DSGVO und EU-Datenhosting: Was Sie wissen mĂŒssen
Wenn es um die Wahl einer Cloud-Plattform oder einer Video-Communications-API geht, taucht immer wieder eine Frage auf: Verlangt die DSGVO, dass Daten physisch in der EuropÀischen Union (EU) gespeichert werden?
Wenn Sie Anbieter im Bereich SaaS, Gesundheitswesen, Bildung oder öffentlicher Sektor vergleichen, bietet dieser Artikel Klarheit und hilft Ihnen, die richtige Entscheidung zu treffen. Wir erklĂ€ren die rechtlichen Vorgaben in einfacher Sprache, erlĂ€utern SchlĂŒsselbegriffe wie Datenlokalisierung und Gerichtsbarkeit und unterstĂŒtzen Sie dabei, eine fundierte Entscheidung zu treffen, die rechtliche Risiken minimiert, ohne Ihre IT-Landschaft unnötig zu verkomplizieren oder zusĂ€tzliche Kosten zu verursachen.
Der Standort von Daten ist mittlerweile ein zentraler Entscheidungsfaktor fĂŒr Compliance-Beauftragte, CTOs und Produktverantwortliche â insbesondere in Branchen, die mit sensiblen oder regulierten Informationen arbeiten. Da Regierungen, Aufsichtsbehörden und Nutzer:innen höhere Standards an Datenschutz und Verantwortlichkeit verlangen, kann die Wahl des falschen Anbieters zu versteckten rechtlichen Risiken und betrieblichen Problemen fĂŒhren. Umso wichtiger ist es, den Zusammenhang zwischen DSGVO, Serverstandort und Gerichtsbarkeit â sowohl auf europĂ€ischer als auch auf nationaler Ebene â zu verstehen.
Inhaltsverzeichnis
- DSGVO und Serverstandort: Was das Gesetz tatsÀchlich sagt
- Warum also bevorzugen so viele Organisationen EU-only-Hosting?
- AngemessenheitsbeschlĂŒsse: Die âWhitelistâ sicherer LĂ€nder
- EU-Hosting = keine Transfers = kein Risiko
- Datenresidenz, Gerichtsbarkeit und SouverÀnitÀt: was das praktisch bedeutet
- Welche Risiken bergen DatenĂŒbermittlungen in DrittlĂ€nder?
- Ein EU-basierter Anbieter: der Weg des geringsten Widerstands
- Warum Digital Samba die sicherere, smartere Wahl ist
- Also: Verlangt die DSGVO wirklich, dass Daten in der EU gespeichert werden?
- Fazit
- FAQs
DSGVO und Serverstandort: Was das Gesetz tatsÀchlich sagt
Beginnen wir mit der Kernfrage:
Verlangt die DSGVO, dass personenbezogene Daten ausschlieĂlich in der EU gespeichert werden?
Nein, die DSGVO schreibt nicht vor, dass Daten zwingend physisch innerhalb der EuropĂ€ischen Union liegen mĂŒssen. Allerdings reguliert sie sehr streng jede Ăbermittlung personenbezogener Daten in LĂ€nder auĂerhalb des EuropĂ€ischen Wirtschaftsraums (EWR).
Dieser Unterschied ist entscheidend und wird leicht missverstanden: Sie sind rechtlich nicht verpflichtet, ausschlieĂlich EU-Server zu nutzen. Aber in dem Moment, in dem Sie personenbezogene Daten auĂerhalb des EWR speichern oder verarbeiten â oder einen Zugriff von auĂen ermöglichen â greift Kapitel V der DSGVO (Artikel 44â50).
Diese Vorschriften sollen sicherstellen, dass das in der EU garantierte Datenschutzniveau auch dann erhalten bleibt, wenn Daten ĂŒber die Grenzen hinaus ĂŒbertragen werden.
Rechtliche Grundlage
Ein Blick auf die wichtigsten Regelungen aus Kapitel V der DSGVO:
- Artikel 44 â Allgemeiner Grundsatz fĂŒr DatenĂŒbermittlungen
âJede Ăbermittlung personenbezogener Daten, die einer Verarbeitung unterliegt oder nach der Ăbermittlung einer Verarbeitung unterzogen werden soll, in ein Drittland ⊠darf nur erfolgen, wenn ⊠die in diesem Kapitel festgelegten Bedingungen eingehalten werden.â
- Artikel 45 â Ăbermittlungen auf Grundlage eines Angemessenheitsbeschlusses
Ăbermittlungen sind erlaubt in LĂ€nder, die von der EuropĂ€ischen Kommission als âangemessenâ eingestuft wurden, d. h. deren Datenschutzniveau als vergleichbar mit dem der EU gilt.
- Artikel 46 â Ăbermittlungen mit geeigneten Garantien
Liegt kein Angemessenheitsbeschluss vor, können DatenĂŒbermittlungen dennoch erfolgen, z. B. durch:
-
Standardvertragsklauseln (SCCs): von der EU vorab genehmigte Vertragsmuster, die beide Seiten rechtlich verpflichten, EU-Datenschutzstandards einzuhalten.
-
Verbindliche interne Datenschutzvorschriften (BCRs): konzerninterne Regelwerke, die von Aufsichtsbehörden genehmigt werden und konzernweite DatenĂŒbertragungen ermöglichen.
- Artikel 49 â Ausnahmen fĂŒr besondere FĂ€lle
Dazu gehören z. B. die ausdrĂŒckliche Einwilligung der betroffenen Person oder die Notwendigkeit zur VertragserfĂŒllung. Diese Ausnahmen sind jedoch nur fĂŒr EinzelfĂ€lle gedacht â nicht fĂŒr den regelmĂ€Ăigen, dauerhaften Betrieb.
Warum bevorzugen also so viele Organisationen EU-only-Hosting?
Weil selbst dann, wenn Daten physisch in der EU gespeichert werden â sofern der Dienstleister in einem nicht angemessenen Drittland ansĂ€ssig ist (z. B. in den USA) â, die DSGVO dies als eingeschrĂ€nkte DatenĂŒbermittlung behandelt.
Diese Rechtsauffassung wurde durch das Schrems II-Urteil (EuGH, Rechtssache C-311/18, 2020) bekrĂ€ftigt, das das EUâUS Privacy Shield fĂŒr ungĂŒltig erklĂ€rte. Das Gericht stellte fest, dass:
-
die US-Ăberwachungsgesetze (z. B. FISA Section 702, die US-Geheimdiensten Zugriff auf elektronische Kommunikation von Nicht-US-BĂŒrger:innen ohne richterliche Anordnung ermöglicht, sowie Executive Order 12333, die weitreichende AuslandsaufklĂ€rung erlaubt) EU-BĂŒrger:innen keine ausreichenden Rechtsbehelfe bieten.
-
und dass daher Ăbermittlungen an US-basierte Anbieter â selbst unter Nutzung von Standardvertragsklauseln (SCCs) â kein angemessenes Schutzniveau gewĂ€hrleisten können.
Die Konsequenz:
-
SCCs allein sind nicht ausreichend.
-
Verantwortliche mĂŒssen ein Transfer Impact Assessment (TIA) durchfĂŒhren â also eine dokumentierte Bewertung, ob die Gesetze und Praktiken im EmpfĂ€ngerland das nach der DSGVO geforderte Datenschutzniveau gefĂ€hrden könnten.
-
Gegebenenfalls sind zusĂ€tzliche MaĂnahmen (z. B. VerschlĂŒsselung oder Pseudonymisierung) erforderlich.
-
Diese Ăbermittlungen mĂŒssen regelmĂ€Ăig neu bewertet werden, insbesondere bei Ănderungen der Rechtslage im EmpfĂ€ngerland.
FĂŒr viele KMU, öffentliche Einrichtungen und EU-geförderte Projekte bedeutet dies eine erhebliche und dauerhafte Rechts- und Compliance-Belastung.
Angemessenheit: Die âWhitelistâ sicherer LĂ€nder
Der einfachste Weg, den beschriebenen rechtlichen Aufwand zu vermeiden, besteht darin, Daten entweder innerhalb des EWR zu speichern oder sie nur in LĂ€nder zu ĂŒbertragen, die von der EuropĂ€ischen Kommission nach Artikel 45 DSGVO als âangemessenâ eingestuft wurden.
Diese LÀnder gelten als angemessen, weil ihre nationalen Gesetze und Durchsetzungsmechanismen ein Datenschutzniveau gewÀhrleisten, das im Wesentlichen dem der EU entspricht.
Stand 2025 umfasst die Liste der LÀnder mit einem uneingeschrÀnkten Angemessenheitsbeschluss:
- Andorra
- Argentinien
- Kanada (kommerzielle Organisationen)
- FÀröer-Inseln
- Guernsey
- Israel
- Isle of Man
- Japan
- Jersey
- Neuseeland
- Republik Korea
- Schweiz
- Vereinigtes Königreich
- Uruguay
Die USA stehen nicht auf dieser Liste. Zwar wird derzeit ein neues Angemessenheitsabkommen â das EUâUS Data Privacy Framework â diskutiert, doch seine langfristige TragfĂ€higkeit bleibt aufgrund erwartbarer rechtlicher Anfechtungen ungewiss.
EU-Hosting = keine Ăbermittlungen = kein Risiko
Wenn Sie einen Anbieter wÀhlen, der:
- sÀmtliche personenbezogenen Daten innerhalb der EU hostet,
- vollstÀndig im Eigentum steht und unter EU-Gerichtsbarkeit betrieben wird,
- keine Subunternehmer aus DrittlÀndern einsetzt,
dann greift Kapitel V der DSGVO ĂŒberhaupt nicht. Es liegt im rechtlichen Sinne keine âĂbermittlungâ vor â daher gilt:
- Keine Standardvertragsklauseln (SCCs) notwendig
- Kein Transfer Impact Assessment (TIA) notwendig
- Keine zusĂ€tzlichen technischen MaĂnahmen erforderlich
- Kein Risiko der UngĂŒltigkeit durch auslĂ€ndische Ăberwachungsgesetze
Szenarienvergleich
Szenario | Rechtliches Risiko | Compliance-Aufwand |
---|---|---|
EU-gehosteter, EU-eigener Anbieter | đą Niedrig | đą Minimal |
EU-gehosteter, US-eigener Anbieter | đŽ Hoch | đŽ Erfordert SCC + TIA + zusĂ€tzliche MaĂnahmen |
US-gehosteter, US-eigener Anbieter | đŽ Sehr hoch | đŽ Umfangreich |
Ăbermittlungen in âangemesseneâ LĂ€nder | đĄ Mittel | đĄ Dokumentationspflicht bleibt bestehen |
Ăbermittlungen nach Art. 49 DSGVO-Ausnahmen | đŽ Hoch | đŽ Nur fĂŒr AusnahmefĂ€lle zulĂ€ssig |
Auch wenn die DSGVO kein EU-Hosting zwingend vorschreibt, ist die Speicherung innerhalb des EWR und unter EU-Gerichtsbarkeit mit Abstand der einfachste und sicherste Weg â besonders fĂŒr regulierte Branchen und risikosensible Organisationen.
Datenresidenz, Gerichtsbarkeit und SouverÀnitÀt: was sie in der Praxis bedeuten
Die drei Begriffe Datenresidenz, Gerichtsbarkeit und DatensouverĂ€nitĂ€t werden oft verwechselt oder synonym verwendet. FĂŒr Ihre Compliance-Strategie ist es jedoch wichtig, die Unterschiede klar zu verstehen.
Begriff | Bedeutung | Warum es wichtig ist |
---|---|---|
Datenresidenz | Wo Ihre Daten physisch gespeichert sind | Beeinflusst rechtliche Risiken und lokale Datenschutzvorgaben |
Gerichtsbarkeit | Welches Land und welche Behörden rechtlich Zugriff auf die Daten haben | Bestimmt, ob Ihre Daten ausschlieĂlich dem EU-Recht oder auch auslĂ€ndischen Ăberwachungsgesetzen unterliegen |
DatensouverĂ€nitĂ€t | Grundsatz, dass Daten den Gesetzen des Landes unterliegen, in dem sie gespeichert sind | Besonders wichtig fĂŒr den öffentlichen Sektor, das Gesundheitswesen und DSGVO-konforme Prozesse |
Beispiel
Wenn Ihr Anbieter auĂerhalb des EuropĂ€ischen Wirtschaftsraums (EWR) ansĂ€ssig ist oder anderweitig einem Drittlandsrecht unterliegt, behandelt die DSGVO dies als eingeschrĂ€nkte Ăbermittlung â selbst wenn die Server physisch innerhalb der EU stehen.
Beispiel: Ein US-Unternehmen betreibt Rechenzentren in Deutschland:
- Physisch: Ihre Daten verlassen die EU nicht (Residenz in Deutschland).
- Rechtlich: Der Anbieter unterliegt dennoch der US-Gerichtsbarkeit, einschlieĂlich Gesetzen wie dem CLOUD Act oder FISA Section 702, die US-Behörden den Zugriff auf EU-Kundendaten ermöglichen.
- DSGVO-Perspektive: Die Daten gelten als gefĂ€hrdet durch auslĂ€ndischen Zugriff, sodass Kapitel V (Artikel 44â50) Anwendung findet.
Das bedeutet: Sie mĂŒssten auf Standardvertragsklauseln (Art. 46 DSGVO) zurĂŒckgreifen, ein Transfer Impact Assessment durchfĂŒhren und zusĂ€tzliche SchutzmaĂnahmen umsetzen.
Daher hört man in Compliance-Teams oft den Satz:
âEs kommt nicht nur darauf an, wo die Server stehen â sondern wer sie kontrolliert.â
Im Gegensatz dazu: Wenn Ihr Anbieter sowohl gehostet als auch im Eigentum unter EU-Gerichtsbarkeit betrieben wird, greifen keine Drittlandsgesetze, und es gelten keine Ăbermittlungsregeln. Genau deshalb beseitigen EU-eigene und EU-betriebene Anbieter (wie Digital Samba) diese KomplexitĂ€t vollstĂ€ndig.
Das macht reine EU-Gerichtsbarkeit und Eigentum fĂŒr bestimmte Branchen unverzichtbar.
Welche Risiken bergen DatenĂŒbermittlungen in DrittlĂ€nder?
Artikel 44 DSGVO und das Schrems II-Urteil von 2020 machen unmissverstÀndlich klar:
Die Ăbermittlung personenbezogener Daten auĂerhalb der EU ist hoch riskant, sofern das EmpfĂ€ngerland kein angemessenes Schutzniveau bietet.
Zentrale rechtliche und operative Risiken:
Zugriff durch auslĂ€ndische Ăberwachungsbehörden
US-Anbieter können gesetzlich verpflichtet werden, Nutzerdaten herauszugeben â auch wenn diese physisch in Europa gespeichert sind.
â Dies untergrĂ€bt die Vertraulichkeitsgarantien der DSGVO, insbesondere in sensiblen Bereichen wie Gesundheitswesen oder Bildung.
Komplexe Dokumentationspflichten
FĂŒr jede Ăbermittlung sind Standardvertragsklauseln (SCCs), Risikoanalysen und Nachweise technischer SchutzmaĂnahmen erforderlich.
â Das erfordert hĂ€ufig juristisches Fachwissen und verursacht wiederkehrenden Verwaltungsaufwand, mit dem kleinere Teams oft ĂŒberfordert sind.
Rechtliche Unsicherheit und RĂŒckabwicklungen
Das âPrivacy Shieldâ wurde fĂŒr ungĂŒltig erklĂ€rt; auch Nachfolgeabkommen wie das EUâUS Data Privacy Framework stehen unter stĂ€ndiger juristischer PrĂŒfung.
â Wer sich darauf verlĂ€sst, riskiert Compliance-Probleme, sobald Gerichte diese Mechanismen erneut fĂŒr unzureichend erklĂ€ren.
EinschrÀnkungen bei Ausschreibungen
Ăffentliche Vergaben und EU-finanzierte Projekte verlangen hĂ€ufig ausschlieĂlich EU-Hosting und EU-Gerichtsbarkeit.
â Ein nicht-europĂ€ischer Anbieter kann Sie von Ausschreibungen ausschlieĂen oder langwierige Ausnahmegenehmigungen erforderlich machen.
Verlust von Nutzervertrauen
In sensiblen Branchen kann die Speicherung unter auslÀndischer Kontrolle das Vertrauen in Ihre Plattform erheblich beeintrÀchtigen.
â Kunden, Studierende oder Patienten könnten zögern, wenn kein klarer Schutz nach europĂ€ischen Standards gewĂ€hrleistet ist.
Fazit:
GrenzĂŒberschreitende Ăbermittlungen sind nicht grundsĂ€tzlich illegal, aber sie sind aufwendig, anfĂ€llig und oft unvereinbar mit praktischen Compliance-Anforderungen.
FĂŒr viele Organisationen ist daher ein EU-gehosteter und EU-eigener Anbieter die langfristig sicherste und rechtlich stabilste Lösung.
Die Wahl eines EU-basierten Anbieters: der Weg des geringsten Widerstands
Ăbersetzen wir all das zuvor Gesagte in praktische Entscheidungsgrundlagen.
Bei der Bewertung von Cloud-, Video- oder Kommunikationsanbietern vereinfachen vollstÀndig in der EU gehostete Plattformen die Compliance auf folgende Weise:
Keine SCCs oder TIAs erforderlich
Es sind weder zusĂ€tzliche VertrĂ€ge (Standardvertragsklauseln) noch Transfer Impact Assessments notwendig â denn es findet ĂŒberhaupt keine DatenĂŒbermittlung auĂerhalb der EU statt.
â Das reduziert Ihre rechtliche Arbeitslast erheblich und beschleunigt Beschaffung wie Integration.
AusschlieĂlich EU-Gerichtsbarkeit
Ihre Daten sind vor auĂereuropĂ€ischen Gesetzen wie dem US CLOUD Act oder FISA geschĂŒtzt.
â Damit haben ausschlieĂlich EU-Gerichte und Datenschutzbehörden rechtliche ZustĂ€ndigkeit fĂŒr die personenbezogenen Daten Ihrer Nutzer.
Schnellere Anbieterauswahl und Due Diligence
Beschaffung und Vergabeprozesse werden einfacher, wenn der Anbieter vollstÀndig im EWR angesiedelt und an EU-Recht gebunden ist.
â So lassen sich Compliance-PrĂŒfungen verschlanken, und Sie können die Einhaltung von DSGVO und nationalem Recht sicher nachweisen.
Geringere rechtliche AufwÀnde
Sie reduzieren den Zeit- und Kostenaufwand fĂŒr Compliance-Themen und schaffen FreirĂ€ume fĂŒr tatsĂ€chliche Innovation.
â Besonders wertvoll fĂŒr KMU und Startups mit begrenzten Rechts- oder Datenschutzressourcen.
Bessere Passung fĂŒr öffentliche und regulierte Sektoren
Gesundheitsplattformen, EdTech-Lösungen und öffentliche Institutionen verlangen in Ausschreibungen zunehmend EU-only Anbieter.
â Mit einem EU-Anbieter qualifizieren Sie sich direkt fĂŒr datenschutzsensible AuftrĂ€ge â ganz ohne Sonderausnahmen fĂŒr DatenĂŒbermittlungen.
Warum Digital Samba die sicherere und klĂŒgere Wahl ist
Bei Digital Samba haben wir unsere Plattform von Grund auf so entwickelt, dass sie den Anforderungen von EU-basierten Teams gerecht wird â insbesondere solcher, die mit sensiblen oder regulierten Daten arbeiten.
Das unterscheidet uns:
VollstÀndig in der EU gehostet
SĂ€mtliche Video-, Speicher- und API-DatenflĂŒsse werden ausschlieĂlich in europĂ€ischen Rechenzentren verarbeitet, die sich im Besitz von EU-Unternehmen befinden.
AusschlieĂlich europĂ€ische Gerichtsbarkeit
Wir sind ein europÀisches Unternehmen. Das bedeutet: Ihre Daten unterliegen niemals auslÀndischen Zugriffsgesetzen.
Keine DatenĂŒbermittlungen in DrittlĂ€nder â niemals
Unsere Infrastruktur und unser Betrieb stĂŒtzen sich nicht auf auĂereuropĂ€ische Sub-Prozessoren oder Cloud-Anbieter.
Compliance ohne KomplexitÀt
Mit Digital Samba entfallen:
- Standardvertragsklauseln (SCCs)
- Transfer Impact Assessments (TIAs)
- Unnötige rechtliche PrĂŒfungen
VertrauenswĂŒrdig fĂŒr EdTech, Gesundheitswesen und öffentlichen Sektor
Wir arbeiten mit Organisationen, die Wert auf Datenschutz, SouverÀnitÀt und vollstÀndige Transparenz legen.
Ob Sie ein virtuelles Klassenzimmer aufbauen, eine sichere Telemedizin-App betreiben oder Ihre Kommunikationsinfrastruktur migrieren möchten â wir nehmen Ihnen die rechtlichen Unsicherheiten ab.
Also: Verlangt die DSGVO, dass Daten in der EU gespeichert werden?
Nicht direkt â aber in der Praxis ja, fĂŒr viele AnwendungsfĂ€lle.
Zwar erlaubt die Verordnung internationale DatenĂŒbermittlungen unter strengen Bedingungen, doch diese sind in rechtlich nachhaltiger Weise kaum noch erfĂŒllbar.
Wenn Sie mit sensiblen Daten arbeiten, in einer regulierten Branche tĂ€tig sind oder an öffentlich geförderten EU-Projekten beteiligt sind, ist die Wahl eines in der EU gehosteten und unter EU-Recht betriebenen Anbieters mehr als nur eine Compliance-AbkĂŒrzung â es ist ein strategischer Vorteil.
Fazit
Da sich die Landschaft des Datenschutzes stetig weiterentwickelt, sind Klarheit und Einfachheit entscheidend. Die Wahl von Anbietern, die mit den Werten, Gesetzen und der Rechtsprechung der EU im Einklang stehen, geht ĂŒber das bloĂe ErfĂŒllen von Checklisten hinaus â es geht darum, Vertrauen zu schaffen und langfristige WiderstandsfĂ€higkeit sicherzustellen.
Ob als Product Owner, IT-Verantwortlicher oder Compliance Officer: Die ausschlieĂliche Datenhaltung innerhalb der EU beseitigt rechtliche Unsicherheiten, vereinfacht das Lieferantenmanagement und schĂŒtzt Ihre Nutzer.
Digital Samba unterstĂŒtzt Sie dabei mit einer Privacy-First-Infrastruktur, die vollstĂ€ndig in der EU gehostet wird â entwickelt fĂŒr Teams, die Wert auf Compliance und Vertrauen legen.
Buchen Sie eine Demo und erleben Sie, wie einfach Datenschutz sein kann.
FAQs: DSGVO, Datenstandort und Hosting
Was ist der Unterschied zwischen Data Residency und Jurisdiktion?
Data Residency bezeichnet den physischen Speicherort der Daten â oft als âDSGVO-Anforderung an den Datenstandortâ beschrieben. Jurisdiktion bezieht sich darauf, welche Behörden rechtlich auf diese Daten zugreifen dĂŒrfen. Beide Faktoren sind entscheidend fĂŒr die DSGVO-Compliance und beeinflussen direkt die DatensouverĂ€nitĂ€t in der EU.
Kann ich einen US-Anbieter nutzen, wenn er Daten in Europa speichert?
Technisch ja, aber es ist riskant. Auch wenn der physische Speicherort die DSGVO-Anforderungen erfĂŒllt, kann der US CLOUD Act weiterhin gelten. Zudem sind zusĂ€tzliche VertrĂ€ge und PrĂŒfungen erforderlich, um DSGVO-konform zu bleiben.
Reichen Standardvertragsklauseln (SCCs) aus, um DSGVO-konform zu sein?
SCCs sind ein gĂŒltiger Mechanismus, aber nur in Verbindung mit einer Transfer Impact Assessment (TIA) und gegebenenfalls zusĂ€tzlichen MaĂnahmen. Das macht die Einhaltung der DSGVO-Anforderungen an Datenspeicherung und internationale Transfers deutlich komplexer.
Ist Digital Samba fĂŒr den öffentlichen Sektor geeignet?
Ja. Digital Samba wird vollstĂ€ndig in der EU gehostet und betrieben. Wir erfĂŒllen die DSGVO-Anforderungen an Rechenzentren sowie die Beschaffungsrichtlinien fĂŒr Bildung, Gesundheitswesen, Behörden und EU-geförderte Projekte.
Welche Branchen profitieren am meisten von rein EU-basiertem Hosting?
Gesundheitswesen, Bildung, öffentlicher Sektor, Rechts- und Finanzwesen â sowie jede Organisation, die sensible Daten verarbeitet oder EU-BĂŒrgern dient, wo Anforderungen an Datenlokalisierung besonders kritisch sind.
Wie finde ich heraus, ob mein aktueller Anbieter unter Drittstaat-Jurisdiktion fÀllt?
PrĂŒfen Sie die EigentĂŒmerstruktur, die Liste der Subunternehmer und die DatenverarbeitungsvertrĂ€ge. Wenn der Anbieter US-basiert ist, können trotz EU-Servern auslĂ€ndische Gesetze gelten.
Spielt der geografische Standort meiner Daten eine Rolle?
Ja. Die DSGVO verlangt zwar nicht zwingend eine Speicherung in der EU, aber personenbezogene Daten aus der EU mĂŒssen immer nach DSGVO-Standards geschĂŒtzt werden. In der Praxis bevorzugen viele Branchen dennoch ein rein EU-basiertes Hosting, um auslĂ€ndisches Recht auszuschlieĂen und die Compliance zu vereinfachen.
- Court of Justice of the European Union. (2020). Judgment of the Court (Grand Chamber) of 16 July 2020, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Case C-311/18 (Schrems II).
- Digital Samba. (2025). Data Privacy and Data Security.
- Digital Samba. (2025). Legal Information.
- European Commission. (n.d.). Adequacy decisions.
- European Commission. (n.d.). Transfer of personal data to third countries.
- European Data Protection Board. (2021). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Version 2.0).
- European Union. (2016). General Data Protection Regulation (EU) 2016/679.
- Executive Order No. 12333, 3 C.F.R. 200 (1981).
- U.S. Congress. (2018). Clarifying Lawful Overseas Use of Data Act (CLOUD Act), 18 U.S.C. § 2713.
- U.S. Foreign Intelligence Surveillance Act of 1978, 50 U.S.C. § 1881a (FISA Section 702).