Einführung
Fast jeder Cloud-Telefonanbieter bietet mittlerweile die Option „EU-Region“ an. Die meisten davon bedeuten dasselbe: Ihr Datenverkehr wird standardmäßig über ein europäisches Rechenzentrum geleitet, aber es gibt keine Durchsetzung, die verhindert, dass Daten eine Grenze überschreiten, wenn ein Failover, ein Backup-Job oder eine Support-Eskalation sie an einen anderen Ort weiterleitet. Für einen Käufer in Deutschland oder Frankreich, der ein Kästchen auf einem Beschaffungsformular ankreuzt, ist dieser Unterschied bis zur DPA-Prüfung unsichtbar.
Regionspräferenz versus Datenresidenz
Eine Regionspräferenz ist eine Standardeinstellung. Wenn alles normal funktioniert, bleiben Ihre Daten dort, wo Sie sie ausgewählt haben. Das Problem sind die Ausnahmepfade: Automatisierte Backups, regionsübergreifende Notfallwiederherstellung, globale Support-Tools und Protokollaggregationspipelines können alle Daten in Gerichtsbarkeiten außerhalb der Präferenz übertragen, ohne eine Warnung oder einen Protokolleintrag auszulösen, den ein Prüfer jemals sehen würde.
Die Datenresidenz ist eine Einschränkung. Dies bedeutet, dass das System so konzipiert ist, dass bestimmte Datenklassen die angegebene Region nicht verlassen können, unabhängig vom Betriebszustand. Die Einschränkung wird auf der Infrastrukturebene durchgesetzt – nicht durch Konfiguration, nicht durch Richtlinien, nicht durch Training – und gilt daher sowohl während eines Ausfalls als auch während des normalen Betriebs.
Was Region Pinning in der Praxis bedeutet
Regionspinnen bedeutet, dass die Daten eines Mieters – Anrufaufzeichnungen, Voicemail-Audio, Transkripte, Anrufdetailaufzeichnungen, Kontaktdaten – nur innerhalb der angegebenen Region gespeichert und verarbeitet werden. Die PIN wird auf der Datenschicht und nicht auf der Anwendungsschicht erzwungen. Wenn eine Aufnahme geschrieben wird, wird sie in einen Bucket in der angegebenen Region verschoben, und zwar nur in dieser Region. Wenn ein Transkriptauftrag ausgeführt wird, wird die Rechenleistung, die ihn verarbeitet, in der Region bereitgestellt. Die regionsübergreifende Replikation dieser Datenklasse ist deaktiviert und wird nicht nur empfohlen.
Die betriebliche Auswirkung besteht darin, dass einige Failover-Szenarien, die in einer globalen Architektur transparent wären, in einer angehefteten Architektur sichtbar werden. Wenn die angeheftete Region ausfällt, haben Sie die Wahl zwischen dem Schließen (der Dienst ist nicht verfügbar, bis die Region wiederhergestellt wird) oder dem Öffnen (Daten überschreiten die Grenze und die Aufenthaltsgarantie wird gebrochen). Wir scheitern geschlossen. Wir dokumentieren dies klar und deutlich, damit Käufer eine fundierte Entscheidung treffen und entsprechend planen können – die meisten sind der Meinung, dass eine transparente Dienstunterbrechung ein besseres Ergebnis ist als ein stiller Verstoß gegen die Aufenthaltsgenehmigung.
Was wir pinnen und was nicht
Nicht jede Datenklasse birgt das gleiche Residency-Risiko. Wir unterscheiden drei Klassen:
- Angepinnte Daten – Anrufaufzeichnungen, Voicemail-Audio, Transkripte, CDRs, Kontaktdatensätze. Diese werden an die vom Mandanten angegebene Region angeheftet und nie außerhalb dieser repliziert.
- Daten der Steuerungsebene – Authentifizierungstoken, Funktionsflags, Abrechnungsdatensätze. Diese leben in einer globalen Kontrollebene. Sie enthalten keine Kommunikationsinhalte und fallen nicht in den Geltungsbereich der meisten Anforderungen an die Datenresidenz.
- Telemetrie und Protokolle – anonymisierte Leistungsmetriken. Vor dem Verlassen der Region aggregiert, sodass kein einzelner Datensatz eine Grenze überschreitet.
Die Grenze zwischen angehefteten und nicht angehefteten Daten ist im Datenverarbeitungszusatz dokumentiert und steht jedem Kunden auf Anfrage vor der Unterzeichnung zur Verfügung.
Warum dies für Einkäufer im Gesundheitswesen wichtig ist
Die Beschaffung im Gesundheitswesen in der EU erfordert zunehmend explizite Verpflichtungen zur Datenresidenz und nicht nur die Auswahl einer Region in einem Portal. Die Beschränkungen gemäß Kapitel V der DSGVO für internationale Übermittlungen gelten für alle personenbezogenen Daten, die Kommunikationsinhalte enthalten – was bei Anrufaufzeichnungen und Voicemails fast immer der Fall ist. Ein Anbieter, der Regionspräferenzen anbietet, aber nicht dokumentieren kann, wohin die Daten während einer Support-Eskalation oder eines Backup-Laufs gehen, kann keine Datenverarbeitungsvereinbarung unterzeichnen, die seine Architektur genau beschreibt.
Wir können einen unterschreiben. Die DPA spiegelt tatsächliche Infrastrukturbeschränkungen wider, nicht angestrebte Konfigurationen. Wenn ein Einkäufer im Gesundheitswesen in der EU fragt, welche Datenklassen angeheftet sind, können wir mit konkreten Angaben antworten, anstatt ihn aufzufordern, das SLA zu überprüfen.
Die Audit-Frage, die sich jeder Anbieter stellen sollte
Die nützlichste Frage, die man dem Vertriebsteam eines Anbieters stellen sollte: „Wenn es in Ihrer EU-Region zu einem Ausfall kommt, wohin gehen meine Anrufaufzeichnungsdaten?“ Ein Anbieter mit echter Datenresidenz wird sagen: „Der Dienst schlägt fehl, bis die Region wiederhergestellt ist.“ Ein Anbieter mit Regionspräferenz wird etwas über nahtloses Failover und globale Redundanz sagen. Die zweite Antwort ist betriebsfreundlicher und rechtlich riskanter. Wissen Sie, welches Sie benötigen, bevor Sie unterschreiben.
Sicherheit und Compliance bei Letsdial
Geschrieben von Aisha Patel · 11. April 2026
Antwort an den Autor