Zum Inhalt springen
21+ Projekte erfolgreich umgesetzt 5.0★ Google Bewertung · Lauenburg & Umgebung Kostenloses 15-Min Erstgespräch — direkt mit Ronni Kostenlose Erstberatung buchen →
DSGVO EU-Hosting Schrems II Cloud Datenschutz

EU-Hosting vs. US-Cloud — was DSGVO 2026 wirklich verlangt

EU-Hosting oder US-Cloud — was ist DSGVO-konform 2026? Praktische Entscheidungshilfe mit konkreten Anbietern, Preisen und Risiken. Plus: was Schrems II für KMU bedeutet.

Ronni Wordel
4 Min. Lesezeit

„Ist das DSGVO-konform?” — diese Frage höre ich bei jedem zweiten Erstgespräch. Die Antwort hängt fast immer am Hosting. Wer Daten in die USA fließen lässt — sei es über AWS, Google Cloud, Azure, oder einfach durch eingebundene US-Tracking-Tools — bewegt sich seit Schrems II in einer juristischen Grauzone, die 2026 immer enger wird.

Hier eine pragmatische Übersicht: was wirklich DSGVO-konform ist, was theoretisch geht aber Risiken birgt, und wie KMU eine sichere Entscheidung treffen.

Schrems II in zwei Sätzen

Der Europäische Gerichtshof hat 2020 (Urteil C-311/18) entschieden: US-Anbieter können personenbezogene Daten von EU-Bürgern nicht rechtssicher verarbeiten, weil US-Behörden (FBI, NSA) auch ohne Verdacht Zugriff haben. Das EU-US Data Privacy Framework von 2023 hat das teilweise repariert — aber nur für US-Unternehmen, die sich explizit zertifizieren lassen, und nur unter sehr strikten Auflagen.

Praktisch heißt das: jeder Verarbeitungsvorgang mit US-Anbietern braucht eine konkrete Risikoanalyse, einen geprüften Auftragsverarbeitungs-Vertrag (AVV), und im Zweifel zusätzliche Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung).

Was definitiv EU-konform ist

Hosting auf EU-Servern bei EU-Anbietern

Hetzner (Falkenstein), IONOS (Karlsruhe), Strato (Berlin), Dogado (Dortmund), All-Inkl (Friedersdorf), Plesk-Hosting bei jedem deutschen Provider: 100 Prozent EU-konform. Datenstrom verlässt die EU nicht.

Bei webAION läuft die gesamte Infrastruktur auf einem deutschen Plesk-VPS. Keine US-Cloud, kein US-CDN, keine US-Tracking-Tools.

Anthropic Claude über EU-Endpoints

Anthropic bietet seit Q3 2025 EU-Endpoints (Frankfurt-Region). Wenn du ausschließlich diese nutzt und im AVV explizit „EU-Datenresidenz” vereinbart ist, sind Claude-Verarbeitungen DSGVO-konform.

Azure OpenAI mit EU-Datenresidenz

Microsoft Azure bietet Azure OpenAI in EU-Datenregionen mit AVV. Trotz Microsoft-Mutterunternehmen US ist das aktuell die rechtssicherste Variante für ChatGPT-Modelle.

Google Gemini über Google Workspace EU

Google Workspace bietet EU-Datenresidenz und einen entsprechenden AVV. Gemini-Anfragen über Workspace bleiben in der EU.

n8n Self-Hosted

n8n ist Open-Source und kann komplett auf eigenem Server laufen. Wenn du n8n auf einem EU-VPS hostest, sind alle Workflows DSGVO-konform — egal welche externen APIs sie aufrufen, weil dein Server der Datenhüter ist.

Was DSGVO-grenzwertig ist

Standard-OpenAI-API

Direkter Zugriff auf api.openai.com ohne Azure: Datenflüsse in die USA. Theoretisch über DPA und EU-Datenpaket gehbar, in der Praxis riskant. Datenschutzbehörden mehrerer EU-Länder haben das 2024–2025 als problematisch eingestuft.

AWS, Google Cloud, Azure ohne EU-Region-Zwang

Ohne explizit konfigurierte EU-Region speichern diese Anbieter Daten weltweit verteilt. AWS „eu-central-1” allein reicht nicht, wenn andere Services (CloudFront, IAM, Cognito) ohne Region-Lock laufen.

US-Tracking auf der Website

Google Analytics 4, Facebook Pixel, LinkedIn Insight Tag — alle senden Daten in die USA. Mit Cookie-Banner und expliziter Einwilligung machbar, aber mit Risiko: Datenschutzbehörden (besonders die österreichische und französische) haben 2024 mehrfach Bußgelder verhängt.

US-CDN ohne EU-First-Konfiguration

Cloudflare, Fastly, KeyCDN: meist mit globaler Verteilung. Bei sensiblen Daten (Gesundheits-, Finanz-, Behörden-Daten) problematisch.

Was eindeutig nicht DSGVO-konform ist

Standard-WhatsApp Business API

Trotz Meta-Versprechungen läuft die WhatsApp-Business-API in den USA und Singapur. Für Kunden-Kommunikation mit personenbezogenen Daten: Datenschutzrisiko.

TikTok-Pixel und ähnliche chinesische Tracking-Tools

ByteDance ist chinesischer Konzern mit Datenflüssen außerhalb EU/USA. DSGVO-Konformität faktisch unmöglich.

Free-Tier Cloud-AI ohne AVV

Claude Free, Gemini Free, ChatGPT Free: keine AVVs, keine Datenresidenz-Garantie. Für interne Tests okay, für Kunden-Daten verboten.

Praktische Empfehlung für KMU

Drei Stufen-Plan:

Stufe 1 (sofort, niedrigster Aufwand): Website-Hosting auf einem deutschen Provider. Kosten: 5–40 Euro pro Monat. Effekt: 80 Prozent der DSGVO-Probleme weg.

Stufe 2 (3–6 Monate, mittlerer Aufwand): KI-Workloads auf Anthropic-EU oder Azure-OpenAI-EU umstellen. Kosten: gleich wie ohne EU-Lock. Effekt: KI-Verarbeitung rechtssicher.

Stufe 3 (6–12 Monate, höherer Aufwand): n8n self-hosted statt Make.com oder Zapier. Kosten: 15–30 Euro pro Monat zusätzlich für VPS. Effekt: keine Vendor-Lock-in-Risiken mehr.

Bei webAION starten wir bei jedem Kunden mit Stufe 1 und Stufe 2 — und beraten Stufe 3 dann, wenn das Volumen den Aufwand rechtfertigt.

Was bei dir realistisch ist

Wenn du aktuell auf US-Cloud läufst und dir nicht sicher bist, ob deine Verarbeitungsvorgänge DSGVO-konform sind, ist der erste Schritt eine Bestandsaufnahme. Im 15-Min-Erstgespräch sehen wir uns deine Hosting-, Tracking- und KI-Setup an und identifizieren die Top-3-Risiken. Direkt mit dem Builder, kein Account-Manager. Bei webAION läuft alles auf EU-Infrastruktur — und wir migrieren dich gerne dorthin, wenn du heute noch US-abhängig bist.

Bereit für den nächsten Schritt?

Berechnen Sie jetzt das Potenzial Ihres Projekts.

ROI-Check

Was kostet Sie eine schlechte Website?

Schlechtes Design kostet Vertrauen – und damit Umsatz. Berechnen Sie Ihr Potenzial.

1,000
2.0%

Typisch sind 1% - 3%.

Ihr ungenutztes Potenzial

+0 €

pro Monat durch 30% UX-Optimierung

  • Mehr Anfragen durch klare Call-to-Actions
  • Höhere Sichtbarkeit durch Google-Optimierung
Potenzial heben