Journaleintrag ·

EU-Souveränität als Architektur, nicht als Behauptung

Von BorgMark Redaktion · Souveränität ·Compliance ·Infrastruktur

“Gehostet in der EU” ist mittlerweile der am meisten strapazierte Satz im B2B-SaaS. Er ist für sich genommen auch nahezu bedeutungslos. Datenresidenz in Frankfurt ändert nichts an der Jurisdiktion des Unternehmens, das den Dienst betreibt — und es ist die Jurisdiktion, nicht der Standort des Servers, die das Rechtsteam eines regulierten Kunden in den Fragebogen einträgt.

Dies ist die Linie, die BorgMark zieht, und die technischen Entscheidungen, die daraus folgen.

Die Frage auf dem Formular ist die Jurisdiktion

Der CLOUD Act und vergleichbare Gesetze erlauben es US-Behörden, US-kontrollierte Unternehmen zur Herausgabe von Daten zu zwingen — unabhängig davon, wo diese Daten gespeichert sind. Ein EU-Rechenzentrum, betrieben von einem Unternehmen mit US-Muttergesellschaft, ist auf dem Formular eine Toolchain unter ausländischer Jurisdiktion. Das ist kein hypothetisches Risiko, das sich Anbieter ausgedacht haben — es ist der Wortlaut auf der tatsächlichen Beschaffungsvorlage jedes regulierten Käufers, mit dem wir gesprochen haben.

Die erste architektonische Entscheidung ist daher gesellschaftsrechtlich: BorgMark wird von der BV CEEJAY betrieben, einer belgischen Gesellschaft ohne US-Mutter und ohne US-Tochter. Das ist das Fundament, auf dem alles andere steht. Ohne dieses Fundament ist der Rest Theater.

Sub-Auftragsverarbeiter sind Teil der Antwort

Eine Plattform ist auch die Summe der Anbieter, von denen sie abhängt. Die Liste, in Klartext:

  • Hetzner Online GmbH (Deutschland) — Rechenleistung, Speicher, Datenbank
  • Combell NV (Belgien) — transaktionale E-Mail
  • Mollie B.V. (Niederlande) — Zahlungsabwicklung

Das ist die gesamte Liste. Kein Cloudflare vor der Anwendung. Kein Auth0 / Okta für SSO. Kein Stripe für die Abrechnung. Kein Vercel, kein AWS, kein GCP, kein Azure — nicht für “Edge Functions”, nicht für “Image-Optimierung”, nicht für “nur Analytics”. Jede Ergänzung würde entweder Daten oder Metadaten einer nicht-EU-Jurisdiktion aussetzen. Wir haben uns entschieden, sie nicht hinzuzufügen.

Was uns das kostet

Technische Ehrlichkeit: Die Wahl ausschließlich europäischer Anbieter ist im Betrieb teurer als die Alternative. Die in den USA ansässigen Hyperscaler haben schönere Dashboards, mehr schlüsselfertige Dienste und ein größeres Ökosystem. Darauf verzichten wir. Im Gegenzug passt die Antwort auf “Wo liegt der Code, und wer kann Zugriff erzwingen?” auf eine Zeile und übersteht die juristische Prüfung.

Für Agenturen, deren Kunden diese Frage noch nicht stellen, ist das Mehraufwand. Für Agenturen, deren Kunden sie stellen, ist es der gesamte Grund, zu wechseln.

Was als Nächstes erscheint

Dies ist der erste Beitrag eines Engineering- und Compliance-Journals — lang, datiert, ohne Marketing-Glanz. Themen, die bereits auf der Liste stehen: wie wir Forgejo im Maßstab betreiben, was DORA-Auditoren tatsächlich an die Quellcodeverwaltung fragen, und die konkreten Schritte einer Migration eines GitHub-Enterprise-Tenants nach BorgMark. Abonnieren Sie per RSS, um die Reihe zu verfolgen.