Synaedge Logo (500 × 120 px) (10)

Digitale Souveränität beginnt bei der Infrastruktur

Oder warum Synaedge unabhängig von Hyperscalern ist

Die rasante Verbreitung von KI-gestützter Videoanalyse stellt Unternehmen vor neue Datenschutz-Herausforderungen. Plattformen wie Vaidio, eine KI-Vision-Lösung für Videoanalysen, versprechen effiziente Überwachung durch automatisierte Bilderkennung und Alarmierung. Gleichzeitig müssen Organisationen in der EU und der Schweiz streng die geltenden Datenschutzgesetze einhalten. Ein zentrales Thema ist dabei die Datenhoheit. Wo und unter wessen Kontrolle werden die sensiblen Video- und Personendaten verarbeitet? Synaedge hat sich hier klar positioniert, als unabhängiger europäischer Anbieter, der nicht auf US-Hyperscaler zurückgreift. In diesem Beitrag erläutern wir, warum Digitale Souveränität bei der Infrastruktur beginnt und warum Synaedge unabhängig von Hyperscalern ist.

KI-Videoanalyse und Datenschutz: Herausforderung Datenübermittlung

Bei KI-gestützter Videoanalyse entstehen personenbezogene Daten (z.B. Gesichter, Kfz-Kennzeichen, Bewegungsprofile), die oft zentral gespeichert oder in die Cloud übertragen werden. Gerät dabei personenbezogenes Videomaterial in Drittländer außerhalb Europas – etwa in die USA –, treten komplexe rechtliche Anforderungen in Kraft. Insbesondere seit dem wegweisenden Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C 311/18) ist klar: Einfache Lösungen wie das frühere EU–US Privacy Shield genügen nicht mehr. Dieses Datenschutzabkommen, das bis 2020 Datenübermittlungen in die USA erleichterte, wurde vom EuGH für ungültig erklärt, da es kein ausreichend hohes Schutzniveau bot. Der Grund: Umfangreiche US-Überwachungsprogramme wie PRISM und UPSTREAM ermöglichten Massenüberwachung, was gegen EU-Grundrechte verstößt. Gleichzeitig bestätigte der EuGH zwar die Gültigkeit von Standardvertragsklauseln (SCCs) als Transfer-Instrument, stellte aber hohe Anforderungen: Datenexporteure und -importeure müssen prüfen, ob das Schutzniveau im Empfängerland im Wesentlichen EU-äquivalent ist – und notfalls zusätzliche Schutzmaßnahmen ergreifen. Gerade bei Transfers in die USA ist diese Prüfung heikel. Der EuGH bemängelte explizit, dass US-Geheimdienstgesetze wie Section 702 FISA und Executive Order 12333 EU-Bürgern keinen ausreichenden Rechtsschutz bieten und unverhältnismäßigen Zugriff auf deren Daten erlauben. Mit anderen Worten: Ohne zusätzliche Vorkehrungen kann ein EU-Unternehmen nicht sicher sein, dass in den USA gespeicherte oder von dort aus zugängliche Daten genauso geschützt sind wie in der EU.

US-Überwachungsgesetze vs. EU-Recht: der Konflikt im Überblick

Die Kernfrage lautet: Kann ein US-Dienstleister garantieren, dass keine unrechtmäßige Offenlegung von EU-Personendaten an US-Behörden erfolgt? Faktisch nein, denn US-Gesetze wie der USA PATRIOT Act (2001) und insbesondere der CLOUD Act (2018) verpflichten US-Unternehmen, auf Anordnung Daten an amerikanische Behörden herauszugeben, unabhängig vom Speicherort der Daten. Der CLOUD Act erstreckt sich ausdrücklich auch auf Daten, die auf Servern im Ausland liegen. Das bedeutet: US-Behörden können von US-Anbietern Daten verlangen, selbst wenn diese in Europa gespeichert sind, ohne dass zuvor ein Rechtshilfeersuchen (MLAT) über europäische Behörden gestellt werden muss. Aus EU-Sicht entsteht hier ein direkter Rechtskonflikt. Denn Artikel 48 DSGVO schreibt vor, dass ein außereuropäisches behördliches Auskunftsersuchen nur auf Basis eines internationalen Abkommens oder einer entsprechenden gesetzlichen Grundlage anerkannt werden darf. Einseitige Zugriffe US-amerikanischer Stellen, wie sie der CLOUD Act ermöglicht, dürfen nach EU-Recht nicht zur Datenübermittlung führen. Mit dem CLOUD Act prallen also die Rechtsordnungen aufeinander: Ein US-Gerichtsbeschluss kann einen Anbieter zwingen, Daten herauszugeben, während die DSGVO dem europäischen Unternehmen verbietet, Daten ohne gültige Grundlage an Dritte weiterzugeben. Nach Schrems II verlangen die Datenschutzaufsichten daher von jedem Drittlandtransfer eine umfassende Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA). Speziell bei US-Diensten muss man prüfen, ob technische, organisatorische oder vertragliche Zusatzmaßnahmen die Daten ausreichend vor US-Zugriff schützen, was oft nur schwer möglich ist.

Physisch in Europa, rechtlich in den USA? Risiken der Hyperscaler

Die großen Hyperscaler (etwa AWS, Microsoft Azure oder Google Cloud) unterhalten zwar Rechenzentren in Europa, unterliegen aber als US-Unternehmen letztlich US-Recht. Man spricht hier vom „im Körper in Europa, im Geiste in den USA“-Problem: Physisch stehen die Server zwar in der EU, doch rechtlich und administrativ bleibt ein Zugriff aus den USA möglich. So reicht bereits der Umstand, dass US-Mitarbeiter administrativen Zugang haben oder Daten an die US-Mutterfirma weitergeleitet werden könnten, damit DSGVO und das schweizerische DSG von einer Drittlandübermittlung ausgehen, selbst wenn der Serverstandort EU ist. Für Kunden solcher Hyperscaler bedeutet das: Trotz EU-Region-Hosting besteht ein Restrisiko, dass Daten ohne ihr Wissen in die Hände US-amerikanischer Behörden gelangen. Zusammengefasst sind die Risiken bei Nutzung US-basierter Cloud-Anbieter:

  • Extraterritoriale Zugriffe: US-Behörden können Daten anfordern, egal wo sie gespeichert sind. Das kollidiert direkt mit EU-Vorgaben (Art. 48 DSGVO).
  • Mangelnder Rechtsschutz: EU-Bürger haben keine wirksame Möglichkeit, sich gegen solche Zugriffe zu wehren, da US-Gesetze wie FISA oder CLOUD Act keinen adäquaten Rechtsschutz vorsehen.
  • Compliance-Aufwand: Unternehmen müssen ständig prüfen und dokumentieren, ob und wie sie Daten vor dem Zugriff durch Dritte schützen (Verschlüsselung, Schlüsselhaltung in EU etc.), um den Schrems II-Vorgaben zu genügen. Jede neue Cloud-Nutzung erfordert einen Case-by-Case TIA – ein erheblicher Aufwand, der Rechtsunsicherheit mit sich bringt.
  • Ungewisse Rechtslage: Zwar hat die EU 2023 den neuen EU–US Data Privacy Framework (DPF) verabschiedet. Das DPF ist in Kraft, wurde 2025 in einem ersten Verfahren bestätigt, bleibt aber politisch und juristisch umstritten und kann erneut vor dem EuGH landen.
  • Trump-Regierung: Diese verschärft das Problem der Unberechenbarkeit des rechtlichen und politischen Rahmens in den USA.

Synaedge: Europäische Datensouveränität statt US-Cloud

Synaedge positioniert sich als lokaler Cloud- und Service-Provider für KI-Videoanalyse, insbesondere als zertifizierter Hosting-Partner der Vaidio-Plattform in der EMEA-Region. Der entscheidende Unterschied: Synaedge ist unabhängig von Hyperscalern und betreibt seine eigene Serverinfrastruktur in zertifizierten Rechenzentren in der Schweiz, Deutschland und Spanien. Diese Standorte sind direkt miteinander verbunden, ohne Umweg über Drittanbieter oder globale Cloud-Konzerne. Diese Architektur gewährleistet echte technische Souveränität: volle Kontrolle über die Datenwege, minimale Latenz und eine stabile Netzanbindung vom Edge-Gerät und On-Prem-Server bis zur KI-Analyse im Rechenzentrum. Da die gesamte Infrastruktur innerhalb der EU sowie in der Schweiz als Drittland mit Angemessenheitsbeschluss betrieben wird, findet keine Übermittlung in rechtlich unsichere Drittstaaten statt. Für Datenverarbeitungen innerhalb der EU greifen die Art. 44 ff. DSGVO gar nicht, für die Schweiz erfolgt der Transfer auf Basis von Art. 45 DSGVO ohne zusätzliche Garantien wie Standardvertragsklauseln oder Transfer Impact Assessments. Der sonst bei US-Anbietern notwendige hohe Compliance-Aufwand entfällt damit vollständig. Insbesondere schaltet dieses Modell das größte Risiko aus: den Zugriff externer Behörden auf Basis extraterritorialer Gesetze. Synaedge unterliegt keinerlei US-Gesetzgebung wie dem CLOUD Act oder FISA und kann daher nicht zur Herausgabe von Daten an US-Behörden verpflichtet werden. Ein Zugriff ohne Wissen und Kontrolle des Kunden ist ausgeschlossen. Sollte jemals ein legitimes Auskunftsbegehren aus dem Ausland erfolgen, müsste dieses den formalen Weg über internationale Rechtshilfeabkommen nehmen, mit richterlicher Prüfung und Einbindung der zuständigen europäischen oder schweizerischen Behörden, so wie es Art. 48 DSGVO vorsieht. Kurz gesagt: Bei Synaedge bleibt die Datenhoheit beim Kunden und innerhalb des europäischen Rechtsraums.

Fazit: Datenschutz durch europäische Eigenständigkeit

Synaedge demonstriert mit seiner unabhängigen Cloud-Architektur, dass moderne KI-Videoanalytik und strikter Datenschutz vereinbar sind. Durch den bewussten Verzicht auf US-Hyperscaler und den Betrieb in europäischen Rechenzentren umgeht Synaedge die juristischen Fallstricke transatlantischer Datentransfers. Unternehmen, die Vaidio über Synaedge nutzen, erhalten eine Schrems II-konforme Lösung „out of the box“ , ohne Abstriche bei Funktionalität oder Skalierbarkeit.

Quellen:

Fest in amerikanischer Hand

Schrems II landmark ruling: A detailed analysis

Europäischer Datenschutzausschuss kritisiert CLOUD Act Datenabkommen zwischen USA und Großbritannien

Picture of Autoren:

Autoren:

Anne-Katrin Michelmann

Datum: 28.01.2026