DSGVO-konformes Hosting in Deutschland: Anbieter im Vergleich

Warum der Serverstandort für die DSGVO entscheidend ist

Wenn ein Besucher Ihre Website aufruft, wird seine IP-Adresse vom Server verarbeitet. Die IP-Adresse gilt als personenbezogenes Datum im Sinne der DSGVO – sie ermöglicht unter Umständen die Identifizierung einer natürlichen Person. Das bedeutet: Mit jedem Seitenaufruf findet eine Verarbeitung personenbezogener Daten statt, und zwar auf dem Server Ihres Hosting-Anbieters.

Liegt dieser Server in Deutschland oder der EU, ist die Sache einfach: Die DSGVO gilt unmittelbar, keine besonderen Übermittlungspflichten, kein Drittlandtransfer. Liegt der Server in den USA oder einem anderen Drittland ohne angemessenes Datenschutzniveau, wird jeder Seitenaufruf rechtlich problematisch. Dann müssen Sie geeignete Garantien nach Art. 46 DSGVO nachweisen – zum Beispiel durch Standardvertragsklauseln (SCCs) – oder eine Einwilligung einholen. Beides ist in der Praxis für eine einfache Unternehmenswebsite kaum handhabbar.

Für Webdesigner und ihre Kunden gilt daher als Grundregel: Hosting bei einem Anbieter mit Serverstandort in Deutschland oder der EU ist der einfachste Weg zu DSGVO-Konformität. Es entfällt das Drittlandtransfer-Problem, der Auftragsverarbeitungsvertrag (AVV) ist unkomplizierter, und das Risiko von Behördenanfragen aus Drittstaaten ist minimal.

Darüber hinaus hat die Wahl des Hosting-Anbieters Auswirkungen auf Ihre Datenschutzerklärung: Sie müssen darin den Hosting-Anbieter, dessen Serverstandort und den Zweck der Datenverarbeitung benennen. Mit einem deutschen Anbieter sind diese Angaben kurz und eindeutig. Mit einem US-Anbieter – selbst mit EU-Servern – werden die Erläuterungen zu Drittlandtransfer, CLOUD Act und Standardvertragsklauseln schnell umfangreich und für Laien kaum verständlich.

Anbieter im Vergleich: Hetzner, IONOS, netcup, AWS

Hetzner – Beste Wahl für Entwickler

Hetzner Online GmbH mit Sitz in Gunzenhausen, Bayern, betreibt Rechenzentren in Falkenstein (Sachsen), Nürnberg (Bayern) und Helsinki (Finnland). Das Unternehmen ist seit 1997 aktiv, vollständig in deutschem Familienbesitz und nach ISO/IEC 27001 zertifiziert. Für Entwickler und technisch versierte Nutzer ist Hetzner die klare Empfehlung: Das Preis-Leistungs-Verhältnis im Cloud- und Dedicated-Server-Bereich ist in Europa kaum zu übertreffen.

Ein Cloud-Server (CX22) mit 2 vCPUs, 4 GB RAM und 40 GB SSD kostet bei Hetzner rund 4,35 Euro pro Monat – vergleichbare Instanzen kosten bei AWS Frankfurt das Drei- bis Fünffache. Der AVV ist online verfügbar und kann direkt im Kundenportal unterzeichnet werden. Hetzner stellt außerdem eine transparente Liste der eingesetzten Subunternehmer bereit.

IONOS – Beste Wahl für Einsteiger

IONOS SE (ehemals 1&1 Internet, Teil der United Internet AG) ist mit über 8 Millionen Kunden einer der größten Hosting-Anbieter Europas. Der Hauptsitz liegt in Montabaur, Deutschland; die Rechenzentren befinden sich in Deutschland (Berlin, Karlsruhe), Spanien, den USA und weiteren Standorten. Wichtig für DSGVO: Bei IONOS können Sie den Serverstandort explizit auf Deutschland oder Europa einschränken.

IONOS bietet Managed WordPress Hosting, Website-Builder und klassisches Webhosting mit umfangreichem Support. Das ist für Kunden ohne technische Erfahrung ein klarer Vorteil. Der AVV ist online abrufbar und wird automatisch beim Vertragsabschluss eingeschlossen. Preis für Webhosting (Shared) ab ca. 1 Euro/Monat (Einführungsangebot), regulär ab 4 Euro/Monat.

netcup – Bestes Preis-Leistungs-Verhältnis für VPS

netcup GmbH mit Sitz in Karlsruhe betreibt eigene Rechenzentren in Nürnberg und Wien. Das Unternehmen ist vollständig in deutschem Privatbesitz und auf virtuelle Server (VPS/VDS) sowie Root-Server spezialisiert. Netcup bietet regelmäßig attraktive Aktionsangebote: VPS-Instanzen mit 4 vCPUs, 8 GB RAM und 160 GB SSD sind häufig für unter 10 Euro/Monat erhältlich.

Der AVV ist im Kundenbereich verfügbar. Für technisch versierte Nutzer, die nach Hetzner nach einer Alternative suchen, ist netcup eine gute Wahl. Der Support ist erreichbar, aber nicht so schnell wie bei größeren Anbietern. Die ISO 27001 Zertifizierung ist für ausgewählte Dienste vorhanden.

AWS Frankfurt – Enterprise-Option mit CLOUD-Act-Vorbehalt

Amazon Web Services (AWS) betreibt in Frankfurt eine der größten Cloud-Infrastrukturen in Europa (Region eu-central-1). Für Enterprise-Kunden, die globale Skalierbarkeit, ein breites Service-Portfolio und etablierte Compliance-Zertifizierungen (ISO 27001, SOC 2, BSI C5) benötigen, ist AWS eine realistische Option.

AWS stellt einen DSGVO-konformen AVV (Data Processing Addendum, DPA) bereit, und die Daten können physisch in Frankfurt gespeichert werden. Das Problem bleibt der CLOUD Act (siehe unten). Für öffentliche Stellen, Unternehmen mit sensiblen Daten oder nach BSI-Grundschutz zertifizierte Umgebungen ist AWS Frankfurt deshalb nur mit umfangreichem Rechts- und Compliance-Aufwand einsetzbar.

Anbieter	Serverstandort	Zielgruppe	Preis (VPS/Cloud)	ISO 27001	CLOUD Act Risiko
Hetzner	Deutschland / Finnland	Entwickler, Tech-affine Nutzer	ab 4,35 €/Monat	Ja	Nein
IONOS	Deutschland / EU wählbar	Einsteiger, KMU	ab 4 €/Monat	Ja	Nein
netcup	Deutschland / Österreich	Fortgeschrittene, VPS-Nutzer	ab 5 €/Monat	Teilweise	Nein
AWS Frankfurt	Frankfurt (eu-central-1)	Enterprise, Global-Scale	ab 15 €/Monat	Ja	Ja (US-Konzern)

Worauf Sie beim Hosting-Anbieter achten müssen

1. Serverstandort und Rechtsrahmen

Der Serverstandort allein reicht nicht. Entscheidend ist auch, welchem Rechtsrahmen der Anbieter unterliegt. Ein Server in Frankfurt, der von einem US-Unternehmen betrieben wird, unterliegt dem US-Recht – inklusive CLOUD Act. Für maximale DSGVO-Sicherheit wählen Sie einen Anbieter, dessen Muttergesellschaft ihren Sitz in der EU hat.

2. Auftragsverarbeitungsvertrag (AVV)

Nach Art. 28 DSGVO ist ein AVV mit jedem Auftragsverarbeiter verpflichtend – also auch mit Ihrem Hosting-Anbieter. Der AVV muss folgende Punkte regeln: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten und Rechte des Verantwortlichen sowie technische und organisatorische Maßnahmen (TOMs).

3. ISO 27001 Zertifizierung

Die ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Eine Zertifizierung nach ISO 27001 bestätigt, dass der Anbieter systematisch Sicherheitsrisiken identifiziert und kontrolliert. Für die DSGVO ist ISO 27001 zwar keine Pflicht, aber ein starkes Indiz für ausreichende technische und organisatorische Maßnahmen (Art. 32 DSGVO). Aufsichtsbehörden werten eine ISO 27001 Zertifizierung positiv.

4. Backup-Strategie

Die DSGVO verlangt in Art. 32 Abs. 1 lit. c die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen sowie die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Backups sind also DSGVO-Pflicht, nicht nur technische Empfehlung.

• Tägliche automatische Backups (mindestens 7 Tage Aufbewahrung)
• Backups auf geographisch getrennten Servern
• Regelmäßige Tests der Wiederherstellbarkeit
• Verschlüsselter Backup-Transport und -Speicher

5. Support und Reaktionszeit

Bei einem Datenschutzvorfall (Data Breach) haben Sie nach Art. 33 DSGVO 72 Stunden Zeit, um die zuständige Aufsichtsbehörde zu informieren. Das setzt voraus, dass Sie selbst schnell informiert werden und Ihr Hosting-Anbieter kooperiert. Prüfen Sie vor Vertragsabschluss: Gibt es einen dedizierten Ansprechpartner für Sicherheitsvorfälle? Wie schnell reagiert der Support? Verfügt der Anbieter über ein eigenes CERT-Team?

Risiken bei US-amerikanischen Anbietern (CLOUD Act)

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) wurde 2018 in den USA verabschiedet. Er verpflichtet US-amerikanische Unternehmen dazu, Daten, die sie kontrollieren, auf Anfrage US-amerikanischer Strafverfolgungsbehörden herauszugeben – unabhängig davon, wo die Daten physisch gespeichert sind. Das gilt ausdrücklich auch für Daten, die in europäischen Rechenzentren liegen.

Konkret bedeutet das: Wenn Sie AWS, Google Cloud, Microsoft Azure, Cloudflare oder andere US-Dienste nutzen und US-Behörden einen entsprechenden Gerichtsbeschluss erwirken, kann der Anbieter verpflichtet werden, Ihre Daten – und damit die Daten Ihrer Kunden und Website-Besucher – herauszugeben. Ob das im Widerspruch zur DSGVO steht, ist juristisch umstritten. Klar ist aber: Europäische Aufsichtsbehörden betrachten den CLOUD Act mit wachsender Skepsis.

Hinzu kommen weitere Risiken bei US-Anbietern: Der EU-US Data Privacy Framework (DPF), der Nachfolger des Privacy Shield, steht auf wackeligen Beinen. Nach dem Schrems-II-Urteil des EuGH (2020) wurde der Privacy Shield für ungültig erklärt. Der DPF wurde zwar 2023 von der EU-Kommission für angemessen erklärt, aber Aktivisten haben bereits Klagen angekündigt. Ein erneutes Schrems-III-Urteil würde alle Datenübermittlungen in die USA, die allein auf dem DPF basieren, über Nacht illegal machen.

Migration zu einem DSGVO-konformen Anbieter

Wenn Sie oder Ihre Kunden aktuell bei einem US-amerikanischen Anbieter hosten, lohnt sich die Migration. Der Aufwand ist überschaubar, die Rechtssicherheit deutlich höher. Hier ist ein strukturierter Migrationsplan:

Schritt 1: Neuen Hosting-Account einrichten

Legen Sie zunächst den neuen Account beim gewählten Anbieter an (z. B. Hetzner Cloud oder IONOS) und richten Sie die Serverumgebung ein. Nutzen Sie für komplexere Setups Infrastruktur-as-Code-Tools wie Ansible oder Terraform, um die Konfiguration reproduzierbar zu machen.

Schritt 2: Daten exportieren und übertragen

Exportieren Sie alle Dateien (per SFTP/rsync), Datenbanken (mysqldump oder pgdump) und Konfigurationsdateien. Stellen Sie sicher, dass die Übertragung verschlüsselt erfolgt. Richten Sie auf dem neuen Server eine identische Testumgebung ein und prüfen Sie alle Funktionen.

Schritt 3: AVV abschließen

Schließen Sie den AVV mit dem neuen Anbieter ab, bevor Sie produktive Daten übertragen. Kündigen Sie gleichzeitig den AVV mit dem alten Anbieter – oder regeln Sie in einem separaten Löschungsprotokoll, wann die Daten beim alten Anbieter gelöscht werden.

Schritt 4: DNS-Umstellung

Reduzieren Sie die TTL (Time to Live) der DNS-Einträge mindestens 48 Stunden vor der Umstellung auf 300 Sekunden (5 Minuten). Stellen Sie dann die A-Records auf die neue IP-Adresse um. Nach 24–48 Stunden ist die Propagation weltweit abgeschlossen. Erst dann den alten Server abschalten.

Schritt 5: Datenschutzerklärung aktualisieren

Aktualisieren Sie die Datenschutzerklärung: Neuer Hosting-Anbieter, neuer Serverstandort, neuer AVV-Link. Entfernen Sie alle Verweise auf den alten Anbieter. Informieren Sie ggf. die Aufsichtsbehörde, wenn Sie bislang auf Basis von SCCs mit einem US-Anbieter gearbeitet haben.

Häufig gestellte Fragen

Welcher Hosting-Anbieter ist am besten für DSGVO? expand_more

Für Entwickler und technisch versierte Nutzer ist Hetzner die erste Wahl: günstiger Preis, deutsches Rechenzentrum, ISO 27001 zertifiziert und ein klarer AVV. Für Einsteiger und kleine Unternehmen bietet IONOS mehr Komfort mit Managed-Optionen.

Ist AWS Frankfurt DSGVO-konform? expand_more

AWS Frankfurt bietet Serverstandorte in Deutschland und stellt einen AVV bereit. Das Kernproblem ist der CLOUD Act: Als US-amerikanisches Unternehmen können US-Behörden unter bestimmten Voraussetzungen Zugriff auf Daten verlangen, auch wenn diese in Frankfurt gespeichert sind. Für sensible Daten empfehle ich europäische Anbieter ohne US-Konzernmutter.

Was muss ein DSGVO-konformer Hosting-Anbieter bieten? expand_more

Mindestanforderungen: Serverstandort in der EU, Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, HTTPS/TLS, regelmäßige Backups, klare Datenschutzerklärung. Empfehlenswert zusätzlich: ISO 27001 Zertifizierung, transparente Subunternehmer-Liste und 24/7-Support.

Wie migriere ich von US-Hosting zu einem deutschen Anbieter? expand_more

Migration in 5 Schritten: 1. Neuen Hosting-Account anlegen und Testumgebung aufsetzen. 2. Alle Dateien und Datenbanken exportieren. 3. AVV mit neuem Anbieter abschließen. 4. DNS-TTL auf 300 Sekunden reduzieren, dann DNS umstellen. 5. Nach 48 Stunden alten Account kündigen und AVV mit altem Anbieter beenden.