DSGVO

Server-Standort und EU-Hosting: Was die DSGVO verlangt

Erfahre, warum der Server-Standort deiner Website DSGVO-relevant ist und wie du prüfst, ob deine Daten in der EU bleiben.

Compliso Team
3 Min. Lesezeit

Der Standort deines Webservers ist aus DSGVO-Sicht nicht trivial. Sobald personenbezogene Daten — und dazu gehören schon IP-Adressen — auf einem Server außerhalb der EU verarbeitet werden, greifen die strengen Regeln für Drittlandtransfers nach Art. 44–49 DSGVO.

Warum der Server-Standort wichtig ist

Wenn ein Nutzer deine Website aufruft, sendet sein Browser automatisch seine IP-Adresse an deinen Server. Die IP-Adresse ist ein personenbezogenes Datum (EuGH, Urteil C-582/14). Steht dein Server in den USA oder einem anderen Drittland, findet eine Übermittlung personenbezogener Daten statt.

Die Schrems-II-Problematik

Mit dem Schrems-II-Urteil (EuGH, Juli 2020) wurde das EU-US Privacy Shield für ungültig erklärt. Die Begründung: US-Behörden haben weitreichende Zugriffsmöglichkeiten auf Daten, die auf US-Servern gespeichert werden (FISA 702, Executive Order 12333).

Seit Juli 2023 gibt es das EU-US Data Privacy Framework (DPF). Unternehmen, die unter dem DPF zertifiziert sind, dürfen Daten in die USA transferieren. Allerdings ist die Zukunft des DPF unsicher — eine erneute Anfechtung (Schrems III) wird erwartet.

Welche Services sind betroffen?

Nicht nur dein Webhosting zählt. Auch diese Services verarbeiten personenbezogene Daten:

  • CDN-Anbieter (Cloudflare, AWS CloudFront, Akamai)
  • DNS-Provider (Cloudflare DNS, Google Public DNS)
  • Analytics-Tools (Google Analytics, Hotjar)
  • Chat-Widgets (Intercom, Zendesk, Crisp)
  • Schriftarten (Google Fonts via CDN)
  • Zahlungsanbieter (Stripe, PayPal)
  • E-Mail-Services (Mailchimp, SendGrid)

Für jeden dieser Services musst du prüfen: Wo werden die Daten verarbeitet? Gibt es eine Rechtsgrundlage für den Transfer?

Art. 44 DSGVO: Voraussetzungen für Drittlandtransfers

Datenübermittlungen in Drittländer sind nur erlaubt, wenn:

  1. Angemessenheitsbeschluss vorliegt (Art. 45) — z.B. EU-US DPF, Schweiz, UK, Japan
  2. Standardvertragsklauseln (SCCs) vereinbart sind (Art. 46 Abs. 2 lit. c)
  3. Binding Corporate Rules existieren (Art. 47)
  4. Ausnahmen greifen (Art. 49) — z.B. ausdrückliche Einwilligung

Bei SCCs musst du zusätzlich ein Transfer Impact Assessment (TIA) durchführen und gegebenenfalls ergänzende Maßnahmen treffen (Verschlüsselung, Pseudonymisierung).

EU-Hosting-Alternativen

Deutsche Hosting-Provider

  • Hetzner — Rechenzentren in Falkenstein, Nürnberg, Helsinki
  • IONOS — Rechenzentren in Deutschland
  • Strato — Berlin
  • netcup — Nürnberg
  • Mittwald — Espelkamp (spezialisiert auf CMS)

EU-Cloud-Alternativen

  • OVHcloud — Frankreich, Deutschland
  • Scaleway — Frankreich, Niederlande, Polen
  • Exoscale — Schweiz, Deutschland, Österreich, Bulgarien

US-Provider mit EU-Rechenzentren

  • AWS — Frankfurt (eu-central-1), Irland (eu-west-1)
  • Google Cloud — Frankfurt, Zürich, Niederlande
  • Microsoft Azure — Frankfurt, Amsterdam

Achtung: Auch bei EU-Rechenzentren von US-Providern gilt der CLOUD Act. US-Behörden können theoretisch Zugriff auf Daten verlangen, die von US-Unternehmen gespeichert werden — unabhängig vom Serverstandort.

Wie du den Server-Standort prüfst

Manuelle Prüfung

  1. DNS-Lookup: dig example.com oder nslookup example.com zeigt die IP-Adresse
  2. GeoIP-Lookup: Gib die IP bei einem GeoIP-Service ein (z.B. ipinfo.io)
  3. HTTP-Headers: Manche Provider setzen Headers wie X-Served-By oder Server
  4. Traceroute: traceroute example.com zeigt den Netzwerkpfad

Automatische Prüfung mit Compliso

Der Compliso Scanner prüft automatisch den Server-Standort deiner Website und warnt, wenn:

  • Der Server außerhalb der EU steht
  • Third-Party-Requests an Nicht-EU-Server gehen
  • Externe Ressourcen (Fonts, Scripts) von US-CDNs geladen werden

Third-Party-Requests: Das versteckte Problem

Selbst wenn dein eigener Server in der EU steht, können eingebundene Drittanbieter-Scripts Daten in Drittländer übermitteln:

  • Google Fonts → Server in den USA
  • jQuery CDN → Cloudflare (US-Unternehmen)
  • Font Awesome CDN → StackPath (USA)
  • reCAPTCHA → Google (USA)
  • YouTube Embeds → Google (USA)

Die Lösung: Ressourcen lokal hosten oder EU-Alternativen nutzen.

Praxis-Checkliste

  • Server-Standort deines Webhosters prüfen (EU?)
  • CDN-Anbieter prüfen (Standort, CLOUD Act)
  • Alle Third-Party-Requests identifizieren und Standorte prüfen
  • Google Fonts lokal einbinden statt via CDN
  • Für US-Services: DPF-Zertifizierung oder SCCs + TIA prüfen
  • Auftragsverarbeitungsvertrag (AVV) mit jedem Provider abschließen
  • Datenschutzerklärung aktualisieren (Drittlandtransfers nennen)
  • Compliso Scanner nutzen für automatische Server-Standort-Prüfung

Fazit

Der Server-Standort ist kein Randthema — er ist ein zentraler Baustein deiner DSGVO-Compliance. Mit EU-Hosting, lokalen Ressourcen und einem regelmäßigen Check aller Third-Party-Requests bist du auf der sicheren Seite.

Prüfe jetzt kostenlos, ob deine Website EU-konform gehostet ist: Der Compliso Demo-Scanner analysiert den Server-Standort und alle Drittanbieter-Verbindungen deiner Website in unter 30 Sekunden.

server-standort eu-hosting dsgvo schrems-ii drittlandtransfer

Deine Website DSGVO-konform machen?

Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.

Jetzt kostenlos scannen Kostenlos registrieren