DeepL setzt künftig auf AWS und verliert damit ein zentrales Argument. Was bedeutet das für Datenschutz und digitale Souveränität?
DeepL setzt künftig auf Amazon Web Services (AWS) und leitet mit dem Schritt einen strategischen Wendepunkt ein. DeepL galt bisher als Paradebeispiel europäischer digitaler Souveränität und zugleich als Gegenentwurf zur US-Dominanz im Tech-Sektor. Die leistungsstarke KI wurde in Deutschland entwickelt und auf eigener Infrastruktur in Europa betrieben. Nun jedoch öffnet sich Europas bekanntester KI-Übersetzer ab dem 20. Mai 2026 der Infrastruktur eines US-Tech-Giganten.
Der Kurswechsel: DeepL verlässt seine eigene Infrastruktur
Wie Rechtsanwalt Martin Steiger berichtet, hat der Kölner Übersetzungsdienst angekündigt, ab dem 20. Mai 2026 seine Systeme nicht mehr ausschließlich auf eigener Infrastruktur zu betreiben. Stattdessen wird Amazon Web Services (AWS) als Unterauftragsverarbeiter in die Datenverarbeitung eingebunden, wie DeepL seinen Kunden im Rahmen eines AGB-Updates mitteilte.
Damit setzt das Unternehmen künftig auf eine hybride Infrastruktur aus eigenen Servern und der Cloud von AWS. Parallel dazu sind zentrale Dienste wie die API sowie Schreibassistenzlösungen über den AWS Marketplace verfügbar, was insbesondere Unternehmenskunden die Integration erleichtern soll.
Nach Angaben des Unternehmens bleibt DeepL weiterhin für die Datenverarbeitung verantwortlich, während AWS als technischer Unterauftragsverarbeiter fungiert.
Begründet wird der Schritt vor allem mit besserer Skalierbarkeit, höherer Verfügbarkeit und einer global leistungsfähigen Infrastruktur. DeepL will wachsen und dafür auf die bewährte Infrastruktur eines Hyperscalers zurückgreifen.
Kritiker wie PrivacyOfficers.at bewerten den Schritt als Rückschlag für Datenschutz und digitale Souveränität. Hintergrund sind insbesondere mögliche Zugriffsmöglichkeiten durch US-Behörden im Rahmen des CLOUD Act, die trotz EU-Standorten der Server nicht ausgeschlossen werden können. Durch die Einbindung eines US-Anbieters wie AWS entstehen damit neue datenschutzrechtliche Risiken und eine wachsende Abhängigkeit von außereuropäischer Infrastruktur.
DeepL setzt auf AWS: Mehr Leistung, weniger Kontrolle über Daten
Der Wechsel in die Cloud mag technisch sinnvoll erscheinen, führt jedoch dazu, dass sich die Kontrolle über sensible Daten verschiebt.
Auch wenn AWS Rechenzentren innerhalb der EU betreibt, ist Amazon ein US-Unternehmen und unterliegt damit amerikanischem Recht, insbesondere dem CLOUD Act. Dieses Gesetz verpflichtet US-Anbieter dazu, Daten auf Anfrage von Behörden herauszugeben, unabhängig davon, wo sie physisch gespeichert sind. Ein Server in Frankfurt schützt daher nicht zwingend vor Zugriffen aus den USA.
Für Kunden stellt die Nutzung von AWS durch DeepL damit nicht nur eine technische Veränderung dar, sondern bringt auch eine juristische Verschiebung der Datenhoheit mit sich.
DSGVO-Fragen: Ein latentes Risiko bleibt
Mit dem Schritt in die AWS-Cloud ergeben sich neue datenschutzrechtliche Risiken und offene Fragen. So besteht etwa beim Drittlandtransfer nach Art. 44 DSGVO auch dann ein indirektes Risiko einer Datenübermittlung in die USA, wenn die Daten physisch innerhalb der EU gespeichert werden. Gleichzeitig wird AWS im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO als Unterauftragsverarbeiter eingebunden, was Unternehmen dazu zwingt, ihre Verträge und Risikobewertungen entsprechend anzupassen.
Auch im Hinblick auf die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO bleiben Fragen offen, insbesondere ob eine durchgehende Verschlüsselung gewährleistet ist und wer die Kontrolle über die Schlüssel behält.
Zwar bietet das EU-US Data Privacy Framework derzeit eine rechtliche Grundlage für solche Datenverarbeitungen, seine langfristige Bestandssicherheit ist jedoch ungewiss. Frühere Abkommen wie Safe Harbor und später das Privacy Shield sollten den Datentransfer zwischen der EU und den USA rechtlich absichern. Beide Regelwerke wurden jedoch vom Europäischen Gerichtshof (EuGH) für ungültig erklärt, weil sie keinen ausreichenden Schutz vor Zugriffen durch US-Behörden gewährleisteten. Insbesondere kritisierte der EuGH, dass europäische Bürger keine wirksamen Rechtsmittel gegen solche Zugriffe hätten und die Überwachungsmöglichkeiten in den USA zu weitreichend seien.
Vor diesem Hintergrund gilt auch das aktuelle EU-US Data Privacy Framework als rechtlich fragil. Zwar soll es den Datentransfer erneut auf eine sichere Grundlage stellen, Datenschutzexperten bezweifeln jedoch, dass die zugrunde liegenden Probleme tatsächlich gelöst wurden. Sollte der EuGH erneut zu dem Schluss kommen, dass der Schutz personenbezogener Daten nicht ausreicht, könnte auch dieses Abkommen für ungültig erklärt werden.
Zustimmung durch Schweigen: Eine fragwürdige Praxis
Kritisch ist auch die Art, wie DeepL die Umstellung in die AWS-Cloud kommuniziert. Wer den neuen Bedingungen nicht widerspricht, gilt automatisch als einverstanden. Nutzer müssen bis zum 19. Mai 2026 aktiv Einspruch einlegen, andernfalls akzeptieren sie die Integration von AWS.
Ein Widerspruch hat allerdings Konsequenzen, denn er entspricht faktisch einer Kündigung des Abonnements, spätestens bis Ende 2026. Damit verschiebt sich die Verantwortung vollständig auf die Nutzer. Dieses Modell ist rechtlich zwar möglich, aus Verbrauchersicht jedoch zumindest diskussionswürdig.
Wachstum vs. Souveränität: Das strukturelle Dilemma
Wie wir erst kürzlich berichteten, will sich DeepL international skalieren, neue Märkte erschließen und sich im Wettbewerb mit globalen KI-Plattformen behaupten. Dass DeepL auf AWS setzt, ist aus wirtschaftlicher Sicht nachvollziehbar. Skalierung, Performance und globale Reichweite lassen sich mit eigener Infrastruktur nur begrenzt erreichen. Globale Skalierung erfordert leistungsfähige Infrastruktur, die derzeit von wenigen US-Anbietern dominiert wird.
Viele erfolgreiche europäische Tech-Unternehmen, darunter Spotify oder Klarna, setzen ebenso auf US-Cloud-Infrastruktur. Die Abhängigkeit Europas von US-Cloud-Anbietern ist damit bereits erheblich. Milliardenbeträge fließen jährlich in amerikanische Dienste, während europäische Alternativen kaum mithalten können.
DeepL jedoch galt bisher als eines der wenigen Beispiele dafür, dass leistungsfähige KI-Dienste auf europäischer Infrastruktur möglich sind. Der Wechsel des Übersetzungsdienstes zeigt, dass globaler Erfolg derzeit kaum ohne die Infrastruktur der großen US-Cloud-Anbieter möglich ist.
