Die meisten Unternehmen glauben, DSGVO-konform zu sein, weil der „Server in Europa steht." Die Realität ist jedoch:
Einen EU-Server zu nutzen bedeutet NICHT, DSGVO-konform zu sein.
Echte DSGVO-Konformität umfasst weit mehr als den Serverstandort: Verträge, Datenflüsse, die Subprozessor-Kette, Sicherheitsmaßnahmen und Verfahren bei Datenschutzverletzungen.
1. Die Rolle des Hosting-Anbieters unter der DSGVO: Verantwortlicher vs. Auftragsverarbeiter
| Rolle | Wer |
|---|---|
| Data Controller (Verantwortlicher) | Das Unternehmen, das die Daten erhebt |
| Data Processor (Auftragsverarbeiter) | Der Hosting-Anbieter |
| Subprocessor (Unterauftragsverarbeiter) | Backup-, CDN-, E-Mail-Dienste |
Gemäß DSGVO Artikel 28 darf ein Verantwortlicher nur mit Auftragsverarbeitern zusammenarbeiten, die ausreichende Sicherheit gewährleisten, und diese Beziehung muss durch einen schriftlichen Auftragsverarbeitungsvertrag (AVV) festgelegt sein.
Wichtige Schlussfolgerung: Einen Hosting-Anbieter zu wählen = eine rechtliche Haftungskette aufzubauen.
2. Pflichtanforderungen fĂĽr DSGVO-konformes Hosting
| Anforderung | Warum |
|---|---|
| AVV-Vertrag | Pflicht gemäß Artikel 28 |
| Subprozessor-Liste | Kontrolle der Datenkette |
| EU-Datenresidenz | Reduziert das Datentransferrisiko |
| VerschlĂĽsselung at rest | Reduziert das Risiko von Datenschutzverletzungen |
| Meldung von Datenschutzverletzungen | 72-Stunden-Regel |
| Prüfungsrecht | Nachweis der Konformität |
Ohne AVV ist DSGVO-konformes Hosting rechtlich nicht möglich.
3. EU- vs. US-Hosting – Auswirkung auf die Performance
| Standort | Latenz fĂĽr EU-Nutzer |
|---|---|
| Server in Deutschland | 18–40 ms |
| Server in London | 22–38 ms |
| Server in New York | 90–112 ms |
Transatlantische Verbindungen fügen ungefähr 70–100 ms zusätzliche Latenz hinzu.
Wenn eine Webanwendung 30 Anfragen stellt:
| Standort | Zusätzliche Latenz |
|---|---|
| EU-Server | ~0 ms |
| US-Server | 30 Ă— 80 ms = 2400 ms |
Das bedeutet, eine Seite kann sich allein wegen des Serverstandorts 2,4 Sekunden langsamer laden.
4. Anbietervergleich: Wo liegt der echte Unterschied?
| Kriterium | Anbieter A | Anbieter B |
|---|---|---|
| AVV | Vorhanden | Nicht vorhanden |
| Subprozessor-Transparenz | Vorhanden | Unklar |
| Datenspeicherort | Nur EU | Global |
| VerschlĂĽsselung | AES-256 | Unklar |
| Backup-Speicherort | EU | USA |
| PrĂĽfungsrecht | Vorhanden | Nicht vorhanden |
Der echte Unterschied liegt nicht in der Hardware, sondern in der Compliance-Kette.
5. Praxisszenario
Stack:
- App-Server → Deutschland
- Backup → USA
- E-Mail → USA
- Analytics → USA
Server steht in der EU, aber die Daten fließen in die USA → DSGVO-Risiko.
Die eigentliche Frage: Wohin schickt das Hosting-Unternehmen Ihre Daten?
6. DSGVO Hosting-Anbieter-Checkliste
- Unterzeichnen Sie einen AVV?
- Gibt es eine Subprozessor-Liste?
- In welchem Land werden Backups gespeichert?
- Wo werden Logs aufbewahrt?
- Aus welchem Land erfolgt der Support-Zugriff?
- Gibt es ein Datenlöschungsverfahren?
- Innerhalb wie vieler Stunden wird im Falle einer Datenschutzverletzung benachrichtigt?
- Gibt es VerschlĂĽsselung at rest?
- VerfĂĽgen Sie ĂĽber ISO 27001?
- Verwenden Sie Standardvertragsklauseln (SCCs)?
7. RisikoĂĽbersicht
| Situation | Risiko |
|---|---|
| EU-Server + AVV | Niedrig |
| EU-Server + kein AVV | Mittel |
| US-Server + SCC | Mittel |
| US-Server + kein SCC | Hoch |
| EU-Server + US-Backup | Mittel |
| EU-Server + US-Subprozessor | Mittel/Hoch |
DSGVO-Bußgeld: €20 Mio. oder 4 % des weltweiten Jahresumsatzes.
8. Fazit: Was ist DSGVO-konformes Hosting?
DSGVO-konformes Hosting =
- EU-Datenspeicherort
- AVV-Vertrag
- Subprozessor-Kontrolle
- VerschlĂĽsselung
- Prozess zur Meldung von Datenschutzverletzungen
- PrĂĽfungsrecht
- Datenlöschungsverfahren
Es handelt sich nicht nur um einen europäischen Server.
Entscheidungsrahmen
| Frage | Wenn die Antwort NEIN lautet |
|---|---|
| Gibt es einen AVV? | Nicht kaufen |
| Liegt das Backup in der EU? | Risiko |
| Gibt es eine Subprozessor-Liste? | Nicht kaufen |
| Gibt es VerschlĂĽsselung? | Nicht kaufen |
| Gibt es einen Datentransfervertrag? | Nicht kaufen |
CTA
Wenn Sie europäische Kunden haben, müssen Sie Ihren Hosting-Anbieter nicht nur nach Performance, sondern auch nach dem rechtlichen und technischen Compliance-Niveau auswählen.
Treffen Sie keine Entscheidung bei der Auswahl eines Hosting-Anbieters, ohne eine technische Checkliste zu verwenden.
Internal Links:
- Was ist die DSGVO und warum ist sie wichtig
- VPS vs. Dedicated-Vergleich
- Web-Hosting-Auswahlratgeber
- Best Practices fĂĽr Server-Sicherheit