Hetzner Cloud

Europäische Cloud / EU-Standorte (DE/FI u.a.); Datenresidenz durch Wahl EU-Standorte (stated).

Deutsche RZ + Finland. ISO 27001 für RZ. Deutsches Unternehmen, nicht CLOUD-Act-unterworfen.

Keine separate 'Sovereign Realm'-Architektur belegt; Standard-Tenant-Isolation/Projekttrennung → TBD (Scope).

Hetzner (DE): Betreiber eigener Rechenzentren (DE/FI) (stated); EU-only Support/Privileged Access nicht öffentlich belegt.

Deutsches Familienunternehmen (Gunzenhausen). Eigene RZ in DE/FI. Nicht CLOUD-Act-unterworfen. BfDI-Aufsicht.

Hetzner Online GmbH (DE) (stated).

Hetzner Online GmbH (DE/EU). Kein US-Parent; Risiko extraterritorialer US-Zugriffspflichten deutlich geringer.

Contracting entity: Hetzner Online GmbH (DE); Governance nach EU/DE Recht (stated).

Kein unabhängiges Advisory Board dokumentiert. Familienunternehmen.

Keine spezifische Dokumentation zu EU Root CA / Trust Services.

BSI C5 Type 2 zertifiziert (stated); Zertifikat/Report-Link verfügbar.

ISO/IEC 27001:2022 zertifiziert; Zertifikat öffentlich verlinkt (stated).

Fokus auf ISO 27001; keine IT‑Grundschutz-Zertifizierung genannt (stated).

Kein SecNumCloud-Status öffentlich belegt → TBD.

S3-kompatibles Object Storage + Terraform Provider (hcloud) (stated).

IaaS/Hosting-Fokus (Compute, Storage, Networking); begrenzte PaaS-Breite vs. Hyperscaler (stated).

Mehrere europäische Standorte/Regionen – Redundanz je Setup/Region (stated).

ISO-Zertifikat öffentlich, weitere Nachweise (z.B. C5) verlinkt (stated).

Policy Enforcement schwach: API-Tokens nur grob (read/read-write) je Projekt; kein fein-granulares RBAC/Org-Policy belegt.

Firewall: ohne Regeln werden inbound Connections blockiert; outbound ist standardmäßig erlaubt (teilweise secure-by-default).

ISO/ISMS vorhanden (periodisch); keine Continuous/maschinenlesbare Verification öffentlich belegt.

ISO 27001 für RZ. Begrenzte öffentliche Ops-Dokumentation. Self-Service-Fokus.

Kein Confidential Computing-Angebot. IaaS-Fokus mit Standard-Isolation.

Terraform Provider (hcloud) + API Docs; Automatisierung gut möglich (stated).

Kern-IaaS; DevOps-Bausteine (Registry/Secrets) nicht als integrierte Suite belegt → ggf. extern/DIY.

Basis-Monitoring je Service; End-to-End Observability Suite nicht belegt → ggf. extern/DIY.

Limits im Console‑„Limits“-Tab einsehbar; Limit‑Increase per „Request change“; API Rate‑Limits dokumentiert (partial).

TBD.

Veröffentlicht durchschnittlichen PUE (z. B. Ø ~1.13) und Effizienzmaßnahmen; keine offiziellen Targets ausgewiesen. (Quelle: Hetzner Sustainability)

100% Strom aus Wasserkraft (Angabe) + Maßnahmen (z. B. wasserfreie Kühlung); kein umfassendes Carbon/Wasser-Reporting (Scopes) in Quelle. (Quelle: Hetzner Sustainability)