Es ist ja noch schlimmer: sie behaupten, wegen DSGVO eigene Rechner betreiben zu müssen

Das würde ich bezweifeln... mailbox.org/de/post/intervie…

Es ging um DSGVO-Konformität, und die ist definitiv gegeben, wenn ein DPA vorliegt und die Daten in der EU gehostet werden. Das Risiko eines Zugriffs durch US-Ermittlungsbehörden muss man separat bewerten und anderen Anforderungen (wie z.B. der Verfügbarkeit) gegenüberstellen.

Die reine hosting location ist vollkommen unerheblich. Das reicht für sich genommen nicht sobald sie in der Einflußsphäre eines US Unternehmen stehen. Denn dann gilt nach IPR für das amerikanische Unternehmen und all seinen Besitzungen amerikanisches Recht.

Wie beurteilst Du ein Hosting durch die IBM Deutschland GmbH in einem Rechenzentrum in Ehningen? Und wenn anders als eine durch AWS in Frankfurt, warum?