Rechenzentren in der EU

Der erste Paukenschlag kam 2015 vom Europäischen Gerichtshof (EuGH), als dieser auf Betreiben des Datenschutzaktivisten Max Schrems das „Safe Harbour-Abkommen“ für ungültig erklärte (Rechtssache C-362/14). Der Paukenschlag des Schrems II-Urteils durch den EuGH in 2020 (Rechtssache C‑311/18) hallt noch immer nach. Kurz ausgedrückt, ist es seitdem rechtswidrig, personenbezogene Daten in die USA zu übermitteln, sofern Garantien gemäß Art. 46 DSGVO nicht vorhanden sind oder keine Ausnahmen nach Art. 49 DSGVO vorliegen. Nun argumentieren viele Unternehmen, dass sie trotz des Urteils weiterhin beispielsweise Rechenzentren von US-amerikanischen oder anderen Unternehmen in unsicheren Drittländern nutzen müssten, da es in der EU keine Alternativen gebe. Ist dies so? In diesem Beitrag gehen wir auf Rechenzentren in der EU ein und welche Vorteile diese gegenüber denen in unsicheren Drittländern bieten.

Allgemeine zu beachtende Punkte beim Einsatz externer Rechenzenren

In unserem Beitrag „Cloud-Dienstleistungen datenschutzkonform nutzen“ betrachten wir allgemein, worauf ein Verantwortlicher bei Einsatz externer Cloud-Anbieter achten sollte. Anwenden lässt sich dies aber auch auf die Nutzung von Rechenzentren.

Problematik der Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika

Hier erinnern wir an das Urteil des EuGH vom 16.07.2020, als er das EU-US-Privacy Shield für ungültig erklärte. – Mehr zu diesem Thema erfahren Sie in diesem Beitrag. – Somit erschwerte es die datenschutzkonforme Übermittlung von personenbezogene Daten in die Vereinigten Staaten von Amerika erheblich.

Nun steht das Trans-Atlantic Data Privacy Framework (Link zur Stellungnahme der Europäischen Kommission [in Englisch]) aus. – Sobald es unmittelbare Auswirkungen für Verantwortliche hat bzw. gültig ist, werden wir darüber berichten. – Aber auch dann ist zu bedenken, dass die Datenschutzorganisation NOYB, der Max Schrems angehört, erwägt, auch die neue Regelung durch den EuGH überprüfen zu lassen (Link). Ob der aktuelle Entwurf des Angemessenheitsbeschlusses eventuell geändert oder angepasst wird, weiß man nicht sicher. Selbst mit einem neuen Angemessenheitsbeschluss der EU-Kommission für den Datentransfer zu bestimmten gelisteten US-amerikanischen Unternehmen bauen Verantwortliche mit einer IT-Architektur, die auf US-amerikanische Dienstleistungen setzt, auf juristischen Treibsand. Folglich bietet diese Strategie keine dauerhafte Rechtssicherheit. Die möglicherweise bessere Lösung ist daher, je nach Möglichkeit, Dienstleister in der EU einzusetzen. Im Folgenden nennen wir mögliche Alternativen. Dabei möchten wir aber betonen, dass es sich dabei um eine eine subjektive und beispielhafte Auflistung ohne Anspruch auf Vollständigkeit handelt, die keine abschließende technische oder rechtliche Bewertung darstellt und keine Prüfung im konkreten Fall ersetzt:

Rechenzentrum der PBIT Systeme GmbH & Co. KG

Die PBIT Systeme GmbH & Co. KG, unser Gründungsgesellschafter, ist ein deutsches Unternehmen mit Standort des Rechenzentrums in Cottbus in Brandenburg. Das Unternehmen implementierte für die IT- und Datensicherheit und den -schutz sowohl technische als auch organisatorische Maßnahmen. Dabei betreibt die PBIT Systeme GmbH & Co. KG das Rechenzentrum im Einklang mit den Vorgaben des BSI und der für den Datenschutz relevanten Gesetze. Das Rechenzentrum wird von zahlreichen öffentlichen Stellen, Städten und Gemeinden, die auf hohe Datenschutz- und Datensicherheitsstandards Wert legen, genutzt.

Rechenzentrum von Titan Datacenters France SAS

Hierbei handelt es sich um eine Dienstleistung eines französischen Unternehmens mit Servern in der EU. Auf seiner Webseite betont das Unternehmen u. a. die hohe Verfügbarkeit.

Rechenzentrum von Green Mountain AS

Green Mountain AS ist ein norwegisches Unternehmen mit Rechenzentren ebenfalls im Heimatland. Gemäß den Aussagen auf der Webseite hat das Unternehmen verschiedene Maßnahmen für den Datenschutz ergriffen, u. a. um einen unbefugten Zugriff auf die personenbezogenen Daten zu vermeiden.

Bevor ein Verantwortlicher einen Dienstleister beauftragt, empfehlen wir, Prüfungen durchzuführen. Dies beinhaltet u. a. die Überprüfung der Angaben zu den technischen und organisatorischen Maßnahmen, der relevanten Zertifizierungen und anderer für den Datenschutz und die -sicherheit bedeutsamer Dokumente.

Fazit

Wenn ein Verantwortlicher sich für einen Dienstleister mit Hauptsitz – in diesem Fall – in der EU entscheidet, ist es sehr viel leichter, zu vermeiden, dass der (Unter- oder) Auftragnehmer in einem unsicheren Drittland Zugriffsmöglichkeiten auf personenbezogene Daten von EU-Bürgern hat. Das zieht auch nach sich, dass der Verantwortliche aufgrund von etwaigen Urteilen, wie dem sogenannten „Schrems II“-Urteil, nicht zwangsläufig seine Arbeitsprozesse ändern oder Dienstleister wechseln muss. Des Weiteren entfallen bei Nutzung eines EU-Dienstleisters die Standardvertragsklauseln und die Durchführung eines Transfer Impact Assessments. Ob ein eventueller Zugriff auf die personenbezogenen Daten in einem unsicheren Drittland bzw. in einem Land außerhalb der EU möglich ist, kann der Verantwortliche übrigens im Zuge der Prüfung des Auftragsverarbeitungsvertrages gemäß Art. 28 Abs. 3 DSGVO ermitteln.

Bei der Bearbeitung dieser Thematik und der Erstellung und Aktualisierung der Datenschutzdokumentation können wir Sie unterstützen. Denn es sind u. a. auch Datenschutzhinweise, das Verzeichnis von Verarbeitungstätigkeiten, das Löschkonzept etc. zu aktualisieren. Kontaktieren Sie uns also gern heute für ein kostenfreies Erstgespräch.