DSGVO, Datenresidenz und warum europäisches Cloud-Hosting keine Option mehr ist

Ein klarer Leitfaden zu den Anforderungen der DSGVO an die Datenresidenz, den rechtlichen Risiken bei der Nutzung von US-Cloud-Anbietern und wie europäische Unternehmen durch die Wahl souveränen Cloud-Hostings Compliance sicherstellen können.

By Alplink Tech Team · 2026-03-10 · 6 min read

Wenn Ihr Unternehmen in Europa tätig ist und personenbezogene Daten in der Cloud speichert, ist die Frage, wo diese Daten physisch liegen, längst keine technische Fußnote mehr — sondern eine rechtliche Verpflichtung. Seit dem Schrems-II-Urteil im Jahr 2020 wurde die bequeme Annahme, dass „die Cloud überall ist, also spielt es keine Rolle", von europäischen Gerichten, Aufsichtsbehörden und einer wachsenden Welle von Durchsetzungsmaßnahmen zerlegt.

Dieser Artikel erklärt, was das Gesetz tatsächlich verlangt, welchen Risiken Sie bei Fehlern ausgesetzt sind und welche praktischen Schritte Sie unternehmen können, um sicherzustellen, dass Ihre Cloud-Infrastruktur konform ist.

Was die DSGVO über Datenübermittlungen sagt

Die Datenschutz-Grundverordnung verbietet die Speicherung von Daten außerhalb der EU nicht ausdrücklich. Sie legt jedoch strenge Bedingungen für die internationale Übermittlung personenbezogener Daten fest:

  1. Angemessenheitsbeschlüsse — Die Europäische Kommission kann feststellen, dass ein Nicht-EU-Land ein angemessenes Datenschutzniveau bietet. Daten können frei in diese Länder fließen. Stand 2026 decken Angemessenheitsbeschlüsse Länder wie Japan, Südkorea, das Vereinigte Königreich und — umstritten — die Vereinigten Staaten im Rahmen des EU-US Data Privacy Framework (DPF) ab.

  2. Standardvertragsklauseln (SCCs) — In Ermangelung eines Angemessenheitsbeschlusses können Organisationen SCCs verwenden: vorab genehmigte Vertragsklauseln, die dem Datenempfänger DSGVO-gleichwertige Pflichten auferlegen.

  3. Verbindliche Unternehmensregeln (BCRs) — Für multinationale Unternehmen, die Daten innerhalb ihrer eigenen Gruppe übertragen.

  4. Ausnahmen (Derogationen) — Eng begrenzte Ausnahmen für bestimmte Situationen (ausdrückliche Einwilligung, Vertragserfüllung, Rechtsansprüche).

Auf dem Papier ermöglicht dieses System internationale Übermittlungen. In der Praxis ist es weitaus komplizierter.

Das Problem mit der US-Cloud

Das EU-US Data Privacy Framework, das 2023 angenommen wurde, sollte die transatlantische Datenübermittlungskrise lösen. Aber Rechtsexperten und Datenschutzaktivisten haben ernste Bedenken geäußert:

  • FISA Section 702 erlaubt es US-Geheimdiensten weiterhin, US-basierte Cloud-Anbieter zur Herausgabe von Daten zu zwingen, die überall auf der Welt gespeichert sind — einschließlich Daten europäischer Bürger.
  • Der CLOUD Act verpflichtet US-Unternehmen, Daten auf Anfrage der US-Regierung herauszugeben, unabhängig davon, wo die Daten gespeichert sind.
  • Das DPF steht vor rechtlichen Herausforderungen. Der Datenschutzaktivist Max Schrems (dessen Fälle zur Ungültigerklärung von Safe Harbor und Privacy Shield führten) hat signalisiert, dass eine Anfechtung des DPF wahrscheinlich ist. Viele Rechtsgelehrte erwarten, dass es genauso gekippt wird wie seine Vorgänger.

Das bedeutet: Selbst wenn Sie einen US-Cloud-Anbieter mit EU-Rechenzentren nutzen, sind die Daten nicht unbedingt vor dem Zugriff der US-Regierung geschützt. Die Rechtshoheit des Anbieters zählt, nicht nur der physische Standort des Servers.

Was europäische Aufsichtsbehörden tatsächlich durchsetzen

Die Durchsetzung beschleunigt sich. Hier sind reale Beispiele:

  • Österreichs Datenschutzbehörde (DSB) entschied, dass die Nutzung von Google Analytics die DSGVO verletzte, weil Daten ohne angemessene Schutzmaßnahmen in die USA übertragen wurden.
  • Die italienische Garante verhängte eine Geldstrafe gegen ein Unternehmen wegen der Nutzung von Google Analytics und ordnete an, innerhalb von 90 Tagen eine konforme Alternative zu finden.
  • Die französische CNIL kam zu ähnlichen Schlussfolgerungen und hat aktiv US-basierte Cloud-Dienste untersucht, die von französischen öffentlichen Einrichtungen genutzt werden.
  • Deutschlands Bundesländer haben gemeinsam vor der Nutzung von Microsoft 365 in der öffentlichen Verwaltung gewarnt, aufgrund von Bedenken bei der Datenübermittlung.
  • Der Europäische Datenschutzausschuss (EDPB) hat Leitlinien herausgegeben, die betonen, dass technische Maßnahmen allein (Verschlüsselung, Pseudonymisierung) unzureichend sind, wenn der Cloud-Anbieter die Verschlüsselungsschlüssel hält.

Das Muster ist klar: Aufsichtsbehörden bewegen sich von Orientierungshilfen zur Durchsetzung, und US-basierte Cloud-Dienste sind das Hauptziel.

Datenresidenz vs. Datensouveränität

Diese Begriffe werden oft synonym verwendet, bedeuten aber Verschiedenes:

  • Datenresidenz bezieht sich auf den physischen Standort der Daten. „Unsere Daten werden in Frankfurt gespeichert" ist eine Aussage zur Datenresidenz.
  • Datensouveränität bezieht sich auf die Rechtsordnung, die über die Daten herrscht. Ein US-Unternehmen, das ein Rechenzentrum in Frankfurt betreibt, fällt immer noch unter US-Recht (CLOUD Act, FISA).

Echte DSGVO-Konformität erfordert beides: Daten, die physisch in der EU liegen, und von einer Organisation verarbeitet werden, die dem EU-Recht unterliegt — nicht den Gesetzen eines Drittlandes.

Praktische Schritte für europäische Unternehmen

1. Prüfen Sie Ihren aktuellen Cloud-Stack

Erfassen Sie jeden Dienst, der personenbezogene Daten verarbeitet:

  • Wo werden die Daten gespeichert? (Land und Rechenzentrumsstandort)
  • Wer ist der Datenverarbeiter? (In welcher Rechtsordnung sind sie eingetragen?)
  • Welche Unterauftragsverarbeiter nutzen sie? (Viele Cloud-Dienste basieren auf anderen US-basierten Diensten)

2. Bewerten Sie die Übermittlungsmechanismen

Für jede Nicht-EU-Übermittlung:

  • Gibt es einen Angemessenheitsbeschluss für das Empfängerland?
  • Stützen Sie sich auf SCCs? Wenn ja, haben Sie eine Datentransfer-Folgenabschätzung (TIA) durchgeführt?
  • Könnten ausländische Geheimdienste trotz vertraglicher Schutzmaßnahmen auf die Daten zugreifen?

3. Priorisieren Sie europäische Alternativen

Für kritische Workloads mit personenbezogenen Daten sollten Sie eine Migration zu europäischen Anbietern in Betracht ziehen:

Dienst US-basiert Europäische Alternative
Cloud-Hosting AWS, Azure, GCP Hetzner, OVHcloud, Scaleway
E-Mail Google Workspace Tutanota, Proton, Mailbox.org
Analytics Google Analytics Matomo (selbst gehostet), Plausible
Dateispeicher Dropbox, Google Drive Nextcloud (selbst gehostet), Tresorit
CRM/ERP Salesforce Odoo (selbst gehostet in der EU)

4. Überprüfen Sie Verträge und AVVs

Stellen Sie sicher, dass Ihre Auftragsverarbeitungsverträge (AVVs) mit Cloud-Anbietern:

  • Ausschließlich EU-Datenspeicherung festlegen
  • Unterauftragsverarbeitung außerhalb der EU untersagen
  • Prüfrechte einschließen
  • Behördliche Auskunftsersuchen behandeln

5. Planen Sie für die Ungültigerklärung des DPF

Wenn Sie sich derzeit auf das EU-US Data Privacy Framework stützen, haben Sie einen Notfallplan. Wird das DPF gekippt (wie Safe Harbor und Privacy Shield), müssen Sie schnell migrieren oder alternative Übermittlungsmechanismen implementieren.

Das Geschäftsargument für europäische Cloud

Über die Compliance hinaus gibt es praktische geschäftliche Gründe, europäisches Hosting zu wählen:

  • Reduziertes rechtliches Risiko — Keine Exposition gegenüber US-Regierungs-Datenzugriffsanfragen
  • Kundenvertrauen — Europäische Kunden fragen zunehmend, wo ihre Daten gespeichert werden
  • Zugang zum öffentlichen Sektor — Viele EU-Regierungen verlangen Datensouveränität bei der Beschaffung
  • Regulatorische Einfachheit — Keine SCCs, TIAs oder Überwachung von Angemessenheitsbeschlüssen nötig
  • Latenz — Europäische Nutzer von europäischen Rechenzentren aus zu bedienen ist schlichtweg schneller

Es geht nicht nur um die Vermeidung von Bußgeldern

DSGVO-Bußgelder können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen — je nachdem, welcher Betrag höher ist. Aber die wahren Kosten der Nicht-Konformität sind oft reputationsbedingt. Eine öffentliche Durchsetzungsmaßnahme, ein Datenleck bei grenzüberschreitenden Übermittlungen oder der Verlust eines Regierungsauftrags, weil Sie keine Datensouveränität nachweisen können — das sind die Risiken, die Compliance-Beauftragte nachts wach halten.

Der sicherste Weg ist auch der einfachste: Hosten Sie Ihre Daten bei einem europäischen Anbieter, auf europäischer Infrastruktur, unter europäischem Recht.

Wie Alplink dieses Problem löst

Alplink bietet vollständig verwaltetes Cloud-Hosting ausschließlich auf europäischer Infrastruktur, betrieben von einem europäischen Unternehmen unter EU-Recht. Es gibt keine US-Muttergesellschaften, keine CLOUD-Act-Exposition und keine Unterauftragsverarbeiter außerhalb der EU. Ihre Daten bleiben in Europa — rechtlich und physisch. Wir kümmern uns um die Infrastruktur, Sicherheit und Compliance, damit Sie sich auf Ihr Geschäft konzentrieren können, ohne sich um das nächste Schrems-Urteil sorgen zu müssen. Entdecken Sie das souveräne Cloud-Hosting von Alplink.