Kurz erklärt

DSGVO-konformes Cloud-Hosting bedeutet, personenbezogene Daten so in einer Cloud zu betreiben, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt sind. Ein Serverstandort in Deutschland ist ein wichtiger Baustein, aber nicht ausreichend. Entscheidend sind zusätzlich ein sauberer Auftragsverarbeitungsvertrag, technische und organisatorische Schutzmaßnahmen, kein unkontrollierter Datenzugriff aus Drittländern und ein Anbieter, der rechtlich vollständig europäischem Recht unterliegt.

Warum „Server in Deutschland" allein nicht genügt

Viele Anbieter werben mit dem Standort ihrer Rechenzentren. Das ist verständlich, denn der Speicherort ist greifbar und wirkt vertrauenswürdig. Rechtlich betrachtet ist er aber nur ein Teil der Wahrheit. Die DSGVO fragt nicht nur, wo Daten liegen, sondern wer unter welchem Recht Zugriff darauf hat, wie sie geschützt werden und auf welcher vertraglichen Grundlage ein Dienstleister sie verarbeitet.

Ein Rechenzentrum in Frankfurt kann trotzdem problematisch sein – etwa wenn der Betreiber ein US-Konzern ist, dessen Muttergesellschaft gesetzlich zur Herausgabe von Daten verpflichtet werden kann. Umgekehrt sagt der Standort nichts darüber aus, ob Verschlüsselung, Backups, Zugriffskontrolle und ein gültiger Vertrag vorhanden sind. DSGVO-Konformität entsteht aus dem Zusammenspiel mehrerer Faktoren, nicht aus einer Flagge auf der Website.

Die fünf Kriterien für DSGVO-konformes Cloud-Hosting

Ob ein Hosting datenschutzkonform ist, lässt sich an wenigen, konkreten Punkten festmachen:

  • Serverstandort in der EU: Die Daten werden physisch in einem Rechenzentrum in Deutschland oder der EU gespeichert und verarbeitet – ohne stillschweigende Verlagerung in Drittländer.
  • Auftragsverarbeitungsvertrag (AVV): Ein Vertrag nach Artikel 28 DSGVO regelt verbindlich, wie der Anbieter mit Ihren Daten umgeht. Ohne AVV ist die Nutzung eines externen Hosters datenschutzrechtlich angreifbar.
  • Technische & organisatorische Maßnahmen (TOM): Verschlüsselung, Zugriffskontrolle, Protokollierung und getestete Backups. Die DSGVO verlangt „angemessene" Schutzmaßnahmen – lückenhafte Serversicherheit ist damit auch ein Datenschutzrisiko.
  • Kein Zugriff aus unsicheren Drittländern: Weder der Anbieter noch dessen Subunternehmer dürfen unkontrolliert aus Ländern ohne angemessenes Datenschutzniveau auf die Daten zugreifen.
  • Transparenz über Subdienstleister: Ein seriöser Anbieter legt offen, welche weiteren Dienstleister eingebunden sind – vom Rechenzentrum bis zum Monitoring-Tool.

Das Problem mit US-Cloud-Anbietern und dem CLOUD Act

Der häufigste blinde Fleck betrifft US-Anbieter. Der US-amerikanische CLOUD Act verpflichtet US-Unternehmen, Daten auf Anordnung von US-Behörden herauszugeben – und zwar unabhängig davon, wo die Server physisch stehen. Ein deutsches Rechenzentrum eines US-Konzerns schützt davor nicht zuverlässig. Genau diesen Konflikt zwischen europäischem Datenschutzrecht und US-Zugriffsrechten hat der Europäische Gerichtshof mehrfach kritisiert.

Für Unternehmen mit sensiblen Daten – Kundendaten, Gesundheits-, Personal- oder Prüfinformationen – bedeutet das: Der sicherste Weg ist ein Anbieter, der vollständig europäischem Recht unterliegt und keiner ausländischen Herausgabepflicht ausgesetzt ist. Das ist zugleich der Kern der Unabhängigkeit von US-Tech und der digitalen Souveränität.

Wichtiger Hinweis

„100 % DSGVO-konform" ist kein Gütesiegel

DSGVO-Konformität ist kein Zustand, den ein Anbieter im Alleingang garantieren kann. Verantwortlich bleibt immer das Unternehmen, das die Daten verarbeitet – der Hoster ist Auftragsverarbeiter. Seriöse Anbieter versprechen deshalb keine pauschale „Garantie", sondern schaffen die technischen und vertraglichen Voraussetzungen, damit Sie die Konformität nachweisen können. Wer absolute Sicherheit verspricht, verkennt die tatsächliche Rechtslage.

Woran Sie einen geeigneten Anbieter erkennen

Statt sich auf Werbeversprechen zu verlassen, lohnt sich ein Blick auf handfeste Nachweise. Fragen Sie gezielt nach:

  • Wird ein Auftragsverarbeitungsvertrag bereitgestellt – und wer sind die genannten Subdienstleister?
  • Unter welchem Recht steht das Unternehmen – und gibt es eine Muttergesellschaft in einem Drittland?
  • Welche konkreten technischen Maßnahmen (Verschlüsselung, Zugriffskontrolle, Backup-Konzept) sind dokumentiert?
  • Wer betreibt und überwacht die Systeme laufend – oder bleibt die Verantwortung faktisch bei Ihnen? Hier greift Servermonitoring ineinander.

Häufige Fragen zu DSGVO-konformem Cloud-Hosting

Reicht ein Serverstandort in Deutschland für DSGVO-Konformität aus?

Nein. Der Standort in Deutschland oder der EU ist ein wichtiger Baustein, aber allein nicht ausreichend. Zusätzlich braucht es einen Auftragsverarbeitungsvertrag, technische Schutzmaßnahmen und die Sicherheit, dass kein unkontrollierter Zugriff aus unsicheren Drittländern möglich ist – etwa über eine US-Muttergesellschaft.

Sind US-Cloud-Anbieter mit EU-Rechenzentrum DSGVO-konform?

Das ist rechtlich umstritten. Durch den CLOUD Act können US-Unternehmen zur Herausgabe von Daten verpflichtet werden, auch wenn die Server in Europa stehen. Für sensible Daten ist ein Anbieter, der vollständig europäischem Recht unterliegt, der sicherere Weg.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Ein AVV nach Artikel 28 DSGVO ist ein Vertrag zwischen Ihnen und dem Hosting-Anbieter. Er regelt verbindlich, wie Ihre Daten verarbeitet, geschützt und im Zweifel gelöscht werden. Ohne AVV ist die Nutzung eines externen Hosters für personenbezogene Daten datenschutzrechtlich angreifbar.

Wer ist für den Datenschutz verantwortlich – wir oder der Anbieter?

Verantwortlich bleibt das Unternehmen, das die Daten erhebt und verarbeitet. Der Hosting-Anbieter ist Auftragsverarbeiter und schafft die Voraussetzungen. Deshalb kann kein Anbieter die DSGVO-Konformität pauschal „garantieren" – er kann sie nur ermöglichen und nachweisbar machen.

Weiterführende Inhalte

Wollen Sie Ihre Anwendung datenschutzkonform betreiben?

Codamic AG betreibt Ihre Software in einer sicheren, in Deutschland gehosteten Umgebung – mit Auftragsverarbeitungsvertrag, dokumentierten Schutzmaßnahmen und laufendem Monitoring.

Beratung anfragen

Wir melden uns persönlich. Kein automatisierter Verkaufsprozess.