Cloud Act ade: Warum smallstack bewusst auf einen rein europäischen Stack setzt
smallstack läuft komplett in Deutschland und der EU. Keine US-Anbieter im Hintergrund. Kein AWS, kein Azure, kein Google Cloud — sondern ein bewusst europäisch zusammengestellter Anbieter-Mix.
Das ist eine bewusste Entscheidung, keine Marketing-Aussage. Und sie ist relevanter, als viele denken — denn "EU-gehostet" und "EU-geschützt" sind zwei völlig verschiedene Dinge.
EU-gehostet ist nicht gleich EU-geschützt
Der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) verpflichtet US-Unternehmen, auf Anordnung amerikanischer Behörden Daten herauszugeben — unabhängig davon, wo diese Daten physisch gespeichert sind.
Das bedeutet: Wenn dein Anbieter ein US-Unternehmen ist oder unter US-Gerichtsbarkeit steht, können US-Behörden Zugriff auf die Daten deiner Kunden verlangen. Auch wenn der Server in Frankfurt steht. Auch wenn du einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) nach DSGVO geschlossen hast.
Betroffen sind nicht nur die offensichtlichen Namen — AWS, Azure, Google Cloud. Auch viele vermeintlich "europäische" Lösungen haben am Ende einen US-Anbieter im Hintergrund. Und schon landet man wieder in der Cloud-Act-Problematik.
Wann CLOUD-Act-frei zur Pflicht wird
Es gibt Branchen, in denen die Frage "Wo liegen meine Daten wirklich?" keine theoretische ist — sondern täglich beantwortet werden muss:
- Behörden, Kommunen und öffentliche Einrichtungen
- Rechtsanwaltskanzleien und Notariate (Mandantengeheimnis)
- Medizinische Einrichtungen (Patientendaten unter besonderem Schutz)
- Unternehmen in der Verteidigungslieferkette (NIS2, KRITIS, NATO-Anforderungen)
- Finanzdienstleister mit regulatorischen Anforderungen
In diesen Bereichen ist "CLOUD-Act-frei" keine Nice-to-have-Eigenschaft. Es ist eine harte Anforderung — an deine eigene Lösung und damit auch an die Plattformen, auf denen du sie baust.
Unsere Anbieter — alle aus der EU
Wir haben für jeden Baustein unserer Plattform einen europäischen Anbieter gewählt. Hier ist die komplette Liste (Stand Mai 2026):
| Wofür wir es nutzen | Anbieter | Sitz und Verarbeitungsort |
|---|---|---|
| Betrieb der Anwendung + Datenbank | OVH GmbH | Köln; Verarbeitung in Frankfurt am Main |
| Sichere Verbindung & DNS | BunnyWay (Bunny.net) | Slowenien (ausschließlich EU-Edges) |
| E-Mail-Versand (Benachrichtigungen) | Sendinblue (Brevo) | Frankreich |
| Zahlungsabwicklung | Frisbii | Deutschland |
| Fehlerüberwachung | Bugsink CE (selbst gehostet) | OVH GmbH — Köln; Verarbeitung in Frankfurt am Main |
| Webseiten-Statistiken | Plausible CE (selbst gehostet) | OVH GmbH — Köln; Verarbeitung in Frankfurt am Main |
| Optionaler Datei-Storage | Bunny Storage | Slowenien (EU) |
| Optionaler S3-kompatibler Storage | Hetzner Online | Rechenzentrum Nürnberg |
Keiner dieser Anbieter hat einen US-Eigentümer oder eine US-Muttergesellschaft. Alle Rechenzentren liegen in der EU.
Wo deine Daten wirklich landen
Das Wichtigste: Die Anwendungsdaten unserer Kunden — Datenbankinhalte und Datei-Uploads — werden ausschließlich in Rechenzentren in Deutschland gespeichert und verarbeitet. Backups bleiben innerhalb Deutschlands. Eine Replikation außerhalb Deutschlands findet nicht statt.
Konkret: Unsere Anwendung und die zentrale Datenbank laufen in OVHs deutschem Rechenzentrum in Frankfurt am Main. Optionaler Objekt-Storage liegt im Hetzner-Rechenzentrum in Nürnberg.
Eine ehrliche Geschichte: Unsere Datenbank-Migration im Mai 2026
Bis vor kurzem haben wir für unsere Datenbank MongoDB Atlas genutzt. Die Server standen in der EU, der Anbieter aber, MongoDB Inc., ist ein US-Unternehmen. Damit fällt er unter US-Recht.
Im Mai 2026 haben wir die Datenbank zu OVH umgezogen — gleiche Leistung, gleiche Stabilität, aber ein deutscher Anbieter ohne US-Beteiligung.
Das war kein einfacher Schritt, aber für uns eindeutig. Wer "CLOUD-Act-frei" ernst meint, kann sich keinen US-Anbieter mehr leisten — auch nicht für scheinbar "nur" die Datenbank.
Was das konkret bedeutet
Wenn du smallstack einsetzt, gilt für deine Daten und die deiner Kunden:
Sie werden ausschließlich von europäischen Anbietern verarbeitet und gespeichert. Es gibt keinen US-Anbieter im Hintergrund.
Das ist eine Aussage, die viele Wettbewerber nicht treffen können — auch wenn sie "Hosting in Frankfurt" bewerben.
Digitale Souveränität ist gerade kein leeres Wort
"Digitale Souveränität" wird gerade auf EU-Ebene, in Bundesministerien und in Landesregierungen ernsthaft diskutiert. Die Förderinitiative Sovereign Cloud Stack, das Projekt Gaia-X und die NIS2-Richtlinie sind politische Reaktionen auf eine echte Abhängigkeit: Europäische Unternehmen und Behörden haben sich über Jahre an US-Anbieter gebunden — und merken jetzt, was das bedeutet.
smallstack ist kein politisches Produkt. Aber wir bauen auf einem Fundament, das die Voraussetzungen für digitale Souveränität erfüllt. Nicht weil es ein Trend ist — sondern weil es die richtige Entscheidung war.
Klingt das nach dir?
Die Frage "Wo liegen meine Daten eigentlich?" geht jeden an, der mit Software arbeitet. Mit smallstack kannst du sie jederzeit ehrlich beantworten — gegenüber deinen Kunden, deinem Datenschutzbeauftragten, deinem Auftraggeber.
Für die meisten Unternehmen ist das ein gutes Gefühl und ein starkes Argument im Verkauf. Für andere — Behörden, Kanzleien, medizinische Einrichtungen, regulierte Branchen wie NIS2, KRITIS oder DORA — ist es eine harte Anforderung, ohne die nichts geht. smallstack erfüllt beides.