Cloud-Dienste als Datenspeicher

Viele Unternehmen lagern den physischen Standort ihres Servers aus dem eigenen Unternehmen aus oder nutzen Cloud-Dienste als Datenspeicher. Dies ist bequem und bietet in Zeiten des Homeoffice eher Vor- denn Nachteile. Bei der Wahl des Hosting-Anbieters stellt sich aber die Frage, ob und ggf. welche Rolle der Serverstandort für den Datenschutz spielt. 

1. Unternehmenssitz und Server innerhalb von Deutschland oder der EU 

Wenn das Hosting-Unternehmen seinen Sitz in Deutschland hat und der Server sich ebenfalls in Deutschland befindet, dann ist die DSGVO und das deutsche Bundesdatenschutzgesetz (§ 1 Abs. 4 Nr. 1 BDSG) anwendbar. Dasselbe gilt, wenn das verarbeitende Unternehmen mit Sitz in Deutschland einen Serverstandort im EU-Ausland hat. Über die Anwendbarkeit des deutschen Datenschutzrechts entscheidet - unabhängig vom Ort der Datenverarbeitung – nämlich der Sitz des Unternehmens (§ 1 Abs. 4 S. 2 Nr. 2 BDSG). 

Hat das Unternehmen eine Niederlassung außerhalb von Deutschland aber innerhalb der EU, dann ist zwar die DSGVO anwendbar (Art. 3 Abs. 1 DSGVO). Ansonsten gilt hier aber das nationale Datenschutzrecht des EU-Staates, in welchem sich die Niederlassung befindet. 

Datenschutzrechtlich unbedenklich ist daher, wenn der Serverstandort und der Sitz des Hosting-Unternehmens innerhalb der EU sind. 

2. Server in Drittstaaten außerhalb der EU oder Hosting-Anbieter in Drittstaaten 

Wenn sich der Unternehmenssitz oder der Serverstandort in einem Drittstaat außerhalb der EU befindet, z.B. in den USA, dann gilt ausschließlich das Datenschutzrecht des jeweiligen Drittlands, also z.B. amerikanisches Recht. Einige Drittstaaten verfügen nicht über dasselbe Datenschutzniveau wie die EU, insbesondere auf Grund von Rechtsvorschriften, die Zugriffsmöglichkeiten von Behörden auf personenbezogene Daten zulassen. Zunächst war versucht worden mithilfe von Standardvertragsklauseln für Verträge, die dann mit dem Hosting-Unternehmen geschlossen werden (sollten) auch hier ein ausreichendes Datenschutzniveau zu erreichen. 

Der EuGH hat in seinem Urteil in der Sache C-311/18 (Schrems II) insoweit aber festgestellt, dass die damaligen Standardvertragsklauseln keine geeigneten Garantien zur Legitimation des Datentransfers von der EU in ein Drittland wie die USA darstellen, weil der Datenimporteur, d.h. das US-Unternehmen, seine Verpflichtung zur Gewährleistung eines adäquaten Datenschutzniveaus wegen der behördlichen Zugriffsrechte gar nicht erfüllen kann. 

Im Nachgang zu diesem Urteil stellte sich die Frage, ob bei der Beauftragung eines Unternehmens in einem unsicheren Drittstaat wie den USA, die Wahl eines Serverstandorts innerhalb der EU eine wirksame Maßnahme darstellen kann, um behördliche Zugriffe zu vermeiden und damit den Datentransfer auf der Basis der neuen EU-Standardvertragsklauseln legal zu ermöglichen. Die 

Antwort lautet aber leider nein! Amerikanische Unternehmen sind nach den nationalen Gesetzen grundsätzlich verpflichtet, US-Behörden Zugriff auf die von ihnen verarbeiteten Daten zu erlauben ohne, dass es eine Rolle spielt, an welchem physischen Standort sich der Server für die Daten befindet. 

Vom europäischen Datenschutzausschuss EDSA wird auch klargestellt, dass auch der Fernzugriff aus einem Drittland auf Daten innerhalb der EU als Übermittlung im Sinne der DSGVO anzusehen ist. Damit wurde gleichzeitig klargestellt, dass für Hosting-Anbieter aus Drittländern keine Ausnahmeregeln gelten, auch wenn diese ihre Serverstandorte in die EU verlagern. 

Wenn das Hosting-Unternehmen oder der Serverstandort außerhalb der EU sind, ist zu prüfen, ob dieser Drittstaat ein sogenannter sicherer Drittstaat ist. Zu nennen sind hier unter anderen die Schweiz, das Vereinigte Königreich, Südkorea oder Neuseeland. Die EU veröffentlicht regelmäßig, welche Staaten über ein angemessenes Datenschutzniveau verfügen. 

3. Server in Drittstaaten außerhalb der EU oder Hosting-Anbieter in der EU, aber Muttergesellschaft in unsicheren Drittstaaten 

Hier gilt leider das unter 2. Gesagte. Viele große US-Unternehmen haben Tochtergesellschaften in der EU gegründet um die oben aufgeführten Probleme zu umgehen. Nach dem CLOUD Act dürfen US-Behörden auch auf Daten zuzugreifen, die US-amerikanische Dienstleister und deren Tochtergesellschaften außerhalb der USA speichern. Entsprechende Gesetze gibt es in vielen Drittländern. 

4. Fazit 

Wenn man mit dem auf die Datenverarbeitungsvorgänge anzuwendenden Recht vertraut sein will, dann muss der Unternehmenssitz des verarbeitenden Unternehmens in Deutschland liegen und der Standort des Servers muss sich jedenfalls innerhalb der EU befinden. In diesem Fall gilt das deutsche BDSG. Handelt es sich bei dem verarbeitenden Unternehmen allerdings um eine Niederlassung außerhalb von Deutschland (aber innerhalb der EU), dann gilt das nationale Recht des EU-Staats, in welchem sich der Serverstandort befindet. In diesem Fall findet neben der DSGVO das jeweilige nationale Recht Anwendung. 

Um Rechtssicherheit in Bezug auf Datentransfers in Drittländer zu haben, sind also Server bzw. Hosting-Anbieter, die ihren Sitz in der EU haben die beste Option. Bei einem Sitz des Anbieters außerhalb der EU sind das Datenschutzniveau und die ggf. zu ergreifenden rechtlichen Transfermaßnahmen sehr sorgfältig zu prüfen und mit dem Anbieter ggf. zu vereinbaren. Allein der Standort des Servers innerhalb der EU oder innerhalb von Deutschland stellt keine geeignete Garantie für die Rechtmäßigkeit des Datentransfers dar.

Autor: GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay