← Journal

    Quellenlage

    Datenresidenz und EU-Hosting: was europäisch wirklich bedeutet

    Abdulmejd Kelil Shifa · 15. Mai 2026 · 7 Min.

    Ein Anbieter wirbt mit EU-Hosting, das Rechenzentrum steht in Frankfurt oder Amsterdam, und im Beschaffungsprozess gilt die Datenschutzfrage damit als beantwortet. In der Praxis zeigt sich schnell, dass dieses Häkchen weniger aussagt, als es verspricht. Datenresidenz, also die Zusicherung, dass Daten in einer bestimmten Region gespeichert werden, beantwortet nur eine von mehreren Fragen, die hinter dem Wort europäisch stecken.

    Die eigentliche Sorge hinter der Standortfrage ist nämlich selten der Standort selbst. Sie lautet: Wer kann auf die Daten zugreifen, unter welchem Recht steht der Betreiber, und was geschieht mit den Daten, wenn sie verarbeitet, gesichert oder im Supportfall geöffnet werden. Auf diese Fragen gibt die Adresse des Rechenzentrums keine Antwort. Wer Cloud- oder AI-Dienste beschafft, sollte deshalb sauber trennen, was ein Anbieter tatsächlich zusichert und was nur danach klingt.

    Region ist nicht Rechtsraum

    Der physische Speicherort und das anwendbare Recht fallen häufig auseinander. Ein Rechenzentrum in der EU, betrieben von einem Unternehmen mit Konzernmutter außerhalb der EU, kann Zugriffs- oder Herausgabepflichten aus einer fremden Rechtsordnung unterliegen. Umgekehrt garantiert ein europäischer Firmensitz allein noch keinen sauberen Betrieb, wenn wesentliche Subunternehmer außerhalb Europas sitzen.

    Der Punkt lässt sich nüchtern formulieren: Die Frage, wo die Server stehen, und die Frage, welchem Recht der Betreiber unterliegt, sind zwei verschiedene Fragen mit möglicherweise zwei verschiedenen Antworten. Wie groß das daraus folgende Risiko ist, hängt vom Einzelfall ab, von der Art der Daten, der Branche und dem Schutzbedarf. Wer die beiden Fragen aber vermengt, kann das Risiko gar nicht erst bewerten.

    Speicherort, Verarbeitungsort, Zugriffsmöglichkeit

    In der Bewertung eines Dienstes helfen drei getrennte Ebenen:

    • Speicherort: Wo liegen ruhende Daten, einschließlich Backups, Replikaten und Logdaten. Viele Regionszusagen gelten nur für die Primärdaten. Telemetrie, Diagnosedaten und Sicherungen folgen oft eigenen Wegen.
    • Verarbeitungsort: Wo finden die Rechenoperationen statt. Gerade bei AI-Diensten ist das relevant, weil die Inferenz in einer anderen Region laufen kann als die Speicherung und Lastspitzen mitunter in andere Regionen umgeleitet werden.
    • Zugriffsmöglichkeit: Wer kann administrativ auf Daten zugreifen. Support-Teams in Drittländern, Fernwartungszugänge und die Frage, wer die Verschlüsselungsschlüssel hält, entscheiden darüber, ob eine Regionszusage praktisch etwas wert ist.

    Eine Zusage über den Speicherort deckt die beiden anderen Ebenen nicht automatisch ab. Genau diese Lücke bleibt in vielen Beschaffungsprozessen unbeleuchtet.

    Der Fragenkatalog an den Anbieter

    Aus den drei Ebenen ergibt sich ein Katalog, den jeder Anbieter beantworten können sollte:

    • Gilt die Regionszusage für alle Datenkategorien, auch für Backups, Logs, Telemetrie und Supportdaten?
    • Wo findet die Verarbeitung statt, insbesondere die Inferenz bei AI-Funktionen, und kann sie in andere Regionen ausweichen?
    • Welcher Rechtsordnung unterliegen der Betreiber und seine Konzernmutter?
    • Wer hält die Schlüssel bei der Verschlüsselung, und kann der Anbieter Inhalte selbst entschlüsseln?
    • Aus welchen Ländern arbeitet der Support, und wie werden Zugriffe begrenzt und protokolliert?
    • Welche Subunternehmer sind eingebunden, und wie werden Änderungen angekündigt?
    • Was passiert bei Vertragsende: Export, Löschung, Nachweis der Löschung?

    Aufschlussreich ist dabei weniger die einzelne Antwort als das Muster. Ein Anbieter, der diese Fragen präzise und schriftlich beantwortet, hat seine eigenen Datenflüsse verstanden. Ausweichende Antworten sind selbst ein Befund.

    Architektur-Entscheidungen für Datenresidenz

    Datenresidenz ist nicht nur eine Einkaufsfrage, sondern auch eine Gestaltungsfrage der eigenen Architektur. Wer sie ernst nimmt, hat mehrere Hebel:

    • Datenklassifizierung zuerst. Nicht alle Daten brauchen dasselbe Schutzniveau. Wer weiß, welche Daten wirklich sensibel sind, kann gezielt entscheiden statt pauschal.
    • Trennung von Inhalt und Metadaten. Häufig lässt sich der sensible Inhalt lokal oder in einer kontrollierten Umgebung halten, während unkritische Metadaten in den Cloud-Dienst wandern.
    • Verschlüsselung mit eigener Schlüsselverwaltung, wo der Dienst das zulässt. Wer die Schlüssel hält, verschiebt die Zugriffsfrage zu seinen Gunsten.
    • Pseudonymisierung vor der Übermittlung an externe AI-Dienste. Ein Gateway, das Namen und Kennungen durch Platzhalter ersetzt, senkt den Schutzbedarf der übertragenen Daten deutlich.
    • Getrennte Pfade für die sensibelsten Schritte. Die kritischsten Verarbeitungen können auf lokal oder europäisch betriebene Komponenten gelegt werden, während der Rest den komfortableren Dienst nutzt.

    Ehrliche Grenzen

    Vollständige Unabhängigkeit ist mit international arbeitsteiligen Diensten kaum erreichbar. Auch europäische Anbieter nutzen Hardware, Software und Vorleistungen aus globalen Lieferketten. Und wer aus Prinzip alles selbst betreibt, tauscht ein Risiko gegen ein anderes: Patch-Stände, Verfügbarkeit und Betriebssicherheit wollen dann selbst verantwortet werden, mit eigenem Personal und eigener Disziplin.

    Das Ziel ist deshalb kein absolutes Versprechen, sondern eine dokumentierte, bewusste Entscheidung: Welche Daten gehen in welchen Dienst, welches Restrisiko bleibt, und wer hat es mit welcher Begründung akzeptiert. Diese Dokumentation ist im Zweifel mehr wert als jedes Etikett auf der Anbieter-Website.

    Fazit

    Datenresidenz ist ein nützliches Kriterium, aber kein Gütesiegel. Ein Rechenzentrum in Europa beantwortet weder die Frage nach dem anwendbaren Recht noch die nach Verarbeitungsort und administrativem Zugriff. Wer die drei Ebenen getrennt prüft, dem Anbieter die richtigen Fragen stellt und die eigene Architektur nach dem Schutzbedarf der Daten ausrichtet, trifft eine belastbare Entscheidung. Europäisch ist ein Setup nicht dann, wenn die Server in Europa stehen, sondern wenn Zugriff, Recht und Betrieb der eigenen Bewertung standhalten.

    Sprechen wir über Ihr Vorhaben.

    Unverbindliches Erstgespräch. Wir melden uns zeitnah bei Ihnen.

    Erstgespräch anfragen →