Datenhosting in Europa: Warum es wichtig ist
Datenhosting in Europa: Kein Luxus, sondern geschäftliche Notwendigkeit
Wo werden die Daten Ihrer Kunden gehostet? Wenn Sie diese Frage nicht mit Sicherheit beantworten können, haben Sie ein Problem. Und wenn die Antwort “irgendwo in den USA, bei AWS oder Google Cloud” lautet, haben Sie ein noch größeres Problem.
Datenhosting in Europa ist keine ideologische Frage und kein Marketing-Gag. Es ist eine juristische Notwendigkeit, eine Anforderung Ihrer Kunden und ein Wettbewerbsvorteil. In diesem Artikel erfahren Sie, warum — mit konkreten Bezügen zum deutschen Rechtsrahmen, realen Risiken und praktischen Alternativen.
Das Problem: Der US CLOUD Act
Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act), 2018 vom US-Kongress verabschiedet, ermächtigt US-Behörden, von jedem amerikanischen Unternehmen die Herausgabe kontrollierter Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind.
Konkret: Wenn Sie die Daten Ihrer europäischen Kunden bei AWS, Microsoft Azure oder Google Cloud hosten, kann die US-Regierung legal auf diese Daten zugreifen — selbst wenn sie in einem Rechenzentrum in Frankfurt oder München liegen.
Das ist keine theoretische Möglichkeit. Das ist geltendes US-Recht.
Die Reichweite wird unterschätzt
Der CLOUD Act betrifft nicht nur die großen Hyperscaler. Jedes US-amerikanische Unternehmen — auch ein kleines SaaS-Start-up aus San Francisco, das Ihnen ein Projektmanagement-Tool bereitstellt — unterliegt potenziell dem CLOUD Act. Wenn dieses Unternehmen Daten für Sie hostet oder kontrolliert, kann die US-Regierung darauf zugreifen, ohne Sie zu informieren. Der CLOUD Act sieht keine Benachrichtigungspflicht gegenüber dem europäischen Unternehmen vor, dessen Daten betroffen sind.
Die fundamentale Unvereinbarkeit mit der DSGVO
Artikel 48 der DSGVO verbietet die Übermittlung personenbezogener Daten an ein Drittland aufgrund einer gerichtlichen oder behördlichen Entscheidung dieses Landes — es sei denn, es gibt ein internationales Abkommen. Der CLOUD Act stützt sich auf kein von der EU anerkanntes internationales Abkommen.
Die Gleichung ist unlösbar: US-Unternehmen sind gesetzlich verpflichtet, Daten herauszugeben (CLOUD Act), und gleichzeitig gesetzlich daran gehindert, sie zu übermitteln (DSGVO). Und das Risiko trägt das europäische Kundenunternehmen.
Schrems II und die Folgen
Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das Privacy Shield im Urteil “Schrems II” für ungültig. Der Grund: Die US-Überwachungsprogramme (insbesondere Section 702 des FISA) gewährleisten kein der DSGVO gleichwertiges Schutzniveau.
Die Geschichte wiederholt sich
- 2015 — Schrems I: Safe Harbor für ungültig erklärt
- 2020 — Schrems II: Privacy Shield für ungültig erklärt
- 2023 — EU-US Data Privacy Framework: Neue Angemessenheitsentscheidung, gestützt auf Executive Order 14086
Jede Invalidierung hat Unternehmen, die ihre Datenstrategie auf diese Rahmenwerke gestützt hatten, über Nacht in die Nicht-Konformität gestürzt.
Das EU-US Data Privacy Framework: Wie stabil ist es?
Das im Juli 2023 verabschiedete EU-US Data Privacy Framework steht bereits unter Druck:
- noyb (die Organisation von Max Schrems) hat angekündigt, das Framework vor dem EuGH anzufechten
- Das Gericht der EU hat eine erste Klage 2025 abgewiesen, aber der Rechtsweg zum EuGH bleibt offen
- Max Schrems hat öffentlich darauf hingewiesen, dass Veränderungen bei US-Kontrollinstanzen (PCLOB, FTC) die EU-Kommission dazu zwingen könnten, das Framework von sich aus auszusetzen
- Ein EuGH-Urteil Ende 2025 oder Anfang 2026 könnte das Data Privacy Framework invalidieren — wie zuvor Safe Harbor und Privacy Shield
Für deutsche Unternehmen bedeutet das: Wer seine Datenstrategie auf ein so instabiles rechtliches Fundament baut, geht ein erhebliches Risiko ein. Beim dritten Mal sollte die Lektion gelernt sein.
Deutsches Recht: Zusätzliche Anforderungen
Deutschland hat über die DSGVO hinaus eigene Anforderungen an IT-Sicherheit und Datenhosting, die europäisches Hosting noch dringlicher machen.
IT-Sicherheitsgesetz 2.0 und KRITIS
Das IT-Sicherheitsgesetz 2.0, seit Mai 2021 in Kraft, hat die Anforderungen an Betreiber Kritischer Infrastrukturen (KRITIS) massiv verschärft. Betroffen sind unter anderem Energie, Wasser, Gesundheit, Transport, Ernährung, Finanzwesen und Telekommunikation — sowie seit 2021 auch die Abfallentsorgung und Unternehmen im besonderen öffentlichen Interesse.
Die Konsequenzen für das Hosting:
- KRITIS-Betreiber müssen IT-Sicherheitsmaßnahmen nachweisen, die dem Stand der Technik entsprechen
- Die Nutzung kritischer Komponenten von nicht vertrauenswürdigen Herstellern kann untersagt werden
- Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes
NIS2-Umsetzung in Deutschland
Die EU-Richtlinie NIS2 wurde 2025 in Deutschland umgesetzt und betrifft einen deutlich erweiterten Kreis von Unternehmen: von zuvor rund 2.000 auf über 30.000 betroffene Organisationen. Viele mittelständische Unternehmen fallen erstmals unter die strengen IT-Sicherheitsanforderungen.
Relevanz für das Datenhosting: NIS2 verlangt ein angemessenes Risikomanagement für die gesamte Lieferkette — einschließlich Cloud-Anbieter und Hosting-Dienstleister. Die Nutzung von Anbietern, die außereuropäischem Recht unterliegen, wird zum dokumentierpflichtigen Risiko.
KRITIS-Dachgesetz
Im März 2026 ist das KRITIS-Dachgesetz in Kraft getreten, das erstmals sektorübergreifende Mindeststandards für die physische Resilienz Kritischer Infrastrukturen festlegt. Es ergänzt das IT-Sicherheitsgesetz um Anforderungen an die physische Sicherheit — und macht europäisches Hosting für KRITIS-Betreiber praktisch zur Pflicht.
Was die DSGVO zu Drittlandübermittlungen sagt
Kapitel V der DSGVO (Artikel 44 bis 49) regelt Transfers personenbezogener Daten in Drittländer streng.
Zulässige Übermittlungsmechanismen
-
Angemessenheitsbeschluss (Artikel 45): Wenn die EU-Kommission entscheidet, dass ein Drittland ein angemessenes Datenschutzniveau bietet. Für die USA: das EU-US Data Privacy Framework — dessen Stabilität, wie gezeigt, fraglich ist.
-
Standardvertragsklauseln (SCCs) (Artikel 46): Vertragliche Garantien zwischen Datenexporteur und -importeur. Nach Schrems II müssen diese durch ein Transfer Impact Assessment (TIA) ergänzt werden, das prüft, ob das Recht des Empfängerlandes die Wirksamkeit der SCCs untergräbt.
-
Binding Corporate Rules (BCRs) (Artikel 47): Konzerninterne Datenschutzregeln, die von einer Aufsichtsbehörde genehmigt werden. Aufwändig und nur für Unternehmensgruppen relevant.
-
Ausnahmen (Artikel 49): Ausdrückliche Einwilligung, Vertragserfüllung, wichtige Gründe des öffentlichen Interesses. Diese Ausnahmen sind eng auszulegen und nicht für systematische Datenübermittlungen gedacht.
Die Realität nach Schrems II
Die deutschen Aufsichtsbehörden — insbesondere der LfDI Baden-Württemberg und der BayLDA — haben klargestellt, dass Standardvertragsklauseln allein nicht ausreichen, wenn das Recht des Empfängerlandes (z. B. FISA Section 702, CLOUD Act) den Schutz der übermittelten Daten untergräbt. In der Praxis bedeutet das: Für viele Übermittlungen in die USA gibt es derzeit keinen vollständig rechtssicheren Mechanismus.
Die wirtschaftlichen Argumente für europäisches Hosting
Neben den rechtlichen Gründen gibt es handfeste wirtschaftliche Argumente für Datenhosting in Europa.
Wettbewerbsvorteil im B2B-Geschäft
Immer mehr deutsche Unternehmen — insbesondere im Mittelstand — fordern von ihren Dienstleistern den Nachweis, dass Daten in Europa verarbeitet werden. Bei Ausschreibungen und Vergabeverfahren ist europäisches Hosting zunehmend ein K.-o.-Kriterium.
Reduzierte Compliance-Kosten
Wenn alle Daten in Europa bleiben, entfallen Transfer Impact Assessments, ergänzende Schutzmaßnahmen für Drittlandübermittlungen und die ständige Überwachung der Rechtslage in Drittländern. Das spart nicht nur Rechtsberatungskosten, sondern auch internen Aufwand.
Schutz vor regulatorischer Unsicherheit
Wer heute auf europäisches Hosting setzt, muss nicht befürchten, dass ein EuGH-Urteil über Nacht die gesamte Datenstrategie über den Haufen wirft. Daten in Europa bleiben in Europa — unabhängig davon, welches Transferabkommen als nächstes fällt.
Latenz und Performance
Für europäische Nutzer bieten europäische Rechenzentren kürzere Latenzen und schnellere Ladezeiten. Das verbessert die Nutzererfahrung und die Core Web Vitals — ein Faktor, der auch für SEO relevant ist.
Die europäische Cloud-Landschaft
51 Prozent der deutschen Unternehmen sehen sich laut einer aktuellen Erhebung als stark abhängig von US-Importen digitaler Technologien — ein Anstieg von zehn Prozentpunkten seit Anfang 2025. Gleichzeitig wächst der europäische Cloud-Markt: 2025 verzeichnete er ein Wachstum von 24 Prozent, wobei europäische Anbieter überproportional vom Souveränitätstrend profitieren.
Gaia-X: Das europäische Ökosystem
Gaia-X ist kein Cloud-Anbieter, sondern ein föderiertes Ökosystem mit gemeinsamen Standards und Kontrollmechanismen. Mehrere hundert Cloud-Dienste durchlaufen mittlerweile die Gaia-X-Zertifizierung. Für den deutschen Mittelstand bietet Gaia-X die Möglichkeit, Daten nach europäischen Standards auszutauschen — ohne Abhängigkeit von US-Hyperscalern.
Erfolgreiche Gaia-X-Leuchtturmprojekte zeigen die praktische Relevanz: EuroDaT (europäischer Datentreuhänder), OpenGPT-X mit dem KI-Sprachmodell Teuken-7B, und COOPERANTS für den Luft- und Raumfahrtsektor.
BSI C5: Der deutsche Goldstandard
Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten. Ein C5-Testat — bestätigt durch einen unabhängigen Wirtschaftsprüfer — ist in Deutschland der anerkannte Nachweis für sichere Cloud-Nutzung, insbesondere im öffentlichen Sektor und für KRITIS-Betreiber.
EU Data Act
Der EU Data Act, seit September 2025 vollständig anwendbar, verpflichtet Cloud-Anbieter erstmals dazu, Datenportabilität zu ermöglichen und einen nahtlosen Anbieterwechsel zu unterstützen. Das reduziert das Vendor-Lock-in-Risiko und erleichtert den Umstieg von US-Anbietern auf europäische Alternativen.
Praktische Schritte zum europäischen Hosting
Schritt 1: Bestandsaufnahme Ihrer Datenflüsse
Wo werden welche Daten gespeichert? Welche Dienstleister haben Zugang? Welche davon sind US-Unternehmen oder nutzen US-Infrastruktur? Erstellen Sie eine vollständige Karte Ihrer Datenflüsse — von der Erhebung bis zur Löschung.
Typische Datenflüsse, die oft übersehen werden:
- Web-Analytics (Google Analytics sendet Daten in die USA)
- E-Mail-Marketing (Mailchimp, HubSpot — US-Unternehmen)
- Cloud-Speicher (Google Drive, Dropbox, OneDrive)
- CRM (Salesforce, HubSpot)
- Kundensupport (Zendesk, Intercom)
- Content Delivery Networks (Cloudflare)
Schritt 2: Risikobewertung
Nicht jeder Datenfluss ist gleich kritisch. Priorisieren Sie nach: Art der Daten (personenbezogen? sensibel?), Menge der betroffenen Personen, Risiko bei einer Datenpanne, und regulatorischer Relevanz (KRITIS, NIS2).
Schritt 3: Europäische Alternativen identifizieren
Für nahezu jeden US-Dienst gibt es mittlerweile europäische Alternativen:
| US-Dienst | Europäische Alternative | Bereich |
|---|---|---|
| Google Analytics | Mirage Analytics | Web-Analyse |
| Cookiebot, OneTrust | Cookilio | Consent-Management |
| AWS, Google Cloud | OVHcloud, Scaleway, IONOS | Cloud-Infrastruktur |
| Google Workspace | Nextcloud, Open-Xchange | Kollaboration |
| Mailchimp | Brevo (ehemals Sendinblue) | E-Mail-Marketing |
| Salesforce | EspoCRM, twenty | CRM |
Schritt 4: Migration planen
Der Umstieg muss nicht auf einen Schlag erfolgen. Beginnen Sie mit den Diensten, die das höchste Risiko bergen und die einfachsten Migrationspfade haben. Web-Analytics und Consent-Management sind oft ein guter Startpunkt: geringe Komplexität, sofortige Compliance-Verbesserung, kein Datenverlust.
Schritt 5: Dokumentieren und überwachen
Dokumentieren Sie Ihre Hosting-Entscheidungen als Teil Ihres Datenschutz-Management-Systems. Überprüfen Sie regelmäßig, ob Ihre Dienstleister ihren Standort oder ihre Unterauftragsverarbeiter geändert haben.
DPLIANCE: Souveräne Data- und KI-Lösungen
DPLIANCE entwickelt als Anbieter souveräner Data- und KI-Lösungen Werkzeuge, die konsequent auf europäisches Hosting setzen:
- Mirage Analytics: Web-Analyse ohne Cookies, vollständig in Europa gehostet. Keine Datenübermittlung in Drittländer, kein CLOUD-Act-Risiko, kein Cookie-Banner für das Analytics-Tracking erforderlich.
- Cookilio: DSGVO-konforme Consent-Management-Plattform. Europäisches Hosting, vollständige Kontrolle über Ihre Einwilligungsdaten.
- Complio: Automatisierter Website-Compliance-Audit. Erkennt Datentransfers in Drittländer und identifiziert nicht konforme Tracker und Dienste.
Alle DPLIANCE-Produkte werden auf souveräner europäischer Infrastruktur betrieben — gehostet bei Scaleway, einem französischen Cloud-Anbieter mit Rechenzentren in Frankreich und den Niederlanden.
Häufig gestellte Fragen
Reicht es, wenn mein US-Cloud-Anbieter ein Rechenzentrum in Europa hat?
Nein. Der Standort des Rechenzentrums ist nur ein Faktor. Entscheidend ist, welchem Recht das Unternehmen unterliegt. Ein US-Unternehmen mit einem Rechenzentrum in Frankfurt bleibt dem CLOUD Act unterworfen. Die Daten mögen physisch in Europa liegen, aber der rechtliche Zugriff der US-Behörden besteht weiterhin.
Ist europäisches Hosting teurer als US-Hosting?
Die Preise sind zunehmend wettbewerbsfähig. Europäische Anbieter wie OVHcloud, Scaleway und IONOS bieten oft vergleichbare Leistungen zu ähnlichen oder sogar niedrigeren Preisen. Hinzu kommt: Die eingesparten Compliance-Kosten (Transfer Impact Assessments, Rechtsberatung, Risikomanagement) machen europäisches Hosting oft günstiger in der Gesamtbetrachtung.
Was passiert, wenn das EU-US Data Privacy Framework kippt?
Unternehmen, die Daten auf Basis des Frameworks in die USA übermitteln, müssten sofort auf Standardvertragsklauseln mit Transfer Impact Assessments umsteigen — oder die Übermittlung einstellen. Unternehmen, die bereits auf europäisches Hosting setzen, sind davon nicht betroffen.
Betrifft das IT-Sicherheitsgesetz 2.0 auch KMU?
Direkt betroffen sind primär KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse. Aber: Mit der NIS2-Umsetzung in Deutschland sind seit 2025 über 30.000 Unternehmen betroffen — viele davon im Mittelstand. Und selbst Unternehmen, die nicht direkt unter NIS2 fallen, können als Zulieferer betroffener Unternehmen indirekt verpflichtet sein.
Wie schnell kann ich auf europäisches Hosting umstellen?
Das hängt vom Dienst ab. Web-Analytics und Consent-Management lassen sich innerhalb von Tagen umstellen. Die Migration von Cloud-Infrastruktur, CRM oder E-Mail-Marketing erfordert mehr Planung — typischerweise Wochen bis Monate. Der wichtigste erste Schritt: die Bestandsaufnahme Ihrer aktuellen Datenflüsse.