Hosting & DSGVO: Warum der Server-Standort zählt, und was im AVV nicht fehlen darf

Server in Deutschland, AVV vom Hoster unterschrieben, und trotzdem DSGVO-Risiko? Dieser Artikel erklärt, warum Server-Standort allein nicht reicht, was Schrems II und der CLOUD Act für dein Hosting bedeuten, und welche Klauseln im Auftragsverarbeitungsvertrag nach Art. 28 DSGVO häufig fehlen oder nichts taugen.

Von Sascha Braun··Zuletzt geprüft: 01. Juli 2026·9 Min LesezeitFortgeschritten

Teil 5 von 5: DSGVO-Checkliste

DSGVO-konformes Hosting beginnt nicht beim Serverstandort

Wer nach einem DSGVO-konformen Hosting sucht, denkt zuerst an den Serverstandort. Rechenzentrum in Deutschland, am besten mit ISO-27001-Zertifikat, fertig. Diese Annahme ist unvollständig und in einem entscheidenden Punkt falsch. Drei Ebenen bestimmen gemeinsam, ob dein Hosting datenschutzrechtlich standhält: der physische Standort des Rechenzentrums, die juristische Eigentumsstruktur des Anbieters und die Kette der Sub-Auftragsverarbeiter dahinter. Dazu kommt die gesetzliche Pflicht, mit jedem Hoster einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zu schließen, bevor die erste IP-Adresse deiner Besucher auf dessen Server landet. Dieser Artikel, der fünfte Teil der DSGVO-Checkliste, schließt die technisch-rechtliche Lücke, die in den vorangegangenen Teilen zu Impressum und Datenschutzerklärung, Google Fonts und externen Diensten sowie Cookie-Bannern offen geblieben ist.


Warum der Serverstandort allein nicht schützt

Die drei Ebenen der Hosting-Compliance

Der weit verbreitete Irrtum lautet: Server in Frankfurt = DSGVO-konform. Ein Gutachten der Universität Köln, das im Dezember 2025 nach einer Anfrage nach dem Informationsfreiheitsgesetz öffentlich wurde, räumt damit auf. Nicht der physische Standort eines Servers entscheidet darüber, wer Zugriff auf die darauf liegenden Daten hat, sondern wer das Unternehmen kontrolliert, das den Server betreibt. Steht dahinter ein US-Konzern, gilt amerikanisches Recht.

Die drei Ebenen im Überblick:

Ebene 1: Physischer Serverstandort Liegt das Rechenzentrum in der EU, gilt die DSGVO vollumfänglich, ergänzt durch das BDSG. Das verschafft eine erste rechtliche Ausgangsposition, ist aber keine Garantie.

Ebene 2: Juristische Eigentumsstruktur des Anbieters Technisch laufen die Server in Deutschland. Rechtlich bleibt das Mutterunternehmen ein US-Konzern, der dem CLOUD Act unterliegt. Damit gilt eine theoretische Zugriffsmöglichkeit von US-Behörden auch dann, wenn die Daten physisch in Frankfurt liegen. Amazon, Microsoft und Google sind US-Unternehmen und ihre deutschen Rechenzentren ändern daran nichts.

Ebene 3: Sub-Auftragsverarbeiter-Konstellation Auch ein europäischer Anbieter kann Rechenzentrumsleistungen, Backup-Infrastruktur oder Netzwerkdienste von Drittanbietern beziehen. Wenn diese Kette nicht vollständig im AVV abgebildet ist, entsteht eine unkontrollierte Verarbeitungskette: juristisch ein offenes Flankenrisiko.

Schrems II: Das Urteil, das die Spielregeln neu schrieb

Im Juli 2020 erklärte der EuGH mit dem Schrems-II-Urteil (C-311/18) das EU-US Privacy Shield für ungültig. Der Kern: Personenbezogene Daten dürfen nur in Drittländer übermittelt werden, wenn dort ein im Wesentlichen gleichwertiger Schutz gewährleistet ist wie in der EU. Die USA erfüllen diese Anforderung nicht, weil US-Behörden nach FISA Section 702 auch ohne richterliche Anordnung auf personenbezogene Daten zugreifen können.

Das Urteil hat drei direkte Konsequenzen für das Webhosting:

  1. Privacy Shield ist ungültig. Wer sich 2025/26 noch darauf beruft, steht auf verlorenem Posten.

  2. Standardvertragsklauseln (SCCs) bleiben gültig, aber nicht automatisch ausreichend. Unternehmen müssen im Einzelfall prüfen, ob SCCs den erforderlichen Schutz tatsächlich bieten. Ein Transfer Impact Assessment (TIA) ist in Drittland-Konstellationen Pflicht.

  3. Fernzugriff aus einem Drittland zählt als Übermittlung. Selbst wenn der Server in der EU steht, aber ein US-Dienstleister administrativen Fernzugriff hat, wertet der Europäische Datenschutzausschuss (EDSA) das als Übermittlung im Sinne der DSGVO.

CLOUD Act: Wenn der US-Staat klopft

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act), seit 2018 in Kraft, verpflichtet in den USA ansässige Cloud-Anbieter, Daten auf Anforderung von US-Behörden herauszugeben. Unabhängig davon, wo sich diese Daten physisch befinden. Entscheidend ist die Kontrolle über das Unternehmen, nicht der Standort des Rechenzentrums.

Das bedeutet konkret: Ein AWS-Server in Frankfurt unterliegt US-Recht, wenn Amazon eine entsprechende Behördenanfrage erhält. Microsoft berichtete für das erste Halbjahr 2025 insgesamt 28.593 Behördenanfragen weltweit, davon 6.288 von US-Strafverfolgungsbehörden und 31 Prozent davon mit Geheimhaltungsanordnungen (Gag Orders). Die betroffenen Kunden erfahren davon unter Umständen nichts.

Seit September 2025 ist der EU Data Act vollständig anwendbar. Er verpflichtet Cloud-Anbieter, technische und organisatorische Maßnahmen zu implementieren, die unrechtmäßigen Zugriff von Nicht-EU-Regierungen auf in Europa gespeicherte Daten verhindern. US-Anbieter stecken damit in einem direkten Normkonflikt: CLOUD Act verlangt Herausgabe, EU Data Act verlangt Prävention.

Praktische Konsequenz für die Hoster-Wahl: Wer datenschutzrechtlich auf der sicheren Seite bleiben will, wählt einen Anbieter mit Unternehmenssitz in der EU, nicht nur Rechenzentrum in der EU. Für regulierte Branchen (Gesundheit, Finanzen, kritische Infrastruktur) ist das faktisch keine Empfehlung mehr, sondern Pflicht.


Der AVV nach Art. 28 DSGVO: Was hineinmuss

Jeder Webhoster, der personenbezogene Daten deiner Besucher verarbeitet, wie IP-Adressen, Kontaktformulareinsendungen, Zugangsdaten, ist dein Auftragsverarbeiter. Der Gesetzgeber schreibt in Art. 28 DSGVO vor: Vor Beginn der Datenverarbeitung muss ein schriftlicher AVV vorliegen. Nicht danach. Nicht gleichzeitig. Vorher.

Fehlt der AVV oder ist er unvollständig, drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO. Auch dann, wenn kein Datenschutzschaden eingetreten ist.

Die Pflichtinhalte nach Art. 28 Abs. 3 DSGVO

Art. 28 Abs. 3 DSGVO definiert verbindliche Mindestinhalte. Fehlt auch nur eine Klausel, ist der Vertrag mangelhaft:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung: konkret beschrieben, nicht als Generalklausel

  • Datenkategorien und betroffene Personengruppen: z. B. IP-Adressen und Logdaten aller Websitebesucher

  • Weisungsgebundenheit: der Hoster darf Daten nur nach deinen dokumentierten Anweisungen verarbeiten

  • Vertraulichkeitsverpflichtung: alle Mitarbeitenden des Hosters mit Datenzugriff müssen schriftlich zur Verschwiegenheit verpflichtet sein

  • Technische und organisatorische Maßnahmen (TOMs): als konkrete Anlage, nicht als Floskel

  • Regelung zu Unterauftragsverarbeitern: Genehmigungsmodell und aktuelle Liste

  • Unterstützung bei Betroffenenrechten: Fristen und Verfahren

  • Meldepflicht bei Datenpannen: inkl. Reaktionsfristen

  • Löschung oder Rückgabe der Daten nach Vertragsende

  • Audit- und Kontrollrechte des Verantwortlichen


Die häufigsten AVV-Lücken beim Webhosting

Laut Bitkom sind 70 Prozent der in der Praxis verwendeten AVVs unvollständig, besonders bei TOM und Unterauftragnehmer-Regelungen. Die folgenden Fehler sind in Audits am häufigsten anzutreffen.

Lücke 1: Pauschale TOM-Anlage

Der häufigste Fehler: Die TOM-Anlage beschreibt Maßnahmen wie „Firewall, Antivirenprogramm, Backup", ohne Bezug zur konkreten Hosting-Architektur. Für Aufsichtsbehörden ist das unzureichend. Art. 32 DSGVO verlangt Maßnahmen, die dem Risiko der konkreten Verarbeitung angemessen sind. Eine generische Anlage aus dem Jahr 2021, die nie aktualisiert wurde, erfüllt diese Anforderung nicht.

Was eine aussagekräftige TOM-Anlage enthalten sollte:

  • Verschlüsselung im Transit (TLS) und at rest

  • Rollenbasierte Zugriffskonzepte mit nachgewiesenem Least-Privilege-Prinzip

  • Protokollierung und Monitoring

  • Backup-Konzept mit Wiederherstellungszeiten (RTO/RPO)

  • Patch-Management-Prozesse

  • Physische Zugangskontrollen zum Rechenzentrum

Lücke 2: Unterauftragsverarbeiter nicht vollständig abgebildet

Viele Hoster setzen für Rechenzentrumsleistungen, CDN, DNS oder Backup weitere Dienstleister ein, teils in Drittländern. Wenn der AVV eine Drittlandsübermittlung ausschließt, in der Unterauftragnehmer-Liste aber US-Dienste stehen, entsteht ein direkter Widerspruch. Dieser Widerspruch fällt bei jeder Prüfung auf.

Prüfe daher immer: Gibt der Hoster eine vollständige, aktuelle Liste seiner Sub-Auftragsverarbeiter heraus? Wird diese Liste bei Änderungen aktiv kommuniziert? Und hast du ein Widerspruchsrecht, wenn ein neuer Sub-Auftragsverarbeiter hinzukommt?

Lücke 3: Audit-Rechte auf Selbstauskünfte reduziert

Art. 28 Abs. 3 lit. h DSGVO verlangt, dass der Verantwortliche Audits beim Auftragsverarbeiter durchführen oder beauftragen kann. In der Praxis formulieren viele große Anbieter diese Klausel so eng, dass als „Audit" nur die Vorlage eines ISO-27001-Zertifikats oder einer SOC-2-Bescheinigung gilt. Ein Vor-Ort-Audit ist dann ausgeschlossen oder kostenpflichtig.

Für KMU ohne Verhandlungsmacht ist das eine akzeptable Realität. Wer aber besondere Datenkategorien verarbeitet oder in einer regulierten Branche tätig ist, sollte auf vertragliche Konkretisierung bestehen, oder einen Anbieter wählen, der echte Audit-Rechte ohne Zusatzkosten einräumt.

Lücke 4: Kein laufender Kontrollzyklus

Ein AVV, der einmal unterzeichnet und danach in der Schublade verschwindet, schützt bei einer Datenpanne wenig. Aufsichtsbehörden erwarten eine regelmäßige Überprüfung, in der Praxis mindestens jährlich. Das betrifft sowohl den Vertrag selbst als auch die TOM-Anlage und die Unterauftragnehmer-Liste. Wer bereits ein Datenschutzaudit etabliert hat, kann die AVV-Prüfung dort integrieren.

Lücke 5: AVV nachträglich abgeschlossen

Dieses Szenario ist häufiger als angenommen: Der Hoster-Vertrag ist aktiv, die Website läuft seit Wochen und der AVV soll „noch nachgereicht werden". Das ist ein vollendeter Datenschutzverstoß. Das Bußgeldrisiko für den vergangenen Zeitraum lässt sich nachträglich nicht mehr beseitigen.


Deinen Hoster prüfen: Die Checkliste

Bevor du einen Hosting-Anbieter beauftragst oder deinen bestehenden Vertrag überprüfst, gehe die folgenden Punkte durch:

Zur Unternehmensstruktur

  • Unternehmenssitz des Anbieters in der EU (nicht nur Rechenzentrum in der EU)?

  • Keine US-Muttergesellschaft, die CLOUD-Act-Risiken erzeugt?

  • Angemessenheitsbeschluss oder SCC + TIA vorhanden, falls doch ein Drittlandtransfer im Spiel ist?

Zum AVV

  • AVV vor Start der Verarbeitung abgeschlossen, schriftlich oder elektronisch nachweisbar?

  • Alle Pflichtinhalte nach Art. 28 Abs. 3 DSGVO vorhanden?

  • TOM-Anlage konkret und auf die Hosting-Architektur zugeschnitten, kein Generikum?

  • Vollständige und aktuelle Unterauftragnehmer-Liste vorhanden?

  • Widerspruchsrecht bei neuen Sub-Auftragsverarbeitern geregelt?

  • Audit-Rechte vertraglich gesichert (nicht nur Zertifikate)?

  • Fristen für Datenpannen-Meldungen konkret benannt?

  • Lösch- und Rückgaberegelung für Vertragsende vorhanden?

Zu den TOMs

  • Verschlüsselung in Transit und at rest dokumentiert?

  • Zugriffskonzept mit Protokollierung beschrieben?

  • Backup-Konzept mit konkreten RTO/RPO-Werten?

  • ISO-27001-Zertifikat oder vergleichbarer Nachweis aktuell gültig?

Zur Datenschutzerklärung deiner Website

  • Hosting-Anbieter mit Serverstandort und Rechtsgrundlage in der Datenschutzerklärung benannt?

  • AVV in der Datenschutzerklärung als Grundlage der Datenübermittlung erwähnt?

Die vollständige Basis für eine rechtssichere Datenschutzerklärung haben wir im vierten Teil dieser Serie behandelt: Datenschutzerklärung und Impressum: die 12 häufigsten Fehler.


EU-Anbieter im DACH-Markt: Was 2026 produktionsreif ist

Der Markt für souveräne Cloud-Dienste wächst. Wer aus Compliance-Gründen auf EU-Cloud setzen will, hat 2026 mehr Optionen als noch vor wenigen Jahren:

Hetzner: Deutsches Unternehmen, Rechenzentren in Falkenstein, Nürnberg und Helsinki. Sehr günstig, hervorragend für klassische Webhosting- und Datenbank-Workloads. Kein CLOUD-Act-Risiko.

IONOS: Deutsches Unternehmen, breites Portfolio inklusive Managed Hosting, ISO-27001-zertifiziert. Etwas teurer, aber mit mehr Managed-Service-Tiefe.

OVHcloud: Französisches Unternehmen, Rechenzentren in Frankreich und Deutschland, reines EU-Recht. Größeres Cloud-Angebot inklusive Managed Kubernetes.

Für alle drei gilt: Ein AVV ist standardmäßig verfügbar und sollte aktiv angefordert und geprüft werden. Er liegt nicht automatisch einem aktiven Vertrag bei.


Fazit: Der Serverstandort ist Bedingung, nicht Garantie

DSGVO-konformes Hosting ist kein Zustand, den du einmal erreichst und dann abhakst. Es ist eine kontinuierliche Prüfpflicht: Stimmt die Unternehmensstruktur des Anbieters noch? Ist der AVV aktuell? Haben sich Sub-Auftragsverarbeiter geändert? Sind die TOMs noch auf dem Stand der Technik?

Die gute Nachricht: Wer einen EU-Anbieter mit Unternehmenssitz in der EU wählt, einen vollständigen AVV abschließt und die Checkliste oben einmal durcharbeitet, hat das rechtliche Fundament gelegt. Was dann noch fehlt, ist die konsequente Umsetzung auf der gesamten Website, von der DSGVO-Checkliste für alle 10 Pflichtpunkte bis zum korrekten Cookie-Banner nach TDDDG.

Bei zyntix hosten wir alle Kundenprojekte auf EU-Infrastruktur mit Serverstandort Deutschland. Der AVV ist Bestandteil jedes Hostingvertrags. Wenn du deinen aktuellen Hoster prüfen lassen oder zu einer datenschutzkonformen Infrastruktur wechseln möchtest: Vereinbare ein kostenloses Beratungsgespräch oder konfiguriere dein Hosting direkt im Konfigurator.


Quellen

  1. DataFirst Solutions: Hosting in Deutschland vs. US-Cloud: die rechtliche Lage 2026, https://www.datafirstsolutions.de/wissen/dsgvo-konformes-tracking/hosting-deutschland-vs-us-cloud

  2. netfiles: CLOUD Act: Risiko & Lösung für EU-Firmen, https://www.netfiles.com/de/blog/cloud-act-risiko-fuer-unternehmen

  3. Never Code Alone: Cloud Act: US-Zugriff auf EU-Daten trotz deutschem Server (Dezember 2025), https://blog.nevercodealone.de/us-zugriff-auf-europaeische-cloud-daten-was-developer-und-it-entscheider-jetzt-wissen-muessen/

  4. Markt und Mittelstand: Die Cloud-Lüge: Warum "Made in Germany" auf dem Server nichts bedeutet, https://www.marktundmittelstand.de/technologie/ihre-daten-in-us-clouds

  5. BfDI: Internationale Datenübermittlung und Schrems II Urteil, https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html

  6. lewento.de: Welche Rolle spielt der Serverstandort, https://www.lewento.de/mediathek/beitraege/datenschutz-welche-rolle-spielt-der-serverstandort

  7. ing-ism.de: AVV nach Art. 28 DSGVO: Pflicht, Inhalte und häufige Fehler, https://www.ing-ism.de/magazin/auftragsverarbeitung-art-28-dsgvo-avv/

  8. windweiss.de: Auftragsverarbeitungsvertrag 2026: AVV richtig prüfen, https://www.windweiss.de/ratgeber/auftragsverarbeitungsvertrag/

  9. ENSECUR: Auftragsverarbeitungsvertrag: 5 häufige Fehler und Lösungen, https://www.ensecur.de/auftragsverarbeitungsvertrag-fehler/

  10. fraghugo.de: AVV Auftragsverarbeitung: Muster, Inhalt und typische Fehler, https://www.fraghugo.de/avv-auftragsverarbeitung-muster-praxistipps/

  11. kiteworks.com: EU Data Act, DSGVO und US CLOUD Act im Konflikt, https://www.kiteworks.com/de/dsgvo-compliance/eu-data-act-dsgvo-cloud-konflikt/

  12. INREMA: Auftragsverarbeitung: Welche Verträge Unternehmen mit Dienstleistern brauchen, https://www.inrema.de/wissen/datenschutz-compliance/auftragsverarbeitung-welche-vertraege-unternehmen-mit-ihren-dienstleistern-brauchen/

Teilen:
Inhalt

Der nächste Artikel direkt in dein Postfach

Kein Spam, nur neue Artikel, kompakt zusammengefasst.

Du kannst dich jederzeit abmelden. Datenschutz

Sascha Braun

Sascha Braun

Lead Web Architect & Infrastructure Engineer

Gründer von Zyntix Labs und leidenschaftlicher Entwickler mit Schwerpunkt auf Webentwicklung, Hosting-Infrastruktur und Automatisierung. Arbeitet täglich an performanten Webseiten, stabilen Serverarchitekturen und effizienten Entwicklungsworkflows, um Unternehmen moderne und zuverlässige Weblösungen bereitzustellen.