Sovereignty Scan
Scan

Warum · Hintergrund

Warum digitale Souveränität in Europa zählt.

Eine visuelle Erklärung in sieben Kapiteln: was wirklich passiert, wenn Sie ein US-Tool nutzen, was auf dem Spiel steht. Und warum schon ein YouTube-Embed ein Datentransfer ist.

Zum ScanMethodik ansehen

01 · Die unbequeme Wahrheit

Ein US-Tool bleibt US-Recht. Auch in Frankfurt.

Server in Frankfurt klingen beruhigend, sind aber juristisch irrelevant. Entscheidend ist, wer den Vertrag kontrolliert, nicht wo das Kabel endet.

01

Nutzer:in in Deutschland

Personenbezogene Daten, DSGVO-geschützt

02

EU-Server (z.B. Frankfurt)

Marketing-Versprechen, kein Recht

03

US-Mutterkonzern

CLOUD Act greift hier, mit oder ohne EU-Server

Datenfluss · Rechts­raum-Zugriff via CLOUD Act

Sobald die Mutter­gesellschaft in den USA sitzt, kann sie via  zur Heraus­gabe verpflichtet werden, ohne Information der Betroffenen, ohne deutsches Gericht, ohne Wider­spruchs­möglichkeit. Das hat der EuGH mit  bestätigt; das aktuelle  ist bereits angefochten.

02 · Die fünf Stufen

So sieht digitale Souveränität in der Praxis aus.

Nicht jede „EU-Lösung“ ist gleich souverän. Diese fünf Stufen helfen, ein Tool nüchtern einzuordnen, vom Default-US-SaaS bis zum vollständig souveränen EU-Stack.

  1. Level0

    US-Anbieter, US-Server

    Beispiele

    Google Workspace, Calendly, Typeform (Default), HubSpot, Zoom

    Volle CLOUD-Act-Reichweite. Bei einem nachfolgenden Schrems-Urteil ist das Risiko einer kurzfristigen Migrationspflicht am höchsten.

  2. Level1

    US-Anbieter, EU-Server

    Beispiele

    AWS Frankfurt, Azure DE, Microsoft 365 EU, Salesforce Hyperforce EU

    Marketing-Argument, kein juristisches. CLOUD Act gilt strukturell weiter. Der Konzern bleibt US-pflichtig.

  3. Level2

    EU-Tochter eines US-Konzerns

    Beispiele

    Google Sovereign Cloud, Microsoft EU Data Boundary, Oracle EU Sovereign

    Etwas besser, aber Konzern­weisung kann Tochter­vertrag im Konflikt­fall überlagern. Auch OFAC-Sanktionen können Zugänge betreffen, wie 2025 die Microsoft-Sperrung beim Internationalen Strafgerichtshof gezeigt hat.

  4. Level3

    EU-Anbieter mit US-Subprozessoren

    Beispiele

    EU-SaaS auf AWS/Cloudflare, EU-Tools mit Stripe, Intercom oder SendGrid in der Kette

    Vertragspartner ist EU. Aber ein einzelner US- reichert das gesamte Setup wieder mit Drittland-Risiko an.

  5. Level4

    EU-Anbieter, EU-Hosting, EU-Subprozessoren

    Beispiele

    meetergo, Hetzner, OVHcloud, IONOS, STACKIT, Nextcloud, Sentry SaaS EU

    Höchste Souveränitäts­stuße in unserem Modell: keine US-Mutter­gesellschaft, keine US-Subprozessoren in der Vertrags­kette. Damit das geringste strukturelle Drittland-Transfer-Risiko.

Kurz: „EU-Server“ ≠ „EU-Souveränität“. Was zählt, ist die Eigentümer-Kette inkl. aller Subprozessoren. Genau das rekonstruiert der Sovereignty Scan automatisch.

03 · Was auf dem Spiel steht

Vier Risiken, die jeder Geschäftsführer kennen sollte.

Datenschutz wird oft als Compliance-Hygiene abgetan. Das ist 2026 nicht mehr realistisch. Die Folgen sind handfest, persönlich und teilweise existenziell.

Bußgelder bis 4 % vom Konzern­umsatz

definiert den Rahmen. 2025 wurden in Europa über €1 Milliarde -Bußgelder verhängt, Tendenz weiter steigend. Drittland-Transfer ist Stufe 2: bis zu 20 Mio. € oder 4 % vom Jahres­umsatz, je nachdem, was höher ist.

Persönliche Haftung der GF

verpflichtet zur „Sorgfalt eines ordentlichen Geschäfts­manns“. Wer den  ignoriert, haftet im Schadens­fall mit Privat­vermögen. Die  springt bei grober Fahr­lässigkeit regel­mäßig nicht ein.

Disqualifikation in Ausschreibungen

Bund, Länder und Konzern-Einkauf machen „EU-Hosting“ und „CLOUD-Act-frei“ zunehmend zum K.O.-Kriterium.  ist hier verbindliche Roadmap. Ein einziges US-Tool im  kann das Angebot disqualifizieren, oft ohne Begründung.

Politischer Abschalt-Schock

2025 sperrte Microsoft auf  Konten des Internationalen Strafgerichtshofs, ohne Übergangs­frist. US-Recht trifft jedes US-Tool, jederzeit. Wer keine Alternative aufgesetzt hat, steht still.

04 · Die unsichtbaren Exporte

Auch ein YouTube-Embed ist ein Datentransfer.

Die wenigsten Datenschutz-Risiken stehen groß auf der Website. Sie sind eingebettet, dritt­geladen, vor­konsentiert. Aus Browser-Sicht ist das trotzdem ein voller Cross-Border-Request.

YouTube-Embed

Was passiert: Beim Laden des Embeds werden technisch unvermeidbare Header (IP, User-Agent) an Google übertragen. Auch die „nocookie“-Variante bedeutet: ein Request landet im US-Rechtsraum.

EU-Alternative: PeerTube, Vimeo (EU-DSA-Modell), oder selbst gehostetes Video via Bunny Stream / Mux EU.

Google Fonts (CDN)

Was passiert: LG München I, Urteil v. 20.01.2022, Az. 3 O 17493/20: Einbinden via fonts.googleapis.com ohne Einwilligung wurde im konkreten Fall als Persönlichkeitsrechts­verletzung gewertet. Die IP-Adresse genügt als personenbezogenes Datum. Eigene Konstellation prüfen lassen.

EU-Alternative: Self-hosting via @fontsource oder Bunny Fonts (EU-Hosting, ohne Drittland-Request per Default).

reCAPTCHA / hCaptcha (US)

Was passiert: Beide Anbieter werten Mausbewegungen, Browser-Fingerprint und IP aus, und zwar bereits vor dem Klick. Anbieter-Mutter sitzt in den USA, der Datenfluss fällt damit unter US-Jurisdiktion.

EU-Alternative: FriendlyCaptcha (Bayern), Turnstile (mit Vorbehalt), Honeypot-Felder + Rate-Limit.

Cloudflare / Akamai (Edge)

Was passiert: Auch ohne sichtbares Logo läuft jeder Request über Edge-Infrastruktur eines US-Konzerns. Bei TLS-Termination am Edge ist der Anbieter strukturell in der Lage, Klartext-Inhalte zu sehen.

EU-Alternative: Bunny.net (Slowenien), Fastly EU mit Datenstandort-Kontrolle, oder direkt-served via Hetzner/IONOS.

Pixel & Tag-Manager

Was passiert: Meta-Pixel, LinkedIn Insight, Google Tag Manager: ein Laden vor Consent ist datenschutzrechtlich anspruchsvoll und wird von Aufsichten regelmäßig als Verstoß bewertet (TTDSG/DSGVO). Auch nach Consent fällt der Datenfluss unter US-Jurisdiktion.

EU-Alternative: Server-side Tracking via Plausible EU, Matomo on-prem, Etracker.

Intercom, HubSpot-Chat, Zendesk

Was passiert: Chat-Widgets von US-Anbietern verarbeiten Besucher-IDs, IP und ggf. den Konversations-Verlauf. Der Datenfluss fällt unter US-Jurisdiktion (CLOUD-Act-Reichweite).

EU-Alternative: Userlike (Köln), Crisp (Frankreich), tidio mit EU-Hosting, oder simples mailto:.

05 · Das große Bild

Souveränität ist Infrastruktur-Politik.

Es geht längst nicht mehr nur um den einzelnen Datensatz. Es geht darum, ob Europa seine kritischen digitalen Funktionen selbst betreiben kann: wirtschaftlich, technisch und politisch.

Wirtschaftliche Resilienz

Jeder Euro für US-SaaS ist ein Euro, der nicht in europäische Wertschöpfung fließt. Wenn morgen ein US-Anbieter abschaltet, fehlt eine Alternative. Es sei denn, wir kaufen sie heute schon bewusst.

Politische Handlungsfähigkeit

Mit  hat das BMI die Marsch­richtung vorgegeben: Bundes­verwaltung muss bis 2027 nachweisen können, dass kritische Verarbeitung ohne CLOUD-Act-Exposition läuft.

Demokratische Kontrolle

US-Geheimdienste dürfen via FISA 702 Daten von Nicht-US-Personen abgreifen, ohne richterliche Einzelfallprüfung. Wer in Europa lebt, sollte in Europa rechtlich erreichbar sein.

Persönliche Notiz · Gründer

Warum mir das persönlich wichtig ist.

Ich baue seit Jahren Software in Europa. meetergo für Termin­buchung, CrabClear für DSGVO-konforme Daten­löschung, dazu mehrere kleinere Privacy-Tools. Bei jedem dieser Produkte hatte ich denselben Punkt im Vertriebs­gespräch: ein DPO oder Einkauf zieht eine US-Subprocessor-Liste, und ein Konkurrent ist raus.

Dieselben Unternehmen verbringen aber Jahre damit, ihre eigenen Stacks aufzuräumen, meistens, weil niemand einen Überblick hat. Genau das war der Auslöser für den Sovereignty Scan: Ich wollte das Werkzeug, das ich selbst gebraucht hätte, um in einem Gespräch zu sagen „so sieht das Risiko bei euch konkret aus“, ohne Beratungs­vertrag und ohne Anmeldung.

Souveränität ist für mich kein politisches Schlagwort. Es ist die Frage, ob ich morgen meinen Kunden noch ihre Daten ausliefern darf, oder ob ein Gerichts­urteil in Washington das für mich entscheidet. Das ist eine schlechte Position, in der man als europäisches Unternehmen sein sollte.

Dominik Rapacki

Dominik Rapacki

Gründer · meetergo, CrabClear

06 · Was Sie jetzt tun können

Drei pragmatische Schritte. Keine Komplettmigration.

Souveränität ist keine binäre Entscheidung. Es ist eine Reihe von Tausch-Operationen, geordnet nach Risiko und Aufwand.

  1. 1

    Bestand erfassen

    Lassen Sie den Sovereignty Scan über Ihre Domain laufen. Sie bekommen in 60 Sekunden eine Liste aller erkannten Tools mit Jurisdiktion, Sensitivität und EU-Alternative.

  2. 2

    Quick Wins ziehen

    Google Fonts self-hosten, YouTube durch Lazy-Embed mit Consent ersetzen, reCAPTCHA durch FriendlyCaptcha tauschen: drei Stunden Arbeit, drei DSGVO-Risiken weniger.

  3. 3

    Strategische Tools migrieren

    Wo personen­bezogene Daten verarbeitet werden, also Buchung, CRM, Forms, E-Mail, lohnt der Wechsel auf einen -souveränen Anbieter besonders. meetergo ersetzt hier Calendly, Typeform, Cal.com & Co. ohne CLOUD-Act-Exposition.

Weiterlesen

Wenn Sie tiefer einsteigen wollen.

Methodik

So funktioniert der Sovereignty Scan

Welche fünf Signal­quellen wir auswerten, wie wir Jurisdiktion bestimmen, wie aus Anbieter-Risiken eine Note A–E wird.

Weiterlesen

Scoreboards

So souverän ist der deutsche Mittelstand

Öffentlich gerankte Domains aus Verwaltung, DAX, Mittelstand. Kein Gefühl mehr, harte Zahlen.

Weiterlesen

Bereit, den eigenen Stack zu prüfen?

60 Sekunden. Keine Anmeldung. Sie bekommen eine Note von A bis E mit allen erkannten Tools und EU-Alternativen.

Zum Scan