0221 3559 23 23 - 0info@cologne-hosting.de

Wir sind gut zu Wissen.
Und teilen es gerne.

DSGVO_2026

DSGVO 2026: Was sich geändert hat – und was du jetzt tun musst

Die DSGVO ist seit 2018 in Kraft – und bleibt ein laufendes Thema. Empfehlungen werden gelegentlich aktualisiert, Anforderungen konkretisiert, und es lohnt sich, den Überblick zu behalten.

Dieser Artikel zeigt dir, welche DSGVO-Pflichten auf Hosting-Ebene geregelt werden können, wo die Grenze dieser Verantwortung liegt – und was du selbst tun musst.

E-Mails: Transportverschlüsselung ist Pflicht – aber was bedeutet das?

Art. 32 DSGVO verlangt, dass personenbezogene Daten bei der Übertragung geschützt sind. Für E-Mails bedeutet das: Die Verbindung zwischen deinem Mailprogramm und dem Mailserver muss verschlüsselt laufen – per TLS.

Das klingt technischer als es ist: Dein Hoster stellt die verschlüsselte Verbindung bereit. Du musst nur sicherstellen, dass dein Mailprogramm oder Smartphone sie auch nutzt – konkret: IMAP Port 993 (SSL/TLS), SMTP Port 587 (STARTTLS). Viele Hoster erzwingen das inzwischen und lassen unverschlüsselte Verbindungen gar nicht mehr zu.
Bei cologne.hosting ist das z.B. so – wer sein Mailprogramm erfolgreich eingerichtet hat, sendet und empfängt automatisch verschlüsselt. Unverschlüsselt funktioniert schlicht nicht.

Was TLS nicht löst:
Die Verschlüsselung endet am Mailserver. Was danach passiert – also der Weg von Server zu Server – ist technisch nicht garantiert. In der Praxis ist der Versand von Rechnungen oder Verträgen per E-Mail normaler Geschäftsalltag, den viele Empfänger auch so erwarten. Anders sieht es bei Daten mit besonders hohem Schutzbedarf aus – zum Beispiel Gesundheitsdaten oder vertrauliche Personaldaten.
Wer solche Inhalte regelmäßig verschickt, sollte über Ende-zu-Ende-Verschlüsselung per PGP oder S/MIME nachdenken – oder Dateien über einen passwortgeschützten Link teilen statt als Anhang.

Hosting: Warum der Serverstandort so wichtig ist

Dein Hoster ist aus DSGVO-Sicht kein neutraler Infrastrukturdienstleister – er ist ein Auftragsverarbeiter. Er verarbeitet personenbezogene Daten auf deiner Website, in Kontaktformularen, in Mailboxen. Die Wahl der Infrastruktur hat also direkten Einfluss darauf, wie viel du selbst regeln musst.

Serverstandort Deutschland
Daten in deutschen Rechenzentren unterliegen neben der DSGVO auch dem deutschen Datenschutzrecht. Wichtiger noch: Sobald Daten auf Servern US-amerikanischer Unternehmen liegen – auch wenn diese Server physisch in der EU stehen – greift der CLOUD Act. US-Behörden können damit unter bestimmten Bedingungen Zugriff auf diese Daten verlangen, unabhängig vom Serverstandort.

Und das gilt nicht nur für US-Konzerne: Ende 2025 hat ein kanadisches Gericht OVHcloud zur Herausgabe von Nutzerdaten verpflichtet – obwohl das Unternehmen französisch ist und die Server in Europa stehen. Serverstandort und Jurisdiktion sind zwei verschiedene Dinge. Wer jetzt denkt „na und, ich hab doch nichts zu verbergen" – dem empfehlen wir den Abschnitt über die dänische Polizei in unserem Artikel Was bedeutet eigentlich „Serverstandort Deutschland"? Das Thema ist weniger abstrakt als es klingt.

Auftragsverarbeitungsvertrag (AVV)
Ohne AVV ist die Zusammenarbeit mit einem Hoster datenschutzrechtlich nicht zulässig – das gilt seit 2018. Ein Anbieter, der das ernst nimmt, hat diesen Vertrag fertig und stellt ihn auf Anfrage zur Verfügung. Deine Aufgabe: prüfen und unterschreiben.

DSGVO_2026

Backups: Was automatisch läuft – und warum eine eigene Kopie sinnvoll ist

Art. 32 DSGVO verlangt, dass personenbezogene Daten verfügbar und wiederherstellbar bleiben. Bei cologne.hosting laufen nächtliche Backups von Webserver, Mailserver und Exchange-Server – mit einer Vorhaltezeit von mindestens 14 Tagen. Für die meisten Anwendungsfälle ist die DSGVO-Anforderung damit erfüllt.

Warum eine eigene Kopie trotzdem sinnvoll ist
Das serverseitige Backup deckt viele Szenarien ab – aber nicht alle. Wer zusätzlich eine eigene Kopie hat, kann im Notfall selbst wiederherstellen: ohne Wartezeit, ohne Kosten, unabhängig vom Anbieter.

Wie das konkret funktioniert – und was die 3-2-1-Regel damit zu tun hat – steht im Artikel Sichere Backup-Strategie: 3-2-1-Methode, Verschlüsselung & Tests.

Fazit: So bleibst du auf der sicheren Seite

DSGVO-Konformität ist kein einmaliges Projekt – aber der Aufwand ist überschaubar, wenn die Infrastruktur stimmt.

Was auf Hosting-Ebene geregelt sein kann: TLS auf dem Mailserver, automatische Backups, Serverstandort Deutschland, AVV und dokumentierte TOMs. Wer beim Anbieter die richtige Wahl trifft, muss sich darum nicht laufend kümmern.

Was wirklich deine Aufgabe bleibt: Datenschutzerklärung, Verarbeitungsverzeichnis, die Auswahl der Tools auf deiner Website und der Umgang mit besonders sensiblen Daten.

Drei konkrete Schritte:

  1. Mailkonfiguration prüfen – IMAP Port 993 (SSL/TLS), SMTP Port 587 (STARTTLS) in deinem Mailclient.
  2. AVV abschließen – Bei deinem Hoster anfragen, falls das noch offen ist. Ohne AVV ist die Zusammenarbeit formal nicht zulässig.
  3. Backup-Situation klären – Was läuft automatisch? Gibt es eine eigene Kopie außerhalb des Hosters?

Das könnte dich auch interessieren:

Backup / DSGVO / Sicherheit
Was bedeutet eigentlich „Serverstandort Deutschland

Was bedeutet eigentlich „Serverstandort Deutschland"?

„Serverstandort Deutschland" – das steht bei einigen Hostern ganz prominent auf der Webseite. Aber warum ist das eigentlich wichtig? Und macht es wirklich einen Unterschied, wo der Server physisch steht? Oder wo die Firma tatsächlich ihren Sitz hat – bzw. die zugehörige Muttergesellschaft?

Warum ist der Serverstandort überhaupt wichtig?

Stell dir vor, du parkst dein Auto in deiner Heimatstadt und kommst zurück – es wurde abgeschleppt. Ärgerlich, klar. Aber du weißt: Polizei anrufen, die sagen dir wo's steht, Gebühr bezahlen, Auto abholen. Nervt, aber du kennst die Spielregeln.

Jetzt stell dir vor, das Gleiche passiert im Ausland. Du sprichst die Sprache nicht, kennst die Gesetze nicht, weißt nicht, wer zuständig ist. Aus einem nervigen Problem wird ein Alptraum.

Genau so ist es mit deinen Server-Daten. Es geht nicht darum, dass du physisch drankommst – sondern darum, in welchem rechtlichen Umfeld deine Daten liegen und welche Gesetze dort gelten.

Datenschutz und DSGVO

Das ist der entscheidende Punkt: Server in Deutschland unterliegen deutschem und europäischem Datenschutzrecht – eines der strengsten weltweit. Das bedeutet: Du weißt genau, welche Regeln gelten, welche Rechte du hast und was passiert, wenn's Probleme gibt.

Server in den USA oder anderen Ländern außerhalb der EU? Dort gelten völlig andere Gesetze. Ausländische Behörden können unter Umständen auf deine Daten zugreifen. Und wenn's rechtliche Fragen gibt, bewegst du dich in einem System, das du nicht kennst – mit Gesetzen, die du nicht kennst, in einer Sprache, die Du vielleicht nicht (gut) sprichst.

Was bedeutet eigentlich „Serverstandort Deutschland"?

Rechtssicherheit für dich und deine Kunden

Wenn deine Daten in Deutschland liegen, kennst du die Spielregeln. Du erfüllst die DSGVO-Anforderungen, und deine Kunden können sicher sein, dass ihre Daten nach deutschen Standards geschützt sind.

„Aber die EU hat doch überall die gleichen Datenschutzgesetze?" – Jein. Die DSGVO gilt EU-weit, aber jedes Land hat zusätzlich eigene nationale Gesetze. Frankreich zum Beispiel hat eine Vorratsdatenspeicherung (Stand 01/2026). Irland – wo viele große US-Anbieter ihre europäischen Rechenzentren haben – hat oft andere Prioritäten als strengen Datenschutz. Stichwort: Steuervorteile für Tech-Konzerne.

Und selbst wenn die Gesetze ähnlich sind: Im Problemfall bewegst du dich in einem fremden Rechtssystem, möglicherweise mit Sprachbarriere.

Bei einem Server in Deutschland weißt du, an wen du dich wendest, welche Behörden zuständig sind und dass deutsche Gesetze dich und deine Kundendaten schützen.

Warum manche Anbieter Server im Ausland nutzen

Oft geht's einfach nur ums Geld – Rechenzentren in anderen Ländern können günstiger sein. Aber oft steckt mehr dahinter.

Viele große Anbieter setzen zum Beispiel bewusst auf Irland: Dort lassen sich durch geschickte Unternehmenskonstruktionen Steuern sparen. Was für den Konzern gut ist, hilft dir als Kunde aber nicht – im Gegenteil, du landest in einem anderen Rechtssystem.

Die USA? Dort gibt es Gesetze wie den Cloud Act, der es US-Behörden erlauben, auf Daten zuzugreifen – auch wenn die Server physisch in Europa stehen, solange das Unternehmen amerikanisch ist. Das kann für deine Kundendaten problematisch werden.

Und dann gibt's Länder mit schwächerem Datenschutz oder sogar Vorratsdatenspeicherung – da kommt man unter Umständen leichter an Nutzerdaten ran. Nicht immer im Interesse der Kunden, aber manchmal im Interesse von Behörden oder Firmen.

Das ist nicht automatisch immer alles schlecht, aber du solltest wissen, worauf du dich einlässt – und vor allem: warum ein Anbieter sich möglicherweise in Wahrheit für einen bestimmten Standort entschieden hat.

Worauf solltest du achten?

Frag deinen Hoster konkret: Wo stehen die Server physisch? Aber pass auf: „EU" klingt erst mal gut, ist aber nur die halbe Miete.

Wenn die Server zwar in Irland stehen, das Unternehmen aber amerikanisch ist, greift trotzdem der Cloud Act – US-Behörden könnten theoretisch auf deine Daten zugreifen. Und wie gesagt: Jedes EU-Land hat eigene nationale Gesetze zusätzlich zur DSGVO. Frankreich mit Vorratsdatenspeicherung, Irland mit Steueroptimierung statt strengem Datenschutz.

„Deutschland" gibt dir die meiste Rechtssicherheit – vorausgesetzt, es ist auch wirklich ein deutsches Unternehmen und nicht nur eine deutsche Tochterfirma eines ausländischen Konzerns.

Und schau ins Kleingedruckte: Manche Anbieter haben zwar Server in Deutschland, nutzen aber Backup-Systeme oder administrative Dienste in anderen Ländern. Dann liegen deine Daten am Ende doch wieder woanders.

Die entscheidende Frage ist also nicht nur wo der Server steht, sondern wer dahinter steckt.

Ein reales Beispiel: OVHcloud

Das klingt abstrakt? Dann schau dir an, was Ende 2025 passiert ist.

OVHcloud ist Frankreichs größter Cloud-Anbieter – europäisches Unternehmen, Server in Europa, explizit als Alternative zu US-Hyperscalern vermarktet. Ein kanadisches Gericht hat trotzdem angeordnet, dass OVHcloud Nutzerdaten an die kanadische Polizei herausgeben muss. Die Begründung: Da OVHcloud weltweit tätig ist und eine kanadische Tochterfirma betreibt, unterliege das Unternehmen der kanadischen Gerichtsbarkeit – unabhängig davon, wo die Server physisch stehen.

OVHcloud steckte damit zwischen zwei Gesetzen: Französisches Recht verbietet die Herausgabe, kanadisches Recht verlangt sie.

Der Fall ist noch nicht abgeschlossen. Aber er zeigt sehr deutlich: Serverstandort und Jurisdiktion sind zwei verschiedene Dinge. Ein global aufgestelltes Unternehmen – auch ein europäisches – kann von ausländischen Gerichten in die Pflicht genommen werden. Der physische Standort der Festplatte ist dabei zweitrangig.

Ein kleines, rein deutsches Unternehmen ohne internationale Konzernstruktur ist strukturell etwas anderes. Nicht als Marketingversprechen – sondern als rechtliche Realität.

Aber ich hab doch nichts zu verbergen

Das ist der häufigste Einwand. Und er klingt zunächst vernünftig.

Das Problem ist nicht, dass er falsch ist – das Problem ist, dass er von einer Voraussetzung ausgeht, die nicht zuverlässig erfüllt ist: dass Daten korrekt erhoben, korrekt verarbeitet und korrekt interpretiert werden. Und dass nur die richtigen Stellen darauf zugreifen.

2019 wurde in Dänemark bekannt, dass das IT-System der Polizei sieben Jahre lang fehlerhafte Telekommunikationsdaten produziert hatte. Diese Daten wurden in Tausenden von Ermittlungen und Gerichtsprozessen als Beweismittel eingesetzt. Standortdaten waren falsch zugeordnet – Menschen wurden mit Tatorten in Verbindung gebracht, an denen sie nie waren. 10.700 Strafverfahren mussten überprüft werden.

Kein Hackerangriff. Keine böse Absicht. Ein IT-Konvertierungsfehler – sieben Jahre lang unbemerkt.

Datensouveränität ist also keine Frage davon, ob du etwas zu verbergen hast. Es ist eine Frage davon, ob du darauf vertraust, dass Systeme fehlerfrei arbeiten, Daten korrekt interpretiert werden und niemand auf Basis falscher Informationen Konsequenzen für dich zieht.

Je weniger Daten unnötig gespeichert, weitergegeben und durch fremde Systeme geschleust werden, desto kleiner ist die Angriffsfläche – für Fehler genauso wie für Missbrauch.

Fazit

Wer sich für einen Anbieter mit Serverstandort Deutschland und deutschem Firmensitz entscheidet, weiß genau in welchem Rechtssystem die eigenen Daten liegen. Bekannte Behörden, bekannte Gesetze, klare Ansprechpartner.

Wer bewusst zu einem günstigeren Anbieter im Ausland greift, sollte das als bewusste Entscheidung treffen – und nicht weil man sich über die Konsequenzen keine Gedanken gemacht hat.

Bei cologne hosting ist die Antwort auf alle Fragen zu Serverstandort und Datenschutz: Deutschland.

Das könnte dich auch interessieren:

DSGVO / Grundlagen / Hosting
Abmahnungen wegen Google Fonts

Abmahnungen wegen Google Fonts - was Du jetzt tun solltest

Abmahnungen wegen Google Font Nutzung werden momentan von einigen Kanzleien und Privatleuten massenhaft an Webseitenbetreiber und Webseitenbetreiberinnen verschickt.

Worum geht es?

Es geht darum, dass bei der Nutzung von Google Fonts eine Verbindung zum Google-Server notwendig ist und dabei die IP-Adresse des Nutzers an Google übertragen wird.

Dies geschieht in diesem Moment ohne Kenntnis oder Einverständnis des Nutzers.

Zudem ist spätestens durch die DSGVO klar geregelt, dass (auch dynamische) IP-Adressen personenbezogene Daten sind und, dass personenbezogene Daten nur bei einem „berechtigten Interesse“ erhoben werden dürfen.

Hintergrund für die aktuelle Abmahnwelle ist, dass das Landgericht München am 20.01.2022 in einem konkreten Verfahren einem Kläger 100 EUR Entschädigung zugesprochen hatte, da er von der Seitenbetreiberin nicht auf die Nutzung der Google Fonts hingewiesen wurde.

Was kann ich tun?

Die beste Möglichkeit, Google Fonts DSGVO konform zu nutzen ist es, diese lokal in die Webseite einzubinden. Dabei werden die Schrift-Dateien auf den eigenen Server geladen und von dort aus in der CSS-Datei genutzt.

Gerade bei der Nutzung von WordPress sind oft Google Fonts im Einsatz, ohne dass es Seitenbetreiber oder Seitenbetreiberin selbst bewusst wäre.

Mal sind sie in einem Template eingebunden, oder in einem Plugin, auch Google Maps oder reCaptcha nutzen (natürlich) Google Fonts.

Aber Unwissenheit schützt eben vor Strafe nicht.

Abmahnungen wegen Google Fonts

Wie kann ich das prüfen?

e-recht24.de bietet ein Prüftool an:
https://www.e-recht24.de/google-fonts-scanner

Wenn Google Fonts auf Deiner Webseite genutzt werden, und Du nicht weißt was Du tun musst, schreibe mir einfach:
support@cologne-hosting.de

Ich wurde schon abgemahnt, was kann ich tun?

Solltest Du bereits eine Abmahnung erhalten haben, findest Du bei Wilde Beuger Solmecke passende Musterschreiben:
https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/google-webfont-musterschreiben-61157/

Das könnte dich auch interessieren:

DSGVO
cologne hosting Logo
Webhosting & vServer Vergleich auf hosttest

LINKS

SUPPORT

E-Mail
support@cologne-hosting.de

KONTAKT

0221 3559 23 23 - 0


Allgemein
info@cologne-hosting.de

Buchhaltung
buchhaltung@cologne-hosting.de

 

COPYRIGHT © 2005-2026 COLOGNE HOSTING. ALLE RECHTE VORBEHALTEN.