EU-Datensouveränität vs. Datenresidenz: Was SaaS-Käufer oft falsch verstehen

Wenn Sie SaaS-Anbieter bewerten, klingt „EU-gehostet" beruhigend. Ihre Daten bleiben in Europa. DSGVO-konform. Haken gesetzt.

Doch die meisten Anbieter verkaufen Ihnen Datenresidenz, obwohl Sie eigentlich Datensouveränität brauchen.

Was ist der Unterschied?

Datenresidenz bezeichnet lediglich den Serverstandort. Souveränität hingegen bestimmt, wer die rechtliche Hoheit über Ihre Daten hat. Sie können Daten in Frankfurt speichern und sie trotzdem dem US-Recht unterwerfen. Diese Lücke übersehen die meisten Käufer.

Wo der CLOUD Act ins Spiel kommt

Der US CLOUD Act (2018) ermöglicht es US-Strafverfolgungsbehörden, amerikanische Unternehmen zur Herausgabe von Daten zu zwingen, die überall gespeichert sind – auch auf EU-Servern. Das gilt für jedes Unternehmen mit US-Geschäftsbetrieb oder rechtlicher Präsenz in den USA.

Das ist kein Freifahrtschein. Anfragen zu Inhalten erfordern einen Durchsuchungsbeschluss, hinreichenden Verdacht und einen Richter. Unternehmen wie Microsoft und AWS geben an, sich gegen Anfragen zu wehren, die im Widerspruch zu lokalem Recht stehen.

Aber das Problem bleibt: Wenn Ihr Anbieter seinen Hauptsitz in den USA hat, können Ihre Daten trotzdem US-Rechtsverfahren unterliegen. Manchmal mit einer Verschwiegenheitspflicht verbunden, sodass Sie es nie erfahren würden. Der Europäische Datenschutzausschuss hat dies als potenziell unvereinbar mit der DSGVO eingestuft. Es gibt keine saubere Lösung.

Einige europäische Behörden haben bereits begonnen, nach Alternativen zu suchen. Nicht aus Paranoia, sondern weil der Rechtskonflikt real ist.

„Sovereign Cloud" ist nicht immer souverän

US-Anbieter haben die Nachfrage erkannt. Viele vermarkten inzwischen Optionen wie „Sovereign Cloud" oder „EU-Datenresidenz". Doch EU-Server bei einem US-amerikanischen Unternehmen ändern nichts an der Zuständigkeitsfrage. Der CLOUD Act gilt weiterhin.

Das EU-US Data Privacy Framework (2023) sollte Abhilfe schaffen, aber wir haben solche Rahmenwerke schon scheitern sehen (Safe Harbor, Privacy Shield). Es ist schwer, eine langfristige Strategie auf unsicherem Fundament aufzubauen.

Ihr Anbieter sitzt vielleicht in der EU. Seine Infrastruktur möglicherweise nicht.

Das ist der Punkt, an dem viele stolpern. Zahlreiche europäische Anbieter laufen auf AWS, Azure oder Google Cloud. Andere nutzen US-basierte Tools für Analysen, Support oder Integrationen.

Wenn Ihre Daten irgendwo in der Kette US-Unternehmen berühren, stellen sich dieselben Fragen. Die Unterauftragnehmer-Liste sagt mehr aus als die Webseite des Anbieters.

Ist EU-Hosting Standard oder „Enterprise only"?

Das lohnt sich zu prüfen. Viele Anbieter behandeln Datenresidenz als Premium-Feature. Wenn Sie „den Vertrieb kontaktieren" müssen, um herauszufinden, wo Ihre Daten liegen, sagt das schon einiges.

Was Sie tatsächlich fragen sollten

Wenn Souveränität für Ihren Anwendungsfall wichtig ist, lohnen sich folgende Fragen:

Wo ist der Anbieter eingetragen? Nicht wo das Marketing sagt, dass er „ansässig" ist, sondern die tatsächliche juristische Person.

Wer sind die Unterauftragsverarbeiter? Wo haben diese Unternehmen ihren Sitz?

Ist EU-Hosting der Standard, oder zahlen Sie extra?

Wer hält die Verschlüsselungsschlüssel? Wenn Sie die Kontrolle darüber haben, kann der Anbieter selbst bei einer Anordnung keine lesbaren Daten herausgeben.

Nicht alles erfordert dieses Maß an Prüfung

Für viele Anwendungsfälle ist das Risiko gering. Wenn Sie eine Marketing-Webseite betreiben, müssen Sie sich darüber wahrscheinlich keine Sorgen machen.

Aber wenn Sie sensible Kundendaten verarbeiten, in einer regulierten Branche tätig sind oder an Behörden verkaufen, sieht es anders aus. Dann sind die Fragen umso wichtiger.

Residenz ist ein Häkchen. Souveränität erfordert mehr Aufwand.