Firmensitz und Serverstandort - beides muss für den Datenschutz stimmen

24. Feb 20244 min LesezeitTagsAngemessenheitsbeschlussDatenschutzDatenübermittlungEuGHDSGVOStandortPrivacy ShieldSafe HarborSchrems-Urteil I/IIServerTOMsUS Cloud Act
Nicht nur der Standort des gezeigten Serverschranks im Rechenzentrum ist für eine gute Datensicherung relevant, sondern auch der Standort der Firma und ihrer Büros.

Es ist eine Binsenweisheit, dass Datenschutz wichtig ist. Ja: Daten sind das Öl des 21. Jahrhunderts, Datenschutz ist eine Compliance-Aufgabe und eine Verletzung des Schutzes personenbezogener Daten kann den Ruf eines Unternehmens bei Kunden und Lieferanten schwer beeinträchtigen. Jedes Unternehmen weiß das.

In der Praxis wird der Datenschutz jedoch oft nicht durch pragmatisches Handeln, sondern durch die Anwendung bürokratischer Rituale angegangen. Letztere vor allem auf dem Papier - in Form von Listen und Verzeichnissen, DPAs und Notfallplänen.

Es ist natürlich wichtig, einen Überblick über Datenverarbeitungsvorgänge und Verträge zur Auftragsverarbeitung zu haben. Darüber hinaus aber ist Datenschutz auch eine Aufgabe, die in den grundsätzlichen Aufbau der Unternehmens-IT einfließen muss. Fragt man Unternehmen konkret, wie diese Struktur aufgebaut ist, so lautet die Antwort meist, dass sie ja ihre Daten auf Servern in der EU vorhalten. Es ist also alles in Ordnung.

Aber: Reicht das aus, oder ist das nur ein Pflaster auf eine Fleischwunde?

Serverstandort vs. Standort des Serverbetreibers

Ein Serverstandort in der EU ist ein guter Anfang. Darüber hinaus kommt es aber auch darauf an, wem der Server gehört, auf dem die Daten gespeichert sind.

Handelt es sich um Ihren eigenen Server, sei es im eigenen Rechenzentrum oder in einer Colocation-Lösung, stellen sich keine besonderen Fragen: Man hat die eigene IT, die durch technische und organisatorische Maßnahmen so gestaltet sein muss, dass sie datenschutzkonform funktioniert.

Aber viele Daten und Anwendungen leben heute in der Cloud. Und "Cloud" ist zunächst einmal nur die Bezeichnung für einen fremden Rechner. Der Cloud-Betreiber verarbeitet also Daten für einen Dritten: ein Fall von Auftragsverarbeitung. Bei diesem Vorgang werden personenbezogene Daten übermittelt.

Eine solche Datenübermittlung ist unproblematisch, solange sie in der EU oder in einem Land stattfindet, in dem die DSGVO gilt. Wenn sich der Server also in Europa befindet, sollte alles in Ordnung sein, oder?

Datentransfer haben viele Formen

Eine Übermittlung von Daten in ein Drittland wie die USA liegt nicht nur dann vor, wenn jemand aktiv Daten sendet, sondern auch, wenn er den Zugriff auf die Daten aus dem Drittland ermöglicht. Ein einfaches Beispiel: Wenn ein Unternehmen die Leserechte für ein Verzeichnis auf einem Server in der EU so einstellt, dass die Daten darauf von den USA aus abgerufen werden können, dann ist das ein Datentransfer.

Das ist aber genau das, was passiert, wenn man Daten in einer Cloud verarbeitet, die einem US-Unternehmen gehört. Und dazu gehören auch Unternehmen, deren Muttergesellschaft ihren Sitz in den USA hat. Denn diese Unternehmen unterliegen nach US-Recht, insbesondere dem Patriot Act und dem Cloud Act, sehr weitreichenden Verpflichtungen zur Weitergabe von Daten an US-Sicherheits- und Ermittlungsbehörden. Dabei ist es unerheblich, ob die Daten physisch in den USA oder in der EU gespeichert sind.

Um es noch klarer zu sagen: Die Speicherung von Daten auf einem Server oder in einer Cloud, die - auch indirekt über eine Unternehmensstruktur - einem US-Unternehmen gehört, ist eine Datenübermittlung in die Vereinigten Staaten.

DSGVO und US Cloud Act: nicht leicht aufzulösende Widersprüche

Eine solche Datenübermittlung kann oft nicht rechtssicher gestaltet werden.

Die USA und die EU hatten in zwei Anläufen versucht, eine Grundlage für solche Datenübermittlungen zu finden, nämlich in Form des "Safe Harbor"-Abkommens und später des "Privacy Shield". Beide Instrumente wurden jedoch vom Europäischen Gerichtshof (EuGH) in den Urteilen Schrems I und Schrems II für ungültig erklärt. Sie können daher nicht mehr als Grundlage für Datenübermittlungen dienen.

Ein dritter Versuch ist derzeit umgesetzt: Das EU-US Data Privacy Framework (EU-US DPF), das die Grundlage für einen Angemessenheitsbeschluss der EU-Kommission bildet. Technisch gesehen ermöglicht dies Datenübermittlungen in die USA, ohne gegen die DSGVO an sich zu verstoßen.

Es gibt jedoch zwei Gründe, vorsichtig zu sein.

Zunächst einmal ist völlig unklar, ob das EU-US-DPF Bestand haben wird. Es muss noch vor Gericht überprüft werden. Und da es Safe Harbor und Privacy Shield verdächtig ähnlichsieht, könnte es das gleiche Schicksal erleiden. Es wäre daher unklug, langfristige Entscheidungen (wie etwa die Installation einer bestimmten Software-Infrastruktur) von der Existenz des EU-US-Rahmenabkommens abhängig zu machen.

Aber selbst, wenn die Gerichte den Übermittlungsmechanismus durchwinken sollten, bedeutet das nicht, dass der US Cloud Act auf magische Weise verschwindet. Die US-Behörden werden weiterhin Zugang zu den Daten haben, und wenn man die Vergangenheit betrachtet, werden sie ihn auch nutzen. Wer jedoch über sensible Daten und Geschäftsgeheimnisse verfügt oder Datenübertragungen zu und von kritischen Infrastrukturen durchführt, wird sich das zweimal überlegen.

Ergebnis und Empfehlung

Die Speicherung von Daten auf einem Server, der sich in der EU befindet, ist kein Allheilmittel, das auf magische Weise alle Datenschutzanforderungen erfüllt. Entscheidend ist, dass auch das Unternehmen, das die Server bzw. die Cloud betreibt, die Anforderungen an die Auftragsverarbeitung personenbezogener Daten erfüllen kann. Dabei ist nicht nur der Serverstandort, sondern auch der Sitz des betreibenden Unternehmens - und dessen Holding oder Muttergesellschaft - zu berücksichtigen.

Wo immer möglich, sollten daher europäische Betreiber ausgewählt werden.

Hinweis: Dieser Beitrag wurde erstmals im Januar 2022 veröffentlicht und zuletzt im Februar 2024 aktualisiert und korrigiert.