Kurze Antwort
Für datenschutzfokussiertes KI-App-Hosting in der EU haben Sie vier bewährte Optionen: Hetzner (deutsches Unternehmen, kein unmittelbares Drittstaatenrisiko durch US-Konzernstruktur), DigitalOcean (US-Unternehmen mit EU-DPA und Frankfurter Rechenzentrum), AWS eu-central-1 (mit DPA und Standard Contractual Clauses) und GCP europe-west3 (ähnlich AWS). Welcher Provider passt, hängt von Ihrem Budget, der Infrastruktur-Komplexität und Ihrem dokumentierten Risikoappetit ab.
Die genannten Cloud-Act- und DSGVO-Risikoeinschätzungen sind Risikoeinschätzungen nach unserer Methodik, keine rechtlichen Gutachten.
Wichtig: Ein niedriges Cloud-Act-Risiko bedeutet nicht automatisch, dass Ihre KI-App in jedem Szenario rechtskonform eingesetzt werden kann. Entscheidend sind auch der Abschluss einer Auftragsverarbeitung (AVV/DPA), die konkrete Datenverarbeitung (Kundendaten, Trainingsdaten) und Ihre internen Datenschutzprozesse.
Praxisregel: (1) AVV/DPA mit dem Provider abschließen — kostenlos, vor Deployment erforderlich. (2) Für Hetzner: AVV aus der Konsole laden, unterzeichnen. (3) Für DigitalOcean/AWS/GCP: DPA akzeptieren + bei US-Providern Transfer Impact Assessment (TIA) schriftlich dokumentieren (mit Datenschutzverantwortung). (4) Datenschutzerklärung aktualisieren: Hosting-Provider, Region, Verfügbarkeit der DPA nennen. (5) Sub-Prozessor-Liste prüfen (monatlich aktualisiert).
K.O.-Kriterien für Hosting-Entscheidungen
Folgende Szenarien erfordern besondere Aufmerksamkeit oder sind nicht zu empfehlen:
- Dynamische personenbezogene Daten (Namen, E-Mails, Finanz-/Gesundheitsdaten) auf Servern außerhalb der EU ohne aktive SCCs + TIA → nicht empfohlen
- DSGVO-Verarbeitung ohne abgeschlossenes DPA/AVV → Verstoss gegen Art. 28 DSGVO, Bußgeldrisiko bis 4%
- Unkontrollierte Sub-Prozessoren-Nutzung → Provider muss Sub-Prozessor-Liste veröffentlichen und Sie müssen diese regelmäßig prüfen
- Serverstandort ändern ohne Dokumentation → Stellt neue Drittstaaten-Risiken dar, erfordert Neu-Bewertung
Schnellentscheidung
| Provider | Gründung | Rechenzentrum | Cloud-Act-Komplexität | DPA verfügbar | Einstiegspreis |
|---|---|---|---|---|---|
| Hetzner | 1997, Deutschland | Falkenstein (DE), Nürnberg (DE), Helsinki (FI) — laut hetzner.com (Stand: 2026-06) | Sehr niedrig | Ja (kostenlos) | €3,99/Monat |
| DigitalOcean | 2011, USA | Frankfurt (FRA1), Amsterdam (AMS3) — laut docs.digitalocean.com (Stand: 2026-06) | Mittel | Ja (Standard) | $4/Monat |
| AWS | 2006, USA | eu-central-1 Frankfurt — laut aws.amazon.com (Stand: 2026-06) | Hoch | Ja (mit SCCs) | nutzungsabhängig (laut Anbieter) |
| GCP | 2010, USA | europe-west3 Frankfurt — laut cloud.google.com (Stand: 2026-06) | Hoch | Ja (mit SCCs) | nutzungsabhängig (laut Anbieter) |
Warum diese vier Provider?
Hetzner ist ein deutsches Unternehmen mit über 25 Jahren Rechenzentrum-Erfahrung. Aufgrund des deutschen Hauptsitzes und ausschließlich europäischer Serverstandorte (Falkenstein, Nürnberg, Helsinki) besteht kein unmittelbares Cloud-Act-Risiko durch eine US-Muttergesellschaft. Für KMU mit einfachen Anforderungen (Single Server, API-Wrapper um OpenAI/Claude/Gemini, bis 100 GB Datenspeicher) ist Hetzner für viele KMU eine naheliegende Option. Technisch: CPU-Auslastung über Konsole überwacht, Snapshots in Deutschland, minimale Netzwerk-Konfiguration. AVV kostenlos verfügbar (Stand: 2026-06, laut hetzner.com/legal).
DigitalOcean ist ein US-amerikanisches Unternehmen mit Rechenzentren in der EU (Frankfurt FRA1, Amsterdam AMS3). Die DPA ist dokumentiert und öffentlich verfügbar (Stand: 2026-06, laut digitalocean.com/legal/data-processing-agreement). Cloud-Act-Anwendbarkeit bleibt aufgrund der US-Konzernstruktur bestehen. Daten können in EU-Regionen gespeichert werden und DigitalOcean stellt ein DPA bereit (Stand: 2026-06, laut Anbieterdokumentation digitalocean.com/legal). Technisch attraktiv: Managed Kubernetes (DOKS), PostgreSQL mit automatischen Backups, App Platform. TIA-Dokumentation erforderlich: Sie müssen schriftlich festhalten, warum EU-Datenspeicherung + DigitalOcean-DPA ein akzeptables Risiko darstellt.
AWS ist ein US-Konzern. Auch in eu-central-1 (Frankfurt) ist US-Bundesgesetzgebung (insbesondere Cloud Act) theoretisch anwendbar. AWS stellt eine DPA über AWS Artifact zur Verfügung (Stand: 2026-06, laut aws.amazon.com/compliance); Standard Contractual Clauses müssen akzeptiert werden. Technisch: EC2-Instanzen mit IAM-Policies, VPC für Netzwerk-Isolation, RDS für verwaltete Datenbanken. Für komplexe Infrastruktur (EKS, Auto-Scaling, Multi-Region-Failover) etabliert. TIA erforderlich: Dokumentieren Sie Art und Umfang der gespeicherten Daten und bewerten Sie eigenverantwortlich die möglichen Auswirkungen eines Behördenzugriffs.
GCP (Google Cloud Platform, Alphabet Inc.) ist ähnlich AWS: US-Konzern, eu-region europe-west3 (Frankfurt), Cloud Act anwendbar. DPA mit SCCs erforderlich (Stand: 2026-06, laut cloud.google.com/terms/data-processing-addendum). Technisch besser für AI/ML: Vertex AI, BigQuery, bessere Integration mit Google-Diensten. Datenspeicherung standardmäßig in der Region. TIA: ähnliche Anforderung wie AWS.
Technische Umsetzung: Datenspeicherung und Netzwerk
Datenspeicherung und Residency
Bei personenbezogenen Daten (Eingaben zu LLM-APIs, Logs) wählen viele Unternehmen eine EU-Region, um Drittstaatentransfers zu reduzieren:
- Hetzner, DigitalOcean, AWS eu-central-1, GCP europe-west3: Datenspeicherung standardmäßig in der Region. Prüfen Sie, ob Multi-Region-Replikation aktiviert ist — kann Daten in die USA verschieben.
- AWS S3, GCP Cloud Storage: Explizit auf
eu-central-1bzw.europe-west3begrenzen in den Bucket-Policies. - Sub-Prozessoren (z.B. CloudFlare CDN): Können Daten replizieren — überprüfen Sie Sub-Prozessor-Standorte.
Reverse Proxy und Verschlüsselung
Best Practice für KI-Apps:
- Reverse Proxy (Nginx, AWS Load Balancer): TLS 1.3, HTTP/2. Keine unverschlüsselten Verbindungen.
- Daten in Transit: Alle API-Verbindungen zu OpenAI/Claude/Gemini über HTTPS. Private Keys lokal (nie auf Server hardcodiert).
- Daten at Rest: Verschlüsseln Sie Datenbanken (RDS mit KMS, PostgreSQL mit pgcrypto). Logs nach 30 Tagen löschen (DSGVO Art. 17).
AVV, Cloud Act und SCCs praktisch
AVV (Auftragsverarbeitung): Nicht optional. Sobald ein Provider Kundendaten verarbeitet, brauchen Sie einen Vertrag (Art. 28 DSGVO). Alle vier Provider bieten Vorlagen. Checkliste:
Cloud Act und US-Konzerne: Der Cloud Act erlaubt US-Behörden, auf Daten eines US-Unternehmens zuzugreifen, unabhängig vom physischen Standort. Bei DigitalOcean, AWS und GCP dokumentiert. Mitigation: SCCs (Standardverträge) und TIA (Risikoabwägung).
SCCs + TIA: Nach Schrems II (2020) verlangt die Datenschutzbehörde SCCs plus schriftliche TIA: “Welche Daten speichern wir? Wie sensibel? Ist US-Behördenzugriff praktisch wahrscheinlich?” Beispiel-TIA:
Wir speichern auf DigitalOcean Frankfurt: (1) anonymisierte Chat-Logs, (2) gehashte API-Keys, (3) Session-IDs. Hochsensible Daten lagern nicht auf Cloud. Das Unternehmen dokumentiert damit, warum die gespeicherten Daten aus seiner Sicht die eigene Bewertung der möglichen Auswirkungen eines Behördenzugriffs hätten — die eigenverantwortliche Risikoabwägung liegt beim Unternehmen.
Schritt-für-Schritt Deployment
Hetzner: Account erstellen → SSH-Key → CX22-Server (Ubuntu 24.04) → Firewall auf SSH/HTTP/HTTPS → Python/Node.js installieren → KI-Framework (LangChain, FastAPI) deployen → AVV herunterladen → Datenschutzerklärung aktualisieren.
DigitalOcean: App Platform → Dockerfile pushen → Automated Backups → DPA akzeptieren → TIA mit Datenschutzverantwortung dokumentieren → GitHub Actions CI/CD.
AWS: IAM-User erstellen → EC2/ECS starten (eu-central-1) → RDS (PostgreSQL) → VPC konfigurieren → DPA + SCCs aus AWS Artifact → CloudTrail aktivieren → TIA dokumentieren.
Für wen ist welcher Provider?
Hetzner: KMU (Budget <€500/Mo.), einfache KI-Apps, maximale Compliance mit minimalem Overhead.
DigitalOcean: Startups (5–50 Mitarbeiter), Container-Apps, Preis-Leistungs-Fokus, dokumentierte TIA.
AWS: Größere Unternehmen, komplexe Infrastruktur, Auto-Scaling, spezialisierte Services (ML, Analytics).
GCP: ML-Schwerpunkt, Vertex AI, BigQuery, ähnliche Anforderungen wie AWS.
Methodik
Dieser Ratgeber basiert auf der Analyse öffentlich verfügbarer Hosting-, Datenschutz- und DPA-Dokumentationen der genannten Anbieter (Stand: 2026-06). Preisangaben stammen von den jeweiligen Anbieter-Preisseiten und können sich jederzeit ändern. Die genannten Einschätzungen zu Cloud Act und DSGVO stellen keine Rechtsberatung dar — für verbindliche Aussagen wenden Sie sich bitte an einen Datenschutzbeauftragten oder Rechtsanwalt.
Fazit: Unterstützung bei DSGVO-Standards
Die Wahl des Hosting-Providers unterstützt Sie bei der Erfüllung von DSGVO-Standards, erfordert aber zusätzliche Dokumentation (DPA, TIA). Einsteigerempfehlung: Hetzner für einfache Apps, DigitalOcean für Teams. Bei Komplexität: AWS oder GCP mit dokumentierter Transfer Impact Assessment. Das Wichtigste ist, dass Sie AVV/DPA abschließen, Datenspeicherung dokumentieren und für US-Provider eine TIA durchführen. Lesen Sie auch unsere detaillierten Bewertungen für einzelne Tools und Cloud-Services in unserem Tool-Vergleich.
Häufige Fragen
Wann ist ein DPA / AVV erforderlich?
Sobald Sie personenbezogene Daten Ihrer Kunden oder Mitarbeiter verarbeiten, brauchen Sie eine Auftragsverarbeitung ([AVV](/lexikon/avv) / DPA) mit dem Hosting-Provider. Das ist DSGVO-Pflicht (Art. 28), kein optionales Formular. Alle vier Provider (Hetzner, DigitalOcean, AWS, GCP) bieten vorkonfigurierte DPA-Vorlagen.
Was ist der Cloud Act und gilt er auch für EU-Rechenzentren?
Der US [Cloud Act](/lexikon/cloud-act) ist ein Gesetz, das US-Behörden erlaubt, auf Daten zuzugreifen, die unter Kontrolle eines US-Unternehmens stehen — auch wenn die physischen Server in der EU sind. Das ist dokumentiertes Risiko (siehe Europarl-Studie 2022). Hetzner (deutsches Unternehmen) unterliegt keinem unmittelbaren Cloud-Act-Risiko durch eine US-Muttergesellschaft. DigitalOcean, AWS und GCP sind US-Konzerne und unterliegen dem Cloud Act, unabhängig vom Serverstandort.
Wann brauchen wir Standard Contractual Clauses (SCCs) und Transfer Impact Assessment (TIA)?
Nach dem Schrems-II-Urteil (2020) sind [SCCs](/lexikon/sccs) erforderlich bei Datenübermittlung unter US-Konzernkontrolle. Eine Transfer Impact Assessment ([TIA](/lexikon/tia)) muss dokumentieren, dass der Cloud Act für Ihre konkrete Datenverarbeitung ein akzeptables Risiko darstellt. AWS und GCP stellen SCCs bereit; Ihre Datenschutzverantwortung muss die TIA genehmigen.
Ist Hetzner immer die beste Wahl für DSGVO?
Bei Hetzner entfällt die unmittelbare US-Konzernstruktur und kostenlose AVV — ideal für einfache Anforderungen. Aber: Hetzner hat weniger spezialisierte Services (z.B. kein managed Kubernetes oder ML-Plattformen wie AWS SageMaker). Für komplexe Infrastruktur können DigitalOcean, AWS oder GCP trotz höherer DSGVO-Komplexität die bessere Wahl sein — mit dokumentierter TIA.
Kann ich AWS oder GCP trotz US-Konzernstruktur mit DSGVO-Fokus nutzen?
Ja, mit angemessenem Aufwand. Sie benötigen: (1) eine [DPA](/lexikon/dpa), (2) [Standard Contractual Clauses](/lexikon/sccs), (3) eine dokumentierte Transfer Impact Assessment, die erklärt, warum der Cloud Act für Ihre Daten ein kontrollierbares Risiko darstellt. Die Verantwortung liegt bei Ihrem Unternehmen, die verbleibenden Risiken eigenständig zu bewerten und zu akzeptieren.