SYSTEM
SYSTEM
Tech Insight

DSGVO-konformes Hosting: Worauf es bei deutschen Kunden ankommt

US-Cloud ist bequem, bringt aber DSGVO-Risiken mit. Was bei der Hosting-Wahl wirklich zählt und wie ich das in Projekten löse.

Von Robin Herbeck··4 min read
DSGVOHostingDatenschutzServerDeutschland
DSGVO-konformes Hosting: Worauf es bei deutschen Kunden ankommt

Dieser Post richtet sich an Selbstständige, Agenturen und Entscheider, die Websites für deutsche Kunden bauen oder beauftragen. Kein juristischer Ratgeber, sondern eine praktische Einschätzung aus dem Projekt-Alltag. Bei rechtlichen Fragen bitte einen Datenschutz-Anwalt oder Datenschutzbeauftragten einbeziehen.

Worüber kaum gesprochen wird

Viele Websites deutscher Unternehmen laufen auf Cloud-Plattformen mit US-Mutterkonzern: AWS, Google Cloud, Vercel, Netlify. Das ist nicht automatisch ein Problem, aber es bringt Aufwand mit sich, wenn man es DSGVO-konform aufsetzen will.

Seit dem Schrems-II-Urteil des EuGH 2020 gilt die Datenübertragung in die USA als heikel. Das EU-US Data Privacy Framework von Juli 2023 hat einen neuen Rahmen geschaffen, der aktuell als angemessen eingestuft ist. Mehrere Klagen (unter anderem von NOYB) sind aber anhängig. Die Rechtslage kann sich erneut verändern.

Wer deutsche Endkunden hat, sollte das Risiko kennen und bewusst entscheiden.

Was beim Website-Betrieb relevant ist

Bei jedem Seitenaufruf werden Daten übertragen: IP-Adresse, Browser-Daten, manchmal mehr. Wenn diese Daten auf US-Servern verarbeitet werden oder externe US-Dienste eingebunden sind, ist das DSGVO-relevant.

Typische Stolpersteine:

  • Google Fonts extern eingebunden. Jeder Seitenaufruf sendet die IP an Google. 2022 gab es nach einem Urteil des LG München eine größere Abmahnwelle. Lokales Einbinden löst das.
  • US-Cloud-Hosting ohne saubere Konfiguration. Auch mit EU-Rechenzentrum bleibt der Anbieter dem US CLOUD Act unterworfen. Das ist nicht zwingend ein No-Go, erfordert aber AVV, sauberes Konzept und meist zusätzliche technische Maßnahmen.
  • Google Analytics ohne Einwilligung. Mehrere europäische Datenschutzbehörden (Österreich, Italien, Frankreich) haben das beanstandet. Mit Cookie-Consent ist es möglich, ohne nicht.
  • Kontaktformulare über US-Dienste. Daten landen außerhalb der EU, oft ohne dass der Kunde es merkt.

Mein Standard-Setup

Für die meisten Kundenprojekte nutze ich einen eigenen Linux-Server bei einem deutschen Hoster: Rechenzentrum in Deutschland, deutsches Unternehmen, deutscher Gerichtsstand. Das ist nicht der einzige Weg zu DSGVO-Konformität, aber für mich der bequemste mit der wenigsten Erklärungsarbeit gegenüber Kunden.

Was das in der Praxis bedeutet:

  • Daten bleiben in Deutschland. Kein transatlantischer Transfer.
  • Auftragsverarbeitungsvertrag mit dem Hoster ist Standard, nicht Sonderfall.
  • Volle Kontrolle darüber, was auf dem Server läuft und welche Daten wo gespeichert werden.
  • Kein Vendor-Lock-in. Wechsel ist jederzeit möglich.

Wer keinen eigenen Server betreuen will, kommt mit europäischen Anbietern wie Hetzner Cloud, IONOS Cloud, OVH oder Scaleway oft genauso weit. Die Auswahl ist größer geworden.

Was ich bei jedem Projekt prüfe

Bevor eine Website live geht, gehe ich folgende Checkliste durch:

  • Fonts: Lokal eingebunden, keine externen Requests an Google oder andere Dritte
  • Karten: Statische Bilder oder OpenStreetMap statt Google Maps mit aktivem Tracking
  • Analytics: Datenschutzfreundliche Alternative wie Plausible oder Matomo, oder Google Analytics nur mit funktionierendem Cookie-Consent
  • Kontaktformular: Daten werden auf dem eigenen Server verarbeitet, keine externen Dienste ohne AVV
  • E-Mail: Server beim deutschen Hoster oder ein DSGVO-konformer Anbieter wie Mailbox.org oder Posteo. Eigener Mailserver lohnt sich nur in wenigen Fällen
  • CDN: Falls überhaupt nötig, ein europäischer Anbieter wie BunnyCDN
  • Cookies: Nur technisch notwendige ohne Consent, alles andere mit echtem Opt-in

Wann US-Dienste sinnvoll bleiben

Ich bin kein Hardliner. Es gibt Szenarien, in denen US-Dienste die richtige Wahl sind, auch bei deutschen Kunden:

  • CDN für rein statische Assets ohne personenbezogene Daten
  • Entwicklungstools wie GitHub, Vercel-Previews oder Sentry, solange Production-Daten in Deutschland bleiben
  • SaaS, das keine Endkundendaten verarbeitet

Microsoft hat mittlerweile die EU Data Boundary für viele 365-Dienste umgesetzt, AWS und Google haben EU-Tochterfirmen mit eigener Vertragsstruktur. Damit lässt sich auch dort DSGVO-konform arbeiten, wenn man die Konfiguration ernst nimmt.

Meine Faustregel: Sobald regelmäßig personenbezogene Endkundendaten verarbeitet werden, ist die deutsche oder europäische Lösung für mich der unkompliziertere Weg. Bei reinen Entwickler-Tools bin ich entspannter.

DSGVO als Vertrauensbonus

Viele sehen DSGVO als Last. In Kundengesprächen ist sie oft das Gegenteil: ein Argument.

"Deine Website läuft auf einem deutschen Server, alle Daten bleiben in Deutschland, keine US-Dienste im Hintergrund." Das ist im B2B-Bereich, in regulierten Branchen oder bei datensensiblen Kunden ein klarer Pluspunkt. Bei Endverbraucherseiten manchmal weniger, aber auch dort schadet es nie.

Fazit

DSGVO-konformes Hosting ist machbar und nicht so kompliziert wie es klingt. Es geht nicht darum, US-Dienste pauschal zu verbieten, sondern bewusst zu entscheiden wo welche Daten verarbeitet werden.

Eigener Server in Deutschland oder ein europäischer Cloud-Anbieter, lokale Fonts, datenschutzfreundliche Tools, kein unnötiges Tracking. Das deckt den Großteil ab.

Bei Hetzner, IONOS oder ähnlichen Anbietern ist das oft sogar günstiger als AWS oder Vercel. Bei sehr spezifischen Workloads kann es anders aussehen, aber für klassische Websites stimmt die Rechnung in der Regel.

Zurück zum Blog
DSGVO-konformes Hosting: Worauf es bei deutschen Kunden ankommt | Robin Herbeck