„Wir hosten in Deutschland" klingt nach einer einfachen Aussage. In der Praxis steckt dahinter eine Reihe von Fragen, die über den physischen Serverstandort weit hinausgehen.
Was der Serverstandort regelt
Der Standort des Servers bestimmt, welches Recht auf die dort gespeicherten Daten anwendbar ist. Ein Server in Deutschland unterliegt deutschem und europäischem Datenschutzrecht. Ein Server in den USA kann — je nach Anbieter und Vertrag — US-Gesetzen wie dem CLOUD Act unterliegen, auch wenn der Anbieter formal ein europäisches Tochterunternehmen hat.
Das ist keine theoretische Frage: Mehrere Urteile haben gezeigt, dass der Standort eines Servers allein nicht ausreicht, um DSGVO-Konformität zu garantieren.
Was wirklich zählt
Neben dem Serverstandort sind entscheidend:
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem Hosting-Anbieter
- Subunternehmer-Kette: Wer sind die Sub-Prozessoren des Anbieters, und wo sind ihre Server?
- Datentransfers: Werden Logs, Monitoring-Daten oder Backups in Drittländer übertragen?
- Zugriffskontrolle: Wer hat unter welchen Bedingungen Zugriff auf die Daten?
Unser Ansatz
Wir empfehlen für Kunden mit erhöhten Datenschutzanforderungen dedizierte Server bei deutschen Anbietern mit transparenter Sub-Prozessor-Kette — oder, wo möglich, Self-Hosted-Lösungen auf eigener Infrastruktur.
Für Websites und Anwendungen ohne personenbezogene Daten ist der Spielraum größer: Hier kann auch ein CDN mit Servern außerhalb Europas sinnvoll sein, wenn die Bedingungen stimmen.
Besprechen Sie Ihre Situation mit uns — wir helfen Ihnen, die richtige Abwägung zu treffen.