Frankfurt bedeutet nicht souverän
Ein Missverständnis, das Unternehmen Millionen an Compliance-Kopfschmerzen kostet: Daten in einem Frankfurter Rechenzentrum eines US-Hyperscalers zu speichern, erfüllt die EU-Datensouveränitätsanforderungen. Tut es nicht.
Der US CLOUD Act gibt US-Strafverfolgungsbehörden die Befugnis, US-basierte Technologieunternehmen zur Herausgabe von Daten zu zwingen. Unabhängig davon, wo diese Daten physisch gespeichert sind.
Ihre Produktionsdatenbank liegt in AWS eu-central-1? Rechtlich ist sie immer noch im Zugriff von US-Anordnungen.
Für viele Workloads ist das akzeptabel. Die DSGVO verlangt nicht strikt, dass alle EU-Daten innerhalb der EU-Grenzen bleiben. Aber für regulierte Branchen (Gesundheit, Banken, Behörden, kritische Infrastruktur) ist der Unterschied zwischen Datenresidenz und Datensouveränität entscheidend.
Was ist eine souveräne Cloud? Definition und Anbieter
Eine souveräne Cloud ist Cloud-Infrastruktur, deren Daten, Betrieb und Personal ausschließlich europäischem Recht unterliegen. Kein US CLOUD Act. Keine ausländische Jurisdiktion über Ihre Daten. Keine Hintertür über die Konzernmutter.
Der Begriff hat sich in den letzten zwei Jahren von einem Marketing-Schlagwort zu einer konkreten Architektur entwickelt. Drei Modelle dominieren den deutschen Markt.
Hyperscaler-Souveräne-Varianten. AWS European Sovereign Cloud ist seit Januar 2026 live, mit der ersten Region in Brandenburg, betrieben von EU-residentem Personal über eine separate AWS-Tochtergesellschaft. Microsoft Cloud for Sovereignty bietet Sovereign Public und Sovereign Private Cloud.
Echte Fortschritte. Die Konzernmutter bleibt aber US-basiert.
Souveräne Cloud über EU-Partnerschaften. Google Sovereign Controls läuft über T-Systems in Deutschland und Thales in Frankreich. Die operative Kontrolle liegt beim EU-Partner.
EU-native souveräne Cloud. Hetzner, IONOS, OVHCloud, STACKIT (Schwarz Gruppe), T-Systems Open Telekom Cloud, plusserver. Reine EU-Jurisdiktion, kein US-Konzernanteil. Gaia-X und der Sovereign Cloud Stack (SCS) liefern den offenen Architekturrahmen für diese Anbieter.
Welches Modell zu Ihnen passt, hängt davon ab, ob Sie Hyperscaler-Features brauchen oder eine echte Trennung von US-Recht. Für regulierte Workloads im DACH-Raum sind die EU-nativen Anbieter und die Hyperscaler-Souveräne-Varianten meist die relevanteste Wahl.
Datenresidenz vs. Datensouveränität: Der Unterschied, der zählt
Datenresidenz bedeutet: Ihre Daten liegen auf Servern innerhalb einer bestimmten geografischen Grenze. Frankfurt, Dublin, Amsterdam. Einfacher physischer Standort.
Datensouveränität bedeutet: Diese Daten unterliegen ausschließlich den Gesetzen dieser Jurisdiktion. Kein Zugriff ausländischer Regierungen. Keine grenzüberschreitende rechtliche Exposition.
Die meisten Unternehmen denken, sie haben Souveränität, wenn sie nur Residenz haben. Diese Lücke wächst, während die Durchsetzung bei DSGVO, NIS2, DORA und dem EU Data Act strenger wird.
DSGVO-konforme Cloud-Architektur: Was die Verordnung verlangt
Die DSGVO schreibt keine EU-Datenresidenz vor. Was sie vorschreibt: Personenbezogene Daten, die außerhalb der EU/des EWR übertragen werden, müssen “im Wesentlichen gleichwertigen” Schutz erhalten.
Drei Mechanismen für rechtmäßige internationale Übermittlungen:
- Angemessenheitsbeschlüsse. Die Europäische Kommission erklärt ein Land für angemessen. Die USA haben derzeit Angemessenheit unter dem EU-US Data Privacy Framework, das im September 2025 die erste gerichtliche Anfechtung überstanden hat (Latombe-Urteil des EuG). Eine Berufung ist beim EuGH anhängig, eine Schrems-artige Zivilklage bleibt denkbar.
- Standardvertragsklauseln (SVKs). Vorab genehmigte Vertragsvorlagen, die den Empfänger an EU-Datenschutzstandards binden.
- Verbindliche interne Datenschutzvorschriften (BCRs). Für multinationale Organisationen.
In der Praxis ist es der einfachste Weg, die Daten in der EU zu belassen. Keine Angemessenheitsbeschlüsse zu überwachen. Keine SVKs zu pflegen. Kein Risiko eines Schrems-III-Urteils, das Ihren Übermittlungsmechanismus über Nacht ungültig macht.
Die Cloud-Anbieter-Landschaft
US-Hyperscaler mit EU-Regionen
AWS, Azure und Google Cloud bieten alle EU-Rechenzentrumsregionen. Feature-reich, gut dokumentiert, und Ihr Engineering-Team kennt sie bereits.
Der Kompromiss: US-Jurisdiktion. Der CLOUD Act gilt.
Hyperscaler haben mit souveränen Cloud-Konfigurationen reagiert. Microsoft Cloud for Sovereignty bietet Sovereign Public und Sovereign Private Cloud Varianten. AWS European Sovereign Cloud ist seit Januar 2026 mit der ersten Region in Brandenburg live, betrieben von EU-residentem Personal über eine separate AWS-Tochtergesellschaft.
Das sind echte Fortschritte. Der Konzernmutterkonzern bleibt US-basiert, aber die operativen und rechtlichen Grenzen sind enger als bei Standard-EU-Regionen.
Europäische Cloud-Anbieter
OVHCloud (Frankreich), Hetzner (Deutschland), IONOS (Deutschland), Scaleway (Frankreich), UpCloud (Finnland). EU-Hauptsitz. EU-Jurisdiktion. Keine CLOUD-Act-Exposition.
Der Kompromiss: weniger Managed Services, kleinere Ökosysteme, potenziell weniger ausgereifte Tools. Aber für Compute, Storage, Datenbanken und Kubernetes-Hosting sind sie praxiserprobt.
Hetzner ist besonders beliebt im deutschen Markt. Wettbewerbsfähige Preise. Rechenzentren in Nürnberg, Falkenstein und Helsinki. DSGVO-konform standardmäßig, weil es keine Jurisdiktionskomplexität gibt.
STACKIT, die souveräne Cloud-Plattform der Schwarz Gruppe (Schwarz Digits), ist der prominenteste deutsche Neuzugang. Zielgruppe: Mittelstand und öffentlicher Sektor mit strengen Souveränitätsanforderungen.
T-Systems Open Telekom Cloud bedient dieselbe Klientel mit längerer Marktpräsenz und tiefer BSI-C5-Zertifizierung. plusserver richtet sich an den industrienahen Mittelstand.
Was diese Anbieter gemeinsam haben: BSI-C5-Testat als Basisanforderung, kein US-Konzernanteil, deutsche Vertragspartner. Gaia-X und der Sovereign Cloud Stack (SCS) liefern den offenen Architekturrahmen, der den Wechsel zwischen ihnen erleichtert.
Der hybride Ansatz
Das empfehlen wir den meisten Kunden. Sensible Daten (personenbezogene Daten, Finanzunterlagen, Gesundheitsdaten) auf EU-souveräner Infrastruktur. Alles andere dort, wo es technisch sinnvoll ist.
Ihre Benutzer-Authentifizierungsdatenbank und Kundendaten auf Hetzner. Content Delivery, Analytics-Verarbeitung und nicht-sensible Workloads auf AWS oder Azure. Verbunden über verschlüsseltes VPN oder Private-Network-Links.
Sie bekommen Souveränität, wo es zählt, und Hyperscaler-Features, wo Sie sie brauchen.
Vergleich: Cloud- und SaaS-Anbieter mit EU-Datenresidenz und souveräner Cloud-Option
Cloud-Infrastruktur ist die eine Ebene. Die SaaS- und KI-Tools, die Ihr Team täglich nutzt, sind die andere.
Die meisten großen Anbieter bieten inzwischen irgendeine Form von EU-Datenresidenz an, die Umsetzung unterscheidet sich aber stark. EU-Residenz ist nicht dasselbe wie EU-Souveränität.
Das ist der Stand Mitte 2026 für die Anbieter, nach denen Kunden uns am häufigsten fragen. Der Markt bewegt sich schnell. Prüfen Sie die aktuelle Dokumentation jedes Anbieters vor Vertragsabschluss.
| Anbieter | EU-Residenz-Angebot | Konzern-Jurisdiktion | Hinweise |
|---|---|---|---|
| AWS | EU-Regionen in Irland, Frankfurt, Paris, Stockholm, Mailand, Spanien, Zürich. European Sovereign Cloud (Brandenburg) seit Januar 2026 live, mit EU-residentem Personal und separater AWS-Tochtergesellschaft. | USA (Sovereign Cloud: EU-Tochtergesellschaft) | Sovereign Cloud ist ein echter Schritt Richtung EU-Souveränität. Standard-EU-Regionen unterliegen weiterhin dem CLOUD Act. |
| Microsoft 365 / Azure | EU Data Boundary seit Februar 2025 vollständig abgeschlossen (Phase 3 deckt Professional Services / Support-Daten ab). M365 Copilot In-Country-Processing wird im Laufe von 2026 auf 15 Länder ausgerollt, zunächst Australien, Indien, Japan und UK bis Ende 2025. | USA | Cloud for Sovereignty mit Sovereign Public und Sovereign Private Cloud Varianten. CLOUD Act gilt rechtlich weiterhin. |
| Google Cloud | EU-Regionen mit Data-Region-Controls. Sovereign-Controls-Partnerschaften mit T-Systems (Deutschland) und Thales (Frankreich). | USA (souveräne Varianten über EU-Partner) | Google Workspace Data-Region-Auswahl ab Enterprise-Tarifen. |
| Anthropic (Claude) | EU-Routing für direkte API-Kunden über console.anthropic.com. EU-Inference-Profile über AWS Bedrock und Google Vertex AI. Microsoft Foundry EU-Unterstützung für 2026 angekündigt. | USA | API-Standard-Tarif speichert in den USA. Explizite EU-Konfiguration und AVV erforderlich. |
| OpenAI | Datenresidenz in Europa für ChatGPT Enterprise, Edu und die API Platform (pro Workspace oder Projekt wählbar). | USA | Kundeninhalte werden in der gewählten Region gespeichert. Modellanfragen werden nicht persistent gespeichert. |
| GitHub Enterprise | EU-Datenresidenz seit Oktober 2024 auf ghe.com. 2026 auf EFTA-Länder (Norwegen, Schweiz) ausgeweitet. Copilot-Residenz richtet sich nach Microsoft EU Data Boundary. | USA (Microsoft-Tochtergesellschaft) | Folgt dem Microsoft EU Data Boundary; gleiche rechtliche Lage. |
| Supabase | Frankfurt-Region (eu-central-1) für Primärdaten und native Backups. | USA (Delaware C-Corp) | Residenz ja, Souveränität nein. CLOUD Act gilt. |
| Stripe | EU-Zahlungsverarbeitung über Stripe Payments Europe Ltd (Irland), unter EU-Aufsichtsrahmen lizenziert. | EU-Tochtergesellschaft unter US-Mutterkonzern | Zahlungsdaten werden in EU-Regionen für europäische Geschäfte verarbeitet. |
| Slack (Salesforce) | EU Data Residency für Enterprise Grid seit 2021 (Frankfurt, Paris). | USA | Kundeninhalte werden in der gewählten EU-Region gespeichert. |
| Notion | EU-Datenresidenz auf AWS Frankfurt (eu-central-1) für Enterprise-Kunden, seit 2025 verfügbar. | USA | Migration bestehender Workspaces über das Account-Team. |
| Cloudflare | EU-Jurisdiktionskontrollen über die Data Localization Suite. | USA | Regionale Dienste halten Traffic, Schlüssel und Metadaten in der Region. |
| Atlassian | Cloud-Datenresidenz für Confluence, Jira und Jira Service Management in Deutschland und Irland. | USA-gelistet (Hauptsitz Australien) | Ab Enterprise-Tarif verfügbar. |
| HubSpot | EU-Daten-Hosting (Frankfurt) für Kunden in EU-Regionen. | USA | Für neue EU-Kunden verfügbar. Bestandskunden können Migration anfragen. |
Ein Muster zeichnet sich ab. Fast jeder große SaaS-Anbieter bietet inzwischen EU-Residenz an. Kaum einer bietet echte Souveränität.
Der CLOUD Act gilt für alles mit US-Konzernmutter. Wenn Ihr Compliance-Rahmen zwischen Residenz und Souveränität unterscheidet (DORA, BSI C5, BaFin BAIT, KRITIS), zählt die Anbieterauswahl genauso wie die Wahl der Cloud-Region.
Für Workloads, die EU-only KI-Inferenz brauchen, beschreibt unser Leitfaden zu KI ohne Cloud in Europa die Alternativen.
Regulatorische Anforderungen jenseits der DSGVO
NIS2 schreibt keine Datenresidenz direkt vor, verlangt aber Lieferketten-Risikomanagement. Wenn die Jurisdiktion Ihres Cloud-Providers rechtliche Risiken einführt, ist das ein Lieferkettenrisiko, das Sie bewerten müssen. Siehe unseren NIS2-Compliance-Leitfaden.
DORA (Digital Operational Resilience Act) ist am strengsten. In Kraft seit 17. Januar 2025 verlangt die Verordnung von Finanzunternehmen ein dokumentiertes IKT-Drittanbieter-Konzentrationsrisikomanagement.
Sich vollständig auf einen einzigen US-Hyperscaler zu verlassen, ist ein dokumentiertes Compliance-Problem. Multi-Cloud und EU-souveräne Alternativen werden von BaFin und ESA-Aufsichten zunehmend erwartet.
Der EU Data Act fügt Datenportabilitätsanforderungen für Cloud-Dienste hinzu. Anbieter müssen Tools für Datenexport und -wechsel bereitstellen. Lock-in-Strategien, die Migration verhindern, sind jetzt reguliert.
BSI C5 ist der deutsche De-facto-Standard für Cloud-Sicherheit. Behörden und KRITIS-Betreiber verlangen es, der Mittelstand orientiert sich daran.
Hetzner, IONOS, STACKIT, T-Systems Open Telekom Cloud und plusserver führen ein C5-Testat. AWS und Azure haben C5-Testate für ihre Frankfurt-Regionen, die Konzern-Jurisdiktion bleibt aber der Knackpunkt.
BaFin BAIT und MARisk binden Finanzdienstleister an zusätzliche IT- und Auslagerungs-Anforderungen. Cloud-Auslagerungen brauchen Risikoanalysen, Notfallkonzepte und Audit-Rechte. EBA-Leitlinien und KRITIS-Regulierung unter dem IT-Sicherheitsgesetz schärfen das weiter, insbesondere für Energie-, Wasser- und Gesundheitsversorger.
Sektorspezifische Regeln können noch strenger sein. Deutsche Gesundheitsdaten (Patientendaten nach BDSG-neu und SGB) unterliegen zusätzlichen Anforderungen. Daten des öffentlichen Sektors orientieren sich an BSI-Grundschutz und C5.
Entscheidungsrahmen für die Architektur
Stellen Sie diese vier Fragen:
1. Welche Datenklassifizierungsstufen haben Sie? Nicht alle Daten brauchen den gleichen Schutz. Definieren Sie Stufen. Wenden Sie unterschiedliche Residenzanforderungen auf jede an.
2. Was ist Ihre regulatorische Exposition? NIS2-reguliert? DORA-anwendbar? Verarbeitung von Kinderdaten? Gesundheitsdaten? Jede Regulierung verschiebt die Kalkulation.
3. Was ist Ihre Risikotoleranz bei Übermittlungen? Das EU-US Data Privacy Framework hat im September 2025 die erste gerichtliche Anfechtung überstanden (Latombe-Urteil des EuG). Eine Berufung ist beim EuGH anhängig, eine Schrems-artige Zivilklage bleibt denkbar. Wenn Ihr Geschäft auf kontinuierlichen Zugriff auf EU-Personendaten angewiesen ist, ist eine ungültig werdende Übermittlung ein strategisches Risiko.
4. Was kostet die Souveränität technisch? Vollständig EU-souveräne Infrastruktur bedeutet weniger Managed Services. Mehr Ops-Aufwand. Wägen Sie das gegen die Compliance-Kosten der Alternative ab.
Für die meisten EU-fokussierten KMU ist der Sweet Spot: Europäisches Hosting für Produktionsdaten und kundenorientierte Systeme, mit Hyperscaler-Services für nicht-sensibles Computing und globale CDN-Auslieferung.
Praktische Umsetzungsschritte
Schritt 1: Dateninventur. Klassifizieren Sie jeden Datentyp. Personenbezogen, besonders schützenswert, finanziell, gesundheitsbezogen, geschäftsvertraulich, öffentlich. Erfassen Sie, wo jeder aktuell liegt.
Schritt 2: Regulatorisches Mapping. Für jeden Datentyp identifizieren, welche Regulierungen gelten.
Schritt 3: Anbieterbewertung. Cloud-Anbieter bewerten nach: Unternehmensjurisdiktion, CLOUD-Act-Exposition, vertragliche Schutzmaßnahmen, Verschlüsselungs-Key-Management, Zertifizierungen (ISO 27001, C5, SOC 2).
Schritt 4: Architekturdesign. Infrastrukturtopologie entwerfen. Welche Services laufen wo? Wie fließen Daten zwischen Umgebungen?
Schritt 5: Alles dokumentieren. Transfer Impact Assessments. Lieferantenrisikobewertungen. Architekturentscheidungsprotokolle. Regulierungsbehörden verlangen diese Dokumentation.
Für den breiteren EU-Compliance-Kontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Für DSGVO-konforme Architektur: unser Architektur-Leitfaden.
Datenresidenz für Ihre EU-Software klären? Lassen Sie uns gemeinsam Ihre Architektur planen. Wir helfen Teams, pragmatische Souveränitätsentscheidungen zu treffen.