Datensouveränität
DSGVO-konform ist nicht
automatisch datensouverän.
Solange Prompts an OpenAI, Anthropic Claude oder Google Gemini gehen, hilft auch das beste EU-Hosting nichts. Datensouveränität ist eine Frage der Jurisdiktion, nicht der Server-Adresse.
Schrems II
Der EuGH hat den Maßstab
längst gesetzt.
Wer personenbezogene Daten in Drittländer überträgt, muss ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU sicherstellen. US-Recht erlaubt das nicht. Der CLOUD Act zwingt US-Anbieter, Daten an US-Behörden herauszugeben, auch wenn die Server in Frankfurt oder Dublin stehen.
Anspruch vs. Realität
Was Anbieter sagen ,
und was wirklich gilt.
Drei Aussagen, die im KI-Markt üblich sind, und was sie juristisch bedeuten.
Was Anbieter werben
„Wir sind DSGVO-konform", abgesichert über Standardvertragsklauseln (SCCs)
SCCs sind seit Schrems II nur mit zusätzlichen technischen und organisatorischen Maßnahmen zulässig. Der CLOUD Act bricht diese Verträge, weil er US-Recht über das Vertragsversprechen stellt.
„EU-Frontend, OpenAI / Claude / Gemini im Backend", angeblich „compliant by design"
Egal wie europäisch das Frontend gehostet ist: Jeder Prompt, jeder Anhang und jede Antwort fließt durch OpenAI (USA), Anthropic (USA) oder Google (USA). Auch Azure OpenAI, Bedrock und Vertex AI ändern nichts daran, die Modell-Anbieter bleiben US-LP und damit CLOUD-Act-pflichtig.
„Auf Basis EU-US Data Privacy Framework (DPF)"
Das DPF ist seit 2023 formal gültig, aber strukturell wackelig. NOYB bereitet „Schrems III" vor. Im Januar 2025 hat Trump dem zuständigen Data Protection Review Court die Beschlussfähigkeit entzogen.
Das Kernproblem
Zwei Urteile,
drei US-Modell-Anbieter.
Schrems II und der CLOUD Act setzen den Rechtsrahmen. Praktisch zugespitzt wird er durch das KI-Modell-Geschäft: Drei US-Konzerne dominieren den Markt, jeder Prompt landet bei einem von ihnen.
Schrems II (EuGH C-311/18, 16.07.2020)
Der EuGH erklärte das EU-US Privacy Shield für ungültig. Begründung: US-Massenüberwachung (FISA 702, Executive Order 12333) gibt Betroffenen keinen wirksamen Rechtsschutz. Drittlandtransfers brauchen ein „im Wesentlichen gleichwertiges" Schutzniveau wie die DSGVO, das US-Recht strukturell nicht bieten kann.
US CLOUD Act (2018)
Verpflichtet US-Provider, Daten auf Anordnung von US-Behörden herauszugeben, unabhängig vom Speicherort. Selbst wenn dein AWS-Server in Frankfurt steht: Das US Department of Justice kann Zugriff verlangen. Der CLOUD Act steht in direktem Konflikt mit Art. 48 DSGVO.
Modell-APIs: OpenAI, Anthropic, Google
OpenAI, Anthropic (Claude) und Google (Gemini) sitzen alle in Kalifornien und unterliegen US-Recht. Auch Azure OpenAI, AWS Bedrock und Vertex AI ändern daran nichts, die Modell-Anbieter bleiben verantwortliche Stelle. Jeder API-Call fließt durch ihre Kontrolle. „Zero Data Retention" und SOC 2 ersetzen keine Jurisdiktion.
Ausblick 2026
Warum die Lage schlechter wird,
nicht besser.
Drei Entwicklungen, die jeder ernsthafte Compliance-Verantwortliche kennen sollte.
DPF auf wackligen Beinen
Im September 2025 hat der EuG eine erste Klage (Latombe) gegen das DPF abgewiesen. NOYB hat aber bereits eine breitere, fundierte Beschwerde („Schrems III") in Vorbereitung, Schrems hat bereits zwei Vorgängerabkommen vor dem EuGH zu Fall gebracht.
Trump entzieht dem DPF die Grundlage
Im Januar 2025 hat Trump demokratische Mitglieder des Data Protection Review Court entlassen, das Gremium ist nicht mehr beschlussfähig. Die Executive Order, auf der das DPF beruht, kann jederzeit aufgehoben werden.
EU Data Act zieht die Schraube an
Seit September 2025 anwendbar. Kapitel VII verpflichtet Cloud-Anbieter zu technischen, rechtlichen und organisatorischen Maßnahmen gegen unrechtmäßigen Zugriff von Nicht-EU-Behörden. Die Regulierung bewegt sich klar in Richtung echter Souveränität.
Unsere Antwort
100% europäischer Stack ,
kein US-Provider in der Datenkette.
Wir haben Wunder so gebaut, dass die Schrems-II-Frage erst gar nicht entsteht. Kein CLOUD-Act-Risiko, kein „aber das DPF schützt uns"-Wunschdenken.
Hosting
Hostinger, Scaleway, Stackit, europäische Anbieter mit europäischen Rechenzentren. Kein AWS, kein Azure, kein GCP.
KI-Modelle
Mistral (Frankreich) sowie Open-Weights-Modelle wie GPT-OSS, Qwen oder Llama, auf europäischer Infrastruktur betrieben, ohne Aufruf an OpenAI, Anthropic Claude oder Google Gemini. Kein US-Anbieter in der Standard-Inferenz-Kette.
Auftragsverarbeitung
Vollständige Liste aller Subprocessors transparent im Trust Center. Alle EU-basiert, ohne SCCs als Krücke gegen den CLOUD Act.
Belege
Diese Seite ist belegt.
Hier ist das Material.
Stützt sich auf öffentliche Urteile, Behördenmaterialien und juristische Fachpublikationen.
- EuGH, Urteil C-311/18 („Schrems II"), 16.07.2020, EUR-Lex
- BfDI, Auswirkungen des Schrems-II-Urteils
- DLA Piper, EU-US Data Privacy Framework Survives First Challenge (September 2025)
- NOYB, EU-US Data Transfers: Time to prepare for more trouble
- Heuking, US-Cloud-Anbieter unter der Trump-Administration
Diese Seite ist keine Rechtsberatung. Sie fasst öffentlich verfügbare Quellen zusammen, um die Debatte um Datensouveränität nachvollziehbar zu machen.
Bereit für KI
ohne CLOUD-Act-Risiko?
Sprich mit uns. Wir zeigen dir den vollständigen Datenpfad, Server, Modelle, Subprocessors, bis ins Detail.