Zum Hauptinhalt springen
ANET Studios logo
ANET Studios
Alle Beiträge

DSGVO-konformes Hosting: Was Unternehmen in der EU wirklich brauchen (2026)

Von Lars23. April 2026Aktualisiert: 18. Mai 20268 Min. Lesezeit

DSGVO-konformes Hosting: Was Unternehmen in der EU wirklich brauchen (2026)

Eine Steuerberaterin aus dem Sauerland hat uns im Februar angerufen. Ihre Kanzlei-Website lief seit sechs Jahren bei einem Hosting-Anbieter, der mit "Rechenzentrum Deutschland" warb. Klang gut. Problem: Der Anbieter war ein Reseller. Die eigentlichen Server standen bei einem US-Unternehmen in Virginia. Die Kontaktformulare landeten in einer Datenbank, die technisch gesehen ein internationaler Datentransfer war. Der Auftragsverarbeitungsvertrag -- sie hatte nie reingeschaut -- enthielt keinen einzigen Satz zur Datenresidenz. Als ein Mandant, der zufällig Datenschutzbeauftragter war, nachfragte, wo seine Daten gespeichert werden, konnte sie es nicht sagen.

Das ist kein Einzelfall. Das ist der Normalzustand bei kleinen und mittelständischen Unternehmen in Deutschland. Die gute Nachricht: Die Lösung ist günstig und weitgehend mechanisch. Die schlechte: Fast niemand kümmert sich darum, bis jemand fragt -- und dann hat man ein kleines, teures Problem.

Warum dein Hosting-Standort eine DSGVO-Entscheidung ist

Die DSGVO verbietet nicht, personenbezogene Daten außerhalb der EU zu verarbeiten. Sie verlangt, dass jeder solche Transfer eine Rechtsgrundlage hat -- entweder einen Angemessenheitsbeschluss, Standardvertragsklauseln (SCCs) oder verbindliche interne Datenschutzvorschriften -- plus, seit Schrems II, eine dokumentierte Transferfolgenabschätzung (TIA), die belegt, dass die Überwachungsgesetze des Ziellandes den Schutz nicht aushebeln.

Dazu kommt in Deutschland das BDSG (Bundesdatenschutzgesetz), das die DSGVO ergänzt und in manchen Bereichen strenger auslegt. Die deutschen Landesdatenschutzbeauftragten (LfDI) -- 16 an der Zahl, einer pro Bundesland -- sind bekannt dafür, aktiver durchzugreifen als viele andere europäische Behörden. Der BfDI (Bundesbeauftragte für den Datenschutz) koordiniert auf Bundesebene. Wer denkt, DSGVO-Durchsetzung sei theoretisch: Die LfDI Niedersachsen hat 2023 Bußgelder gegen ein mittelständisches Unternehmen verhängt, weil dessen Website personenbezogene Daten ohne ausreichende Rechtsgrundlage in die USA übertrug. Kein Konzern. Ein KMU mit 30 Mitarbeitern.

Was die meisten KMU als "einfach Hosting" behandeln, umfasst tatsächlich drei separate Datenflüsse: wo die Website ausgeliefert wird (der physische Serverstandort), wo Formulardaten und Uploads gespeichert werden (die Datenbank -- oft im selben Rechenzentrum, aber nicht immer), und wo der Traffic durchgeleitet wird (CDN oder WAF, das deinen Traffic entschlüsselt). Jeder dieser Punkte ist ein Verarbeitungsstandort im Sinne der DSGVO. Jeder muss dokumentiert sein.

Die vier Klauseln, die jeder AVV enthalten muss

Der Auftragsverarbeitungsvertrag (AVV) ist der Vertrag zwischen dir (Verantwortlicher) und deinem Hosting-Anbieter (Auftragsverarbeiter). Artikel 28 DSGVO schreibt bestimmte Inhalte vor. Die meisten AVVs von kleineren Hostern verfehlen mindestens eine Klausel. Worauf du achten musst:

1. Datenresidenz und Weitergabebeschränkungen. Wo werden Daten physisch gespeichert, und welche Erlaubnis hat der Auftragsverarbeiter, sie zu verschieben? Akzeptabel: "innerhalb des EWR, konkret in Deutschland/Finnland". Nicht akzeptabel: "weltweit, soweit für die Diensterbringung erforderlich". Letzteres steht in erschreckend vielen Verträgen.

2. Unterauftragnehmer-Transparenz und Benachrichtigung. Dein Hoster wird Unterauftragnehmer einsetzen -- Backup-Dienste, Monitoring-Tools, CDNs. Der AVV muss diese auflisten, gleichwertige Vertragsbedingungen mit ihnen sicherstellen und dich vorab über Änderungen informieren. Ein AVV, der sagt "Unterauftragnehmer können sich von Zeit zu Zeit ändern" ohne Benachrichtigungsprozess, ist ein rotes Tuch.

3. Meldepflicht bei Datenpannen innerhalb von 72 Stunden. Gesetzlich vorgeschrieben. Dein Hoster sollte sich verpflichten, dich innerhalb von 24 bis 48 Stunden zu benachrichtigen -- das gibt dir Puffer, um deine eigene 72-Stunden-Frist gegenüber der Aufsichtsbehörde einzuhalten. In Deutschland muss die Meldung an den zuständigen LfDI gehen. Wer seinen zuständigen LfDI nicht kennt: Es ist der des Bundeslandes, in dem dein Unternehmen seinen Sitz hat.

4. Rückgabe und Löschung bei Vertragsende. Was passiert mit deinen Daten, wenn du den Anbieter wechselst? Der AVV muss einen definierten Rückgabe- und Löschprozess vorsehen, mit schriftlicher Bestätigung. Das klingt selbstverständlich. Es steht trotzdem in etwa der Hälfte der AVVs, die ich im letzten Jahr geprüft habe, nicht drin.

Es gibt weitere Klauseln -- Kontrollrechte, internationale Transferdetails, Vertraulichkeit -- und ein vollständiger AVV deckt alle ab. Aber diese vier sind die, die ich bei kleinen Hostern am häufigsten vermisse.

EU-Datenresidenz: Wer liefert sie wirklich?

Hier teilt sich der Markt deutlich, und ich werde direkt sein, weil vage Ratschläge zu diesem Thema echten Schaden anrichten.

Hetzner -- der Heimvorteil

Hetzner ist ein deutsches Unternehmen mit Hauptsitz in Gunzenhausen, Franken. Rechenzentren in Falkenstein (Vogtland) und Nürnberg, dazu ein Standort in Helsinki. Deutsches Recht, deutscher Gerichtsstand, deutsche Geschäftsführung. Das ist kein Marketing-Vorteil -- das ist ein juristischer. Wenn ein US-Gericht eine Herausgabeanordnung stellt, muss ein deutsches Unternehmen ihr nicht nachkommen, solange kein deutsches Rechtshilfeersuchen vorliegt. Das ist der Kern des Schrems-II-Problems, und Hetzner hat ihn einfach nicht.

Was kostet das? Ein CX22 Shared-Server bei Hetzner kostet 4,51 EUR pro Monat. Damit ist das Argument "EU-Hosting ist zu teuer" vom Tisch. Für eine Standard-Website eines Handwerksbetriebs, einer Kanzlei oder einer Beratung reicht das locker. Wir nutzen Hetzner selbst für unsere gesamte Infrastruktur und für die meisten unserer Kunden.

OVH und Scaleway -- die französischen Alternativen

OVH (Frankreich) ist die zweite große Option. Französischer Hauptsitz, sauberer AVV, Rechenzentren quer durch die EU. Bemerkenswert: OVHcloud hat in mehreren Fällen öffentlich Widerstand gegen US-Subpoenas für EU-Daten geleistet. Das ist relevant nach Schrems II.

Scaleway (Frankreich) ist kleiner, aber konkurrenzfähig, besonders für verwaltete PostgreSQL-Datenbanken und Object Storage.

AWS, Google Cloud, Azure -- die US-Hyperscaler

Hier wird es kompliziert, und hier liegt der Großteil der Schrems-II-Rechtsprechung. Du kannst AWS technisch so konfigurieren, dass Daten in eu-central-1 (Frankfurt) bleiben, und ihren GDPR-Nachtrag mit EU-Standardvertragsklauseln unterschreiben. Aber AWS ist ein US-Unternehmen, das dem US CLOUD Act unterliegt. Ein US-Gericht kann die Herausgabe von Daten anordnen, die irgendwo auf der Welt gespeichert sind. Der EDSA und mehrere nationale Datenschutzbehörden haben Bedenken geäußert -- trotz Verschlüsselung und vertraglicher Zusicherungen.

Die österreichische Datenschutzbehörde hat in der Sache "Schrems gegen Google" (101 Beschwerden, koordiniert von noyb) klar gemacht, dass SCCs allein nicht ausreichen, wenn die Überwachungsgesetze des Empfängerlandes den Schutz untergraben. Das LG München I hat 2022 den Einsatz von Google Fonts über US-Server als DSGVO-Verstoß gewertet -- mit Schadenersatz. Diese Rechtsprechung gilt analog für Hosting.

Hier meine ehrliche Einschätzung, die von viel Online-Content abweicht: Die Position, dass alle EU-Daten auf US-kontrollierter Infrastruktur automatisch rechtswidrig sind, ist übertrieben. Die Position, dass alles in Ordnung ist, weil man einen DSGVO-Nachtrag angeklickt hat, ist genauso falsch. Die Realität ist ein Spektrum. Wenn du in der Rechts-, Gesundheits- oder Finanzbranche arbeitest: Nimm EU-eigene Infrastruktur. Wenn nicht: Dokumentiere deine SCCs und die TIA sauber und mach weiter -- aber bewusst, nicht aus Versehen.

Die DSGVO-Hosting-Checkliste

Kompakt und praktisch. Wenn du jeden Punkt abhaken kannst, bist du in einer verteidigbaren Position.

  • Physischer Serverstandort ist innerhalb des EWR und dokumentiert
  • Datenbankstandort ist innerhalb des EWR (separate Frage, wenn die DB ein Managed Service ist)
  • CDN und WAF entweder im EWR oder mit SCCs und TIA dokumentiert
  • AVV unterschrieben, aktuell und enthält die vier Klauseln oben
  • Unterauftragnehmer-Liste aktuell und innerhalb der letzten 12 Monate geprüft
  • Backup-Standort ist innerhalb des EWR
  • Deine eigene Datenschutzerklärung benennt den Hoster korrekt als Auftragsverarbeiter mit Sitzland
  • Analyse-Tool ist entweder DSGVO-nativ (Plausible, Fathom, Matomo) oder korrekt konfiguriert (GA4 mit Consent Mode und IP-Anonymisierung)
  • E-Mail-Versand (für Transaktionsmails) ist EU-basiert oder dokumentiert -- das wird am häufigsten vergessen
  • Cookie-Banner blockiert Skripte tatsächlich bei Ablehnung, nicht nur optisch

Ich bin kein Anwalt und das ist keine Rechtsberatung. Aber jeder vernünftige Datenschutzbeauftragte sollte diese Liste in einer Stunde durchgehen und grünes Licht geben können.

Typische Fehler, die deutsche KMU immer noch machen

Der "Rechenzentrum Deutschland"-Mythos

Das höre ich regelmäßig: "Wir sind bei einem deutschen Anbieter." Das bedeutet oft: Der Reseller sitzt in Deutschland. Die physischen Server, das CDN und der E-Mail-Versand können überall sein. Frag nach dem tatsächlichen Rechenzentrumsstandort, schriftlich, und gleiche ihn mit deinem AVV ab. Ich habe in den letzten zwei Jahren drei Fälle gesehen, in denen "deutscher Hoster" in Wahrheit ein Reseller mit Servern in den USA war.

Cloudflare und das Schrems-II-Problem

Cloudflare ist interessant, weil es ein US-Unternehmen ist, das ein CDN betreibt und deinen Traffic entschlüsselt. Diese Entschlüsselung ist technisch ein Verarbeitungsvorgang im Land des Edge-Knotens -- für europäischen Traffic meistens, aber nicht garantiert, innerhalb der EU. Cloudflare bietet für Enterprise-Kunden eine Datenlokalisierungsoption, die Traffic auf EU-Knoten beschränkt. Für Standard-Pläne gibt es diese Garantie nicht vertraglich.

Für die meisten kleinen Websites ist das akzeptabel, und wir nutzen es selbst. Aber es muss in deiner Datenschutzerklärung stehen. Der LfDI Baden-Württemberg hat 2023 ausdrücklich darauf hingewiesen, dass CDN-Nutzung als Datenverarbeitung zu dokumentieren ist.

Google Analytics -- das Dauerthema

Die klassische Universal-Analytics-Installation wurde 2022 von mehreren europäischen Datenschutzbehörden als nicht konform eingestuft -- darunter die österreichische DSB und die französische CNIL. GA4 mit EU-Datenspeicherung und Consent Mode plus IP-Anonymisierung ist nach aktueller Einschätzung vertretbar -- aber die Installation muss korrekt sein und das Cookie-Banner muss das Skript tatsächlich blockieren, wenn der Nutzer ablehnt.

Viele Websites laden GA4 immer noch ohne Consent-Blocking. Das ist ein klarer, einfacher Bußgeldfall für eine aktive Aufsichtsbehörde. Die Bayerische Datenschutzaufsicht (BayLDA) hat 2024 mehrere Prüfverfahren gegen Websites eingeleitet, die genau dieses Problem hatten. Betroffen waren keine Konzerne, sondern mittelständische Unternehmen.

Auftragsverarbeitungsvertrag nie gelesen

Klingt banal. Ist es nicht. Ich schätze, dass 70 bis 80 Prozent der KMU in Deutschland ihren AVV mit dem Hosting-Anbieter nie gelesen haben. Viele wissen nicht einmal, dass sie einen haben sollten. Bei Hetzner liegt der AVV als PDF im Kundenportal -- herunterladbar, aber nicht automatisch Teil des Vertrags, wenn du ihn nicht aktiv einbindest. Prüf das.

Was Managed Hosting wirklich leisten sollte

Reines Hosting ist mittlerweile fast ein Commodity. Du bekommst einen Server bei Hetzner für unter 5 EUR im Monat. Was "Managed Hosting" darüber hinaus leisten sollte:

  • Jemand anders kümmert sich um die Compliance-Dokumentation. EU-Region, AVV, Unterauftragnehmer-Liste, Backup-Residenz -- gepflegt und geprüft, nicht dein Problem.
  • Jemand anders kümmert sich um die Performance. TLS, HTTP/3, Bildoptimierung, Caching -- eingestellt und überwacht, nicht auf Standardeinstellungen belassen.
  • Jemand anders kümmert sich um die Verfügbarkeit. Monitoring, Patches, Alerts, mit definierter Reaktionszeit, wenn etwas kaputtgeht.
  • Jemand anders kümmert sich um Backups. Täglich, verschlüsselt, auf Anfrage wiederherstellbar, georedundant innerhalb des EWR.
  • Ein Mensch, den du anrufen kannst. Das klingt selbstverständlich und wird im KMU-Preissegment zunehmend selten.

Unser eigenes Managed Hosting beginnt bei 59 EUR pro Monat und enthält all das von Haus aus. Die Server stehen bei Hetzner in Falkenstein. Das CDN ist Cloudflare mit Consent-gesteuerter Analytics-Einbindung. Es ist DSGVO-konform ab dem ersten Tag -- nicht weil Compliance Zauberei ist, sondern weil die Arbeit einmal sauber gemacht wurde und jeder neue Kunde davon profitiert, ohne sie wiederholen zu müssen.

Die ehrliche Empfehlung

Wenn du ein KMU in Deutschland betreibst und dir nicht sicher bist, ob dein Hosting DSGVO-konform ist, dann ist die Wahrscheinlichkeit hoch, dass es das nicht vollständig ist. Das ist kein Vorwurf -- es ist der Standardzustand, weil Hosting-Anbieter die Verantwortung gerne beim Kunden lassen und die meisten KMU andere Sorgen haben, als AVVs zu lesen.

Die Lösung ist in 90 Prozent der Fälle kein kompletter Umzug, sondern drei bis vier gezielte Schritte: AVV prüfen, Datenschutzerklärung aktualisieren, Analytics korrekt konfigurieren, Unterauftragnehmer-Liste checken. Wenn der Hoster dabei nicht mitspielt, dann ist ein Umzug fällig -- und der kostet weniger, als die meisten denken.

Wenn du dir dein aktuelles Setup anschauen lassen willst: Schreib uns. Wir schauen uns den AVV deines aktuellen Hosters an und sagen dir ehrlich, ob du wechseln musst oder ob ein paar Konfigurationsänderungen reichen.

Häufig gestellte Fragen

Kann ich AWS oder Google Cloud nutzen und trotzdem DSGVO-konform sein?

Technisch ja, aber es erfordert sorgfaeltige Konfiguration und Dokumentation. Du musst sicherstellen, dass Daten in einer EU-Region bleiben (z.B. eu-central-1 Frankfurt bei AWS), Standardvertragsklauseln (SCCs) unterzeichnen und eine Transferfolgenabschaetzung (TIA) durchfuehren. Beide sind jedoch US-Unternehmen, die dem CLOUD Act unterliegen -- ein US-Gericht kann die Herausgabe von Daten anordnen, egal wo sie physisch gespeichert sind. Die oesterreichische DSB und die franzoesische CNIL haben das in der Sache Schrems klargestellt. Fuer sensible Branchen wie Recht, Gesundheit oder Finanzen empfehlen wir EU-eigene Infrastruktur wie Hetzner oder OVH.

Was passiert, wenn mein Hosting-Anbieter nicht DSGVO-konform ist?

Du als Verantwortlicher traegst die rechtliche Verantwortung -- nicht dein Hoster. Bussgelder koennen bis zu EUR 20 Millionen oder 4% des weltweiten Jahresumsatzes betragen. Praktischer fuer KMU: Das unmittelbare Risiko ist ein Vertriebsblocker. Groessere B2B-Kunden verlangen zunehmend Datenresidenz-Dokumentation vor Vertragsabschluss. Die LfDI Niedersachsen hat 2023 ein mittelstaendisches Unternehmen mit 30 Mitarbeitern bestraft, weil dessen Website personenbezogene Daten ohne ausreichende Rechtsgrundlage in die USA uebertrug. Und das LG Muenchen I hat den Einsatz von Google Fonts ueber US-Server als DSGVO-Verstoss mit Schadenersatz gewertet.

Brauche ich einen Auftragsverarbeitungsvertrag (AVV) mit meinem Hoster?

Ja, zwingend. Artikel 28 DSGVO schreibt einen AVV zwischen jedem Verantwortlichen und Auftragsverarbeiter gesetzlich vor. Der AVV muss vier Kernklauseln enthalten: Datenresidenz und Weitergabebeschraenkungen, Unterauftragnehmer-Transparenz mit Vorab-Benachrichtigung bei Aenderungen, Meldepflicht bei Datenpannen innerhalb von 72 Stunden, sowie Rueckgabe und Loeschung bei Vertragsende. Ich schaetze, dass 70 bis 80 Prozent der KMU in Deutschland ihren AVV nie gelesen haben. Bei Hetzner liegt er als PDF im Kundenportal -- herunterladbar, aber nicht automatisch Teil des Vertrags, wenn du ihn nicht aktiv einbindest.

Was bedeutet Rechenzentrum Deutschland wirklich?

Oft weniger als erwartet. Wenn ein Hoster mit Rechenzentrum Deutschland wirbt, bedeutet das haeufig nur, dass der Reseller in Deutschland sitzt. Die physischen Server, das CDN und der E-Mail-Versand koennen woanders stehen. Wir haben in den letzten zwei Jahren drei Faelle gesehen, in denen deutscher Hoster in Wahrheit ein Reseller mit Servern in den USA war. Frag immer nach dem tatsaechlichen Rechenzentrumsstandort -- schriftlich -- und gleiche ihn mit deinem AVV ab. Ein CX22-Server bei Hetzner in Falkenstein kostet EUR 4,51 pro Monat. DSGVO-konformes Hosting muss nicht teuer sein.

Welche Analyse-Tools sind DSGVO-konform einsetzbar?

DSGVO-native Tools wie Plausible, Fathom und Matomo (self-hosted) funktionieren ohne Cookie-Consent, weil sie keine personenbezogenen Daten verarbeiten. Google Analytics 4 ist mit EU-Datenspeicherung und korrektem Consent Mode plus IP-Anonymisierung nach aktueller Einschaetzung vertretbar -- aber die Installation muss korrekt sein und das Cookie-Banner muss das Skript tatsaechlich blockieren, wenn der Nutzer ablehnt, nicht nur optisch. Die BayLDA hat 2024 mehrere Pruefverfahren gegen Websites eingeleitet, die GA4 ohne funktionierendes Consent-Blocking luden. Betroffen waren mittelstaendische Unternehmen, keine Konzerne.