Hoster und Daten in Europa. Alles OK?

Denn es reicht nicht, dass Daten in der EU liegen. Das tun sie bei Microsoft oft auch. 
Entscheidend ist: Wer könnte im Hintergrund zugreifen – und wer darf darüber dann eventuell gar nicht reden?

Drei Beispiele – drei offene Fragen

1. World4You (Österreich)

Einer der bekanntesten Hosting-Anbieter Österreichs. Serverstandort in Linz, viele zufriedene Kund:innen.
Aber, was vermutlich die meisten nicht wissen. World4you ist kein Österreichisches Unternehmen.
World4You ist Teil des deutschen United-Internet-Konzerns (IONOS, GMX, 1&1).

Das führt zur naheliegenden Frage:

Gibt es eine nachweisbare organisatorische und technische Trennung vom Mutterkonzern?
Wird garantiert, dass kein Zugriff aus Schwesterunternehmen über zentrale Adminsysteme, Supportprozesse oder Monitoring besteht?

Solange diese Trennung nicht transparent offengelegt und überprüfbar belegt wird, kann man nicht davon ausgehen, dass Daten bei World4you nicht aus Schwesterunternehmen z.B. in den USA zugreifbar sind.

2. Hetzner (Deutschland)

Großer Anbieter mit starkem Preis-Leistungs-Verhältnis, beliebt in Deutschland und Österreich. Wirbt mit Rechenzentren in Deutschland und Finnland – also EU-konform. Aber: Hetzner betreibt auch Standorte in den USA. Deshalb stellt sich die Frage:

Ist der technische und organisatorische Zugriff zwischen EU- und US-Strukturen vollständig getrennt?

Solange Hetzner nicht garantiert, dass Support- oder Adminpersonal aus den Rechenzentren in den USA keinerlei Zugriff auf Daten in Europäischen Rechenzentren hat, und dies auch durch eine dritte Stelle zertifizieren lässt, muss man davon ausgehen, dass dieser Zugriff gegeben ist.

3. IONOS & die „Souveräne Cloud“

IONOS wirbt aktiv mit Nextcloud, Open-Xchange und Univention für eine „Souveräne Cloud“. Eine echte Alternative zu Microsoft wird entwickelt, mit Daten in Europa. Gleichzeitig betreibt IONOS (Ebenfalls United Internet) jedoch eine Niederlassung in den USA – mit eigener Infrastruktur und natürlich eigenem Personal in den USA.

Das führt zur entscheidenden Frage:

Hat IONOS eine klare, überprüfbare Trennung zwischen europäischen Systemen und den US-Niederlassungen?

Wieder die gleiche Frage: Gibt es öffentlich dokumentierte Garantien, dass:

• US-Personal keinen technischen Zugriff auf europäische Systeme hat?

• Support, Admin-Zugänge und Infrastruktur vollständig isoliert betrieben werden?

Solange diese Garantien nicht transparent belegt werden und es von dritter Stelle überprüft wird, gilt dasselbe wie bei Microsoft:

Souveränität ist unter diesen Bedingungen nicht gegeben.

❓ Wo sind die Garantien?

Viele Anbieter behaupten:

„Wir verarbeiten Ihre Daten in Europa bzw. der EU!“

Aber entscheidend ist etwas anderes:

Wo ist die Garantie, dass es eine vollständige technische und organisatorische Trennung zwischen europäischen Systemen und US-Niederlassungen gibt?

Nur so lässt sich verhindern:

• dass US-Admins auf EU-Systeme zugreifen können

• dass dieser Zugriff im Hintergrund geschieht

• und dass er rechtlich erzwungen wird – ohne Offenlegung

Solange Anbieter keine solche Trennung nachweisen oder garantieren,
muss man davon ausgehen, dass der Zugriff möglich ist – und Souveränität nicht gegeben ist.

Warum das ein echtes Risiko ist – ganz konkret erklärt:

Wenn eine US-Behörde eine Tochterfirma eines europäischen Unternehmens in den USA durchsucht (z. B. auf Basis des CLOUD Act, FISA 702 oder eines National Security Letters), dann gilt:

Die Ermittler dürfen alles beschlagnahmen oder kopieren, was über diese US-Niederlassung erreichbar ist.

Und das bedeutet im Klartext:

• Alle Systeme, auf die das US-Personal technisch Zugriff hat

• Alle Daten, die über VPN, zentrale Admin-Tools oder Support-Portale steuerbar sind

• Nicht nur Daten der US-Tochter, sondern auch der europäischen Muttergesellschaft und aller verbundenen Unternehmen

Denn juristisch zählt nicht der Ort der Daten, sondern der Ort des Zugriffs.

Der Zugriff ist oft global organisiert

• In modernen IT-Organisationen ist es üblich, Support über Zeitzonen hinweg zu staffeln – für günstigen 24/7-Betrieb.

• US-Admins betreuen häufig auch EU-Systeme – ganz normal, ganz legal.

• Die nötigen Tools (z. B. zentralisiertes Monitoring, Remote Access, Infrastrukturmanagement) machen den Zugriff leicht.

Was betrieblich effizient ist – ist aus Sicht der Souveränität hoch riskant.

⚠️ Fazit: Datenstandort ≠ Datenhoheit

• Daten in Europa nützt wenig, wenn das Rechenzentraum aus Übersee administriert wird.

• Eine DSGVO-Zusage schützt nicht vor Zugriff durch Drittländer, wenn technische Zugriffspfade bestehen.

• Hübsche Marketingaussagen ersetzen keine transparente Kontrollstruktur.

✅ Unsere Antwort: 4future.one

Wir setzen auf echte Souveränität – nicht auf Versprechen.

Wir bauen bei 4future.digital mit 4future.one mit Hilfe der 4future.foundation eine digitale Infrastruktur mit Open Source Lösungen (denn auch hier gilt, Kontrolle der Software ist besser als Vertrauen) um Europäischen Anbietern wirkliche Souveränität zu ermögliche. Wir selbst haben einen Rechenzentrumsstandort in Wien, der aus Österreich administriert wird.

• Natürlich alle Daten in Europa

• Infrastruktur ausschließlich in europäischer Hand

• vollständige Kontrolle über alle Zugriffspfade

• kein Support über Drittstaaten

• offene Architektur, überprüfbare Komponenten, transparente Strukturen

Und wenn wir ehrlich sind, bräuchten wir auch Europäische Serverhersteller und Netzwerkinfrastruktur Hersteller. Denn die meisten Geräte werden in China gefertigt (auch wenn Apple, IBM oder Cisco draufsteht) und das ist auch nicht viel besser als die NSA die in ein US Rechenzentrum einfällt. 

Denn:

Souveränität beginnt nicht beim Standort der Daten – sondern bei der Kontrolle über den Zugriff.

Wenn Sie unsere Bemühungen für Europäische Souveränität und Entwicklung einer echten europäischen Daten und Informationsplattform unterstützen, dann unterstützten Sie bitte die 4future.foundation dabei die Finanzierung dafür sicherzustellen: