Gesetze zur Datenlokalisierung nach Ländern (2026)
Gesetze zur Datenlokalisierung verlangen, dass bestimmte personenbezogene Daten auf Servern innerhalb der Landesgrenzen eines Staates gespeichert werden. Die Anforderungen reichen von der harten Lokalisierung, wie sie das russische Bundesgesetz 242-FZ vorsieht, das das Verlassen der primären Bürgerdatenbanken aus Russland untersagt, bis hin zu weichen Modellen, die bedingte Übermittlungen zulassen. Mehr als 60 Länder setzen 2026 irgendeine Form der Datenresidenzpflicht durch.
Gesetze zur Datenlokalisierung verpflichten Organisationen, bestimmte Daten auf Servern zu speichern, zu verarbeiten oder Kopien davon vorzuhalten, die sich physisch im Hoheitsgebiet eines bestimmten Landes befinden. Diese Gesetze haben sich seit 2015 rasant verbreitet, angetrieben durch Bedenken der nationalen Sicherheit, Ziele des Datenschutzes, wirtschaftliche Entwicklungsstrategien und geopolitische Erwägungen zur digitalen Souveränität.
Umfang und Strenge der Lokalisierungsanforderungen unterscheiden sich erheblich. Manche Länder schreiben vor, dass sämtliche personenbezogenen Daten ihrer Einwohner im Inland verbleiben müssen. Andere wenden die Lokalisierung nur auf bestimmte Sektoren wie Banken, Gesundheitswesen oder Telekommunikation an. Mehrere Länder verfolgen einen Mittelweg und verlangen eine lokale Kopie, während Übermittlungen ins Ausland unter bestimmten Bedingungen zulässig bleiben.
Dieser Leitfaden bietet einen länderübergreifenden Überblick über die Anforderungen an die Datenlokalisierung mit Stand 2026, erläutert den Unterschied zwischen harter und weicher Lokalisierung, behandelt sektorspezifische Regeln, untersucht die Position der EU, gibt einen Überblick über die wirtschaftliche Debatte und stellt praktische Compliance-Strategien vor.
Harte Lokalisierung versus weiche Lokalisierung
Das Verständnis des Unterschieds zwischen harter und weicher Lokalisierung ist für die Compliance-Planung von zentraler Bedeutung.
Harte Lokalisierung
Die harte Lokalisierung untersagt es, bestimmte Daten das Land vollständig verlassen zu lassen. Die Daten müssen ausschließlich auf lokalen Servern erhoben, gespeichert und verarbeitet werden. Es dürfen keine Kopien ins Ausland übermittelt werden, unabhängig von etwaigen Schutzmaßnahmen. Das russische Gesetz zu personenbezogenen Daten und bestimmte Kategorien im Rahmen des chinesischen Datenschutzrahmens stellen eine harte Lokalisierung dar.
Weiche Lokalisierung
Die weiche Lokalisierung verlangt, dass eine Kopie der Daten auf lokalen Servern vorgehalten wird, erlaubt jedoch die Übermittlung von Kopien in andere Länder, meist unter Bedingungen wie einer behördlichen Genehmigung, einer Einwilligung oder vertraglichen Schutzmaßnahmen. Indiens Ansatz für bestimmte Datenkategorien und die indonesischen Vorschriften stellen eine weiche Lokalisierung dar.
Modelle mit bedingten Übermittlungen
Manche Länder verlangen keine lokale Speicherung, knüpfen grenzüberschreitende Übermittlungen jedoch an Bedingungen, die faktisch wie eine Lokalisierung wirken. Beispiele sind eine erforderliche behördliche Genehmigung für jede Übermittlung, verpflichtende Sicherheitsbewertungen vor der Ausfuhr oder die Beschränkung von Übermittlungen auf Länder mit "angemessenem" Schutzniveau. Diese bedingten Modelle können ebenso belastend sein wie eine formale Lokalisierungspflicht.
Anforderungen an die Datenlokalisierung nach Ländern
Die folgende Tabelle fasst die Anforderungen an die Datenlokalisierung in wichtigen Rechtsordnungen zusammen. Eine detaillierte Analyse der wichtigsten Länder folgt im Anschluss.
| Land | Art | Umfang | Zentrales Gesetz |
|---|---|---|---|
| China | Hart/Bedingt | Personenbezogene Informationen, wichtige Daten, CII-Daten | PIPL, DSL, CSL (geändert Jan. 2026) |
| Russland | Hart | Personenbezogene Daten russischer Bürger | Bundesgesetz 242-FZ, 266-FZ |
| Indien | Weich/Sektoral | Zahlungsdaten (hart); übrige Daten bedingt | DPDP Rules 2025, RBI-Vorgaben |
| Indonesien | Weich | Daten öffentlicher elektronischer Systeme | GR 71/2019, PDP-Gesetz (Okt. 2024) |
| Vietnam | Weich/Bedingt | Personenbezogene Daten, Daten der Staatssicherheit | Dekret 13/2023, Dekret 53/2022 |
| Nigeria | Weich/Sektoral | Regierungsdaten, Daten kritischer Infrastruktur | NDPA 2023, NITDA Act |
| Türkei | Bedingt | Personenbezogene Daten | Gesetz 6698 (KVKK) |
| Saudi-Arabien | Bedingt/Sektoral | Personenbezogene Daten, Finanz-, Regierungsdaten | PDPL (durchgesetzt seit Sept. 2024) |
| Brasilien | Keine (bedingt) | Keine Lokalisierung; bedingte Übermittlungsregeln | LGPD |
| Südkorea | Bedingt | Personenbezogene Informationen | PIPA |
| Australien | Keine (bedingt) | Keine Lokalisierung; Übermittlungsregeln nach APP 8 | Privacy Act 1988 |
| Kasachstan | Weich | Personenbezogene Daten von Bürgern | Gesetz über personenbezogene Daten (geändert Feb. 2024) |
| VAE | Sektoral | Finanz-, Gesundheits-, Regierungsdaten | Verschiedene sektorale Regulierungsbehörden |
| Thailand | Bedingt | Personenbezogene Daten | PDPA |
| Südafrika | Bedingt | Personenbezogene Informationen | POPIA |
| Japan | Bedingt | Personenbezogene Informationen | APPI (geändert 2022) |
China: Das komplexeste Lokalisierungsregime
China betreibt eines der weltweit umfassendsten Regime zur Datenlokalisierung, das auf drei ineinandergreifenden Gesetzen beruht: dem Cybersicherheitsgesetz (CSL) von 2017, dem Datensicherheitsgesetz (DSL) von 2021 und dem Gesetz zum Schutz personenbezogener Informationen (PIPL) von 2021.
Betreiber kritischer Informationsinfrastrukturen (CII)
CII-Betreiber müssen personenbezogene Informationen und "wichtige Daten", die in China erhoben und erzeugt werden, im Land speichern. Übermittlungen ins Ausland erfordern eine staatliche Sicherheitsbewertung durch die Cyberspace Administration of China (CAC). Zu den CII-Sektoren zählen Energie, Verkehr, Finanzwesen, öffentliche Dienstleistungen, E-Government, Verteidigung und Technologie.
CSL-Änderung mit Wirkung zum 1. Januar 2026
Der Ständige Ausschuss des Nationalen Volkskongresses verabschiedete am 28. Oktober 2025 Änderungen am CSL, die zum 1. Januar 2026 in Kraft traten. Die Änderungen von Januar 2026 ändern die grundlegende Lokalisierungspflicht für CII-Betreiber nach Artikel 39 nicht, verändern jedoch die Durchsetzungslandschaft erheblich:
- Die Bußgeldobergrenze für CII-Betreiber, deren Verstöße besonders schwerwiegende Folgen haben, liegt nun bei bis zu 10 Millionen RMB (rund 1,4 Millionen USD).
- Die extraterritoriale Reichweite des CSL wurde über Aktivitäten hinaus, die die inländische kritische Infrastruktur schädigen, auf jede ausländische Organisation oder Person ausgeweitet, die Tätigkeiten ausübt, die Chinas Cybersicherheit allgemein schädigen.
- Pflichten zur KI-Governance sind nun ausdrücklich in den CSL-Rahmen integriert, einschließlich staatlicher Förderung von KI-Innovation, dem Aufbau von Trainingsdatenressourcen sowie der Risikobewertung und Sicherheits-Governance für KI.
- Für den Verkauf nicht zertifizierter Netzwerksicherheitsgeräte drohen Bußgelder von bis zum Zehnfachen des Kaufbetrags.
Verantwortliche für personenbezogene Informationen und die Schwellenwertänderungen vom März 2024
Nach dem PIPL müssen Organisationen, die personenbezogene Informationen chinesischer Einwohner verarbeiten und ins Ausland übermitteln wollen, eine von vier Bedingungen erfüllen: eine Sicherheitsbewertung der CAC bestehen, eine Zertifizierung einer anerkannten Stelle einholen, einen bei der CAC hinterlegten Standardvertrag abschließen oder andere geltende Bedingungen erfüllen.
Am 22. März 2024 erließ die CAC die Vorschriften zur Förderung und Regulierung des grenzüberschreitenden Datenverkehrs, die mit sofortiger Wirkung in Kraft traten. Diese Vorschriften lockerten die vorherigen Regeln erheblich:
- Eine Sicherheitsbewertung durch die CAC ist nun nur noch bei Übermittlungen personenbezogener Daten von mehr als 1 Million Personen pro Kalenderjahr oder sensibler personenbezogener Daten von mehr als 10.000 Personen pro Kalenderjahr erforderlich.
- Übermittlungen personenbezogener Daten von weniger als 100.000 Personen pro Kalenderjahr sind von der Pflicht zur Hinterlegung eines Standardvertrags befreit.
- Von der CAC genehmigte Sicherheitsbewertungen gelten nun drei statt zuvor zwei Jahre.
- Organisationen in ausgewiesenen Freihandelszonen (FTZ) können einer Negativliste folgen: Die FTZ erstellt einen Katalog eingeschränkter Daten, und alle Daten außerhalb dieses Katalogs dürfen frei übermittelt werden. Die Freihandelszone Shanghai veröffentlichte im Mai 2024 ihren ersten allgemeinen Datenkatalog, der die Sektoren Automobilindustrie, Biopharmazeutika und Investmentfonds abdeckt.
Wichtige Daten
Das DSL führte eine eigene Kategorie "wichtiger Daten" ein, die Lokalisierungs- und Ausfuhrbeschränkungen unterliegen. Sektorale Regulierungsbehörden sind damit beauftragt, festzulegen, was in ihrem Bereich als wichtige Daten gilt. Die Sektoren Automobilindustrie, Finanzdienstleistungen und Gesundheitswesen haben Entwurfs- oder endgültige Kataloge wichtiger Daten veröffentlicht.
Praktische Auswirkungen
Chinas Regime stellt für multinationale Unternehmen den belastendsten Lokalisierungsrahmen dar. Unternehmen, die in China tätig sind, unterhalten in der Regel eine vollständig separate Dateninfrastruktur, mit eigenen Rechenzentren im Land und chinesischen Cloud-Anbietern (Alibaba Cloud, Tencent Cloud, Huawei Cloud) für die lokale Verarbeitung.
Russland: Strikte Lokalisierung personenbezogener Daten
Russlands Gesetz zur Datenlokalisierung, das Bundesgesetz Nr. 242-FZ (zur Änderung des Gesetzes über personenbezogene Daten Nr. 152-FZ), trat am 1. September 2015 in Kraft. Es verlangt, dass alle Datenbanken, die zur Erhebung, Erfassung, Systematisierung, Speicherung, Aktualisierung, Änderung oder zum Abruf personenbezogener Daten russischer Bürger dienen, auf Servern innerhalb der Russischen Föderation liegen.
Anwendungsbereich
Das Gesetz gilt umfassend für jeden Betreiber (russisch oder ausländisch), der personenbezogene Daten russischer Bürger erhebt. Dazu zählen Online-Dienste, E-Commerce-Plattformen, soziale Netzwerke und jedes Unternehmen, das Mitarbeiter- oder Kundendaten von russischen Einwohnern erhebt.
Grenzüberschreitende Übermittlungen und die Änderungen durch FZ-266 (2023)
Das Bundesgesetz Nr. 266-FZ (unterzeichnet am 14. Juli 2022; wesentliche Bestimmungen in Kraft seit 1. September 2022; Bestimmungen zu grenzüberschreitenden Übermittlungen in Kraft seit 1. März 2023) aktualisierte den Rahmen für grenzüberschreitende Übermittlungen erheblich. Seit März 2023 müssen Betreiber Roskomnadzor vor jeder beabsichtigten Übermittlung personenbezogener Daten ins Ausland benachrichtigen. Übermittlungen in Länder, die nicht als angemessen schützend anerkannt sind, bedürfen nun der ausdrücklichen Genehmigung durch Roskomnadzor.
Das bisherige zweistufige System (Länder des Übereinkommens 108 des Europarats gegenüber anderen Ländern) bleibt relevant für die Bestimmung, welche Länder als angemessen gelten. Die Pflicht zur vorherigen Meldung gilt jedoch nun unabhängig vom Zielland.
Die grundlegende Speicherpflicht bleibt unverändert: Die Hauptdatenbank mit personenbezogenen Daten russischer Bürger muss auf Servern innerhalb Russlands verbleiben. Kopien dürfen ins Ausland bereitgestellt werden, die Ursprungsdatenbank muss jedoch in Russland verbleiben.
Durchsetzung
Russlands Datenschutzbehörde Roskomnadzor hat die Lokalisierungspflicht durch Sperrmaßnahmen durchgesetzt. LinkedIn wurde 2016 in Russland gesperrt, weil das Unternehmen die Lokalisierungspflicht nicht erfüllte. Bußgelder für Verstöße gegen die Lokalisierungspflicht reichen nun von 60.000 bis 18.000.000 Rubel, wobei wiederholte Verstöße zu einer Sperrung der Website führen können.
Indien: Sich wandelnde Lokalisierungslandschaft
Indiens Rahmen zur Datenlokalisierung hat sich erheblich verändert. Der Digital Personal Data Protection Act (DPDP Act) von 2023 ersetzte den früheren Entwurf zum Schutz personenbezogener Daten, der strenge Lokalisierungsvorschriften enthalten hatte.
Aktueller Rahmen: DPDP Rules (November 2025)
Die DPDP Rules wurden im November 2025 finalisiert und veröffentlicht. Rule 15 sieht vor: "Ein Data Fiduciary darf personenbezogene Daten aus Indien übermitteln, es sei denn, die Zentralregierung schränkt eine solche Übermittlung ein." Dies ist ein Negativlisten-Modell: Übermittlungen sind an alle Zielländer zulässig, sofern die Regierung ein bestimmtes Land nicht ausdrücklich per Bekanntmachung einschränkt. Die vollständige Compliance bei grenzüberschreitenden Übermittlungen ist bis Mai 2027 erforderlich (18 Monate nach dem 13. November 2025). Stand Mai 2026 hat die Regierung noch keine Negativliste eingeschränkter Länder veröffentlicht.
Dieser Ansatz ist deutlich zugänglicher als frühere Entwürfe des Gesetzes, die eine strikte Positivliste vorgesehen hatten. Indien entschied sich für das Negativlisten-Modell anstelle des unter der DSGVO verwendeten Angemessenheitsmodells.
Lokalisierung von Zahlungsdaten
Die Reserve Bank of India (RBI) erließ im April 2018 eine Anweisung, wonach sämtliche Zahlungssystemdaten ausschließlich in Indien gespeichert werden müssen. Dies gilt für inländische Transaktionsdaten, die von Betreibern von Zahlungssystemen verarbeitet werden, einschließlich Kartennetzwerken, Zahlungsdienstleistern und Wallet-Anbietern. Diese Anforderung zählt zu den strengsten sektorspezifischen Lokalisierungspflichten weltweit und zwang Unternehmen wie Visa, Mastercard und PayPal, Rechenzentren in Indien einzurichten. Diese Pflicht bleibt vollständig in Kraft und wird durch den DPDP-Rahmen nicht berührt.
Sektorspezifische Anforderungen
Der Securities and Exchange Board of India (SEBI) erließ 2024 ein Rundschreiben, das regulierten Unternehmen, die Cloud-Dienstleister nutzen, Datenresidenzpflichten auferlegt und verlangt, dass regulatorische und Compliance-Daten in Indien verbleiben. Die Insurance Regulatory and Development Authority of India (IRDAI) knüpft Bedingungen daran, wo Versicherungsdaten verarbeitet und gespeichert werden dürfen. Diese sektoralen Regeln gelten unabhängig vom DPDP-Rahmen.
Vietnam: Cybersicherheit und Datenspeicherung
Vietnams Cybersicherheitsgesetz (Gesetz 24/2018), in Kraft seit 1. Januar 2019, sowie zwei Durchführungsdekrete schaffen mehrschichtige Lokalisierungspflichten. Dabei ist zwischen den beiden Dekreten zu unterscheiden:
- Dekret 53/2022/ND-CP (in Kraft seit 1. Oktober 2022) setzt das Cybersicherheitsgesetz um und regelt die Datenlokalisierung.
- Dekret 13/2023/ND-CP (in Kraft seit 1. Juli 2023) ist Vietnams Verordnung zum Schutz personenbezogener Daten und regelt die Verfahren für grenzüberschreitende Übermittlungen.
Nach Dekret 53/2022 müssen inländische Unternehmen, die Telekommunikations-, Internet-, Datenspeicherungs-, E-Commerce-, Online-Zahlungs-, Transport-App-, soziale Netzwerk-, Messaging-, Gaming- und verwandte Dienste anbieten, drei Kategorien von Daten in Vietnam speichern: personenbezogene Informationen der Nutzer, vom Nutzer erzeugte Daten (Kontonamen, Sitzungszeitstempel, Kreditkarteninformationen, E-Mail-Adressen, IP-Adressen, registrierte Telefonnummern) sowie Beziehungsdaten (Freunde und Gruppen, mit denen sich der Nutzer verbunden hat).
Für ausländische Unternehmen ist die Lokalisierungspflicht auslösebasiert und nicht automatisch. Eine schriftliche Aufforderung des Ministeriums für öffentliche Sicherheit aktiviert die Pflicht, wenn die Dienste des ausländischen Unternehmens zur Verletzung des vietnamesischen Cybersicherheitsgesetzes genutzt wurden oder das Unternehmen früheren Aufforderungen nicht nachgekommen ist. Sobald die Pflicht ausgelöst ist, muss das Unternehmen innerhalb von 12 Monaten Folge leisten und die betreffenden Daten mindestens 24 Monate ab Eingang der Aufforderung aufbewahren.
Dekret 13/2023 verlangt von Organisationen, die personenbezogene Daten vietnamesischer Bürger ins Ausland übermitteln, eine Folgenabschätzung zur Übermittlung zu erstellen und diese beim Ministerium für öffentliche Sicherheit einzureichen. Vor der Übermittlung ist eine Registrierungsbescheinigung erforderlich.
Indonesien: Regierungsverordnung zu elektronischen Systemen
Indonesiens Regierungsverordnung Nr. 71 von 2019 (GR 71/2019) über elektronische Systeme und Transaktionen verlangt von Betreibern öffentlicher elektronischer Systeme, ihre Rechenzentren und Notfallwiederherstellungszentren auf indonesischem Staatsgebiet einzurichten. Private Betreiber elektronischer Systeme dürfen Daten außerhalb Indonesiens vorhalten, sofern bestimmte Bedingungen erfüllt sind: Der Standort im Ausland darf die Wirksamkeit der staatlichen Aufsicht nicht mindern, und der Zugang für Aufsichts- und Strafverfolgungszwecke muss gewährleistet sein.
Indonesiens Gesetz zum Schutz personenbezogener Daten (Gesetz Nr. 27 von 2022) wurde im Oktober 2022 erlassen. Die zweijährige Übergangsfrist für die Compliance endete am 17. Oktober 2024, seitdem müssen Organisationen die Anforderungen vollständig erfüllen. Das PDP-Gesetz erlaubt es Verantwortlichen, personenbezogene Daten entweder in Indonesien oder im Ausland zu speichern, im Einklang mit dem Ansatz der GR 71/2019 für private Betreiber.
Der Finanzdienstleistungssektor unterliegt zusätzlichen Anforderungen der indonesischen Finanzaufsichtsbehörde (OJK), die von Banken und Finanzinstituten verlangt, primäre Rechenzentren im Inland zu unterhalten.
Nigeria: Aufwertung der NDPR zum formellen Gesetz
Nigerias Anforderungen an die Datenlokalisierung stützen sich nun auf den Nigeria Data Protection Act (NDPA) von 2023, der im Juni 2023 in Kraft trat. Der NDPA löste die Nigeria Data Protection Regulation (NDPR) von 2019 ab und hob den Datenschutzrahmen auf die Ebene eines formellen Gesetzes. Er richtete die Nigeria Data Protection Commission (NDPC) als gesetzlich verankerte Behörde ein, die die frühere Regelung unter der NITDA ablöst.
Der NDPA schreibt keine pauschale Lokalisierung vor, verlangt jedoch, dass personenbezogene Daten, die aus Nigeria übermittelt werden, im Zielland ein angemessenes Schutzniveau erhalten oder dass geeignete Schutzmaßnahmen getroffen werden. Die Vereinigten Staaten werden von der NDPC nicht als Land mit angemessenem Schutzniveau anerkannt, sodass Übermittlungen in die USA Standardvertragsklauseln oder andere Schutzmaßnahmen erfordern.
Eine Regierungsanordnung von 2024 stufte mehrere kritische Systeme als Critical National Information Infrastructure (CNII) ein: die Datenbank der Bank Verification Number (BVN), die Datenbank der National Identification Number (NIN) und das Nigerian Interbank Settlement System (NIBSS). Als CNII eingestufte Systeme unterliegen strengeren Regeln zur Datenverarbeitung und Lokalisierung.
Regierungsdaten unterliegen zusätzlichen Anforderungen. Die Leitlinien der NITDA verlangen, dass Regierungsdaten und Daten, die im Auftrag staatlicher Stellen verarbeitet werden, in Nigeria gehostet werden. Die Zentralbank Nigerias (CBN) verlangt von Finanzinstituten eine lokale Datenspeicherung und eine Genehmigung für bestimmte grenzüberschreitende Übermittlungen.
Saudi-Arabien: PDPL nun vollständig durchgesetzt
Das saudi-arabische Personal Data Protection Law (PDPL) trat am 14. September 2023 mit einer einjährigen Übergangsfrist in Kraft. Die vollständige Durchsetzung begann am 14. September 2024. Das PDPL gilt extraterritorial: Es erfasst die Verarbeitung personenbezogener Daten saudischer Einwohner durch Stellen außerhalb Saudi-Arabiens.
Im August 2024 erließ die Saudi Data and AI Authority (SDAIA) die Verordnung über die Übermittlung personenbezogener Daten außerhalb des Königreichs Saudi-Arabien. Die Übermittlungsverordnung erlaubt grenzüberschreitende Übermittlungen, wenn: das Zielland ein angemessenes Schutzniveau bietet, der Verantwortliche geeignete Schutzmaßnahmen umsetzt, oder eine der festgelegten Rechtsgrundlagen vorliegt (Einwilligung, vertragliche Notwendigkeit, lebenswichtige Interessen oder öffentliches Interesse).
Die Vorschriften der SAMA (Saudi Arabian Monetary Authority) verlangen von Finanzinstituten die primäre Datenspeicherung in Saudi-Arabien. Das National Health Information Center stellt zusätzliche Anforderungen für Gesundheitsdaten. Die National Cybersecurity Authority (NCA) verlangt, dass Regierungsdaten auf saudischem Boden verbleiben.
Türkei: Rahmen für bedingte Übermittlungen
Das türkische Gesetz Nr. 6698 zum Schutz personenbezogener Daten (KVKK) schreibt keine strenge Datenlokalisierung vor, schafft jedoch einen Rahmen für bedingte Übermittlungen, der faktisch wie eine Lokalisierung wirken kann.
Grenzüberschreitende Übermittlungen erfordern entweder die ausdrückliche Einwilligung der betroffenen Person oder eine Angemessenheitsentscheidung des Ausschusses zum Schutz personenbezogener Daten (KVKK Board). Im März 2024 aktualisierte das KVKK Board seinen Ansatz und ließ Übermittlungen auf Grundlage verbindlicher unternehmensinterner Vorschriften, Standardvertragsklauseln oder anderer genehmigter Schutzmaßnahmen zu, wodurch sich der türkische Rahmen dem Modell der DSGVO annähert. Diese Aktualisierung steht im Einklang mit dem langjährigen Ziel der Türkei, eine DSGVO-Angemessenheitsanerkennung zu erhalten. Weitere Einzelheiten finden Sie in unserem Leitfaden zu den Datenschutzgesetzen der Türkei.
Kasachstan: Lokalisierung mit Änderungen von 2024
Kasachstans Gesetz über personenbezogene Daten und deren Schutz (Gesetz Nr. 94-V) verlangt von Betreibern, die personenbezogene Daten kasachischer Bürger verarbeiten, diese Daten auf Servern innerhalb Kasachstans zu speichern. Die mit Wirkung zum 11. Februar 2024 in Kraft getretenen Änderungen (beschlossen am 11. Dezember 2023) führten neue Pflichten ein: Organisationen müssen dem Ministerium für digitale Entwicklung Verletzungen der Sicherheit personenbezogener Daten melden, wobei die Meldepflicht seit dem 1. Juli 2024 gilt. Das Erheben und Verarbeiten physischer Kopien von Ausweisdokumenten ist nun untersagt. Das Ministerium erhielt die Befugnis, unangekündigte Compliance-Prüfungen durchzuführen.
Sektorspezifische Muster der Lokalisierung
In mehreren Rechtsordnungen zeigen sich Muster, bei denen die Lokalisierung nur für bestimmte Sektoren und nicht für alle Daten gilt.
Finanzdaten
Bankaufsichtsbehörden weltweit erlassen häufig die strengsten Lokalisierungsregeln. Die Zahlungsdaten-Vorgabe der indischen RBI, die Anforderungen der indonesischen OJK, die Anweisungen der nigerianischen CBN, Chinas Regeln zu Bankdaten und die Vorschriften der saudischen SAMA verlangen alle in gewissem Umfang eine lokale Speicherung von Finanzdaten. Die Lokalisierung von Finanzdaten ist das weltweit einheitlichste sektorale Muster.
Gesundheitsdaten
Die Lokalisierung von Gesundheitsdaten findet sich in Australien (My Health Records Act), der Türkei (Vorschriften zu Gesundheitsdaten), Saudi-Arabien (Anforderungen des National Health Information Center) und mehreren EU-Mitgliedstaaten, die über die DSGVO-Grundlage hinaus zusätzliche Beschränkungen für Gesundheitsdaten vorsehen.
Telekommunikation
Telekommunikations-Metadaten und Teilnehmerdaten unterliegen Lokalisierungspflichten in Russland, China, Vietnam, Indien (über Telekommunikationslizenzbedingungen) und mehreren afrikanischen Ländern. Diese Regeln beruhen häufig auf Bedenken der nationalen Sicherheit und des Zugangs für Strafverfolgungsbehörden.
Regierungs- und öffentliche Daten
Nahezu weltweit verlangen Länder, dass Regierungsdaten im Inland gespeichert werden. Dazu zählen die GR 71/2019 Indonesiens für öffentliche elektronische Systeme, die Leitlinien der nigerianischen NITDA, die indische Cloud-Politik für die Regierung und die Anforderungen der saudischen NCA.
Trainingsdaten für künstliche Intelligenz
Chinas Vorschriften zur KI-Governance, die mit den Änderungen von Januar 2026 nun in den CSL-Rahmen integriert sind, enthalten Lokalisierungskomponenten für KI-Trainingsdaten, die von CII-Betreibern verarbeitet werden. Organisationen, die KI-Modelle mit Daten trainieren, die von chinesischen Nutzern in CII-Sektoren erhoben wurden, müssen sicherstellen, dass die Trainingsdaten den üblichen Lokalisierungs- und Sicherheitsbewertungspflichten unterliegen.
Die EU und die Datensouveränität
Die DSGVO verlangt keine Datenlokalisierung innerhalb der EU oder des EWR. Stattdessen erlaubt sie grenzüberschreitende Übermittlungen in Länder mit angemessenem Schutzniveau oder über genehmigte Übermittlungsmechanismen wie Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder Angemessenheitsbeschlüsse. Der Rahmen der DSGVO baut auf Übermittlungsbedingungen auf, nicht auf Speicherpflichten.
Allerdings ist die EU nicht vollständig frei von Souveränitätsdruck.
Das European Cybersecurity Certification Scheme for Cloud Services (EUCS), das von der ENISA im Rahmen des EU-Cybersicherheitsgesetzes entwickelt wird, ist seit Langem Gegenstand einer Debatte über Souveränitätsanforderungen. Frühere EUCS-Entwürfe enthielten ausdrückliche Souveränitätsanforderungen für die höchste Zertifizierungsstufe (High+): Hauptsitz in der EU, EU-Rechtshoheit und keine Rechtspflicht zur Offenlegung von Daten gegenüber Regierungen von Drittstaaten. Diese Anforderungen hätten große US-Cloud-Anbieter faktisch von der höchsten Zertifizierungsstufe ausgeschlossen. Im September 2024 forderte der EU-Rat die ENISA und die Europäische Kommission auf, das EUCS-Verfahren zu beschleunigen und zu klären, wie Souveränitätskriterien einbezogen werden sollen. Eine Annahme durch die European Cybersecurity Certification Group (ECCG) wurde für 2025 angestrebt, wobei die Souveränitätsfrage weiterhin umstritten blieb.
Mehrere EU-Mitgliedstaaten wenden sektorspezifische Lokalisierungsanforderungen an, die über die DSGVO-Grundlage hinausgehen. Deutschland, Frankreich und die Niederlande sehen zusätzliche Anforderungen für Gesundheitsdaten vor. Mehrere Mitgliedstaaten verlangen, dass regierungsbezogene Daten im Inland verbleiben. Diese mitgliedstaatlichen Regeln bestehen neben dem allgemeinen Übermittlungsrahmen der DSGVO.
Die wirtschafts- und handelspolitische Debatte
Anforderungen an die Datenlokalisierung sind mit messbaren wirtschaftlichen Kosten verbunden. Die Information Technology and Innovation Foundation (ITIF) hat 154 Fälle expliziter oder faktischer Datenlokalisierungsvorschriften in 66 Ländern identifiziert. Anhand eines von der OECD abgeleiteten Index für Datenrestriktivität schätzt die ITIF, dass ein Anstieg der Datenrestriktivität eines Landes um einen Punkt dessen Bruttohandelsleistung um 7 Prozent verringert, die Produktivität um 2,9 Prozent verlangsamt und die nachgelagerten Preise für datenabhängige Branchen über fünf Jahre um 1,5 Prozent erhöht.
Die laut ITIF-Analyse datenrestriktivsten Länder sind China (29 Lokalisierungsmaßnahmen), Indien (12), Russland (9) und die Türkei (7).
Bei der Welthandelsorganisation befassen sich die Verhandlungen zum digitalen Handel im Rahmen der Joint Statement Initiative zum elektronischen Handel mit grenzüberschreitenden Datenflüssen. Mehrere WTO-Mitglieder haben verbindliche Verpflichtungen zur Liberalisierung von Datenflüssen vorgeschlagen, doch es wurde bislang kein verbindliches multilaterales Abkommen zur Datenlokalisierung geschlossen.
Befürworter der Lokalisierung argumentieren, sie diene legitimen Interessen: nationale Sicherheit (Verhinderung des Zugriffs ausländischer Nachrichtendienste auf Bürgerdaten), Zugang für Strafverfolgungsbehörden (Sicherstellung der Verfügbarkeit von Daten für Ermittlungen im Inland), wirtschaftliche Entwicklung (Aufbau einheimischer Cloud-Branchen und Erhalt von Arbeitsplätzen in der Datenverarbeitung im Inland) sowie Datenschutz (Bürgerdaten unter nationalem Recht halten). Kritiker argumentieren, die Lokalisierung fragmentiere das globale Internet, erhöhe die Compliance-Kosten für grenzüberschreitend tätige Unternehmen, benachteilige Entwicklungsländer ohne eigene Cloud-Infrastruktur und dupliziere Infrastruktur zu erheblichen wirtschaftlichen Kosten, ohne einen entsprechenden Sicherheitsgewinn zu erzielen.
Das Verhältnis zwischen diesen Interessen ist nicht abschließend geklärt. Der weltweite Trend geht in Richtung stärkerer, nicht schwächerer Lokalisierung, auch wenn manche Länder (insbesondere Indien mit dem DPDP Act) inzwischen zu einem zugänglicheren Grundrahmen übergegangen sind, als frühere Entwürfe vorsahen.
Aktuelle Entwicklungen (2024-2026)
Seit der vorherigen Überarbeitung dieser Seite (März 2026) sind mehrere bedeutende Entwicklungen eingetreten:
China. Die CSL-Änderungen traten am 1. Januar 2026 in Kraft, erhöhten die Bußgeldobergrenze auf 10 Millionen RMB, erweiterten die extraterritoriale Reichweite und integrierten die KI-Governance. Die CAC-Vorschriften zum grenzüberschreitenden Datenverkehr vom März 2024 lockerten die Übermittlungsschwellen und führten Negativlisten für Freihandelszonen ein, was die bislang bedeutendste Lockerung der chinesischen Vorschriften zum grenzüberschreitenden Datenverkehr darstellt.
Indien. Die DPDP Rules wurden im November 2025 finalisiert und veröffentlicht. Rule 15 etabliert das Negativlisten-Modell für grenzüberschreitende Übermittlungen. Die vollständige Compliance ist bis Mai 2027 erforderlich. Die Negativliste eingeschränkter Länder wurde noch nicht veröffentlicht.
Saudi-Arabien. Die Übergangsfrist des PDPL endete am 14. September 2024. Die SDAIA erließ im August 2024 die Verordnung zu grenzüberschreitenden Übermittlungen. Saudi-Arabiens Datenschutzregime ist nun vollständig operativ und durchsetzbar.
Nigeria. Der im Juni 2023 unterzeichnete NDPA löste die NDPR als gesetzliche Grundlage des Datenschutzes ab. Die CNII-Einstufung von BVN, NIN und NIBSS im Jahr 2024 fügte neue Lokalisierungspflichten für kritische Infrastruktur hinzu.
Indonesien. Die zweijährige Übergangsfrist des PDP-Gesetzes endete am 17. Oktober 2024. Alle Organisationen mussten ab diesem Datum die vollständige Compliance erreichen.
Russland. Die Meldepflicht für grenzüberschreitende Übermittlungen nach FZ-266 (in Kraft seit März 2023) ergänzte einen verpflichtenden vorherigen Meldeschritt an Roskomnadzor für jede grenzüberschreitende Übermittlung personenbezogener Daten.
Kasachstan. Die Änderungen vom Februar 2024 führten Meldepflichten bei Verletzungen ein (in Kraft seit Juli 2024) und untersagten das Erheben physischer Ausweisdokumente.
Compliance-Strategien für multinationale Organisationen
Organisationen, die in mehreren Rechtsordnungen mit unterschiedlichen Lokalisierungsanforderungen tätig sind, können verschiedene Strategien verfolgen.
Regionale Rechenzentrumsarchitektur
Der Einsatz von Rechenzentren (oder Verträgen mit Cloud-Anbietern) in wichtigen Rechtsordnungen stellt die Einhaltung der lokalen Speicherpflicht sicher. Große Cloud-Anbieter wie AWS, Microsoft Azure und Google Cloud bieten regionsspezifische Optionen zur Datenresidenz an. Organisationen können Datenresidenz-Richtlinien so konfigurieren, dass Daten aus bestimmten Ländern innerhalb festgelegter Regionen verbleiben. Große Anbieter haben zudem souveräne Cloud-Angebote eingeführt: die Sovereign Cloud von Google, die EU Data Boundary von Microsoft und vergleichbare Produkte erlauben es Organisationen, sich vertraglich zu verpflichten, dass bestimmte Daten eine definierte geografische Zone niemals verlassen, was weiche Lokalisierungsanforderungen ohne die Investitionskosten einer eigenen Infrastruktur erfüllen kann.
Datensegmentierung und -klassifizierung
Die Einführung von Klassifizierungsrahmen, die Daten nach Rechtsordnung und Kategorie kennzeichnen, erlaubt es Organisationen, Lokalisierungsregeln selektiv anzuwenden. Nicht alle Daten aus einem bestimmten Land unterliegen der Lokalisierungspflicht; oft sind nur bestimmte Kategorien (Finanz-, Gesundheits-, Regierungsdaten) einer lokalen Speicherpflicht unterworfen.
Hybride Architekturen
Manche Organisationen unterhalten aus Compliance-Gründen eine lokale "Hot"-Speicherung, während die Verarbeitung oder Analyse zentral erfolgt. Dieser Ansatz erfüllt die Lokalisierungsanforderungen und bewahrt zugleich die Effizienz einer zentralisierten Analyse. Entscheidend ist, dass die lokale Kopie gegebenenfalls die Anforderung einer "primären Speicherung" erfüllt.
Schichtung von Übermittlungsmechanismen
In Rechtsordnungen mit weicher Lokalisierung können Organisationen eine lokale Speicherung aufrechterhalten und gleichzeitig Übermittlungsmechanismen (Standardvertragsklauseln, Angemessenheitsbeschlüsse, Einwilligung oder Vertragsklauseln) nutzen, um Datenkopien für globale Geschäftsabläufe zu übermitteln.
Regulatorisches Monitoring
Lokalisierungsgesetze ändern sich häufig. Organisationen benötigen einen systematischen Prozess, um gesetzgeberische und regulatorische Entwicklungen in jedem Land zu verfolgen, in dem sie tätig sind. Im Zeitraum 2024-2026 gab es bedeutende Änderungen in Indien, Saudi-Arabien, Indonesien, Nigeria, Kasachstan und China. Vierteljährliche Compliance-Überprüfungen sind ein Minimum für Organisationen mit nennenswerter Präsenz in diesen Märkten.
Dies sind allgemeine rechtliche Informationen und keine Rechtsberatung. Organisationen, die Anforderungen an die Datenlokalisierung in mehreren Rechtsordnungen bewältigen, sollten einen in der jeweiligen Rechtsordnung zugelassenen Rechtsanwalt für eine auf ihre Situation zugeschnittene Beratung konsultieren. Diese Seite spiegelt den Informationsstand von Mai 2026 wider.
Frequently Asked Questions
Was ist Datenlokalisierung?
Datenlokalisierung bezeichnet gesetzliche Anforderungen, wonach personenbezogene Daten oder andere Datenkategorien auf Servern gespeichert, verarbeitet oder vorgehalten werden müssen, die sich physisch innerhalb der Grenzen eines bestimmten Landes befinden. Solche Gesetze können verlangen, dass sämtliche Daten über die Einwohner eines Landes im Inland verbleiben (harte Lokalisierung), eine lokale Kopie vorschreiben und gleichzeitig Übermittlungen ins Ausland erlauben (weiche Lokalisierung) oder Bedingungen an grenzüberschreitende Übermittlungen knüpfen, die faktisch wie eine Lokalisierung wirken.
Welche Länder haben die strengsten Gesetze zur Datenlokalisierung?
China, Russland und Vietnam unterhalten 2026 die umfassendsten Lokalisierungsregime. China verlangt von CII-Betreibern die lokale Speicherung personenbezogener Informationen und wichtiger Daten, wobei vor jeder grenzüberschreitenden Übermittlung eine staatliche Sicherheitsbewertung erforderlich ist. Die mit Wirkung zum 1. Januar 2026 in Kraft getretenen CSL-Änderungen erhöhten die Bußgeldobergrenze auf 10 Millionen RMB und erweiterten die extraterritoriale Reichweite des Gesetzes. Russland verlangt, dass alle primären Datenbanken mit personenbezogenen Daten russischer Bürger auf Servern innerhalb Russlands gespeichert werden; seit März 2023 müssen Betreiber zudem Roskomnadzor vor jeder grenzüberschreitenden Übermittlung benachrichtigen. Vietnam verlangt eine lokale Speicherung durch inländische Diensteanbieter und legt ausländischen Unternehmen auslösebasierte Lokalisierungspflichten auf.
Verlangt die DSGVO eine Datenlokalisierung innerhalb der EU?
Die [DSGVO](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/what-is-gdpr) verlangt keine Datenlokalisierung innerhalb der EU oder des EWR. Stattdessen erlaubt sie grenzüberschreitende Übermittlungen in Länder mit angemessenem Schutzniveau oder über genehmigte Übermittlungsmechanismen wie [Standardvertragsklauseln](/world-laws/world-data-privacy-laws/standard-contractual-clauses), verbindliche interne Datenschutzvorschriften oder [Angemessenheitsbeschlüsse](/world-laws/world-data-privacy-laws/eu-adequacy-decisions). Die Debatte um die EUCS-Cloud-Zertifizierung sowie sektorspezifische Regeln einzelner EU-Mitgliedstaaten für Gesundheits- und Regierungsdaten gehen jedoch über die DSGVO-Grundlage hinaus.
Was ist der Unterschied zwischen harter und weicher Datenlokalisierung?
Die harte Lokalisierung untersagt es, bestimmte Daten das Land vollständig verlassen zu lassen. Die Daten müssen ausschließlich auf lokalen Servern gespeichert und verarbeitet werden, ohne dass Kopien ins Ausland übermittelt werden dürfen. Die weiche Lokalisierung verlangt, dass eine Kopie der Daten auf lokalen Servern vorgehalten wird, erlaubt jedoch die Übermittlung von Kopien in andere Länder, meist unter Bedingungen wie einer behördlichen Genehmigung, einer Einwilligung oder vertraglichen Schutzmaßnahmen. Das russische Gesetz zu personenbezogenen Daten steht für die harte Lokalisierung, während der indonesische Rahmen die weiche Lokalisierung veranschaulicht.
Verlangt Indien eine Datenlokalisierung?
Indiens im November 2025 finalisierte Digital Personal Data Protection Rules schreiben keine pauschale Lokalisierung vor. Rule 15 erlaubt grenzüberschreitende Übermittlungen in jedes Land, sofern die Zentralregierung dieses Zielland nicht ausdrücklich über eine Negativliste einschränkt. Stand Mai 2026 wurde keine solche Negativliste veröffentlicht. Die vollständige Compliance bei grenzüberschreitenden Übermittlungen ist bis Mai 2027 erforderlich. Die Reserve Bank of India verlangt jedoch, dass sämtliche Zahlungssystemdaten ausschließlich in Indien gespeichert werden, was zu einer der weltweit strengsten sektorspezifischen Lokalisierungspflichten zählt.
Was hat sich 2024 und 2026 an Chinas Regeln zur Datenlokalisierung geändert?
Es gab zwei bedeutende Änderungen. Im März 2024 erließ die CAC neue Vorschriften zum grenzüberschreitenden Datenverkehr, die die Übermittlungsschwellen deutlich lockerten: Sicherheitsbewertungen sind nun nur noch bei Übermittlungen von mehr als 1 Million Personen oder mehr als 10.000 Betroffenen sensibler Daten pro Jahr erforderlich. Übermittlungen von weniger als 100.000 Personen sind von der Pflicht zur Hinterlegung eines Standardvertrags befreit. Im Januar 2026 traten die Änderungen des Cybersicherheitsgesetzes in Kraft, die die Bußgeldobergrenze auf 10 Millionen RMB erhöhten, die extraterritoriale Reichweite auf jede Tätigkeit ausdehnten, die Chinas Cybersicherheit schädigt, und die KI-Governance in den CSL-Rahmen integrierten.
Wie erfüllen multinationale Unternehmen unterschiedliche Lokalisierungsanforderungen?
Zu den gängigen Strategien zählen der Einsatz regionaler Rechenzentren oder von Cloud-Anbietern mit rechtsordnungsspezifischen Datenresidenzoptionen (einschließlich souveräner Cloud-Produkte wie Google Sovereign Cloud und Microsoft EU Data Boundary), die Einführung von Klassifizierungsrahmen, die Daten nach Land und Kategorie kennzeichnen, hybride Architekturen mit lokaler Speicherung für die Compliance und zentraler Verarbeitung für Analysen, die Schichtung von Übermittlungsmechanismen wie Standardvertragsklauseln für Rechtsordnungen mit weicher Lokalisierung sowie die Einrichtung vierteljährlicher regulatorischer Überwachungsprozesse zur Verfolgung von Änderungen in allen Tätigkeitsländern.
Welche Sektoren unterliegen den meisten Anforderungen an die Datenlokalisierung?
Der Finanz- und Bankensektor unterliegt den strengsten und am weitesten verbreiteten sektorspezifischen Lokalisierungsregeln, wobei Regulierungsbehörden in Indien (RBI), Indonesien (OJK), Nigeria (CBN), Saudi-Arabien (SAMA) und China alle eine lokale Datenspeicherung verlangen. Gesundheitsdaten unterliegen in mehreren Rechtsordnungen der Lokalisierung. Telekommunikations-Metadaten werden häufig aus Gründen der nationalen Sicherheit lokalisiert. Regierungs- und öffentliche Daten unterliegen in nahezu jedem Land mit Datenresidenzgesetzen einer Lokalisierungspflicht. KI-Trainingsdaten sind eine aufkommende Lokalisierungskategorie, insbesondere in China.
Nehmen Anforderungen an die Datenlokalisierung weltweit zu oder ab?
Der weltweite Trend geht in Richtung zunehmender Lokalisierung. Die Zahl der Länder mit irgendeiner Form der Lokalisierungspflicht ist seit 2015 erheblich gewachsen. Die ITIF identifizierte in jüngsten Erhebungen 154 Lokalisierungsmaßnahmen in 66 Ländern. Zu den Treibern zählen Bedenken der nationalen Sicherheit, wirtschaftliche Entwicklungsstrategien zum Aufbau einheimischer Cloud-Branchen, geopolitische Spannungen rund um die digitale Souveränität sowie Anforderungen an den Zugang für Strafverfolgungsbehörden. Manche Länder (insbesondere Indien mit seinen DPDP Rules) haben zugänglichere Rahmenwerke übernommen, als frühere Entwürfe vorsahen, doch der übergeordnete Trend ist eine Ausweitung, keine Einschränkung.
Sources and References
- Chinesisches PIPL(npc.gov.cn).gov
- Chinesisches Datensicherheitsgesetz(npc.gov.cn).gov
- Chinesisches Cybersicherheitsgesetz (geändert Januar 2026)(npc.gov.cn).gov
- China CSL-Änderung (Oktober 2025, in Kraft seit Januar 2026)(gov.cn).gov
- CAC-Vorschriften zum grenzüberschreitenden Datenverkehr (März 2024)(chinalawtranslate.com)
- CAC-Standardvertrag für Datenexport (2023)(cac.gov.cn).gov
- Russisches Bundesgesetz 242-FZ(pravo.gov.ru).gov
- Übereinkommen 108 des Europarats(coe.int).gov
- Indischer DPDP Act 2023(meity.gov.in).gov
- RBI-Anweisung zur Speicherung von Zahlungsdaten(rbi.org.in).gov
- Vietnam Cybersicherheit und Datenlokalisierung (US ITA)(trade.gov).gov
- Nigerianischer Data Protection Act 2023(cert.gov.ng).gov
- Nigeria Data Protection Commission(ndpc.gov.ng).gov
- Türkisches KVKK Gesetz 6698(mevzuat.gov.tr).gov
- Indonesische GR 71/2019(jdih.kominfo.go.id).gov
- Durchführungsverordnungen zum saudischen PDPL(istitlaa.ncc.gov.sa).gov
- Saudi-Arabien: Durchsetzung der IKT-Regeln zu grenzüberschreitenden Datenübermittlungen (US ITA)(trade.gov).gov
- Überblick zur Datenlokalisierung in Kasachstan (Morgan Lewis 2024)(morganlewis.com)
- ITIF: Barrieren für grenzüberschreitende Datenflüsse(itif.org)
- ITIF: Beschränkungen für EU-Cloud-Dienste (2025)(itif.org)
- Hogan Lovells: Debatte um Datensouveränität im EUCS(hoganlovells.com)