Datenresidenz vs. Datensouveränität: Was EU-SaaS-Käufer oft falsch verstehen

Datenresidenz vs. Datensouveränität: Was EU-SaaS-Käufer oft falsch verstehen

Wenn Sie einen SaaS-Anbieter bewerten, klingt „EU-gehostet" beruhigend. Die Daten bleiben in Europa. DSGVO-konform. Haken gesetzt.

So einfach ist es nicht. Die meisten Anbieter verkaufen Ihnen Datenresidenz, wo Sie eigentlich Datensouveränität brauchen. Die Unterscheidung ist nicht akademisch. Unter dem CLOUD Act, DSGVO Artikel 48, dem EU Data Act (Kapitel VII) und im Post-Schrems-II-Regulierungsumfeld ist es ein einkaufsrelevanter Fehler, beides als dasselbe zu behandeln.

Wichtigste Erkenntnisse

• Datenresidenz = wo die Bits liegen. Datensouveränität = wessen Recht den Zugriff steuert.
• Ein US-inkorporierter Anbieter unterliegt dem US CLOUD Act, auch wenn die Daten physisch in Frankfurt oder Dublin liegen.
• DSGVO Artikel 48 verbietet die Herausgabe personenbezogener Daten an Nicht-EU-Behörden außer auf Basis eines internationalen Abkommens – damit stehen EU-Kunden von US-Anbietern in einem strukturellen Dauerkonflikt.
• Der EU Data Act, Kapitel VII, gilt seit 12. September 2025 und verpflichtet Cloud- und Datenverarbeitungsanbieter, die in der EU tätig sind, unzulässige Zugriffsanfragen aus Drittländern zu bestreiten.
• Für NIS2-wesentliche Einrichtungen, DORA-Finanzunternehmen und für die regulierten Sektoren in UK und Norwegen ist diese Unterscheidung jetzt ein Auswahlkriterium.

Was ist der Unterschied?

Datenresidenz ist der geografische Standort gespeicherter Daten. Eine Tatsachenfrage: welches Rechenzentrum, welche Region, welches Land.

Datensouveränität ist die rechtliche Hoheit, die diese Daten regiert. Eine Jurisdiktionsfrage: welche Gerichte können Anordnungen erlassen, welches Recht gilt, welche Regierung kann Herausgabe erzwingen.

Residenz ohne Souveränität ist möglich. Eine US-inkorporierte Gesellschaft mit EU-Rechenzentren bietet Residenz. Als US-Rechtssubjekt unterliegt sie weiterhin US-Recht – einschließlich CLOUD Act.

Souveränität ohne Residenz ist nicht möglich. Aber Residenz allein reicht nicht.¹

Das CLOUD-Act-Problem

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) ermächtigt US-Strafverfolgungsbehörden, US-inkorporierte Anbieter zur Herausgabe von Daten in deren „Besitz, Gewahrsam oder Kontrolle" zu zwingen – unabhängig vom physischen Speicherort.² In der Praxis kann ein US-Beschluss ein Rechenzentrum in Dublin erreichen, ggf. mit Maulkorb-Anordnung.

Das erzeugt einen direkten Konflikt mit der DSGVO:

• DSGVO Artikel 48 verlangt, dass Übermittlungen personenbezogener Daten an eine Behörde eines Drittlands auf Basis einer ausländischen gerichtlichen oder behördlichen Anordnung nur dann anerkannt oder durchsetzbar sind, wenn ein internationales Abkommen besteht (etwa ein MLAT). Der CLOUD Act ist kein solches Abkommen.³
• Schrems II (Rechtssache C-311/18, Juli 2020) kippte den EU-US Privacy Shield genau deshalb, weil US-Überwachungsgesetze US-Behörden Zugriff auf personenbezogene EU-Daten in einer Weise verschafften, die mit der DSGVO unvereinbar war.⁴ Der EuGH stellte fest: Geografischer Standort ersetzt keine rechtliche Kontrolle.

Der Europäische Datenschutzausschuss hat das resultierende strukturelle Risiko mehrfach hervorgehoben. Ein Anbieter, der zwischen US- und EU-Recht steht, ist kein Anbieter, der Ihren Kunden eine saubere Antwort liefern kann.

„Sovereign Cloud" ist nicht immer souverän

US-Anbieter haben die Nachfrage erkannt. Viele vermarkten heute „Sovereign Cloud"- oder „EU Data Residency"-Stufen. EU-Server an einen US-Konzern zu hängen, ändert die Jurisdiktionsfrage nicht – der CLOUD Act greift weiter.

Das EU-US Data Privacy Framework von 2023 sollte helfen, doch zwei vorherige Frameworks (Safe Harbor, Privacy Shield) sind bereits gescheitert. Eine langfristige Souveränitätsstrategie auf einem dritten Anlauf-Mechanismus zu errichten, ist konstruktionsbedingt fragil.⁵

Der EU Data Act zieht die Schrauben an

Die wichtigste Entwicklung 2025 war der EU Data Act (Verordnung (EU) 2023/2854).⁶ Kapitel VII, anwendbar seit dem 12. September 2025, verpflichtet Cloud- und Datenverarbeitungsanbieter in der EU dazu,

• technische, rechtliche und organisatorische Maßnahmen zu treffen, um unzulässige Zugriffe von Nicht-EU-Behörden auf in der EU gehaltene nicht-personenbezogene Daten zu verhindern,
• Zugriffsanfragen aus Drittländern zu bestreiten, die mit EU-Recht kollidieren,
• die Maßnahmen zu dokumentieren und Kunden sowie Aufsichtsbehörden zugänglich zu machen.

Das ist die bislang stärkste direkte Antwort der EU auf den CLOUD Act. Für einen US-inkorporierten Anbieter, der in der EU operiert, ist es strukturell schwierig, sowohl CLOUD-Act-Vorladungen als auch EU-Data-Act-Kapitel VII einzuhalten – der Anbieter ist nun rechtlich verpflichtet, der US-Anordnung zu widersprechen, statt still zu kooperieren.

Ihr Anbieter mag EU-basiert sein – seine Infrastruktur muss es nicht sein

Hier landen viele Käufer im Off-Side. Zahlreiche EU-inkorporierte SaaS-Anbieter laufen auf AWS, Azure oder Google Cloud. Andere setzen auf US-basierte Subunternehmer für Analytik, Support oder Integrationen.

Wenn Ihre Daten irgendwo in der Kette eine US-kontrollierte Entität berühren – Hauptinfrastruktur, Support-Tooling, Error-Logging, KI-Inferenz – gilt dort dieselbe CLOUD-Act-Frage. Die Subunternehmerliste sagt mehr über die Souveränitätsaufstellung eines Anbieters aus als die Marketingseite. DSGVO Artikel 28 macht die Subunternehmerliste zur vertraglichen Pflicht, nicht zur Höflichkeitsgeste.⁷

Für Trust-Center-Plattformen ist das besonders relevant. Siehe Trust Center Datensouveränität: EU-Hosting vs. EU-Souveränität.

Ist EU-Hosting Standard oder „Enterprise only"?

Lohnt sich, zu prüfen. Viele US-Anbieter führen Datenresidenz als Premium-Feature. Wenn Sie mit dem Vertrieb sprechen müssen, um zu erfahren, wo Ihre Daten liegen, sagt das etwas darüber aus, wie zentral die EU im Plattform-Design ist. EU-Souveränität als Enterprise-Aufpreis ist keine EU-Souveränität – sondern EU-Residenz auf Anfrage.

Was ist mit UK und Norwegen?

Europäische Compliance ist breiter als die EU.

• Vereinigtes Königreich. UK GDPR wurde nach Brexit beibehalten und entspricht weitgehend DSGVO-Artikeln 44–50. Der Data Protection Act 2018 verstärkt Übermittlungspflichten; das Information Commissioner's Office (ICO) veröffentlicht eigene Leitlinien zu internationalen Übermittlungen. Das Cyber Security and Resilience Bill, am 12. November 2025 ins Parlament eingebracht und 2026 in Beratung, würde NIS-ähnliche Pflichten auf Managed Service Provider und kritische Lieferanten erweitern und damit die Anforderung an Lieferketten-Souveränität nochmals heben.⁸⁹
• Norwegen / EWR. Norwegen implementiert die DSGVO über das EWR-Abkommen mit Datatilsynet als Datenschutzbehörde. Nasjonal sikkerhetsmyndighet (NSM) ist die Cybersicherheitsbehörde. Norwegische öffentliche Einkäufer und regulierte Branchen prüfen US-Provider-Exposition nach Schrems II zunehmend; Datatilsynets Google-Analytics-Hinweise sind ein konkretes Beispiel.¹⁰

Beantwortet ein Anbieter UK- und Norwegen-Souveränitätsfragen nicht klar getrennt von EU-Fragen, ist das ein paneuropäischer blinder Fleck.

Was Sie einen Anbieter wirklich fragen sollten

Wenn Souveränität für Ihren Anwendungsfall zählt, stellen Sie diese Fragen:

• Wo ist der Anbieter inkorporiert? Nicht das Marketing-„based in", sondern die juristische Person.
• Wer sind die Subunternehmer und wo sind sie inkorporiert? Idealerweise öffentliche Liste.
• Ist EU-Hosting die Standardeinstellung – oder kostet es extra?
• Wer hält die Verschlüsselungsschlüssel? Hält der Kunde sie, kann der Anbieter selbst auf Anordnung keine lesbaren Daten herausgeben.
• Veröffentlicht der Anbieter einen Transparenzbericht? Dokumentierte Behördenanfragen, Ablehnungen, Ergebnisse.
• Wie lautet der Prozess unter EU Data Act Kapitel VII? Wird der Anbieter eine CLOUD-Act-Anordnung gegen EU-Kundendaten anfechten?

Nicht alles braucht diese Tiefe

Bei einer Marketing-Website oder einer öffentlichen Landing Page ist das Risiko gering. Nehmen Sie das einfachste Tool, weiter.

Bei sensiblen Kundendaten, regulierten Branchen (Finanzdienstleister unter DORA, wesentliche Einrichtungen unter NIS2, öffentlicher Sektor, Gesundheitswesen) oder Vendor-of-Record-Positionen in der Compliance-Kette eines anderen Unternehmens zählen die Fragen mehr. Residenz ist eine Checkbox. Souveränität ist Arbeit.

Wenn Sie Sicherheits- und Compliance-Nachweise im großen Stil veröffentlichen, trägt die Plattform Ihrer Trust-Center-Wahl diese Exposition stellvertretend für Ihre Kunden. Genau deshalb sind EU-gebaute Trust-Center-Plattformen – siehe unseren Ultimativen Leitfaden zu Trust Center Software und Warum europäische Unternehmen ein europäisches Trust Center brauchen – heute eine ernsthafte Einkaufswahl, keine nationalistische Vorliebe.

---

Quellen & Referenzen

---

Weiterführende Inhalte

• Trust Center Datensouveränität: EU-Hosting vs. EU-Souveränität
• DSGVO Artikel 28, 32, 33 und 34
• SafeBase-Alternative für EU-Unternehmen
• Beste Trust Center Plattformen 2026
• Trust Center Software: Der ultimative Leitfaden für 2026
• Glossar Datensouveränität

Footnotes

1. IBM. "Data Sovereignty vs. Data Residency". ↩

2. US CLOUD Act (H.R. 4943). Congress.gov. ↩

3. DSGVO Artikel 48. EUR-Lex. ↩

4. EuGH, Urteil in der Rechtssache C-311/18 (Schrems II), 16. Juli 2020. CURIA. ↩

5. Orrick. "Data Localization and the Sovereign Cloud: EU Cloud Regulations Explained" (Januar 2026). ↩

6. Verordnung (EU) 2023/2854 (Data Act). EUR-Lex. Kapitel VII, anwendbar seit 12. September 2025. ↩

7. DSGVO Artikel 28. EUR-Lex. ↩

8. UK Information Commissioner's Office. "International data transfers". ↩

9. UK Department for Science, Innovation and Technology. "Cyber Security and Resilience Bill". ↩

10. Datatilsynet. "Google Analytics kan være ulovlig" (2022). ↩