Viele Unternehmen betrachten den Rechenzentrumsstandort lediglich unter dem Gesichtspunkt von Geschwindigkeit und Performance. Im Rahmen der DSGVO ist der Rechenzentrumsstandort jedoch nicht nur eine technische Entscheidung, sondern auch eine rechtliche und finanzielle Risikoentscheidung.
Die richtige Frage lautet:
„Welchem nationalen Recht unterliegen die Daten?"
1. Data Residency vs. Data Sovereignty
| Begriff | Bedeutung |
|---|---|
| Data Residency | Wo die Daten physisch gespeichert sind |
| Data Sovereignty | Welchem nationalen Recht die Daten unterliegen |
Beispiel:
- Server in Deutschland
- Unternehmen mit Sitz in den USA
→ Selbst wenn die Daten in der EU liegen, können sie dennoch dem US-amerikanischen Recht unterliegen.
2. Schrems II und Datentransfer
| Szenario | DSGVO-Risiko |
|---|---|
| EU-Server + EU-Unternehmen | Gering |
| EU-Server + US-Unternehmen | Mittel |
| US-Server + SCC | Mittel |
| US-Server | Hoch |
3. Performance-Auswirkung (Latenz)
| Standort | Durchschnittliche Latenz |
|---|---|
| Frankfurt | 20–30 ms |
| Amsterdam | 25–35 ms |
| Istanbul | 35–50 ms |
| New York | 95–120 ms |
Bei einer Anwendung mit 40 Anfragen:
40 × 80 ms = 3200 ms
→ 3,2 Sekunden Verzögerung
4. Multi-Region und CDN-Risiko
| Dienst | Standort |
|---|---|
| App Server | Deutschland |
| Datenbank | Deutschland |
| Backup | USA |
| CDN | Global |
| Log | USA |
| Analytics | USA |
→ Daten verlassen die EU → DSGVO-Risiko
5. Datenfluss
Datenfluss:
- Benutzer → Server
- Server → DB
- DB → Backup
- App → Logs
- App → Analytics
Zu prüfende Punkte:
- Backup
- Log
- Analytics
- CDN
6. Risikoentscheidungstabelle
| Szenario | Performance | Risiko |
|---|---|---|
| Nur EU | Gut | Gering |
| EU + US-Backup | Gut | Mittel |
| US-Server | Mittel | Hoch |
| Multi-Region EU | Sehr gut | Gering |
| Global | Sehr gut | Mittel/Hoch |
7. Entscheidungsrahmen
| Frage | Bei Nein |
|---|---|
| Liegen die Daten in der EU | Risiko |
| Liegt das Backup in der EU | Risiko |
| Liegt der Subprozessor in der EU | Risiko |
| Gibt es eine Datentransfervereinbarung | Risiko |
| Kann das CDN auf EU gesetzt werden | Risiko |
8. Fazit
Der Rechenzentrumsstandort beeinflusst:
- Geschwindigkeit
- Rechtssicherheit
- Datentransfer
- Risiko
all diese Aspekte.
Dies ist keine IT-Entscheidung — es ist eine unternehmerische Risikoentscheidung.
CTA
Treffen Sie Ihre Rechenzentrumsauswahl nicht allein nach Performance, sondern auch nach folgenden Kriterien:
- Datenspeicherort
- Backup
- Subprozessor
- Rechtliche Zuständigkeit