DSGVO-konformes Hosting: Was du über Serverstandort wissen musst

20 Mio. EUR Bußgeld, CLOUD Act, Schrems III. Warum ein EU-Rechenzentrum bei US-Anbietern nicht reicht, welche deutschen Hoster sich lohnen und was in deinem AVV stehen muss.

Dein Hosting-Provider steht in Frankfurt. Dein SSL-Zertifikat leuchtet grün. Dein Cookie-Banner nervt zuverlässig jeden Besucher. Trotzdem kannst du morgen Post von der Datenschutzbehörde bekommen – weil dein Hoster ein US-Konzern ist und der CLOUD Act dem FBI erlaubt, auf deine Kundendaten zuzugreifen. Egal, in welchem Rechenzentrum die physisch liegen.

DSGVO-konformes Hosting ist mehr als Serverstandort. Es geht um Auftragsverarbeitungsverträge, Subprozessoren, Drittlandtransfers und technische Schutzmaßnahmen. Dieser Post zeigt dir, worauf es ankommt – mit konkreten Anbietern, echten Bußgeldern und einer AVV-Checkliste, die du direkt verwenden kannst.

Was die DSGVO über Serverstandort sagt

Die DSGVO schreibt keinen EU-Serverstandort vor. Art. 44 ff. DSGVO verlangen ein angemessenes Schutzniveau für personenbezogene Daten. Solange dein Hosting-Provider innerhalb des EU/EWR-Raums verarbeitet, ist dieses Schutzniveau automatisch gegeben. Keine Zusatzmaßnahmen, keine Standardvertragsklauseln, keine Einzelfallprüfung.

Sobald Daten in ein Drittland fließen – also außerhalb EU/EWR –, brauchst du eine der folgenden Rechtsgrundlagen:

• Angemessenheitsbeschluss der EU-Kommission (z. B. das EU-US Data Privacy Framework)
• Standardvertragsklauseln (SCCs) mit ergänzender Risikoanalyse (Transfer Impact Assessment)
• Binding Corporate Rules (BCRs) – in der Praxis nur bei Großkonzernen relevant

Für KMU heißt das: Ein Hoster im EU/EWR-Raum eliminiert den gesamten Drittland-Komplex. Du sparst dir Transfer Impact Assessments, SCCs und die Frage, ob der nächste Angemessenheitsbeschluss vor dem EuGH überlebt. Details zu Performance und Kosten verschiedener Hosting-Modelle findest du in unserem Hosting-Vergleich.

CLOUD Act: Warum EU-Rechenzentrum bei US-Anbietern nicht reicht

AWS Frankfurt, Google Cloud Frankfurt, Azure Deutschland – klingt nach EU-Hosting. Technisch stehen die Server in Deutschland. Rechtlich ist die Lage eine andere.

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018 verpflichtet US-Unternehmen, auf Anfrage von US-Behörden Daten herauszugeben – unabhängig davon, wo diese physisch gespeichert sind. Ein Server in Frankfurt bei einer US-Muttergesellschaft unterliegt US-amerikanischer Jurisdiktion. Die DSGVO verbietet genau solche Herausgaben ohne Rechtsgrundlage nach EU-Recht (Art. 48 DSGVO).

Stell dir das wie eine Mietwohnung vor: Du wohnst in Deutschland, deutsches Mietrecht gilt. Aber dein Vermieter sitzt in den USA – und die US-Polizei darf ihn zwingen, deine Tür aufzuschließen, ohne dass ein deutsches Gericht zugestimmt hat.

Kriterium	Deutscher Hoster	US-Cloud mit EU-RZ
Serverstandort	Deutschland	Deutschland
Mutterkonzern	DE / EU	USA
CLOUD Act	Nicht anwendbar	Anwendbar
DSGVO Art. 48 Konflikt	Kein Konflikt	Potenzieller Konflikt
AVV nach dt. Recht	Standard	Oft US-Recht als Grundlage
Rechtssicherheit bei Schrems III	Nicht betroffen	Direkt betroffen

Für KMU ohne eigene Rechtsabteilung ist die sichere Wahl ein Hosting-Provider ohne US-Konzernverbindung. Nicht weil US-Cloud-Dienste unsicher wären – sondern weil du dir ein rechtliches Risiko sparst, das du nicht kontrollieren kannst.

DPF und Schrems III: Das Damoklesschwert

Seit Juli 2023 gilt das EU-US Data Privacy Framework (DPF). Es erlaubt Datentransfers an DPF-zertifizierte US-Unternehmen – darunter AWS, Google, Microsoft, Cloudflare. Für viele KMU ist das die aktuelle Rechtsgrundlage für US-Dienste.

Das Problem: NOYB (die Organisation von Max Schrems) hat eine Anfechtung eingeleitet. Ein Verfahren vor dem EuGH – inoffiziell „Schrems III" – ist wahrscheinlich. Die Vorgeschichte spricht für sich: Safe Harbor (Schrems I, 2015 gekippt) und Privacy Shield (Schrems II, 2020 gekippt) waren strukturell identische Vorgänger.

Verschärfend kommt hinzu, dass strukturelle Änderungen am US Privacy and Civil Liberties Oversight Board die Grundlage des DPF gefährden. Das Board sollte sicherstellen, dass US-Geheimdienste EU-Bürgerdaten nicht unverhältnismäßig überwachen. Ohne funktionierendes Board fehlt die Grundlage für den Angemessenheitsbeschluss.

Was passiert, wenn das DPF kippt? Genau das, was nach Schrems II passiert ist: Jeder Datentransfer an US-Unternehmen verliert seine Rechtsgrundlage. Unternehmen müssen auf SCCs plus Transfer Impact Assessment umsteigen – oder die Dienste wechseln. Wer bereits auf einen deutschen Hoster setzt, hat kein Problem. Wer auf AWS oder Google Cloud baut, hat ein Projekt.

Deutsche Hosting-Anbieter im Vergleich

Für KMU, die auf der sicheren Seite stehen wollen, gibt es solide Hosting-Optionen mit deutschen Unternehmen und deutschen Rechenzentren. Keine US-Konzernverbindung, kein CLOUD-Act-Risiko, AVV nach deutschem Recht.

Anbieter	ab Preis/Monat	Serverstandort	AVV
Hetzner	3,49 EUR (VPS)	Nürnberg, Falkenstein, Helsinki	Online abschließbar
netcup	3,49 EUR	Karlsruhe	Online abschließbar
IONOS	6 EUR	Deutschland	Online abschließbar
all-inkl	~5 EUR	Deutschland	Auf Anfrage
dogado	~5 EUR	Deutschland	Online abschließbar

Hetzner und netcup liegen preislich gleichauf mit AWS-Einstiegsangeboten – ohne die rechtliche Komplexität. Technische Unterschiede zwischen Shared, Managed und VPS-Hosting haben wir im Hosting-Vergleich aufgeschlüsselt.

AVV-Checkliste: Was muss drin stehen?

Dein Hosting-Provider ist ein Auftragsverarbeiter nach Art. 28 DSGVO. Du brauchst einen Auftragsverarbeitungsvertrag (AVV) – ohne Ausnahme. Fehlt der AVV, drohen bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes als Bußgeld.

Ein AVV ist kein Freitext-Dokument, das der Hoster irgendwie formuliert. Art. 28 Abs. 3 DSGVO schreibt konkrete Pflichtinhalte vor. Hier die Checkliste:

• Gegenstand und Dauer der Verarbeitung (was wird gehostet, wie lange)
• Art und Zweck der Verarbeitung (Webhosting, E-Mail, Datenbank)
• Datenkategorien (personenbezogene Daten deiner Website-Besucher, Kunden, Newsletter-Abonnenten)
• Betroffenengruppen (Kunden, Interessenten, Mitarbeiter)
• Weisungsbindung – der Hoster darf Daten nur auf deine Weisung verarbeiten
• Vertraulichkeit – alle Mitarbeiter des Hosters mit Datenzugang müssen zur Vertraulichkeit verpflichtet sein
• TOMs (technisch-organisatorische Maßnahmen) – konkret benannt, nicht „angemessene Maßnahmen". Verschlüsselung welcher Art? Zugangskontrollen wie genau?
• Subunternehmer-Regelung – welche Subprozessoren setzt der Hoster ein, wie wirst du informiert, hast du Widerspruchsrecht?
• Unterstützung bei Betroffenenrechten (Auskunft, Löschung, Berichtigung)
• Löschung oder Rückgabe aller Daten bei Vertragsende
• Kontrollrechte – du darfst den Hoster prüfen oder prüfen lassen

Die meisten deutschen Hoster bieten den AVV als fertiges Dokument zum Download an. Prüfe trotzdem, ob alle Punkte enthalten sind. Ein vorgefertigter AVV, dem TOMs fehlen, ist wertlos.

Versteckte Drittlandtransfers: CDN, E-Mail, Analytics

Dein Server steht in Deutschland. Dein Hoster ist deutsch. Der AVV ist unterschrieben. Trotzdem kann deine Website personenbezogene Daten in die USA schicken – über Dienste, an die du nicht sofort denkst.

Jeder Subprozessor, der Besucherdaten verarbeitet, ist ein potenzieller Drittlandtransfer:

• CDN – Cloudflare ist DPF-zertifiziert, aber US-basiert. Wenn das DPF kippt, hast du ein Problem. EU-Alternativen: BunnyCDN (Slowenien), KeyCDN (Schweiz mit Angemessenheitsbeschluss).
• E-Mail-Versand – Mailchimp, SendGrid, Mailgun: alle US. Brevo hat EU-Server, ist aber ein französisches Unternehmen mit US-Infrastruktur. Prüfe die Subprozessor-Liste.
• Analytics – Google Analytics überträgt Daten an Google LLC in den USA. Consent Mode v2 ändert daran nichts – es steuert, ob Daten erhoben werden, nicht wohin sie gehen. Mehr dazu in unserem Post zu GA4 Consent Mode v2.
• Fonts & Embeds – Google Fonts von googleapis.com = Drittlandtransfer bei jedem Seitenaufruf. Lokales Einbinden löst das Problem.
• Kommentar-Plugins, Chat-Widgets, Kontaktformular-Dienste – jeder externe Service, der IP-Adressen oder Formulardaten verarbeitet.

Erstelle eine Subprozessor-Liste für deine Website. Geh jede externe Ressource durch, die beim Seitenaufruf geladen wird. Die Browser-Devtools (Netzwerk-Tab) zeigen dir jede Verbindung zu externen Servern. Jede Verbindung ist ein potenzieller Transfer, der dokumentiert und abgesichert sein muss.

Technische Maßnahmen nach Art. 32 DSGVO

Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen, die dem Risiko „angemessen" sind. Für Webhosting bedeutet das konkret:

• Verschlüsselung in Transit – TLS 1.2+ für alle Verbindungen, HSTS-Header setzen
• Verschlüsselung at Rest – Festplattenverschlüsselung (AES-256) auf dem Server
• Zugriffskontrollen – SSH-Keys statt Passwörter, Zwei-Faktor für Admin-Panels, keine Root-Logins
• Backup-Konzept – regelmäßige Backups mit dokumentiertem Wiederherstellungsplan. Backup-Standorte müssen ebenfalls im EU/EWR liegen.
• Pseudonymisierung wo möglich – z. B. IP-Adressen in Logs kürzen
• Monitoring – Intrusion Detection, Log-Auswertung, automatische Benachrichtigung bei Anomalien

Diese Maßnahmen stehen auch in deinem AVV unter „TOMs". Achte darauf, dass dort keine Platzhalter stehen, sondern konkrete Angaben. Wer tiefer in Serversicherheit einsteigen will: unser Post zu WordPress Sicherheit 2026 deckt die häufigsten Angriffsvektoren und Gegenmaßnahmen ab.

Bußgeld-Risiken: Was KMU tatsächlich droht

Die Maximalbußgelder von 20 Mio. EUR oder 4 % des globalen Jahresumsatzes klingen nach Großkonzern-Problemen. In der Praxis treffen Bußgelder aber auch KMU – und die Aufsichtsbehörden werden aktiver.

Die Realität für KMU: Bußgelder im fünf- bis sechsstelligen Bereich bei fehlenden AVVs, nicht abgesicherten Drittlandtransfers oder unzureichenden TOMs. Dazu kommen Abmahnrisiken durch Wettbewerber und Betroffene – ein wachsender Trend seit 2024.

Fazit: DSGVO-konformes Hosting in drei Schritten

DSGVO-konformes Hosting ist kein Hexenwerk, wenn du drei Dinge richtig machst:

1. Deutschen Hoster ohne US-Konzernverbindung wählen – eliminiert CLOUD Act, Drittlandtransfer und Schrems-III-Risiko in einem Schritt
2. AVV prüfen und abschließen – alle Pflichtinhalte nach Art. 28 DSGVO, konkrete TOMs, Subprozessor-Liste
3. Subprozessoren auditieren – CDN, Analytics, E-Mail, Fonts. Jeder externe Dienst, der Besucherdaten verarbeitet, braucht eine Rechtsgrundlage.

Wer das sauber aufsetzt, hat ein Setup, das auch nach einem möglichen Schrems-III-Urteil Bestand hat – ohne hektische Migration unter Zeitdruck.