1)(6)) abschließen
- DPIA für Zielsystem erstellen
Wochen 6-8: Pilot und Parallelbetrieb
Woche 6-7:
- Pilot-Gruppe (z.B. 500 User) auf EU-System migrieren
- Saviynt bleibt im Parallelbetrieb (Rollback-Option)
- Access Certification im EU-System testen
Woche 8:
- Ergebnisse Pilot-Gruppe validieren
- Entscheidung: Vollmigration oder weitere Anpassungen
Wochen 9-10: Vollmigration und Abschaltung
Woche 9:
- Restliche User-Population migrieren
- Saviynt-Datenexport für Archiv-Zwecke (Audit-Trail-Retention)
Woche 10:
- Saviynt-Vertrag kündigen (DORA-konforme Kündigung mit Exit-Protokoll)
- GDPR-konformes Datenlöschungs-Protokoll bei Saviynt anfordern
- Art.28 GDPR DPA-Kündigung dokumentieren
Kritische Erfolgsfaktoren:
- SAP-SoD-Regeln: Komplexeste Migration — 2-3 Tage mit SAP-Berater
- Analytics-Ersatz: Wenn Behavioral Analytics deaktiviert: neues Anomalie-Erkennungskonzept
- TPAG-Kontinuität: Contractor-Onboarding während Migration nicht unterbrechen
Fazit: Saviynt zwischen Feature-Stärke und Jurisdiktions-Risiko
Saviynt ist technisch beeindruckend — besonders die Kombination aus AAG für SAP-Umgebungen und TPAG für Contractor-Management hat keine direkte EU-native Entsprechung. Für Unternehmen ohne EU-Regulierungsdruck oder mit überwiegend US-Operations ist Saviynt eine valide Wahl.
Für europäische Unternehmen unter NIS2, DORA oder mit BaFin-Aufsicht überwiegen die Compliance-Risiken die technischen Vorteile: CLOUD Act 18/25, keine EU-Subsidiary, Vector Capital- und AB-Private-Credit-Finanzierung aus den USA, und ein 4-Modul-System das mehr Employee-Daten unter US-Jurisdiktion bringt als jedes andere IGA-Tool im Markt.
Die konkrete Empfehlung: EU-Unternehmen sollten Omada Identity Cloud als Erstprüfung für ihr IGA-Requirement betrachten. Für stark SAP-SoD-fokussierte Deployments mit komplexen Contractor-Netzwerken: Saviynt mit expliziter DPIA, Betriebsrats-BV, DORA-Dokumentation und klarer Akzeptanz des 18/25 CLOUD Act-Risikos durch die Geschäftsführung — als dokumentierte, bewusste Risikoentscheidung.
Die nächste Alternative in dieser Serie: One Identity (Quest Software) — CLOUD Act ~16/25, on-premise-stark, traditioneller IGA-Anbieter mit anderer PE-Eigentümerstruktur.
Analyse basiert auf öffentlich verfügbaren Unternehmensdaten, Saviynt-Dokumentation, SEC-Filings zu Vector Capital und AllianceBernstein, EU-Regulierungstext und sota.io-Recherchestandards. Keine Rechtsberatung.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.