Datenresidenz, auf Englisch data residency, bezeichnet den geografischen Ort, an dem Daten physisch gespeichert und verarbeitet werden. In einer Welt, in der Daten in Rechenzentren überall auf dem Globus liegen können, ist die Frage, in welchem Land oder welcher Region die eigenen Daten tatsächlich liegen, alles andere als trivial. Für Unternehmen im DACH-Raum ist die Datenresidenz zu einer zentralen Frage geworden — nicht nur aus technischen, sondern vor allem aus rechtlichen und geschäftlichen Gründen.
Warum der Datenstandort wichtig ist
Der Ort, an dem Daten liegen, entscheidet darüber, welches Recht auf sie anwendbar ist und welche Behörden potenziell Zugriff verlangen können. Daten, die in der EU liegen, unterstehen dem strengen europäischen Datenschutzrecht. Daten, die in anderen Ländern liegen, können dem dortigen Recht unterliegen, das einen geringeren Schutz bietet oder staatlichen Stellen weitreichende Zugriffsrechte einräumt. Für personenbezogene Daten, die nach DSGVO und in der Schweiz nach revDSG besonders geschützt sind, ist der Standort daher nicht eine technische Nebensache, sondern eine Frage der Rechtskonformität.
Datenresidenz und die DSGVO
Die Datenschutz-Grundverordnung schützt personenbezogene Daten von Personen in der EU und stellt besondere Anforderungen an die Übermittlung solcher Daten in Länder ausserhalb der EU, die sogenannten Drittländer. Eine solche Übermittlung ist nur unter bestimmten Voraussetzungen zulässig, etwa wenn das Zielland ein angemessenes Schutzniveau bietet oder geeignete Garantien vereinbart sind. Wer seine Daten von vornherein in der EU speichert, vermeidet diese Komplexität weitgehend. EU-Datenresidenz ist damit der einfachste Weg, die Anforderungen der DSGVO an den Datenstandort zu erfüllen, ohne sich auf komplexe Übermittlungsmechanismen verlassen zu müssen.
Die Schweiz und das revDSG
Für die Schweiz gilt das revidierte Datenschutzgesetz, das in vielen Punkten der DSGVO ähnelt. Auch hier ist der Datenstandort relevant, und viele Schweizer Unternehmen und Behörden erwarten, dass ihre Daten in der Schweiz oder zumindest in der EU liegen. Die Schweiz wird von der EU als Land mit angemessenem Datenschutzniveau anerkannt, was den Datenaustausch zwischen der Schweiz und der EU erleichtert. Für Schweizer Unternehmen ist die Wahl zwischen Schweizer und EU-Datenresidenz daher oft eine Frage der konkreten Anforderungen und Kundenerwartungen, während die Speicherung in weiter entfernten Drittländern kritischer zu betrachten ist.
Der CLOUD Act und das Drittlandproblem
Eine besondere Herausforderung stellt der US-amerikanische CLOUD Act dar, der US-Behörden unter bestimmten Umständen Zugriff auf Daten ermöglichen kann, die von US-Unternehmen kontrolliert werden, selbst wenn diese Daten ausserhalb der USA gespeichert sind. Das bedeutet, dass die blosse Speicherung von Daten in einem europäischen Rechenzentrum nicht ausreicht, wenn der Anbieter dem US-Recht unterliegt. Für besonders sensible Daten bevorzugen daher manche Unternehmen Anbieter, die nicht dem CLOUD Act unterliegen, also europäische oder Schweizer Anbieter mit europäischer Kontrolle. Diese Unterscheidung zwischen physischem Standort und rechtlicher Kontrolle ist subtil, aber wichtig.
Datenresidenz als Geschäftsargument
Über die rechtliche Dimension hinaus ist die Datenresidenz zunehmend ein Geschäftsargument. Im B2B-Geschäft verlangen Kunden im DACH-Raum von ihren Software-Lieferanten immer häufiger, dass die Daten in der EU oder der Schweiz liegen. Ein Anbieter, der EU-Hosting bietet, hat damit einen Wettbewerbsvorteil gegenüber einem, dessen Daten in den USA oder anderswo liegen. Für SaaS-Anbieter, die den DACH-Markt bedienen, ist EU-Datenresidenz daher nicht nur eine Compliance-Frage, sondern ein Vertriebsargument, das über den Erfolg im Markt mitentscheidet.
Datenresidenz technisch umsetzen
Technisch wird Datenresidenz durch die Wahl der Region umgesetzt, in der die Server und Datenbanken betrieben werden. Moderne Cloud-Plattformen erlauben es, diese Region gezielt zu wählen, etwa Frankfurt für EU-Hosting. Wichtig ist, dabei nicht nur die Hauptdatenbank, sondern alle beteiligten Dienste zu berücksichtigen — etwa den E-Mail-Versand, die Analyse oder externe Schnittstellen. Eine Anwendung ist nur dann vollständig EU-resident, wenn alle ihre Komponenten und Subdienstleister diese Anforderung erfüllen. Das verlangt eine sorgfältige Auswahl aller eingesetzten Dienste und die Dokumentation, wo welche Daten verarbeitet werden.
Datenresidenz bei Innopulse
Innopulse baut Datenresidenz von Anfang an in die Architektur seiner Produkte und Kundenprojekte ein. Datenbanken und Hosting laufen standardmässig in der EU oder der Schweiz, und alle eingesetzten Dienste werden daraufhin geprüft, ob sie diese Anforderung erfüllen. Produkte wie Penday speichern Gesundheitsdaten ausschliesslich in Frankfurt, und Flenio hostet in Zürich. Diese konsequente Berücksichtigung der Datenresidenz ist kein nachträglicher Zusatz, sondern eine grundlegende Entscheidung, die sowohl die Rechtskonformität als auch die Wettbewerbsfähigkeit im DACH-Markt sichert.
Fazit
Datenresidenz versus Datensouveränität
Eng verwandt mit der Datenresidenz, aber nicht identisch, ist der Begriff der Datensouveränität. Während Datenresidenz schlicht den physischen Speicherort beschreibt, meint Datensouveränität die umfassendere Kontrolle über die Daten, einschliesslich der Frage, welchem Recht und welcher staatlichen Zugriffsmöglichkeit sie unterliegen. Wie das Beispiel des CLOUD Act zeigt, kann der physische Standort in der EU liegen, während die rechtliche Kontrolle dennoch bei einem aussereuropäischen Anbieter liegt. Wahre Datensouveränität verlangt daher nicht nur EU-Speicherung, sondern auch einen Anbieter, der dem europäischen Recht untersteht. Für besonders sensible Daten ist diese Unterscheidung entscheidend, und Unternehmen sollten beide Aspekte prüfen, statt sich allein auf den Speicherort zu verlassen.
Datenresidenz in der Praxis sicherstellen
Datenresidenz vollständig sicherzustellen, verlangt mehr als die Wahl der Hauptdatenbank-Region. Eine moderne Anwendung nutzt oft mehrere Dienste — für den E-Mail-Versand, die Fehlerüberwachung, die Nutzungsanalyse, die Zahlungsabwicklung —, und jeder davon verarbeitet potenziell Daten an einem eigenen Ort. Eine Anwendung ist nur dann wirklich EU-resident, wenn alle diese beteiligten Dienste die Anforderung erfüllen oder so konfiguriert sind, dass keine personenbezogenen Daten an Dienste ausserhalb der EU fliessen. Das verlangt eine sorgfältige Bestandsaufnahme aller eingesetzten Dienste und ihrer Datenflüsse. Diese Sorgfalt ist aufwendig, aber notwendig, denn ein einziger übersehener Dienst kann die gesamte Datenresidenz untergraben.
Datenresidenz als Vertrauensfaktor
Über die rechtliche und geschäftliche Dimension hinaus ist Datenresidenz auch ein Vertrauensfaktor gegenüber den Endnutzern. Menschen werden zunehmend sensibel dafür, wo ihre Daten liegen und wer darauf zugreifen kann, besonders bei sensiblen Daten wie Gesundheits- oder Finanzinformationen. Ein Anbieter, der transparent kommuniziert, dass die Daten in der EU oder der Schweiz liegen und das europäische Datenschutzrecht gilt, schafft Vertrauen, das sich in Loyalität und Weiterempfehlung auszahlt. Innopulse macht die EU- oder Schweiz-Datenresidenz zu einem klar kommunizierten Merkmal seiner Produkte — etwa bei Penday, das Gesundheitsdaten ausschliesslich in Frankfurt speichert. Diese Transparenz ist kein Marketing, sondern Ausdruck einer Architektur-Entscheidung, die Datenschutz von Anfang an ernst nimmt.
Fazit zur Datenresidenz im DACH-Raum
Für Unternehmen im DACH-Raum ist die Datenresidenz weit mehr als eine technische Einstellung — sie ist ein Knotenpunkt, an dem Datenschutzrecht, Datensouveränität, Vertrauen und Wettbewerbsfähigkeit zusammenlaufen. EU- oder Schweiz-Hosting vereinfacht die Einhaltung von DSGVO und revDSG, schützt vor problematischen Drittlandzugriffen, schafft Vertrauen bei den Endnutzern und ist im B2B-Geschäft zunehmend eine harte Kundenanforderung. Wer Software baut oder beschafft, sollte die Datenresidenz daher von Anfang an als strategische Entscheidung behandeln, alle beteiligten Dienste einbeziehen und nicht nur auf den Speicherort, sondern auch auf die rechtliche Kontrolle achten. Eine durchdachte Datenresidenz-Strategie ist damit kein Hindernis, sondern ein Vorteil, der sich in Rechtssicherheit und Marktzugang auszahlt.
Datenresidenz — der geografische Ort der Datenspeicherung und -verarbeitung — ist für Unternehmen im DACH-Raum eine zentrale Frage des Datenschutzes und zunehmend des Geschäftserfolgs. EU- oder Schweiz-Hosting erleichtert die Einhaltung von DSGVO und revDSG erheblich und ist im B2B-Geschäft oft eine Kundenanforderung. Wer Software baut oder einsetzt, sollte die Datenresidenz von Anfang an mitdenken und alle beteiligten Dienste einbeziehen, statt sie nachträglich zu betrachten.