ServasBot Logo
    Alle ArtikelDSGVO & Datenschutz

    EU-Hosting vs. US-Cloud: Warum der Serverstandort zählt

    13. April 20268 Min. Lesezeit

    Wo Ihre Daten gespeichert werden, entscheidet darüber, wer darauf zugreifen kann. Für österreichische KMU, die KI-Tools einsetzen, ist der Unterschied zwischen EU-Hosting und US-Cloud nicht nur technisch, sondern rechtlich relevant. Dieser Artikel erklärt, worauf es ankommt.

    Was bedeutet "Serverstandort" für Ihr Unternehmen?

    Wenn Sie einen KI-Chatbot oder Telefonassistenten einsetzen, werden Kundendaten verarbeitet: Namen, Telefonnummern, E-Mail-Adressen, Gesprächsinhalte. Diese Daten liegen auf einem Server. Und wo dieser Server steht, bestimmt, welches Recht gilt.

    EU-Server (z.B. Deutschland, Österreich, Irland): Es gilt die DSGVO. Behörden können nur mit richterlichem Beschluss auf Daten zugreifen. Es gibt klare Regeln für Datenschutz, Einwilligung und Löschung.

    US-Server (oder US-Anbieter mit EU-Rechenzentrum): Hier wird es komplizierter. Denn der US CLOUD Act von 2018 erlaubt amerikanischen Behörden, auf Daten von US-Unternehmen zuzugreifen. Auch wenn diese Daten auf einem Server in Frankfurt oder Wien liegen.

    Das Problem: CLOUD Act vs. DSGVO

    Der Kern des Konflikts:

    • Die DSGVO (Art. 44-49) verbietet die Übermittlung personenbezogener Daten an Drittländer ohne angemessenes Schutzniveau.
    • Der US CLOUD Act verpflichtet US-Unternehmen, Daten auf behördliche Anforderung herauszugeben, egal wo der Server steht.

    Das bedeutet: Wenn Sie einen KI-Chatbot eines amerikanischen Anbieters nutzen und dieser Anbieter auf US-Server setzt (oder dem CLOUD Act unterliegt), könnten Ihre Kundendaten theoretisch von US-Behörden eingesehen werden, ohne dass ein europäisches Gericht daran beteiligt ist.

    Schrems II, das Data Privacy Framework und "Schrems III"

    Das Thema EU-US-Datentransfer hat eine bewegte Geschichte:

    1. Safe Harbor (2000-2015): Erste Vereinbarung zwischen EU und USA. Vom EuGH für ungültig erklärt ("Schrems I").
    2. Privacy Shield (2016-2020): Nachfolgevereinbarung. Ebenfalls vom EuGH gekippt ("Schrems II"), weil US-Überwachungsgesetze keinen gleichwertigen Schutz bieten.
    3. Data Privacy Framework (seit 2023): Aktuelle Vereinbarung. Basiert auf einer US-Executive-Order, nicht auf einem Gesetz. Der österreichische Datenschutzaktivist Max Schrems hat angekündigt, auch diese Vereinbarung anzufechten.

    Stand April 2026: Das Data Privacy Framework gilt noch, aber ein "Schrems III"-Verfahren ist in Vorbereitung. Strukturelle Änderungen bei der US-Datenschutzaufsicht (PCLOB, FTC) werfen zusätzliche Fragen auf. Die Rechtslage ist unsicher.

    Was heißt das für KMU in der Praxis?

    Als KMU-Inhaber müssen Sie kein Jurist sein. Aber Sie sollten diese drei Dinge wissen:

    1. EU-Hosting allein reicht nicht. Wenn der Anbieter ein US-Unternehmen ist (z.B. Google, Microsoft, Amazon), unterliegt er dem CLOUD Act. Auch mit einem Rechenzentrum in Frankfurt.
    2. Achten Sie auf den Firmensitz des Anbieters. Ein Anbieter mit Sitz in der EU, der auf EU-Servern hostet, bietet den stärksten Schutz. Kein US-Gesetz kann auf die Daten zugreifen.
    3. Prüfen Sie den AVV (Auftragsverarbeitungsvertrag). Jeder seriöse Anbieter bietet einen AVV an. Darin steht, wo Daten verarbeitet werden, wer Zugriff hat und wie lange Daten gespeichert werden. Mehr dazu in unserem Artikel DSGVO und KI: Was KMU wissen müssen.

    Der Vergleich: EU-Hosting vs. US-Cloud

    KriteriumEU-Anbieter + EU-ServerUS-Anbieter + EU-ServerUS-Anbieter + US-Server
    DSGVO-konformJaEingeschränkt (CLOUD Act)Problematisch
    Behördenzugriff EUNur mit richterlichem BeschlussNur mit richterlichem BeschlussNur mit richterlichem Beschluss
    Behördenzugriff USAKein Zugriff möglichMöglich (CLOUD Act)Möglich (CLOUD Act + FISA 702)
    RechtssicherheitHochUnsicher (DPF kann kippen)Gering
    Für sensible Daten geeignetJaBedingtNein
    Empfehlung für KMUBeste WahlAkzeptabel mit DPFVermeiden

    Worauf Sie bei KI-Tools achten sollten

    Wenn Sie einen KI-Chatbot oder KI-Telefonassistenten für Ihr Unternehmen einsetzen möchten, prüfen Sie folgende Punkte:

    • Wo ist der Firmensitz des Anbieters? EU ist ideal, USA ist kritisch.
    • Wo stehen die Server? EU-Rechenzentrum ist Pflicht.
    • Gibt es einen AVV? Ohne Auftragsverarbeitungsvertrag geht nichts.
    • Werden Gesprächsdaten für KI-Training verwendet? Bei vielen US-Anbietern fließen Ihre Kundendaten ins Modell-Training. Ein No-Go.
    • Wie lange werden Daten gespeichert? Je kürzer, desto besser (Datensparsamkeit, Art. 5 DSGVO).

    Der EU AI Act: Was ab August 2026 zusätzlich gilt

    Mit dem EU AI Act kommen ab August 2026 zusätzliche Pflichten für KI-Anbieter und -Nutzer. Für KMU, die Chatbots oder Telefonassistenten einsetzen, sind vor allem zwei Punkte relevant:

    • Transparenzpflicht: Kunden müssen wissen, dass sie mit einer KI sprechen, nicht mit einem Menschen.
    • Anbieterpflicht: Der Anbieter Ihres KI-Systems muss dokumentieren, wie das System funktioniert, und technische Maßnahmen zur Kennzeichnung von KI-generierten Inhalten umsetzen.

    Ein seriöser Anbieter übernimmt diese Pflichten für Sie. Fragen Sie danach.

    Wie ServasBot das Thema löst

    Bei ServasBot setzen wir konsequent auf EU-Hosting:

    • Alle Chatbot-Daten liegen auf Servern in Deutschland
    • Der KI-Telefonassistent wird von fonio.ai betrieben, einem europäischen Anbieter mit EU-Servern
    • Wir bieten einen AVV und stellen die DSGVO-Konformität sicher
    • Kundendaten werden nicht für KI-Training verwendet
    • ServasBot hat seinen Sitz in Österreich (Villach)

    Häufige Fragen

    Ist es illegal, einen US-Cloud-Dienst zu nutzen?

    Nein, nicht per se. Mit dem aktuellen Data Privacy Framework ist der Datentransfer in die USA grundsätzlich erlaubt. Allerdings ist die Rechtslage unsicher: Das Framework könnte durch ein "Schrems III"-Urteil kippen, wie es bei den Vorgängerregelungen bereits zweimal passiert ist.

    Reicht ein EU-Rechenzentrum bei einem US-Anbieter?

    Nur teilweise. Der Serverstandort reduziert das Risiko, aber der US CLOUD Act erlaubt US-Behörden den Zugriff auf Daten von US-Unternehmen, unabhängig vom Serverstandort. Für maximale Sicherheit sollte der Anbieter selbst in der EU sitzen.

    Was passiert, wenn das Data Privacy Framework kippt?

    Dann wäre der Datentransfer an US-Anbieter wieder rechtswidrig, es sei denn, Sie nutzen zusätzliche Schutzmaßnahmen (Standardvertragsklauseln, Verschlüsselung). Wer bereits auf einen EU-Anbieter setzt, ist auf der sicheren Seite.

    Welche Daten verarbeitet ein KI-Chatbot überhaupt?

    Das hängt vom Einsatz ab. Typischerweise: IP-Adressen, Gesprächsinhalte, optional Name und E-Mail-Adresse. Bei einem KI-Telefonassistenten kommen Telefonnummern und Sprachaufnahmen dazu. All das sind personenbezogene Daten im Sinne der DSGVO.

    Fazit

    Der Serverstandort ist kein technisches Detail. Er entscheidet über die Rechtssicherheit Ihrer KI-Lösung. Für österreichische KMU ist die sicherste Wahl ein Anbieter mit EU-Firmensitz und EU-Hosting. Das schützt Ihre Kundendaten vor Zugriff durch US-Behörden und macht Sie unabhängig von internationalen Abkommen, die jederzeit kippen können.

    Mehr zum Thema Datenschutz: DSGVO und KI: Was KMU wissen müssen. Oder testen Sie unsere KI-Checkliste, um herauszufinden, ob ein KI-Chatbot oder Telefonassistent zu Ihrem Unternehmen passt.

    Klingt interessant?

    In einem kostenlosen 15-Minuten-Gespräch klären wir, ob ServasBot zu Ihrem Unternehmen passt.

    Erstgespräch buchen

    Praxistipps, Checklisten und neue Artikel per Newsletter:

    Bereit? Rufen Sie uns an.

    Jetzt anrufen+43 677 61163934

    Wenn wir nicht abheben, nimmt unser KI-Assistent ab.

    oder
    Direkt Termin buchen

    15 Min, kostenlos & unverbindlich

    info@servasbot.at

    Lieber schriftlich?

    Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Daten gemäß unserer Datenschutzerklärung zu.

    Cookies für Analyse & Werbung. Mehr erfahren