DeepL galt lange als europäisches Gegenmodell zu US-Diensten wie Google. Ein KI-Übersetzer aus Deutschland, betrieben auf eigener Infrastruktur in Europa – leistungsfähig, datenschutzfreundlich, unabhängig. Diese Position gerät jetzt ins Wanken.
Ab dem 20. Mai 2026 bindet DeepL mit Amazon Web Services (AWS) einen US-Cloudanbieter als Unterauftragsverarbeiter ein. Damit verändert sich nicht nur die technische Architektur, sondern auch die datenschutzrechtliche und strategische Bewertung grundlegend.
DeepL begründet den Schritt mit besserer Skalierbarkeit, höherer Verfügbarkeit und leistungsfähiger Infrastruktur. Argumente, die aus Unternehmenssicht nachvollziehbar sind. Entscheidend ist jedoch: Die Datenverarbeitung erfolgt künftig nicht mehr ausschließlich unter Kontrolle eines europäischen Anbieters auf eigener Infrastruktur. Stattdessen wird ein externer Dienstleister eingebunden – mit eigener rechtlicher und technischer Sphäre. Dass AWS Rechenzentren in der EU betreibt, etwa in Frankfurt oder Stockholm, greift dabei zu kurz. Für die datenschutzrechtliche Bewertung ist nicht der Standort der Server entscheidend, sondern die rechtliche Zugriffsmöglichkeit auf die Daten.
Der zentrale Punkt: Jurisdiktion schlägt Serverstandort
Mit AWS kommt ein US-Unternehmen ins Spiel. Damit gilt der CLOUD Act. Dieses Gesetz verpflichtet US-Anbieter, Daten auf Anforderung an US-Behörden herauszugeben – unabhängig davon, wo diese physisch gespeichert sind. Ein Server in der EU schützt nicht vor einem Zugriff aus den USA. Für Unternehmen bedeutet das: Das Risiko eines Drittlandtransfers entsteht nicht erst bei einer tatsächlichen Übermittlung, sondern bereits durch die Möglichkeit des Zugriffs.
DSGVO: Drei zentrale Problemfelder
1. Drittlandtransfer (Art. 44 ff. DSGVO)
Die Einbindung von AWS begründet ein latentes Risiko der Datenübermittlung in ein Drittland.
Zwar existiert mit dem EU-US Data Privacy Framework eine formale Rechtsgrundlage. Ihre langfristige Stabilität ist jedoch unsicher. Die Vorgängerregelungen (Safe Harbor, Privacy Shield) wurden vom EuGH gekippt.
Bewertung:
Unternehmen bewegen sich hier auf rechtlich nicht abschließend gesichertem Terrain.
2. Auftragsverarbeitung (Art. 28 DSGVO)
AWS wird zum Unterauftragsverarbeiter. Formal ist das zulässig – sofern vertraglich sauber geregelt.
In der Praxis verschiebt sich jedoch die Risikobewertung:
- zusätzliche Verarbeitungsebene
- eingeschränkte Kontrollmöglichkeiten
- komplexere Vertrags- und Prüfpflichten
Für Unternehmen, die DeepL Pro zur Verarbeitung personenbezogener Daten nutzen (z. B. Verträge, HR-Dokumente, Kundenkommunikation), ist das keine reine Formalie.
3. Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
Ein zentraler Vorteil von DeepL war bislang die geschlossene Verarbeitungskette.
Mit AWS wird diese aufgebrochen.
Offen ist insbesondere:
- Wer kontrolliert die Verschlüsselungsschlüssel?
- Gibt es echte Ende-zu-Ende-Verschlüsselung?
- Welche Zugriffsmöglichkeiten bestehen auf Infrastruktur-Ebene?
Ohne klare Antworten darauf bleibt ein Restrisiko, das Unternehmen bewerten müssen.
Wer global skalieren will, kommt an US-Infrastruktur kaum vorbei
Der Vorgang ist nicht nur ein datenschutzrechtliches Detail. Er hat eine größere Dimension. Europa ist bereits heute massiv abhängig von US-Cloudanbietern wie Microsoft, Google Cloud und AWS. Ein Großteil der digitalen Wertschöpfung findet auf deren Infrastruktur statt. DeepL war ein Gegenbeispiel: Ein europäischer KI-Dienst, erfolgreich – ohne diese Abhängigkeit.
Diese Argumentationslinie wird jetzt schwächer. Die implizite Botschaft lautet: Wer global skalieren will, kommt an US-Infrastruktur kaum vorbei. Das ist aus Unternehmenssicht rational. Für den Digitalstandort Europa ist es problematisch.
Denn mit jeder Entscheidung für US-Infrastruktur wächst:
- die wirtschaftliche Abhängigkeit
- der Abfluss von Investitionen
- die politische Verwundbarkeit
Digitale Souveränität wird so zum strukturellen Defizit.
Was Unternehmen jetzt konkret tun sollten
Für Unternehmen, die DeepL im Einsatz haben, besteht unmittelbarer Handlungsbedarf:
- Datenschutz-Folgenabschätzung (DSFA) überprüfen
Die neue Verarbeitungssituation verändert das Risikoprofil. Bestehende Bewertungen sind zu aktualisieren. - Verzeichnis der Verarbeitungstätigkeiten anpassen
AWS als Unterauftragsverarbeiter muss dokumentiert werden. - Risiken neu bewerten
Insbesondere bei sensiblen Inhalten:
- personenbezogene Daten
- vertrauliche Geschäftsunterlagen
- rechtlich relevante Dokumente
- Alternativen prüfen
Europäische oder On-Premise-Lösungen gewinnen an Bedeutung – insbesondere in regulierten Bereichen. - Interne Nutzung einschränken
Pauschale Freigaben für Übersetzungstools sollten überprüft werden.
Nicht jedes Dokument gehört in einen Cloud-Dienst. - Fristen beachten
Wer die neuen Bedingungen nicht akzeptieren möchte, muss bis zum 19. Mai 2026 widersprechen – faktisch eine Kündigung.
Fazit
Der Wechsel von DeepL zu AWS ist betriebswirtschaftlich nachvollziehbar. Er ist aber auch ein weiterer Beleg für ein strukturelles Problem. Digitale Souveränität lässt sich nicht an einzelne Anbieter delegieren. Sie erfordert eigene Strategien, bewusste Architekturentscheidungen und eine realistische Risikobewertung. Für Unternehmen bedeutet das konkret: Cloud-Dienste sind keine statischen Lösungen. Rahmenbedingungen können sich jederzeit ändern – mit unmittelbaren Auswirkungen auf Compliance, Risiko und Governance. DeepL war für viele ein Argument. Künftig ist es vor allem ein Prüfstein.
Titelbild © Rafael Henrique @ AdobeStock
Senior Consultant
zert. Datenschutzbeauftragter
zert. IT-Sicherheitsbeauftragter
“Wer will, findet Wege. Wer nicht will, findet Gründe!„