Ratgeber

DSGVO-konformes Hosting: Anforderungen und Checkliste

„DSGVO-konform“ steht auf vielen Hosting-Seiten — doch was heißt das konkret? Dieser Ratgeber erklärt, was die Datenschutz-Grundverordnung von deinem Hoster verlangt: einen Auftragsverarbeitungsvertrag (AVV) , einen EU-Datenstandort, transparente Subunternehmer und Schutz vor dem US-CLOUD-Act. Am Ende steht eine Checkliste, mit der du einen DSGVO-konformen Cloud-Server auswählst.

DSGVO-konformen Cloud-Server ansehen

Wer eine Website, App oder Datenbank betreibt und dabei personenbezogene Daten Dritter verarbeitet, ist der Verantwortliche im Sinne der DSGVO. Der Hoster wird dabei zum Auftragsverarbeiter — und muss selbst eine Reihe von Pflichten erfüllen, damit dein Betrieb rechtskonform bleibt. Wo die Daten liegen und wer rechtlich auf sie zugreifen kann, entscheidet oft mehr als jedes Sicherheits-Feature.

Was die DSGVO von einem Hoster verlangt

  • AVV: Nach Art. 28 DSGVO Pflicht, sobald ein Hoster personenbezogene Daten in deinem Auftrag verarbeitet. Ohne Auftragsverarbeitungsvertrag ist der Betrieb rechtswidrig.
  • Datenstandort: Server und Backups sollten in der EU/EWR stehen, damit keine Drittlandübermittlung nötig wird.
  • Transparente Subunternehmer: Der Hoster muss offenlegen, welche Subauftragsverarbeiter (z. B. für Backup oder Monitoring) er einsetzt.
  • Technische und organisatorische Maßnahmen (TOMs): dokumentierte Sicherheitsmaßnahmen wie Zugriffskontrolle, Verschlüsselung und geordnete Snapshots und Backups .
  • Löschung und Datenportabilität: Zusagen, dass Daten auf Wunsch vollständig gelöscht oder exportiert werden.

EU-Hoster vs. US-CLOUD-Act

Der US-CLOUD-Act verpflichtet US-Unternehmen, gespeicherte Daten auf Anordnung von US-Behörden herauszugeben — selbst dann, wenn die Server physisch in der EU stehen. Auch eine europäische Tochter eines US-Konzerns kann davon erfasst sein. Genau hier setzte das Schrems-II-Urteil an: Die bloße Wahl einer EU-Region genügt nicht, wenn der Anbieter im Kern US-Recht unterliegt.

EU-Hoster im Vergleich zu US-Anbietern
KriteriumEU-Hoster (z. B. Frankfurt)US-Hyperscaler / US-Tochter
Anwendbares RechtEU/DE-Recht, DSGVOAuch US-Recht (CLOUD Act)
BehördenzugriffNur nach EU-RechtUS-Behörden können Herausgabe verlangen
DrittlandtransferNicht nötigRechtlich möglich, Schrems-II-Risiko
AVVNach EU-MusterOft mit Standardvertragsklauseln
Datenstandort-GarantieExplizit EU/EWRRegion wählbar, Konzern global

Frankfurt und EU-Datenresidenz

Bthorio ist ein unabhängiges, europäisches Unternehmen mit Rechenzentrum in Frankfurt am Main. Deine Daten bleiben in der EU und sind nicht dem Zugriff über den US-CLOUD-Act ausgesetzt. Einen AVV stellen wir auf Anfrage bereit, das Rechenzentrum ist CO₂-neutral, und der Support antwortet auf Deutsch und Englisch in deiner Zeitzone.

Checkliste für DSGVO-konformes Hosting

  • Steht ein AVV nach Art. 28 DSGVO vor Vertragsbeginn bereit?
  • Liegen Server und Backups nachweislich in der EU/EWR?
  • Ist der Anbieter ein EU-Unternehmen ohne Bindung an den US-CLOUD-Act?
  • Sind alle Subunternehmer transparent gelistet?
  • Gibt es dokumentierte TOMs und ein Löschkonzept?
  • Ist der Support in deiner Sprache und Zeitzone erreichbar?

Häufig gestellte Fragen