Der Wandel, der alle Hosting-Anbieter trifft

Betreibst du einen Managed-Hosting-Service, verarbeitest EU-Daten oder bietest Datenplattformen an? Die alte Gewissheit, dass Kunden die volle GDPR-Haftung tragen, ist passé. Behörden schlagen jetzt direkt bei Prozessoren zu.

Bis 2024 fielen Strafen meist auf die Firmen, die Kunden direkt kannten. Hosting-Provider oder Cloud-Dienste kamen oft glimpflich davon. 2025 brach das Schema. Zwei Urteile zeigen: Jeder im Backend muss aufpassen.

Fall 1: NHS-Hack mit 3,07 Millionen Pfund Strafe

Im März 2025 verhängte das britische ICO erstmals eine Strafe direkt gegen einen Prozessor. Advanced Computer Software Group versorgt das NHS mit IT. 2022 knackten Hacker über ein Kunden-Konto ohne Multi-Factor Authentication rein. Betroffen: Medizinische Daten von 900 Pflegepatienten in einer Datei mit 82.946 Datensätzen.

Der Knackpunkt: Advanced zahlte, weil sie ihre vertragliche Pflicht zur Datensicherheit vernachlässigt hatten – nicht wegen der Kundenbindung.

Fehler im ICO-Bericht:

• Fehlende MFA bei Gesundheitsdaten-Systemen
• Kein systematisches Scannen auf Schwachstellen
• Schwaches Patch-Management

Ursprünglich 6,1 Millionen Pfund, nach Einigung auf 3,07 Millionen gesenkt. Botschaft klar: Artikel 32 UK-GDPR verlangt passende Sicherheitsmaßnahmen. Prozessor haftet direkt.

Fall 2: Datenhortung bringt eine Million Euro Bußgeld

Fünf Monate später stoppte die französische CNIL Mobius Solutions, einen britischen SaaS-Provider für Deezer-Werbedaten. Nach Vertragsende behielten sie die Daten – und nutzten sie für eigene Zwecke.

Drei Verstöße:

1. Datenlagerung nach Ende des Vertrags (Artikel 28(3)(g))
2. Verarbeitung gegen Kundenanweisung (Artikel 28(3)(a))
3. Fehlende Aufzeichnungen über Verarbeitung (Artikel 30)

Strafe: Eine Million Euro.

Besonders brisant für Hosting-Firmen: 46 Millionen Deezer-Nutzerdaten. Mobius hatte keine EU-Niederlassung, was die CNIL-Jurisdiktion erleichterte. Drei Jahre Untersuchung endeten 2025 mit direkter Ahndung.

Was das für dein Hosting-Geschäft bedeutet

Das sind keine Einzelfälle, sondern Leitentscheidungen. Sie fixieren:

Du haftest selbst für Sicherheit. Ein Data Processing Agreement schützt nicht vor Behörden. DPA regelt Verträge, nicht Strafen. Fehlende Controls wie MFA oder Patches kosten dich Geld.

Datenlöschung ist Pflicht. Bei Vertragsende muss alles weg – keine Ausreden für Backups oder Weiterverwendung. Mobius zeigt: Grauzonen gibt's nicht.

Sicherheitsstandards sind fix. MFA, Vulnerability Scanning, Patches, Zugriffssteuerung – 2025 Standard. Audits enthüllen Lücken, Behörden strafen.

Dokumentation entscheidet. Ohne Logs zu Verarbeitung, Audits oder Vorfällen wirkst du schuld. Gute Unterlagen retten dich.

Deine To-do-Liste sofort

Für Hosting, Managed Services oder SaaS mit EU-Daten:

1. Sicherheits-Check. MFA, Verschlüsselung, Netzwerktrennung, Scans – überall live? Sonst Risiko pur.

2. Retention prüfen. Löscht Automation bei Vertragsende? Backups klären und festhalten.

3. DPA aufpeppen. Klare Regeln zu Security, Löschung und Audits – nichts vage.

4. Logging ausbauen. Beweise: Welche Daten, wer greift zu, wie schützt du? Das ist dein Schild.

5. Cyber-Versicherung holen. Strafen sind real – deckt nicht alles, hilft aber.

6. Rechtsberater ran. Neue Urteile brauchen Tech- und Rechts-Know-how.

Die harte Realität

GDPR macht Prozessor haftbar seit 2018. Behörden haben Controller gejagt – einfacher. 2025 wechseln sie zum echten Verursacher: Dir.

Advanced und Mobius sind die Ersten. Nächste folgen. Jeder EU-Daten-Handler ist dran.

Nicht ob, sondern wann es dich trifft. Bist du bereit?

Bei NameOcean steckt Vibe Hosting voller Compliance von Grund auf. Kaufe keine – baue sie ein: In Tech, Docs und Alltag.

Mach jetzt. Der Präzedenzfall steht.