Glossar
Souveränität & Compliance

Data Residency

Data Residency ist die Anforderung, dass Daten an einem bestimmten geografischen Ort gespeichert und verarbeitet werden - für europäische Organisationen typischerweise innerhalb der EU. Für AI-Inferenz bedeutet es, dass jeder Prompt und jede Antwort auf Infrastruktur verarbeitet wird, die physisch in der EU steht. Residency ist die bekannteste Dimension der Datensouveränität, bestimmt für sich allein aber nicht, welches Rechtsregime den Zugriff auf diese Daten erzwingen kann.

Was Data Residency abdeckt

Data Residency beantwortet eine physische Frage: In welchem Land finden Ihre Daten und deren Verarbeitung tatsächlich statt? Bei AI geht es nicht nur darum, wo Daten im Ruhezustand liegen, sondern wo sie in der Verarbeitung sind - Inferenz liest Ihren Prompt und erzeugt eine Antwort auf einer bestimmten Maschine, in einem bestimmten Rechenzentrum, in einem bestimmten Land. Ein Anbieter mit EU-Data-Residency verpflichtet sich, diese Verarbeitung auf EU-Boden zu halten, statt sie anderswohin zu routen. Anfragen an unsere EU-gehosteten Modelle werden zum Beispiel in einem Rechenzentrum in München verarbeitet.

Residency ist die Dimension, die Käufer am besten verstehen und Anbieter am stärksten betonen, weil sie konkret und leicht überprüfbar ist. Sie ist echt notwendig: Daten in der EU zu halten ist Voraussetzung für GDPR-konforme Verarbeitung und beseitigt die offensichtlichste grenzüberschreitende Exposition. Aber notwendig ist nicht dasselbe wie ausreichend - und genau an dieser Lücke hört das meiste "souveräne" Marketing stillschweigend auf.

Geografie ist nicht Jurisdiktion

Wo ein Server steht, entscheidet nicht allein, welchem rechtlichen Zugriff die Daten unterliegen. Extraterritoriale Gesetzgebung - allen voran der US CLOUD Act - erlaubt Behörden, einen Anbieter, der ihrer Jurisdiktion unterliegt, zur Herausgabe von Daten zu zwingen, die irgendwo auf der Welt gespeichert sind, auch in der EU. Jurisdiktion folgt der Kette der Unternehmenskontrolle, nicht der Landkarte: Ein US-eigener Anbieter entkommt dem CLOUD Act nicht, indem er Server in Frankfurt aufstellt, und ein Anbieter unter EU-Jurisdiktion fällt nicht darunter, selbst wenn einzelne Hardware-Komponenten nicht in der EU gefertigt sind. Data Residency ohne jurisdiktionelle Unabhängigkeit ist Kontrolle nur auf dem Papier.

Das Risiko ist nicht hypothetisch. Im Juni 2026 zwang eine US-Exportkontrollanordnung ein führendes US-Labor, ein Frontier-Modell binnen Tagen nach dem Launch für alle Nutzer weltweit abzuschalten - unabhängig davon, wo diese Nutzer oder Server standen, ohne Vorwarnung und ohne Migrationspfad. Residency hätte nicht geholfen: Die Exposition kam aus der Jurisdiktion des Anbieters, nicht aus dem Standort eines Rechenzentrums. Das ist der Unterschied zwischen dem, wo Ihre Daten liegen, und dem, ob Sie den Zugriff wirklich kontrollieren.

Residency mit echter Kontrolle unterlegt

Echte Souveränität verbindet Residency mit den Dimensionen, die Residency allein offenlässt: rechtliche Jurisdiktion (eine EU-Betreibergesellschaft ohne US-Mutter, also keine extraterritoriale Reichweite), operative Kontrolle (wer hält den Zugriff) und Substituierbarkeit (können Sie wechseln). Infercom verarbeitet Ihre Anfragen auf seinen EU-gehosteten Modellen in der EU, unter einer EU-Rechtsperson, und betreibt Open-Weight-Modelle, an die Sie nie gebunden sind - Residency ist damit durch Jurisdiktion und die Freiheit zu wechseln unterlegt, nicht als alleinstehendes Siegel angeboten. In unserem Trust Center können Sie unsere Jurisdiktion, Zertifizierungen und Sub-Prozessoren einsehen und einen GDPR-Data Processing Agreement (Art. 28) unterzeichnen. Wir sind zudem transparent darüber, was nicht durchgängig EU-kontrolliert ist - insbesondere der US-Technologieanbieter, der die Plattform im Rahmen eines Managed-Services-Vertrags betreibt -, denn der ehrliche Test von Souveränität ist Kontrolle und Substituierbarkeit über jede Dimension, nicht der physische Standort eines Servers allein.

Quellen

Verwandte Begriffe

Sehen Sie, wie EU-Jurisdiktion, Data Residency und ein unterzeichenbarer DPA auf unserer EU-souveränen AI-Plattform zusammenkommen - Kontrolle, an der Sie uns festhalten können, kein Siegel.

Bereit, die Zukunft der AI in Europa zu gestalten?

Schließen Sie sich zukunftsorientierten Unternehmen an, die Souveräne KI mit Weltklasse-Performance einsetzen