Die meisten internen Tools erben ihre Rechtsprechung durch Zufall. Ein Team greift zum schnellsten verfügbaren SaaS, die Daten landen dort, wo dieser Anbieter zufällig läuft, und ein Jahr später fragt jemand aus der Rechtsabteilung, wo die Kundendaten tatsächlich liegen — und erhält eine unangenehme Antwort. Für ein Unternehmen in der Wachstumsphase, das unter der DSGVO und zunehmend unter NIS2 und dem EU AI Act operiert, ist dieser Zufall eine Haftung, die nur auf ein Audit wartet.

NordOps macht es umgekehrt. Wenn ich individuelle operative Software baue, steht die EU-Datenresidenz fest, bevor auch nur eine einzige Tabelle entworfen wird. Laufzeitumgebung und Quellcode befinden sich beide in Deutschland, unter EU-Rechtsprechung, konstruktionsbedingt ohne US-Rechtsrisiko. Sie rüsten Compliance nicht nachträglich in ein System nach, das anderswo architektiert wurde — Sie beginnen genau dort.

Datenresidenz als Designanforderung, nicht als Nachrüstung

Es gibt einen echten Unterschied zwischen Software, die zufällig in Europa läuft, und Software, die dafür entworfen wurde. Die erste Art kann verschoben, umgeleitet oder still neu gehostet werden, sobald ein Anbieter seine Infrastruktur ändert. Die zweite Art behandelt den Standort Ihrer Daten als Teil der Spezifikation — etwas, das die Architektur garantiert, statt etwas, das eine Einstellungsseite verspricht.

Bei DSGVO-konformen individuellen internen Tools in der EU zeigt sich dieser Unterschied in den unspektakulären, tragenden Details:

  • Wo Datensätze liegen. Jeder Speicher — Datenbank, Dateispeicher, Backups, Logs — wird von Anfang an innerhalb der EU bereitgestellt, nicht später migriert.
  • Wo die Verarbeitung stattfindet. Hintergrundjobs, KI-gestützte Schritte und Integrationen laufen innerhalb der Region, sodass Daten den Block nicht heimlich verlassen, um anderswo verarbeitet zu werden.
  • Wer die Rechtsprechung hat. Hosting in Deutschland bedeutet, dass EU-Recht die Infrastruktur regelt, ohne dass US-Rechtsprechung in die Laufzeitumgebung oder den Quellcode hineinreicht.

Weil dies Entscheidungen sind, die zum Zeitpunkt des Designs getroffen werden, halten sie stand, wenn jemand schließlich die schwierige Frage stellt. Datenresidenz für individuelle operative Software in Europa hört auf, eine hoffnungsvolle Behauptung zu sein, und wird zu einer Eigenschaft des Systems, auf die Sie verweisen können.

Quellcode und Laufzeitumgebung in Deutschland, keine US-Rechtsprechung

Beide Hälften des Builds leben in der EU. Die Laufzeitumgebung — die Server, die Ihr Team tatsächlich Tag für Tag nutzt — läuft in Deutschland. Der Quellcode — das Repository, die Build-Pipeline, die Aufzeichnung dessen, was die Software genau tut — wird ebenfalls in der EU gehostet. Keines von beidem ist der US-Rechtsprechung ausgesetzt, und keines hängt von einer US-eigenen Plattform ab, die still im Pfad sitzt.

Das ist wichtig, weil Residenz nur so stark ist wie ihr schwächstes Glied. Es reicht nicht, dass die Datenbank in Frankfurt steht, wenn die Deployment-Pipeline, die Fehlerprotokolle oder ein eingebetteter Drittanbieterdienst über den Atlantik reichen. In der EU gehostete individuelle Unternehmenssoftware muss bis ins letzte Detail in der EU gehostet sein — und ein Build, der klein genug bleibt, um ihn zu besitzen, ist ein Build, der klein genug ist, um das auch zu überprüfen.

Ein Penetrationstest und Bericht ist bei jedem Build-Modul inbegriffen — sodass die Sicherheitslage Ihres in der EU gehosteten Systems dokumentiert und nicht nur angenommen ist.

So sieht die Übergabe aus — Sie wählen das Ziel

Die Software zu besitzen bedeutet, zu besitzen, wo sie lebt. Jedes Engagement überträgt Ihnen den vollständigen Quellcode-Besitz und damit die Freiheit, das Ziel selbst zu bestimmen. Es gibt kein Lock-in, kein Abonnement und keine Abhängigkeit davon, dass NordOps weiterhin irgendetwas hostet.

Bei der Übergabe können Sie:

  • Es dort lassen, wo es läuft — die Laufzeitumgebung in Deutschland belassen und weitermachen, mit dem Quellcode nun vollständig in Ihren Händen.
  • In Ihren eigenen EU-Mandanten verschieben — den übertragenen Quellcode auf Ihrer eigenen Infrastruktur bereitstellen, weiterhin innerhalb der EU, unter Ihren eigenen Konten.
  • Es mitnehmen, wohin Sie berechtigt sind — der Code gehört Ihnen; die Wahl der Residenz liegt bei Ihnen, um sie zu treffen und neu zu treffen, wenn sich Ihre Pflichten weiterentwickeln.

Die Grundlage jedes Builds — das Admin-Portal und der Processor, gebündelt als ein Build-Modul — wird mit denselben Eigentumsbedingungen geliefert wie alles, was darauf aufbauend abgegrenzt wird. Sie mieten nie das, wovon Ihr Betrieb abhängt.

Regulatorische Kompetenz ist Deployment-Expertise — keine Compliance-Beratung

Eine Klarstellung, klar gesagt: NordOps ist kein Compliance-Beratungsdienst, und dies ist keine Rechtsberatung. Ich prüfe nicht Ihr DSGVO-Programm, schreibe nicht Ihre NIS2-Richtlinien und segne nicht Ihre EU-AI-Act-Haltung ab. Diese Arbeit gehört in die Hände Ihrer Rechtsberatung und Ihres Datenschutzbeauftragten.

Was ich mitbringe, ist Deployment-Expertise — die Kompetenz, Software zu bauen, die sich bequem innerhalb dieser Regelwerke bewegt, weil Residenz, Datenflüsse und Rechtsprechung von Anfang an technische Entscheidungen waren. Der Unterschied liegt zwischen der Beratung zu den Regeln und dem Bau von Software, die sie bereits einhält. Meine Aufgabe ist es, sicherzustellen, dass das Tool, das Sie besitzen, eines ist, das Ihre Compliance-Funktion verteidigen kann, statt eines, das sie wegerklären muss.

Wenn in der EU gehostete individuelle Unternehmenssoftware auf diese Weise entworfen wird — Residenz zuerst, Quellcode und Laufzeitumgebung in Deutschland, Eigentum vollständig übertragen — hört Datenresidenz auf, eine wiederkehrende Sorge zu sein, und wird zu einer feststehenden Tatsache darüber, wie Ihr Betrieb läuft.