Zum Hauptinhalt springen
OzyCore
Zurück zum Blog
EU-HostingSaaSCloudDatenschutz

EU-Hosting für SaaS: Was Unternehmen bei Datenschutz und Cloud-Auswahl beachten sollten

Die Cloud, die Sie wählen, ist eine Kette von Subdienstleistern, die Sie erben. Bewerten Sie die Kette, nicht das Logo — und die Region, nicht das Versprechen.

EU-Hosting für SaaS: Was Unternehmen bei Datenschutz und Cloud-Auswahl beachten sollten
OzyCore Team16. Mai 2026

Bei der Cloud-Auswahl für ein SaaS-Produkt fällt die Entscheidung oft am Logo: bekannter Anbieter, EU-Region angeklickt, fertig. Diese Verkürzung ist genau der Punkt, an dem Datenschutzprobleme entstehen, die erst im Audit oder beim Kunden sichtbar werden.

Die Cloud, die Sie wählen, ist keine Box. Sie ist eine Kette von Subdienstleistern, die Sie mit übernehmen — und bewerten müssen.

Region ist eine Zusage, kein Häkchen

„EU-Region" im Konfigurationsmenü heißt nicht automatisch, dass jeder beteiligte Dienst, jedes Log, jedes Backup und jeder Support-Zugriff in der EU bleibt. Die Europäische Kommission und der EDPB stellen für KMU genau diese Frage in den Mittelpunkt: Wo liegen die Daten wirklich, wer kann zugreifen, unter welcher Rechtsordnung?

Region ist der Anfang der Prüfung, nicht ihr Ende.

Vier Dinge, die man wirklich bewertet

1. Die Subdienstleister-Kette

Jeder Cloud-Dienst zieht weitere Dienste nach: Speicher, E-Mail, Monitoring, CDN. Wer die Kette nicht kennt, kann sie nicht vertraglich regeln — und erbt jedes ungeprüfte Glied (siehe SaaS in Deutschland entwickeln).

2. Zugriff und Rechtsordnung

Nicht „wo liegt das Backup", sondern „wer kann unter welchem Recht darauf zugreifen". Support, Fernwartung und Mutterkonzern gehören zur Antwort, nicht nur das Rechenzentrum.

3. Backups und Logs am gleichen Maßstab

Ein DSGVO-konformes Produktiv-System mit Backups in einer anderen Region oder Logs voller Klartext-Personendaten ist nicht konform — nur unsichtbar nicht. Der BSI-Lagebericht ordnet genau solche unscheinbaren Lücken als typisches Risiko ein.

4. Ausstieg und Portabilität

Eine Cloud, aus der man die Daten nicht sauber wieder herausbekommt, ist eine strategische Abhängigkeit. Exportierbarkeit ist ein Auswahlkriterium, kein nachträglicher Wunsch.

Datenschutz ist Vertrag plus Architektur

Die Cloud-Auswahl regelt das Vertragliche — Auftragsverarbeitung, Subdienstleister, Region. Wie sauber Mandanten, Löschbarkeit und Logging gebaut sind, bleibt eine Architekturfrage und gehört dazu (siehe DSGVO-konforme KI-Anwendungen für dieselbe Disziplin bei KI). Erst beides zusammen ergibt ein konformes Produkt.

Checkliste vor der Cloud-Auswahl

  • Ist die EU-Region für alle beteiligten Dienste belegt, nicht nur die DB?
  • Ist die Subdienstleister-Kette bekannt und vertraglich geregelt?
  • Ist geklärt, wer unter welchem Recht zugreifen kann?
  • Liegen Backups und Logs am gleichen Datenschutz-Maßstab?
  • Sind Logs frei von unnötigen Klartext-Personendaten?
  • Ist Datenexport / Ausstieg ohne Anbieterhilfe möglich?
  • Ist die Cloud-Wahl mit der Architektur abgestimmt?

Häufige Fragen

Reicht ein großer Anbieter mit EU-Region? Als Ausgangspunkt ja, als Beweis nein. Entscheidend sind Subdienstleister, Zugriff, Rechtsordnung und Ausstieg — nicht das Logo.

Sind US-Anbieter generell ausgeschlossen? Nicht pauschal, aber jeder bringt eine Kette und eine Rechtsordnung mit, die man bewerten und regeln muss. Die Frage ist nicht „erlaubt", sondern „geprüft und vertraglich gefasst".

Was ist die häufigste versteckte Lücke? Backups oder Logs außerhalb des geprüften Rahmens. Das System wirkt konform, ist es im Detail aber nicht.

Ist EU-Hosting teurer? Selten dramatisch — und im deutschen B2B-Markt ist nachweisbare Datenhoheit ein Verkaufsargument, kein reiner Kostenposten.

Fazit

EU-Hosting für SaaS ist keine Häkchen-Entscheidung, sondern eine Prüfung: Region für alle Dienste, bekannte Subdienstleister-Kette, geklärter Zugriff, Backups und Logs am gleichen Maßstab, möglicher Ausstieg. Wer die Kette bewertet statt das Logo, baut ein Produkt, das auch im Audit konform ist.

Weiterlesen

Nächster Schritt

Sie wählen eine Cloud für ein SaaS mit europäischem Datenschutzanspruch? Beginnen Sie mit einer kurzen Einschätzung Ihrer Anforderungen. Wir prüfen Kette, Zugriff und Ausstieg — nicht nur die Region.

Quellen

Weitere Beiträge

SaaSDSGVO

SaaS in Deutschland entwickeln: Datenschutz, Hosting und Betrieb richtig planen

16. Mai 2026

B2B PlattformSaaS

B2B-Plattform entwickeln: Rollen, Rechte, Workflows und Abrechnung richtig planen

16. Mai 2026

E-RechnungSaaS

E-Rechnung in SaaS integrieren: XRechnung, ZUGFeRD und DATEV als Produktfunktion

16. Mai 2026

Interesse an diesem Thema? Lassen Sie uns besprechen, wie wir Ihrem Unternehmen helfen können.