Architektur & SouveränitätFortgeschritten
Was ist Datenresidenz?
Geografischer Speicherort, rechtliche Reichweite und der Unterschied zur Datensouveränität

Definition: Was bedeutet Datenresidenz?
Datenresidenz (englisch Data Residency) bezeichnet den geografischen Speicherort von Daten — also die physische Region, in der ein Cloud- oder Hosting-Anbieter Daten ablegt, repliziert und verarbeitet. Das Konzept hat ursprünglich aus regulatorischen Anforderungen wie der DSGVO an Bedeutung gewonnen, ist aber ein engerer Begriff als die häufig parallel verwendete Datensouveränität.
Datenresidenz allein beschreibt nur die physische Lokalisation. Sie sagt nichts über die rechtliche Reichweite, der die Daten unterliegen — und damit auch nichts darüber, ob Drittstaats-Behörden Zugriff verlangen können. In der Marketing-Sprache vieler Cloud-Anbieter werden EU-Speicherort und souveräne Cloud häufig vermischt, obwohl der Unterschied juristisch erheblich ist.
Für DSGVO-Konformität ist Datenresidenz in der EU eine notwendige, aber nicht hinreichende Bedingung. Wer das Konzept ernsthaft umsetzt, muss die Dimension Datensouveränität ergänzen — Eigentümer-Struktur, Vertragsgerichtsstand, Schlüsselhoheit.
Warum Datenresidenz allein nicht ausreicht
Der entscheidende Grund: Eigentümer-Struktur und Vertragsrecht entscheiden, welcher Jurisdiktion ein Anbieter unterliegt — nicht der Server-Standort. Eine deutsche Niederlassung eines US-Konzerns fällt weiterhin unter US-Recht, einschließlich des CLOUD Act, der Datenherausgaben weltweit anordnen kann.
Microsoft hat 2024 mit der EU Data Boundary einen Versuch unternommen, Datenresidenz technisch in der EU zu garantieren — Daten europäischer Kunden bleiben physisch in europäischen Rechenzentren. Aufsichtsrechtlich bleibt der Konzern jedoch US-amerikanisch, der CLOUD Act gilt weiterhin. Ähnlich AWS European Sovereign Cloud (geplant ab 2026) und Google Sovereign Cloud — beide adressieren Datenresidenz im engeren Sinne, ohne den Jurisdiktions-Konflikt vollständig zu lösen.
Schrems II (EuGH, C-311/18) hat die juristische Trennlinie 2020 gezogen: Standardvertragsklauseln allein reichen nicht für Drittlands-Übermittlungen, supplementary measures sind Pflicht. Übersetzt heißt das: Datenresidenz als Marketingbegriff genügt nicht für DSGVO-Konformität bei US-Anbietern. Die Bundesdatenschutzbeauftragte hat diesen Punkt in mehreren Positionspapieren bestätigt.
Echte Souveränität verlangt daher drei Schichten gleichzeitig: physische EU-Speicherung, Betreiber unter ausschließlich europäischer Jurisdiktion und Verschlüsselung mit Schlüsseln in eigener Hand.
Datenresidenz in Verträgen
Vertraglich wird Datenresidenz typischerweise im Auftragsverarbeitungs-Vertrag (AVV) nach Artikel 28 DSGVO geregelt. Standardklauseln benennen die zugelassenen Speicher-Regionen und schließen typischerweise Datenübertragungen außerhalb der EU aus — soweit der Anbieter dies technisch garantieren kann.
Drei Klauseln sind in der Praxis kritisch. Erstens die Subprocessor-Transparenz: Der Anbieter muss alle Subdienstleister offenlegen, die Daten verarbeiten oder darauf Zugriff haben. Bei Cloud-Anbietern mit globaler Lieferkette kann diese Liste mehrere Hundert Einträge umfassen. Eine vertragliche Zusage, dass alle Subprocessor in der EU sitzen, ist kein Standard und muss explizit verhandelt werden.
Zweitens die Standort-Garantie für Backups und Disaster-Recovery: Daten werden routinemäßig in mehrere Regionen repliziert. Eine Standort-Klausel, die nur die Primär-Region adressiert, lässt Backup-Replikation in andere Jurisdiktionen offen. Drittens das Audit-Recht: Sie oder beauftragte Dritte müssen die Standort-Zusagen prüfen können — entweder über Anbieter-Reports (BSI C5, ISO 27001) oder durch eigene Prüfungen vor Ort.
Vor Vertragsschluss sollte ein Datenfluss-Diagramm vorliegen, das alle Verarbeitungsschritte mit zugehörigen Regionen dokumentiert. Ohne dieses Diagramm sind viele Datenresidenz-Zusagen praktisch nicht überprüfbar.
Technische Umsetzung
Auf technischer Ebene umfasst Datenresidenz mehrere Konfigurations-Schichten. Die offensichtlichste ist die Cloud-Region-Auswahl — bei AWS, Azure, GCP und souveränen Anbietern lassen sich Speicher- und Compute-Ressourcen auf bestimmte Regionen beschränken. Bei Multi-Region-Setups muss explizit die Replikations-Topologie konfiguriert werden, sonst landen Daten potenziell in nicht-zugelassenen Regionen.
Backups sind ein häufig übersehener Punkt: Snapshots, Logs und Disaster-Recovery-Replikate werden in vielen Standard-Konfigurationen automatisch in andere Regionen kopiert. Bei DSGVO-Workloads ist eine explizite Backup-Region-Konfiguration erforderlich, idealerweise mit dokumentierten Aufbewahrungsfristen und Lösch-Mechanismen.
Verschlüsselung ergänzt Datenresidenz um eine technische Schutzschicht. At-Rest-Verschlüsselung schützt vor physischem Zugriff, In-Transit-Verschlüsselung gegen Netzwerk-Abhörung. Beide sind heute Standard, aber nicht gegen den CLOUD Act wirksam, wenn der Anbieter die Schlüssel verwaltet. Bring Your Own Key (BYOK) und Hold Your Own Key (HYOK) verlagern die Schlüssel-Hoheit in die Hand des Datenverantwortlichen, idealerweise in einem Hardware Security Module (HSM) unter EU-Kontrolle.
Confidential Computing — Intel TDX, AMD SEV-SNP, NVIDIA H100 mit CC-On — ergänzt diese Bausteine um hardware-basierte Memory-Isolation. Damit kann Inferenz auf personenbezogenen Daten in einer Enklave ausgeführt werden, deren Speicher selbst der Cloud-Betreiber nicht einsehen kann.
Datenresidenz vs. Datensouveränität
Datensouveränität ist der weitergehende Begriff. Während Datenresidenz die physische Lokalisation beschreibt, umfasst Datensouveränität die rechtliche Kontrolle: Welcher Jurisdiktion unterliegen die Daten, wer kann auf sie zugreifen, in welchem Vertragsrecht ist der Service-Vertrag verankert?
Souveräne Cloud-Anbieter aus Deutschland, die alle drei Schichten erfüllen, sind überschaubar in der Anzahl, aber produktiv: Stackit (Schwarz-Gruppe), IONOS Cloud, Open Telekom Cloud Sovereign, sowie spezialisierte Landes-Rechenzentren mit GPU-Erweiterungen. Auf EU-Ebene kommen OVHcloud, Scaleway, Hetzner und einige skandinavische Anbieter hinzu. Eigentümer-Struktur, Subprocessor-Liste und Vertragsgerichtsstand sind die Prüfpunkte vor Auswahl.
Für Hochrisiko-Anwendungen nach EU AI Act und für sensible DSGVO-Workloads ist Datensouveränität — nicht nur Datenresidenz — der relevante Standard. Ein Stack, der nur Datenresidenz im engeren Sinne erfüllt, kann bei aufsichtsrechtlichen Prüfungen scheitern, wenn der Anbieter unter US-Recht steht.
Praktisch heißt das: Bei der Anbieter-Auswahl auf drei Fragen achten. Wo sind die Daten physisch? Welcher Jurisdiktion unterliegt der Vertragspartner? Wer hält die Verschlüsselungs-Schlüssel? Erst wenn alle drei Antworten EU lauten, liegt Datensouveränität vor — Datenresidenz allein ist die schwächere Variante.
Häufige Fragen zu Datenresidenz
Was ist der Unterschied zwischen Datenresidenz und Datensouveränität?
Datenresidenz beschreibt den physischen Speicherort. Datensouveränität umfasst zusätzlich die rechtliche Kontrolle — Jurisdiktion des Anbieters, Vertragsgerichtsstand, Schlüsselhoheit. Ein US-Anbieter mit Servern in Frankfurt kann Datenresidenz in der EU bieten, aber keine Datensouveränität, weil der CLOUD Act weiterhin greift. Datensouveränität verlangt drei Schichten zugleich: EU-Standort, EU-Jurisdiktion des Betreibers, Schlüssel in eigener Hand.
Reicht ein deutsches Rechenzentrum für DSGVO-Konformität?
Nicht zwingend. Wenn der Betreiber eine US-Muttergesellschaft hat, kann der CLOUD Act greifen — Datenherausgabe an US-Behörden bleibt möglich, auch wenn die Server in Frankfurt stehen. Schrems II hat 2020 klargestellt, dass Standardvertragsklauseln allein nicht reichen. DSGVO-konform ist ein deutsches Rechenzentrum nur, wenn auch Eigentümer-Struktur, Subprocessor-Kette und Vertragsgerichtsstand vollständig in der EU liegen — dann liegt echte Datensouveränität vor.
Was bedeutet 'EU Data Boundary' bei Microsoft?
Microsoft hat 2024 die EU Data Boundary als Erweiterung seiner Cloud-Region-Konfiguration eingeführt. Daten europäischer Kunden bleiben physisch in europäischen Rechenzentren — Datenresidenz im engeren Sinn ist damit erfüllt. Microsoft als Konzern bleibt jedoch US-amerikanisch, der CLOUD Act greift weiterhin. Die EU Data Boundary löst Datenresidenz, nicht Datensouveränität. Für Hochrisiko-Workloads bleibt sie aufsichtsrechtlich umstritten.
Welche EU-Cloud-Anbieter erfüllen volle Datensouveränität?
Anbieter mit ausschließlich europäischer Eigentümer-Struktur, EU-Jurisdiktion und transparenter Subprocessor-Kette. Aus Deutschland: Stackit (Schwarz-Gruppe), IONOS Cloud, Open Telekom Cloud Sovereign, sowie spezialisierte Landes-Rechenzentren. Aus der EU: OVHcloud, Scaleway, Hetzner, einige skandinavische Anbieter. Vor Auswahl die Eigentümer-Struktur prüfen — eine deutsche GmbH als US-Subsidiary erfüllt die Souveränitäts-Schwelle nicht. BSI-C5-Zertifizierung plus Souveränitäts-Klauseln im Vertrag sind das übliche Bewertungs-Raster.
Wie wird Datenresidenz vertraglich abgesichert?
Über vier Klauseln im Auftragsverarbeitungs-Vertrag. Erstens explizite Standort-Klausel für Primär-Speicherung, Backups und Disaster-Recovery. Zweitens Subprocessor-Transparenz mit Vorlauf bei Änderungen. Drittens Audit-Recht für Sie oder beauftragte Dritte. Viertens Schlüsselhoheit-Klausel, idealerweise mit Hardware Security Module unter Ihrer Kontrolle. Plus ein Datenfluss-Diagramm als Anhang, das alle Verarbeitungsschritte mit zugehörigen Regionen dokumentiert.