Souveränität & Daten

„In Europa gehostet“ heißt nicht souverän

Q: Ist ein in Europa gehosteter Dienst zwangsläufig souverän?

Nein. Ein amerikanischer Anbieter wie AWS, Microsoft Azure oder Cloudflare bleibt dem CLOUD Act unterworfen, selbst wenn seine Server in Paris oder Frankfurt stehen. Souveränität hängt vom Eigentum und der Kontrolle des Unternehmens ab, nicht allein vom Standort der Server.

Es ist zum beruhigenden Standard-Siegel geworden: „Daten in Europa gehostet“. Man hakt es ab, atmet auf, macht weiter. Das Problem ist, dass es die falsche Frage beantwortet. Was über die Souveränität Ihrer Daten entscheidet, ist nicht die Adresse Ihrer Server — es ist die Nationalität des Unternehmens, das sie kontrolliert.

Fred Gaveau26. Juni 2026~9 Min. Lesezeit

Sagen wir es offen, denn das ist der Geist dieses Blogs: Ein Server in Paris, der von einem amerikanischen Unternehmen betrieben wird, ist kein souveräner Server. Nicht, weil der Hoster über den Standort lügt — er sagt die Wahrheit. Sondern weil der Standort nicht das richtige Kriterium ist. Das Kriterium lautet: Wer kann rechtlich gezwungen werden, die Daten herauszugeben, und unter welchem Recht?

Das beruhigende Siegel, das an der Sache vorbeigeht

„Region Europa“, „Rechenzentrum in Frankfurt“, „Speicherung in Frankreich“: Diese Angaben sind überall, und sie sind nicht falsch. AWS, Microsoft Azure, Google Cloud, Cloudflare — alle bieten europäische Regionen an und speichern dort tatsächlich Ihre Daten.

Doch digitale Souveränität misst sich nicht in Kilometern. Sie misst sich in Gerichtsbarkeit: Unter welches Recht fällt die Einheit, die den Dienst besitzt und betreibt? Und daran ändert der Standort des Servers nichts an der Nationalität des Unternehmens.

Der CLOUD Act, in einem Satz

2018 verabschiedeten die USA den CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Seine Logik passt in eine Zeile: Ein dem US-Recht unterworfenes Unternehmen muss den US-Behörden die Daten herausgeben, die es kontrolliert, ganz gleich, wo auf der Welt sie gespeichert sind.

2018 Der CLOUD Act verankert die extraterritoriale Reichweite: Der Standort der Server schützt nicht mehr vor amerikanischem Zugriff.

Der Text entstand genau aus einem Streit über diesen Punkt: Im Fall Microsoft v. United States verlangte die US-Regierung E-Mails, die Microsoft … in einem Rechenzentrum in Irland gespeichert hatte. Der CLOUD Act entschied die Debatte zugunsten des Zugriffs, unabhängig vom Speicherort. Praktische Schlussfolgerung: Für einen amerikanischen Anbieter schafft „gehostet in Dublin“ oder „gehostet in Frankfurt“ keinerlei rechtliche Barriere gegenüber dem US-Recht.

Und das ist kein bloßer Juristenstreit. 2020 erklärte der Gerichtshof der Europäischen Union im Urteil Schrems II (C-311/18) den Privacy Shield für ungültig und benannte genau dieses Risiko: den Zugriff amerikanischer Behörden auf die Daten von Europäern, ohne gleichwertigen Rechtsschutz. Die Daten können in Paris liegen; das Rechtsrisiko aber überquert den Atlantik.

„Angemessen“ heißt nicht „souverän“ — zwei verschiedene Achsen

Hier verwechseln viele zwei Begriffe, die nichts miteinander zu tun haben. Entwirren wir sie, denn darin steckt die ganze Falle.

Die Angemessenheit (Artikel 45 DSGVO) ist eine Frage der legalen Übermittlung: Die EU erkennt an, dass ein Land — oder ein Rahmen wie das Data Privacy Framework EU-US vom Juli 2023 — einen als ausreichend beurteilten Schutz bietet, um dorthin Daten zu senden. Das ist eine Übermittlungserlaubnis.
Die Souveränität ist eine Frage der Kontrolle: Entzieht sich die Datei ihrer Natur nach einer Macht außerhalb der EU? Ein Anbieter kann im rechtlichen Sinne völlig „angemessen“ und zugleich völlig nicht-souverän sein.

Klares Beispiel: Ein amerikanischer Dienst mit Data Privacy Framework-Zertifizierung ist für die Übermittlung abgedeckt (rechtliche Achse), bleibt aber dem CLOUD Act unterworfen (Souveränitäts-Achse). Das Vereinigte Königreich genießt einen Angemessenheitsbeschluss — es gehört nichtsdestotrotz zu den „Five Eyes“, dem Geheimdienst-Bündnis (USA, Vereinigtes Königreich, Kanada, Australien, Neuseeland). „Rechtlich übermittelbar“ und „außerhalb der Reichweite eines Drittstaats“ sind zwei verschiedene Dinge.

Zum Mitnehmen

Souveränität = Eigentum und Kontrolle (fällt das Unternehmen unter den EWR?). Angemessenheit = Übermittlungsrecht (darf man dorthin legal Daten senden?). Ein Dienst kann das Zweite abhaken, ohne das Erste zu erfüllen. Auf dieser Lücke spielt sich alles Weitere ab.

Der eigentliche blinde Fleck: die Abhängigkeiten, die Sie nicht sehen

Nehmen wir an, Sie haben für Ihre Site einen souveränen Hoster gewählt. Sehr gut. Aber Ihre Seite ist nicht nur ein Server: Sie ist eine Konstellation von Drittanbieter-Diensten, die im Browser Ihrer Besucher geladen werden — und jeder erhält mindestens deren IP-Adresse.

94 % der Seiten laden mindestens einen Drittanbieter-Dienst, und der mit Abstand verbreitetste ist amerikanisch (HTTP Archive, Web Almanac).

Google Fonts, Google Analytics, Tag Manager, reCAPTCHA, eingebettetes YouTube, Meta-Pixel, CDN von Cloudflare oder AWS CloudFront, Chat, A/B-Testing, Karten … Die Median-Site reiht Dutzende davon aneinander. Und die im Web am stärksten präsenten sind fast alle amerikanisch.

Die verbreitetsten Drittanbieter-Dienste sind amerikanisch

Google Analytics

~55 % 🇺🇸

Cloudflare

~21 % 🇺🇸

Anteil der Websites, die diese Dienste nutzen, Größenordnungen nach W3Techs (abgerufen 2026). Zwei der weltweit am häufigsten eingesetzten Dienste, beide dem CLOUD Act unterworfen — egal, welche Hosting-Region gewählt wird. Und das sind nur die sichtbarsten.

Schlimmer noch: Manche Tracker verkleiden sich. Beim CNAME cloaking zeigt eine Subdomain mit First-Party-Anschein (metrics.ihresite.de) über einen DNS-Eintrag in Wahrheit auf die Infrastruktur eines Drittanbieter-Trackers. Mit bloßem Auge sieht es nach „bei Ihnen“ aus. In Wirklichkeit gehen die Daten anderswohin — oft außerhalb der EU. Genau diese Art von Abhängigkeit muss ein ehrliches Audit aufdecken, statt sie durchgehen zu lassen.

In der EU gehostet ≠ souverän: der Test in der Praxis

Die richtige Methode, eine Abhängigkeit zu beurteilen, besteht nicht darin, die Seite „Wo sind Ihre Daten“ zu lesen. Sie besteht darin, sich Dienst für Dienst drei Fragen zu stellen:

Wem gehört das Unternehmen? Muttergesellschaft im EWR oder in den USA / im Vereinigten Königreich / in Kanada / in Australien? Das ist das entscheidende Kriterium.
Verlassen die Daten den Browser des Besuchers? Ein Netzwerkaufruf an eine Drittanbieter-Domain übermittelt die IP, und oft mehr.
Ist die Abhängigkeit verkleidet? Eine First-Party-Subdomain kann über CNAME eine Übermittlung außerhalb der EU verschleiern.

Niemand macht das von Hand über 40 Requests. Genau das automatisiert ein Souveränitäts-Scanner: Er listet jeden tatsächlich geladenen Drittanbieter-Dienst, ordnet ihn nach Gerichtsbarkeit ein (🇪🇺 souverän / 🔴 nicht-souverän / 🟠 zu prüfen), deckt CNAME cloaking auf und schlägt für jede Abhängigkeit eine europäische Alternative vor.

Neugierig auf Ihre eigene Site? Unser Souveränitäts-Checker listet Ihre Abhängigkeiten außerhalb der EU in 90 Sekunden, kostenlos und ohne Anmeldung — US/EU-Score, aufgedeckte Tracker und europäische Alternativen.

Souveränität meiner Site prüfen →

Die gute Nachricht: Die Alternativen existieren

Souveränität ist kein frommer Wunsch und kein funktionales Opfer. Für nahezu jeden Baustein einer Site gibt es eine in der EU etablierte Option:

Hosting / Cloud: OVHcloud, Scaleway, Clever Cloud, Hetzner.
Analytics: Snorklee, Matomo, Plausible, Piwik PRO.
CDN: Bunny CDN, Scaleway.
Schriften: selbst gehostet oder Bunny Fonts.
E-Mail / Marketing: Brevo, Mailjet, MailerLite.
Zahlung: Mollie, Adyen; Anti-Bot: DataDome, Friendly Captcha; Chat: Crisp.

Das Ziel ist nicht, eine Flagge zu hissen. Es geht darum, die Exposition zu verringern: weniger Daten, die die EU verlassen, weniger Dritte, die einem fremden Recht unterworfen sind, weniger Graubereiche zu dokumentieren. Jede nicht-souveräne Abhängigkeit, die Sie ersetzen, ist eine Abhängigkeit weniger, die Sie in Ihrem Verzeichnis der Verarbeitungstätigkeiten rechtfertigen müssen.

Klartext

„In Europa gehostet“ ist eine nützliche Angabe, aber nur eine halbe Antwort. Die Hälfte, die wirklich zählt — wer das Unternehmen kontrolliert, welchem Recht es unterliegt — bleibt unter der Oberfläche. Der CLOUD Act interessiert sich nicht für die Adresse Ihrer Server; er interessiert sich für die Nationalität Ihres Anbieters.

Souveränität ist also kein Siegel, das man zur Schau stellt. Sie ist eine Kette von Abhängigkeiten, der man ins Auge sieht: der Hoster, aber auch die Schriften, die Analytics, das CDN, die Drittanbieter-Skripte, bis hin zu Trackern, die als First-Party verkleidet sind. Snorklee ist aus dieser Erkenntnis entstanden — eine Reichweitenmessung, die 100 % souverän, in Frankreich gehostet, ohne amerikanische Abhängigkeit, ohne Cookie und ohne Banner ist. Und der dazugehörige Checker ist für eine Sache da: Ihnen ohne Beschönigung zu zeigen, was Ihre Site wirklich mitlädt.

Vertrauen Sie nicht dem Siegel. Schauen Sie auf die Kette.

FAQ

Ist ein in Europa gehosteter Dienst zwangsläufig souverän?
Nein. Das ist der springende Punkt: Ein amerikanischer Anbieter wie AWS, Microsoft Azure oder Cloudflare bleibt dem CLOUD Act unterworfen, selbst wenn seine Server in Paris oder Frankfurt stehen. Souveränität hängt vom Eigentum und der Kontrolle des Unternehmens ab, nicht allein vom Standort der Server.

Was ist der CLOUD Act genau?
Ein US-Gesetz von 2018, das dem US-Recht unterworfene Unternehmen verpflichtet, den Behörden die Daten herauszugeben, die sie kontrollieren, ganz gleich, wo auf der Welt sie gespeichert sind. Es entstand aus dem Fall Microsoft v. United States, in dem es um in Irland gehostete Daten ging. Der Standort der Server schafft also keine rechtliche Barriere gegenüber dem US-Recht.

Bedeutet „angemessen“ im Sinne der DSGVO „souverän“?
Nein, das sind zwei verschiedene Achsen. Die Angemessenheit (Art. 45 DSGVO) erlaubt eine Datenübermittlung in ein Land oder einen als hinreichend schützend beurteilten Rahmen (z. B. das Data Privacy Framework EU-US). Souveränität betrifft die Kontrolle: Ein Dienst kann für die Übermittlung angemessen sein und zugleich einem fremden Recht wie dem CLOUD Act unterliegen.

Wie erkenne ich, ob meine Site von nicht-souveränen Diensten abhängt?
Indem man jeden tatsächlich von der Seite geladenen Drittanbieter-Dienst auflistet und nach Gerichtsbarkeit einordnet. Genau das automatisiert ein Souveränitäts-Checker: Er identifiziert die Abhängigkeiten außerhalb der EU, deckt Tracker mit CNAME cloaking auf und schlägt europäische Alternativen vor — kostenlos und in wenigen Sekunden.

Gibt es glaubwürdige europäische Alternativen?
Ja, für nahezu jeden Baustein einer Site: OVHcloud oder Scaleway fürs Hosting, Matomo, Plausible oder Snorklee für die Analytics, Bunny CDN fürs CDN, Brevo für E-Mail, Mollie für die Zahlung usw. Die Exposition zu verringern, ist selten eine Frage der Verfügbarkeit — häufiger eine Frage der Gewohnheit.

Veröffentlicht im Juni 2026. Hauptquellen: CLOUD Act — Clarifying Lawful Overseas Use of Data Act, H.R. 4943 (2018); Fall Microsoft Corp. v. United States (Streit über in Irland gehostete Daten, Ursprung des Gesetzes); EuGH, Urteil Schrems II, C-311/18 (16. Juli 2020, Ungültigerklärung des Privacy Shield); Angemessenheitsbeschluss EU-US Data Privacy Framework (10. Juli 2023); Geheimdienst-Bündnis „Five Eyes“. Verbreitung von Drittanbieter-Diensten: HTTP Archive, Web Almanac (Kapitel Third Parties) und W3Techs (Nutzungsanteile, Größenordnungen, abgerufen 2026). Allgemeine Information, keine individuelle Rechtsberatung — für einen konkreten Fall ziehen Sie einen Datenschutzbeauftragten oder eine qualifizierte juristische Beratung hinzu.