Cloud-Hosting in Deutschland und den USA: Welches Datenschutzrecht gilt?

Cloud-Hosting in Deutschland und den USA: Welches Datenschutzrecht gilt?

In Europa wurde mit der Datenschutzgrundverordnung (DSGVO) ein allgemeinverbindlicher rechtlicher Datenschutzstandard eingeführt. Auf der anderen Seite des Atlantiks in den USA sieht das anders aus: Ein einheitlich geltendes Datenschutzrecht gibt es dort nicht.

Dieser Gegensatz beim Datenschutz stellt Anbieter von Cloud-Hosting-Diensten auf die Probe, die sowohl in Europa als auch in den USA ansässig sind und ihre Hosting- und Serverleistungen weltweit zur Verfügung stellen, ohne einen zentralen Serverstandort zu haben. Sie kommen mit unzähligen Daten in Berührung, die ihre Kunden eingespeist haben. Nach welchen Grundsätzen wird das anwendbare Datenschutzrecht beim Angebot von transatlantischen Cloud-Hosting-Leistungen bestimmt?

I. DSGVO setzt Maßstab

Beim Cloud-Hosting ebenso wie bei allen sonstigen Datenverarbeitungen mit internationalem Kontext werden die Maßstäbe für die Frage nach dem anwendbaren Recht von Art. 3 DSGVO gesetzt. Diese Vorschrift stellt einen Anwendungsvorrang des strikteren europäischen Datenschutzrechts gegenüber außereuropäischen Regelungen auf.

Art. 3 DSGVO vereint hierbei zur möglichst umfänglichen Anwendungserstreckung zwei Prinzipien: das Territorialitätsprinzip (Abs. 1) und das Marktortprinzip (Abs. 2).

So findet die DSGVO zum einen immer dann Anwendung, wenn Datenverarbeitungen im Rahmen der Tätigkeiten einer Niederlassung auf dem Gebiet (Territorium) der EU erfolgen. Maßgeblich für die Anwendung der DSGVO ist hierbei nur, ob die Verarbeitungen von einer europäischen Niederlassung (= feste Einrichtung mit effektiver und tatsächlicher Ausübung der Tätigkeit, Erwägungsgrund 22 DSGVO) ausgehen. Wo sie tatsächlich stattfinden, ist irrelevant.

Zum anderen findet die DSGVO aber auch bei Nichtvorhandensein einer europäischen Niederlassung Anwendung, wenn die Datenverarbeitung in Zusammenhang damit steht, Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anzubieten. Wird also beabsichtigt, mit Angeboten gezielt EU-Bürger zu adressieren, unterfallen hiermit einhergehende Datenverarbeitungen automatisch der DSGVO.

II. Anwendung der Grundsätze auf Cloud-Hosting-Dienste

Die DSGVO unterscheidet zwischen Datenverantwortlichen, die über Zwecke und Mittel von Verarbeitungen autonom entscheiden, und Auftragsverarbeitern, die nur im Verantwortlichenauftrag und weisungsgebunden Daten verarbeiten. Cloud-Hoster haben nach der DSGVO nun eine Doppelfunktion:

  • für die Inanspruchnahme der Hosting-Leistung durch Kunden sind sie bezüglich der Verarbeitung von personenbezogenen Daten dieser Kunden (etwa für den Vertragsschluss notwendige Kontaktinformationen) selbst Verantwortliche

  • für die Verarbeitung von personenbezogenen Daten von Kunden der Hosting-Kunden (etwa Daten von Käufern eines cloudgehosteten Online-Shops) sind sie nur Auftragsverarbeiter

Ausgehend hiervon unterfallen transatlantische Cloud-Hosting-Dienste immer dann der europäischen DSGVO, wenn

  • die Hosting-Leistungen (auch) von einer Niederlassung des Anbieters in der EU aus erbracht werden (Territorialitätsprinzip)

  • die Hosting-Leistungen spezifisch potenziellen Kunden in der EU angeboten werden (Marktortprinzip unter dem Gesichtspunkt der Datenverantwortlichkeit)

  • die Hosting-Leistungen Kunden in oder außerhalb der EU angeboten werden, die bestimmungsgemäß (auch) Daten von ihren EU-Kunden in die Cloud einspeisen (Marktortprinzip unter dem Gesichtspunkt der Auftragsverarbeitung)

III. Fazit

Cloud-Hosting-Anbieter mit transatlantischer Ausbreitung bewegen sich im Spannungsfeld US-amerikanischer und europäischer Datenschutzregeln. Allerdings beansprucht die europäische DSGVO durch die Vereinigung des Territorialitäts- und Marktortprinzips einen weitreichenden Anwendungsvorrang für sich.  Sie unterwirft ihrem Regelungsbereich alle Cloud-Hosting-Dienstleistungen, die von der EU aus über eine Niederlassung angeboten werden oder sich an Kunden richten, die selbst in der EU ansässig sind und/oder ihrerseits Daten von EU-Kunden in den Cloud-Dienst einspeisen.  

Für die Anwendung amerikanischen Datenschutzrechts bleibt daher selten Raum.


Dieser Beitrag entstand in Zusammenarbeit mit der IT-Recht Kanzlei München. Es folgen:

Teil 2: Pflichten der Betreiber in den USA, Europa und Deutschland

Teil 3: Rechte der Kunden (natürliche Personen) nach US-Recht, Europäischem Recht und deutschem Recht

Mehr zum Thema Datensicherheit und Cloud-Hosting erfährst Du hier:

Zur Cloud-Studie von STRATO und forsa

Du möchtest auf Nummer sicher gehen und Cloud-Hosting in Deutschland nutzen?

Zum Cloud-Speicher HiDrive

Update, 28.01.2020: Dieser Beitrag erschien ursprünglich am 28.10.2019. Wir haben ihn aktualisiert.

Schlagworte: , , ,

Teilen

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

 

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen