Zum Hauptinhalt springen
← Alle Artikel

Serverstandort Deutschland: Warum man den Unterschied zwischen Datensicherheit und Datenhoheit kennen sollte

· 5 Min Lesezeit
Serverstandort Deutschland: Warum man den Unterschied zwischen Datensicherheit und Datenhoheit kennen sollte

Viele SaaS-Anbieter werben mit deutschem Rechenzentrum und DSGVO-Konformität, obwohl im Hintergrund oft US-Unternehmen oder US-Cloud-Dienste verwendet werden. Das ist grundsätzlich nicht falsch, aber oft auch nicht die ganze Wahrheit. Denn neben dem Speicherort zählt auch, welchem Rechtsrahmen der Anbieter unterliegt und wer im Zweifel auf die Infrastruktur zugreifen kann.

Der CLOUD Act: Was er bedeutet

Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, ist ein US-Gesetz aus dem Jahr 2018. Er kann US-Anbieter unter bestimmten Voraussetzungen zur Herausgabe gespeicherter Daten an US-Behörden verpflichten — auch dann, wenn die Daten in Europa liegen. 1

Amazon Web Services (AWS) und Microsoft Azure sind weit verbreitete US-Anbieter mit Serverstandorten in Europa. Die europäischen Niederlassungen gehören in der Regel zu den jeweiligen US-Mutterkonzernen. Der CLOUD Act greift damit auch dort.

Ein weiteres Problem: Betroffene Kunden erfahren davon unter Umständen nichts, weil Nichtmitteilungsanordnungen das verhindern können. 1

Datensicherheit ist nicht dasselbe wie Datenhoheit

Viele SaaS-Anbieter vermischen in ihren Marketingtexten zwei grundlegend unterschiedliche Konzepte.

Datensicherheit meint den rein technischen Schutz vor unbefugtem Zugriff durch Hacker oder Schadsoftware. Große US-Anbieter setzen das durch Verschlüsselung und strikte Zugriffskontrollen in der Regel hervorragend um.

Datenhoheit definiert die rechtliche Kontrolle darüber, wer unter welchen Bedingungen legitimen Zugriff erhält. Genau dieser Aspekt ist bei einem US-Anbieter strukturell eingeschränkt.

Ein System kann technisch extrem gut abgesichert und gleichzeitig rechtlich nicht souverän sein. Diesen Unterschied gilt es bei der Softwareauswahl zwingend zu berücksichtigen.

Was das konkret bedeutet

Im Juni 2025 sagte Anton Carniaux, Chefjustiziar von Microsoft France, vor dem französischen Senat aus. Auf die Frage, ob Microsoft garantieren könne, EU-Daten niemals ohne ausdrückliche Kundenzustimmung an die US-Regierung weiterzugeben, antwortete er, dass eine solche Garantie aus seiner Sicht nicht gegeben werden könne. Die Situation sei zwar bisher nicht eingetreten, bei formal korrekten Behördenanfragen sei der Konzern jedoch zur Herausgabe verpflichtet. 2

Das betrifft nicht nur klassische Dienste wie Microsoft 365 mit Outlook, Teams und OneDrive, sondern auch viele SaaS-Produkte, die im Hintergrund auf Azure oder AWS laufen. Bei Google-Diensten wie Firebase gilt das gleiche Grundproblem: Der Speicherort in Europa allein löst die Frage nach der rechtlichen Kontrolle nicht.

AWS setzt mit der European Sovereign Cloud auf eine stärker getrennte Struktur für Daten und Betrieb. Trotzdem bleibt die entscheidende Frage, wie unabhängig die Struktur am Ende wirklich ist.

Wann ist welche Lösung angemessen?

Vor der Anbieterwahl sollte man sich zunächst die Frage stellen, wie schutzbedürftig die verarbeiteten Daten überhaupt sind? Die Kundenkartei eines Handwerksbetriebs erfordert ein anderes Schutzniveau als Patientendaten oder Konstruktionspläne eines Maschinenbauers.

US-Lösung, Server in den USA: Für unkritische Inhalte oft unproblematisch, aber sobald personenbezogene oder vertrauliche Daten ins Spiel kommen, wird es relevant. Sobald komplette E-Mails oder Dokumente verarbeitet werden, fließen schnell unbeabsichtigt personenbezogene Informationen ab. Der Einsatz erfordert also klare interne Richtlinien.

US-Lösung, Server in Europa (z.B. Azure EU-DataZone, AWS Frankfurt): Ein praktikabler Kompromiss für Standard-Kundendaten wie Namen und Adressen. Voraussetzung ist ein gültiger Auftragsverarbeitungsvertrag (AVV). Das theoretische Restrisiko bleibt bestehen, wird von kleinen Unternehmen ohne kritische Infrastruktur aber oft als vertretbares Geschäftsrisiko eingestuft.

Europäischer Anbieter ohne US-Konzernbezug: Oft die naheliegendere Wahl, wenn Datenhoheit besonders wichtig ist. Der CLOUD Act greift hier nicht. 3 Behördenanfragen unterliegen transparent dem europäischen Recht. Beispiele sind Nextcloud für die Dokumentenablage oder Hetzner als Infrastruktur-Provider. Wichtig ist jedoch der Blick auf die eingesetzten Subunternehmer. Nutzt ein Dienstleister mit europäischem Namen im Hintergrund amerikanische E-Mail-Dienste, fällt die Datenverarbeitung zurück in den US-Jurisdiktionsbereich.

Deutscher Anbieter, deutsche Server: Die bevorzugte Variante bei besonders sensiblen Daten, zum Beispiel in Gesundheitsberufen, in der Rechtsberatung oder Steuerberatung. Für diese Branchen empfiehlt sich die genaue Abstimmung mit einem Datenschutzbeauftragten.

On-Premise (Hosting auf eigenen Servern): Die Variante mit dem größten Maß an direkter Kontrolle, allerdings auch mit dem höchsten Betriebsaufwand. Für größere und mittlere Unternehmen mit sensiblem Know-how ist dieser Weg aber oft die sicherste Option. Typische Anwendungsfälle sind Maschinenbauer mit proprietären Fertigungsplänen oder Unternehmen der kritischen Infrastruktur.

Unabhängig von der konkreten Wahl des Anbieters besteht noch die Möglichkeit der clientseitigen Verschlüsselung. Metadaten wie Kommunikationszeitpunkte, IP-Adressen oder Dateigrößen bleiben dabei jedoch weiterhin ungeschützt. 4

Vier Fragen zur besseren Einordnung

Vier Leitfragen helfen bei der Bewertung der eigenen Software-Landschaft:

  1. Gehört der Anbieter oder die Muttergesellschaft zu einem US-Konzern?
  2. Welche Subunternehmer sind für die Datenverarbeitung im Einsatz?
  3. Ist ein gültiger Auftragsverarbeitungsvertrag abgeschlossen?
  4. Sind diese Dienste in Vertrag, AVV und Datenschutzerklärung sauber abgebildet?

Dieser Artikel soll kein Alarmismus verbreiten, sondern auf eine saubere Risikoabwägung hinweisen. Für viele Unternehmen reicht ein US-Dienst mit europäischer Speicherung völlig aus, solange klar ist, welche Daten verarbeitet werden, wer Zugriff hat und welche Risiken man bewusst akzeptiert.

Für eine abschließende rechtliche Bewertung im Einzelfall ist in jedem Fall ein Datenschutzbeauftragter oder spezialisierter Anwalt heranzuziehen.

Footnotes

  1. Europäischer Datenschutzausschuss (EDSA) – Stellungnahme zum U.S. CLOUD Act, Juli 2019 2

  2. heise online / iX – Keine Garantien: Microsoft muss EU-Daten an USA übermitteln, Juli 2025

  3. Wissenschaftlicher Dienst des Deutschen Bundestags – Gutachten zum CLOUD Act und europäischem Datenschutzrecht, 2019

  4. lowcloud.io – CLOUD Act vs. DSGVO: Was Verschlüsselung leisten kann und was nicht

Projekt anfragen oder einfach austauschen?

Lassen Sie uns unverbindlich über Ihre Vorstellungen sprechen. Ich melde mich zeitnah bei Ihnen.