← InsightsCompliance · Technik

DSGVO-konforme WebApps in Deutschland hosten — Leitfaden.

Seit Schrems II 2020 ist klar: personenbezogene Daten von EU-Bürgern gehören nicht standardmäßig auf US-Server. Für WebApps mit Anmeldung, Formularen oder Kundenportalen heißt das: EU-Hosting, AVV, verschlüsselte Backups, dokumentierte Zugriffe. Wie das technisch aussieht — und welche Anbieter tatsächlich liefern.

Amir Majzoub12. Juli 202610 Min. Lesezeit

Rechtsgrundlagen kompakt

Drei Bausteine bilden den rechtlichen Rahmen für WebApps mit Personendaten:

  • Art. 28 DSGVO — Auftragsverarbeitung: Jeder Anbieter, der in eurem Auftrag personenbezogene Daten verarbeitet (Hosting, E-Mail-Versand, Analytics, CRM), braucht einen unterschriebenen Auftragsverarbeitungsvertrag (AVV).
  • Schrems II (EuGH 2020): Der US-EU-Privacy-Shield wurde gekippt. Datentransfer in die USA braucht Zusatzmaßnahmen (Standardvertragsklauseln + Verschlüsselung). Bei sensiblen Daten ist EU-only die einzige rechtssichere Variante.
  • TDDDG (§ 25): Cookies und vergleichbare Speicherzugriffe im Browser brauchen aktive Einwilligung — nicht „berechtigtes Interesse".

Wichtig: „Server in Frankfurt" ist notwendig, aber nicht hinreichend. Auch wenn Amazon AWS Frankfurt betreibt, kann das US-Mutterunternehmen laut CLOUD Act auf Daten zugreifen. Für Hochsensibles daher EU-Anbieter mit europäischer Mutter.

Hosting-Anbieter im Vergleich

Für Compute / App-Hosting:

  • Hetzner (Deutschland): Sitz und Server in Deutschland, günstig, AVV standardmäßig. Beste Wahl für kritische Daten. Kein Managed-Kubernetes — für WebApps mit Node/Bun aber perfekt.
  • IONOS (Deutschland): Ähnlich wie Hetzner, mit umfangreicherer Managed-Landschaft. Etwas teurer. Enterprise-tauglich.
  • Cloudflare (US, EU-Isolation möglich): Für Edge und CDN unschlagbar. Bei Workers muss die EU-Data-Locality-Option aktiv sein. Für den reinen Origin-Server sensibler Daten trotzdem Hetzner oder IONOS.
  • AWS/GCP Frankfurt: Technisch hervorragend, rechtlich wegen CLOUD Act nur mit Zusatzmaßnahmen und für nicht-sensible Daten. Für viele Kunden nicht mehr genehmigungsfähig.

Für Datenbank & Auth:

  • Supabase EU-Region: Managed Postgres + Auth in Frankfurt, AVV verfügbar. Row-Level-Security macht feingranulare Zugriffskontrolle sauber möglich.
  • Neon / PlanetScale EU: Alternativen mit US-Mutter — für unkritische Daten nutzbar, sensible Daten lieber selbst-gehostet auf Hetzner.

Für Mail-Versand:

  • Resend EU-Region: Moderne API, EU-Region, AVV. Wir setzen sie für Transaktions-Mails ein.
  • Mailgun EU / Postmark EU: Etablierte Alternativen, beide mit EU-Region.

Auth, Rollen, Row-Level-Security

Wer sich einloggen kann, sieht welche Daten? Das ist keine Frontend-Frage, sondern gehört in die Datenbank-Schicht. Bei Postgres regelt das Row-Level-Security (RLS): jede Zeile einer Tabelle bekommt eine Policy, die entscheidet, wer sie lesen oder ändern darf.

Vorteil: selbst wenn der Application-Code einen Bug hat, kann kein Nutzer fremde Daten sehen. Das ist der Unterschied zwischen „wir haben eine Rolle in unserem Code" und „die Datenbank lässt es nicht zu".

Ergänzend: MFA (Multi-Faktor) für Admin-Rollen ist Pflicht, nicht Extra. Ohne MFA reicht ein geleaktes Passwort.

Backups & Verschlüsselung

  • Backup-Frequenz: mindestens täglich, für kritische Daten stündlich mit Point-in-Time-Recovery.
  • Aufbewahrung: 30 Tage Standard, länger nur mit dokumentierter Rechtsgrundlage.
  • Verschlüsselung at rest: AES-256 auf Datenbank- und Backup-Ebene. Bei Hetzner/IONOS Standard.
  • Verschlüsselung in transit: TLS 1.2+ überall, HSTS-Header, keine Mixed-Content-Loader.
  • Recovery-Test: ein Backup, das nie zurückgespielt wurde, ist kein Backup. Mindestens jährlich testen und dokumentieren.

Logging ohne DSGVO-Verstoß

Standard-Server-Logs enthalten IP-Adressen — personenbezogene Daten. Drei Regeln:

  • IP-Adressen nach 7 Tagen anonymisieren oder löschen
  • Keine sensiblen Daten (Passwörter, Tokens, Body-Inhalte) loggen
  • Log-Zugriff auf definierten Personenkreis beschränken und dokumentieren

Bei Analytics: Plausible und Umami sind cookielose EU-Tools. Google Analytics 4 lässt sich mit Consent Mode v2 und Server-Side-Tagging in Deutschland betreiben — aber nur mit sauber gebautem Consent-Banner und Opt-out-Möglichkeit.

Checkliste vor Go-Live

  1. AVV mit allen Auftragsverarbeitern unterschrieben und archiviert
  2. Datenverarbeitungsverzeichnis nach Art. 30 DSGVO angelegt
  3. Datenschutzerklärung listet alle eingesetzten Tools mit Rechtsgrundlage
  4. Impressum vollständig (§ 5 DDG) und juristisch geprüft
  5. Cookie-Consent-Banner mit echter Ablehnung, dokumentierter Einwilligung
  6. TLS 1.2+, HSTS-Header, sichere Cookie-Flags
  7. Row-Level-Security in der Datenbank für jede Nutzertabelle
  8. MFA für Admin-Rollen aktiv
  9. Backup + Recovery mindestens einmal getestet
  10. Log-Rotation mit IP-Anonymisierung nach 7 Tagen
  11. Prozess für Auskunfts- und Löschanfragen dokumentiert (Art. 15/17)

Wenn du an einem dieser Punkte hakst, oder das komplette Setup bauen lassen willst — schau dir unsere Apps- & Software-Leistung an. Wir liefern das Setup DSGVO-konform aus 17 umgesetzten Projekten.

FAQ

Häufige
Fragen.

Reicht ein Server in Frankfurt für DSGVO-Konformität?+

Nein. Der Server-Standort ist notwendig, aber nicht hinreichend. Das Mutterunternehmen des Anbieters darf keinem CLOUD-Act-ähnlichen Gesetz unterliegen. Deshalb bei sensiblen Daten Hetzner oder IONOS statt AWS Frankfurt.

Was ist mit Cloudflare?+

Für CDN und Edge weiterhin nutzbar. Bei Workers muss die EU-Data-Locality aktiv sein. Für den reinen Origin-Server sensibler Daten trotzdem europäischer Anbieter.

Muss ich mit jedem SaaS einen AVV abschließen?+

Ja, mit jedem, der personenbezogene Daten in eurem Auftrag verarbeitet. Das umfasst Hosting, E-Mail-Versand, CRM, Analytics, Payment-Provider, Fonts-CDN.

Sind Google Fonts DSGVO-konform nutzbar?+

Nur wenn selbst gehostet oder über einen EU-Proxy geladen. Direkter Einbau via fonts.googleapis.com wurde 2022 mehrfach abgemahnt.

Wie sieht ein DSGVO-konformes Cookie-Banner aus?+

Aktive Einwilligung pro Kategorie, echter Ablehnungs-Button in gleicher Prominenz wie Zustimmung, dokumentierte Consent-Historie. Kein „Weiter surfen bedeutet Zustimmung" — das ist unwirksam.

Was passiert bei einem Datenleck?+

Meldepflicht innerhalb von 72 Stunden an die zuständige Landes-Datenschutzbehörde (bei Berlin: BlnBDI). Bei Risiko für Betroffene zusätzlich direkte Information. Ohne dokumentierten Incident-Response-Prozess wird das teuer.

Können wir Supabase nutzen?+

Ja, in der EU-Region (Frankfurt) mit AVV. Row-Level-Security ist ein starkes Argument gegen viele Datenschutz-Risiken. Für hochsensible Daten selbst gehostete Postgres-Instanz auf Hetzner.

Wer haftet, wenn der Dienstleister patzt?+

Nach Art. 28 DSGVO haftet zunächst der Verantwortliche (ihr) gegenüber Betroffenen, kann sich aber am Auftragsverarbeiter regressieren — sofern der AVV das sauber regelt. Deshalb AVV nicht einfach signieren, sondern prüfen lassen.

— Autor

Amir Majzoub · Founder, Luminex Consulting

Berlin. Baut seit 2025 Done4You-Digital-Setups für mittelständische Unternehmen — Webdesign, Apps, Automations und Marketing aus einer Hand. 17 umgesetzte Projekte, Datenhaltung ausschließlich in der EU.

— Nächster Schritt

DSGVO-Setup prüfen oder neu aufsetzen?

Wir schauen uns euren aktuellen Stack an und liefern binnen 24 h eine Einschätzung mit konkreten nächsten Schritten — kostenfrei, unverbindlich.

  • · Antwort in unter 24 Stunden
  • · Kein Verkaufsdruck, kein CRM-Spam
  • · DSGVO-konform · Double-Opt-in

Mit dem Absenden erhältst du eine Bestätigungsmail. Details in der Datenschutzerklärung.

Antwort binnen 4 h werktags

Lieber per WhatsApp