Wenn DSGVO auf Latenz trifft
SerieCloud Hosting Philosophie
Teil 4 von 6
“Wo liegen die Daten?”
Diese Frage kommt bei jedem zweiten Projekt-Kickoff.
Meist nicht von Entwicklern. Sondern von:
- Legal
- Geschäftsführung
- Compliance-Verantwortlichen
- Kunden (B2B, öffentlicher Sektor)
Die technische Antwort: “In einem Rechenzentrum in Frankfurt.”
Die eigentliche Frage: “Sind wir rechtlich sicher?”
Und manchmal: “Fühlt sich das richtig an?”
Die drei Ebenen von EU-Hosting
1. Rechtlich: DSGVO & Data Residency
Die harte Wahrheit: DSGVO verlangt nicht, dass Daten in der EU liegen.
Was sie verlangt:
- Angemessenes Schutzniveau
- Rechtsgrundlage für Datenverarbeitung
- Transparenz (wo, wie, warum)
- Betroffenenrechte (Auskunft, Löschung, etc.)
US-Cloud ist nicht illegal. Aber komplizierter.
Schrems II & Privacy Shield
Nach dem Kippen des Privacy Shield (2020):
US-Cloud nutzen = du brauchst:
- Standard Contractual Clauses (SCCs)
- Transfer Impact Assessment (TIA)
- Zusätzliche Schutzmaßnahmen (Verschlüsselung, etc.)
- Dokumentation (falls Aufsichtsbehörde fragt)
EU-Cloud nutzen = du brauchst:
- Deutlich weniger Papierkram
Das ist kein technisches Problem. Das ist ein administratives.
Aber für viele Organisationen: Zu viel Aufwand.
Wann ist EU-Hosting Pflicht?
Gesetzlich vorgeschrieben:
- Öffentliche Verwaltung (oft)
- Gesundheitswesen (Patientendaten)
- Finanzsektor (teilweise)
Faktisch nötig:
- B2B-Kunden mit strikten Compliance-Anforderungen
- Unternehmen, die US-Zugriff vermeiden wollen (CLOUD Act)
Nice-to-have:
- Marketing (“Made in Germany”)
- Vertrauen bei datenschutzsensiblen Nutzern
2. Technisch: Latenz & Performance
“EU-Hosting ist langsamer” ist Quatsch.
Für wen?
Szenario A: Nutzer in Deutschland
- Hetzner (Falkenstein, DE): 10-20ms
- AWS eu-central-1 (Frankfurt): 15-25ms
- AWS us-east-1 (Virginia): 90-120ms
EU ist schneller.
Szenario B: Globale Nutzer
- Nur EU-Server: Latenz in Asien/US hoch
- Global CDN (Cloudflare, etc.): Egal, wo Origin ist
Mit CDN spielt Standort keine Rolle.
Was wirklich zählt: Provider-Qualität
Hetzner in Falkenstein ist oft schneller als AWS in Frankfurt, weil:
- Bessere Netzwerk-Anbindung
- Weniger Routing-Hops
- Effizientere Hardware
Standort ≠ Performance. Infrastruktur = Performance.
3. Emotional: Vertrauen & Kontrolle
Das ist der Teil, den niemand laut ausspricht.
“EU-Hosting fühlt sich sicherer an.”
Rational? Nicht immer.
Emotional? Absolut.
Der “Made in Germany”-Effekt
Hetzner vs. DigitalOcean (beide in Frankfurt-Rechenzentren):
Technisch: Identisch.
Wahrnehmung:
- Hetzner = “Deutsches Unternehmen, deutsches Recht, DSGVO-konform”
- DigitalOcean = “US-Unternehmen, auch wenn Server in Frankfurt”
Das ist nicht irrational.
US-Unternehmen unterliegt US-Gesetzen (CLOUD Act) – auch wenn Server in der EU stehen.
Behörden könnten theoretisch Zugriff auf Daten fordern.
Bei EU-Unternehmen: Nicht ohne EU-Gerichtsbeschluss.
Das ist kein Paranoia. Das ist eine rechtliche Realität.
Die Anbieter-Landschaft
Echte EU-Anbieter
Hetzner (Deutschland):
- Rechenzentren: Falkenstein, Nürnberg, Helsinki
- DSGVO: Deutsches Unternehmen, konform
- Performance: Exzellent
- Preis: Sehr gut
- Nachteil: Weniger “Enterprise”-Features
OVHcloud (Frankreich):
- Rechenzentren: Europa-weit
- DSGVO: Französisches Unternehmen, konform
- Performance: Gut
- Preis: Mittel
- Nachteil: UI/UX ist… speziell
Scaleway (Frankreich):
- Rechenzentren: Paris, Amsterdam, Warschau
- DSGVO: Französisches Unternehmen, konform
- Performance: Gut
- Preis: Wettbewerbsfähig
- Nachteil: Kleineres Ecosystem
US-Anbieter mit EU-Regionen
AWS, Google Cloud, Azure:
- Rechenzentren: Frankfurt, Amsterdam, etc.
- DSGVO: US-Unternehmen, EU-Daten (SCCs nötig)
- Performance: Sehr gut
- Preis: Teuer
- Vorteil: Alle Features
- Nachteil: CLOUD Act, SCCs nötig
DigitalOcean, Linode (Akamai):
- Rechenzentren: Frankfurt, London
- DSGVO: US-Unternehmen (SCCs nötig)
- Performance: Gut
- Preis: Fair
- Nachteil: Rechtlich wie AWS (aber weniger Enterprise-Features)
Hybrid: Fly.io, Render
Fly.io:
- Globales Netzwerk, du wählst Regionen
- EU-Deployment möglich
- DSGVO: US-Unternehmen (SCCs nötig)
- Performance: Sehr gut (Edge-Network)
Render:
- Frankfurt verfügbar
- DSGVO: US-Unternehmen (SCCs nötig)
- Performance: Gut
Die Entscheidungsmatrix
| Kriterium | EU-Anbieter | US-Anbieter (EU-Region) |
|---|---|---|
| DSGVO-Compliance | Einfach | Komplex (SCCs, TIA) |
| CLOUD Act | Nicht anwendbar | Anwendbar |
| Latenz (EU-Nutzer) | Niedrig | Niedrig |
| Preis | Oft günstiger | Teurer |
| Enterprise-Features | Weniger | Viele |
| Vertrauen (EU-Kunden) | Hoch | Mittel |
Wann brauchst du wirklich EU-Hosting?
Ja, du brauchst es:
-
Öffentlicher Sektor / Behörden
- Oft gesetzlich vorgeschrieben
-
Gesundheitswesen
- Patientendaten, strenge Compliance
-
B2B mit Compliance-Anforderungen
- Großkunden verlangen oft EU-Hosting
-
Kritische Infrastruktur
- Energie, Verkehr, etc.
-
Du willst CLOUD Act-Risiko minimieren
- Legitime Sorge bei sensiblen Daten
Vielleicht brauchst du es:
-
Datenschutzsensible Nutzer
- Privacy-fokussierte Zielgruppe
-
Marketing-Vorteil
- “Made in Germany” sells
-
Vereinfachte Compliance
- Weniger Legal-Overhead
Nein, du brauchst es nicht:
-
Globales SaaS
- Nutzer weltweit → CDN wichtiger
-
Open-Source-Projekt
- Keine personenbezogenen Daten
-
US-Zielmarkt
- US-Hosting oft sinnvoller
-
Keine sensiblen Daten
- Marketing-Website, Blog, etc.
Was ich wirklich denke
EU-Hosting ist kein Allheilmittel
Daten in Frankfurt ≠ automatisch sicher.
Security hängt ab von:
- Verschlüsselung
- Access Control
- Backup-Strategie
- Monitoring
Standort ist nur ein Faktor.
Aber: Pragmatisch sinnvoll
Für EU-fokussierte Projekte:
EU-Hosting bedeutet:
- Weniger Compliance-Overhead
- Keine SCCs/TIA-Diskussionen mit Legal
- Bessere Latenz für EU-Nutzer
- Oft günstiger als US-Hyperscaler
Das ist ein valider Grund.
Die emotionale Komponente ist real
Kunden fragen nicht: “Wo liegt euer Server?”
Sie fragen: “Kann ich euch vertrauen?”
Und für viele EU-Kunden bedeutet “Hetzner in Deutschland” mehr Vertrauen als “AWS in Frankfurt”.
Das ist nicht technisch. Aber es ist real.
Meine Empfehlung
Default: EU-Anbieter
Für EU-fokussierte Projekte: Hetzner, Scaleway, OVH.
Warum?
- Einfacher
- Günstiger
- Kein CLOUD Act
- Gute Performance in EU
Ausnahme: Spezielle Features
Wenn du brauchst:
- Machine Learning (SageMaker, Vertex AI)
- Globale Edge-Funktionen
- Enterprise-Support mit SLAs
- Multi-Region Failover
Dann: AWS/GCP/Azure mit EU-Region + ordentliche SCCs.
Hybrid ist okay
- Frontend: Vercel (global CDN)
- API: Hetzner (Frankfurt)
- Database: Hetzner Managed PostgreSQL
Das ist pragmatisch, nicht inkonsistent.
Bottom Line
EU-Hosting ist nicht:
- Ein Allheilmittel
- Gesetzlich zwingend (für die meisten)
- Technisch überlegen
Aber es ist:
- Rechtlich einfacher (kein CLOUD Act, weniger Papierkram)
- Emotional vertrauenswürdiger (für EU-Kunden)
- Oft günstiger (Hetzner vs. AWS)
- Performance-neutral (mit CDN)
Die Frage ist nicht: “Ist EU-Hosting besser?”
Die Frage ist: “Macht es mein Leben einfacher?”
Und für EU-fokussierte Projekte: Ja, meistens schon.
Im nächsten Teil schauen wir uns konkrete Anbieter an – nicht als Feature-Liste, sondern als Philosophien. Fly.io, Hetzner, DigitalOcean: Sie bauen für unterschiedliche Mindsets.