Deutsche Infrastruktur.
Ohne Kompromisse.

Hetzner. Falkenstein und Nürnberg. ISO 27001 + SOC 2 Type II. Kein US Cloud Act.

anymize läuft ausschließlich auf deutscher Infrastruktur. Nicht „in der EU“. Nicht bei einem US-Unternehmen mit Rechenzentrum in Frankfurt. Sondern bei einem deutschen Hosting-Anbieter (Hetzner Online GmbH), in deutschen Rechenzentren, unter deutschem Datenschutzrecht. Deine Daten unterliegen keinem ausländischen Zugriffsrecht. Kein Cloud Act. Kein FISA 702. Keine EU-US-Data-Privacy-Framework-Interpretations-Akrobatik.

Wo deine Daten lebenKostenlos starten

Wo deine Daten leben

Hetzner.
Deutsche Rechenzentren.

Kein Mutterkonzern im Ausland, kein Frankfurter Server mit kalifornischer Adresse. Ein deutsches Unternehmen, in deutschen Rechenzentren, unter deutschem Datenschutzrecht.

01 / 04

Der Provider: Hetzner Online GmbH

Hetzner ist einer der führenden deutschen Hosting-Anbieter – ansässig in Gunzenhausen, Bayern. Deutsches Unternehmen, deutsches Handelsregister, deutsche Steuer-ID. Das ist kein Detail, sondern die Grundlage jeder Compliance-Argumentation: Der Betreiber unterliegt deutschem Recht, nicht ausländischen Jurisdiktionen.

02 / 04

Standorte: Falkenstein und Nürnberg

Unsere Daten liegen in zwei Hetzner-Standorten: Falkenstein/Vogtland – Hauptstandort, das größte Hetzner-Rechenzentrum mit mehreren unabhängigen Gebäuden. Nürnberg – sekundärer Standort für redundante Komponenten. Beide Standorte sind vollständig innerhalb der deutschen Grenzen. Keine Schatten-Replikation in andere Länder. Keine EU-Region, die einen Node in Dublin oder Amsterdam mit einschließt.

03 / 04

Redundanz und Backups

Backup-Strategie: tägliche Backups, geo-redundant innerhalb Deutschlands gespiegelt. Verfügbarkeits-SLA: 99,9 % (Enterprise-SLAs individuell verhandelbar). Datenschutz-relevante Besonderheit: Kein Node außerhalb Deutschlands, auch nicht im Backup-Failover-Szenario.

04 / 04

Infrastruktur-Nachhaltigkeit

Hetzner-Rechenzentren laufen mit 100 % Ökostrom. Für Kunden, die ESG-Reporting betreiben, sind die entsprechenden Zertifikate abrufbar. Das mag nach einem Nebenschauplatz klingen – ist es nicht: Wer CO₂-Bilanzen pflegen muss, hat bei US-Hyperscalern oft nur grobe Carbon-neutrality-Aussagen. Bei Hetzner ist die Energiequelle konkret benennbar.

Zertifizierungen

Was die Rechenzentren
schon heute nachweisen.

Die Hetzner-Rechenzentren, in denen anymize läuft, sind extern auditiert und tragen die relevanten Industriestandards:

ISO 27001

Bedeutung
Informationssicherheits-Management
Relevanz für dich
Nachweis für Audit und Lieferanten-Due-Diligence

ISO 27018

Bedeutung
Datenschutz in der Cloud
Relevanz für dich
Zusätzliche Anforderungen speziell für personenbezogene Daten

SOC 2 Type II

Bedeutung
Operative Sicherheits-Kontrollen, fortlaufend geprüft
Relevanz für dich
Standard-Nachweis für US-Mutterkonzerne deutscher Tochterfirmen

ISAE 3402 Typ 2

Bedeutung
Prüfstandard für ausgelagerte Dienstleistungen
Relevanz für dich
Wichtig für Wirtschaftsprüfer-Mandanten

Wichtig zur Einordnung

Diese Zertifikate gelten für die Rechenzentren, nicht automatisch für die anymize-Plattform selbst. Für anymize-eigene Zertifizierungen siehe unsere Zert-Roadmap weiter unten.

Kein US Cloud Act

Warum „Server in Frankfurt“
nicht reicht.

Der Standort des Servers entscheidet nicht über den Datenzugriff.

Entscheidend ist, wem das Unternehmen gehört, das den Server betreibt. Das ist das Missverständnis, das viele Compliance-Diskussionen beherrscht.

Der strukturelle Unterschied

EU-Hosting bei US-Unternehmen

  • Server physisch in Europa
  • Betreiber unterliegt nur deutschem Recht
  • Kein Zugriff durch US-Behörden möglich
  • Schutz durch Schrems-II-konforme Struktur
  • Keine Konzern-Klausel im Ausland

Deutsches Unternehmen

  • Server physisch in Europa
  • Betreiber unterliegt nur deutschem Recht
  • Kein Zugriff durch US-Behörden möglich
  • Schutz durch Schrems-II-konforme Struktur
  • Keine Konzern-Klausel im Ausland

Die Rechtslage in Kurzform

Der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) und FISA Section 702 verpflichten US-Unternehmen, auf Anfrage von US-Behörden Daten herauszugeben – unabhängig davon, wo die Daten physisch liegen. Das betrifft:

  • Microsoftauch für Azure-Rechenzentren in Europa
  • Amazonauch für AWS Frankfurt
  • Googleauch für Google Cloud Belgien / Deutschland
  • Oracle, IBM, Salesforceund jeden anderen US-Tochterkonzern

Der EuGH hat in der Schrems-II-Entscheidung (2020) festgestellt: Das US-Überwachungsrecht ist mit der DSGVO nicht vereinbar. Auch das EU-US Data Privacy Framework (2023) ändert daran in der Substanz nichts – Datenschutzbeauftragte und Aufsichtsbehörden raten weiterhin zu struktureller Unabhängigkeit, nicht zu formalen Workarounds.

Was das für dich bedeutet

Jede anymize-Komponente läuft bei einem deutschen Unternehmen (Hetzner) in deutschen Rechenzentren. Kein US-Mutterkonzern, keine Konzern-Klausel, keine Zugriffs-Situation über Drittländer. Deine Daten unterliegen ausschließlich deutschem Datenschutzrecht – und damit den Schutzstandards der DSGVO ohne Interpretations-Risiko.

Das gilt für unsere eigenen Modelle Waterfall und Fountain zu 100 %: Die Modelle laufen bei uns in Deutschland, die Daten verlassen das Land nie. Für internationale Frontier-Modelle (GPT, Claude, Gemini) löst die automatische Anonymisierung das Problem: Die Daten werden anonymisiert, bevor sie das deutsche Rechenzentrum verlassen – und damit fallen sie aus dem Anwendungsbereich des US Cloud Act.

Datenfluss

Was wo läuft.
Im Detail.

Transparenz über den tatsächlichen Datenfluss ist das Fundament für Audit-Nachweise und DSB-Gespräche. Hier in Kürze:

Komponenten in Deutschland

bei uns auf Hetzner

DE
01

Anonymisierungs-Pipeline

Die dreistufige PII-Erkennung läuft komplett in Deutschland.

02

Hash-Original-Zuordnungen

Die Zuordnung zwischen Platzhalter und Originaldaten (für die Rückübersetzung) liegt ausschließlich in Deutschland.

03

Eigene KI-Modelle

Waterfall und Fountain werden von uns selbst betrieben; die Inferenz findet in Deutschland statt.

04

Chat-Historien, Wissensdatenbanken, Projekte

Alle nutzer-spezifischen Inhalte liegen auf Hetzner.

05

Billing, Account-Daten, Audit-Logs

Florentin.ai (ebenfalls GRVITY-Gruppe, Deutschland).

Komponenten, die externe Anbieter sein können

nur mit Anonymisierung davor

optional

Internationale Frontier-Modelle

OpenAI, Anthropic, Google, Mistral, Perplexity, Moonshot – werden dann angefragt, wenn du sie explizit wählst. Vor dem Versand werden sensible Daten automatisch anonymisiert. Was das Modell sieht, sind Platzhalter.

Voxtral Transcribe 2

Mistral, europäischer Anbieter – für Live-Transkription, von uns selbst gehostet in Deutschland.

Bildgenerierungs-Modelle

Für Bild-Erstellung werden externe Modelle (aktuell Nano Banana, OpenAI Image) angesprochen; Prompt-Inhalte werden ggf. vorher anonymisiert.

Die klare Regel

Originaldaten verlassen Deutschland nie.

Was bei externen Modellen ankommt, sind entweder bereits anonymisierte Inhalte oder Inhalte ohne Personenbezug. Das ist nicht Marketing – das ist die architektonische Grundentscheidung, die den Cloud-Act-Schutz überhaupt möglich macht.

Unsere eigene Zert-Roadmap

Was wir noch
vorhaben.

Die Hetzner-Rechenzentren sind zertifiziert. Für die anymize-Plattform selbst (die Anwendungsebene) arbeiten wir an eigenen Zertifizierungen:

ISO 27001 (anymize-Plattform)

Standard-Nachweis, oft Mindestanforderung in Ausschreibungen

in Vorbereitung, geplant für 2026

SOC 2 Type II (anymize-Plattform)

fortlaufende Kontroll-Prüfung, für Enterprise-Abschlüsse

in Vorbereitung, geplant für 2026

BSI C5:2026

Goldstandard für öffentliche Verwaltung und regulierte Branchen in Deutschland

geplant für 2027

Für aktuell laufende Ausschreibungen oder Audits stellen wir Enterprise-Kunden die vollständige TOM-Dokumentation (technische und organisatorische Maßnahmen) sowie einen ausgefüllten Security-Questionnaire auf Anfrage zur Verfügung.

Transparenz-Note

Zertifizierungen sind Prozesse, nicht Knopfdrucke. Wir kommunizieren die Zielzeitpunkte ehrlich und werden bei Verzögerungen aktiv informieren. Keine stillen Schiebungen.

Für wen

Wem „deutsche Infrastruktur“
besonders wichtig ist.

Öffentliche Verwaltung

BSI-C5-Konformitätspfad, IT-Grundschutz, NIS2-Compliance, Vergaberecht

Banken und Versicherer

Bankgeheimnis, VAG, DORA-Anforderungen, BaFin-Aufsicht

Krankenhäuser und Kliniken

KHZG-Förderungen, § 203 StGB, KRITIS-Einstufung (ab gewisser Größe)

Rechtsanwältinnen und Anwälte

§ 43e BRAO, Mandatsgeheimnis, Berufsaufsicht durch die Kammer

Industrie mit Betriebsgeheimnissen

Technologie-Schutz vor Export-Jurisdiktionen, Geschäftsgeheimnisgesetz

Beratungen mit internationalen Mandanten

US-Cloud-Act-Risiken der Beratungs-IT-Landschaft vermeiden

Und generell: Jede Organisation, deren Datenschutzbeauftragte/r bei einem US-Hyperscaler einen Folge-Termin mit „ja aber was ist wenn“ einleitet, bekommt mit anymize eine Antwort, die ohne Workarounds auskommt.

Was du über die Infrastruktur wissen solltest.

Häufige Fragen

Bei Hetzner Online GmbH, einem deutschen Hosting-Unternehmen in Gunzenhausen (Bayern). Die Server stehen in den Hetzner-Rechenzentren Falkenstein (Vogtland) und Nürnberg. Kein Node außerhalb Deutschlands, auch nicht im Backup.

Jetzt starten.
14 Tage kostenlos testen.

Alle Modelle. Alle Features. Keine Kreditkarte.

Kostenlos startenWie es funktioniert

Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.

Dein KI-Arbeitsplatz wartet.