Hosting in Deutschland vs. US-Cloud: die rechtliche Lage 2026
„Server in Deutschland" ist nicht gleich „DSGVO-konformes Hosting". Drei Ebenen entscheiden: physischer Server-Standort, juristische Eigentumsstruktur des Anbieters und Sub-Auftragsverarbeiter-Konstellation. Dieser Artikel erklärt, was der CLOUD Act bewirkt, warum US-Cloud-Anbieter selbst mit EU-Datenresidenz heikel bleiben, und welche EU-Alternativen produktionsreif sind.
Worum es geht
Wer in Deutschland eine Website oder ein Tracking-System betreibt, muss entscheiden, wo die Daten physisch verarbeitet werden. Die Wahl zwischen US-Hyperscaler wie AWS, Google Cloud, Microsoft Azure und EU-Cloud-Anbietern wie Hetzner, IONOS oder OVH ist nicht trivial und nicht ausschließlich technisch. Es gibt eine Compliance-Dimension, die seit dem Schrems-II-Urteil des EuGH 2020 immer komplexer geworden ist.
Der zentrale Konflikt: US-Konzerne unterliegen dem US Cloud Act, der US-Behörden Zugriff auf Daten gibt, die ein US-Unternehmen verwaltet, unabhängig davon, wo die Server stehen. Damit ist auch ein in Frankfurt gehosteter Datenbestand bei Amazon Web Services aus europäischer Datenschutz-Sicht nicht so sicher, wie es auf den ersten Blick aussieht. Die deutschen Aufsichtsbehörden haben diese Konstellation in den letzten Jahren mehrfach beanstandet.
Auf der anderen Seite haben US-Anbieter Vorteile bei Skalierbarkeit, Service-Breite und Pricing, die EU-Cloud-Provider nur teilweise spiegeln können. Die richtige Wahl hängt von Workload, Branche und Compliance-Risikoappetit ab.
Zurück zum Überblick: DSGVO-konformes Tracking, der vollständige Leitfaden.
Der CLOUD Act und seine Reichweite
Der Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, wurde 2018 in den USA verabschiedet. Sein zentraler Inhalt: US-Behörden können von US-Unternehmen Daten anfordern, unabhängig davon, wo diese Daten physisch gespeichert sind. Die Anforderung gilt also für US-Konzerne mit Standorten in Deutschland genauso wie für reine US-Operationen.
Konkret heißt das: Wenn das FBI Daten von einem AWS-Server in Frankfurt verlangt, ist Amazon US-rechtlich verpflichtet, die Daten herauszugeben. Die Frage, ob Amazon dabei deutsches Recht verletzt, ist nachrangig. AWS hat in den letzten Jahren mehrfach erklärt, dass sie sich diesem Konflikt bewusst sind und Transparency-Reports veröffentlichen, aber die rechtliche Konstellation bleibt bestehen.
Aus DSGVO-Sicht ist das ein Problem. Der EuGH hat in Schrems II ausdrücklich festgestellt, dass die USA kein gleichwertiges Datenschutz-Niveau bieten, weil US-Behörden nach FISA (Foreign Intelligence Surveillance Act) Section 702 auch ohne richterliche Anordnung auf personenbezogene Daten zugreifen können. Der CLOUD Act ergänzt diese Konstellation.
Für deutsche Werbetreibende heißt das: Eine reine Nutzung von US-Cloud-Diensten ohne zusätzliche Verschlüsselungs-Architektur ist DSGVO-rechtlich riskant. Die Daten könnten von US-Behörden eingesehen werden, ohne dass die Betroffenen davon erfahren oder Rechtsmittel einlegen können.
Trans-Atlantic Data Privacy Framework
Im Juli 2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss für Datenübertragungen in die USA verabschiedet: das Trans-Atlantic Data Privacy Framework (TADPF). Ziel war es, die Lücke nach Schrems II zu schließen. Praktisch funktioniert es so, dass US-Unternehmen sich selbst zertifizieren und zusätzliche Schutz-Mechanismen einhalten müssen. Im Gegenzug werden Datenübertragungen an diese zertifizierten Unternehmen als angemessen anerkannt.
Aus juristischer Sicht ist das TADPF allerdings ähnlich angreifbar wie sein Vorgänger Privacy Shield. Max Schrems und andere Datenschutz-Aktivisten haben Klagen vorbereitet, weil sich die zugrundeliegenden US-Gesetze (FISA 702, Executive Order 12333) nicht geändert haben. Eine Schrems-III-Entscheidung wird in den nächsten zwei bis drei Jahren erwartet.
Für die Praxis 2026: TADPF gilt formal, wird aber von vielen Datenschutzrechtlern als wackelig eingestuft. Wer sich darauf verlässt, sollte alternative Verträge (Standardvertragsklauseln plus Transfer-Impact-Assessment) als Fallback vorbereiten, falls das Framework gekippt wird.
Was Aufsichtsbehörden konkret prüfen
Die deutschen Datenschutz-Aufsichtsbehörden haben in den letzten Jahren ein klares Prüfraster entwickelt. Bei Audits zur Cloud-Nutzung werden vier Punkte besonders genau angeschaut.
Eigentumsstruktur des Anbieters
Ist der Anbieter ein US-Konzern, ein EU-Konzern oder eine eigenständige EU-Tochter? Bei US-Tochtergesellschaften deutscher Anbieter wird geprüft, ob die Tochter operativ unabhängig agiert oder ob Direktiven aus den USA durchgreifen können.
Tatsächliche Daten-Residenz
Wo werden die Daten physisch verarbeitet? Bei US-Anbietern wird die EU-Region akzeptiert, aber zusätzlich geprüft, ob Backup-Operationen oder Support-Zugriffe in andere Regionen gehen. Manche Cloud-Services replizieren Daten standardmäßig in mehrere Regionen, was unerwünschte Drittland-Übertragungen bedeuten kann.
Vertragliche Absicherung
Liegt ein AVV nach Art. 28 vor? Sind Standardvertragsklauseln und Transfer-Impact-Assessment dokumentiert? Sind alle Sub-Auftragsverarbeiter bekannt und werden Änderungen angekündigt?
Technische Schutz-Maßnahmen
Werden Daten verschlüsselt gespeichert (Encryption at Rest) und übertragen (Encryption in Transit)? Wer hält die Verschlüsselungs-Keys? Kunden-eigene Keys (Customer-Managed Encryption Keys) sind ein deutlich besseres Compliance-Argument als anbieter-eigene Keys, weil sie den theoretischen US-Behörden-Zugriff kryptografisch erschweren.
EU-Cloud-Alternativen im Vergleich
Wer aus Compliance-Gründen auf EU-Cloud setzen will, hat 2026 mehr Optionen als noch vor wenigen Jahren. Die wichtigsten Anbieter im DACH-Markt:
Hetzner
Deutsches Unternehmen, Rechenzentren in Falkenstein und Helsinki. Sehr günstig im Pricing, hervorragend für klassische Web- und Datenbank-Workloads. Schwächer bei spezialisierten Managed-Services wie ML, AI oder Datenanalyse.
IONOS
Deutsches Unternehmen, breites Service-Portfolio inklusive Managed Database und Container-Orchestrierung. Etwas teurer als Hetzner, aber mit mehr Managed-Service-Tiefe. ISO-27001-zertifiziert.
OVH
Französisches Unternehmen mit Rechenzentren in Frankreich, Deutschland und anderen EU-Ländern. Größeres Cloud-Angebot inklusive Managed Kubernetes. Reines EU-Recht, kein CLOUD-Act-Risiko.
STACKIT (Schwarz Gruppe)
Deutscher Anbieter, gegründet von Lidl-Eigentümern. Fokus auf Enterprise-Workloads, starke Compliance-Story (BSI Grundschutz, ISO 27001). Pricing höher als bei Hetzner oder IONOS, dafür mehr Service-Tiefe.
Open Telekom Cloud
Deutsche Telekom als Anbieter, Technologie auf OpenStack-Basis. Rechenzentren in Magdeburg und Biere. Stark in regulierten Branchen (Bund, Banken). Service-Portfolio kleiner als bei Hyperscalern, aber für viele Anwendungsfälle ausreichend.
Hosting-Anforderungen pro Branche
Nicht jede Branche braucht das gleiche Compliance-Niveau. Drei Stufen lassen sich unterscheiden.
Standard-E-Commerce
Für klassische Online-Shops ohne sensible Branchen-Anforderungen ist ein EU-Cloud-Anbieter mit ISO 27001 ausreichend. Hetzner oder IONOS reichen für die meisten Setups. Wer aus Skalierungs-Gründen auf AWS oder Google Cloud setzen möchte, kann das mit korrekter EU-Region, Customer-Managed Keys und TIA rechtfertigen, sollte aber das Restrisiko dokumentieren.
Regulierte Branchen
Banken, Versicherungen, Health-Tech und öffentliche Auftraggeber haben oft strengere Anforderungen, die über die DSGVO hinausgehen. BAIT-Konformität für Finanzdienstleister, BSI Grundschutz, C5-Testat. Hier reichen US-Anbieter selbst mit EU-Region oft nicht mehr aus. EU-Cloud-Alternativen werden Pflicht.
Öffentliche Hand und kritische Infrastruktur
Bei Aufträgen für Bund, Länder oder Betreiber kritischer Infrastruktur (KRITIS) ist deutsche oder mindestens EU-souveräne Cloud meistens explizit gefordert. STACKIT, Open Telekom Cloud und Plusserver positionieren sich in diesem Segment. US-Anbieter spielen kaum eine Rolle.
Was im AVV stehen muss
Wer einen Cloud-Anbieter nutzt, sollte folgende Punkte im AVV oder den Anhängen explizit prüfen.
Eindeutige Daten-Residenz-Zusagen
Der Vertrag muss benennen, in welcher Region die Daten primär gespeichert werden und ob es Replikationen in andere Regionen gibt. Wenn ja, müssen diese Regionen ebenfalls in der EU liegen oder durch passende Vertrags-Mechanismen abgesichert sein.
Sub-Auftragsverarbeiter-Liste mit Standorten
Alle Sub-Auftragsverarbeiter müssen genannt sein, mit Sitz, Verarbeitungs-Region und Rolle. Bei US-Sub-Auftragsverarbeitern sollten Standardvertragsklauseln und TIA dokumentiert sein.
Vorbereitung auf Behörden-Anfragen
Wie geht der Anbieter mit Anfragen ausländischer Behörden um? Wird der Werbetreibende vor einer Datenherausgabe informiert? Werden Transparency-Reports veröffentlicht? Diese Punkte sind bei US-Anbietern relevant, bei EU-Anbietern oft nachrangig.
Beendigungs-Klauseln und Daten-Export
Was passiert bei Vertragsende mit den Daten? Wie schnell und in welchem Format können sie exportiert werden? Ein Daten-Export-Mechanismus ist Pflicht nach Art. 20 DSGVO und sollte vertraglich geregelt sein, nicht nur als Goodwill-Funktion.
Häufige Fragen zu Hosting und Cloud
Sind AWS Frankfurt und Azure Germany DSGVO-konform?
Technisch laufen die Server in Deutschland. Rechtlich bleibt das Mutterunternehmen ein US-Konzern, der dem CLOUD Act unterliegt. Damit gilt eine theoretische Zugriffsmöglichkeit von US-Behörden auch dann, wenn die Daten physisch in Frankfurt liegen. Die deutschen Aufsichtsbehörden sehen das gemischt: AWS und Azure können mit Verschlüsselungs-Architekturen DSGVO-konform betrieben werden, aber der Standard-Setup ist es nicht.
Was ist mit IONOS, Hetzner und OVH?
IONOS und Hetzner sind deutsche Unternehmen, ihre Daten werden nach deutschem Recht behandelt und unterliegen nicht dem CLOUD Act. Damit sind sie aus DSGVO-Sicht die saubersten Hosting-Optionen für deutsche Werbetreibende. OVH ist französisch, ebenfalls EU-Recht, auch akzeptabel.
Reicht es, wenn nur ein Server in Deutschland steht und der Provider US-amerikanisch ist?
Nein. Der Server-Standort ist nur eine von drei relevanten Ebenen. Die anderen beiden sind die juristische Eigentumsstruktur des Anbieters und die Sub-Auftragsverarbeiter-Liste. Ein US-Anbieter mit deutschen Servern fällt trotzdem unter US-Recht, ein deutscher Anbieter mit US-Sub-Auftragsverarbeitern hat trotzdem Drittland-Übertragung.
Was passiert, wenn ich Google Cloud Run für Server-Side GTM nutze?
Google Cloud Run ist ein US-Anbieter, auch in der EU-Region europe-west3. Die Daten liegen physisch in Belgien, aber Google selbst unterliegt dem CLOUD Act. Mit einer korrekten EU-Datenresidenz-Konfiguration, Verschlüsselung und passenden Standardvertragsklauseln ist der Betrieb möglich, aber rechtlich nicht so sauber wie eine vollständige EU-Alternative.
Wie streng prüfen Aufsichtsbehörden den Hosting-Standort?
Seit 2022 deutlich strenger. Die Datenschutzkonferenz hat Orientierungshilfen veröffentlicht, die explizit auf Drittland-Cloud-Nutzung eingehen. Audits beinhalten regelmäßig die Frage nach allen Sub-Auftragsverarbeitern und deren Standorten. Wer hier US-Anbieter ohne ausreichende Absicherung listet, bekommt Nachfragen.
Gibt es ISO-27001-zertifizierte Cloud-Anbieter, die rein in der EU operieren?
Ja. Hetzner, IONOS, OVH und einige spezialisierte Cloud-Provider wie Open Telekom Cloud oder STACKIT haben ISO 27001 plus EU-Vollausschluss. Die Auswahl ist kleiner als bei US-Hyperscalern, aber für Standard-E-Commerce-Workloads reicht das Angebot völlig aus.