Hosting in Deutschland: Hetzner Cloud Nürnberg, Google Cloud Frankfurt.
App und Datenbank bei Hetzner Cloud in Nürnberg, Dokumente in Google Cloud Storage Frankfurt, E-Mail-Versand über Scaleway in Paris. Die verbleibenden zwei Subprozessoren mit USA-Bezug (Stripe, Replicate) sind durch EU-Standardvertragsklauseln abgesichert.
Auf einen Blick
App-Server und SQLite-Datenbank laufen bei Hetzner Cloud in Nürnberg auf einem LUKS-vollverschlüsselten Volume. Dokumente, Belege und Fotos liegen bei Google Cloud Storage Frankfurt (Region europe-west3) im privaten Bucket, Zugriff nur über signierte URLs. Der E-Mail-Versand läuft über Scaleway SAS in Paris (Region fr-par) ohne Drittlandtransfer. Zwei Subprozessoren haben USA-Bezug und sind durch EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert: Stripe Payments Europe Ltd. (Zahlungen) und Replicate Inc. (KI-Bildbearbeitung). Verbindung zwischen Browser und Server mit TLS 1.3; Bankdaten (IBAN, BIC, Bankname) zusätzlich mit AES-256-GCM auf Feldebene verschlüsselt. Das vollständige Subprozessoren-Verzeichnis ist in der Datenschutzerklärung gelistet.
Hetzner DE
App + Datenbank in Nürnberg, LUKS-vollverschlüsselt
GCS Frankfurt
Dokumente in Google Cloud Storage europe-west3
2 × SCC
Stripe, Replicate mit EU-Standardvertragsklauseln
TLS 1.3
Verschlüsselung aller Verbindungen
Vier Gründe
Warum Deutschland-Hosting der Default ist.
Datenresidenz in Deutschland
App-Server und Datenbank bei Hetzner Cloud Nürnberg auf einem LUKS-vollverschlüsselten Datenträger. Dokumente und Bilder in Google Cloud Storage Region europe-west3 (Frankfurt) im privaten Bucket, Zugriff ausschließlich über signierte URLs.
Schrems-II-Risiko bewusst eingegrenzt
Für Hosting, Datenbank, Dokumentenspeicher und E-Mail-Versand wählt Immorium Anbieter mit EU-Verarbeitung. Für klar abgegrenzte Aufgaben (Zahlungen, KI-Bildbearbeitung) kommen Anbieter mit USA-Bezug zum Einsatz, jeweils auf Basis der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
Subprozessoren namentlich gelistet
Alle Subprozessoren sind in der Datenschutzerklärung mit Firmenname, Sitzland, Verarbeitungszweck und Rechtsgrundlage aufgeführt. Bei Änderungen 30 Tage Widerspruchsrecht für Kunden.
Zertifizierte Rechenzentren der Subprozessoren
Hetzner Online GmbH betreibt zertifizierte Rechenzentren (ISO 27001). Google Cloud Storage europe-west3 läuft in Googles EU-Region mit den entsprechenden Compliance-Zertifizierungen. Zutrittskontrolle 24/7, redundante Stromversorgung.
Subunternehmer
Sechs Subprozessoren, namentlich gelistet.
| Funktion | Anbieter | Sitz | Zweck |
|---|---|---|---|
| App-Server + Datenbank | Hetzner Online GmbH | Nürnberg, Deutschland | Anwendung, SQLite-Datenbank auf LUKS-verschlüsseltem Volume |
| Objektspeicher | Google Cloud (Google Ireland Ltd.) | Frankfurt, Region europe-west3 | Dokumente, Belege, Fotos (privater Bucket, signierte URLs) |
| OCR-Extraktion | Google Ireland Ltd. (Gemini API) | EU (Irland) | Pseudonymisierte OCR-Texte aus Mietverträgen und Rechnungen |
| KI-Bildbearbeitung | Replicate Inc. | USA (SCC) | Virtual Staging, Declutter für Inseratsfotos |
| Zahlungen | Stripe Payments Europe Ltd. | EU / USA (SCC) | Abwicklung der Abo-Zahlungen |
| E-Mail-Versand | Scaleway SAS | Paris, Frankreich (fr-par) | Transaktions-E-Mails, Magic-Links für Mieterportal |
Vollständige Liste mit Namen und AVV-Status in der Datenschutzerklärung. Bei Änderungen 30 Tage Widerspruchsrecht.
Vorteile
Sechs Vorteile von Deutschland-Hosting.
Deutsche Datenschutz-Gerichtsbarkeit für Kerndaten
Für App-Server, Datenbank und Object-Storage gelten EU-/deutsche Datenschutz-Aufsichtsbehörden und Gerichte. Vermieter haben den vollen Schutz der DSGVO und des BDSG.
CLOUD-Act-Risiko bewusst minimiert
Der US-CLOUD-Act (2018) verpflichtet US-Anbieter, auch Daten in EU-Rechenzentren auf US-Anfrage herauszugeben. Für die Kerndaten (App, DB, Dokumente, E-Mail-Versand) hat Immorium Anbieter mit EU-Verarbeitung gewählt; für die verbleibenden US-bezogenen Subprozessoren greifen die EU-Standardvertragsklauseln.
Niedrige Latenz aus dem DACH-Raum
Server-Standort Nürnberg sorgt für eine spürbar geringere Latenz aus dem DACH-Raum als US-East-Coast-Hoster, besonders beim Hochladen großer Dokumente und Bilder.
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
AVV zwischen Ihnen und Immorium ist Bestandteil der Nutzungsbedingungen. Die DPAs der Subprozessoren werden direkt bei den jeweiligen Anbietern bereitgestellt (Google Cloud DPA, Stripe DPA, Scaleway DPA, Replicate DPA).
Energie-Mix der Subprozessoren
Hetzner Online betreibt seine deutschen Rechenzentren überwiegend mit Ökostrom (siehe Hetzners Sustainability Report). Google Cloud Region europe-west3 ist gemäß Google-Angaben CO₂-neutral betrieben.
Deutschsprachiger Support
Hetzner Cloud bietet deutschsprachigen Support. Bei direkten Datenschutz-Anfragen erreichen Sie uns an datenschutz@immorium.ch.
Technische Details
Sechs Komponenten der Hosting-Infrastruktur.
| Komponente | Technische Details |
|---|---|
| Datenbank | SQLite (better-sqlite3) auf LUKS-vollverschlüsseltem Hetzner Cloud Volume |
| Objektspeicher | Google Cloud Storage europe-west3 (Frankfurt), privater Bucket, signierte URLs |
| Backups | Nightly Snapshot der DB, gespiegelt in separaten GCS-Bucket |
| Übertragung | TLS 1.3 für alle Client-Server-Verbindungen |
| Feld-Verschlüsselung | AES-256-GCM für IBAN, BIC, Bankname (lib/crypto/field.ts), Master-Key in Server-Env-Variable |
| Logging | Server-Logs lokal beim Hoster; administrative Eingriffe nach docs/breach-runbook.md protokolliert |
FAQ
Häufige Fragen zum Hosting.
Wo genau liegen meine Daten?
App-Server und SQLite-Datenbank bei Hetzner Cloud in Nürnberg auf einem LUKS-vollverschlüsselten Volume. Dokumente, Belege und Fotos in Google Cloud Storage Region europe-west3 (Frankfurt) im privaten Bucket. Backups als Nightly Snapshot in einen separaten GCS-Bucket. Für OCR-Extraktion: Google Gemini über Google Ireland Ltd. (EU-Verarbeitung). Für KI-Bildbearbeitung: Replicate Inc. (USA, SCC). Für E-Mail-Versand: Scaleway SAS (Paris, Frankreich, Region fr-par).
Werden Daten in die USA übertragen?
Teilweise, jeweils durch EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgesichert. App, Datenbank, Object-Storage und E-Mail-Versand liegen in der EU. Zwei Subprozessoren haben USA-Bezug: Stripe Payments Europe Ltd. (Zahlungen, EU-Tochter mit USA-Konzern) und Replicate Inc. (KI-Bildbearbeitung, USA). Eine Datenschutz-Folgenabschätzung für die KI-Verarbeitung liegt vor.
Was ist mit dem CLOUD Act?
Der US-CLOUD-Act (2018) verpflichtet US-Anbieter, auch Daten in EU-Rechenzentren auf US-Anfrage an US-Behörden herauszugeben. Für die Kerndaten (App, DB, Dokumentspeicher, E-Mail-Versand) hat Immorium Anbieter mit EU-Verarbeitung gewählt. Für die verbleibenden US-bezogenen Subprozessoren (Stripe, Replicate) greifen die EU-Standardvertragsklauseln; für besonders sensible Daten (Bankverbindung) zusätzlich AES-256-GCM-Feldverschlüsselung mit Schlüssel außerhalb der USA.
Wer ist mein Subprozessor?
Fünf Subprozessoren: (1) Hetzner Online GmbH (Nürnberg) für App-Server, Datenbank und LUKS-verschlüsselte Volumes. (2) Google Cloud / Google Ireland Ltd. für Cloud Storage Frankfurt (europe-west3) und Gemini API für OCR. (3) Replicate Inc. (USA, SCC) für KI-Bildbearbeitung. (4) Stripe Payments Europe Ltd. (EU mit USA-Konzern, SCC) für Zahlungen. (5) Scaleway SAS (Paris, Frankreich, Region fr-par) für transaktionale E-Mails. Vollständige Liste in der Datenschutzerklärung.
Wie sind die Backups geschützt?
Nightly Snapshot der SQLite-Datenbank, gespiegelt in einen separaten GCS-Bucket. Object-Storage hat zusätzlich serverseitige Verschlüsselung auf Google-Cloud-Ebene. Bei Datenverlust kann der letzte Snapshot wiederhergestellt werden. Bei Konto-Löschung werden die zugehörigen Backup-Inhalte binnen 30 Tagen rotiert.
Was ist Schrems-II?
Das Schrems-II-Urteil des EuGH (Juli 2020) hat das EU-US-Privacy-Shield für ungültig erklärt, weil US-Geheimdienstgesetze (FISA Section 702, Executive Order 12333) den DSGVO-Standard unterlaufen. Folge: Datentransfers in die USA brauchen seither zusätzliche Garantien (EU-Standardvertragsklauseln, ggf. technische Schutzmaßnahmen, Transfer Impact Assessment). Für die US-bezogenen Subprozessoren bei Immorium sind die EU-Standardvertragsklauseln vertraglich vereinbart; für die KI-Verarbeitung liegt eine DSFA vor.
Wo werden Logs gespeichert?
Server-Logs liegen lokal beim Hoster (Hetzner Nürnberg). Administrative Eingriffe werden nach docs/breach-runbook.md protokolliert. Scaleway TEM bietet kein Open- oder Click-Tracking an, eigene Tracking-Mechanismen werden nicht ergänzt.
Wie schnell sind die Server?
Der Server-Standort Nürnberg sorgt für niedrige Latenz aus dem DACH-Raum, spürbar schneller als US-East-Coast-Hoster, besonders beim Hochladen großer Dokumente und Bilder.
Was passiert, wenn der Hoster ausfällt?
Bei einem Ausfall des Hetzner Cloud Volumes kann der letzte Nightly Snapshot wiederhergestellt werden. Eine formelle SLA-Verpflichtung über Hetzners Standard-SLA hinaus geben wir nicht; bei produktionskritischen Bedarfen sprechen Sie uns über kontakt@immorium.ch an.
Ist das Rechenzentrum zertifiziert?
Ja. Hetzner Online GmbH betreibt nach eigenen Angaben ISO-27001-zertifizierte Rechenzentren. Google Cloud Region europe-west3 läuft in Googles EU-Region mit den entsprechenden Compliance-Zertifizierungen. Beide Anbieter sind im Subprozessoren-Verzeichnis aufgeführt.
Habe ich Auditrechte?
Ja, als Vermieter und Auftraggeber haben Sie nach Art. 28 Abs. 3 lit. h DSGVO das Recht, die Einhaltung der TOMs zu überprüfen. Schriftliche Anfrage an datenschutz@immorium.ch: wir stellen Ihnen das VVT (Auszug), die DSFA für die KI-Verarbeitung sowie den Bezug zu den DPAs der Subprozessoren zur Verfügung.
Was, wenn ich noch mehr Sicherheit will?
Für besonders sicherheits-sensible Vermieter: KI-Features lassen sich in den Einstellungen komplett abschalten. Bei spezifischen Anforderungen (z. B. zusätzliche IP-Beschränkungen oder besondere Vertragsklauseln) sprechen Sie uns an datenschutz@immorium.ch an.
Immorium-Hausverwaltung im Überblick · Verknüpft mit: Datenschutz nach DSGVO. Stand Mai 2026.