Welche Rolle spielen sie für Unternehmen?
Der Serverstandort eines Unternehmens, ist der Ort, an dem die Daten des Unternehmens gespeichert werden. Für gewöhnlich ist der Serverstandort unabhängig vom Unternehmenssitz, also dem Ort, an dem das jeweilige Unternehmen ansässig ist. Diese Unterscheidung ist mit Blick auf das geltende Recht essentiell. Abhängig vom Serverstandort und / oder dem Unternehmenssitz wird nämlich das Datenschutzrecht des jeweiligen Landes angewendet.
Das bedeutet:
Befindet sich sowohl der Serverstandort als auch der Unternehmenssitz in Europa, so gilt die Datenschutzgrundverordnung (DSGVO). Liegt einer der beiden Standorte jedoch in einem Drittland, wie beispielsweise den USA, dann ist das Datenschutzrecht dieses Drittlandes entweder zusätzlich oder sogar ausschließlich anzuwenden.
Hinweis
Nach dem Europäischen Gerichtshof (EuGH) verfügen nicht alle Drittstaaten auch über dasselbe Datenschutzniveau wie Europa. Vor allem, wenn es um die USA geht, wird viel über die Angemessenheit diskutiert. Aktuell (Stand Januar 2024) gilt für die USA erneut ein sogenannter Angemessenheitsbeschluss. Doch Vorsicht: noyb, die Organisation, die bereits die letzten zwei Abkommen erfolgreich angefochten hat (s. unter andererm Urteil vom 16.07.2020, C-311-18, Schrems II), hat bereits angekündigt, auch das aktuell gültige “Data Privacy Framework” durch den EuGH überprüfen lassen zu wollen. Es ist daher nicht unwahrscheinlich, dass die USA aufgrund der umfangreichen Zugriffsrechte durch die US-Geheimdienste erneut als unsicheres Drittland eingestuft werden. Diese Situation legen wir den folgenden Ausführungen zugrunde.
Aber nicht nur die USA ist betroffen: auch Japan, Indien und China wurden als „nicht angemessen“ bezüglich ihres Datenschutzniveaus eingestuft.
Für Unternehmen gehen damit besondere Herausforderungen und Maßnahmen einher, die sie ergreifen müssen, um datenschutzrechlich konform zu handeln, wenn sie Daten in diesen Drittländern verarbeiten oder speichern lassen. Die jeweiligen Maßnahmen sind dabei individuell zu prüfen. Einfacher erscheint es daher, einen Serverstandort zu wählen, der in Europa oder in einem als sicher eingestuften Drittland liegt.
Was passiert jedoch, wenn der Serverstandort zwar in Europa liegt, jedoch von einem Konzern aus den USA oder einem anderen unsicheren Drittland oder einer europäischen Tochtergesellschaft eines solchen Konzerns betrieben wird? Wie steht es dann mit der Datenschutzkonformität?
Diese Frage kann so pauschal nicht eindeutig beantwortet werden. Neben dem Serverstandort spielen noch zahlreiche weitere Faktoren eine Rolle. Welches Recht gilt oder ob Datenschutzkonformität vorliegt, ist unter anderem davon abhängig, wo eine Datenverarbeitung erfolgt, ob eine Übermittlung von personenbezogenen Daten in ein Drittland stattfindet oder von wem der Server betrieben wird. Letztlich müssen alle Prozesse und Abläufe geprüft werden, allein der Standort des Servers in der EU führt nicht unmittelbar zu einer Datenschutzkonformität.
Diese Problematik besteht vor allem für Unternehmen, die Subdienstleister mit Unternehmenssitz in den USA, wie Amazon, Google oder Microsoft, einsetzen. Wie eben erwähnt, wird das Problem nicht allein dadurch gelöst, mit deren europäischen Tochtergesellschaften zu arbeiten.
Ein Beispiel dafür ist unter anderem der Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 (Vergabekammer Baden-Württemberg, Beschl. v. 13.07.2022, Az. 1 VK 23/22), die eine Vergabe von öffentlichen Aufträgen als nicht zulässig eingestuft haben, wenn ein US-Server- oder Hosting-Anbieter als Unterauftragsnehmer des Produktes oder der Dienstleistung involviert ist. Dazu gehören dem Beschluss nach auch Tochterunternehmen mit europäischem Serverstandort.
Auch durch das sogenannte Schrems II Urteil gewährleistet das US-Recht den Schutz personenbezogener Daten aus der EU nicht in angemessenem Umfang. Im Falle des Schrems II Urteils handelte es sich um einen Rechtsstreit zwischen Facebook Ireland Ltd., mit Serverstandort innerhalb der EU und einem österreichischen Juristen. Grund für die Anklage war die Weiterleitung von Daten durch Facebook Ireland an dessen Mutterkonzern in den USA.
Zwar wurde mit der Entscheidung des EuGH vorrangig das „Privacy Shield“ gekippt und damit eine Unvereinbarkeit des US-Rechts mit dem europäischen Datenschutzniveau festgestellt, da in den USA verschiedene Gesetze bestehen, die eine Überwachung personenbezogener Daten entgegen der DSGVO ermöglichen – jedoch bietet sich dieses Urteil ebenfalls als Grundlage für die Nutzung der Serverdienstleistungen europäischer Tochtergesellschaften mit US-Mutterkonzernen oder Mutterkonzernen mit Sitz in unsicheren Drittländern an. Denn obwohl sich die Serverstandorte von Facebook Ireland in der EU befinden, kann ein Fremdzugriff, in diesem Fall aus den USA, trotzdem nicht ausgeschlossen werden.
Als Beispiel für die Befugnis eines solchen Fremdzugriffs kann der seit 2018 bestehende Cloud Act herangezogen werden, welcher es amerikanischen Sicherheitsbehörden ermöglicht auf sämtliche Unternehmens- und Kundendaten von Cloud- oder Kommunikationsanbietern zuzugreifen, sofern der Unternehmenssitz in den USA liegt oder das Unternehmen dem US-Recht unterliegt. Damit sehen sich amerikanische Unternehmen gezwungen, den Sicherheitsbehörden auch Zugang zu Daten zu gewähren, die Bürgern außerhalb der USA gehören.
Auch das sogenannte FISA 702, welches im Jahr 2008 verabschiedet wurde, ist datenschutzrechtlich problematisch. Hierüber wird die Überwachung von nicht-US Bürgern außerhalb der USA geregelt, insbesondere was die elektronische Kommunikation angeht. US-amerikanische elektronische Kommunikationsdienste, wie Facebook oder Google, die personenbezogene Daten sammeln, sind dadurch ebenfalls zur Herausgabe dieser personenbezogenen Daten gezwungen und beeinträchtigen die Privatsphäre europäischer Nutzenden.
Ein europäisches Tochterunternehmen hat nun die Wahl, ob es sich an die europäische Datenschutzgrundverordnung hält und somit die personenbezogenen Daten schützt, aber auch in Rechtswidrigkeit mit den USA gerät oder ob es nach dem Cloud Act Gesetz des Mutterkonzerns die personenbezogenen Daten herausgibt und somit nach europäischem Recht gesetzeswidrig handelt.
Fazit
Für Unternehmen aus den USA ist es nahezu unmöglich einen Fremdzugriff zu verhindern, da solche über die sogennanten Überwachungsgesetze geregelt sind. Europäische Tochterunternehmen haben zwar die Wahl zwischen dem für ihren Mutterkonzern geltenden Recht und dem europäischen Recht, wofür sie sich im Zweifelsfall entscheiden ist jedoch unklar.
Lösungsansatz
Ein möglicher Lösungsansatz für Unternehmen kann es deshalb sein auf den Einsatz von Anbietern aus Drittländern zu verzichten und darauf zu achten, dass nicht nur Server sondern auch (Haupt-) Unternehmenssitz innerhalb der EU liegen, damit in jedem Fall die DSGVO gilt und potentielle Zugriffsmöglichkeiten von Behörden der Drittländer zweifellos ausgeschlossen werde können.
Ist Lösungseinsatz von Anbietern aus Drittländern nicht zu vermeiden, so sollten die Daten zumindest verschlüsselt werden, um eine vollständige Einsicht oder Zuordnung der Daten im Falle eines Fremdzugriffs auszuschließen.
