Wenn es um die Wahl einer Cloud-Plattform oder einer Video-Communications-API geht, taucht immer wieder eine Frage auf: Verlangt die DSGVO, dass Daten physisch in der Europäischen Union (EU) gespeichert werden?
Wenn Sie Anbieter im Bereich SaaS, Gesundheitswesen, Bildung oder öffentlicher Sektor vergleichen, bietet dieser Artikel Klarheit und hilft Ihnen, die richtige Entscheidung zu treffen. Wir erklären die rechtlichen Vorgaben in einfacher Sprache, erläutern Schlüsselbegriffe wie Datenlokalisierung und Gerichtsbarkeit und unterstützen Sie dabei, eine fundierte Entscheidung zu treffen, die rechtliche Risiken minimiert, ohne Ihre IT-Landschaft unnötig zu verkomplizieren oder zusätzliche Kosten zu verursachen.
Der Standort von Daten ist mittlerweile ein zentraler Entscheidungsfaktor für Compliance-Beauftragte, CTOs und Produktverantwortliche – insbesondere in Branchen, die mit sensiblen oder regulierten Informationen arbeiten. Da Regierungen, Aufsichtsbehörden und Nutzer:innen höhere Standards an Datenschutz und Verantwortlichkeit verlangen, kann die Wahl des falschen Anbieters zu versteckten rechtlichen Risiken und betrieblichen Problemen führen. Umso wichtiger ist es, den Zusammenhang zwischen DSGVO, Serverstandort und Gerichtsbarkeit – sowohl auf europäischer als auch auf nationaler Ebene – zu verstehen.
Inhaltsverzeichnis
Beginnen wir mit der Kernfrage:
Verlangt die DSGVO, dass personenbezogene Daten ausschließlich in der EU gespeichert werden?
Nein, die DSGVO schreibt nicht vor, dass Daten zwingend physisch innerhalb der Europäischen Union liegen müssen. Allerdings reguliert sie sehr streng jede Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR).
Dieser Unterschied ist entscheidend und wird leicht missverstanden: Sie sind rechtlich nicht verpflichtet, ausschließlich EU-Server zu nutzen. Aber in dem Moment, in dem Sie personenbezogene Daten außerhalb des EWR speichern oder verarbeiten – oder einen Zugriff von außen ermöglichen – greift Kapitel V der DSGVO (Artikel 44–50).
Diese Vorschriften sollen sicherstellen, dass das in der EU garantierte Datenschutzniveau auch dann erhalten bleibt, wenn Daten über die Grenzen hinaus übertragen werden.
Ein Blick auf die wichtigsten Regelungen aus Kapitel V der DSGVO:
„Jede Übermittlung personenbezogener Daten, die einer Verarbeitung unterliegt oder nach der Übermittlung einer Verarbeitung unterzogen werden soll, in ein Drittland … darf nur erfolgen, wenn … die in diesem Kapitel festgelegten Bedingungen eingehalten werden.“
Übermittlungen sind erlaubt in Länder, die von der Europäischen Kommission als „angemessen“ eingestuft wurden, d. h. deren Datenschutzniveau als vergleichbar mit dem der EU gilt.
Liegt kein Angemessenheitsbeschluss vor, können Datenübermittlungen dennoch erfolgen, z. B. durch:
Standardvertragsklauseln (SCCs): von der EU vorab genehmigte Vertragsmuster, die beide Seiten rechtlich verpflichten, EU-Datenschutzstandards einzuhalten.
Verbindliche interne Datenschutzvorschriften (BCRs): konzerninterne Regelwerke, die von Aufsichtsbehörden genehmigt werden und konzernweite Datenübertragungen ermöglichen.
Dazu gehören z. B. die ausdrückliche Einwilligung der betroffenen Person oder die Notwendigkeit zur Vertragserfüllung. Diese Ausnahmen sind jedoch nur für Einzelfälle gedacht – nicht für den regelmäßigen, dauerhaften Betrieb.
Weil selbst dann, wenn Daten physisch in der EU gespeichert werden – sofern der Dienstleister in einem nicht angemessenen Drittland ansässig ist (z. B. in den USA) –, die DSGVO dies als eingeschränkte Datenübermittlung behandelt.
Diese Rechtsauffassung wurde durch das Schrems II-Urteil (EuGH, Rechtssache C-311/18, 2020) bekräftigt, das das EU–US Privacy Shield für ungültig erklärte. Das Gericht stellte fest, dass:
die US-Überwachungsgesetze (z. B. FISA Section 702, die US-Geheimdiensten Zugriff auf elektronische Kommunikation von Nicht-US-Bürger:innen ohne richterliche Anordnung ermöglicht, sowie Executive Order 12333, die weitreichende Auslandsaufklärung erlaubt) EU-Bürger:innen keine ausreichenden Rechtsbehelfe bieten.
und dass daher Übermittlungen an US-basierte Anbieter – selbst unter Nutzung von Standardvertragsklauseln (SCCs) – kein angemessenes Schutzniveau gewährleisten können.
Die Konsequenz:
SCCs allein sind nicht ausreichend.
Verantwortliche müssen ein Transfer Impact Assessment (TIA) durchführen – also eine dokumentierte Bewertung, ob die Gesetze und Praktiken im Empfängerland das nach der DSGVO geforderte Datenschutzniveau gefährden könnten.
Gegebenenfalls sind zusätzliche Maßnahmen (z. B. Verschlüsselung oder Pseudonymisierung) erforderlich.
Diese Übermittlungen müssen regelmäßig neu bewertet werden, insbesondere bei Änderungen der Rechtslage im Empfängerland.
Für viele KMU, öffentliche Einrichtungen und EU-geförderte Projekte bedeutet dies eine erhebliche und dauerhafte Rechts- und Compliance-Belastung.
Der einfachste Weg, den beschriebenen rechtlichen Aufwand zu vermeiden, besteht darin, Daten entweder innerhalb des EWR zu speichern oder sie nur in Länder zu übertragen, die von der Europäischen Kommission nach Artikel 45 DSGVO als „angemessen“ eingestuft wurden.
Diese Länder gelten als angemessen, weil ihre nationalen Gesetze und Durchsetzungsmechanismen ein Datenschutzniveau gewährleisten, das im Wesentlichen dem der EU entspricht.
Stand 2025 umfasst die Liste der Länder mit einem uneingeschränkten Angemessenheitsbeschluss:
Die USA stehen nicht auf dieser Liste. Zwar wird derzeit ein neues Angemessenheitsabkommen – das EU–US Data Privacy Framework – diskutiert, doch seine langfristige Tragfähigkeit bleibt aufgrund erwartbarer rechtlicher Anfechtungen ungewiss.
Wenn Sie einen Anbieter wählen, der:
dann greift Kapitel V der DSGVO überhaupt nicht. Es liegt im rechtlichen Sinne keine „Übermittlung“ vor – daher gilt:
| Szenario | Rechtliches Risiko | Compliance-Aufwand |
|---|---|---|
| EU-gehosteter, EU-eigener Anbieter | 🟢 Niedrig | 🟢 Minimal |
| EU-gehosteter, US-eigener Anbieter | 🔴 Hoch | 🔴 Erfordert SCC + TIA + zusätzliche Maßnahmen |
| US-gehosteter, US-eigener Anbieter | 🔴 Sehr hoch | 🔴 Umfangreich |
| Übermittlungen in „angemessene“ Länder | 🟡 Mittel | 🟡 Dokumentationspflicht bleibt bestehen |
| Übermittlungen nach Art. 49 DSGVO-Ausnahmen | 🔴 Hoch | 🔴 Nur für Ausnahmefälle zulässig |
Auch wenn die DSGVO kein EU-Hosting zwingend vorschreibt, ist die Speicherung innerhalb des EWR und unter EU-Gerichtsbarkeit mit Abstand der einfachste und sicherste Weg – besonders für regulierte Branchen und risikosensible Organisationen.
Die drei Begriffe Datenresidenz, Gerichtsbarkeit und Datensouveränität werden oft verwechselt oder synonym verwendet. Für Ihre Compliance-Strategie ist es jedoch wichtig, die Unterschiede klar zu verstehen.
| Begriff | Bedeutung | Warum es wichtig ist |
|---|---|---|
| Datenresidenz | Wo Ihre Daten physisch gespeichert sind | Beeinflusst rechtliche Risiken und lokale Datenschutzvorgaben |
| Gerichtsbarkeit | Welches Land und welche Behörden rechtlich Zugriff auf die Daten haben | Bestimmt, ob Ihre Daten ausschließlich dem EU-Recht oder auch ausländischen Überwachungsgesetzen unterliegen |
| Datensouveränität | Grundsatz, dass Daten den Gesetzen des Landes unterliegen, in dem sie gespeichert sind | Besonders wichtig für den öffentlichen Sektor, das Gesundheitswesen und DSGVO-konforme Prozesse |
Wenn Ihr Anbieter außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig ist oder anderweitig einem Drittlandsrecht unterliegt, behandelt die DSGVO dies als eingeschränkte Übermittlung – selbst wenn die Server physisch innerhalb der EU stehen.
Beispiel: Ein US-Unternehmen betreibt Rechenzentren in Deutschland:
Das bedeutet: Sie müssten auf Standardvertragsklauseln (Art. 46 DSGVO) zurückgreifen, ein Transfer Impact Assessment durchführen und zusätzliche Schutzmaßnahmen umsetzen.
Daher hört man in Compliance-Teams oft den Satz:
„Es kommt nicht nur darauf an, wo die Server stehen – sondern wer sie kontrolliert.“
Im Gegensatz dazu: Wenn Ihr Anbieter sowohl gehostet als auch im Eigentum unter EU-Gerichtsbarkeit betrieben wird, greifen keine Drittlandsgesetze, und es gelten keine Übermittlungsregeln. Genau deshalb beseitigen EU-eigene und EU-betriebene Anbieter (wie Digital Samba) diese Komplexität vollständig.
Das macht reine EU-Gerichtsbarkeit und Eigentum für bestimmte Branchen unverzichtbar.
Artikel 44 DSGVO und das Schrems II-Urteil von 2020 machen unmissverständlich klar:
Die Übermittlung personenbezogener Daten außerhalb der EU ist hoch riskant, sofern das Empfängerland kein angemessenes Schutzniveau bietet.
US-Anbieter können gesetzlich verpflichtet werden, Nutzerdaten herauszugeben – auch wenn diese physisch in Europa gespeichert sind.
→ Dies untergräbt die Vertraulichkeitsgarantien der DSGVO, insbesondere in sensiblen Bereichen wie Gesundheitswesen oder Bildung.
Für jede Übermittlung sind Standardvertragsklauseln (SCCs), Risikoanalysen und Nachweise technischer Schutzmaßnahmen erforderlich.
→ Das erfordert häufig juristisches Fachwissen und verursacht wiederkehrenden Verwaltungsaufwand, mit dem kleinere Teams oft überfordert sind.
Das „Privacy Shield“ wurde für ungültig erklärt; auch Nachfolgeabkommen wie das EU–US Data Privacy Framework stehen unter ständiger juristischer Prüfung.
→ Wer sich darauf verlässt, riskiert Compliance-Probleme, sobald Gerichte diese Mechanismen erneut für unzureichend erklären.
Öffentliche Vergaben und EU-finanzierte Projekte verlangen häufig ausschließlich EU-Hosting und EU-Gerichtsbarkeit.
→ Ein nicht-europäischer Anbieter kann Sie von Ausschreibungen ausschließen oder langwierige Ausnahmegenehmigungen erforderlich machen.
In sensiblen Branchen kann die Speicherung unter ausländischer Kontrolle das Vertrauen in Ihre Plattform erheblich beeinträchtigen.
→ Kunden, Studierende oder Patienten könnten zögern, wenn kein klarer Schutz nach europäischen Standards gewährleistet ist.
Fazit:
Grenzüberschreitende Übermittlungen sind nicht grundsätzlich illegal, aber sie sind aufwendig, anfällig und oft unvereinbar mit praktischen Compliance-Anforderungen.
Für viele Organisationen ist daher ein EU-gehosteter und EU-eigener Anbieter die langfristig sicherste und rechtlich stabilste Lösung.
Übersetzen wir all das zuvor Gesagte in praktische Entscheidungsgrundlagen.
Bei der Bewertung von Cloud-, Video- oder Kommunikationsanbietern vereinfachen vollständig in der EU gehostete Plattformen die Compliance auf folgende Weise:
Es sind weder zusätzliche Verträge (Standardvertragsklauseln) noch Transfer Impact Assessments notwendig – denn es findet überhaupt keine Datenübermittlung außerhalb der EU statt.
→ Das reduziert Ihre rechtliche Arbeitslast erheblich und beschleunigt Beschaffung wie Integration.
Ihre Daten sind vor außereuropäischen Gesetzen wie dem US CLOUD Act oder FISA geschützt.
→ Damit haben ausschließlich EU-Gerichte und Datenschutzbehörden rechtliche Zuständigkeit für die personenbezogenen Daten Ihrer Nutzer.
Beschaffung und Vergabeprozesse werden einfacher, wenn der Anbieter vollständig im EWR angesiedelt und an EU-Recht gebunden ist.
→ So lassen sich Compliance-Prüfungen verschlanken, und Sie können die Einhaltung von DSGVO und nationalem Recht sicher nachweisen.
Sie reduzieren den Zeit- und Kostenaufwand für Compliance-Themen und schaffen Freiräume für tatsächliche Innovation.
→ Besonders wertvoll für KMU und Startups mit begrenzten Rechts- oder Datenschutzressourcen.
Gesundheitsplattformen, EdTech-Lösungen und öffentliche Institutionen verlangen in Ausschreibungen zunehmend EU-only Anbieter.
→ Mit einem EU-Anbieter qualifizieren Sie sich direkt für datenschutzsensible Aufträge – ganz ohne Sonderausnahmen für Datenübermittlungen.
Bei Digital Samba haben wir unsere Plattform von Grund auf so entwickelt, dass sie den Anforderungen von EU-basierten Teams gerecht wird – insbesondere solcher, die mit sensiblen oder regulierten Daten arbeiten.
Das unterscheidet uns:
Sämtliche Video-, Speicher- und API-Datenflüsse werden ausschließlich in europäischen Rechenzentren verarbeitet, die sich im Besitz von EU-Unternehmen befinden.
Wir sind ein europäisches Unternehmen. Das bedeutet: Ihre Daten unterliegen niemals ausländischen Zugriffsgesetzen.
Unsere Infrastruktur und unser Betrieb stützen sich nicht auf außereuropäische Sub-Prozessoren oder Cloud-Anbieter.
Mit Digital Samba entfallen:
Wir arbeiten mit Organisationen, die Wert auf Datenschutz, Souveränität und vollständige Transparenz legen.
Ob Sie ein virtuelles Klassenzimmer aufbauen, eine sichere Telemedizin-App betreiben oder Ihre Kommunikationsinfrastruktur migrieren möchten – wir nehmen Ihnen die rechtlichen Unsicherheiten ab.
Nicht direkt – aber in der Praxis ja, für viele Anwendungsfälle.
Zwar erlaubt die Verordnung internationale Datenübermittlungen unter strengen Bedingungen, doch diese sind in rechtlich nachhaltiger Weise kaum noch erfüllbar.
Wenn Sie mit sensiblen Daten arbeiten, in einer regulierten Branche tätig sind oder an öffentlich geförderten EU-Projekten beteiligt sind, ist die Wahl eines in der EU gehosteten und unter EU-Recht betriebenen Anbieters mehr als nur eine Compliance-Abkürzung – es ist ein strategischer Vorteil.
Da sich die Landschaft des Datenschutzes stetig weiterentwickelt, sind Klarheit und Einfachheit entscheidend. Die Wahl von Anbietern, die mit den Werten, Gesetzen und der Rechtsprechung der EU im Einklang stehen, geht über das bloße Erfüllen von Checklisten hinaus – es geht darum, Vertrauen zu schaffen und langfristige Widerstandsfähigkeit sicherzustellen.
Ob als Product Owner, IT-Verantwortlicher oder Compliance Officer: Die ausschließliche Datenhaltung innerhalb der EU beseitigt rechtliche Unsicherheiten, vereinfacht das Lieferantenmanagement und schützt Ihre Nutzer.
Digital Samba unterstützt Sie dabei mit einer Privacy-First-Infrastruktur, die vollständig in der EU gehostet wird – entwickelt für Teams, die Wert auf Compliance und Vertrauen legen.
Buchen Sie eine Demo und erleben Sie, wie einfach Datenschutz sein kann.
Data Residency bezeichnet den physischen Speicherort der Daten – oft als „DSGVO-Anforderung an den Datenstandort“ beschrieben. Jurisdiktion bezieht sich darauf, welche Behörden rechtlich auf diese Daten zugreifen dürfen. Beide Faktoren sind entscheidend für die DSGVO-Compliance und beeinflussen direkt die Datensouveränität in der EU.
Technisch ja, aber es ist riskant. Auch wenn der physische Speicherort die DSGVO-Anforderungen erfüllt, kann der US CLOUD Act weiterhin gelten. Zudem sind zusätzliche Verträge und Prüfungen erforderlich, um DSGVO-konform zu bleiben.
SCCs sind ein gültiger Mechanismus, aber nur in Verbindung mit einer Transfer Impact Assessment (TIA) und gegebenenfalls zusätzlichen Maßnahmen. Das macht die Einhaltung der DSGVO-Anforderungen an Datenspeicherung und internationale Transfers deutlich komplexer.
Ja. Digital Samba wird vollständig in der EU gehostet und betrieben. Wir erfüllen die DSGVO-Anforderungen an Rechenzentren sowie die Beschaffungsrichtlinien für Bildung, Gesundheitswesen, Behörden und EU-geförderte Projekte.
Gesundheitswesen, Bildung, öffentlicher Sektor, Rechts- und Finanzwesen – sowie jede Organisation, die sensible Daten verarbeitet oder EU-Bürgern dient, wo Anforderungen an Datenlokalisierung besonders kritisch sind.
Prüfen Sie die Eigentümerstruktur, die Liste der Subunternehmer und die Datenverarbeitungsverträge. Wenn der Anbieter US-basiert ist, können trotz EU-Servern ausländische Gesetze gelten.
Ja. Die DSGVO verlangt zwar nicht zwingend eine Speicherung in der EU, aber personenbezogene Daten aus der EU müssen immer nach DSGVO-Standards geschützt werden. In der Praxis bevorzugen viele Branchen dennoch ein rein EU-basiertes Hosting, um ausländisches Recht auszuschließen und die Compliance zu vereinfachen.