Zum Inhalt springen
Zurück zur Übersicht
Strategie & Kosten05. Juli 2026

DSGVO-konformes Hosting 2026: Wo darf die Website stehen?

TU
Thomas Uhlir MBA

CEO Red Rabbit Media | Web-Stratege

Status
Fachlich geprüft
Lesezeit
9 Min.

Wo wird meine Website DSGVO-konform gehostet?

DSGVO-konformes Hosting bedeutet 2026: Ihre Website läuft bei einem Hoster mit Serverstandort in der EU, idealerweise in Österreich, und Sie schließen mit ihm einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab. Entscheidend ist nicht nur der Standort, sondern dass weder Hoster noch Subdienstleister der Kontrolle US-amerikanischer Behörden unterliegen.

DSGVO-konformes Hosting 2026: Wo darf die Website stehen?

Wichtigste Erkenntnisse

  • 1Standort ist nicht alles. DSGVO-konformes Hosting heißt EU-Serverstandort, idealerweise Österreich oder DACH, plus ein Hoster ohne US-Kontrolle. Der CLOUD Act greift auch auf EU-Töchter von US-Anbietern durch.
  • 2Der Auftragsverarbeitungsvertrag ist Pflicht. Ohne AVV nach Art. 28 DSGVO drohen Maßnahmen der Datenschutzbehörde. Der WKO-Mustervertrag zeigt, was drinstehen muss.
  • 3Zwei Daten merken. Schrems II (16.07.2020) kippte den Privacy Shield. Seit 10.07.2023 sind US-Transfers unter dem Data Privacy Framework wieder möglich, aber nur zu zertifizierten Empfängern.
  • 4Art. 48 DSGVO schützt Sie. Ein US-Behördenbeschluss ist ohne internationales Abkommen nicht anzuerkennen, und ein solches Abkommen für den Strafverfolgungszugriff gibt es nicht.
  • 5Die Verantwortung bleibt bei Ihnen. Sie wählen Hoster und Subdienstleister aus. Standort, Anbieter und Subdienstleister müssen zusammen konform sein.

Stellen Sie sich vor, Sie mieten in Wien ein Lager für Ihre Firmenunterlagen. Der Vermieter schwört, das Gebäude stehe im 3. Bezirk, alles bestens. Was er nicht sagt: Die Muttergesellschaft sitzt in den USA und darf per Gesetz jederzeit einen Zweitschlüssel verlangen und in Ihre Akten schauen. Genau dieser Denkfehler passiert beim Website-Hosting ständig. Man schaut auf die Landkarte, wo der Server steht, und übersieht, wer die Kontrolle über die Daten hat.

Die Frage "Wo wird meine Website DSGVO-konform gehostet?" klingt nach einer reinen Technik-Entscheidung. Sie ist in Wahrheit eine Rechtsfrage mit ein paar sehr konkreten Fallstricken. Und die Antwort ist erfreulich klar, wenn man ein paar Grundlagen einmal sauber sortiert. Wichtig vorweg: Das hier ist eine praxisnahe Einordnung, keine Rechts- oder Steuerberatung. Im Zweifel gehört Ihr konkreter Fall auf den Tisch eines Datenschutzjuristen.

Die kurze Antwort zuerst

DSGVO-konformes Hosting bedeutet 2026: Ihre Website läuft bei einem Hoster mit Serverstandort in der EU, idealerweise in der DACH-Region wie Österreich, und Sie haben mit diesem Hoster einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen. Der physische Standort allein reicht nicht. Entscheidend ist, dass weder der Hoster noch seine Subdienstleister der Kontrolle US-amerikanischer Behörden unterliegen.

Das ist der Kern. Alles Weitere sind Details, die aber im Ernstfall über eine Abmahnung oder einen Bescheid der Datenschutzbehörde entscheiden. Sehen wir uns die wichtigsten Punkte der Reihe nach an.

Warum der Serverstandort in der EU nur die halbe Miete ist

Viele Anbieter werben mit "Server in Deutschland" oder "gehostet in der EU", und das klingt nach einem sicheren Hafen. Ist es aber nicht automatisch. Der US CLOUD Act verpflichtet US-Anbieter zur Herausgabe von Daten an US-Behörden, und zwar ausdrücklich auch dann, wenn diese Daten in einem europäischen Rechenzentrum liegen. Betroffen sind nach diesem Gesetz die US-Konzerne selbst, aber genauso ihre europäischen Tochtergesellschaften.

Das heißt konkret: Wenn Sie Ihre Website bei der europäischen Tochter eines großen US-Cloud-Anbieters hosten, liegt der Server vielleicht brav in Frankfurt oder Amsterdam. Der Mutterkonzern in den USA kann trotzdem gesetzlich gezwungen werden, diese Daten herauszugeben. Die Kontrolle über die Daten liegt eben nicht am Standort des Blechs, sondern bei der Rechtsperson, die darüber verfügt.

Dazu kommt die europäische Gegenseite. Art. 48 DSGVO stellt klar, dass ein Gerichts- oder Behördenbeschluss aus einem Drittland, der zur Datenübermittlung verpflichtet, nur anerkannt werden darf, wenn er auf einem internationalen Abkommen beruht. Für den Datenzugriff durch US-Strafverfolgungsbehörden existiert ein solches Abkommen zwischen EU und USA nicht. Sie stecken als Betreiber also mitten in einem Rechtskonflikt: Der CLOUD Act sagt "herausgeben", die DSGVO sagt "nur mit Abkommen, und das gibt es nicht". Diesen Konflikt wollen Sie sich gar nicht erst einhandeln, oder?

Meine Empfehlung an dieser Stelle: Fragen Sie einen Hoster nicht nur, wo der Server steht, sondern wem das Unternehmen gehört und welchem Recht es unterliegt. Ein österreichischer oder deutscher Anbieter ohne US-Mutter ist hier deutlich unkomplizierter als die EU-Niederlassung eines Silicon-Valley-Konzerns.

Was Schrems II und das Data Privacy Framework damit zu tun haben

Zwei Daten sollten Sie kennen, weil sie die ganze Debatte geprägt haben. Am 16.07.2020 hat der EuGH im Urteil "Schrems II" (Rechtssache C-311/18) den EU-US-Privacy-Shield für ungültig erklärt. Begründung: Das Datenschutzniveau in den USA entspricht wegen der weitreichenden Zugriffsrechte der US-Behörden nicht dem der EU. Seither ist jeder Datentransfer in die USA ein zentrales DSGVO-Risiko, das man aktiv im Blick behalten muss.

Der zweite wichtige Termin ist der 10.07.2023. An diesem Tag ist der Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework nach Art. 45 DSGVO in Kraft getreten. Dieser Beschluss erlaubt Datentransfers in die USA wieder ohne zusätzliche Schutzmaßnahmen. Aber, und das ist der Haken, den viele überlesen: nur dann, wenn die empfangende US-Organisation unter diesem Framework auch tatsächlich zertifiziert ist.

Für Sie als Website-Betreiber bedeutet das zweierlei. Erstens: Ein pauschales "USA ist verboten" stimmt seit 2023 so nicht mehr. Zweitens, und praktisch wichtiger: Sie müssen im Einzelfall prüfen, ob der konkrete Dienst zertifiziert ist. Das gilt nicht nur fürs eigentliche Hosting, sondern für jeden externen Dienst, der Nutzerdaten sieht. Also auch für Google Fonts, wenn sie live nachgeladen werden, für ein US-Analytics-Tool, für einen US-Newsletter-Dienst oder eine eingebettete Karte. Der einfachste Weg, sich diese Prüferei zu ersparen, ist auch hier: europäische Alternativen nutzen, wo es geht.

Der Auftragsverarbeitungsvertrag: das Dokument, das gern vergessen wird

Jetzt zu dem Punkt, der in der Praxis am häufigsten fehlt. Sobald ein Hoster für Sie personenbezogene Daten verarbeitet, und das tut er praktisch immer, allein durch Server-Logs mit IP-Adressen, müssen Sie mit ihm einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen. Fehlt dieser Vertrag, drohen Maßnahmen der Datenschutzaufsichtsbehörden. Das ist keine Formalität für den Aktenordner, sondern eine harte gesetzliche Pflicht.

Die gute Nachricht: Das ist unkompliziert. Seriöse Hoster stellen einen AVV standardmäßig bereit, meist zum Download oder zum Ankreuzen im Kundenkonto. Und wer sich das Dokument selbst ansehen oder gegenprüfen will, findet bei der WKO einen österreichischen Mustervertrag für die Auftragsverarbeitung nach Art. 28 DSGVO. Damit sehen Sie schwarz auf weiß, welche Punkte drinstehen müssen.

Ein kleines Praxisbeispiel: Ein Fotograf aus Graz hostet seine Website bei einem günstigen Anbieter, hat aber nie einen AVV abgeschlossen, weil er gar nicht wusste, dass er einen braucht. Kommt eine Beschwerde oder eine Prüfung, steht er ohne dieses Dokument da. Der Aufwand, den AVV rechtzeitig einzuholen, ist eine Viertelstunde. Der Aufwand, ihn im Nachhinein bei einem behördlichen Verfahren zu erklären, ist ungleich größer. Holen Sie das Dokument also gleich am Anfang.

Schritt für Schritt: So hosten Sie sauber

Damit das nicht abstrakt bleibt, hier der konkrete Ablauf, den ich empfehle:

  1. Hoster mit EU-Standort und EU-Eigentümer wählen. Serverstandort in der EU, idealerweise Österreich oder die DACH-Region. Prüfen Sie, ob das Unternehmen einer US-Mutter gehört. Wenn ja, genauer hinschauen.
  2. Nach den Subdienstleistern fragen. Ein Hoster nutzt oft weitere Dienste, etwa für Backups, CDN oder E-Mail-Versand. Fragen Sie, welche das sind und wo die sitzen. Auch die müssen konform sein, sonst hilft Ihnen Ihr sauberer Hauptstandort wenig.
  3. AVV nach Art. 28 DSGVO abschließen. Herunterladen, prüfen, unterschreiben oder im Kundenkonto aktivieren. Am WKO-Mustervertrag können Sie abgleichen, ob nichts Wesentliches fehlt.
  4. Externe Dienste durchgehen. Fonts, Analytics, Karten, Newsletter, Chat-Widgets. Alles, was Daten in die USA schickt, gehört auf den Prüfstand: europäische Alternative oder zumindest ein unter dem Data Privacy Framework zertifizierter Anbieter.
  5. Dokumentieren. Halten Sie fest, wo was liegt und welche Verträge existieren. Das ist Ihr Nachweis im Ernstfall und Teil Ihres Verzeichnisses von Verarbeitungstätigkeiten.

Wenn Sie diese fünf Punkte abgehakt haben, sind Sie beim Hosting auf der sicheren Seite. Es ist wirklich nicht mehr Aufwand als das, man muss es nur einmal ordentlich machen.

Häufige Irrtümer, die teuer werden können

Ein paar Denkfehler tauchen bei diesem Thema besonders oft auf, und die räume ich hier gleich weg.

"Server in Frankfurt heißt DSGVO-konform." Nein. Wie oben erklärt, entscheidet die Kontrolle über die Daten, nicht der Standort des Rechenzentrums. Eine US-Tochter in Frankfurt kann trotzdem unter den CLOUD Act fallen.

"Ich brauche keinen AVV, ich habe ja nur eine kleine Visitenkarten-Website." Auch eine schlichte Website verarbeitet über die Server-Logs personenbezogene Daten. Der AVV nach Art. 28 DSGVO ist keine Frage der Website-Größe, sondern der Tatsache, dass ein Dritter für Sie Daten verarbeitet.

"Seit dem Framework 2023 darf ich wieder alles in den USA machen." Nur, wenn der konkrete Dienst zertifiziert ist. Das müssen Sie pro Dienst prüfen, nicht pauschal annehmen.

"Der Hoster ist verantwortlich, nicht ich." Für die Auswahl eines geeigneten Auftragsverarbeiters sind Sie verantwortlich. Und für die tatsächliche Konformität kommt es nicht nur auf den Standort an, sondern auch auf den Hoster und dessen eingesetzte Subdienstleister. Sie bleiben in der Pflicht, das auszuwählen.

Wer diese vier Punkte kennt, hat schon die meisten Stolperfallen umgangen, an denen kleinere Betriebe typischerweise hängenbleiben.

Was das für kleine Betriebe und Selbstständige praktisch heißt

Sie müssen kein Datenschutz-Experte werden, um sauber zu hosten. Für die meisten Wiener Einzelunternehmer, Handwerksbetriebe, Ordinationen oder Gastronomen läuft es auf eine simple Grundregel hinaus: Nehmen Sie einen österreichischen oder DACH-Hoster ohne US-Mutter, schließen Sie den AVV ab, und reduzieren Sie US-Dienste auf das, was wirklich zertifiziert und nötig ist.

Der schöne Nebeneffekt: Diese Entscheidung macht Ihre Website rechtssicherer. Und oft ganz nebenbei auch schneller und stabiler, weil regionale Anbieter mit europäischen Kunden erfahrungsgemäß gut umgehen können und der Support zu Ihren Zeiten und auf Deutsch erreichbar ist. Rechtssicherheit und Praktikabilität ziehen hier ausnahmsweise am selben Strang.

Wenn Sie unsicher sind, ob Ihr aktuelles Setup passt, oder ob Ihr Hoster tatsächlich hält, was er verspricht, dann sehen wir uns das gemeinsam an. Schicken Sie uns die Details, und wir prüfen Standort, Eigentümerstruktur und AVV. Nehmen Sie einfach über unser Kontaktformular Verbindung auf.

DSGVO-konformes Website-Hosting in Österreich mit EU-Serverstandort und AuftragsverarbeitungsvertragDSGVO-konformes Website-Hosting in Österreich mit EU-Serverstandort und Auftragsverarbeitungsvertrag

Key-Takeaways

  • Standort ist nicht alles. DSGVO-konformes Hosting heißt EU-Serverstandort, idealerweise Österreich/DACH, plus ein Hoster ohne US-Kontrolle. Der CLOUD Act greift auch auf EU-Töchter von US-Anbietern durch.
  • AVV ist Pflicht. Ohne Auftragsverarbeitungsvertrag nach Art. 28 DSGVO drohen Maßnahmen der Datenschutzbehörde. Der WKO-Mustervertrag zeigt, was drinstehen muss.
  • Zwei Daten merken. Schrems II (16.07.2020, C-311/18) kippte den Privacy Shield. Seit 10.07.2023 sind US-Transfers unter dem Data Privacy Framework wieder möglich, aber nur zu zertifizierten Empfängern.
  • Art. 48 DSGVO schützt Sie. Ein US-Behördenbeschluss ist ohne internationales Abkommen nicht anzuerkennen, und ein solches Abkommen für den Strafverfolgungszugriff gibt es nicht.
  • Verantwortung bleibt bei Ihnen. Sie wählen Hoster und Subdienstleister aus. Standort, Anbieter und Subdienstleister müssen zusammen konform sein.

Fazit

Die Frage, wo Ihre Website DSGVO-konform gehostet wird, lässt sich in einem Satz beantworten: bei einem EU-Hoster ohne US-Kontrolle, mit unterschriebenem AVV, und mit einem kritischen Blick auf jeden externen Dienst. Das ist kein Hexenwerk und kostet Sie einmal eine Stunde Aufmerksamkeit statt eines dauernden Kopfzerbrechens. Wer diese Grundlagen sauber legt, hat beim Hosting Ruhe und kann sich um das kümmern, was wirklich Geld bringt: die eigenen Kunden.

Wenn Sie wollen, dass Ihre Website von Anfang an auf einem rechtssicheren Fundament steht, oder wenn Sie ein bestehendes Setup geprüft haben möchten, melden Sie sich bei uns über das Kontaktformular. Wir schauen es uns an und sagen Ihnen ehrlich, ob alles passt oder wo nachgebessert gehört.

Dieser Beitrag ersetzt keine Rechts- oder Steuerberatung im Einzelfall.

Quellen

Fazit

DSGVO-konformes Hosting heißt 2026 mehr als ein EU-Serverstandort. Entscheidend sind Eigentümerstruktur, Auftragsverarbeitungsvertrag und ein kritischer Blick auf jeden US-Dienst.

16.07.2020
Schrems-II-Urteil (Privacy Shield gekippt)
10.07.2023
Data Privacy Framework in Kraft
Art. 28 DSGVO
AVV-Grundlage
Mehr Artikel lesen

Häufig gestellte Fragen

Reicht ein Serverstandort in Deutschland für DSGVO-Konformität aus?

Nein. Entscheidend ist die Kontrolle über die Daten, nicht der Standort des Rechenzentrums. Gehört der Hoster einer US-Muttergesellschaft, kann der CLOUD Act die Datenherausgabe auch dann erzwingen, wenn der Server in Frankfurt oder Amsterdam steht.

Brauche ich für eine kleine Website wirklich einen Auftragsverarbeitungsvertrag?

Ja. Auch eine schlichte Visitenkarten-Website verarbeitet über Server-Logs personenbezogene Daten wie IP-Adressen. Der AVV nach Art. 28 DSGVO ist keine Frage der Größe, sondern der Tatsache, dass ein Dritter für Sie Daten verarbeitet.

Darf ich seit dem Data Privacy Framework 2023 wieder alle US-Dienste nutzen?

Nur, wenn der konkrete Dienst unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das gilt pro Dienst und muss im Einzelfall geprüft werden, nicht pauschal für alle US-Anbieter angenommen werden.

Wer haftet, wenn das Hosting nicht DSGVO-konform ist, ich oder der Hoster?

Für die Auswahl eines geeigneten Auftragsverarbeiters sind Sie als Betreiber verantwortlich. Standort, Anbieter und dessen Subdienstleister müssen zusammen konform sein. Die Auswahlpflicht bleibt bei Ihnen.

Woran erkenne ich einen DSGVO-konformen Hoster?

An einem EU-Serverstandort, idealerweise in Österreich oder der DACH-Region, einer Eigentümerstruktur ohne US-Mutter, einem bereitgestellten AVV nach Art. 28 DSGVO und transparenter Auskunft über eingesetzte Subdienstleister.

Haben Sie weitere Fragen? Wir helfen Ihnen gerne weiter!

TU

Experten-Profil: Thomas Uhlir MBA

Als Gründer von Red Rabbit Media kombiniert Thomas Uhlir betriebswirtschaftliche Exzellenz mit technologischer Innovation. Sein Fokus liegt auf der Entwicklung von Performance-Websites, die durch Schnelligkeit, E-E-A-T Konformität und erstklassiges Design überzeugen.

LinkedIn Profil

Artikel teilen

Hat Ihnen dieser Artikel gefallen? Teilen Sie ihn mit Ihrem Netzwerk!

Helfen Sie uns, mehr Unternehmen mit wertvollen Insights zu erreichen

Red Rabbit Media Logo

KOSTENLOS Website-Analyse

Wie performt Ihre Website wirklich?

Kostenlose SEO-Analyse, Performance-Check und Verbesserungsvorschläge von unseren Experten.

✓ 100% kostenlos • ✓ Keine Verpflichtung

Red Rabbit Media

Webdesign & Performance

Wir bauen Ihre professionelle Website ab nur 790 € – ohne Vorkasse, ohne Risiko, mit 100% Zufriedenheitsgarantie.

  • Individuelles Design (Kein Baukasten)
  • Vollständige SEO-Optimierung
  • Blitzschnelle Ladezeiten
Red Rabbit Media

Über Red Rabbit Labs

Wir sind Ihre Premium-Digitalagentur aus Österreich. Spezialisiert auf High-Performance Websites mit Next.js, SEO-Exzellenz und modernem Design.

164
Projekte
5.0/5
Rating
2016
Seit
Mehr über uns erfahren