← Zurück zum Blog
Datenhoheit

EU Server, europäische Verarbeitung: Warum der Standort Ihrer Daten zählt

Guido Bülskämper

Guido Bülskämper

Gründer expedit.io

EU Server, europäische Verarbeitung: Warum der Standort Ihrer Daten zählt

Fragen Sie einen Marketing-Tool-Anbieter, ob sein Produkt DSGVO-konform ist. Die Antwort wird fast immer Ja lauten. Fragen Sie dann, wo genau Ihre Daten gespeichert werden. An diesem Punkt wird es oft vage.

„In der Cloud.“ „Bei einem zertifizierten Anbieter.“ „Wir erfüllen alle Anforderungen.“

Das sind keine Antworten. Das sind Ausweichmanöver. Und sie sollten Sie stutzig machen.

Das Missverständnis um Compliance

In der DACH-Region gelten strenge Datenschutzregeln. Die DSGVO in Deutschland und Österreich, das DSG in der Schweiz. Beide Regelwerke nehmen den Schutz personenbezogener Daten ernst. Beide verlangen, dass Unternehmen wissen, wo ihre Daten liegen und wer darauf zugreifen kann.

Doch „DSGVO-konform“ zu sein, ist nicht dasselbe wie Datensouveränität zu haben. Compliance bedeutet, dass ein Anbieter bestimmte Mindeststandards erfüllt. Es bedeutet nicht, dass Sie die Kontrolle über Ihre Daten haben.

Ein Beispiel: Ein US-amerikanischer Cloud-Anbieter kann DSGVO-konform arbeiten, indem er Standardvertragsklauseln verwendet und technische Schutzmassnahmen implementiert. Rechtlich ist das zulässig. Aber Ihre Daten liegen trotzdem auf Servern, die dem US-amerikanischen CLOUD Act unterliegen. Amerikanische Behörden können unter bestimmten Umständen Zugriff verlangen – auch auf Daten europäischer Kunden.

Das ist kein theoretisches Risiko. Es ist die rechtliche Realität.

Wo liegen Ihre Marketing-Daten wirklich?

Marketing-Daten sind in den meisten Fällen keine personenbezogenen Daten im engeren Sinn. Kampagnen-Performance, Klickzahlen, Conversion-Raten – das sind aggregierte Werte ohne direkten Personenbezug. Warum also sollte der Serverstandort eine Rolle spielen?

Aus drei Gründen.

Erstens: Die Grenze zwischen personenbezogenen und nicht-personenbezogenen Daten ist fliessend. Sobald Sie Audience-Daten, CRM-Verknüpfungen oder Tracking-Informationen einbeziehen, bewegen Sie sich schnell im Bereich personenbezogener Daten. Und dann gelten die Regeln der DSGVO vollumfänglich.

Zweitens: Auch wenn Ihre Marketing-Daten heute nicht personenbezogen sind, können sie es morgen werden. Wenn Sie Ihre Dateninfrastruktur von Anfang an in Europa aufbauen, müssen Sie später nicht umziehen – auch nicht, wenn Sie KI-Lösungen einsetzen wollen.

Drittens: Es geht nicht nur um Compliance, sondern um Vertrauen. Ihre Kunden, Ihre Partner und Ihre eigene Geschäftsleitung erwarten, dass Sie verantwortungsvoll mit Daten umgehen. „Die Daten liegen in der Schweiz“ ist eine klare Aussage. „Die Daten liegen irgendwo in der Cloud eines US-Anbieters“ ist es nicht.

Die Schweiz als Sonderfall

Für Unternehmen in der Schweiz gibt es eine zusätzliche Dimension. Das Schweizer Datenschutzgesetz, das 2023 grundlegend überarbeitet wurde, orientiert sich stark an der DSGVO – ist in einigen Punkten aber eigenständig.

Die EU hat der Schweiz einen Angemessenheitsbeschluss erteilt. Das bedeutet: Datentransfers zwischen der EU und der Schweiz sind grundsätzlich zulässig, weil die Schweiz ein vergleichbares Datenschutzniveau bietet. Für Schweizer Unternehmen, die auch mit deutschen oder österreichischen Partnern arbeiten, ist das ein Vorteil.

Aber der Angemessenheitsbeschluss gilt nicht automatisch in die andere Richtung. Wenn ein Schweizer Unternehmen Daten bei einem US-Anbieter speichert, gelten dieselben Bedenken wie für EU-Unternehmen. Der Serverstandort Schweiz ist also kein Selbstläufer – er muss aktiv gewählt werden.

Wie eine europäische Datenarchitektur aussieht

Eine durchdachte Marketing-Datenarchitektur trennt drei Ebenen: Speicherung, Verarbeitung und Visualisierung. Jede dieser Ebenen kann bei einem anderen Anbieter liegen. Entscheidend ist, dass die gesamte Kette den Anforderungen entspricht.

Die Speicherung ist der kritischste Punkt. Hier liegen die Rohdaten – die vollständige Historie Ihrer Marketing-Aktivitäten. Diese Daten sollten in einer Infrastruktur liegen, die Sie kontrollieren und die sich physisch in der Schweiz oder der EU befindet. Google BigQuery mit Serverstandort Zürich ist eine solche Option. Die Datenbank gehört dem Kunden, nicht dem Dienstleister.

Die Verarbeitung – also das Zusammenführen, Transformieren und Aufbereiten der Daten – kann durch spezialisierte Partner erfolgen. Wichtig ist, dass diese Partner in der EU oder der Schweiz ansässig sind und keine Daten dauerhaft speichern. Die Daten fliessen durch, sie bleiben nicht hängen.

Die Visualisierung schliesslich macht die Daten nutzbar. Dashboards, Reports, Analysen. Auch hier gibt es europäische Lösungen. Wir arbeiten beispielsweise mit steep.app, einem schwedischen Anbieter, der sich auf Marketing-Dashboards spezialisiert hat. Die Visualisierung greift auf das Data Warehouse des Kunden zu – die Daten verlassen die kontrollierte Umgebung nicht.

Was Sie konkret fragen sollten

Wenn Sie einen Marketing-Analytics-Anbieter evaluieren, stellen Sie präzise Fragen zum Datenstandort. Nicht „Sind Sie DSGVO-konform?“ – darauf sagt jeder Ja. Sondern:

  • Wo werden meine Rohdaten physisch gespeichert? In welchem Land steht der Server?
  • Wer hat Zugriff auf diese Daten? Nur ich, oder auch der Anbieter?
  • Welche Sub-Dienstleister sind beteiligt, und wo sind diese ansässig?
  • Unterliegen die Daten dem US CLOUD Act oder vergleichbaren Gesetzen?
  • Kann ich die Daten jederzeit vollständig exportieren oder in meiner eigenen Infrastruktur behalten?

Ein seriöser Anbieter kann diese Fragen konkret beantworten. Er wird nicht ausweichen, sondern die Architektur offenlegen. Transparenz ist hier kein Risiko, sondern ein Qualitätsmerkmal.

Compliance als Ausgangspunkt, nicht als Ziel

DSGVO-Konformität ist eine Mindestanforderung. Sie sagt, dass ein Anbieter die gesetzlichen Regeln einhält. Sie sagt nicht, dass Sie die Kontrolle über Ihre Daten haben.

Echte Datensouveränität geht weiter. Sie bedeutet, dass Sie wissen, wo Ihre Daten liegen. Dass Sie darauf zugreifen können, wann immer Sie wollen. Dass Sie die Daten mitnehmen können, wenn Sie den Anbieter wechseln. Und dass niemand – kein Anbieter, keine ausländische Behörde – ohne Ihre Zustimmung darauf zugreifen kann.

Das ist keine Utopie. Es ist eine Frage der Architektur. Und es ist eine Entscheidung, die Sie am Anfang treffen sollten – nicht erst, wenn Probleme auftreten.

Ein Gedanke zum Schluss

Der Standort Ihrer Daten ist keine technische Fussnote. Er ist eine strategische Entscheidung. In einer Zeit, in der Daten zu den wertvollsten Assets eines Unternehmens gehören, sollten Sie wissen, wo diese Assets liegen – und wer darauf zugreifen kann.

Die Antwort sollte einfach sein: bei Ihnen, in Deutschland, unter Ihrer Kontrolle.

Bei expedit.io speichern wir keine Kundendaten auf unseren Servern. Alle Daten liegen in der Infrastruktur des Kunden – in Deutschland. Fragen Sie uns, wie das konkret funktioniert.