Was Data Residency abdeckt
Data Residency beantwortet eine physische Frage: In welchem Land finden Ihre Daten und deren Verarbeitung tatsächlich statt? Bei AI geht es nicht nur darum, wo Daten im Ruhezustand liegen, sondern wo sie in der Verarbeitung sind - Inferenz liest Ihren Prompt und erzeugt eine Antwort auf einer bestimmten Maschine, in einem bestimmten Rechenzentrum, in einem bestimmten Land. Ein Anbieter mit EU-Data-Residency verpflichtet sich, diese Verarbeitung auf EU-Boden zu halten, statt sie anderswohin zu routen. Anfragen an unsere EU-gehosteten Modelle werden zum Beispiel in einem Rechenzentrum in München verarbeitet.
Residency ist die Dimension, die Käufer am besten verstehen und Anbieter am stärksten betonen, weil sie konkret und leicht überprüfbar ist. Sie ist echt notwendig: Daten in der EU zu halten ist Voraussetzung für GDPR-konforme Verarbeitung und beseitigt die offensichtlichste grenzüberschreitende Exposition. Aber notwendig ist nicht dasselbe wie ausreichend - und genau an dieser Lücke hört das meiste "souveräne" Marketing stillschweigend auf.
Geografie ist nicht Jurisdiktion
Wo ein Server steht, entscheidet nicht allein, welchem rechtlichen Zugriff die Daten unterliegen. Extraterritoriale Gesetzgebung - allen voran der US CLOUD Act - erlaubt Behörden, einen Anbieter, der ihrer Jurisdiktion unterliegt, zur Herausgabe von Daten zu zwingen, die irgendwo auf der Welt gespeichert sind, auch in der EU. Jurisdiktion folgt der Kette der Unternehmenskontrolle, nicht der Landkarte: Ein US-eigener Anbieter entkommt dem CLOUD Act nicht, indem er Server in Frankfurt aufstellt, und ein Anbieter unter EU-Jurisdiktion fällt nicht darunter, selbst wenn einzelne Hardware-Komponenten nicht in der EU gefertigt sind. Data Residency ohne jurisdiktionelle Unabhängigkeit ist Kontrolle nur auf dem Papier.
Das Risiko ist nicht hypothetisch. Im Juni 2026 zwang eine US-Exportkontrollanordnung ein führendes US-Labor, ein Frontier-Modell binnen Tagen nach dem Launch für alle Nutzer weltweit abzuschalten - unabhängig davon, wo diese Nutzer oder Server standen, ohne Vorwarnung und ohne Migrationspfad. Residency hätte nicht geholfen: Die Exposition kam aus der Jurisdiktion des Anbieters, nicht aus dem Standort eines Rechenzentrums. Das ist der Unterschied zwischen dem, wo Ihre Daten liegen, und dem, ob Sie den Zugriff wirklich kontrollieren.
Residency mit echter Kontrolle unterlegt
Echte Souveränität verbindet Residency mit den Dimensionen, die Residency allein offenlässt: rechtliche Jurisdiktion (eine EU-Betreibergesellschaft ohne US-Mutter, also keine extraterritoriale Reichweite), operative Kontrolle (wer hält den Zugriff) und Substituierbarkeit (können Sie wechseln). Infercom verarbeitet Ihre Anfragen auf seinen EU-gehosteten Modellen in der EU, unter einer EU-Rechtsperson, und betreibt Open-Weight-Modelle, an die Sie nie gebunden sind - Residency ist damit durch Jurisdiktion und die Freiheit zu wechseln unterlegt, nicht als alleinstehendes Siegel angeboten. In unserem Trust Center können Sie unsere Jurisdiktion, Zertifizierungen und Sub-Prozessoren einsehen und einen GDPR-Data Processing Agreement (Art. 28) unterzeichnen. Wir sind zudem transparent darüber, was nicht durchgängig EU-kontrolliert ist - insbesondere der US-Technologieanbieter, der die Plattform im Rahmen eines Managed-Services-Vertrags betreibt -, denn der ehrliche Test von Souveränität ist Kontrolle und Substituierbarkeit über jede Dimension, nicht der physische Standort eines Servers allein.
Quellen
Verwandte Begriffe
DSGVO (GDPR) für AI-Inferenz
Was Europas Datenschutzrecht verlangt, wenn Ihre Prompts personenbezogene Daten enthalten - eine Rechtsgrundlage, einen Auftragsverarbeitungsvertrag und Verarbeitung, die in Reichweite des EU-Rechts bleibt.
Auftragsverarbeitungsvertrag (AVV / DPA)
Der Auftragsverarbeitungsvertrag (AVV), englisch Data Processing Agreement (DPA), regelt, wie ein Inferenz-Anbieter die personenbezogenen Daten in Ihren Prompts verarbeiten darf - und ist ein Grundtest, ob ein Anbieter enterprise-tauglich ist.
Zero Data Retention (ZDR)
Wenn ein Inferenz-Anbieter Ihre Prompts und Ausgaben nach der Verarbeitung nicht speichert und nie darauf trainiert - Ihre Datenexposition schrumpft auf den Moment der Verarbeitung.
Open-Weight-Modell
Ein Modell, dessen trainierte Parameter veröffentlicht sind, sodass es jeder selbst betreiben kann - die technische Basis souveräner Inferenz.
Sehen Sie, wie EU-Jurisdiktion, Data Residency und ein unterzeichenbarer DPA auf unserer EU-souveränen AI-Plattform zusammenkommen - Kontrolle, an der Sie uns festhalten können, kein Siegel.