Datenschutz & Souveränität
Datensouveränität im Unternehmen: Mehr als nur ein Serverstandort
„Unsere Daten liegen in der EU“ klingt beruhigend — reicht aber nicht. Warum Datenresidenz und Datensouveränität zwei verschiedene Dinge sind und woran Sie einen wirklich souveränen Anbieter erkennen.

Kaum ein Wort fällt in KI- und Cloud-Gesprächen häufiger als „Souveränität“ — und kaum eines wird so oft mit „Serverstandort“ verwechselt. Der Bedarf ist real: Laut Bitkom Cloud Report 2025 halten 78 % der Unternehmen Deutschland für zu abhängig von US-Cloud-Anbietern; 97 % berücksichtigen inzwischen das Herkunftsland eines Anbieters, für 67 % ist es zwingend — 2024 waren es noch 58 %. Das Herkunftsland ist vom Nice-to-have zum Kaufkriterium geworden.
Residenz ist nicht Souveränität
Der entscheidende Unterschied in einem Satz: Datenresidenz beschreibt, wo Daten geografisch gespeichert werden. Datensouveränität beschreibt, wer rechtlich und operativ Kontrolle über sie hat. Ein US-Konzern kann Ihre Daten in einem Frankfurter Rechenzentrum speichern — und unterliegt trotzdem US-Recht. Genau das ist der Kern des Problems.
Der strukturelle Konflikt: CLOUD Act vs. DSGVO
Der US CLOUD Act verpflichtet US-Unternehmen, Daten auf Anordnung an US-Behörden herauszugeben — unabhängig vom Speicherort, teils unter Verschwiegenheitsauflage („Gag Order“). Die DSGVO verbietet in Art. 48 aber genau das: die Herausgabe an ein Drittland-Gericht ohne völkerrechtliches Rechtshilfeabkommen. Ein US-Anbieter mit EU-Rechenzentrum steht damit zwischen zwei unvereinbaren Rechtsordnungen. Verstöße gegen die Transferregeln der DSGVO können mit bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes geahndet werden.
Verschärft wird das durch das EuGH-Urteil Schrems II: Datentransfers in die USA erfordern eine aufwändige Einzelfallprüfung. Bei echtem EU-Hosting durch einen europäischen Anbieter entfällt dieser Aufwand — es gibt schlicht keinen Drittlandtransfer.
Was der Staat empfiehlt
Auch der Staat treibt das Thema. Das BSI hat 2026 die Cloud Computing Compliance Criteria (C3A) als Orientierung für souveräne Cloud-Dienste veröffentlicht. BSI-Präsidentin Claudia Plattner:
„Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“
Auf europäischer Ebene verfolgt Gaia-X das Ziel einer interoperablen, DSGVO-konformen Dateninfrastruktur, bei der der Zugriff jederzeit widerrufbar bleibt. Das Bundesministerium für Digitales formuliert die Leitidee nüchtern: „Digitale Autonomie ist nur gemeinsam mit europäischen Partnern möglich.“
Woran Sie echte Souveränität erkennen
Fünf Fragen trennen den souveränen Anbieter vom bloßen EU-Rechenzentrum:
Wo steht das Rechenzentrum — und wo sitzt die betreibende Gesellschaft?
Wer ist der Mutterkonzern, welchem Recht unterliegt er?
Wer hat operativen Zugriff — kann Support-Personal aus Drittstaaten auf Daten zugreifen?
Wer hält die Schlüssel — liegt die Verschlüsselungshoheit bei Ihnen oder beim Anbieter?
Gibt es einen Lock-in — oder können Sie Daten und Modelle jederzeit mitnehmen?
Kasimir läuft in einem deutschen Rechenzentrum, betrieben von einem deutschen Unternehmen — keine US-Muttergesellschaft, kein Drittland-Support-Zugriff, kein CLOUD-Act-Risiko. Souveränität ist hier kein Marketing-Etikett, sondern die Architektur.
Fazit
Datensouveränität ist die Frage, ob Sie oder ein fremder Staat im Zweifel das letzte Wort über Ihre Daten haben. Ein EU-Serverstandort ist dafür notwendig, aber nicht hinreichend. Wer KI einführt, sollte Souveränität von Anfang an mitdenken — den Gesamtüberblick gibt unser Leitfaden zu DSGVO-konformer KI für Unternehmen, die konkreten Auswahlkriterien der Beitrag DSGVO-konforme KI: die 7 Kriterien.
Quellen
DSGVO-konforme KI aus einem echten deutschen Rechenzentrum
Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.



