Zurück zu allen Beiträgen

Veröffentlicht am 3. Mai 2026 · Zuletzt geprüft 4. Mai 2026

DSGVO, Datenresidenz und Cloud-Kosten für europäische KMU auf Hetzner

Piotr HajkowskiVon Piotr Hajkowski

In diesem Artikel

  1. was DSGVO-Artikel 28 tatsächlich von einem Cloud-Anbieter verlangt
  2. der CLOUD Act: Zuständigkeit folgt dem Unternehmen, nicht dem Server
  3. wo Compliance-Bedenken schlechte Architektur und hohe Kosten erzeugt
  4. wie "DSGVO-konform" auf einer Hetzner-Rechnung aussieht

Compliance- und Kostengespräche finden selten gemeinsam statt. Das sollte sich ändern.

Europäische KMU wählen ihre Cloud-Infrastruktur oft unter DSGVO-Druck aus und treffen dabei kostspielige Entscheidungen. Die Juristen fordern: "Nur EU, am besten ein souveräner Anbieter." DevOps richtet Server ein. Später öffnet die Finanzabteilung die Rechnung und fragt sich: Warum ist die so hoch? Warum haben wir drei identische Umgebungen, wenn eine reichen würde? Dieser Beitrag schließt diese Lücke.

Die Kurzfassung. Die tatsächliche DSGVO-Basis für einen typischen B2B-SaaS auf Hetzner Cloud ist überschaubar: ein unterzeichneter AVV, risikoangemessene Verschlüsselung, ein Verzeichnis der Verarbeitungstätigkeiten und ein Meldeverfahren bei Datenschutzverletzungen innerhalb von 72 Stunden. Die meisten "Compliance-Kosten" auf Ihrer Rechnung sind in Wahrheit Architekturentscheidungen aus Compliance-Bedenken: redundante Regionen, ungenutzte Standbys, Snapshot-Richtlinien ohne Prüfgrundlage. Der Unterschied ist einfach: Eine belastbare Architektur vs. eine teure mit Lücken.

was DSGVO-Artikel 28 tatsächlich von einem Cloud-Anbieter verlangt

Der rechtliche Rahmen ist enger als die meisten Compliance-Bedenken. Nach Artikel 28 DSGVO ist Ihr Cloud-Anbieter ein "Auftragsverarbeiter". Er verarbeitet personenbezogene Daten nach Ihren Weisungen. Daraus ergibt sich eine zentrale Pflicht: ein schriftlicher, verbindlicher Vertrag, in Deutschland Auftragsverarbeitungsvertrag (AVV) genannt (international auch als Data Processing Agreement / DPA bekannt; in Polen: umowa powierzenia; in Frankreich: contrat de sous-traitance).

Hetzner stellt einen DSGVO-konformen Standard-AVV mit rein elektronischem Unterzeichnungsprozess bereit. Sie schließen ihn direkt in Ihrem Hetzner-Konto unter accounts.hetzner.com/account/dpa ab: Datenkategorien und betroffene Personengruppen im Anhang eintragen, Häkchen setzen - fertig. Kein PDF nötig. Das erfüllt Artikel 28(9), der die elektronische Form ausdrücklich zulässt.

Artikel 32 verlangt "geeignete technische und organisatorische Maßnahmen" (TOM), die dem Risiko angemessen sind. Der Artikel nennt Pseudonymisierung und Verschlüsselung nur als Beispiele, nicht als zwingende Anforderungen. Der EuGH bestätigt dies: Angemessenheit hängt von Art, Umfang, Umständen Ihrer Verarbeitung und der praktischen Wirkung Ihrer Maßnahmen ab - nicht von einer Checkliste.

Ein SaaS-Anbieter, der Geschäftskontaktdaten speichert, benötigt weniger Sicherheit als eine Plattform für klinische Studien mit genetischen Daten. Die Compliance-Frage lautet nicht "Wurden die Daten verschlüsselt?", sondern ob Sie nachweisen können:

Risiko bewertet → Maßnahme gewählt → warum ausreichend → getestet → dokumentiert

Hetzners Beitrag zu dieser Kette ist real, aber begrenzt. Das Unternehmen veröffentlicht sein TOM-Dokument als AVV-Anhang und hält die ISO/IEC 27001:2022-Zertifizierung (für Nürnberg, Falkenstein und Helsinki) sowie ein BSI C5 Typ 2-Testat. Diese decken physische Zugangskontrollen, Betriebssicherheit, Identitätsmanagement und kryptografische Kontrollen für den Hetzner-internen Zugriff ab. Sie können sie nach Artikel 32(3) als Sicherheitsnachweis nutzen. Allerdings verschlüsseln sie nicht Ihre Ruhedaten.

Die DSGVO verlangt keinen Server in Ihrem Heimatland. Speicherung irgendwo in der EU/im EWR ist ausreichend. Übermittlungen innerhalb des Binnenmarkts gelten nicht als "Übermittlungen" im Sinne von Artikel 44 - sie benötigen keine separate Rechtsgrundlage.

der CLOUD Act: Zuständigkeit folgt dem Unternehmen, nicht dem Server

Das größere Compliance-Risiko ist nicht ein fehlender AVV. Es ist die Zuständigkeit.

Der US-amerikanische CLOUD Act (2018) und FISA Section 702 ermöglichen es US-Behörden, jedes US-kontrollierte Unternehmen zur Herausgabe von Kundendaten zu verpflichten - unabhängig vom Speicherort. Ein Server in Frankfurt, Dublin oder Stockholm auf AWS-, Azure- oder Google-Cloud-Infrastruktur bleibt über einen Beschluss gegen die US-Muttergesellschaft erreichbar. Microsoft hat dies in EU-Foren ausdrücklich bestätigt; auch die AWS-Compliance-Dokumentation sagt das gleiche aus.

Die Zuständigkeit folgt dem Unternehmen, nicht dem Rechenzentrum. Das ist die zentrale Asymmetrie, die jedes europäische KMU verstehen sollte, bevor es weiter optimiert.

Der EU-US Datenschutzrahmen (Data Privacy Framework, DPF), im Juli 2023 angenommen, hat einen rechtmäßigen Übermittlungsmechanismus für zertifizierte US-Empfänger wiederhergestellt. Am 3. September 2025 hat das EU-Gericht dessen Gültigkeit gegen eine französische Klage bestätigt. Der DPF erleichtert zwar die Dokumentation transatlantischer Übermittlungen, ändert aber nichts am CLOUD Act. Verantwortliche bleiben zur Transfer Impact Assessment (Übermittlungsfolgenabschätzung) bei Nicht-EU-Anbietern verpflichtet. Eine weitere Schrems-ähnliche Klage vor dem EuGH wurde angekündigt, ist aber Stand Mitte 2026 noch nicht eingereicht.

Die Hetzner Online GmbH hat ihren Sitz in Deutschland, ist privat geführt und besitzt keine US-Muttergesellschaft. Als deutsches Unternehmen unterliegt sie dem EU- und deutschen Recht - nicht dem CLOUD Act oder National Security Letters. Damit entfällt die Zuständigkeitsfrage für alle Daten in Nürnberg, Falkenstein oder Helsinki von Grund auf.

Hetzner ist transparent über seine Grenzen: Wie jeder Anbieter muss es rechtmäßigen Anfragen lokaler Behörden nachkommen und kann keine absolute Immunität gegen behördlichen Zugriff garantieren. Seien Sie skeptisch gegenüber Anbietern, die das behaupten.

Eine Nuance zu den Nicht-EU-Regionen: Hetzner betreibt mittlerweile kundenorientierte Infrastruktur in Ashburn (Virginia), Hillsboro (Oregon) und Singapur. Laut den Datenschutzhinweisen von Hetzner werden ausschließlich Daten, die auf einem Cloud-Server in diesen Standorten gespeichert sind, dorthin übertragen. Die Hetzner-Kundenstammdaten werden weiterhin in der EU verarbeitet.

Falls Ihre DSGVO-Strategie eine ausschließliche EU-Datenspeicherung erfordert, ist die Lösung einfach: Richten Sie für personenbezogene Workloads keine Instanzen in den US- oder Singapur-Regionen ein.

Dieselbe strukturelle Trennung zeigt sich in der Anbieterlandschaft:

AnbieterSitz / ZuständigkeitEU-RegionenCLOUD Act-RisikoWichtige Souveränitätszertifizierungen
Hetzner CloudDeutschland, privatNürnberg, Falkenstein, HelsinkiNeinISO/IEC 27001:2022, BSI C5 Typ 2
OVHcloudFrankreich, börsennotiertMehrere EU-Standorte + globale PräsenzNeinSecNumCloud 3.2 (Hosted Private Cloud), ISO 27001
ScalewayFrankreich, Iliad-GruppeFR, NL, PL, IT (DE und SE geplant)NeinSecNumCloud-Qualifizierung in Bearbeitung (seit Jan. 2025), ISO 27001, HDS
AWS / Azure / Google CloudUSAJa (Frankfurt, Dublin etc.)Ja, auch bei EU-RegionenISO 27001 u. ä.; nicht SecNumCloud-fähig
AWS European Sovereign CloudDeutsche Rechtseinheit, US-MutterDeutschland (Start Jan. 2026)Ja, auf MutterebeneISO 27001; konstruktionsbedingt nicht SecNumCloud-fähig

Zwei europäische Mitbewerber stehen neben Hetzner: OVHcloud (der größte europäische Anbieter, französische Börse, mit SecNumCloud-qualifizierter Linie für Workloads, die Immunität gegen extraterritoriale Gesetze erfordern) und Scaleway (im Besitz von Iliad, ausschließlich EU-Regionen, aktuell im SecNumCloud-Qualifizierungsverfahren der ANSSI). Entscheidend ist die Zuständigkeit der Muttergesellschaft, nicht der Serverstandort.

wo Compliance-Bedenken schlechte Architektur und hohe Kosten erzeugt

Compliance-getriebene Entscheidungen ohne Kostenbewusstsein erzeugen vier wiederkehrende Muster.

Überreplikation "für alle Fälle"

Teams richten parallele Umgebungen an zwei EU-Standorten ein (etwa Primärsystem in Falkenstein und Hot Standby in Helsinki) und rechtfertigen dies als DSGVO-Anforderung. Das ist es nicht. Ein einzelner EU-Standort genügt für die Datenresidenz.

Mehrere Standorte sind eine Verfügbarkeitsentscheidung. Die Risikobewertung nach Artikel 32 produziert für KMU selten eine harte Pflicht zu synchroner geografischer Redundanz.

Die Kosten entstehen nicht durch Datenausgang: Falkenstein, Nürnberg und Helsinki gehören alle zur Hetzner-Netzwerkzone eu-central; der Verkehr zwischen ihnen ist kostenfrei. Die Kosten liegen bei:

  • Verdoppelte Rechenleistung
  • Verdoppelter Blockspeicher
  • Verdoppelte IPs
  • Verdoppelter Snapshot-Bedarf
  • Betriebsaufwand für die Synchronisation beider Umgebungen

Verzicht auf Nicht-EU-Regionen für nicht-personenbezogene Workloads

Nicht jeder Workload verarbeitet personenbezogene Daten. Statische Inhalte, Build-Prozesse, Testdaten für Integrationstests und kurzlebige CI-Läufer berühren oft nichts, was unter Artikel 4(1) fällt.

Wenn niedrigere Latenz für APAC-Nutzer oder günstigere Kapazitäten in Singapur für solche Workloads sinnvoll sind, blockiert die DSGVO Sie nicht - Ihre eigene Datenklassierung schon. Eine pauschale "Nur EU"-Regel ohne workloadspezifische Klassifizierung verschwendet Geld und führt dazu, dass Entwickler Compliance als Aberglauben statt als Analyse behandeln.

die Verschlüsselungslücke im Ruhezustand - in beide Richtungen

Hetzner verschlüsselt Kundendaten nicht standardmäßig im Ruhezustand: weder auf Cloud-Server-Disks, noch auf Volumes, Storage Box oder Object Storage.

Hetzners TOM-Dokument deckt explizit den kryptografischen Schutz für administrative Infrastrukturzugriffe ab. Die Verschlüsselung Ihrer Daten im Ruhezustand bleibt jedoch Ihre Verantwortung:

  • LUKS / dm-crypt für Cloud-Server-Disks und Volumes
  • SSE-C für Object Storage
  • Anwendungsseitig für sensible Spalten

Daraus ergeben sich zwei typische Fehler:

Einige Teams gehen fälschlicherweise davon aus, Hetzner verschlüssele standardmäßig wie AWS. Sie gehen ohne LUKS in Produktion, entdecken die Lücke erst beim Audit und zahlen für eine Notfall-Wiederherstellung inklusive Snapshot-Rotation.

Andere überkorrigieren und wenden Hüllverschlüsselung auf jede Spalte jeder Tabelle an. Für eine Zahlungsjournal mag das sinnvoll sein. Auf einer Hetzner-CCX-Flotte treibt es Sie jedoch in eine höhere Preisklasse, um den kryptografischen Zusatzaufwand zu decken - ohne dass die Risikobewertung diesen Mehrwert verlangt hätte.

Die Lösung ist in beiden Fällen dieselbe: Daten klassifizieren → Verschlüsselungsschicht festlegen (Block, Dateisystem, Anwendung) → Entscheidung dokumentieren → saubere Umsetzung.

der "Reinraum"-Reflex: Bare Metal, wo ein CX gereicht hätte

Eine weit verbreitete Fehlinterpretation von Artikel 32 besagt, personenbezogene Daten müssten physisch von anderen Mandanten getrennt sein - geteilte virtualisierte Ressourcen seien daher ausgeschlossen. Das stimmt nicht.

Mandantenfähige Virtualisierung mit angemessener Isolation ist die Standardgrundlage jeder konformen Cloud-Bereitstellung in der EU. Ein KMU-SaaS mit Kundenkontaktdaten benötigt keinen dedizierten Hypervisor.

Die Hetzner-Preiserhöhung vom April 2026 macht diesen Trade-off konkret:

InstanzvCPURAMStoragePreis (netto/Monat)
CX222 shared4 GB40 GB SSD3,99 €
CCX132 dediziert8 GB80 GB NVMe15,99 €
CCX234 dediziert16 GB160 GB NVMe31,49 €
AX418 dediziert64 GB2× 512 GB NVMe~48 €

Die AX41 ist eine gute Maschine. Wenn Ihr Workload aber aus zwei API-Diensten und einer PostgreSQL-Instanz besteht, sind rund 48 €/Monat für 8 dedizierte Kerne und 64 GB RAM ein 3- bis 12-facher Aufschlag - wo 3,99 € oder 15,99 € gereicht hätten - nur um ein "physische Isolation"-Kriterium zu erfüllen, das die Risikobewertung nie verlangt hat. Dazu verlieren Sie die stundengenaue Abrechnung und die schnelle Skalierbarkeit.

Reservieren Sie dedizierte Hardware für Fälle, die sie wirklich benötigen: regulierte Workloads mit expliziten DSFA-Feststellungen zur physischen Isolation oder Performance-Profile, die Bare-Metal-NVMe-Durchsatz erfordern. Nicht als Standard-DSGVO-Haltung.

Das gemeinsame Muster hinter allen vier Punkten: die Verwechslung dessen, was die DSGVO verlangt, mit dem, was vorsichtig klingende Architektur nahelegt. Die Verordnung ist von Grund auf risikobasiert. Wer sie absolut interpretiert, baut überdimensionierte Systeme, deren Kosten keinen Compliance-Mehrwert bieten.

wie "DSGVO-konform" auf einer Hetzner-Rechnung aussieht

Hetzner erhebt keinen Compliance-Aufschlag. Die Preise sind in Nürnberg, Falkenstein und Helsinki für äquivalente SKUs identisch. Die Speicherung in der EU erspart Ihnen die Standardvertragsklauseln und Transfer Impact Assessments, die bei US-basierten Anbietern selbst in deren EU-Regionen anfallen.

Was in einer compliance-bewussten Architektur auf der Rechnung erscheint, reflektiert Entscheidungen, keine Anforderungen:

  • Cross-Zone-Datenausgang ist die einzige Datenverkehrsposition, die Sie im Auge behalten sollten. Replikation oder Backup, das eu-central in Richtung us-east, us-west oder ap-southeast verlässt, wird als reguläres ausgehendes Datenvolumen abgerechnet. Alles innerhalb von eu-central oder über ein Cloud Network ist kostenfrei.

  • Versand von Audit-Logs an ein externes SIEM. "Trace-Level-Logging für die DSGVO" ist eine häufige Überkorrektur. Die Kosten liegen selten bei Hetzner selbst, sondern beim ausgehenden Verkehr und den Aufnahmegebühren am anderen Ende. Datadog, Splunk und Elastic Cloud bieten alle EU-gehostete Regionen an (in der Regel in Frankfurt), sodass die Datenstandort-Anforderung abgebildet werden kann. Zwei Kostenpunkte bleiben jedoch:

    • Ausgangs- und Aufnahmegebühren steigen mit der Detailtiefe der Logs, unabhängig davon, wo das SIEM die Daten speichert
    • Ein US-basierter SIEM-Anbieter bringt das CLOUD-Act-Problem zurück, das Sie durch die Wahl von Hetzner vermeiden wollten

    Artikel 30 verlangt ein Verzeichnis der Verarbeitungstätigkeiten - nicht vollständige Query-Logs. Passen Sie Detailtiefe und Aufbewahrungsfristen an Ihre tatsächlichen Vorfallsreaktionsanforderungen an.

  • Snapshots und Backups werden als Prozentsatz der Serverkosten abgerechnet. Manche Teams behalten monatelang Snapshots, weil "der Datenschutzbeauftragte Audit-Trails wollte". Doch das geeignete Artefakt dafür ist ein Anwendungs-Audit-Log - nicht ein Stapel punktgenauer Datenträgerabbilder.

    Auf der anderen Seite verlangt Artikel 17, dass Löschanfragen irgendwann auch in den Backups umgesetzt werden müssen. Für die meisten KMU ist die praktische Lösung einfach: ein dokumentiertes Backup-Aufbewahrungsfenster (z. B. 30 Tage), nach dem gelöschte Datensätze überall entfernt sind. Das ist günstiger und besser vertretbar als Enterprise-Backup-Produkte, die selektives Löschen in unveränderlichen Snapshots versprechen.

Mehr dazu, wo Hetzner-Kosten anfallen, sobald Compliance-Bedenken die Architektur nicht mehr treibt, finden Sie in → Hetzner-Cloud-Kosten, die Sie wahrscheinlich übersehen.

Dokumentation ist das eigentliche Compliance-Artefakt

Der am stärksten unterschätzte Teil einer DSGVO-konformen Ausrichtung ist nicht die Infrastruktur - es ist die Dokumentation, die Infrastruktur und Verordnung verbindet.

Wenn eine Aufsichtsbehörde Ihre Hetzner-Bereitstellung prüft, fragt sie nicht "Ist das verschlüsselt?" Sie fragt: Welchen DSGVO-Artikel haben Sie bewertet? Welches Risiko haben Sie identifiziert? Welche Maßnahme haben Sie gewählt? Warum hielten Sie sie für ausreichend? Und wie wissen Sie, dass sie noch funktioniert?

Diese Kette erfordert vier Dokumente - und alle vier sind Ihre Verantwortung als Verantwortlicher, nicht bei Hetzner:

  • Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Artikel 30 DSGVO, das jeden Verarbeitungszweck, die Datenkategorien, betroffenen Personengruppen, Aufbewahrungsfristen, eingesetzten Auftragsverarbeiter (Hetzner mit konkretem EU-Standort) und etwaige Drittstaatenübermittlungen samt Rechtsgrundlage auflistet. Die Ausnahme nach Artikel 30(5) für Unternehmen unter 250 Mitarbeitern greift in der Praxis selten; die meisten KMU-SaaS-Workloads gelten als "nicht nur gelegentlich", was die Ausnahme aushebelt.

  • Eine Risikobewertung pro Verarbeitungstätigkeit, schriftlich festgehalten. Bei Verarbeitungen mit höherem Risiko wird daraus eine vollständige Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35. Beide Dokumente sind der Ort, an dem Sie Ihre Verschlüsselungsschicht, Backup-Aufbewahrung, Ihr Zugriffsmodell und Ihre Regionenauswahl schriftlich mit Begründung festhalten.

  • Ein Vorfallsreaktionsverfahren, das die zuständigen Personen, den Eskalationsweg zu den Hetzner-Abuse- und Sicherheitskontakten und die Entscheidungskriterien für die 72-Stunden-Meldefrist nach Artikel 33 benennt. Wer das Verfahren erst während eines Vorfalls entwickelt, ist bereits zu spät.

  • Ein Prüfintervall: Wer prüft was wann? Und was löst eine außerplanmäßige Prüfung aus (neue Verarbeitungstätigkeit, neuer Unterauftragsverarbeiter, Vorfall, regulatorische Änderung)?

Dafür benötigen Sie kein teures Tool. Eine versionsverwaltete Sammlung von Markdown-Dateien in einem privaten Repository - vierteljährlich geprüft - genügt. Entscheidend ist, dass Ihre Dokumente den tatsächlich bereitgestellten Stand widerspiegeln. VVTs mit nicht mehr existierenden Servern oder DSFAs von drei Architekturen vorher sind schlechter als keine Dokumente - sie beweisen, dass Sie den Prozess nicht pflegen.

die Compliance-Basis für ein typisches europäisches KMU auf Hetzner Cloud

Wenn Sie Hetzner Cloud in Nürnberg, Falkenstein oder Helsinki betreiben und personenbezogene Daten verarbeiten, sind Ihre Grundpflichten:

  1. AVV abgeschlossen im Kundenkonto unter accounts.hetzner.com/account/dpa - einmal pro Rechtsperson - mit den im Anhang spezifizierten Datenkategorien und betroffenen Personengruppen.

  2. Verschlüsselung der Übertragung an jedem Endpunkt, der personenbezogene Daten verarbeitet, mit TLS 1.3, sofern der Stack es unterstützt. Das ist eine der wenigen nahezu universellen Erwartungen nach Artikel 32 im Jahr 2026.

  3. Verschlüsselung im Ruhezustand, wo die Risikobewertung sie verlangt, von Ihnen umgesetzt (Hetzner bietet sie nicht standardmäßig an; siehe oben). Bei Daten mit geringem Risiko und starken Zugriffskontrollen dürfen sie legitim unverschlüsselt bleiben; bei Cloud-Datenträgern, Backups und jeder sensiblen oder großflächigen Verarbeitung lässt sich der Verzicht kaum rechtfertigen. Dokumentieren Sie die Begründung in jedem Fall.

  4. Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30, aktuell gehalten. Listen Sie Hetzner als Auftragsverarbeiter, den konkreten EU-Standort, die Datenkategorien, Aufbewahrungsfristen und alle weiteren Unterauftragsverarbeiter auf.

  5. Eine Risikobewertung pro Verarbeitungstätigkeit (und eine vollständige DSFA, wo die Schwellen nach Artikel 35 erreicht sind), schriftlich, die jede technische Maßnahme an das Risiko bindet, das sie adressiert.

  6. Dokumentierte Vorfallsreaktion, die das 72-Stunden-Meldefenster nach Artikel 33 einhält, den Eskalationsweg zu den Hetzner-Sicherheitskontakten benennt und mindestens einmal jährlich geprobt wird.

Das ist die Basis. Alles darüber hinaus ist eine risikobasierte Geschäftsentscheidung, keine harte DSGVO-Anforderung: zusätzliche Zertifizierungen, Mehrregion-Replikation, anwendungsseitige Verschlüsselung, Aufschläge für "souveräne Cloud"-Produkte. Nichts davon ist für einen typischen B2B-SaaS-Workload erforderlich.

die Konsequenz

Die rein europäische Unternehmensstruktur von Hetzner beseitigt das schwierigste DSGVO-Problem - extraterritoriale Zuständigkeit - konstruktionsbedingt. Es gibt keine US-Muttergesellschaft, an die ein CLOUD-Act-Beschluss adressiert werden könnte. Keine Standardvertragsklauseln, die für innereuropäische Speicherung gepflegt werden müssten. Keine Asymmetrie zwischen dem Ort, an dem Ihre Daten liegen, und dem Rechtssystem, das für sie gilt.

Für ein typisches europäisches KMU ist der echte Compliance-Aufwand auf Hetzner gering.

Die Kosten, die Teams überraschen, sind keine Compliance-Kosten. Es sind Architekturentscheidungen, getroffen aus Compliance-Bedenken, ohne dass jemand verfolgt, was jeder Posten tatsächlich einbringt.

Der schnellste Weg, sie zu finden: Lesen Sie die Rechnung so, wie Sie das Datenflussdiagramm und das VVT zusammen lesen - pro Ressource, pro Umgebung, pro Tag. Fragen Sie bei jedem Posten: Welcher Verarbeitungstätigkeit dient er? Und welcher DSGVO-Artikel rechtfertigt seine Existenz?

Die Posten, die sich keinem von beiden zuordnen lassen, sind die günstigsten Einsparungen, die Sie je finden werden. Die Posten, die sich zuordnen lassen, sind nun auch dokumentiert - und genau danach hätte ohnehin jeder Prüfer gefragt.

Dieser Artikel wurde maschinell übersetzt.

Mehr aus dem Blog

16. April 2026

Warum Hetzner für ausgeschaltete Server abrechnet

Einen Hetzner-Cloud-Server auszuschalten senkt die Rechnung nicht. Hier ist die kapazitätsökonomische Logik hinter dieser Regel - und was Sie stattdessen tun sollten.

5. April 2026

Hetzner-Abrechnungsfallen für AWS-, Azure- und GCP-Teams

Sieben Unterschiede im Hetzner-Abrechnungsmodell, die zu unerwarteten Rechnungen führen - mit konkreten Zahlen und dem, was jeder Punkt nach der Preisanpassung im April 2026 kostet.