DSGVO-konformes Hosting: Anforderungen und Checkliste
„DSGVO-konform“ steht auf vielen Hosting-Seiten — doch was heißt das konkret? Dieser Ratgeber erklärt, was die Datenschutz-Grundverordnung von deinem Hoster verlangt: einen Auftragsverarbeitungsvertrag (AVV) , einen EU-Datenstandort, transparente Subunternehmer und Schutz vor dem US-CLOUD-Act. Am Ende steht eine Checkliste, mit der du einen DSGVO-konformen Cloud-Server auswählst.
DSGVO-konformen Cloud-Server ansehenWer eine Website, App oder Datenbank betreibt und dabei personenbezogene Daten Dritter verarbeitet, ist der Verantwortliche im Sinne der DSGVO. Der Hoster wird dabei zum Auftragsverarbeiter — und muss selbst eine Reihe von Pflichten erfüllen, damit dein Betrieb rechtskonform bleibt. Wo die Daten liegen und wer rechtlich auf sie zugreifen kann, entscheidet oft mehr als jedes Sicherheits-Feature.
Was die DSGVO von einem Hoster verlangt
- AVV: Nach Art. 28 DSGVO Pflicht, sobald ein Hoster personenbezogene Daten in deinem Auftrag verarbeitet. Ohne Auftragsverarbeitungsvertrag ist der Betrieb rechtswidrig.
- Datenstandort: Server und Backups sollten in der EU/EWR stehen, damit keine Drittlandübermittlung nötig wird.
- Transparente Subunternehmer: Der Hoster muss offenlegen, welche Subauftragsverarbeiter (z. B. für Backup oder Monitoring) er einsetzt.
- Technische und organisatorische Maßnahmen (TOMs): dokumentierte Sicherheitsmaßnahmen wie Zugriffskontrolle, Verschlüsselung und geordnete Snapshots und Backups .
- Löschung und Datenportabilität: Zusagen, dass Daten auf Wunsch vollständig gelöscht oder exportiert werden.
EU-Hoster vs. US-CLOUD-Act
Der US-CLOUD-Act verpflichtet US-Unternehmen, gespeicherte Daten auf Anordnung von US-Behörden herauszugeben — selbst dann, wenn die Server physisch in der EU stehen. Auch eine europäische Tochter eines US-Konzerns kann davon erfasst sein. Genau hier setzte das Schrems-II-Urteil an: Die bloße Wahl einer EU-Region genügt nicht, wenn der Anbieter im Kern US-Recht unterliegt.
| Kriterium | EU-Hoster (z. B. Frankfurt) | US-Hyperscaler / US-Tochter |
|---|---|---|
| Anwendbares Recht | EU/DE-Recht, DSGVO | Auch US-Recht (CLOUD Act) |
| Behördenzugriff | Nur nach EU-Recht | US-Behörden können Herausgabe verlangen |
| Drittlandtransfer | Nicht nötig | Rechtlich möglich, Schrems-II-Risiko |
| AVV | Nach EU-Muster | Oft mit Standardvertragsklauseln |
| Datenstandort-Garantie | Explizit EU/EWR | Region wählbar, Konzern global |
Frankfurt und EU-Datenresidenz
Bthorio ist ein unabhängiges, europäisches Unternehmen mit Rechenzentrum in Frankfurt am Main. Deine Daten bleiben in der EU und sind nicht dem Zugriff über den US-CLOUD-Act ausgesetzt. Einen AVV stellen wir auf Anfrage bereit, das Rechenzentrum ist CO₂-neutral, und der Support antwortet auf Deutsch und Englisch in deiner Zeitzone.
Checkliste für DSGVO-konformes Hosting
- Steht ein AVV nach Art. 28 DSGVO vor Vertragsbeginn bereit?
- Liegen Server und Backups nachweislich in der EU/EWR?
- Ist der Anbieter ein EU-Unternehmen ohne Bindung an den US-CLOUD-Act?
- Sind alle Subunternehmer transparent gelistet?
- Gibt es dokumentierte TOMs und ein Löschkonzept?
- Ist der Support in deiner Sprache und Zeitzone erreichbar?