DSGVO-konformes Hosting: Was du beachten musst
Die DSGVO stellt konkrete Anforderungen an Webhosting: Auftragsverarbeitungsvertrag, Serverstandort, Datenschutzerklärung, technische Schutzmaßnahmen. Was in der Praxis wirklich zählt, was ein Mythos ist, und welche Hoster DSGVO-konformes Hosting unkompliziert ermöglichen.
DSGVO-Grundlagen für Website-Betreiber
Die DSGVO (Datenschutz-Grundverordnung) gilt seit Mai 2018 für alle Website-Betreiber, die personenbezogene Daten von EU-Bürgern verarbeiten. Personenbezogene Daten beginnen bereits bei IP-Adressen — und die werden bei jedem Server-Request automatisch erfasst.
Für das Hosting bedeutet das: Sobald dein Webserver Anfragen verarbeitet und dabei IP-Adressen oder andere nutzerbezogene Daten speichert — also immer — greift die DSGVO. Du bist als Website-Betreiber der Verantwortliche, dein Hoster ist der Auftragsverarbeiter.
Verantwortlicher (du) = bestimmt Zweck und Mittel der Datenverarbeitung. Auftragsverarbeiter (dein Hoster) = verarbeitet Daten nur nach deinen Weisungen. Diese Unterscheidung ist die Grundlage für den Auftragsverarbeitungsvertrag und für die Haftungsfrage bei Datenschutzverletzungen.
Auftragsverarbeitungsvertrag (AVV): Pflicht oder Mythos?
Ein Auftragsverarbeitungsvertrag (AVV, englisch: DPA — Data Processing Agreement) zwischen dir und deinem Hoster ist keine Kann-Option — er ist gemäß DSGVO Art. 28 zwingend vorgeschrieben, wenn ein Auftragsverarbeiter personenbezogene Daten für dich verarbeitet. Jeder Webhosting-Vertrag ist eine Auftragsverarbeitung.
Was ein AVV regeln muss
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten (IP-Adressen, Log-Daten)
- Kategorien betroffener Personen (Website-Besucher)
- Pflichten und Rechte des Verantwortlichen
- Weisungsgebundenheit des Auftragsverarbeiters
- Regelungen für Unterauftragsverarbeiter (Rechenzentren, CDN)
Wenn du deinen Hoster nutzt ohne einen AVV abgeschlossen zu haben, verstößt du gegen DSGVO Art. 28. Das Bußgeld-Risiko besteht. Die gute Nachricht: Fast alle seriösen Hoster bieten AVV-Muster direkt im Kundenportal an — oft per Klick aktivierbar. Prüfe deinen Hoster-Account jetzt.
Serverstandort: EU vs. USA vs. Deutschland
Serverstandort und DSGVO-Konformität werden häufig gleichgesetzt — fälschlicherweise. DSGVO-Konformität hängt von rechtlichen Rahmenbedingungen ab, nicht vom physischen Serverstandort. Dennoch ist der Serverstandort relevant.
EU-Serverstandort (empfohlen)
Server innerhalb der EU/des EWR sind datenschutzrechtlich unkompliziert: DSGVO gilt vollständig, kein Drittlandtransfer, kein zusätzlicher Rechtfertigungsbedarf. Für deutschsprachige Websites, die primär deutsche/österreichische/schweizerische Nutzer ansprechen, ist ein EU-Serverstandort (idealerweise Deutschland) die einfachste und sicherste Wahl.
USA-Serverstandort
Datenübermittlungen in die USA sind nach dem EU-US Data Privacy Framework (2023) wieder vereinfacht möglich — Anbieter, die das Framework zertifiziert haben (z.B. AWS, Google Cloud, Microsoft Azure), dürfen EU-Daten verarbeiten. Dennoch bleibt die Datenlage komplex und der Schutz der DSGVO ist nicht vollständig äquivalent zum EU-Serverstandort.
| Serverstandort | DSGVO-Konformität | Aufwand | Empfehlung |
|---|---|---|---|
| Deutschland | Unkompliziert | Minimal | Empfohlen |
| EU / EWR | Unkompliziert | Minimal | Empfohlen |
| USA (DPF-zertifiziert) | Möglich | Zusätzliche Prüfung | Prüfen |
| USA (nicht zertifiziert) | Problematisch | Hoch | Vermeiden |
| Russland, China | Nicht konform | Sehr hoch | Nicht empfohlen |
Technische Anforderungen: Was DSGVO-konformes Hosting leisten muss
SSL/TLS (HTTPS) — Pflicht
DSGVO Art. 32 verlangt "geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. HTTPS ist die Mindestanforderung für jede Website, die Daten von Nutzern empfängt — Kontaktformulare, Login, Newsletter-Anmeldung. Ohne HTTPS ist jede Datenübermittlung unverschlüsselt und damit eine DSGVO-Verletzung.
Sicherer E-Mail-Versand
Kontaktformulare senden E-Mails. Der E-Mail-Versand muss TLS-verschlüsselt sein (SMTP over TLS/STARTTLS). Nicht verschlüsselte E-Mails mit personenbezogenen Daten (Anfragen, Bestellungen) sind problematisch.
Zugriffskontrollen und Logging
Wer hat Zugriff auf die Systeme, auf denen Nutzerdaten liegen? Server-Logs (die IP-Adressen enthalten) müssen gesichert sein. Zugangsdaten für Hosting, Datenbanken und CMS müssen stark sein und regelmäßig geprüft werden.
Datenspeicherung und -löschung
Server-Logs mit IP-Adressen dürfen nur so lange gespeichert werden, wie technisch notwendig. Typisch: 7–30 Tage für Access-Logs. Längere Speicherung erfordert Rechtfertigung (berechtigtes Interesse, Sicherheitsanalyse) und muss in der Datenschutzerklärung dokumentiert sein.
Datenschutzerklärung: Was Hosting-relevante Angaben enthalten muss
Jede Website benötigt eine Datenschutzerklärung. Für das Hosting sind diese Angaben Pflicht:
- Name und Kontaktdaten des Hosters (Unternehmensname, Adresse, Datenschutzkontakt)
- Verarbeitete Daten: IP-Adressen, Zeitstempel, aufgerufene URLs, Referrer, User-Agent
- Zweck der Verarbeitung: Technisch notwendig zur Bereitstellung der Website
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
- Speicherdauer: Wie lange Logs gespeichert werden
- Drittlandtransfer: Falls Serverstandort außerhalb EU
DSGVO-konforme Hosting-Anbieter im Vergleich
Raidboxes — DSGVO-Champion für WordPress
Deutsches Unternehmen (Münster), Serverstandort ausschließlich Deutschland, AVV im Kundenportal direkt abschließbar, ISO 27001-zertifiziert, DSGVO-Datenschutzerklärung im Detail dokumentiert. Für WordPress-Projekte mit strengen Datenschutzanforderungen die erste Wahl.
IONOS — Deutsch, günstig, DSGVO-konform
Deutsche Server, AVV verfügbar, günstige Einstiegspreise. Gut für kleine Unternehmen und Einsteiger. Etwas weniger transparent in der Datenschutzkommunikation als Raidboxes, aber technisch solide.
Hetzner — Günstigster DSGVO-konformer VPS
Deutsches Unternehmen, Server in Deutschland und Finnland, AVV verfügbar, sehr günstig. Für technisch versierte Nutzer die beste Option für DSGVO-konformes VPS-Hosting.
Strato — Klassischer Shared Hoster mit AVV
Deutscher Hoster (Axel Springer SE), Serverstandort Deutschland, AVV verfügbar. Günstige Pakete für einfache Websites. Performance weniger stark als Raidboxes oder Hetzner.
AWS, Google Cloud und Microsoft Azure haben alle EU-Rechenzentren und EU-spezifische Datenschutzverträge (Standard Contractual Clauses). Für professionelle Anwendungen mit EU-Daten sind sie DSGVO-konform nutzbar — aber der Aufwand für die rechtliche Absicherung ist höher als bei deutschen Hostern.
DSGVO-Hosting-Checkliste
- ☑ AVV mit Hoster abgeschlossen (im Kundenportal prüfen)
- ☑ HTTPS auf allen Seiten aktiv (kein HTTP)
- ☑ Serverstandort innerhalb EU oder DPF-zertifizierter US-Anbieter
- ☑ Datenschutzerklärung enthält Hoster-Angaben
- ☑ Server-Log-Speicherdauer definiert und dokumentiert
- ☑ Starke Passwörter für Hosting-Panel, FTP, Datenbank
- ☑ Backup-Strategie mit sicherer Backup-Speicherung
- ☑ WordPress/CMS regelmäßig aktualisiert (Sicherheitslücken)
- ☑ Kontaktformular TLS-verschlüsselt
- ☑ Drittanbieter-Dienste (Google Fonts, Analytics) DSGVO-konform eingebunden
Fazit
DSGVO-konformes Hosting ist keine Hexerei: AVV abschließen, HTTPS aktivieren, Serverstandort in der EU wählen, Datenschutzerklärung korrekt formulieren. Die meisten seriösen Hoster machen das unkompliziert — besonders deutsche Anbieter wie Raidboxes, Hetzner und IONOS.
Der größte Fehler ist, DSGVO-Konformität als einmalige Checkbox zu behandeln. Es ist ein laufender Prozess: Verträge aktuell halten, Software aktualisieren, Datenschutzerklärung bei Änderungen anpassen.
Vergleiche DSGVO-konforme Hosting-Anbieter direkt auf unserem Hosting-Vergleich.
DSGVO-konformen Hoster finden
Vergleiche deutsche und EU-Hosting-Anbieter mit AVV, Deutschland-Server und voller DSGVO-Konformität.