Seit Einführung der DS-GVO, im Grunde aber schon immer, ist eine der wesentlichen Fragen, wo auf der Welt Daten gespeichert werden. Dies berührt zu gleichen Teilen die Frage der Datensicherheit, wie die Frage des Datenschutzes.

Habe ich als Verantwortlicher die uneingeschränkte Kontrolle über die Datenverarbeitung und -speicherung, ist das optimal. Am Besten ist es natürlich auf eigenen Servern im eigenen Netzwerk. Nur erfordert das in der Regel nicht unerheblichen Aufwand an Infrastrktur und Personal. Toll, dass es Dienstleister gibt, die dies für verhältnismäßig geringe Kosten anbieten.

Und genau dann wird es „spannend“. Dass Rechenzentren mit enormem Aufwand Sicherheitsvorkehrungen treffen, die einem Hochsicherheitsgefängnis gut zu Gesicht stehen ist hinlänglich bekannt. Ebenfalls wird mit maximalem Aufwand dafür Sorge getragen, dass keine externer Angriffsmöglichkeiten auf elektronischem Wege eröffnet werden. Was aber gilt, wenn z.B. auf Grundlage nationalstaatlicher Gesetze staatliche Einrichtungen nahezu uneingeschränkten Zugriff auf Daten im Rechenzentrum nehmen können, wenn der „Spion“ damit quasi bereits im Rechenzentrum selbst sitzt?
Auf Grund der immer größer werdenden Datenströme wird das Vorhalten einer zeitgemäßen und damit „schnellen“ Infrastruktur zunehmend schwieriger – je größer das Unternehmen ist wird es nahezu unmöglich.

Nun liest man immer wieder „Serverstandort Europäische Union“ – reicht das bereits aus, um ein Datenschutzniveau der DS-GVO zu gewährleisten? Kommt es nicht vielmehr darauf an, was im Rechenzentrum tatsächlich passiert?

Das Verwaltungsgericht Wiesbaden hat im Rahmen eines Eilantrags im Dezember 2021 (AZ 6 L 738/21.WI) der Hochschule RheinMain die Nuztung des Cookie-Consent-Systems „Cookiebot“ mit der Begründung untersagt, dass die Daten über einen Cloud-Anbieter fließen, der seinen Firmensitz in den USA hat und auf Grund des Cloud-Acts sämtliche Daten nach entprechender Aufforderung an US-Strafverfolger und/oder Geheimdienste weitergeben müssen. Dies stelle einen Verstoß gegen die DS-GVO dar.

US-Anbieter für Cloudlösungen sind sehr beliebt, zu nennen sind hier sicherlich Google, Amazon Web Services, Micorosft und Apple. Diese Entscheidung könnte sehr weitreichenden Folgen haben, hätte Sie auch im Hauptsacheverfahren und ggf. weiteren Instanzen Bestand.

Unter Datenschützern ist die Entscheidung nicht unumstritten, bedeutete Sie doch, dass so einfach keine US-Dienstleister mehr für Cloud-Dienste in Anspruch genommen werden könnten. Wir überlassen Ihrer Phatasie welche Dienste Sie gerade im Geiste „streichen“ – na, sind es fast alle? …

Ob es soweit kommen muss oder überhaupt kommen kann, wird sich zeigen. Akuter Handlungsbedarf besteht nicht. Wichtig für Ihre Entscheidungen ist es jedoch den Hintergrund zu kennen und sich zu überlegen, wie Sie mit möglichst geringem Aufwand zusätzliche Sicherheiten für Ihre Daten schaffen. Hier sind neben den personenbezogenen Daten sicher auch wichtige Firmeninterna und/oder -geheimnisse zu nennen.

Der Cloud-Act verpflichtet alle Unternehmen mit Firmensitz in den USA US-Strafverfolgern und Geheimdiensten und anderen Behörden auf erste Anforderung uneingeschränkten Zugang auf alle Daten weltweit zu gewähren. Auf den Serverstandort kommt es somit überhaupt nicht an.

Wenn Sie einen EU-Anbieter einer Cloudlösung nutzen, der kein Teil eines US-Unternehmens, z.B. über eine Holding ist, betrifft Sie das Thema „Cloud-Act“ nicht. Gleichwohl kann auch hier erforderlich werden, die „Muttergesellschaftsstruktur“ des Anbieters zu kennen, denn auch in anderen Ländern, die nicht der EU angehören können vergleichbare Zugriffsmöglichkeiten bestehen.

Die „Zauberworte“ heißen Datenminimierung und Verschlüsselung. Speichern Sie möglichst wenige Daten auf externen Systemen, die von möglichen Zugriffen betroffen sein könnten. Zudem sollten alle Daten, die Sie auf Cloud-Systemen speichern, dort grundsätzlich nur in verschlüsselter Form abgelegt werden. Achten Sie auch darauf, dass die (möglicherweise besonders aufschlussreichen) Metadaten so wenige Informationen, wie möglich enthalten.

Es lohnt sich wie immer, sich ein paar Gedanken mehr zu Dienstleistern und deren Datensicherheit zu machen, denn damit schützen Sie neben den Firmeninterna auch die personenbezogenen Daten Ihrer Mitarbeitenden und Kund:innen.