Logo der Keyweb AG (blauer Schriftzug 'Keyweb')

CloudAct bringt Internetdienstleister in Datenschutzkonflikt

von von Sabrina Stein
Zuletzt bearbeitet am: 30.06.2023

Hosted in Germany – dieses Siegel lässt den Hosting-Kunden darauf vertrauen, dass seine Daten immer unter Einhaltung des Deutschen Datenschutzgesetzes gespeichert werden. Auch die DSGVO, welche seit Mai 2018 in der EU Anwendung findet, garantiert dem Nutzer bzw. Hosting-Kunden besonderen Datenschutz sowie Datensicherheit. Doch ganz so einfach ist das nicht immer! Es reicht nicht mehr aus, nur darauf zu achten, dass sich der Speicherort der Daten in Deutschland befindet. Warum das so ist und auf welche Punkte man bei der externen Speicherung seiner Daten zusätzlich achten sollte, erläutern wir im aktuellen Artikel.

Eigentlich müsste es doch ganz einfach sein: Man speichert seine Daten beispielsweise in einer Cloud – und wenn diese, bzw. das Rechenzentrum, in Deutschland oder eben einem bestimmten anderen Land liegt, kann man auf das hier geltende Datenschutzgesetz vertrauen. Dies trifft nur zum Teil zu und hängt unter Umständen davon ab, wie sich der jeweilige Anbieter entscheidet – also für welches Gesetz! Verwirrt? Zu Recht!

Cloud Act regelt Umgang mit Daten aus den USA

Im März 2018 wurde in den USA der so genannte Cloud Act unterzeichnet. Hierbei handelt es sich nicht um eine Aktion rund um das Thema Cloud, sondern um ein amerikanisches Gesetz (Clarifying Lawful Overseas Use of Data Act), welches es US-Behörden in bestimmten Fällen ermöglicht, auf Daten zuzugreifen, welche durch IT-Firmen und Internetdienstleister gespeichert werden.

„Was interessiert mich das? Meine Daten liegen in Deutschland!“ - leider reicht dieser Faktor allein nicht aus, um darauf vertrauen zu können, dass automatisch das deutsche Datenschutzgesetz bzw. die DSGVO greift – denn der Cloud Act, also das US-amerikanische Gesetz, bezieht sich auch auf Daten, welche durch US-amerikanische Firmen in anderen Ländern gespeichert werden. Selbst wenn das Gesetz eines bestimmten Landes die Herausgabe der Daten verbieten würde, müsste die US-amerikanische Firma die Informationen laut dem Cloud Act an die Behörden aushändigen.

Dies zeigte ein konkreter Fall der Firma Microsoft. Der Softwarehersteller wurde durch US-amerikanische Behörden aufgefordert, in Irland gespeicherte Daten herauszugeben, obwohl dies nach den lokalen Gesetzen rechtswidrig war.

Grundsätzlich sind entsprechende Punkte – also inwieweit die Daten an US-amerikanische Behörden bzw. Dritte ausgehändigt werden können, in den Vertragsbedingungen durch den Anbieter zu vermerken. Der Kunde stimmt diesen somit bei Vertragsabschluss zu. Daher ist es immer wichtig, diese sorgfältig zu lesen, bevor man ein Hosting-Produkt nutzt!

DSGVO setzt Grenzen

In der hierzulande geltenden Datenschutz-Grundverordnung der EU (EU-DSGVO) sind ebenso Fälle wie die Herausgabe von Daten – auch an andere Länder außerhalb der EU – geregelt. Für die Herausgabe ist laut Art. 48 eine „in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen“ (Art. 48 DSGVO) zwischen dem entsprechenden Land und dem EU-Mitgliedsstaat notwendig.

Das „EU-US-Privacy Shield“ ist beispielsweise ein datenschutzrechtliches Abkommen zwischen der EU und den USA, welches zertifiziert, dass der Datenaustausch dem europäischen Datenschutzstandard entspricht. Auf der Website privacyshild.gov sind entsprechende Unternehmen aufgeführt, sodass man dies im Einzelfall für sich prüfen kann.

Doch welches Gesetz gilt nun, wenn ein US-amerikanisches Unternehmen Daten in Deutschland speichert bzw. einen entsprechenden Dienst anbietet?

Wenn ein amerikanisches Unternehmen beispielsweise eine Cloud, bzw. ein Rechenzentrum in Deutschland betreibt, ist nicht klar geregelt, inwieweit US-amerikanische Behörden im Einzelfall auf die Daten zugreifen dürfen. Laut DSGVO ist eine Übereinkunft notwendig – nach Cloud Act muss der Betreiber die Daten den US-Behörden aushändigen. Das bedeutet: Nicht nur der Eigentümer der Daten weiß nicht genau, auf welches Gesetz er vertrauen kann – auch das US-amerikanische Unternehmen selbst könnte unter Umständen Probleme oder zumindest einem erheblichen Aufwand bei den notwendigen rechtlichen Angelegenheiten bekommen. Denn inwieweit sich das Unternehmen an welches Gesetz hält, liegt letztendlich bei ihm.

Ihre Verantwortung

Unser Hinweis für Sie: Ganz egal, wo Sie ihre Daten speichern – überlegen Sie sich immer:

  • Wo hat der Betreiber des Dienstes seinen Sitz?
  • Wo befindet sich das Rechenzentrum?
  • Welches Datenschutzgesetz findet Anwendung?

Wer zu 100 Prozent sicher gehen soll, dass das Deutsche Bundesdatenschutzgesetz (BDSG) bzw. die Datenschutz-Grundverordnung Anwendung finden, sollte darauf achten, dass sowohl das Rechenzentrum als auch der Sitz des Unternehmens sich im EU-Raum bzw. in Deutschland befinden.


Außerdem sollten Sie die folgenden Überlegungen berücksichtigen:

Welche Sicherheitsstandards werden bei der Speicherung der Daten eingehalten?

Wer ein sicheres Hosting-Produkt nutzen möchte, sollte prüfen, ob das entsprechende Rechenzentrum sicher ist. Sind die Server und Ihre Daten ausreichend vor Datendiebstahl, Ausfall und Beschädigung geschützt? Wie ist die Zugriffskontrolle geregelt? Ist das Rechenzentrum zertifiziert? Diese und weitere Punkte gilt es im Vorfeld unbedingt abzuklären. Welche technisch-organisatorischen Maßnahmen zum Datenschutz konkret getroffen werden, ist auch immer aus dem Auftragsverarbeitungs-Vertrag, welcher mit dem Hosting-Unternehmen geschlossen wird, zu entnehmen.

Wie wichtig sind Ihnen diese Punkte in Bezug auf Ihre gespeicherten Daten?

Manchen Nutzern ist es bei der privaten Nutzung eines Online-Speichers nicht sonderlich wichtig, wo die eigenen Fotos oder auch schriftliche Dokumente liegen. Doch spätestens wenn diese Daten auch sensible Informationen beinhalten – oder die Datenspeicherung langfristig und/oder geschäftlich erfolgt, sollte man sich intensiver Gedanken über das Thema Datenschutz und Datensicherheit machen. Eine „Falle“ ist hierbei, dass man einfach aus Gewohnheit handelt – also ein Angebot nutzt, weil es jeder macht oder weil man es zuvor ja bereits für das Hobby genutzt hat.

Viele Personen nutzen auch gern die Cloud-Lösung, welche durch den Betriebssystem-Anbieter des Smartphones vorgeschlagen wird und „gewöhnen“ sich an die entsprechende Variante. Dass hierbei zusätzlich auch oft kein umfassender Support für speziellere oder größere Projekten geboten werden kann, ist ein weiterer möglicher Nachteil.

Wenn Sie die genannten Punkte für sich abgeklärt haben, treffen Sie eine bewusste Entscheidung!

Im Einzelfall kann es auch durchaus Sinn machen, sich Rat durch einen Juristen einzuholen, bevor man langfristige geschäftliche Entscheidungen trifft – denn diese bestimmten den Unternehmenserfolg selbstverständlich immer mit.

Wenn Sie eine Cloud suchen, welche in Deutschland beheimatet ist - die Server also hier betrieben werden und hierbei sowohl das Bundesdatenschutzgesetz (BDSG neu) als auch die DSGVO transparent eingehalten werden, hätten wir natürlich einen Vorschlag für Sie:

KeyCloud - die Cloud von Keyweb. Hier mehr erfahren!