Zum Hauptinhalt springen
Regulatorik 9 min read

Datenspeicherort in der EU: Wo sollte Ihre Software Daten speichern?

EU-Datenresidenz und souveräne Cloud für Softwareteams: DSGVO, Anbietervergleich, Souveränitäts-Trade-offs und die richtigen Architekturentscheidungen.

BrotCode
Aktualisiert 27. Mai 2026
Datenspeicherort in der EU: Wo sollte Ihre Software Daten speichern?

Frankfurt bedeutet nicht souverän

Ein Missverständnis, das Unternehmen Millionen an Compliance-Kopfschmerzen kostet: Daten in einem Frankfurter Rechenzentrum eines US-Hyperscalers zu speichern, erfüllt die EU-Datensouveränitätsanforderungen. Tut es nicht.

Der US CLOUD Act gibt US-Strafverfolgungsbehörden die Befugnis, US-basierte Technologieunternehmen zur Herausgabe von Daten zu zwingen. Unabhängig davon, wo diese Daten physisch gespeichert sind.

Ihre Produktionsdatenbank liegt in AWS eu-central-1? Rechtlich ist sie immer noch im Zugriff von US-Anordnungen.

Für viele Workloads ist das akzeptabel. Die DSGVO verlangt nicht strikt, dass alle EU-Daten innerhalb der EU-Grenzen bleiben. Aber für regulierte Branchen (Gesundheit, Banken, Behörden, kritische Infrastruktur) ist der Unterschied zwischen Datenresidenz und Datensouveränität entscheidend.

Was ist eine souveräne Cloud? Definition und Anbieter

Eine souveräne Cloud ist Cloud-Infrastruktur, deren Daten, Betrieb und Personal ausschließlich europäischem Recht unterliegen. Kein US CLOUD Act. Keine ausländische Jurisdiktion über Ihre Daten. Keine Hintertür über die Konzernmutter.

Der Begriff hat sich in den letzten zwei Jahren von einem Marketing-Schlagwort zu einer konkreten Architektur entwickelt. Drei Modelle dominieren den deutschen Markt.

Hyperscaler-Souveräne-Varianten. AWS European Sovereign Cloud ist seit Januar 2026 live, mit der ersten Region in Brandenburg, betrieben von EU-residentem Personal über eine separate AWS-Tochtergesellschaft. Microsoft Cloud for Sovereignty bietet Sovereign Public und Sovereign Private Cloud.

Echte Fortschritte. Die Konzernmutter bleibt aber US-basiert.

Souveräne Cloud über EU-Partnerschaften. Google Sovereign Controls läuft über T-Systems in Deutschland und Thales in Frankreich. Die operative Kontrolle liegt beim EU-Partner.

EU-native souveräne Cloud. Hetzner, IONOS, OVHCloud, STACKIT (Schwarz Gruppe), T-Systems Open Telekom Cloud, plusserver. Reine EU-Jurisdiktion, kein US-Konzernanteil. Gaia-X und der Sovereign Cloud Stack (SCS) liefern den offenen Architekturrahmen für diese Anbieter.

Welches Modell zu Ihnen passt, hängt davon ab, ob Sie Hyperscaler-Features brauchen oder eine echte Trennung von US-Recht. Für regulierte Workloads im DACH-Raum sind die EU-nativen Anbieter und die Hyperscaler-Souveräne-Varianten meist die relevanteste Wahl.

Datenresidenz vs. Datensouveränität: Der Unterschied, der zählt

Datenresidenz bedeutet: Ihre Daten liegen auf Servern innerhalb einer bestimmten geografischen Grenze. Frankfurt, Dublin, Amsterdam. Einfacher physischer Standort.

Datensouveränität bedeutet: Diese Daten unterliegen ausschließlich den Gesetzen dieser Jurisdiktion. Kein Zugriff ausländischer Regierungen. Keine grenzüberschreitende rechtliche Exposition.

Die meisten Unternehmen denken, sie haben Souveränität, wenn sie nur Residenz haben. Diese Lücke wächst, während die Durchsetzung bei DSGVO, NIS2, DORA und dem EU Data Act strenger wird.

DSGVO-konforme Cloud-Architektur: Was die Verordnung verlangt

Die DSGVO schreibt keine EU-Datenresidenz vor. Was sie vorschreibt: Personenbezogene Daten, die außerhalb der EU/des EWR übertragen werden, müssen “im Wesentlichen gleichwertigen” Schutz erhalten.

Drei Mechanismen für rechtmäßige internationale Übermittlungen:

  1. Angemessenheitsbeschlüsse. Die Europäische Kommission erklärt ein Land für angemessen. Die USA haben derzeit Angemessenheit unter dem EU-US Data Privacy Framework, das im September 2025 die erste gerichtliche Anfechtung überstanden hat (Latombe-Urteil des EuG). Eine Berufung ist beim EuGH anhängig, eine Schrems-artige Zivilklage bleibt denkbar.
  2. Standardvertragsklauseln (SVKs). Vorab genehmigte Vertragsvorlagen, die den Empfänger an EU-Datenschutzstandards binden.
  3. Verbindliche interne Datenschutzvorschriften (BCRs). Für multinationale Organisationen.

In der Praxis ist es der einfachste Weg, die Daten in der EU zu belassen. Keine Angemessenheitsbeschlüsse zu überwachen. Keine SVKs zu pflegen. Kein Risiko eines Schrems-III-Urteils, das Ihren Übermittlungsmechanismus über Nacht ungültig macht.

Die Cloud-Anbieter-Landschaft

US-Hyperscaler mit EU-Regionen

AWS, Azure und Google Cloud bieten alle EU-Rechenzentrumsregionen. Feature-reich, gut dokumentiert, und Ihr Engineering-Team kennt sie bereits.

Der Kompromiss: US-Jurisdiktion. Der CLOUD Act gilt.

Hyperscaler haben mit souveränen Cloud-Konfigurationen reagiert. Microsoft Cloud for Sovereignty bietet Sovereign Public und Sovereign Private Cloud Varianten. AWS European Sovereign Cloud ist seit Januar 2026 mit der ersten Region in Brandenburg live, betrieben von EU-residentem Personal über eine separate AWS-Tochtergesellschaft.

Das sind echte Fortschritte. Der Konzernmutterkonzern bleibt US-basiert, aber die operativen und rechtlichen Grenzen sind enger als bei Standard-EU-Regionen.

Europäische Cloud-Anbieter

OVHCloud (Frankreich), Hetzner (Deutschland), IONOS (Deutschland), Scaleway (Frankreich), UpCloud (Finnland). EU-Hauptsitz. EU-Jurisdiktion. Keine CLOUD-Act-Exposition.

Der Kompromiss: weniger Managed Services, kleinere Ökosysteme, potenziell weniger ausgereifte Tools. Aber für Compute, Storage, Datenbanken und Kubernetes-Hosting sind sie praxiserprobt.

Hetzner ist besonders beliebt im deutschen Markt. Wettbewerbsfähige Preise. Rechenzentren in Nürnberg, Falkenstein und Helsinki. DSGVO-konform standardmäßig, weil es keine Jurisdiktionskomplexität gibt.

STACKIT, die souveräne Cloud-Plattform der Schwarz Gruppe (Schwarz Digits), ist der prominenteste deutsche Neuzugang. Zielgruppe: Mittelstand und öffentlicher Sektor mit strengen Souveränitätsanforderungen.

T-Systems Open Telekom Cloud bedient dieselbe Klientel mit längerer Marktpräsenz und tiefer BSI-C5-Zertifizierung. plusserver richtet sich an den industrienahen Mittelstand.

Was diese Anbieter gemeinsam haben: BSI-C5-Testat als Basisanforderung, kein US-Konzernanteil, deutsche Vertragspartner. Gaia-X und der Sovereign Cloud Stack (SCS) liefern den offenen Architekturrahmen, der den Wechsel zwischen ihnen erleichtert.

Der hybride Ansatz

Das empfehlen wir den meisten Kunden. Sensible Daten (personenbezogene Daten, Finanzunterlagen, Gesundheitsdaten) auf EU-souveräner Infrastruktur. Alles andere dort, wo es technisch sinnvoll ist.

Ihre Benutzer-Authentifizierungsdatenbank und Kundendaten auf Hetzner. Content Delivery, Analytics-Verarbeitung und nicht-sensible Workloads auf AWS oder Azure. Verbunden über verschlüsseltes VPN oder Private-Network-Links.

Sie bekommen Souveränität, wo es zählt, und Hyperscaler-Features, wo Sie sie brauchen.

Vergleich: Cloud- und SaaS-Anbieter mit EU-Datenresidenz und souveräner Cloud-Option

Cloud-Infrastruktur ist die eine Ebene. Die SaaS- und KI-Tools, die Ihr Team täglich nutzt, sind die andere.

Die meisten großen Anbieter bieten inzwischen irgendeine Form von EU-Datenresidenz an, die Umsetzung unterscheidet sich aber stark. EU-Residenz ist nicht dasselbe wie EU-Souveränität.

Das ist der Stand Mitte 2026 für die Anbieter, nach denen Kunden uns am häufigsten fragen. Der Markt bewegt sich schnell. Prüfen Sie die aktuelle Dokumentation jedes Anbieters vor Vertragsabschluss.

AnbieterEU-Residenz-AngebotKonzern-JurisdiktionHinweise
AWSEU-Regionen in Irland, Frankfurt, Paris, Stockholm, Mailand, Spanien, Zürich. European Sovereign Cloud (Brandenburg) seit Januar 2026 live, mit EU-residentem Personal und separater AWS-Tochtergesellschaft.USA (Sovereign Cloud: EU-Tochtergesellschaft)Sovereign Cloud ist ein echter Schritt Richtung EU-Souveränität. Standard-EU-Regionen unterliegen weiterhin dem CLOUD Act.
Microsoft 365 / AzureEU Data Boundary seit Februar 2025 vollständig abgeschlossen (Phase 3 deckt Professional Services / Support-Daten ab). M365 Copilot In-Country-Processing wird im Laufe von 2026 auf 15 Länder ausgerollt, zunächst Australien, Indien, Japan und UK bis Ende 2025.USACloud for Sovereignty mit Sovereign Public und Sovereign Private Cloud Varianten. CLOUD Act gilt rechtlich weiterhin.
Google CloudEU-Regionen mit Data-Region-Controls. Sovereign-Controls-Partnerschaften mit T-Systems (Deutschland) und Thales (Frankreich).USA (souveräne Varianten über EU-Partner)Google Workspace Data-Region-Auswahl ab Enterprise-Tarifen.
Anthropic (Claude)EU-Routing für direkte API-Kunden über console.anthropic.com. EU-Inference-Profile über AWS Bedrock und Google Vertex AI. Microsoft Foundry EU-Unterstützung für 2026 angekündigt.USAAPI-Standard-Tarif speichert in den USA. Explizite EU-Konfiguration und AVV erforderlich.
OpenAIDatenresidenz in Europa für ChatGPT Enterprise, Edu und die API Platform (pro Workspace oder Projekt wählbar).USAKundeninhalte werden in der gewählten Region gespeichert. Modellanfragen werden nicht persistent gespeichert.
GitHub EnterpriseEU-Datenresidenz seit Oktober 2024 auf ghe.com. 2026 auf EFTA-Länder (Norwegen, Schweiz) ausgeweitet. Copilot-Residenz richtet sich nach Microsoft EU Data Boundary.USA (Microsoft-Tochtergesellschaft)Folgt dem Microsoft EU Data Boundary; gleiche rechtliche Lage.
SupabaseFrankfurt-Region (eu-central-1) für Primärdaten und native Backups.USA (Delaware C-Corp)Residenz ja, Souveränität nein. CLOUD Act gilt.
StripeEU-Zahlungsverarbeitung über Stripe Payments Europe Ltd (Irland), unter EU-Aufsichtsrahmen lizenziert.EU-Tochtergesellschaft unter US-MutterkonzernZahlungsdaten werden in EU-Regionen für europäische Geschäfte verarbeitet.
Slack (Salesforce)EU Data Residency für Enterprise Grid seit 2021 (Frankfurt, Paris).USAKundeninhalte werden in der gewählten EU-Region gespeichert.
NotionEU-Datenresidenz auf AWS Frankfurt (eu-central-1) für Enterprise-Kunden, seit 2025 verfügbar.USAMigration bestehender Workspaces über das Account-Team.
CloudflareEU-Jurisdiktionskontrollen über die Data Localization Suite.USARegionale Dienste halten Traffic, Schlüssel und Metadaten in der Region.
AtlassianCloud-Datenresidenz für Confluence, Jira und Jira Service Management in Deutschland und Irland.USA-gelistet (Hauptsitz Australien)Ab Enterprise-Tarif verfügbar.
HubSpotEU-Daten-Hosting (Frankfurt) für Kunden in EU-Regionen.USAFür neue EU-Kunden verfügbar. Bestandskunden können Migration anfragen.

Ein Muster zeichnet sich ab. Fast jeder große SaaS-Anbieter bietet inzwischen EU-Residenz an. Kaum einer bietet echte Souveränität.

Der CLOUD Act gilt für alles mit US-Konzernmutter. Wenn Ihr Compliance-Rahmen zwischen Residenz und Souveränität unterscheidet (DORA, BSI C5, BaFin BAIT, KRITIS), zählt die Anbieterauswahl genauso wie die Wahl der Cloud-Region.

Für Workloads, die EU-only KI-Inferenz brauchen, beschreibt unser Leitfaden zu KI ohne Cloud in Europa die Alternativen.

Regulatorische Anforderungen jenseits der DSGVO

NIS2 schreibt keine Datenresidenz direkt vor, verlangt aber Lieferketten-Risikomanagement. Wenn die Jurisdiktion Ihres Cloud-Providers rechtliche Risiken einführt, ist das ein Lieferkettenrisiko, das Sie bewerten müssen. Siehe unseren NIS2-Compliance-Leitfaden.

DORA (Digital Operational Resilience Act) ist am strengsten. In Kraft seit 17. Januar 2025 verlangt die Verordnung von Finanzunternehmen ein dokumentiertes IKT-Drittanbieter-Konzentrationsrisikomanagement.

Sich vollständig auf einen einzigen US-Hyperscaler zu verlassen, ist ein dokumentiertes Compliance-Problem. Multi-Cloud und EU-souveräne Alternativen werden von BaFin und ESA-Aufsichten zunehmend erwartet.

Der EU Data Act fügt Datenportabilitätsanforderungen für Cloud-Dienste hinzu. Anbieter müssen Tools für Datenexport und -wechsel bereitstellen. Lock-in-Strategien, die Migration verhindern, sind jetzt reguliert.

BSI C5 ist der deutsche De-facto-Standard für Cloud-Sicherheit. Behörden und KRITIS-Betreiber verlangen es, der Mittelstand orientiert sich daran.

Hetzner, IONOS, STACKIT, T-Systems Open Telekom Cloud und plusserver führen ein C5-Testat. AWS und Azure haben C5-Testate für ihre Frankfurt-Regionen, die Konzern-Jurisdiktion bleibt aber der Knackpunkt.

BaFin BAIT und MARisk binden Finanzdienstleister an zusätzliche IT- und Auslagerungs-Anforderungen. Cloud-Auslagerungen brauchen Risikoanalysen, Notfallkonzepte und Audit-Rechte. EBA-Leitlinien und KRITIS-Regulierung unter dem IT-Sicherheitsgesetz schärfen das weiter, insbesondere für Energie-, Wasser- und Gesundheitsversorger.

Sektorspezifische Regeln können noch strenger sein. Deutsche Gesundheitsdaten (Patientendaten nach BDSG-neu und SGB) unterliegen zusätzlichen Anforderungen. Daten des öffentlichen Sektors orientieren sich an BSI-Grundschutz und C5.

Entscheidungsrahmen für die Architektur

Stellen Sie diese vier Fragen:

1. Welche Datenklassifizierungsstufen haben Sie? Nicht alle Daten brauchen den gleichen Schutz. Definieren Sie Stufen. Wenden Sie unterschiedliche Residenzanforderungen auf jede an.

2. Was ist Ihre regulatorische Exposition? NIS2-reguliert? DORA-anwendbar? Verarbeitung von Kinderdaten? Gesundheitsdaten? Jede Regulierung verschiebt die Kalkulation.

3. Was ist Ihre Risikotoleranz bei Übermittlungen? Das EU-US Data Privacy Framework hat im September 2025 die erste gerichtliche Anfechtung überstanden (Latombe-Urteil des EuG). Eine Berufung ist beim EuGH anhängig, eine Schrems-artige Zivilklage bleibt denkbar. Wenn Ihr Geschäft auf kontinuierlichen Zugriff auf EU-Personendaten angewiesen ist, ist eine ungültig werdende Übermittlung ein strategisches Risiko.

4. Was kostet die Souveränität technisch? Vollständig EU-souveräne Infrastruktur bedeutet weniger Managed Services. Mehr Ops-Aufwand. Wägen Sie das gegen die Compliance-Kosten der Alternative ab.

Für die meisten EU-fokussierten KMU ist der Sweet Spot: Europäisches Hosting für Produktionsdaten und kundenorientierte Systeme, mit Hyperscaler-Services für nicht-sensibles Computing und globale CDN-Auslieferung.

Praktische Umsetzungsschritte

Schritt 1: Dateninventur. Klassifizieren Sie jeden Datentyp. Personenbezogen, besonders schützenswert, finanziell, gesundheitsbezogen, geschäftsvertraulich, öffentlich. Erfassen Sie, wo jeder aktuell liegt.

Schritt 2: Regulatorisches Mapping. Für jeden Datentyp identifizieren, welche Regulierungen gelten.

Schritt 3: Anbieterbewertung. Cloud-Anbieter bewerten nach: Unternehmensjurisdiktion, CLOUD-Act-Exposition, vertragliche Schutzmaßnahmen, Verschlüsselungs-Key-Management, Zertifizierungen (ISO 27001, C5, SOC 2).

Schritt 4: Architekturdesign. Infrastrukturtopologie entwerfen. Welche Services laufen wo? Wie fließen Daten zwischen Umgebungen?

Schritt 5: Alles dokumentieren. Transfer Impact Assessments. Lieferantenrisikobewertungen. Architekturentscheidungsprotokolle. Regulierungsbehörden verlangen diese Dokumentation.

Für den breiteren EU-Compliance-Kontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Für DSGVO-konforme Architektur: unser Architektur-Leitfaden.


Datenresidenz für Ihre EU-Software klären? Lassen Sie uns gemeinsam Ihre Architektur planen. Wir helfen Teams, pragmatische Souveränitätsentscheidungen zu treffen.

FAQ

Welche Cloud-Anbieter erfüllen die DSGVO-Datenresidenz in der EU?
Mehrere. US-Hyperscaler (AWS, Azure, Google Cloud) bieten EU-Regionen, die die DSGVO-Datenresidenz erfüllen, bleiben aber unter US-Jurisdiktion. Europäische Anbieter wie Hetzner, OVHCloud, IONOS, STACKIT, Scaleway und T-Systems bieten EU-Residenz und EU-Jurisdiktion. Für regulierte Workloads sind Hybrid-Setups verbreitet: souveräne Infrastruktur für sensible Daten, Hyperscaler für den Rest.
Was ist der Unterschied zwischen EU-Datenresidenz und Datensouveränität?
Residenz bedeutet, dass Daten physisch in der EU gespeichert werden. Souveränität bedeutet, dass Daten ausschließlich EU-Recht unterliegen. Eine Frankfurter AWS-Region gibt Ihnen Residenz, aber keine Souveränität: Der US CLOUD Act gilt weiterhin, weil AWS ein US-Unternehmen ist. EU-Anbieter wie Hetzner geben Ihnen beides. Für die meisten Workloads reicht Residenz. Für regulierte Branchen ist Souveränität entscheidend.
Verlangt die DSGVO, dass Daten in der EU bleiben?
Nein. Die DSGVO schreibt keine EU-Datenresidenz vor. Sie verlangt, dass personenbezogene Daten, die außerhalb der EU/des EWR übertragen werden, "im Wesentlichen gleichwertigen" Schutz erhalten, typischerweise über Angemessenheitsbeschlüsse, Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften. In der Praxis ist es der einfachste Weg, Daten in der EU zu belassen: keine Übermittlungsmechanismen zu überwachen, keine Schrems-artigen Urteile zu fürchten.
Sind AWS, Azure und Google Cloud DSGVO-konform für EU-Datenresidenz?
Ja, wenn Sie ihre EU-Regionen mit dem richtigen vertraglichen Rahmen nutzen (SVKs, AVVs, kundengesteuerte Verschlüsselungsschlüssel). Alle drei zertifizieren unter dem EU-US Data Privacy Framework und bieten EU-Data-Boundary-Konfigurationen. Der Haken: Sie unterliegen weiterhin US-Jurisdiktion. Für nicht-regulierte Workloads in der Regel ausreichend. Unter DORA oder BSI ein Konzentrationsrisiko.
Was ist die souveräne Cloud und welche Anbieter bieten sie?
Souveräne Cloud bedeutet Infrastruktur, die Daten und Betrieb unter EU-Jurisdiktion hält. AWS European Sovereign Cloud ist seit Januar 2026 in Brandenburg live, betrieben von EU-residentem Personal über eine separate AWS-Tochtergesellschaft. Microsoft Cloud for Sovereignty bietet Sovereign Public und Sovereign Private Cloud Varianten. EU-native Anbieter wie OVHCloud, IONOS, STACKIT (Schwarz Gruppe) und T-Systems (Open Telekom Cloud) bieten EU-only Optionen ohne US-Konzernanteil.
Artikel teilen
Compliance DSGVO Cloud Sicherheit Architektur

Verwandte Artikel

Brauchen Sie Hilfe beim Bauen?

Wir verwandeln komplexe technische Herausforderungen in produktionsreife Lösungen. Sprechen wir über Ihr Projekt.