Nicht nur der Standort des gezeigten Serverschranks im Rechenzentrum ist für eine gute Datensicherung relevant, sondern auch der Standort der Firma und ihrer Büros.

Firmensitz und Serverstandort - beides muss für den Datenschutz stimmen

Die Speicherung von Daten auf einem Server in der EU ist kein Patentrezept für den Datenschutz. Compliance hängt auch davon ab, wer Eigentümer des Servers ist.

Es ist eine Binsenweisheit, dass Datenschutz wichtig ist. Ja: Daten sind das Öl des 21. Jahrhunderts, Datenschutz ist eine Compliance-Aufgabe und eine Verletzung des Schutzes personenbezogener Daten kann nicht nur den Ruf eines Unternehmens bei Kunden und Partnern erheblich beeinträchtigen, sondern auch zu erheblichen finanziellen Schäden führen. Darüber hinaus drohen Bußgelder und im Einzelfall auch eine persönliche Haftung von Verantwortlichen. Dessen sollte sich jedes Unternehmen bewusst sein.

In der Praxis wird Datenschutz jedoch oft nicht durch pragmatisches Handeln, sondern durch die Anwendung bürokratischer Rituale angegangen. Letztere vor allem auf dem Papier - in Form von Listen und Verzeichnissen, Auftragsverarbeitungsverträgen (DPAs) und Notfallplänen.

Es ist natürlich wichtig, einen Überblick über Datenverarbeitungsvorgänge und entsprechende Verträge zu haben. Darüber hinaus ist Datenschutz jedoch auch eine Aufgabe, die in die grundlegende Architektur der Unternehmens-IT integriert werden muss. Fragt man Unternehmen konkret, wie diese Struktur umgesetzt ist, lautet die Antwort häufig, dass Daten auf Servern innerhalb der EU gespeichert werden – und damit sei alles in Ordnung.

Doch reicht das tatsächlich aus, oder greift dieser Ansatz zu kurz, wenn es um wirksamen Datenschutz geht?

Serverstandort vs. Standort des Serverbetreibers

Ein Serverstandort in der EU ist zumindest ein guter Anfang. Darüber hinaus kommt es jedoch auch darauf an, wem der Server gehört, auf dem die Daten gespeichert sind.

Handelt es sich um einen eigenen Server, sei es im eigenen Rechenzentrum oder in einer extern betriebenen Infrastruktur (z. B. Colocation), stellen sich zunächst keine besonderen Fragen: Man hat die eigene IT, die durch technische und organisatorische Maßnahmen so gestaltet sein muss, dass sie datenschutzkonform funktioniert.

Viele Daten und Anwendungen werden heute jedoch in der Cloud betrieben. Und “Cloud” bedeutet dabei zunächst nichts anderes als die Nutzung von IT-Infrastruktur eines Drittanbieters. Der Cloud-Betreiber verarbeitet somit Daten im Auftrag eines Unternehmens - ein klassischer Fall der Auftragsverarbeitung. Bei diesem Vorgang werden regelmäßig personenbezogene Daten übermittelt.

Eine solche Datenübermittlung ist grundsätzlich unproblematisch, solange sie innerhalb der EU oder in einem Land erfolgt, für das ein Angemessenheitsbeschluss der EU besteht. Die DSGVO gilt nämlich nicht automatisch in jedem Land außerhalb der EU.

Wenn sich der Server also in Europa befindet, sollte alles in Ordnung sein, oder?

Datentransfer haben viele Formen

Eine Übermittlung von Daten in ein Drittland wie die USA liegt nicht nur dann vor, wenn Daten aktiv übertragen werden, sondern auch dann, wenn der Zugriff auf diese Daten aus einem Drittland heraus ermöglicht wird. Ein einfaches Beispiel: Wenn ein Unternehmen die Leserechte für ein Verzeichnis auf einem Server in der EU so konfiguriert, dass die Daten von den USA aus abgerufen werden können, handelt es sich bereits um einen Datentransfer.

Genau dies geschieht häufig, wenn Daten in einer Cloud verarbeitet werden, die von einem US-Unternehmen oder einem Unternehmen betrieben wird, das zu einem US-Konzern gehört. Denn solche Anbieter unterliegen dem US-Recht, insbesondere dem Cloud Act sowie weiteren sicherheitsrechtlichen Regelungen. Diese Gesetze können US-Behörden wie etwa Strafverfolgungs- oder Sicherheitsbehörden dazu ermächtigen, Zugriff auf Daten zu verlangen – auch dann, wenn diese außerhalb der USA gespeichert sind.

Neben dem Cloud Act ist hier auch noch Section 702 des Foreign Intelligence Surveillance Act (FISA) relevant, die im April 2024 erneut verlängert wurde. FISA 702 erlaubt es US-Geheimdiensten, ohne richterliche Einzelfallgenehmigung auf Daten bei US-Unternehmen zuzugreifen, wenn die betroffene Person kein US-Bürger ist. Genau diese Befugnis ohne gerichtliche Kontrolle war der zentrale Grund, aus dem der EuGH in den Schrems-Urteilen die Vorgängerregelungen für ungültig erklärt hat.

Für Unternehmen bedeutet das: Selbst, wenn sich der Server physisch in der EU befindet, kann ein Zugriff aus den USA rechtlich möglich sein, unabhängig davon, ob dieser Zugriff aus europäischer Sicht zulässig wäre. Genau darin liegt eine zentrale datenschutzrechtliche Herausforderung, die bei der Auswahl von Cloud-Anbietern berücksichtigt werden muss.

Um es noch klarer zu sagen: Die Speicherung von Daten auf einem Server oder in einer Cloud, die - auch indirekt über eine Konzernstruktur - einem US-Unternehmen zuzurechnen ist, kann eine Datenübermittlung in die Vereinigten Staaten darstellen.

DSGVO und US Cloud Act: nicht leicht aufzulösende Widersprüche

Eine solche Datenübermittlung kann oft nicht rechtssicher gestaltet werden.

Die USA und die EU hatten in zwei Anläufen versucht, eine Grundlage für solche Datenübermittlungen zu finden, nämlich in Form des “Safe Harbor"-Abkommens und später des “Privacy Shield”. Beide Instrumente wurden jedoch vom Europäischen Gerichtshof (EuGH) in den Urteilen Schrems I und Schrems II für ungültig erklärt. Sie können daher nicht mehr als Grundlage für Datenübermittlungen dienen.

Ein dritter Versuch ist derzeit umgesetzt: Das EU-US Data Privacy Framework (EU-US DPF), das die Grundlage für einen Angemessenheitsbeschluss der EU-Kommission bildet. Technisch gesehen ermöglicht dies Datenübermittlungen in die USA, ohne gegen die DSGVO an sich zu verstoßen.

Es gibt jedoch mehrere Gründe, vorsichtig zu sein.

Zunächst einmal ist unklar, ob das EU-US-DPF langfristig Bestand haben wird. Eine erste Klage gegen den Angemessenheitsbeschluss wurde vom Gericht der Europäischen Union (EuG) bereits abgewiesen. Die Angelegenheit wird nun vor dem Europäischen Gerichtshof (EuGH) – der höchsten Instanz – weiterverhandelt.

Schwerer noch wiegt, was in den USA selbst geschieht. Seit Januar 2025 hat die Trump-Administration die institutionellen Grundlagen des DPF systematisch geschwächt. Die drei demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB) wurden entlassen. Das PCLOB hat kein Quorum mehr und ist faktisch handlungsunfähig. Dabei war gerade dieses Gremium ein zentrales Element des Angemessenheitsbeschlusses: Es sollte die jährliche Überprüfung des Rechtsschutzmechanismus durchführen, über den sich EU-Bürger gegen eine unrechtmäßige Überwachung wehren können. Wenn das Aufsichtsgremium nicht mehr funktioniert, funktioniert auch die Aufsicht nicht mehr.

Gleichzeitig steht die Executive Order 14086, die das DPF überhaupt erst ermöglicht, unter Review. Eine weitere Executive Order stellt die Unabhängigkeit der Federal Trade Commission (FTC) in Frage, die für die Durchsetzung der DPF-Grundsätze in den USA zuständig ist.

Da das EU-US-DPF in wesentlichen Punkten den Vorgängerregelungen Safe Harbor und Privacy Shield ähnelt, besteht weiterhin das Risiko, dass auch dieses Instrument künftig für ungültig erklärt wird – insbesondere vor dem Hintergrund der bisherigen Rechtsprechung des EuGH. Es wäre daher unklug, langfristige Entscheidungen (wie etwa die Installation einer bestimmten Software-Infrastruktur) ausschließlich von der Existenz dieses Rahmenwerks abhängig zu machen.

Aber selbst, wenn die Gerichte den Übermittlungsmechanismus durchwinken sollten, bedeutet das nicht, dass der US Cloud Act auf magische Weise verschwindet. Die US-Behörden werden weiterhin Zugang zu den Daten haben, und wenn man die Vergangenheit betrachtet, werden sie ihn auch nutzen. Wer jedoch über sensible Daten und Geschäftsgeheimnisse verfügt oder Datenübertragungen zu und von kritischen Infrastrukturen durchführt, wird sich das zweimal überlegen.

Nicht nur Datenschutz: Die Cybersicherheit als zweite Dimension

Zu den datenschutzrechtlichen Überlegungen gesellt sich eine weitere und umfassendere Entwicklung. Mit der NIS2-Richtlinie, die seit Oktober 2024 umgesetzt werden muss, sind viele Unternehmen erstmals gesetzlich verpflichtet, die Cybersicherheit ihrer Lieferkette zu bewerten. Dazu gehören auch Cloud-Anbieter. Das im Januar 2026 vorgestellte CSA2-Paket der EU-Kommission geht noch einen Schritt weiter und sieht ein Rahmenwerk vor, das den Ausschluss von als riskant eingestuften Anbietern aus kritischen Bereichen ermöglicht. Die Wahl des Cloud-Anbieters ist damit nicht mehr nur eine datenschutzrechtliche Frage, sondern auch eine der Cybersicherheits-Compliance.

Ergebnis und Empfehlung

Die Speicherung von Daten auf einem Server innerhalb der EU ist kein Allheilmittel, das automatisch alle Datenschutzanforderungen erfüllt. Entscheidend ist, dass auch das Unternehmen, das die Server oder die Cloud betreibt, die Anforderungen an die Auftragsverarbeitung personenbezogener Daten erfüllen kann. Dabei sind nicht nur der Serverstandort, sondern auch der Sitz des betreibenden Unternehmens sowie dessen Konzernstruktur zu berücksichtigen.

Wo immer möglich, sollten daher europäische Anbieter bevorzugt werden. Nicht aus Home-Bias, sondern weil es die regulatorischen Rahmenbedingungen, die aktuelle Rechtslage und ein realistischer Blick auf die politische Stabilität transatlantischer Datenschutzvereinbarungen nahelegen. Wer heute seine Infrastruktur plant, sollte dabei nicht auf die Hoffnung setzen, dass ein politisch fragiles Rahmenwerk auch morgen noch Bestand hat.

Hinweis: Dieser Beitrag wurde erstmals im Januar 2022 veröffentlicht und zuletzt im Juni 2026 aktualisiert und korrigiert.