Datensouveränität ist kein Compliance-Häkchen und kein Punkt auf einer Landkarte. Sie ist die Frage, wer im Ernstfall auf deine Daten zugreifen darf – und ob du das überhaupt kontrollierst. Am 29. Juni 2026 hat ein Urteil des US Supreme Courts diese Frage für tausende deutsche Unternehmen neu gestellt. Fast niemand hierzulande hat es mitbekommen. Dabei betrifft es jede KI-Strategie, die auf einer US-Cloud aufsetzt – also fast jede.
Dieser Artikel erklärt, was wirklich passiert ist, warum „Wir hosten in Frankfurt“ seit dieser Woche eine gefährliche Beruhigung ist – und was der Mittelstand jetzt konkret tun sollte. Nicht panisch. Sondern überlegt.
Hinweis vorab: Dieser Beitrag ist eine praxisnahe Einordnung, keine Rechtsberatung. Für die verbindliche Bewertung deines konkreten Falls sprich mit einem Datenschutzjuristen.
Das Gespräch läuft in fast jedem Mittelstandsunternehmen gleich ab. Der Geschäftsführer fragt seinen IT-Dienstleister, ob die neue KI-Lösung datenschutzkonform ist. Die Antwort kommt reflexartig: „Kein Problem, die Daten liegen in Frankfurt.“
Das klingt beruhigend. Es beantwortet aber nur die halbe Frage.
Ein Rechenzentrum in Frankfurt sagt dir, wo deine Daten physisch liegen. Es sagt dir nichts darüber, wer rechtlich verlangen darf, dass sie herausgegeben werden. Und genau diese zweite Frage entscheidet über den Datenschutz – nicht die Postleitzahl des Servers.
Solange die Konzernmutter eines Anbieters in den USA sitzt, endet die Zugriffsfrage nicht an der deutschen Grenze. Die Adresse des Servers ist deutsch. Die Befehlskette dahinter ist es nicht. Das war schon vor dieser Woche so. Neu ist, dass die rechtliche Konstruktion, die diesen Widerspruch bisher überbrückt hat, gerade wegzubröckeln beginnt.
Am Montag, den 29. Juni 2026, entschied der Oberste Gerichtshof der USA in der Rechtssache Trump v. Slaughter, dass die Federal Trade Commission (FTC) nicht mehr unabhängig sein darf. Die Begründung folgt der sogenannten „Unitary Executive Theory“: Der US-Präsident müsse die Kontrolle über alle Exekutivbehörden haben.
Die Tragweite ist größer als ein einzelnes Amt. Das Gericht hat in einer Kehrtwende gegenüber der bisherigen Rechtsprechung alle US-Gesetze, die Behörden unabhängig machen, für verfassungswidrig erklärt.
Für die USA ist das ein innenpolitisches Erdbeben. Für europäische Unternehmen ist es das Fundament, auf dem der gesamte Datenverkehr zwischen EU und USA steht. Denn dieses Fundament heißt: unabhängige Aufsicht.
Seit 1995 verbietet die EU den Export personenbezogener Daten in Drittländer – es sei denn, das Zielland bietet ein „angemessenes“ Schutzniveau. Für die USA hat die EU-Kommission dieses Niveau seit dem Jahr 2000 mehrfach anerkannt und damit den freien Datenfluss ermöglicht.
Zweimal hat der Europäische Gerichtshof diese Konstruktion gekippt: 2015 „Safe Harbour“ (Schrems I), 2020 „Privacy Shield“ (Schrems II). 2023 kam mit dem EU-US Data Privacy Framework die dritte Auflage – in weiten Teilen eine Kopie der bereits für nichtig erklärten Vorgänger.
Der entscheidende Punkt: Das EU-Vertragsrecht verlangt zwingend eine unabhängige Datenschutzaufsicht. Diese Anforderung steht in Artikel 16(2) AEUV und Artikel 8(3) der EU-Grundrechtecharta. Damit ein Drittland als „angemessen“ gilt, muss auch dort eine unabhängige Aufsicht existieren.
Als diese unabhängige Instanz haben die USA die FTC benannt. Und die EU-Kommission hat sich in ihrem aktuellen Angemessenheitsbeschluss ganze 259 Mal auf diese Unabhängigkeit der FTC gestützt.
Genau diese Unabhängigkeit hat der Supreme Court am Montag gestrichen. Damit fällt nach der Argumentation der Datenschutzorganisation noyb die tragende Säule des Abkommens weg. Das zweite Standbein – ein unabhängiges Gericht für Betroffene – stand ohnehin auf wackligen Füßen: Der 2022 geschaffene „Data Protection Review Court“ ist keine echte Gerichtsinstanz, sondern eine Stelle im US-Justizministerium, die nur per präsidialer Executive Order als „unabhängig“ gilt. Eine Order, die der Präsident jederzeit ändern kann.
Hier trennen sich zwei Begriffe, die im Vertrieb gern zu einem verschmolzen werden. Wer den Unterschied kennt, stellt die richtigen Fragen.
| Begriff | Beantwortet die Frage | Beispiel |
|---|---|---|
| Datenresidenz | Wo liegen meine Daten physisch? | Server im Rechenzentrum Frankfurt |
| Datensouveränität | Wer hat die rechtliche Kontrolle über den Zugriff? | Firmensitz und Rechtsordnung des Anbieters |
Der US CLOUD Act von 2018 verpflichtet US-Unternehmen unter bestimmten Voraussetzungen, herausverlangte Daten offenzulegen – unabhängig davon, in welchem Land der Server steht. Ein deutscher Standort schützt davor nicht automatisch, wenn der Anbieter einem US-Konzern gehört.
Wichtig für die Einordnung: Der CLOUD Act ist kein Automatismus. Er greift nicht bei jeder Anfrage, unterliegt Voraussetzungen und rechtlichen Grenzen, und viele Datenschutzjuristen bewerten das differenziert. Aber genau darin liegt der Punkt: Datensouveränität bedeutet, dass du die Kontrolle über den Zugriff bewusst gestaltest – statt dich darauf zu verlassen, dass ein Serverstandort die Frage schon irgendwie erledigt.
Frankfurt kauft dir Residenz. Souveränität kauft es dir nicht mit.
Der übliche Reflex an dieser Stelle lautet: „Wir stützen uns doch gar nicht auf das Abkommen, wir haben Standardvertragsklauseln.“ Das ist der Plan B, auf den viele Unternehmen ausweichen, wenn der Angemessenheitsbeschluss wackelt.
Das Problem: Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs) verlangen zusätzlich eine interne Folgenabschätzung. Und diese Folgenabschätzungen verweisen in aller Regel auf dieselben US-Kontrollinstanzen, deren Unabhängigkeit gerade infrage steht – etwa das PCLOB oder den Data Protection Review Court.
Nach der Einordnung von noyb bedeutet das: Auch Unternehmen mit SCCs oder BCRs sind betroffen. Sie müssen ihre Folgenabschätzung aktualisieren – und kommen dabei logischerweise zu dem Ergebnis, dass die bisherige Absicherung nicht mehr trägt.
Anders gesagt: Die Vordertür wackelt, und der Notausgang steht auf demselben Fundament.
An dieser Stelle ist Ehrlichkeit wichtiger als Dramatik. Denn morgen ändert sich erst einmal nichts – und wer das Gegenteil behauptet, verkauft Angst.
Vier Punkte, die die Lage einordnen:
Das Urteil hat also keine neue Tür geöffnet. Der CLOUD Act ist seit 2018 in Kraft, die Kritik an den US-Überwachungsgesetzen ist Jahre alt. Neu ist nur, dass die rechtliche Absicherung darunter offen sichtbar zu bröckeln beginnt. Wer jetzt vorbereitet ist, muss später nicht hektisch reagieren.
Besonders relevant wird das für eine Kategorie von Tools, die gerade als „europäische KI-Alternative“ gefeiert wird. Das Verkaufsargument klingt sauber: „Läuft komplett in der EU, gehostet auf Azure oder AWS.“
Genau darüber haben wir in unserem letzten Beitrag am Beispiel Langdock geschrieben. Die Anwendung wird in der EU gehostet, das stimmt. Aber laut Handelsregister-Recherche von Rechtsanwalt Martin Steiger gehört die Langdock GmbH zu 100 % einer Langdock Inc. mit Sitz in Delaware, finanziert von US-Investoren. Und nicht jedes anbietbare Modell läuft mit EU-Kennzeichnung – manche laufen global.
Der Ort ist europäisch. Der Eigentümer ist es nicht. Und die zugrunde liegende Infrastruktur – Azure, AWS – gehört ebenfalls US-Konzernen.
Fair bleiben, wie schon beim Langdock-Beitrag: US-Eigentum bedeutet nicht automatisch, dass Daten in die USA fließen oder der CLOUD Act sofort greift. Der Punkt ist ein anderer. „DSGVO-konform“ ist keine Eigenschaft, die pauschal für eine ganze Plattform gilt. Es ist eine Frage, die du pro Modell und pro Anbieter beantworten musst:
Die gute Nachricht: Du musst nicht alle US-Software von heute auf morgen abschalten. Du musst nur aufhören, Residenz mit Souveränität zu verwechseln. Diese fünf Schritte bringen dich in eine belastbare Position.
Schritt 1 – Daten klassifizieren. Trenne, welche Daten überhaupt personenbezogen sind. Nur diese unterliegen den Übermittlungsregeln. Eine grobe Einteilung reicht als Start:
| Kategorie | Beispiele | Sensibilität |
|---|---|---|
| Nicht personenbezogen | Anonyme Statistiken, technische Logs, öffentliche Texte | Niedrig |
| Personenbezogen, alltäglich | Namen, Geschäfts-E-Mails, Standard-Korrespondenz | Mittel |
| Personenbezogen, sensibel | Gesundheits-, Personal-, Mandanten-, Bewerberdaten | Hoch |
Schritt 2 – Pro Modell prüfen, wo es wirklich läuft. Nicht die Plattform zählt, sondern das einzelne Modell. Prüfe, ob genau das Modell, das du einsetzt, EU-gehostet ist – oder „global“.
Schritt 3 – Die rechtliche Kontrolle des Anbieters klären. Firmensitz, Eigentümerstruktur, anwendbares Recht. Und: Steht das sauber im Auftragsverarbeitungsvertrag?
Schritt 4 – Kritische Workloads absichern. Sensible Daten gehören auf EU-Modelle oder in eine self-hosted Umgebung. Der unkritische Rest darf bewusst in eine US-Cloud – wenn du diese Entscheidung getroffen hast statt sie zu erben.
Schritt 5 – Einen Plan B bauen, der nicht auf US-Behörden fußt. Eine Architektur, die Anfragen abhängig von der Datensensibilität an das passende Modell leitet, macht dich unabhängig von einzelnen Anbietern und einzelnen Gerichtsurteilen.
Das FTC-Urteil hat nichts wirklich Neues geschaffen. Es hat nur sichtbar gemacht, was viele bequem übersehen haben: Ein deutscher Serverstandort beantwortet die Frage nach dem Wo, nicht die nach dem Wer. Datensouveränität entsteht nicht durch ein Logo auf der Website und nicht durch eine Postleitzahl im Rechenzentrum. Sie entsteht durch bewusste Entscheidungen darüber, welche Daten auf welchem Modell in welcher Rechtsordnung landen.
Der Mittelstand, der diese Entscheidungen jetzt trifft, steht in zwei Jahren gelassen da – egal wie EuGH und Kommission entscheiden.
Bei neura7 ist Datensouveränität kein Nachgedanke, sondern Teil der Architektur jedes KI-Agenten-Projekts. Wir liefern keine Black-Box, sondern eine KI-Integration, bei der du weißt, welche Daten auf welchem Modell landen.
Das bedeutet für dich:
Du planst eine KI-Integration, die im Mittelstand ankommt und datenschutzkonform funktioniert? Dann lass uns darüber sprechen.
Jetzt unverbindliches Erstgespräch buchen