ServiceNow EU Alternative 2026: NYSE-Listed ITSM Platform unter US-Jurisdiktion
Post #1213 in der sota.io EU Cyber Compliance Series
IT Service Management ist das Nervensystem moderner IT-Organisationen — und damit eines der sensibelsten Datensysteme, die ein Unternehmen betreibt. ITSM-Plattformen wie ServiceNow speichern nicht nur Ticketnummern: Sie dokumentieren Sicherheitsvorfälle mit vollständigen Beschreibungen, Change Requests, die Infrastrukturveränderungen vor Patches offenlegen, HR-Service-Anfragen mit Mitarbeiter-PII, und Security Incident Tickets, die als Kronzeugen bei einem Breach dienen. Diese Daten unter US-Jurisdiktion zu betreiben ist für NIS2-pflichtige Organisationen ein kalkuliertes Compliance-Risiko.
ServiceNow, Inc. — NYSE: NOW, Delaware Corporation, Santa Clara California — ist mit einem Jahresumsatz von $10,98 Mrd. (FY2024) und über 8.000 Enterprise-Kunden die dominante ITSM-Plattform weltweit. Das Problem für EU-Organisationen: ServiceNow ist ein durch den CLOUD Act verpflichtetes US-Unternehmen, das explizit als ServiceNow Government für NSA, CIA, DoD, DHS und FBI zertifiziert ist (FedRAMP High, DoD IL5, IC ATO). Dieser Post analysiert das CLOUD Act Risiko (19/25) und zeigt EU-native Alternativen, die NIS2 Art.21(2)(e), DORA Art.17 und GDPR Art.32 ohne US-Jurisdiktionsrisiko erfüllen.
Warum ITSM-Daten besonders GDPR-sensitiv sind
IT Service Management-Systeme verarbeiten sieben Datenkategorien mit erhöhtem GDPR-Risiko:
1. Incident Records (Art.32 GDPR)
- Vollständige Fehlerbeschreibungen: "Mitarbeiter Müller kann nicht auf Payroll-System zugreifen"
- Betroffene Nutzer, Systeme, Timestamps
- Root-Cause-Analyse mit internen Systemdetails
- Eskalationspfade (wer wurde informiert, wann)
2. Change Request-Daten (NIS2 Art.21(2)(e))
- Geplante Infrastrukturveränderungen vor Implementierung
- Pre-patch Windows: Systeme sind während Change-Freeze ungepatcht — bekannte Vulnerability-Fenster
- Approval-Historien: Wer hat welche Sicherheitsrelevante Änderung authorized
3. Problem Records (Vulnerability Intelligence)
- Systematische IT-Schwächen mit vollständiger technischer Dokumentation
- Known Errors: Bekannte ungepatchte Probleme mit Workarounds
- Root Cause Analyses (RCA) bei Sicherheitsvorfällen
4. Security Incident Tickets (Art.4 Nr.12 GDPR — Datenpannen)
- Breach-Beschreibungen mit betroffenen Systemen und Nutzern
- GDPR-Art.33-Meldungen werden häufig über ITSM koordiniert
- Forensic Evidence: Timeline-Dokumentation, Indicators of Compromise
5. HR Service Requests (Art.9 GDPR — Sonderkategorien möglich)
- Krankheitsvertretungs-Anfragen (impliziert Gesundheitsdaten)
- Disziplinarverfahren-Unterstützung
- Gehaltsanfragen, Elternzeit-Koordination
- Offboarding-Workflows mit Zugriffsbeendigungsdaten
6. Service Catalog Requests (Zugangskontrolldaten)
- Welcher Mitarbeiter beantragt Zugriff auf welches System
- Approval-Chain: Manager, IT-Security-Freigaben
- Privileged Access Requests: Root-Zugriff, Admin-Rechte
7. SLA und Performance-Metriken (Behavioral Analytics)
- Welche Teams haben die meisten Incidents — Rückschlüsse auf Sicherheitslage
- Response-Time-Metriken pro Mitarbeiter und Team
- ServiceNow Performance Analytics verarbeitet diese Daten mit ML
Das NIS2-DORA-GDPR-Dreieck: ITSM ist das System, über das Sicherheitsvorfälle gemeldet, dokumentiert und eskaliert werden. NIS2 Art.23 verlangt Meldung signifikanter Vorfälle an NCA binnen 24 Stunden — die dafür nötige Dokumentation liegt in ServiceNow. Diese Daten unter US-Jurisdiction zu betreiben schafft strukturelle Compliance-Konflikte.
ServiceNow, Inc. — CLOUD Act Risiko: 19/25
Unternehmensstruktur
| Merkmal | Detail |
|---|---|
| Rechtsform | ServiceNow, Inc. |
| Bundesstaat | Delaware, USA |
| Börsennotierung | NYSE: NOW |
| Hauptsitz | 2225 Lawson Lane, Santa Clara, California, USA |
| CEO | Bill McDermott (seit Oktober 2019) |
| Gründung | 2003 (als Glidesoft Inc.), 2012 NYSE-IPO |
| Umsatz FY2024 | $10,98 Mrd. (+22% YoY) |
| Market Cap (2026) | ~$180–200 Mrd. |
| Mitarbeiter | ~22.000 weltweit |
| Enterprise-Kunden | 8.100+ (davon 85% der Fortune 500) |
| EU-Niederlassung | ServiceNow Netherlands B.V., Amsterdam (Sales/Support — kein unabhängiger Daten-Controller) |
Produkt-Portfolio (Now Platform)
IT Service Management (ITSM) — Kernprodukt
- Incident Management, Problem Management, Change Management
- Service Catalog, Knowledge Management, SLA Management
- Virtual Agent (AI-Chatbot für Self-Service)
- Now Assist für ITSM: Generative AI für Incident-Zusammenfassungen
IT Operations Management (ITOM)
- Discovery: Automatische Inventarisierung der IT-Infrastruktur
- Event Management: Korrelation von Monitoring-Events
- Health Log Analytics: ML-basierte Anomalieerkennung in Logs
HR Service Delivery (HRSD)
- HR-Anfragen, Offboarding, Onboarding-Workflows
- Employee Center: Self-Service-Portal mit HR-Prozessen
Security Operations (SecOps)
- Security Incident Response
- Vulnerability Response: Integration mit Tenable, Qualys, Rapid7
- Configuration Compliance (CMDB-basiert)
Now Assist (Generative AI, seit 2023)
- AI-gestützte Incident-Zusammenfassungen
- Change Risk Analyzer: ML-Score für Change Requests
- AI Search: Semantische Suche über alle ServiceNow-Daten
- Now Assist for Creator: Code-Generierung auf der Now Platform
CLOUD Act Risiko-Assessment (19/25)
| Dimension | Score | Begründung |
|---|---|---|
| US-Parent-Jurisdiktion | 5/5 | Delaware Corp. = CLOUD Act 18 U.S.C. § 2523 verpflichtet |
| ServiceNow Government Contracts | 5/5 | FedRAMP High, DoD IL5, IC ATO — explizit NSA/CIA/DoD/DHS/FBI IT-Anbieter |
| Now Platform Infrastruktur | 4/5 | AWS US-East primär, EU-Regionen verfügbar aber US-parent-controlled |
| Now Assist AI Data Processing | 3/5 | Generative AI verarbeitet Incident-Daten; US-Infrastruktur, EU AI Act Risiken |
| Sovereignty-Protection | 2/5 | SCCs vorhanden, aber kein technischer/rechtlicher CLOUD Act-Schutz |
| GESAMT | 19/25 | Hohes CLOUD Act Risiko |
ServiceNow Government — Das kritische Problem für EU-Organisationen
ServiceNow Government ist der explizite Nachweis, dass ServiceNow als US-Regierungsdienstleister operiert:
Zertifizierungen (Stand 2026):
- FedRAMP High — höchste US-Bundesbehörden-Zertifizierung (>100M Sicherheitsdaten)
- DoD IL5 — Department of Defense, National Security Systems
- IC ATO — Intelligence Community Authority to Operate (NSA, CIA, DIA)
- ITAR/EAR Compliance — International Traffic in Arms Regulations
Bekannte US-Government-Kunden (öffentlich documented):
- U.S. Department of Defense (DoD)
- Defense Information Systems Agency (DISA)
- U.S. Air Force (IT-Modernisierungsprogramm)
- U.S. Department of Veterans Affairs (VA)
- U.S. General Services Administration (GSA)
- Zahlreiche Geheimdienst-Behörden (IC ATO impliziert NSA/CIA-Nutzung)
Was das bedeutet: ServiceNow ist aktiver IT-Dienstleister für die US-Geheimdienstgemeinschaft. Ein US-Gericht kann ServiceNow über den CLOUD Act zwingen, EU-Kundendaten herauszugeben — und ServiceNow verfügt über etablierte technische und rechtliche Prozesse, um genau das zu tun. Für EU-Organisationen, die ServiceNow für Security Incident Management oder HR Service Delivery einsetzen, ist das kein theoretisches Risiko.
5 konkrete GDPR-Risiken bei ServiceNow-Einsatz
GDPR-Risiko 1: CLOUD Act Zugriff auf Security Incident Tickets ServiceNow speichert vollständige Security Incident Records — inklusive betroffener Nutzerdaten, kompromittierter Systeme, und forensischer Timeline. US-Behörden können diese Daten per National Security Letter ohne Benachrichtigung der EU-Organisation abrufen. Das kann laufende Datenpannen-Untersuchungen gefährden.
GDPR-Risiko 2: Now Assist AI verarbeitet PII in US-Infrastruktur Now Assist for ITSM generiert KI-Zusammenfassungen von Incident Records. Diese Verarbeitung findet in US-Rechenzentren statt. Incident-Beschreibungen enthalten typischerweise Mitarbeiter-PII (Name, Abteilung, betroffene Daten). EU AI Act Art.6 klassifiziert AI-Systeme in HR-Kontexten als Hochrisiko-Systeme.
GDPR-Risiko 3: Integration Hub sendet Workfow-Daten an US-Drittanbieter ServiceNow Integration Hub verbindet ITSM mit externen Services (Slack, Zoom, Salesforce, Jira). Diese Integrationen senden ITSM-Daten an weitere US-Dienste ohne separate EU-Datenverarbeitungsvereinbarungen.
GDPR-Risiko 4: HRSD-Daten unter US-Jurisdiction ServiceNow HR Service Delivery speichert HR-Tickets mit sensiblen Mitarbeiterdaten. Da der EU-Betriebsrat oft explizit ServiceNow-Implementierungen genehmigen muss, ist das Bewusstsein für die US-Jurisdiktion oft verhandlungsrelevant — aber rechtlich trotzdem ungelöst.
GDPR-Risiko 5: CMDB als Infrastruktur-Blaupause unter US-Zugriff Die Configuration Management Database (CMDB) in ServiceNow dokumentiert vollständig die IT-Infrastruktur einer Organisation — Server, Netzwerke, Anwendungen, Abhängigkeiten. Unter CLOUD Act kann die US-Regierung diese Infrastruktur-Blaupause abrufen. Für kritische Infrastrukturen (NIS2-Scope) ist das ein erhebliches Sicherheitsrisiko.
EU-native ITSM-Alternativen: Sovereignty-Assessment
iTop ITSM — Combodo (Belgien) | CLOUD Act: 0/25
Unternehmen: Combodo SARL, gegründet 2009, Hauptsitz in Frankreich (Bordeaux)
Rechtsform: Französische SARL (keine US-Holding, kein US-Investor)
Open Source: iTop Community Edition (AGPL-3.0, GitHub: Combodo/iTop)
Enterprise: iTop Enterprise (kommerziell, SLA-Support)
CLOUD Act Score 0/25:
- Keine US-Incorporation, keine US-Muttergesellschaft
- Self-hosted on-premise möglich (keine Cloud-Dependency)
- EU-Rechenzentren über EU-Partner (OVHcloud, Hetzner)
- Kein US-Government-Kundenstamm
ITSM-Funktionen:
- Incident, Problem, Change Management (ITIL v4-konform)
- CMDB mit Service-Modellierung
- Service Catalog und Self-Service Portal
- SLA Management und Eskalation
- Customizable Workflows über iTop Studio
- REST API für Integrationen
GDPR-Vorteile:
- Vollständige Datensouveränität durch Self-Hosting
- GDPR-konformes DPA mit Combodo verfügbar
- EU-Betriebsräte akzeptieren iTop typischerweise ohne Einwände
- Französische Datenschutzbehörde (CNIL) für Eskalation zuständig
Einsatzszenarien: Mittelständische Unternehmen, öffentliche Verwaltung, kritische Infrastrukturen, die vollständige ITSM-Souveränität benötigen.
GLPI — Teclib' (Frankreich) | CLOUD Act: 0/25
Unternehmen: Teclib' SAS, Paris, Frankreich
Rechtsform: Französische SAS (keine US-Holding)
Open Source: GLPI Community (GPL-2.0, GitHub: glpi-project/glpi)
Enterprise: GLPI Network (Teclib' kommerziell)
CLOUD Act Score 0/25:
- Französische SAS, keine US-Jurisdiktion
- CNIL (französische DPA) als Aufsichtsbehörde
- On-Premise und EU-Hosted Optionen
- Aktive EU-Government-Kundenbase (Frankreich, EU-Institutionen)
ITSM-Funktionen:
- Asset Management + ITSM kombiniert (Stärke gegenüber ServiceNow)
- Incident, Problem, Change (ITIL-konform)
- Inventarisierung: Automatische Discovery via FusionInventory/Glpi Agent
- Service Catalog, Knowledge Base
- SLA-Management, Eskalationen
- Plugin-Ökosystem: 1.500+ Plugins im GLPI Marketplace
Besonderheit: GLPI dominiert in Frankreich und frankophonen EU-Ländern — >250.000 Installationen weltweit, starke Community, aktive Entwicklung. Gute Wahl für Asset-Management-first Ansätze.
Znuny — Znuny GmbH (Deutschland) | CLOUD Act: 0/25
Unternehmen: Znuny GmbH, Berlin, Deutschland
Rechtsform: Deutsche GmbH (keine US-Holding, kein US-Investor)
Open Source: Znuny (AGPL-3.0, Fork von OTRS Community Edition)
Hintergrund: OTRS wurde 2021 proprietär; Znuny ist der EU-native Open-Source-Fork
CLOUD Act Score 0/25:
- Deutsche GmbH, BaFin/BSI-Umfeld bekannt
- Vollständig selbst gehostet, keine Cloud-Abhängigkeit
- Kein US-Government-Kundenstamm
- DSGVO-native Entwicklung
ITSM-Funktionen:
- Ticket-System mit ITSM-Prozessen (Incident, Problem, Change, Service Request)
- Email-Integration: Eingehende E-Mails werden automatisch zu Tickets
- Knowledge Base (FAQ)
- SLA- und Eskalations-Management
- Web-Interface und REST API
- LDAP/Active Directory Integration
Besonderheit: Znuny ist besonders stark für E-Mail-basierte IT-Helpdesks und wird in deutschen Behörden sowie mittelständischen Unternehmen eingesetzt. Weniger komplex als ServiceNow, aber ITIL-konform für klassische ITSM-Use-Cases.
EasyVista — EasyVista SAS (Frankreich) | CLOUD Act: 2/25
Unternehmen: EasyVista SAS, Paris, Frankreich
Rechtsform: Französische SAS
US-Präsenz: EasyVista Corp. (New York) — US-Tochtergesellschaft, NICHT US-Parent
Kunden: Vorwiegend EU-Unternehmen und US-Enterprise
CLOUD Act Score 2/25:
- Französische SAS als Muttergesellschaft — französisches Recht, CNIL-Jurisdiction
- US-Tochter EasyVista Corp. für US-Markt; Parent ist EU (nicht umgekehrt)
- Geringer CLOUD Act Risiko für EU-Kunden bei EU-Hosting
- 2 Punkte für US-Tochter und potenzielle Konzern-Datenflüsse
ITSM-Funktionen:
- EasyVista Service Manager: Vollständiges ITIL v4 ITSM
- EasyVista Self Help: Knowledge Base und Self-Service
- AI-Features: Virtual Agent, Smart Ticket Classification
- Low-Code Process Designer
- Mobile App für Techniker und Self-Service
- Integrationen: Microsoft 365, Azure AD, Jira, SAP
Besonderheit: EasyVista positioniert sich als europäische ServiceNow-Alternative mit ähnlichem Enterprise-Feature-Set. Stärke in Frankreich, Benelux und iberischer Halbinsel. EU-Hosting über OVHcloud verfügbar.
Halo ITSM — Halo Systems Ltd. (Großbritannien) | CLOUD Act: 3/25
Unternehmen: Halo Systems Ltd., Tewkesbury, Großbritannien
Rechtsform: UK Limited Company
Post-Brexit-Status: UK ICO als Datenschutzbehörde (UK GDPR, kein EU-GDPR-Äquivalent)
Adequacy Decision: UK-EU Adequacy besteht (2021), aber Review 2025 ausstehend
CLOUD Act Score 3/25:
- UK Limited, kein US-Parent
- UK-Recht nach Brexit: UK GDPR, nicht EU GDPR
- Adequacy Decision könnte wegfallen (Review pending)
- Keine US-Government-Zertifizierungen
- 3 Punkte für Post-Brexit Adequacy-Risiko
Einschränkung: Halo ITSM ist qualitativ stark, aber EU-Organisationen sollten das Post-Brexit Adequacy-Risiko einkalkulieren. Bei Wegfall der UK-Adequacy Decision wäre ein DBA-Update erforderlich.
Vergleichsmatrix: ServiceNow vs. EU-native ITSM-Alternativen
| Kriterium | ServiceNow | iTop | GLPI | Znuny | EasyVista |
|---|---|---|---|---|---|
| CLOUD Act Score | 19/25 | 0/25 | 0/25 | 0/25 | 2/25 |
| Rechtsform | Delaware Corp. (US) | Französische SARL | Französische SAS | Deutsche GmbH | Französische SAS |
| EU-Headquarter | Nein | Ja | Ja | Ja | Ja |
| US Gov Contracts | Ja (FedRAMP High, IC ATO) | Nein | Nein | Nein | Nein |
| Self-Hosted Option | Nein (SaaS-only) | Ja | Ja | Ja | Ja |
| Open Source | Nein | Ja (Community) | Ja (Community) | Ja (AGPL) | Nein |
| NIS2 Art.21(2)(e) | Risiko (US-Jurisdiction) | Konform | Konform | Konform | Konform |
| Now Assist / AI | Ja (US-Infra) | Begrenzt | Begrenzt | Nein | Ja (EU) |
| TCO 1000 User/Jahr | €250–350k | €40–80k | €30–60k | €20–40k | €100–180k |
| ITIL v4 konform | Vollständig | Ja | Ja | Ja | Ja |
| Enterprise-Ready | Vollständig | Ja | Ja | Begrenzt | Ja |
| Integration Hub | 1.000+ | API | Plugin | API | 200+ |
NIS2 und DORA: Warum ITSM-Souveränität Pflicht ist
NIS2 Art.21(2)(e) — Incident Handling Policies
NIS2-pflichtige Organisationen (Energie, Gesundheit, Banken, Infrastruktur, digitale Dienste) müssen nachweisen, dass ihre Incident-Handling-Prozesse unter EU-Datenschutzrecht stehen. Wenn ServiceNow das primäre System zur Incident-Dokumentation ist, und US-Behörden über den CLOUD Act Zugriff auf diese Tickets haben könnten, entsteht ein struktureller NIS2-Compliance-Konflikt:
- Geheimhaltungspflicht vs. CLOUD Act: Laufende Sicherheitsvorfälle können NDA-geschützte Details enthalten — US-Government-Zugriff ohne EU-Justizentscheidung unterläuft diese Schutzpflichten
- Meldepflicht-Dokumentation: NIS2 Art.23 verlangt 24h-Meldung an NCA — die dafür nötige Dokumentation (Incident Tickets) liegt unter US-Zugriff
- Audit-Rechte: NIS2 Art.32 gibt NCAs Audit-Recht — ITSM-Daten unter US-Jurisdiction könnten vollständige Audits erschweren
DORA Art.17–23 — ICT Incident Management
DORA (Digital Operational Resilience Act), gültig ab 17. Januar 2025, verpflichtet Finanzdienstleister zu einem vollständigen ICT Incident Management Framework:
- Art.17: Klassifizierung und Protokollierung aller IKT-bezogenen Vorfälle
- Art.19: Meldung schwerwiegender IKT-Vorfälle an Finanzaufsichtsbehörden
- Art.23: Berichterstattung über Cyberbedrohungen
- DORA Art.28: IKT-Drittanbieter-Risikomanagement — ServiceNow als kritischer IKT-Drittanbieter
DORA-Konsequenz: Finanzdienstleister, die ServiceNow für ICT Incident Management nutzen, müssen ServiceNow als kritischen IKT-Drittanbieter klassifizieren und ein vollständiges Third-Party-Risk-Assessment durchführen — einschließlich CLOUD Act Risiko-Analyse.
GDPR Art.32 — Sicherheit der Verarbeitung
ITSM-Systeme sind zentrale Datenverarbeitungssysteme im Sinne von Art.32. Die Kombination aus:
- US-Jurisdiction des Anbieters
- Verarbeitung sensibler Incident- und HR-Daten
- AI-Features mit US-Infrastruktur (Now Assist)
...erzeugt ein Art.32-Risiko, das in einem TOMs-Assessment (Technical and Organisational Measures) dokumentiert werden muss. Viele DPOs bewerten US-ITSM-Anbieter als "hoch" im TOMs-Risiko-Profil.
Migrations-Guide: Von ServiceNow zu EU-nativer ITSM-Plattform
Phase 1: Assessment und Planung (Wochen 1–4)
Dateinventarisierung:
# ServiceNow Export (über Now Platform REST API)
# Alle aktiven Incidents seit 12 Monaten
GET /api/now/table/incident?sysparm_query=active=true&sysparm_limit=1000
# Change Requests der letzten 24 Monate
GET /api/now/table/change_request?sysparm_query=opened_at>=2024-05-01
# CMDB Configuration Items
GET /api/now/table/cmdb_ci?sysparm_fields=name,sys_class_name,ip_address,u_environment
GDPR-Impact-Assessment:
- Inventarisierung aller PII in ServiceNow (Mitarbeiterdaten, Incident-Beschreibungen)
- Identifikation von Art.9-Daten (Gesundheits-implizierte HR-Tickets)
- CLOUD Act Risikobewertung für laufende Security Incidents
- TOMs-Update für DPA-Dokumentation
Plattform-Auswahl (nach Unternehmensgröße):
| Unternehmensgröße | Empfehlung | Begründung |
|---|---|---|
| <200 Mitarbeiter | Znuny oder GLPI | Einfach, günstig, ITIL-konform |
| 200–2.000 Mitarbeiter | iTop Enterprise oder GLPI Enterprise | Vollständige ITIL-Features, EU-Support |
| >2.000 Mitarbeiter | EasyVista | Enterprise-Featureset, EU-SaaS verfügbar |
| Öffentliche Verwaltung | GLPI (Frankreich) / iTop (EU-weit) | CNIL/Behörden-Erfahrung |
Phase 2: Datenmigration (Wochen 5–10)
ServiceNow Export-Pipeline:
# ServiceNow → CSV Export (dann Import in Zielplattform)
import requests
import csv
def export_servicenow_incidents(instance, user, password, output_file):
url = f"https://{instance}.service-now.com/api/now/table/incident"
params = {
"sysparm_query": "active=true^ORclosed_at>2023-01-01",
"sysparm_fields": "number,short_description,description,opened_by,assigned_to,priority,state,resolved_at",
"sysparm_limit": 5000
}
response = requests.get(url, auth=(user, password), params=params)
incidents = response.json()["result"]
with open(output_file, 'w', newline='', encoding='utf-8') as f:
writer = csv.DictWriter(f, fieldnames=incidents[0].keys())
writer.writeheader()
writer.writerows(incidents)
return len(incidents)
CMDB-Migration:
- ServiceNow CMDB-Export via Discovery Schedule Reports
- Mapping auf Zielplattform-CI-Klassen (GLPI: Assets, iTop: CIs)
- Validierung: Alle kritischen CIs mit korrekten Abhängigkeiten
Historische Tickets:
- Open Incidents: Vollständige Migration mit Anhängen
- Closed Tickets der letzten 3 Jahre: Export für Compliance-Archiv (read-only)
- Change Requests: Abgeschlossene CRs als Archiv exportieren, offene migrieren
Phase 3: Integration und Testing (Wochen 11–14)
Kritische Integrationen:
- Active Directory / LDAP: User-Synchronisation
- Monitoring-Tools: Nagios, Zabbix, Icinga → Auto-Incident-Creation
- SIEM: QRadar, Wazuh → Security Incident Feeds
- Email-Gateway: Inbound Email → Ticket-Erstellung
Acceptance Testing:
- Incident Lifecycle: Erstellen, Eskalieren, Lösen, Schließen
- Change Advisory Board (CAB) Prozess
- SLA-Messungen über 2-Wochen-Testzeitraum
- Self-Service Portal: User-Acceptance-Testing mit 10% der Mitarbeiter
Phase 4: Go-Live und Hyper Care (Wochen 15–16)
- Go-Live: ServiceNow auf Read-Only (keine neuen Tickets)
- Cutover: DNS-Switch auf neue ITSM-URL
- Hyper Care: 2 Wochen intensiver Support, tägliche Stand-ups
- ServiceNow-Kündigung: GDPR-konforme Datenlöschungs-Bestätigung anfordern
Total Cost of Ownership: ServiceNow vs. EU-Alternativen
3-Jahres-TCO-Vergleich (500 Agenten-Nutzer, 5.000 End-User)
| Kostenkomponente | ServiceNow | iTop Enterprise | EasyVista |
|---|---|---|---|
| Lizenz/Subscription (3 Jahre) | €900k–1,2M | €120k–180k | €300k–450k |
| Implementation (Consulting) | €150k–300k | €60k–100k | €80k–140k |
| Infrastructure/Hosting | €0 (SaaS inkl.) | €30k–60k (EU-Cloud) | €0 (SaaS inkl.) |
| Customization & Development | €100k–200k | €40k–80k | €50k–100k |
| Training & Change Management | €50k–80k | €20k–30k | €25k–40k |
| Support & Wartung | Inkl. | €20k–40k/Jahr | Inkl. |
| Gesamt 3 Jahre | €1,2M–1,8M | €290k–490k | €455k–730k |
| Jährliche Einsparung | Referenz | €305k–435k | €250k–360k |
ROI-Faktor EU-Migration: Wechsel von ServiceNow zu iTop Enterprise spart im Drei-Jahres-Schnitt €350k — zusätzlich eliminiert er das Compliance-Risiko, das bei einem US-Government CLOUD Act Zugriff auf Security Incidents entstehen könnte. Bei einem meldepflichtigen Datenschutzvorfall (GDPR Art.33/34) könnte das wirtschaftlich entscheidend sein.
Decision Framework: Wer sollte von ServiceNow wechseln?
Wechsel empfohlen (High Priority)
Szenario A — Kritische Infrastruktur (NIS2-Scope) Organisationen in Energy, Healthcare, Banking, Transport, Digital Infrastructure. NIS2 Art.21(2)(e) und die Incident-Reporting-Anforderungen (Art.23) machen US-Jurisdiction-ITSM zum Compliance-Risiko. EU-native Plattform (iTop, EasyVista) empfohlen.
Szenario B — Finanzdienstleister (DORA-Scope) DORA Art.17-23 ICT Incident Management Framework + Art.28 Third-Party-Risk. ServiceNow als kritischer IKT-Drittanbieter muss vollständig risikobewertet werden. Migration auf EU-native Plattform ist einfacher als DORA-konformes ServiceNow-Assessment.
Szenario C — Security Incidents unter ITSM Wenn ServiceNow für Security Incident Response genutzt wird (Breach-Dokumentation, Forensics, GDPR Art.33-Meldungen), ist US-Jurisdiction ein erhebliches Risiko. Breach-Dokumentation sollte nicht unter CLOUD Act-Zugriff liegen.
Abwägen empfohlen (Medium Priority)
Szenario D — Enterprise mit globalem ServiceNow-Rollout Bei einer globalen ServiceNow-Implementierung (100+ Länder, 10.000+ User) ist die Migration komplex. Abwägen: Compliance-Risiko vs. Migrations-TCO. Interim: EU-Datenresidenz aktivieren, CLOUD Act Risiko in TOMs dokumentieren.
Szenario E — ServiceNow als HR Service Delivery Plattform HRSD mit Mitarbeiter-PII unter US-Jurisdiction. Datenschutzbeauftragter und Betriebsrat sollten informiert sein. Bei Erneuerung des Betriebsrat-Agreements CLOUD Act thematisieren.
Kein dringender Handlungsbedarf
Szenario F — ITSM nur für interne IT (kein NIS2/DORA/sensitive PII) Wenn ServiceNow ausschließlich für interne IT-Incidents ohne sensitive PII genutzt wird und keine NIS2/DORA-Pflichten bestehen, ist das Risiko geringer. CLOUD Act Klausel im DPA prüfen.
Fazit: ServiceNow CLOUD Act 19/25 — Was bedeutet das praktisch?
ServiceNow ist technisch exzellent und wird von 85% der Fortune 500 eingesetzt — das sind valide Gründe für die Wahl des Marktführers. Aber für NIS2-pflichtige EU-Organisationen, DORA-Scope-Finanzdienstleister und alle Organisationen, die ServiceNow für Security Incident Management oder HR Service Delivery nutzen, gibt es strukturelle Compliance-Probleme:
- CLOUD Act ist nicht durch SCCs heilbar — US-Gerichte können ServiceNow zum Herausgeben EU-Kundendaten zwingen, unabhängig von Datenschutzklauseln
- ServiceNow Government ist der Beweis, dass ServiceNow aktiv US-Geheimdienstbehörden bedient — das ist kein theoretisches Risiko
- Now Assist AI verarbeitet sensitive ITSM-Daten in US-Infrastruktur — EU AI Act Hochrisiko-Klassifizierung in HR-Kontexten
- TCO-Vorteil: EU-native ITSM spart im Drei-Jahres-Vergleich 350.000–900.000 EUR
EU-ITSM-SERIE (diese Serie): Dies ist Post #1 von 5. In den nächsten Posts analysieren wir Jira Service Management (Atlassian/Delaware, CLOUD Act 21/25), Freshservice (Freshworks/Delaware, CLOUD Act 17/25), BMC Helix (KKR PE/Houston TX, CLOUD Act 18/25) — und schließen mit dem EU ITSM Comparison Finale, das alle Optionen in einem Decision-Framework zusammenfasst.
sota.io bietet europäische Cloud-Infrastruktur mit EU-Datenresidenz, GDPR-Art.28-konformen Datenverarbeitungsverträgen und ohne US-Jurisdiktionsrisiko. Infrastruktur ohne CLOUD Act →
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.