Microsoft Dynamics 365 Marketing EU Alternative 2026: CLOUD Act & GDPR für Marketing Automation
Post #5 in der sota.io EU-MARTECH-SERIE — Marketing Automation im CLOUD Act Prüfstand
Microsoft Dynamics 365 — heute offiziell als Microsoft Dynamics 365 Customer Insights - Journeys vermarktet (umbenannt im September 2023 von "Dynamics 365 Marketing") — ist die integrierte Marketing-Automation-Plattform im Microsoft Cloud-Ökosystem. Als Teil der Dynamics 365 Business Applications Suite ist sie tief in Microsoft 365, Azure, LinkedIn Campaign Manager und Microsoft Entra ID (ehemals Azure AD) eingebunden. Für Unternehmensmarketer, die bereits auf dem Microsoft-Stack arbeiten, erscheint Dynamics 365 Customer Insights - Journeys als natürliche Wahl für E-Mail-Kampagnen, Customer Journeys, Lead-Nurturing und Event-Management.
Das GDPR-Problem mit Dynamics 365 Marketing ist kein technisches Problem — es ist ein strukturelles Jurisdiktionsproblem. Microsoft Corporation ist eine US-Corporation mit Sitz in Redmond, Washington. Als "provider of electronic communication service or remote computing service" unterliegt Microsoft vollständig dem Cloud Act (18 U.S.C. § 2713). Microsofts EU Data Boundary (EUDB), das im Januar 2023 eingeführt wurde, adressiert den physischen Datenspeicherort — löst aber das CLOUD Act-Exposition nicht. Eine US-Bundesanordnung, gerichtet an Microsoft Corporation (Redmond WA), erreicht Daten auf Azure-Servern in Irland, Frankfurt oder den Niederlanden.
Microsoft Corporation: US-Corp mit globaler Cloud-Präsenz
Unternehmensstruktur und Rechtsform
Microsoft Corporation wurde 1975 in Albuquerque, New Mexico gegründet und ist seit 1993 im US-Bundesstaat Washington eingetragen (Washington Revised Code §§ 23B). Im Gegensatz zu Salesforce Inc., Oracle Corporation und Adobe Inc. — allesamt Delaware-Corporations — ist Microsoft eine Washington-Corporation. Dieser Unterschied in der staatlichen Einschreibung ändert jedoch nichts an der CLOUD Act-Exposition:
- CLOUD Act-Anknüpfungspunkt ist US-Bundesrecht: 18 U.S.C. § 2713 gilt für alle Provider, die "electronic communication service or remote computing service" anbieten und unter US-Jurisdiktion fallen — unabhängig vom Einschreibungsstaat.
- Microsoft ist eine US Person: Sowohl für US-Bundessteuerrecht (IRC § 7701) als auch für das Electronic Communications Privacy Act (ECPA)-Regime, auf dem der CLOUD Act aufbaut, gilt Microsoft als US Person. Die CLOUD Act-Pflicht entsteht durch US-Bundesrecht, nicht durch State Law.
- NYSE-Notierung (MSFT) als zusätzlicher Anknüpfungspunkt: Als börsennotiertes Unternehmen unterliegt Microsoft umfassenden US-Offenlegungspflichten gegenüber der Securities and Exchange Commission (SEC).
Microsoft ist an der NASDAQ gelistet (NASDAQ: MSFT) und zählt mit einer Marktkapitalisierung von über 3 Billionen US-Dollar zu den wertvollsten Unternehmen der Welt. Die CY 2025 Revenues lagen bei 261,8 Milliarden US-Dollar — ein erheblicher Anteil davon aus dem Intelligent Cloud-Segment, zu dem Dynamics 365 und Azure gehören.
Die Geschichte von Dynamics 365 Marketing
Microsoft Dynamics 365 Marketing wurde 2018 als eigenständige Marketing-Automation-Anwendung innerhalb der Dynamics 365 Suite eingeführt. Im September 2023 erfolgte eine signifikante Restrukturierung: Microsoft fusionierte Dynamics 365 Marketing mit Dynamics 365 Customer Insights (CDP) zur gemeinsamen Plattform Dynamics 365 Customer Insights - Journeys (Outbound + Realtime Marketing). Der neue Name spiegelt die Integration von Kundendatenprofilen (Customer Data Platform) mit Marketing-Execution-Funktionalität wider.
Für GDPR-Zwecke ist diese Umbenennung ohne Relevanz: Die juristische Trägerin bleibt Microsoft Corporation (Redmond WA), und alle Kundendaten werden auf Microsoft Azure verarbeitet.
Microsoft EU Data Boundary: Was es löst — und was nicht
Was die EU Data Boundary adressiert
Microsoft führte das EU Data Boundary (EUDB)-Programm schrittweise ein, mit allgemeiner Verfügbarkeit ab Januar 2023. Das EUDB-Programm zielt darauf ab, Kundendaten für bestimmte Microsoft-Cloud-Services (Azure, Microsoft 365, Dynamics 365, Power Platform) physisch innerhalb der EU/EWR-Grenzen zu halten:
- At-rest und in-transit Daten: Primäre Kundendaten werden innerhalb der EU-Grenzen gespeichert und verarbeitet.
- Support-Zugriff aus EU: Für technische Supportfälle versucht Microsoft, EU-basierte Support-Teams zu priorisieren.
- Telemetrie-Daten: Einige Telemetrie-Kategorien werden separat behandelt.
Was die EU Data Boundary nicht löst
Das EUDB-Programm ist eine unilaterale Selbstverpflichtung von Microsoft — kein gesetzlicher Schutz gegen US-Regierungszugriffe:
CLOUD Act überschreibt Vertrags-Selbstverpflichtungen: 18 U.S.C. § 2713 verpflichtet US-Provider, auf gültige US-Gerichtsbeschlüsse oder National Security Letters zu reagieren — unabhängig von vertraglichen Vereinbarungen mit nicht-US-Kunden. Eine EU-Data-Residency-Klausel im Microsoft Kundenvertrag schützt nicht vor einer validen US-Strafverfolgungsanordnung.
US v. Microsoft Corp (2018) — und was folgte: Der US-Supreme-Court entschied 2018 in United States v. Microsoft Corp (138 S. Ct. 1186) formal, dass der damalige Stored Communications Act (SCA) keine extraterritoriale Anwendung hat. Jedoch erließ der US-Kongress noch im selben Jahr den CLOUD Act, der explizit diese Lücke schloss: US-Provider müssen seither Daten liefern, die sie im Ausland speichern, wenn eine US-Behörde eine gültige Anordnung vorlegt — mit einer begrenzten Ausweichmöglichkeit (§ 2713(b)(1)) für Konflikte mit ausländischem Recht. Microsoft hat sich in der Praxis auf diesen Einwand berufen, aber der Prozess ist von US-Gerichten kontrolliert, nicht von EU-Aufsichtsbehörden.
Keine Strafgerichtsbarkeits-Immunität für EUDB: Das EUDB-Programm gibt Microsoft kein Recht, US-Strafverfolgungsanordnungen abzulehnen. Microsoft kann allenfalls Conflict-of-Law-Einwände erheben — ein Prozess der Monate dauern kann und ungewiss ist. EU-Kunden haben keine Kontrollmöglichkeit über diesen Prozess.
Verarbeitung außerhalb EU bleibt möglich: Auch mit EUDB können bestimmte Datenflüsse außerhalb der EU stattfinden: Pseudonymisierte Diagnosedaten, aggregierte Servicedaten und bestimmte AI-Feature-Verarbeitungen. Für Microsoft Copilot-Features in Dynamics 365 gelten separate Datenhaltungsregeln.
Was Dynamics 365 Customer Insights - Journeys über EU-Kontakte speichert
Dynamics 365 Customer Insights - Journeys ist als vollintegrierte Marketing-Plattform darauf ausgelegt, umfassende Kontakt- und Verhaltensprofile zu erstellen:
Kontakt- und Lead-Profile:
- Vollständige Kontaktdatensätze: Name, E-Mail, Telefon, Position, Unternehmen
- Einwilligungs-Records: Opt-in/Opt-out-Status pro Kommunikationskanal, Zeitstempel der Einwilligung, Quelle der Einwilligung — besonders sensitiv unter DSGVO Art. 7 und der EU-Consent-Management-Pflicht
- Account-Zuordnung: Hierarchische Account-Strukturen aus dem verbundenen Dynamics 365 CRM
Verhaltens-Tracking:
- E-Mail-Interaktionen: Öffnungen, Klicks, Abmeldungen — auf Einzelkontaktebene mit Zeitstempel und IP-Adresse
- Website-Besuchsdaten via LinkedIn Insight Tag oder Dynamics 365 Web-Tracking
- Event-Teilnahme: Webinar-Registrierungen und -Teilnahmen, physische Event-Check-ins
- Customer Journey-Daten: Welche Automatisierungs-Pfade ein Kontakt durchlaufen hat, mit allen Entscheidungspunkten
KI-generierte Profile (besonders kritisch):
- Lead-Scoring-Modelle: Microsoft AI-basierte Priorisierung von Kontakten — generiert aus Verhaltensmustern
- Customer Insights-Profil: Unified Customer Profile mit Daten aus CRM, Service, Commerce
- Predictive Analytics: Kaufwahrscheinlichkeit, Abwanderungsrisiko, Next-Best-Action-Empfehlungen
GDPR Art. 22-Implikation: Automatisierte Entscheidungsfindung auf Basis von AI-Profilen (Lead-Scoring, Predictive Actions) kann unter Art. 22 DSGVO fallen, wenn sie erhebliche Auswirkungen auf natürliche Personen hat. Die datenschutzrechtliche Verarbeitung dieser KI-Modelle auf US-Cloud-Infrastruktur schafft ein doppeltes Compliance-Problem: CLOUD Act-Exposition plus Art. 22-Pflichten.
CLOUD Act GDPR Risk Matrix: Dynamics 365 vs. EU-native Alternativen
| Dimension | Microsoft Dynamics 365 | Emarsys (SAP SE) | Evalanche (SC-Networks) | Brevo (SAS Paris) |
|---|---|---|---|---|
| Rechtlicher Träger | Microsoft Corporation, Redmond WA, US-Corp | SAP SE, Walldorf DE, EU-Corp | SC-Networks GmbH, Haar DE, EU-Corp | Brevo SAS, Paris FR, EU-Corp |
| CLOUD Act-Exposition | Ja — 18 U.S.C. § 2713 | Nein — EU-Rechtsträger | Nein — EU-Rechtsträger | Nein — EU-Rechtsträger |
| US Strafverfolgungszugriff | Möglich via NSL/Grand Jury Subpoena | Nicht anwendbar | Nicht anwendbar | Nicht anwendbar |
| DSGVO Art. 46 Transfer | Standard Contractual Clauses (SCCs) nötig | Kein Art. 46-Transfer | Kein Art. 46-Transfer | Kein Art. 46-Transfer |
| EU Data Boundary | Ja — aber schützt nicht vor CLOUD Act | Native EU-Datenhaltung | 100% Deutschland | 100% Frankreich / EU |
| Aufsichtsbehörde | Multi-Jurisdiktion (MS-EUDB: Irland DPC) | BayLDA + SAP SE-DPA | BayLDA (Bayern) | CNIL (Frankreich) |
| AI-Feature-Exposition | Copilot-Features auf US-AI-Infra | SAP AI — EU-hosted | Keine Gen-AI-Exposition | Begrenzt, EU-hosted |
| GDPR Risk Score (5D) | 17/25 | 3/25 | 2/25 | 4/25 |
5 Dimensionen: Rechtsträger (0-5), US-Behördenzugriff (0-5), Datenübertragungsrahmen (0-5), AI-Exposition (0-5), Aufsichtsbehörden-Jurisdiktion (0-5). Niedrigerer Score = geringeres GDPR-Risiko.
EU-native Alternativen im Detail
1. Emarsys — Teil von SAP SE, Walldorf DE
Rechtsträger: SAP SE, Dietmar-Hopp-Allee 16, 69190 Walldorf, Deutschland. SAP SE ist eine Societas Europaea (SE) mit Sitz in Deutschland — kein CLOUD Act, keine US-Jurisdiktion.
Akquisition: SAP erwarb Emarsys im November 2020. Emarsys wurde 2000 in Wien, Österreich gegründet und ist heute als "SAP Emarsys Customer Engagement" im SAP-Ökosystem positioniert. Die juristische Trägerin ist SAP SE Walldorf — eine deutsche Aktiengesellschaft europäischen Rechts.
Funktionsumfang für Marketing Automation:
- Omnichannel Orchestration: E-Mail, SMS, Push, Web, In-App, Display
- AI-Personalisierung: SAP AI-gestützte Produktempfehlungen und Send-Time-Optimierung — auf EU-Infrastruktur
- Loyalty-Management: Integrierte Kundenbindungsprogramme
- Tightly-coupled SAP S/4HANA und SAP Commerce Cloud Integration
- Echtzeit-Segmentierung auf Basis von Transaktionsdaten
GDPR-Positionierung:
- Datenhaltung ausschließlich in der EU (SAP-Rechenzentren Deutschland/EU)
- Aufsichtsbehörde: BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) für SAP SE
- ISO 27001, ISO 27017, ISO 27018 zertifiziert
- SAP Trust Center mit öffentlichem Datenschutz-Repository
Besonderheit für Dynamics-365-Migranten: Emarsys hat vorgefertigte Konnektoren für SAP S/4HANA, SAP Commerce Cloud und andere SAP-Produkte. Für Microsoft-Stack-Unternehmen sind Custom-API-Integrationen verfügbar.
Lizenzmodell: Volumenbasiert (Kontakt-Tier), Enterprise-Verträge typischerweise ab €50.000/Jahr.
2. Evalanche — SC-Networks GmbH, Haar bei München
Rechtsträger: SC-Networks GmbH, Am Riemen 8, 85540 Haar bei München, Deutschland. Inhabergeführtes deutsches Unternehmen — kein CLOUD Act, keine US-Jurisdiktion.
Gründung und Positionierung: Evalanche wurde 1999 von SC-Networks gegründet und ist eines der wenigen vollständig inhabergeführten E-Mail-Marketing-Systeme in Deutschland. Es richtet sich primär an mittelständische Unternehmen und B2B-Marketer in DACH-Regionen.
Funktionsumfang:
- E-Mail-Marketing mit personalisiertem Content
- Marketing-Automation mit visuellen Workflow-Builder
- Lead-Scoring und Lead-Nurturing für B2B-Anforderungen
- Landingpage- und Formular-Builder
- Schnittstellen zu CRM-Systemen (Salesforce, SAP, Microsoft Dynamics, Hubspot)
GDPR-Compliance:
- BSI-C5-Testat für Cloud-Sicherheit (Bundesamt für Sicherheit in der Informationstechnik)
- ISO 27001 zertifiziert
- 100% Datenhaltung in deutschen Rechenzentren
- Kein US-Subprozessor für Kerndaten
- Aufsichtsbehörde: BayLDA
Besonderheit: Evalanche ist von Beginn an für die deutschen DSGVO-Anforderungen konzipiert — kein DSGVO-Retrofit eines US-Systems. Die Einwilligungs-Management-Funktion (Double-Opt-In-Management, Einwilligungs-Nachweise) entspricht direkt deutschen Auslegungsstandards der DSGVO.
Lizenzmodell: Monatliche Lizenz ab ca. €150/Monat für kleine Volumen, Enterprise auf Anfrage.
3. Brevo — SAS, Paris, Frankreich
Rechtsträger: Brevo SAS (bis 2023: Sendinblue SAS), 7 rue de Madrid, 75008 Paris, Frankreich. Brevo ist eine Société par Actions Simplifiée (SAS) nach französischem Recht — kein CLOUD Act, keine US-Jurisdiktion.
Geschichte: Brevo wurde 2012 als Sendinblue in Paris gegründet. Das Unternehmen wurde 2023 in Brevo umbenannt, um die Erweiterung über E-Mail-Marketing hinaus zu einer vollständigen CRM- und Marketing-Automation-Suite zu signalisieren. Brevo ist nach eigenen Angaben profitabel und hat nie US-VC-Kapital aufgenommen — ein seltener Fall im MarTech-Segment.
Funktionsumfang:
- E-Mail- und SMS-Marketing mit Drag-and-Drop-Editor
- Marketing-Automation: Visuelle Customer-Journey-Builder
- Transaktionale E-Mails: SMTP, API-gestützte Trigger-E-Mails (besonders stark im Developer-Segment)
- Chat und CRM: Integriertes Vertriebsmodul
- WhatsApp Business API Integration (EU-natives Setup)
- Brevo Conversations: Omnichannel-Kundenservice-Modul
GDPR-Compliance:
- Datenhaltung in Frankreich und Deutschland (AWS EU-Region in Hüllstruktur — wichtig: Brevo SAS als Data Controller ist EU-Person)
- CNIL-reguliert (Commission nationale de l'informatique et des libertés, Paris)
- ISO 27001 zertifiziert
- SOC 2 Type II Report verfügbar
- Keine US-Muttergesellschaft, kein CLOUD Act-Risiko aus Konzernstruktur
Preismodell: Freier Plan verfügbar. Starter ab €25/Monat (20.000 E-Mails). Business ab €65/Monat mit Automatisierung. Enterprise individuell.
Besonderheit für SMB und Mid-Market: Brevo ist der einzige der drei Alternativen mit einem transparenten, selbstverwalteten Pricing-Modell — keine Mindestvolumina, keine obligatorischen Enterprise-Verträge. Für Unternehmen unter 100.000 Kontakten ist Brevo der naheliegendste Dynamics-365-Ersatz.
Microsoft Entra ID + Dynamics 365: Das Konzern-Risiko-Kumulationsproblem
Dynamics 365 Customer Insights - Journeys ist selten allein im Einsatz. Typische Microsoft-Stack-Installationen verbinden:
- Microsoft Entra ID (ehemals Azure AD): Identitäts- und Zugriffsmanagement — alle Nutzer-Identitäten
- Microsoft 365: E-Mail (Exchange Online), Zusammenarbeit (Teams, SharePoint)
- Azure: Cloud-Infrastruktur für alle Workloads
- Dynamics 365 CRM / Sales: Kundenbeziehungsmanagement
- Dynamics 365 Customer Insights - Journeys: Marketing-Automation
- Microsoft Copilot: AI-gestützte Features in allen Modulen
Jedes dieser Produkte ist ein eigenständiger "Microsoft-Dienst" — rechtlich geleistet von Microsoft Corporation (Redmond WA) oder einer der vollständig kontrollierten US-Tochtergesellschaften. Eine US-Strafverfolgungsanordnung an Microsoft Corporation kann in einer einzigen Anfrage auf Daten aus allen diesen Diensten zugreifen:
Kumulations-Exposition: Eine Organisation, die den vollständigen Microsoft-Stack betreibt, stellt de facto sämtliche digitale Aktivitäten unter US-Jurisdiktion: Identitäten (Entra ID), Kommunikation (Exchange/Teams), Dokumente (SharePoint/OneDrive), Kundendaten (D365 CRM), Marketingdaten (D365 Marketing/Customer Insights), Infrastruktur (Azure).
Diese Kumulation ist besonders relevant für Organisationen, die unter DSGVO als wichtige oder kritische Einrichtungen nach NIS2 (Richtlinie 2022/2555/EU) fallen — Energieversorger, Gesundheitsdienstleister, Finanzinstitutionen, kritische Infrastruktur. Für diese Organisationen ist die Microsoft-Stack-Abhängigkeit nicht nur ein Datenschutzrisiko, sondern ein meldepflichtiges Resilienzproblem.
4-Phasen-Migrationsplan: Von Dynamics 365 Marketing zu EU-nativen Alternativen
Phase 1: Datenaudit und Scoping (Wochen 1-2)
Bestandsaufnahme in Dynamics 365:
- Kontakt-Export: Alle Marketing-Kontakte mit Einwilligungs-Status aus Dynamics 365 Customer Insights exportieren (GDPR-konformer Excel/CSV-Export via Power Automate oder Marketing-API)
- Segment-Inventar: Alle aktiven und archivierten Segmente dokumentieren — Bedingungen, Größen, letzte Aktivierung
- Journey-Inventar: Alle Customer Journeys (Outbound und Realtime) mit Trigger-Events und Aktions-Sequenzen
- Template-Bibliothek: HTML-E-Mail-Templates, Landingpages und Formulare exportieren
- Einwilligungs-Nachweise: GDPR-compliance erfordert Exportnachweis für alle Einwilligungen — Datum, Quelle, IP
Wichtig: Dynamics 365 Marketing speichert Einwilligungen im Dynamics-Consent-Center (MSDYN_CONSENTSETTINGS). Diese müssen vor der Migration exportiert werden — ein fehlender Einwilligungs-Nachweis nach der Migration ist ein DSGVO-Art.-5-Abs.-2-Problem (Rechenschaftspflicht).
Phase 2: Zielplattform-Setup und Datenmigration (Wochen 3-6)
Zielplattform-Auswahl:
- Enterprise B2B, SAP-Stack: → Emarsys (SAP SE)
- DACH-Mittelstand, Deutsche BSI-Compliance: → Evalanche (SC-Networks)
- SMB / Mid-Market, vollständige Self-Service-Kontrolle: → Brevo
Datenmigration:
- Kontakt-Import via CSV oder API in die Zielplattform
- Einwilligungs-Status korrekt mappen: DSGVO Art. 7 erfordert Nachweis der Einwilligung — keine retroaktive "Annahme von Einwilligung"
- Segment-Rebuild: Dynamische Segmentierungslogik auf Zielplattform nachbilden
- Template-Migration: HTML-Templates manuell oder via Import-Funktion übertragen
Phase 3: Journey-Rebuild und Testing (Wochen 7-10)
- Kritische Customer Journeys auf Zielplattform nachbilden
- Paralleloperationszeitraum: Beide Plattformen laufen für Testzwecke parallel
- UTM-Tracking anpassen (neue Platform, neue UTM-Parameter-Konventionen)
- E-Mail-Deliverability-Setup: SPF, DKIM, DMARC für die neue Absender-Domain
Phase 4: Cutover und Dynamics-365-Marketing-Offboarding (Wochen 11-12)
- Production-Cutover: Alle aktiven Journeys auf Zielplattform umschalten
- Dynamics 365 Marketing: Alle Datensätze löschen (DSGVO Art. 17-Recht auf Löschung nach Ende der Verarbeitung)
- Microsoft-Datenlöschungsbestätigung: Nach Kündigung des Dynamics-365-Marketing-Abonnements schriftliche Bestätigung der Datenlöschung anfordern (DSGVO Art. 28 Abs. 3 lit. g: Subprozessor-Pflicht zur Löschungsbestätigung)
- DSGVO-Dokumentation aktualisieren: RoPA (Record of Processing Activities), Datenschutzfolgenabschätzung, technisch-organisatorische Maßnahmen
Häufig gestellte Fragen
Schützt das Microsoft Data Processing Addendum (DPA) vor CLOUD Act-Zugriff? Nein. Das Microsoft DPA ist ein Vertrag zwischen Microsoft und dem Kunden — ein US-Gericht ist an diesen Vertrag nicht gebunden. Das CLOUD Act gibt US-Strafverfolgungsbehörden ein gesetzliches Recht, das vertraglich nicht ausgeschlossen werden kann.
Reicht es, Dynamics 365 Marketing in der EU-Region zu betreiben? Nein. Die EU Data Boundary (EUDB) bedeutet, dass primäre Kundendaten in EU-Rechenzentren gespeichert werden. Aber Microsoft Corporation (Redmond WA) bleibt der rechtliche Verarbeitungsverantwortliche — und unterliegt damit dem CLOUD Act. Der physische Serverstandort ist nicht der relevante Rechtsrahmen für den CLOUD Act.
Gilt das nur für Marketing-Daten oder auch für andere Dynamics-365-Daten? Es gilt für alle Daten, die Microsoft als US Person verarbeitet — also für alle Dynamics 365-Module (Sales, Service, Finance, HR), Microsoft 365, Azure, und alle anderen Microsoft-Cloud-Dienste.
Sind EU-Tochtergesellschaften von Microsoft (z.B. Microsoft Ireland Operations) geschützt? Nein. Tochtergesellschaften können zwar im Sinne des DSGVO als Datenverarbeiter fungieren, aber Microsoft Corporation als US-Muttergesellschaft kontrolliert und hat Zugriff auf die Daten der Tochtergesellschaft. Eine US-Anordnung richtet sich an Microsoft Corporation — die Tochtergesellschaft ist davon nicht separat.
Fazit: Strukturelle vs. operative Compliance
Microsoft Dynamics 365 Customer Insights - Journeys ist technisch ein exzellentes Marketing-Automation-System. Das GDPR-Problem ist kein technisches — es ist ein strukturelles Jurisdiktionsproblem, das keine Softwarekonfiguration lösen kann.
Für EU-Organisationen, die echte Datensouveränität benötigen — insbesondere für sensibler B2C-Kundendaten, für regulierte Branchen (Finanzdienstleistungen, Gesundheit, öffentliche Hand), und für Unternehmen, die unter NIS2 als wichtige oder kritische Einrichtungen fallen — führt kein Weg an einem Wechsel zu EU-nativen Alternativen vorbei:
- Emarsys (SAP SE Walldorf DE): Für Enterprise-Anforderungen mit SAP-Integration
- Evalanche (SC-Networks München DE): Für DACH-Mittelstand mit BSI-Compliance
- Brevo (SAS Paris FR): Für SMB und Mid-Market mit voller Selbstverwaltung
Der Migrationspfad ist planbar. Der Datenschutzgewinn ist strukturell — nicht vertraglich, nicht konfigurationsbasiert, sondern jurisdiktionell.
sota.io ist eine EU-native Deployment-Plattform. Wir helfen EU-Unternehmen, ihren gesamten Tech-Stack — von der Infrastruktur bis zur Marketing-Automation — aus US-Jurisdiktion herauszulösen. Keine US-Muttergesellschaft. Kein CLOUD Act-Risiko. Hetzner-Infrastruktur in Deutschland.
EU-Native Hosting
Ready to move to EU-sovereign infrastructure?
sota.io is a German-hosted PaaS — no CLOUD Act exposure, no US jurisdiction, full GDPR compliance by design. Deploy your first app in minutes.