Begriff
Data Residency
Data Residency (Datenresidenz) bezeichnet den physischen Speicher- und Verarbeitungsort von Daten — also die geografische Region oder das Land, in dem Server stehen. Sie sagt nichts darüber aus, welches Recht auf die Daten zugreifen darf.
Kein Rechtsrat
Data Residency — ausführlicher erklärt
Data Residency (deutsch: Datenresidenz) beantwortet eine rein faktische Frage: In welchem Rechenzentrum, welcher Region und welchem Land liegen meine Daten physisch und wo werden sie verarbeitet? Wählt man bei einem Cloud-Anbieter etwa die Region „EU (Frankfurt)”, liegen die Daten im Ruhezustand auf Servern innerhalb der EU.
Entscheidend ist die Abgrenzung zur Data Sovereignty (Datensouveränität). Diese beantwortet eine juristische Frage: Welcher Rechtsordnung unterliegen die Daten — wessen Gerichte und Behörden können Zugriff anordnen, unabhängig davon, wo die Server stehen? Residency ist eine Frage des Orts, Sovereignty eine Frage der Jurisdiktion.
Der praktisch wichtigste Punkt lautet daher: Residency ist nicht gleich Sovereignty. Selbst wenn Daten in einem EU-Rechenzentrum liegen, können sie unter eine außereuropäische Rechtshoheit fallen, wenn der Anbieter seinen Sitz außerhalb der EU hat — etwa in den USA.
Beispiel / Praxisbezug
Ein deutsches Unternehmen nutzt eine LLM-API und wählt bewusst eine EU-Verarbeitungsregion, um DSGVO-Anforderungen zu erfüllen. Die Eingaben (Prompts) werden in Frankfurt verarbeitet und nicht dauerhaft gespeichert — die Data Residency liegt also in der EU.
Ist der Anbieter jedoch ein US-Konzern, greift der US CLOUD Act: Dieser verpflichtet US-Unternehmen, US-Strafverfolgungsbehörden auf Anordnung Zugriff auf gespeicherte Daten zu gewähren — auch auf Daten in Rechenzentren außerhalb der USA. Die Daten liegen physisch in der EU, unterliegen aber zugleich US-Jurisdiktion.
Für DSGVO-konformen LLM-Einsatz ist EU-Region-Hosting deshalb ein notwendiger, aber kein hinreichender Baustein. Anbieter wie OpenAI (EU-Projekte mit In-Region-Verarbeitung), Azure OpenAI (EU Data Boundary) oder Claude über AWS Bedrock / Google Vertex AI in EU-Regionen bieten EU-Residency an. Echte technische Souveränität verlangt darüber hinaus Maßnahmen wie kundeneigene Verschlüsselungs-Schlüssel, Single-Tenant-Deployments und policy-erzwungenes Geofencing — Kontrollen, die unbefugten Zugriff technisch verhindern statt nur vertraglich zu untersagen.
Abgrenzung zu ähnlichen Begriffen
- Data Sovereignty (Datensouveränität): Die Rechtsordnung, der die Daten unterliegen. Data Residency betrifft nur den physischen Ort; Sovereignty die Jurisdiktion. EU-Residency garantiert keine EU-Souveränität, solange der Anbieter unter Drittstaaten-Recht steht.
- Data Localization (Datenlokalisierung): Eine gesetzliche Pflicht, bestimmte Daten zwingend im Inland zu speichern. Residency ist oft eine freiwillige Konfigurationswahl, Localization eine erzwungene Vorgabe.
- Zero Data Retention / Zero Retention: Betrifft nicht den Ort, sondern die Speicherdauer — ob ein Anbieter Daten nach der Verarbeitung überhaupt aufbewahrt. Ergänzt Residency, ersetzt sie aber nicht.
Entdecke mehr
Cloud Act
US-Gesetz von 2018 (Clarifying Lawful Overseas Use of Data Act). US-Behörden können US-Anbieter zur Herausgabe von Daten zwingen, auch wenn diese außerhalb der USA — etwa in der EU — gespeichert sind. Steht im Spannungsfeld zur DSGVO.
GlossarDSGVO-konformer LLM-Einsatz
DSGVO-konformer LLM-Einsatz bezeichnet die datenschutzgerechte Nutzung grosser Sprachmodelle wie ChatGPT, Claude oder Gemini im Unternehmen — mit Rechtsgrundlage, Auftragsverarbeitungsvertrag, kontrollierter Eingabe personenbezogener Daten, EU-Hosting und Trainings-Opt-out.
BlogHeadless ohne API-Rechnung — wie kommt man 2026 an die besten KI-Modelle für Automatisierung?
Anbieter-Vergleich Mitte 2026: Wer hat Headless-Modus, wessen Abo deckt ihn noch — und warum BYOK das stabilste Fundament ist.