Standort

Der Standort von Computern, Servern und Datenzentren ist ein zentrales Thema, wenn es um die Einhaltung von Vorschriften bei der Verarbeitung personenbezogener Daten geht. Der offensichtliche Grund: Die Gesetze sind von Ort zu Ort unterschiedlich, und um die Vorschriften einzuhalten, muss man wissen, welche Regeln gelten. Die Europäische Union hat mit ihrer Datenschutz-Grundverordnung relativ strenge Gesetze eingeführt. Aber auch andere Länder wie Japan, Südkorea, Argentinien oder auf Bundesstaatenebene interessanterweise auch Kalifornien haben ähnlich strikte Datenschutzgesetze.

Viele Länder, z. B. Russland, schreiben vor, dass alle oder zumindest bestimmte Arten von Daten nur innerhalb ihrer Grenzen verarbeitet werden dürfen. In anderen Ländern, vor allem in der EU, geht es nicht um den Standort an sich, sondern um ein bestimmtes Mindestmaß an Schutz. Daher wurden auch die Angemessenheitsbeschlüsse der EU-Kommission entwickelt, um Geschäfte mit dem europäischen Recht ähnlichen Jurisdiktionen zu ermöglichen. Hier bildet Art. 45 DSGVO die Grundlage für die Übermittlung personenbezogener Daten an Empfänger außerhalb der EU.

Leider ist es manchmal nicht so einfach festzustellen, an welchem Ort genau eine bestimmte Datenverarbeitung stattfindet. Zum Beispiel ist der Zugang zu Daten bereits eine Verarbeitung dieser Daten. Der einfache Akt der Übermittlung von Zugangsdaten zu einer Datenbank an einen Empfänger in einem anderen Land kann daher bereits eine Datenverarbeitung in diesem Land darstellen.

Weiterführende Informationen gibt Engity in einem Blogbeitrag, der sich mit den Fragen von Serverstandort und Unternehmenssitz der für die Datenverarbeitung Verantwortlichen beschäftigt.