Die DSGVO ist seit 2018 in Kraft – und bleibt ein laufendes Thema. Empfehlungen werden gelegentlich aktualisiert, Anforderungen konkretisiert, und es lohnt sich, den Überblick zu behalten.
Dieser Artikel zeigt dir, welche DSGVO-Pflichten auf Hosting-Ebene geregelt werden können, wo die Grenze dieser Verantwortung liegt – und was du selbst tun musst.
E-Mails: Transportverschlüsselung ist Pflicht – aber was bedeutet das?
Art. 32 DSGVO verlangt, dass personenbezogene Daten bei der Übertragung geschützt sind. Für E-Mails bedeutet das: Die Verbindung zwischen deinem Mailprogramm und dem Mailserver muss verschlüsselt laufen – per TLS.
Das klingt technischer als es ist: Dein Hoster stellt die verschlüsselte Verbindung bereit. Du musst nur sicherstellen, dass dein Mailprogramm oder Smartphone sie auch nutzt – konkret: IMAP Port 993 (SSL/TLS), SMTP Port 587 (STARTTLS). Viele Hoster erzwingen das inzwischen und lassen unverschlüsselte Verbindungen gar nicht mehr zu.
Bei cologne.hosting ist das z.B. so – wer sein Mailprogramm erfolgreich eingerichtet hat, sendet und empfängt automatisch verschlüsselt. Unverschlüsselt funktioniert schlicht nicht.
Was TLS nicht löst:
Die Verschlüsselung endet am Mailserver. Was danach passiert – also der Weg von Server zu Server – ist technisch nicht garantiert. In der Praxis ist der Versand von Rechnungen oder Verträgen per E-Mail normaler Geschäftsalltag, den viele Empfänger auch so erwarten. Anders sieht es bei Daten mit besonders hohem Schutzbedarf aus – zum Beispiel Gesundheitsdaten oder vertrauliche Personaldaten.
Wer solche Inhalte regelmäßig verschickt, sollte über Ende-zu-Ende-Verschlüsselung per PGP oder S/MIME nachdenken – oder Dateien über einen passwortgeschützten Link teilen statt als Anhang.
Hosting: Warum der Serverstandort so wichtig ist
Dein Hoster ist aus DSGVO-Sicht kein neutraler Infrastrukturdienstleister – er ist ein Auftragsverarbeiter. Er verarbeitet personenbezogene Daten auf deiner Website, in Kontaktformularen, in Mailboxen. Die Wahl der Infrastruktur hat also direkten Einfluss darauf, wie viel du selbst regeln musst.
Serverstandort Deutschland
Daten in deutschen Rechenzentren unterliegen neben der DSGVO auch dem deutschen Datenschutzrecht. Wichtiger noch: Sobald Daten auf Servern US-amerikanischer Unternehmen liegen – auch wenn diese Server physisch in der EU stehen – greift der CLOUD Act. US-Behörden können damit unter bestimmten Bedingungen Zugriff auf diese Daten verlangen, unabhängig vom Serverstandort.
Und das gilt nicht nur für US-Konzerne: Ende 2025 hat ein kanadisches Gericht OVHcloud zur Herausgabe von Nutzerdaten verpflichtet – obwohl das Unternehmen französisch ist und die Server in Europa stehen. Serverstandort und Jurisdiktion sind zwei verschiedene Dinge. Wer jetzt denkt „na und, ich hab doch nichts zu verbergen" – dem empfehlen wir den Abschnitt über die dänische Polizei in unserem Artikel Was bedeutet eigentlich „Serverstandort Deutschland"? Das Thema ist weniger abstrakt als es klingt.
Auftragsverarbeitungsvertrag (AVV)
Ohne AVV ist die Zusammenarbeit mit einem Hoster datenschutzrechtlich nicht zulässig – das gilt seit 2018. Ein Anbieter, der das ernst nimmt, hat diesen Vertrag fertig und stellt ihn auf Anfrage zur Verfügung. Deine Aufgabe: prüfen und unterschreiben.
Backups: Was automatisch läuft – und warum eine eigene Kopie sinnvoll ist
Art. 32 DSGVO verlangt, dass personenbezogene Daten verfügbar und wiederherstellbar bleiben. Bei cologne.hosting laufen nächtliche Backups von Webserver, Mailserver und Exchange-Server – mit einer Vorhaltezeit von mindestens 14 Tagen. Für die meisten Anwendungsfälle ist die DSGVO-Anforderung damit erfüllt.
Warum eine eigene Kopie trotzdem sinnvoll ist
Das serverseitige Backup deckt viele Szenarien ab – aber nicht alle. Wer zusätzlich eine eigene Kopie hat, kann im Notfall selbst wiederherstellen: ohne Wartezeit, ohne Kosten, unabhängig vom Anbieter.
Wie das konkret funktioniert – und was die 3-2-1-Regel damit zu tun hat – steht im Artikel Sichere Backup-Strategie: 3-2-1-Methode, Verschlüsselung & Tests.
Fazit: So bleibst du auf der sicheren Seite
DSGVO-Konformität ist kein einmaliges Projekt – aber der Aufwand ist überschaubar, wenn die Infrastruktur stimmt.
Was auf Hosting-Ebene geregelt sein kann: TLS auf dem Mailserver, automatische Backups, Serverstandort Deutschland, AVV und dokumentierte TOMs. Wer beim Anbieter die richtige Wahl trifft, muss sich darum nicht laufend kümmern.
Was wirklich deine Aufgabe bleibt: Datenschutzerklärung, Verarbeitungsverzeichnis, die Auswahl der Tools auf deiner Website und der Umgang mit besonders sensiblen Daten.
Drei konkrete Schritte:
- Mailkonfiguration prüfen – IMAP Port 993 (SSL/TLS), SMTP Port 587 (STARTTLS) in deinem Mailclient.
- AVV abschließen – Bei deinem Hoster anfragen, falls das noch offen ist. Ohne AVV ist die Zusammenarbeit formal nicht zulässig.
- Backup-Situation klären – Was läuft automatisch? Gibt es eine eigene Kopie außerhalb des Hosters?
Das könnte dich auch interessieren:
