Geographie & Datenschutz bei internationalen Cloud-Anbietern

Datum: 02.06.2020

Geographie und Datenschutz Heuking/gridscale

Zugriff auf Daten: Wer, wann und wo?

Unternehmen die über einen Einsatz von Cloud-Technologien nachdenken oder diesen konkret planen, orientieren sich bei der Suche nach einem Partner oft in Richtung internationaler Cloud-Anbieter. Doch diese Internationalität birgt in Bezug auf das deutsche Datenschutzrecht vor dem Hintergrund der strengen Vorgaben der DSGVO eine Vielzahl von Risiken, die es zu beachten gilt.

Denn in vielen Staaten wie in den USA, China oder Russland existieren nicht nur andere Gesetze und Vorschriften, auch die im jeweiligen Land unterschiedlichen Auffassungen und Meinungen darüber, welche Maßnahmen beispielsweise zum Zugriffsschutz und zur Transparenz vermeintlich “üblich” und “angemessen” sind, differieren international zum Teil sehr erheblich.

Dies gilt übrigens nicht nur für das Thema Datenschutz, sondern im B2B Bereich u.a. auch für die Regelungen, die in den Allgemeinen Geschäftsbedingungen der jeweiligen Cloud-Anbieter enthalten sind. Die Unterschiede in der jeweiligen nationalen Rechtsauffassung schlagen sich sogar auch im Steuerrecht nieder.

Datentransfer in ein Drittland

Einer der kritischsten Aspekte bezüglich Datenschutz und Geographie bei internationalen Cloud-Anbietern ist mit Sicherheit der Datentransfer in ein Drittland. Dieser muss gemäß DSGVO auf eine besonders solide rechtliche Basis gestellt werden; immer unter der Berücksichtigung des jeweils geltenden Datenschutzniveaus. So wird das Niveau in Kanada, der Schweiz oder sogar Uruguay durch die EU-Kommission als angemessen bewertet, wohingegen die USA oder China aufgrund ihrer Regelungen als “unsichere Drittländer” anzusehen sind.

Das heißt natürlich nicht, dass eine Zusammenarbeit mit Unternehmen in unsicheren Drittländern nicht möglich ist. Durch Standardvertragsklauseln zum Datentransfer der EU oder, wie bei den USA, durch den “EU-US-Privacy Shield” kann auch hier eine rechtskonforme Zusammenarbeit erreicht werden.

Die Erfahrung zeigt allerdings, dass gerade diese zusätzlichen Standardvertragsklauseln (engl. “Standard Contractual Clauses”) bei Cloud-Anbietern aus den erwähnten Drittländern aufgrund von erweiterten Haftungsklauseln nicht unbedingt beliebt sind.

Zudem ist aktuell noch eine Entscheidung des EuGH sowohl zu den Standardvertragsklauseln wie auch zur Gültigkeit des EU-US Privacy Shield ausstehend. Eine detaillierte Überprüfung der jeweiligen Vertragswerke ist bei internationalen Cloud-Anbietern daher genauso empfehlenswert wie die fortlaufende Beobachtung der Rechtsprechung des EuGH.

Hinzu kommt die Fragestellung, ob personenbezogene und sensible Daten oder Geschäftsgeheimnisse tatsächlich in eine ausländische Cloud transferiert werden sollten. Der Begriff der personenbezogenen Daten wird unter deutschem Datenschutzregime sehr weit gefasst, der Umgang exakt reglementiert und bei einem Verstoß mit hohen Bußgeldern sanktioniert.

International sind die Regeln hingegen weniger streng. Der vertrauensvolle Umgang mit Geschäftsgeheimnissen ist darüber hinaus spätestens mit dem Patriot- und Cloud-Act bzw. dem potenziellen Datenzugriff amerikanischer Nachrichtendienste auf Daten in einer US-Cloud zumindest sehr fragwürdig.

Aufgrund der genannten Problematik und der damit verbundenen Verunsicherung empfehlen Experten, gerade unternehmenskritische Informationen nicht in eine internationalen Cloud auszulagern. Denn selbst wenn die Daten in einem europäischen Rechenzentrum verarbeitet werden, sind US-basierte Unternehmen laut Cloud-Act verpflichtet, diese Daten im Zweifel an die US-Nachrichtendienste zu übermitteln.

Welt_international Datenschutz

Deutsches und internationales AGB-Recht

Auch im AGB-Recht herrschen zwischen der deutschen bzw. europäischen Rechtsauffassung und bspw. US-amerikanischen Gegebenheiten oft große Unterschiede. Cloud-Verträge basieren zumeist auf vorformulierten Vertragsbedingungen, die im Fall von internationalen Cloud-Anbietern nicht verhandelbar und gleich aus mehreren Gründen kritisch zu betrachten sind. So kommt meist weder deutsches Recht zur Anwendung noch sind Firmensitz und Gerichtsstand in Deutschland angesiedelt.

Zugleich sind zentrale Vertragsgegenstände wie die Haftung oftmals abbedungen oder so formuliert, dass im Schadensfall kaum Aussicht auf Regress besteht. Anwender sind gut beraten, die allgemeinen Geschäftsbedingungen sehr detailliert zu kontrollieren und gerade auch im Zusammenhang mit ihren eigenen Leistungszusagen kein Haftungsdelta entstehen zu lassen. Hier muss im Endeffekt eine fallbezogene Prüfung der Verträge und potenzielle Nachverhandlung erfolgen bzw. eingerechnet werden.

Steuerrecht

Gemäß der deutschen Abgabenordung (AO) haben Unternehmen, die in Deutschland steuerpflichtig sind, ihre Daten auch in Deutschland aufzubewahren. Bei einem Drittland-Transfer sind hingegen zahlreiche Zusatzverpflichtungen zu erfüllen und eine Ausnahmegenehmigung des zuständigen Finanzamtes notwendig.

Zudem muss eine revisionssichere Speicherung gewährleistet sein, ein organisatorisch und technisch durchaus sehr aufwändiges Verfahren. Hierzu gehört insbesondere die Nachvollziehbarkeit, Prüfbarkeit und Unveränderlichkeit der Daten. Gerade die Prüfbarkeit bis hin zu einer Vor-Ort-Inspektion des Rechenzentrums kann sich bei internationalen Cloud-Anbietern und ausländischen Speicherorten als schwierig bis unmöglich herausstellen.

Vor-Ort Begehung

Die vorgenannten Rechenzentrumsbegehungen und -Inspektionen sind ein weiterer Aspekt der für Probleme sorgen kann, dies aber nicht nur im Ausland sondern erfahrungsgemäß auch im Inland, denn die wenigstens Cloud-Anbieter und Rechenzentrumsbetreiber sind sonderlich erpicht darauf, “Publikumsverkehr” durch ihre Hochsicherheitsbereiche zu schleusen.

Trotzdem gilt, dass die vertraglichen Vereinbarungen jederzeit ohne Einschränkungen überprüfbar sein müssen. Ob ein Cloud-Anbieter beispielsweise mit Sitz und Rechenzentrum in China eine Inspektion vor Ort zulässt ist allerdings mehr als fraglich.

Löschpflichten für Altdaten

Das Internet vergisst nicht! Oftmals unterschätzt und anfänglich übersehen – die Löschpflicht für Altdaten gemäß DSGVO. Demnach sind Unternehmen in der Verantwortung, Daten nach Ablauf der handels- und steuerrechtlichen Aufbewahrungspflicht tatsächlich und endgültig zu löschen und über ein detailliertes Löschungsprotokoll auch rechtsverbindlich nachzuweisen.

Gerade bei internationalen Cloud-Anbietern mit weltweit verteilten Rechenzentren, Workload-Deployments und Backup-Verfahren gilt es diesbezüglich sehr genau hinzuschauen, um potenzielle Datenschutzrisiken schon im Vorfeld zu vermeiden. Und die Gefahr ist real: Eine große deutsche Immobiliengesellschaft wurde wegen entsprechender Verstöße gegen die Löschpflicht bereits zu einem hohen Millionen-Bußgeld verurteilt.

Risiken und Nebenwirkungen

Der Datentransfer zu internationalen Cloud-Anbietern und in Drittländer kann bei deutschen Firmen zu erheblichen Risiken und Unsicherheiten führen. Besonders im Fokus: ein DSGVO-konformer Datenschutz, das AGB- und Steuerrecht sowie sämtliche daraus abgeleitete technische und organisatorische Vorgaben rund um den IT-Betrieb.

Auf Seite der Cloud-Anwenderunternehmen führt dies zu aufwändigen Prüfungs- und Bewertungsprozessen hinsichtlich der Vertragsbedingungen wie auch der jeweils aktuellen Gesetzeslage und Rechtsprechung. Das gilt bei der Orchestrierung komplexer Hybrid- und Multi-Cloud-Szenarien und damit gleich einer Vielzahl unterschiedlicher Cloud-Partner natürlich in ganz besonderer Weise.

Rechtssichere Cloud-Lösungen deutscher Anbieter werden hingegen oftmals unterschätzt, obwohl sie technologisch wie auch in puncto Serviceangebot und Kundenverständnis eine sehr unkomplizierte Alternative sein können.

Mehr Informationen?

Unser gemeinsames Kompendium mit der Wirtschaftskanzlei Heuking gibt einen checklistenartigen Überblick zu allen wichtigen Prüfungskriterien bei internationalen Cloudanbietern. Das vollständige Whitepaper ist für Interessierte kostenfrei zum Download unter hier verfügbar.

Lade dir jetzt unser ePaper „Rechtliche Risiken bei der Nutzung internationaler Cloud-Anbieter“ herunter!


Nicolas Tuschen

Nicolas Tuschen | Senior Online Marketing Manager
Nico ist Online Marketing Manager mit Fokus auf SEO. Gleichzeitig ist er ein gutes Beispiel dafür, dass man mit einem Literatur-Studium nicht nur Taxifahrer werden kann. Er hat seine Leidenschaft für SEO eher zufällig entdeckt, sie seitdem aber konsequent ausgebaut: vom Startup, der Agentur bis zum Verlag, von B2B bis B2C, von Offpage bis Onpage.

Zurück zur Übersicht