Zurück zum Blog
01.06.20263 min· Exbil-Team

DSGVO-konformes Hosting — was das wirklich bedeutet

Marketing-Aufkleber "DSGVO" ist überall. Worauf du wirklich achten musst, wenn du als Verein, Solo-Selbstständige oder KMU Daten in Deutschland hostest.

"DSGVO-konformes Hosting" steht inzwischen auf jeder Hosting-Werbung — aber was bedeutet das eigentlich? Und worauf solltest du als Verein, Solo-Selbstständige oder kleines Unternehmen wirklich achten?

Die kurze Version

Du brauchst von deinem Hoster im Wesentlichen vier Dinge:

  1. AVV (Auftragsverarbeitungsvertrag) — Vertragstext der regelt was der Hoster mit deinen Daten machen darf
  2. Server-Location in EU/EWR, idealerweise Deutschland
  3. Keine Datentransfers in Drittländer ohne Garantien
  4. Technische und organisatorische Maßnahmen (TOM) — dokumentiert was der Hoster zum Schutz tut

1. AVV — der Vertrag

Wenn dein Hoster Daten von deinen Nutzer:innen verarbeitet (selbst wenn nur als Hosting-Provider), brauchst du einen AVV nach Art. 28 DSGVO. Das ist Pflicht. Ohne den haftest du als Verantwortlicher voll für die Verarbeitung beim Hoster.

Bei uns liegt der AVV im Kunden-Panel zum Download bereit — du musst nichts anfordern. Du druckst, unterschreibst und behältst ihn für deine eigene DSGVO-Dokumentation.

2. Server-Location

Server in EU/EWR ist DSGVO-Standard. Deutschland (oder Österreich, Niederlande) ist die strengste Auslegung und gibt dir die geringste Angriffsfläche bei Behörden-Anfragen oder DSB-Prüfungen.

Achtung Marketing-Trick: Manche US-Hoster werben mit "Frankfurt-Standort" — der Server steht aber bei AWS / Google Cloud und das US-Mutter­unternehmen unterliegt dem CLOUD Act. Das ist DSGVO-rechtlich heikel. Achte auf "Hoster mit Sitz in DE/EU" plus "Server in DE/EU".

3. Keine Drittland-Transfers

Wenn dein Hoster Subunternehmer in den USA hat (Logging-Provider, CDN, Mail-Provider), brauchen die entsprechende Sicherungen (SCC + TIA). Frag nach der Subunternehmer-Liste.

Bei uns sind alle Subunternehmer in der EU bzw. wir betreiben sie selbst. Steht im AVV-Anhang.

4. TOMs dokumentiert

Technische und organisatorische Maßnahmen — Verschlüsselung, Zugangskontrolle, Backup-Konzept, Mitarbeiter-Schulungen, etc. Sollte als PDF beim AVV mit dabei sein.

Was du selbst tun musst

Auch der DSGVO-konformste Hoster nimmt dir nicht alles ab:

  • Cookie-Banner auf deiner Seite muss konform sein (TTDSG)
  • Datenschutzerklärung muss den Hoster benennen
  • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) musst du führen
  • Meldepflicht bei Datenpannen liegt bei dir (innerhalb 72h an Aufsichtsbehörde)

Checkliste vor der Buchung

  • Hat der Hoster einen AVV-Standard ohne dass ich anfragen muss?
  • Sind die Server in EU/EWR (am besten DE)?
  • Sitz des Unternehmens in EU/EWR?
  • Gibt es eine Liste der Subunternehmer mit Standorten?
  • Gibt es dokumentierte TOMs?
  • Backup-Strategie transparent kommuniziert?
  • Verschlüsselung at-rest UND in-transit?

Wenn alle Punkte erfüllt sind: gut. Wenn ein Punkt fehlt: nachfragen oder weitersuchen.

Fazit

DSGVO-Hosting ist kein Marketing-Label sondern ein Set von Voraussetzungen die du systematisch prüfen kannst. Wenn der Hoster zu allen Punkten innerhalb von einer E-Mail-Runde antworten kann, ist das ein gutes Zeichen. Wenn du nach 3 Mails nur Marketing-Sprüche bekommst — Finger weg.