Es ist ja noch schlimmer: sie behaupten, wegen DSGVO eigene Rechner betreiben zu müssen

Das würde ich bezweifeln... mailbox.org/de/post/intervie…

Es ging um DSGVO-Konformität, und die ist definitiv gegeben, wenn ein DPA vorliegt und die Daten in der EU gehostet werden. Das Risiko eines Zugriffs durch US-Ermittlungsbehörden muss man separat bewerten und anderen Anforderungen (wie z.B. der Verfügbarkeit) gegenüberstellen.

Die reine hosting location ist vollkommen unerheblich. Das reicht für sich genommen nicht sobald sie in der Einflußsphäre eines US Unternehmen stehen. Denn dann gilt nach IPR für das amerikanische Unternehmen und all seinen Besitzungen amerikanisches Recht.

Wie beurteilst Du ein Hosting durch die IBM Deutschland GmbH in einem Rechenzentrum in Ehningen? Und wenn anders als eine durch AWS in Frankfurt, warum?

Exakt das gleiche. Ist imo nicht DSGVO konform. Das ist ein Grund, warum zB die deutschen Krankenkassen sich zusammengeschlossen haben und für interne Zwecke ihre eigene Cloud Infrastruktur auf die Beine gestellt haben: die BITMARCK GmbH.