Kasimir
← Blog

Datenschutz & Souveränität

Datensouveränität im Unternehmen: Mehr als nur ein Serverstandort

„Unsere Daten liegen in der EU“ klingt beruhigend — reicht aber nicht. Warum Datenresidenz und Datensouveränität zwei verschiedene Dinge sind und woran Sie einen wirklich souveränen Anbieter erkennen.

Felix Stürmer· 06. Mai 2026· 2 Min. Lesezeit
Datensouveränität im Unternehmen: Mehr als nur ein Serverstandort

Kaum ein Wort fällt in KI- und Cloud-Gesprächen häufiger als „Souveränität“ — und kaum eines wird so oft mit „Serverstandort“ verwechselt. Der Bedarf ist real: Laut Bitkom Cloud Report 2025 halten 78 % der Unternehmen Deutschland für zu abhängig von US-Cloud-Anbietern; 97 % berücksichtigen inzwischen das Herkunftsland eines Anbieters, für 67 % ist es zwingend — 2024 waren es noch 58 %. Das Herkunftsland ist vom Nice-to-have zum Kaufkriterium geworden.

Datensouveränität: Was Unternehmen wollen (Bitkom 2025)
Würden deutschen Anbieter bevorzugen100%
Berücksichtigen Herkunftsland97%
Wünschen sich EU-Hyperscaler82%
Sehen D zu abhängig von US-Cloud78%
Bevorzugen US-Anbieter6%

Residenz ist nicht Souveränität

Der entscheidende Unterschied in einem Satz: Datenresidenz beschreibt, wo Daten geografisch gespeichert werden. Datensouveränität beschreibt, wer rechtlich und operativ Kontrolle über sie hat. Ein US-Konzern kann Ihre Daten in einem Frankfurter Rechenzentrum speichern — und unterliegt trotzdem US-Recht. Genau das ist der Kern des Problems.

Der strukturelle Konflikt: CLOUD Act vs. DSGVO

Der US CLOUD Act verpflichtet US-Unternehmen, Daten auf Anordnung an US-Behörden herauszugeben — unabhängig vom Speicherort, teils unter Verschwiegenheitsauflage („Gag Order“). Die DSGVO verbietet in Art. 48 aber genau das: die Herausgabe an ein Drittland-Gericht ohne völkerrechtliches Rechtshilfeabkommen. Ein US-Anbieter mit EU-Rechenzentrum steht damit zwischen zwei unvereinbaren Rechtsordnungen. Verstöße gegen die Transferregeln der DSGVO können mit bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Verschärft wird das durch das EuGH-Urteil Schrems II: Datentransfers in die USA erfordern eine aufwändige Einzelfallprüfung. Bei echtem EU-Hosting durch einen europäischen Anbieter entfällt dieser Aufwand — es gibt schlicht keinen Drittlandtransfer.

Was der Staat empfiehlt

Auch der Staat treibt das Thema. Das BSI hat 2026 die Cloud Computing Compliance Criteria (C3A) als Orientierung für souveräne Cloud-Dienste veröffentlicht. BSI-Präsidentin Claudia Plattner:

„Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“

Auf europäischer Ebene verfolgt Gaia-X das Ziel einer interoperablen, DSGVO-konformen Dateninfrastruktur, bei der der Zugriff jederzeit widerrufbar bleibt. Das Bundesministerium für Digitales formuliert die Leitidee nüchtern: „Digitale Autonomie ist nur gemeinsam mit europäischen Partnern möglich.“

Woran Sie echte Souveränität erkennen

Fünf Fragen trennen den souveränen Anbieter vom bloßen EU-Rechenzentrum:

  1. Wo steht das Rechenzentrum — und wo sitzt die betreibende Gesellschaft?

  2. Wer ist der Mutterkonzern, welchem Recht unterliegt er?

  3. Wer hat operativen Zugriff — kann Support-Personal aus Drittstaaten auf Daten zugreifen?

  4. Wer hält die Schlüssel — liegt die Verschlüsselungshoheit bei Ihnen oder beim Anbieter?

  5. Gibt es einen Lock-in — oder können Sie Daten und Modelle jederzeit mitnehmen?

Kasimir läuft in einem deutschen Rechenzentrum, betrieben von einem deutschen Unternehmen — keine US-Muttergesellschaft, kein Drittland-Support-Zugriff, kein CLOUD-Act-Risiko. Souveränität ist hier kein Marketing-Etikett, sondern die Architektur.

Fazit

Datensouveränität ist die Frage, ob Sie oder ein fremder Staat im Zweifel das letzte Wort über Ihre Daten haben. Ein EU-Serverstandort ist dafür notwendig, aber nicht hinreichend. Wer KI einführt, sollte Souveränität von Anfang an mitdenken — den Gesamtüberblick gibt unser Leitfaden zu DSGVO-konformer KI für Unternehmen, die konkreten Auswahlkriterien der Beitrag DSGVO-konforme KI: die 7 Kriterien.

Quellen

DSGVO-konforme KI aus einem echten deutschen Rechenzentrum

Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.