DSGVO und EU-Datenhosting: Was Sie wissen müssen

Wenn es um die Wahl einer Cloud-Plattform oder einer Video-Communications-API geht, taucht immer wieder eine Frage auf: Verlangt die DSGVO, dass Daten physisch in der Europäischen Union (EU) gespeichert werden?

Wenn Sie Anbieter im Bereich SaaS, Gesundheitswesen, Bildung oder öffentlicher Sektor vergleichen, bietet dieser Artikel Klarheit und hilft Ihnen, die richtige Entscheidung zu treffen. Wir erklären die rechtlichen Vorgaben in einfacher Sprache, erläutern Schlüsselbegriffe wie Datenlokalisierung und Gerichtsbarkeit und unterstützen Sie dabei, eine fundierte Entscheidung zu treffen, die rechtliche Risiken minimiert, ohne Ihre IT-Landschaft unnötig zu verkomplizieren oder zusätzliche Kosten zu verursachen.

Der Standort von Daten ist mittlerweile ein zentraler Entscheidungsfaktor für Compliance-Beauftragte, CTOs und Produktverantwortliche – insbesondere in Branchen, die mit sensiblen oder regulierten Informationen arbeiten. Da Regierungen, Aufsichtsbehörden und Nutzer:innen höhere Standards an Datenschutz und Verantwortlichkeit verlangen, kann die Wahl des falschen Anbieters zu versteckten rechtlichen Risiken und betrieblichen Problemen führen. Umso wichtiger ist es, den Zusammenhang zwischen DSGVO, Serverstandort und Gerichtsbarkeit – sowohl auf europäischer als auch auf nationaler Ebene – zu verstehen.

Inhaltsverzeichnis

1. DSGVO und Serverstandort: Was das Gesetz tatsächlich sagt
2. Warum also bevorzugen so viele Organisationen EU-only-Hosting?
3. Angemessenheitsbeschlüsse: Die „Whitelist“ sicherer Länder
4. EU-Hosting = keine Transfers = kein Risiko
5. Datenresidenz, Gerichtsbarkeit und Souveränität: was das praktisch bedeutet
6. Welche Risiken bergen Datenübermittlungen in Drittländer?
7. Ein EU-basierter Anbieter: der Weg des geringsten Widerstands
8. Warum Digital Samba die sicherere, smartere Wahl ist
9. Also: Verlangt die DSGVO wirklich, dass Daten in der EU gespeichert werden?
10. Fazit
11. FAQs

DSGVO und Serverstandort: Was das Gesetz tatsächlich sagt

Beginnen wir mit der Kernfrage:

Verlangt die DSGVO, dass personenbezogene Daten ausschließlich in der EU gespeichert werden?

Nein, die DSGVO schreibt nicht vor, dass Daten zwingend physisch innerhalb der Europäischen Union liegen müssen. Allerdings reguliert sie sehr streng jede Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR).

Dieser Unterschied ist entscheidend und wird leicht missverstanden: Sie sind rechtlich nicht verpflichtet, ausschließlich EU-Server zu nutzen. Aber in dem Moment, in dem Sie personenbezogene Daten außerhalb des EWR speichern oder verarbeiten – oder einen Zugriff von außen ermöglichen – greift Kapitel V der DSGVO (Artikel 44–50).

Diese Vorschriften sollen sicherstellen, dass das in der EU garantierte Datenschutzniveau auch dann erhalten bleibt, wenn Daten über die Grenzen hinaus übertragen werden.

Rechtliche Grundlage

Ein Blick auf die wichtigsten Regelungen aus Kapitel V der DSGVO:

• Artikel 44 – Allgemeiner Grundsatz für Datenübermittlungen

„Jede Übermittlung personenbezogener Daten, die einer Verarbeitung unterliegt oder nach der Übermittlung einer Verarbeitung unterzogen werden soll, in ein Drittland … darf nur erfolgen, wenn … die in diesem Kapitel festgelegten Bedingungen eingehalten werden.“

• Artikel 45 – Übermittlungen auf Grundlage eines Angemessenheitsbeschlusses

Übermittlungen sind erlaubt in Länder, die von der Europäischen Kommission als „angemessen“ eingestuft wurden, d. h. deren Datenschutzniveau als vergleichbar mit dem der EU gilt.

• Artikel 46 – Übermittlungen mit geeigneten Garantien

Liegt kein Angemessenheitsbeschluss vor, können Datenübermittlungen dennoch erfolgen, z. B. durch:

• Standardvertragsklauseln (SCCs): von der EU vorab genehmigte Vertragsmuster, die beide Seiten rechtlich verpflichten, EU-Datenschutzstandards einzuhalten.

• Verbindliche interne Datenschutzvorschriften (BCRs): konzerninterne Regelwerke, die von Aufsichtsbehörden genehmigt werden und konzernweite Datenübertragungen ermöglichen.

• Artikel 49 – Ausnahmen für besondere Fälle

Dazu gehören z. B. die ausdrückliche Einwilligung der betroffenen Person oder die Notwendigkeit zur Vertragserfüllung. Diese Ausnahmen sind jedoch nur für Einzelfälle gedacht – nicht für den regelmäßigen, dauerhaften Betrieb.

Warum bevorzugen also so viele Organisationen EU-only-Hosting?

Weil selbst dann, wenn Daten physisch in der EU gespeichert werden – sofern der Dienstleister in einem nicht angemessenen Drittland ansässig ist (z. B. in den USA) –, die DSGVO dies als eingeschränkte Datenübermittlung behandelt.

Diese Rechtsauffassung wurde durch das Schrems II-Urteil (EuGH, Rechtssache C-311/18, 2020) bekräftigt, das das EU–US Privacy Shield für ungültig erklärte. Das Gericht stellte fest, dass:

• die US-Überwachungsgesetze (z. B. FISA Section 702, die US-Geheimdiensten Zugriff auf elektronische Kommunikation von Nicht-US-Bürger:innen ohne richterliche Anordnung ermöglicht, sowie Executive Order 12333, die weitreichende Auslandsaufklärung erlaubt) EU-Bürger:innen keine ausreichenden Rechtsbehelfe bieten.

• und dass daher Übermittlungen an US-basierte Anbieter – selbst unter Nutzung von Standardvertragsklauseln (SCCs) – kein angemessenes Schutzniveau gewährleisten können.

Die Konsequenz:

• SCCs allein sind nicht ausreichend.

• Verantwortliche müssen ein Transfer Impact Assessment (TIA) durchführen – also eine dokumentierte Bewertung, ob die Gesetze und Praktiken im Empfängerland das nach der DSGVO geforderte Datenschutzniveau gefährden könnten.

• Gegebenenfalls sind zusätzliche Maßnahmen (z. B. Verschlüsselung oder Pseudonymisierung) erforderlich.

• Diese Übermittlungen müssen regelmäßig neu bewertet werden, insbesondere bei Änderungen der Rechtslage im Empfängerland.

Für viele KMU, öffentliche Einrichtungen und EU-geförderte Projekte bedeutet dies eine erhebliche und dauerhafte Rechts- und Compliance-Belastung.

Angemessenheit: Die „Whitelist“ sicherer Länder

Der einfachste Weg, den beschriebenen rechtlichen Aufwand zu vermeiden, besteht darin, Daten entweder innerhalb des EWR zu speichern oder sie nur in Länder zu übertragen, die von der Europäischen Kommission nach Artikel 45 DSGVO als „angemessen“ eingestuft wurden.

Diese Länder gelten als angemessen, weil ihre nationalen Gesetze und Durchsetzungsmechanismen ein Datenschutzniveau gewährleisten, das im Wesentlichen dem der EU entspricht.

Stand 2025 umfasst die Liste der Länder mit einem uneingeschränkten Angemessenheitsbeschluss:

• Andorra
• Argentinien
• Kanada (kommerzielle Organisationen)
• Färöer-Inseln
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Neuseeland
• Republik Korea
• Schweiz
• Vereinigtes Königreich
• Uruguay

Die USA stehen nicht auf dieser Liste. Zwar wird derzeit ein neues Angemessenheitsabkommen – das EU–US Data Privacy Framework – diskutiert, doch seine langfristige Tragfähigkeit bleibt aufgrund erwartbarer rechtlicher Anfechtungen ungewiss.

EU-Hosting = keine Übermittlungen = kein Risiko

Wenn Sie einen Anbieter wählen, der:

• sämtliche personenbezogenen Daten innerhalb der EU hostet,
• vollständig im Eigentum steht und unter EU-Gerichtsbarkeit betrieben wird,
• keine Subunternehmer aus Drittländern einsetzt,

dann greift Kapitel V der DSGVO überhaupt nicht. Es liegt im rechtlichen Sinne keine „Übermittlung“ vor – daher gilt:

• Keine Standardvertragsklauseln (SCCs) notwendig
• Kein Transfer Impact Assessment (TIA) notwendig
• Keine zusätzlichen technischen Maßnahmen erforderlich
• Kein Risiko der Ungültigkeit durch ausländische Überwachungsgesetze

Szenarienvergleich

Auch wenn die DSGVO kein EU-Hosting zwingend vorschreibt, ist die Speicherung innerhalb des EWR und unter EU-Gerichtsbarkeit mit Abstand der einfachste und sicherste Weg – besonders für regulierte Branchen und risikosensible Organisationen.

Datenresidenz, Gerichtsbarkeit und Souveränität: was sie in der Praxis bedeuten

Die drei Begriffe Datenresidenz, Gerichtsbarkeit und Datensouveränität werden oft verwechselt oder synonym verwendet. Für Ihre Compliance-Strategie ist es jedoch wichtig, die Unterschiede klar zu verstehen.

Beispiel

Wenn Ihr Anbieter außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig ist oder anderweitig einem Drittlandsrecht unterliegt, behandelt die DSGVO dies als eingeschränkte Übermittlung – selbst wenn die Server physisch innerhalb der EU stehen.

Beispiel: Ein US-Unternehmen betreibt Rechenzentren in Deutschland:

• Physisch: Ihre Daten verlassen die EU nicht (Residenz in Deutschland).
• Rechtlich: Der Anbieter unterliegt dennoch der US-Gerichtsbarkeit, einschließlich Gesetzen wie dem CLOUD Act oder FISA Section 702, die US-Behörden den Zugriff auf EU-Kundendaten ermöglichen.
• DSGVO-Perspektive: Die Daten gelten als gefährdet durch ausländischen Zugriff, sodass Kapitel V (Artikel 44–50) Anwendung findet.

Das bedeutet: Sie müssten auf Standardvertragsklauseln (Art. 46 DSGVO) zurückgreifen, ein Transfer Impact Assessment durchführen und zusätzliche Schutzmaßnahmen umsetzen.

Daher hört man in Compliance-Teams oft den Satz:
„Es kommt nicht nur darauf an, wo die Server stehen – sondern wer sie kontrolliert.“

Im Gegensatz dazu: Wenn Ihr Anbieter sowohl gehostet als auch im Eigentum unter EU-Gerichtsbarkeit betrieben wird, greifen keine Drittlandsgesetze, und es gelten keine Übermittlungsregeln. Genau deshalb beseitigen EU-eigene und EU-betriebene Anbieter (wie Digital Samba) diese Komplexität vollständig.

Das macht reine EU-Gerichtsbarkeit und Eigentum für bestimmte Branchen unverzichtbar.

Welche Risiken bergen Datenübermittlungen in Drittländer?

Artikel 44 DSGVO und das Schrems II-Urteil von 2020 machen unmissverständlich klar:
Die Übermittlung personenbezogener Daten außerhalb der EU ist hoch riskant, sofern das Empfängerland kein angemessenes Schutzniveau bietet.

Zentrale rechtliche und operative Risiken:

Zugriff durch ausländische Überwachungsbehörden

US-Anbieter können gesetzlich verpflichtet werden, Nutzerdaten herauszugeben – auch wenn diese physisch in Europa gespeichert sind.
→ Dies untergräbt die Vertraulichkeitsgarantien der DSGVO, insbesondere in sensiblen Bereichen wie Gesundheitswesen oder Bildung.

Komplexe Dokumentationspflichten

Für jede Übermittlung sind Standardvertragsklauseln (SCCs), Risikoanalysen und Nachweise technischer Schutzmaßnahmen erforderlich.
→ Das erfordert häufig juristisches Fachwissen und verursacht wiederkehrenden Verwaltungsaufwand, mit dem kleinere Teams oft überfordert sind.

Rechtliche Unsicherheit und Rückabwicklungen

Das „Privacy Shield“ wurde für ungültig erklärt; auch Nachfolgeabkommen wie das EU–US Data Privacy Framework stehen unter ständiger juristischer Prüfung.
→ Wer sich darauf verlässt, riskiert Compliance-Probleme, sobald Gerichte diese Mechanismen erneut für unzureichend erklären.

Einschränkungen bei Ausschreibungen

Öffentliche Vergaben und EU-finanzierte Projekte verlangen häufig ausschließlich EU-Hosting und EU-Gerichtsbarkeit.
→ Ein nicht-europäischer Anbieter kann Sie von Ausschreibungen ausschließen oder langwierige Ausnahmegenehmigungen erforderlich machen.

Verlust von Nutzervertrauen

In sensiblen Branchen kann die Speicherung unter ausländischer Kontrolle das Vertrauen in Ihre Plattform erheblich beeinträchtigen.
→ Kunden, Studierende oder Patienten könnten zögern, wenn kein klarer Schutz nach europäischen Standards gewährleistet ist.

Fazit:
Grenzüberschreitende Übermittlungen sind nicht grundsätzlich illegal, aber sie sind aufwendig, anfällig und oft unvereinbar mit praktischen Compliance-Anforderungen.
Für viele Organisationen ist daher ein EU-gehosteter und EU-eigener Anbieter die langfristig sicherste und rechtlich stabilste Lösung.

Die Wahl eines EU-basierten Anbieters: der Weg des geringsten Widerstands

Übersetzen wir all das zuvor Gesagte in praktische Entscheidungsgrundlagen.

Bei der Bewertung von Cloud-, Video- oder Kommunikationsanbietern vereinfachen vollständig in der EU gehostete Plattformen die Compliance auf folgende Weise:

Keine SCCs oder TIAs erforderlich

Es sind weder zusätzliche Verträge (Standardvertragsklauseln) noch Transfer Impact Assessments notwendig – denn es findet überhaupt keine Datenübermittlung außerhalb der EU statt.
→ Das reduziert Ihre rechtliche Arbeitslast erheblich und beschleunigt Beschaffung wie Integration.

Ausschließlich EU-Gerichtsbarkeit

Ihre Daten sind vor außereuropäischen Gesetzen wie dem US CLOUD Act oder FISA geschützt.
→ Damit haben ausschließlich EU-Gerichte und Datenschutzbehörden rechtliche Zuständigkeit für die personenbezogenen Daten Ihrer Nutzer.

Schnellere Anbieterauswahl und Due Diligence

Beschaffung und Vergabeprozesse werden einfacher, wenn der Anbieter vollständig im EWR angesiedelt und an EU-Recht gebunden ist.
→ So lassen sich Compliance-Prüfungen verschlanken, und Sie können die Einhaltung von DSGVO und nationalem Recht sicher nachweisen.

Geringere rechtliche Aufwände

Sie reduzieren den Zeit- und Kostenaufwand für Compliance-Themen und schaffen Freiräume für tatsächliche Innovation.
→ Besonders wertvoll für KMU und Startups mit begrenzten Rechts- oder Datenschutzressourcen.

Bessere Passung für öffentliche und regulierte Sektoren

Gesundheitsplattformen, EdTech-Lösungen und öffentliche Institutionen verlangen in Ausschreibungen zunehmend EU-only Anbieter.
→ Mit einem EU-Anbieter qualifizieren Sie sich direkt für datenschutzsensible Aufträge – ganz ohne Sonderausnahmen für Datenübermittlungen.

Warum Digital Samba die sicherere und klügere Wahl ist

Bei Digital Samba haben wir unsere Plattform von Grund auf so entwickelt, dass sie den Anforderungen von EU-basierten Teams gerecht wird – insbesondere solcher, die mit sensiblen oder regulierten Daten arbeiten.

Das unterscheidet uns:

Vollständig in der EU gehostet

Sämtliche Video-, Speicher- und API-Datenflüsse werden ausschließlich in europäischen Rechenzentren verarbeitet, die sich im Besitz von EU-Unternehmen befinden.

Ausschließlich europäische Gerichtsbarkeit

Wir sind ein europäisches Unternehmen. Das bedeutet: Ihre Daten unterliegen niemals ausländischen Zugriffsgesetzen.

Keine Datenübermittlungen in Drittländer – niemals

Unsere Infrastruktur und unser Betrieb stützen sich nicht auf außereuropäische Sub-Prozessoren oder Cloud-Anbieter.

Compliance ohne Komplexität

Mit Digital Samba entfallen:

• Standardvertragsklauseln (SCCs)
• Transfer Impact Assessments (TIAs)
• Unnötige rechtliche Prüfungen

Vertrauenswürdig für EdTech, Gesundheitswesen und öffentlichen Sektor

Wir arbeiten mit Organisationen, die Wert auf Datenschutz, Souveränität und vollständige Transparenz legen.

Ob Sie ein virtuelles Klassenzimmer aufbauen, eine sichere Telemedizin-App betreiben oder Ihre Kommunikationsinfrastruktur migrieren möchten – wir nehmen Ihnen die rechtlichen Unsicherheiten ab.

Also: Verlangt die DSGVO, dass Daten in der EU gespeichert werden?

Nicht direkt – aber in der Praxis ja, für viele Anwendungsfälle.

Zwar erlaubt die Verordnung internationale Datenübermittlungen unter strengen Bedingungen, doch diese sind in rechtlich nachhaltiger Weise kaum noch erfüllbar.

Wenn Sie mit sensiblen Daten arbeiten, in einer regulierten Branche tätig sind oder an öffentlich geförderten EU-Projekten beteiligt sind, ist die Wahl eines in der EU gehosteten und unter EU-Recht betriebenen Anbieters mehr als nur eine Compliance-Abkürzung – es ist ein strategischer Vorteil.

Fazit

Da sich die Landschaft des Datenschutzes stetig weiterentwickelt, sind Klarheit und Einfachheit entscheidend. Die Wahl von Anbietern, die mit den Werten, Gesetzen und der Rechtsprechung der EU im Einklang stehen, geht über das bloße Erfüllen von Checklisten hinaus – es geht darum, Vertrauen zu schaffen und langfristige Widerstandsfähigkeit sicherzustellen.

Ob als Product Owner, IT-Verantwortlicher oder Compliance Officer: Die ausschließliche Datenhaltung innerhalb der EU beseitigt rechtliche Unsicherheiten, vereinfacht das Lieferantenmanagement und schützt Ihre Nutzer.

Digital Samba unterstützt Sie dabei mit einer Privacy-First-Infrastruktur, die vollständig in der EU gehostet wird – entwickelt für Teams, die Wert auf Compliance und Vertrauen legen.

Buchen Sie eine Demo und erleben Sie, wie einfach Datenschutz sein kann.

FAQs: DSGVO, Datenstandort und Hosting

Was ist der Unterschied zwischen Data Residency und Jurisdiktion?

Data Residency bezeichnet den physischen Speicherort der Daten – oft als „DSGVO-Anforderung an den Datenstandort“ beschrieben. Jurisdiktion bezieht sich darauf, welche Behörden rechtlich auf diese Daten zugreifen dürfen. Beide Faktoren sind entscheidend für die DSGVO-Compliance und beeinflussen direkt die Datensouveränität in der EU.

Kann ich einen US-Anbieter nutzen, wenn er Daten in Europa speichert?

Technisch ja, aber es ist riskant. Auch wenn der physische Speicherort die DSGVO-Anforderungen erfüllt, kann der US CLOUD Act weiterhin gelten. Zudem sind zusätzliche Verträge und Prüfungen erforderlich, um DSGVO-konform zu bleiben.

Reichen Standardvertragsklauseln (SCCs) aus, um DSGVO-konform zu sein?

SCCs sind ein gültiger Mechanismus, aber nur in Verbindung mit einer Transfer Impact Assessment (TIA) und gegebenenfalls zusätzlichen Maßnahmen. Das macht die Einhaltung der DSGVO-Anforderungen an Datenspeicherung und internationale Transfers deutlich komplexer.

Ist Digital Samba für den öffentlichen Sektor geeignet?

Ja. Digital Samba wird vollständig in der EU gehostet und betrieben. Wir erfüllen die DSGVO-Anforderungen an Rechenzentren sowie die Beschaffungsrichtlinien für Bildung, Gesundheitswesen, Behörden und EU-geförderte Projekte.

Welche Branchen profitieren am meisten von rein EU-basiertem Hosting?

Gesundheitswesen, Bildung, öffentlicher Sektor, Rechts- und Finanzwesen – sowie jede Organisation, die sensible Daten verarbeitet oder EU-Bürgern dient, wo Anforderungen an Datenlokalisierung besonders kritisch sind.

Wie finde ich heraus, ob mein aktueller Anbieter unter Drittstaat-Jurisdiktion fällt?

Prüfen Sie die Eigentümerstruktur, die Liste der Subunternehmer und die Datenverarbeitungsverträge. Wenn der Anbieter US-basiert ist, können trotz EU-Servern ausländische Gesetze gelten.

Spielt der geografische Standort meiner Daten eine Rolle?

Ja. Die DSGVO verlangt zwar nicht zwingend eine Speicherung in der EU, aber personenbezogene Daten aus der EU müssen immer nach DSGVO-Standards geschützt werden. In der Praxis bevorzugen viele Branchen dennoch ein rein EU-basiertes Hosting, um ausländisches Recht auszuschließen und die Compliance zu vereinfachen.

1. Court of Justice of the European Union. (2020). Judgment of the Court (Grand Chamber) of 16 July 2020, Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems, Case C-311/18 (Schrems II).
2. Digital Samba. (2025). Data Privacy and Data Security.
3. Digital Samba. (2025). Legal Information.
4. European Commission. (n.d.). Adequacy decisions.
5. European Commission. (n.d.). Transfer of personal data to third countries.
6. European Data Protection Board. (2021). Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (Version 2.0). 
7. European Union. (2016). General Data Protection Regulation (EU) 2016/679.
8. Executive Order No. 12333, 3 C.F.R. 200 (1981).
9. U.S. Congress. (2018). Clarifying Lawful Overseas Use of Data Act (CLOUD Act), 18 U.S.C. § 2713.
10. U.S. Foreign Intelligence Surveillance Act of 1978, 50 U.S.C. § 1881a (FISA Section 702).