Sign in Subscribe
GRC

DeepL wechselt zu AWS: Ein Rückschlag für Datenschutz und digitale Souveränität

DeepL wechselt zu AWS: Ein Rückschlag für Datenschutz und digitale Souveränität
Photo by Dadee Aissa / Unsplash

DeepL galt jahrelang als europäisches Vorzeigeprojekt: ein KI-Übersetzungsdienst aus Köln, der auf eigenen Servern in Deutschland und Island betrieben wurde. Ein Gegenentwurf zu Google Translate. Ein Argument für alle, die zeigen wollten, dass leistungsfähige KI-Dienste auch ohne US-Infrastruktur möglich sind. Damit ist es ab dem 20. Mai 2026 vorbei.

Was passiert?

Wie der Schweizer IT-Rechtsanwalt Martin Steiger auf steigerlegal.ch berichtet, hat DeepL seine Kunden darüber informiert, dass Amazon Web Services (AWS) als Unterauftragsverarbeiter in die Datenverarbeitung eingebunden wird. DeepL verarbeitet Daten künftig nicht mehr ausschließlich auf eigenen Servern. Als Begründung nennt das Unternehmen die Verbesserung von Zuverlässigkeit, Skalierbarkeit und technischer Infrastruktur.

Wer damit nicht einverstanden ist, muss bis spätestens 19. Mai 2026 bei support@deepl.com Widerspruch einlegen. Wer das tut, kündigt faktisch sein Abonnement. Wer schweigt, stimmt zu. DeepL dreht die Logik der informierten Einwilligung damit elegant um: Nicht Zustimmung ist die Voraussetzung, sondern Schweigen gilt als Akzeptanz.

DSGVO-Relevanz: Drittlandtransfer durch die Hintertür

Auf den ersten Blick mag der Wechsel zu AWS harmlos erscheinen. AWS betreibt Rechenzentren in der EU, darunter in Frankfurt und Stockholm. DeepL wird vermutlich argumentieren, dass die Daten innerhalb der EU verbleiben.

Doch der Standort des Rechenzentrums ist datenschutzrechtlich nicht das entscheidende Kriterium. Entscheidend ist die Frage der Jurisdiktion: Welchem Recht unterliegt der Betreiber der Infrastruktur?

AWS ist ein US-Unternehmen. Und damit greift der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018. Dieses Gesetz verpflichtet US-Unternehmen, Daten auf Anforderung von US-Behörden herauszugeben, und zwar unabhängig davon, wo diese Daten physisch gespeichert sind. Ein Server in Frankfurt schützt nicht vor einer Herausgabeanordnung aus Washington.

Für die DSGVO-Konformität ergeben sich daraus mehrere Problemfelder:

Drittlandtransfer nach Art. 44 ff. DSGVO: Auch wenn die Daten physisch in der EU verbleiben, besteht durch den CLOUD Act ein latentes Risiko der Datenübermittlung in die USA. Das EU-US Data Privacy Framework bietet zwar eine Rechtsgrundlage, doch seine Tragfähigkeit ist unter Juristen umstritten. Die Erfahrung mit Safe Harbor und Privacy Shield zeigt, dass solche Abkommen vor dem EuGH keinen Bestand haben müssen.

Auftragsverarbeitung nach Art. 28 DSGVO: DeepL wird AWS als Unterauftragsverarbeiter einsetzen. Zwar sieht der bestehende Auftragsverarbeitungsvertrag von DeepL den Einsatz von Unterauftragsverarbeitern vor. Doch für Unternehmen, die DeepL Pro nutzen und dabei personenbezogene Daten verarbeiten (etwa in Verträgen, HR-Dokumenten oder Kundenkorrespondenz), verschiebt sich die Risikobewertung grundlegend. Die Verantwortlichen müssen ihre Datenschutz-Folgenabschätzung (DSFA) aktualisieren und prüfen, ob die neuen Bedingungen mit ihren Compliance-Anforderungen vereinbar sind.

Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO: Bisher konnte DeepL damit werben, dass die gesamte Verarbeitungskette unter eigener Kontrolle stand. Mit dem Wechsel zu AWS wird ein Teil dieser Kontrolle an einen externen, nicht-europäischen Dienstleister abgegeben. Ob und wie DeepL eine Ende-zu-Ende-Verschlüsselung implementiert, bei der die Schlüssel ausschließlich bei DeepL verbleiben, ist bislang nicht bekannt.

Digitale Souveränität: Ein großer Schaden

Die DSGVO-Fragen sind das eine. Das andere ist der Verlust eines europäischen Leuchtturmprojekts für digitale Souveränität.

Die Abhängigkeit europäischer Unternehmen und Behörden von US-Cloud-Anbietern ist bereits heute massiv. Die EU-Kommission schätzt, dass europäische Unternehmen jährlich über 100 Milliarden Euro für Cloud-Dienste von US-Anbietern ausgeben. Geld, das in den USA Innovationskapazitäten finanziert, während europäische Alternativen chronisch unterfinanziert bleiben.

DeepL hat gezeigt, dass es anders gehen kann. Dass ein europäisches Unternehmen einen KI-Dienst auf europäischer Infrastruktur betreiben und damit weltweiten Erfolg haben kann. Dieser Beweis wird nun relativiert. Die Botschaft lautet: Sobald Skalierung und internationales Wachstum auf der Agenda stehen, führt an AWS, Azure oder Google Cloud kein Weg vorbei.

Das ist nicht nur für den Datenschutz ein Problem. Es ist ein strategisches Problem für den gesamten Digitalstandort Europa. Jedes europäische Unternehmen, das auf US-Infrastruktur wechselt, verstärkt ein Ökosystem, das Europa in eine dauerhafte Abhängigkeit von US-Technologiekonzernen bringt. Diese Abhängigkeit ist nicht nur wirtschaftlich bedenklich, sondern auch politisch relevant: In Zeiten von Strafzöllen, Technologie-Exportrestriktionen und einem zunehmend erratischen transatlantischen Verhältnis wird digitale Abhängigkeit zum geopolitischen Risikofaktor.

Was Unternehmen jetzt tun sollten

Wer DeepL Pro im Unternehmen einsetzt und dabei personenbezogene oder vertrauliche Daten verarbeitet, sollte folgende Schritte prüfen:

  1. Datenschutz-Folgenabschätzung aktualisieren: Die Einbindung von AWS als Unterauftragsverarbeiter verändert das Risikoprofil. Eine bestehende DSFA muss überprüft und gegebenenfalls neu erstellt werden.
  2. Verzeichnis der Verarbeitungstätigkeiten anpassen: Die Aufnahme von AWS als Unterauftragsverarbeiter muss im Verarbeitungsverzeichnis dokumentiert werden.
  3. Alternativen evaluieren: Europäische Übersetzungsdienste, die auf eigener oder souveräner europäischer Infrastruktur betrieben werden, gewinnen durch den DeepL-Wechsel an Relevanz. On-Premise-Lösungen und integrierte Übersetzungsmodule innerhalb geschützter Datenräume sind für sensible Dokumente ohnehin die sicherere Wahl.
  4. Widerspruchsfrist beachten: Wer die neuen Bedingungen nicht akzeptieren will, muss bis zum 19. Mai 2026 bei DeepL Widerspruch einlegen. Das entspricht faktisch einer Kündigung.
  5. Interne Nutzungsrichtlinien überprüfen: Viele Unternehmen haben DeepL bisher ohne Einschränkungen für die Übersetzung interner Dokumente freigegeben. Diese pauschale Freigabe sollte hinterfragt werden.

Schade

Der Wechsel von DeepL zu AWS ist nachvollziehbar aus geschäftlicher Sicht. Skalierung, globale Verfügbarkeit, Kosteneffizienz. Aber er ist ein weiterer Datenpunkt in einem unerfreulichen Trend: Europäische Unternehmen, die groß werden wollen, enden auf US-Infrastruktur. Die Gründe dafür sind systemisch, und solange die EU keine wettbewerbsfähige eigene Cloud-Infrastruktur aufbaut, wird sich das nicht ändern.

Für alle, die DeepL als Argument für europäische digitale Souveränität angeführt haben, ist das ein herber Rückschlag.

Und für Unternehmen, die DeepL gerade wegen der vollständigen Verarbeitung auf eigenen europäischen Servern gewählt haben, ist es ein Vertrauensbruch.

Die Lehre daraus: Digitale Souveränität lässt sich nicht an einen einzelnen Anbieter delegieren. Sie erfordert eigene Strategien, eigene Infrastruktur und die nüchterne Erkenntnis, dass jeder Cloud-Dienst seine Bedingungen ändern kann.

Read next

Microsoft Copilot las wochenlang vertrauliche E-Mails

Microsoft Copilot las wochenlang vertrauliche E-Mails

... was der Vorfall für den Datenschutz bedeutet. Ein Softwarefehler in Microsoft 365 Copilot hat über Wochen hinweg Vertraulichkeitskennzeichnungen und DLP-Richtlinien ausgehebelt. Der KI-Assistent konnte E-Mails verarbeiten, die explizit als vertraulich eingestuft waren. Der Vorfall wirft fundamentale Fragen zur Rolle von Microsoft als Auftragsverarbeiter auf und zeigt, warum Datenschutzbeauftragte jetzt handeln
Michael Mrak