EU-Datenresidenz in der Praxis: Was Klienten wirklich entscheiden müssen

Die Frage hinter der Frage: Pfad statt Punkt

Die Frage nach EU-Datenresidenz fällt in fast jedem ersten Gespräch. Sie wird oft so gestellt, als ginge es um einen Häkchen-Status: hosten Sie in Deutschland, ja oder nein. In der Praxis ist die Antwort selten so binär. EU-Datenresidenz im Sinne der DSGVO Art. 44–49 ^[1] und der nachgelagerten Schrems-II-Rechtsprechung ^[2] ist keine Eigenschaft der Hauptdatenbank, sondern eine Eigenschaft des gesamten Verarbeitungspfads — und der Pfad führt fast immer durch mehr Subprozessoren, als das Architektur-Diagramm zeigt.

Der Europäische Datenschutzausschuss (EDPB) hat in seinen Recommendations 01/2020 on supplementary measures ^[3] eine sechsstufige Bewertung definiert — Datenfluss-Inventur, Identifikation des Übermittlungsinstruments, Analyse der Drittstaaten-Rechtslage, Auswahl zusätzlicher Schutzmaßnahmen, prozeduraler Schritt, regelmäßige Überprüfung. Diese sechs Stufen sind in jedem Mandat unsere Werkstrecke.

Datenfluss-Inventur: die Grundlage jeder Architekturentscheidung

Wir nehmen die EU-Datenresidenz in unseren Mandaten als eigene Discovery-Werkstrecke. Sie beginnt mit einer Inventur: welche personenbezogenen Daten werden überhaupt verarbeitet, wo entstehen sie, wo werden sie gespeichert, wo werden sie analysiert, wo werden sie gesichert, wer hat Zugriff auf welche Sicht. Dieses Datenfluss-Inventar ist die Grundlage. Erst danach entscheiden wir über Cloud-Anbieter, Regionen und Verträge.

Die häufigste Überraschung in dieser Phase: ein Klient glaubt, vollständig in der EU zu sein, und entdeckt, dass das Analytics-Tool, das Marketing seit Jahren nutzt, Daten in die USA spiegelt. Oder dass das CRM zwar in Frankfurt liegt, aber die KI-Funktionen ein US-Modell aufrufen. Beide Konstellationen sind nach Schrems II ohne Transfer Impact Assessment (TIA) und ergänzende Maßnahmen unzulässig — und beide haben in der Praxis bereits zu Bußgeldern geführt, etwa der 1,2-Mrd-€-Sanktion gegen Meta Platforms Ireland durch die irische Datenschutzaufsicht im Mai 2023 ^[4].

Drei Architekturentscheidungen, die jedes Mandat prägen

Drei konkrete Entscheidungen prägen jedes Architektur-Engagement, das EU-Datenresidenz zum Constraint macht. Erstens: Primary-Hosting. Hier ist die Lage entspannt — alle relevanten Hyperscaler haben EU-Regionen, und für viele Mandate empfehlen wir europäische Anbieter wie Hetzner (Falkenstein/Nürnberg), OVHcloud (Roubaix/Straßburg) oder Scaleway (Paris/Amsterdam). Die Bundes-IT-Sicherheitsbehörde BSI führt eine fortlaufende C5-Zertifizierungsliste für Cloud-Anbieter mit erhöhtem Schutzniveau ^[5].

Zweitens: Subprozessoren. Hier wird es interessant. Logging, Monitoring, E-Mail-Versand, Fehlerverfolgung, Spam-Schutz — jedes dieser Subsysteme hat seine eigene Datenpolitik. Wir gehen die Liste in jedem Engagement durch und ersetzen, was nicht in der EU bleibt oder kein adäquates Schutzniveau bietet. Drittens: KI-Funktionen. Ein Großteil der derzeit produktiv eingesetzten Sprachmodelle läuft in US-Rechenzentren. Wir lösen das, indem wir entweder europäische Anbieter wie Mistral oder Aleph Alpha einsetzen, oder Open-Source-Modelle (Llama, Mixtral) in einer EU-Cloud betreiben.

Backup-Geografie — die meist übersehene Falle

Backup-Geografie ist der Teil, der am häufigsten übersehen wird. Eine Anwendung kann vollständig in einer EU-Region laufen — und gleichzeitig nächtliche Backups in eine US-Region replizieren, weil das der Standard des gewählten Backup-Tools ist. Das ist kein Detail. Aus DSGVO-Sicht ist das Backup ein Verarbeitungsvorgang gemäß Art. 4 Abs. 2, und ein Schrems-II-relevanter Transfer in die USA ist auch dann ein Transfer, wenn der Datensatz nie aktiv aus dem Backup gelesen wird.

Wir konfigurieren Backups explizit, definieren Aufbewahrungsfristen, und prüfen mindestens einmal pro Mandat einen Restore-Lauf — sowohl auf Funktion als auch auf Datenpfad. Eine systematische Übersicht zu DSGVO-konformer Backup-Architektur publiziert das BSI im IT-Grundschutz-Kompendium, Baustein CON.3 ^[6].

Verträge: SCCs, TIA und die Trennung der Rollen

Verträge sind die zweite Seite derselben Münze. Ein Auftragsverarbeitungsvertrag (AVV) gemäß DSGVO Art. 28 ist Pflicht, aber er allein reicht nicht. Bei Subprozessoren außerhalb der EU brauchen Sie Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 ^[7] und — seit Schrems II — eine eigene Transfer Impact Assessment (TIA). Diese Dokumente schreiben wir gemeinsam mit Ihrem Datenschutzbeauftragten oder einem externen Anwalt.

Wir liefern den technischen Teil — was wo verarbeitet wird, welche zusätzlichen Schutzmaßnahmen greifen — und der Jurist liefert die Bewertung. Die Trennung ist wichtig: wir sind keine Anwälte, und wir lassen uns nicht in die Position drängen, juristische Bewertungen abzugeben.

Compliance erhalten: der Prozess nach Go-Live

Die letzte Entscheidung betrifft die operative Realität. EU-Datenresidenz auf Architektur-Ebene zu erreichen ist machbar. Sie über fünf Jahre Betrieb durchzuhalten ist die schwerere Übung. Tools werden gewechselt, neue Subprozessoren kommen hinzu, ein KI-Feature soll schnell eingebaut werden — und plötzlich liegt ein Stück Verarbeitung wieder in den USA.

Wir lösen das durch eine harte Regel: jeder neue Drittanbieter, der personenbezogene Daten sieht, muss durch einen kurzen Subprozessor-Review. Das dauert in der Regel einen Tag und verhindert die schleichende Erosion der Compliance, die im fünften Jahr eines Engagements sonst auftritt. Wer eine ehrliche EU-Datenresidenz für seine Plattform will, sollte sich auf einen Prozess einlassen, nicht auf eine Aussage. Der Prozess kostet typischerweise zwei bis drei Wochen pro Mandat in der Initialphase, danach ein laufender Aufwand von ein bis zwei Tagen pro Quartal.

1. [1]
   Verordnung (EU) 2016/679 (DSGVO), Artikel 44 ff. — Datenübermittlung in Drittländer

   Europäisches Parlament und Rat (2016) · standard
2. [2]
   Urteil des EuGH C-311/18 (Schrems II), 16. Juli 2020

   Gerichtshof der Europäischen Union (2020) · court
3. [3]
   EDPB Recommendations 01/2020 on measures that supplement transfer tools

   European Data Protection Board (2021) · standard
4. [4]
   Meta Ireland — DPC Final Decision, May 2023 (1,2 Mrd. € Bußgeld für US-Datentransfer)

   Irish Data Protection Commission (2023) · court
5. [5]
   BSI C5-Kriterienkatalog für Cloud-Computing-Anbieter

   Bundesamt für Sicherheit in der Informationstechnik (2024) · standard
6. [6]
   BSI IT-Grundschutz-Kompendium, Baustein CON.3 (Datensicherungskonzept)

   Bundesamt für Sicherheit in der Informationstechnik (2023) · standard
7. [7]
   Durchführungsbeschluss (EU) 2021/914 — Standard-Vertragsklauseln

   Europäische Kommission (2021) · standard