Kommentar: Sicheres Hosting in benachbarten EU-Ländern

Betrachtet man die jüngsten Abhörskandale und Datendiebstähle sowie die damit einhergehende Verunsicherung in den Unternehmen, so rückt der IT-Standort Deutschland wieder stärker in den Fokus. Liefen ihm zuvor aufgrund hoher Betriebskosten die alternativen Standorte im Ausland noch den Rang ab, punktet er aktuell durch hohe Sicherheits- und Datenschutzstandards. Doch sollte nun jedes Unternehmen aufgeregt und blindlings seine Daten zu Hosting-Anbietern umziehen, deren Rechenzentren in Deutschland stehen?

Sicherlich schadet es nichts, die Datensicherheit der eigenen Organisation immer wieder zu hinterfragen und an aktuelle Gegebenheiten anzupassen. Doch ist ein überstürzter Wechsel des Providers in diesem Falle nicht angebracht. Wie bereits der Forrester-Analyst James Staten vergangenen August in einem Blogpost festhielt, gibt es in jedem Land ähnliche Aufklärungsdienste wie die NSA. Staten nennt hier die G-10-Kommission in Deutschland als Beispiel. Laut Staten sei es daher naiv und gefährlich, das Vorgehen der NSA als Einzelfall zu betrachten. (http://blogs.forrester.com/james_staten/13-08-14-the_cost_of_prism_will_be_larger_than_itif_projects)

Darüber hinaus unterliegen Rechenzentrumsstandorte im Ausland nicht zwingend dem Recht des Standortlandes. Vielmehr ist der Firmensitz ausschlaggebend. Denn es gilt gemäß § 1 Abs. 5 BDSG innerhalb des Europäischen Wirtschaftsraums (EWR) das so genannte Sitzlandprinzip. Dieses besagt, dass nicht der Ort der Datenverarbeitung entscheidend ist, sondern der Sitz der verantwortlichen Stelle.

Erhebt also ein niederländisches Unternehmen beispielsweise in Berlin Daten (und erfolgt dies nicht über eine deutsche Niederlassung), ist niederländisches Datenschutzrecht anwendbar. Übermittelt eine deutsche verantwortliche Stelle an eine andere Stelle (innerhalb der EU beziehungsweise des EWR), ist auf die Übermittlung selbst deutsches Datenschutzrecht anwendbar. In der EU/im EWR besteht die Möglichkeit, eine so genannte Auftragsdatenverarbeitung im Sinne von § 11 BDSG abzuschließen. Dann gehört der Auftragsdatenverarbeiter quasi selbst zur verantwortlichen Stelle, so dass rechtlich gemäß § 3 VIII BDSG keine Übermittlung stattfindet.

Unser eigenes Rechenzentrum liegt in Straßburg, in der Nähe der deutsch-französischen Grenze. Dieser Standort im benachbarten Ausland wurde aus diversen Gründen gewählt. So laufen beispielsweise die wichtigsten IT- und TK-Leitungen Europas durch Straßburg, unter anderem auch die schnellsten Glasfaserstrecken nach Deutschland und in den Rest Europas. Ein weiterer, mindestens ebenso relevanter Grund ist jedoch der Grundwasserreichtum des Standortes. Denn hier ließ sich eine innovative Rechenzentrumskühlung mittels Grundwasserbrunnen realisieren, die dafür sorgt, dass unser Rechenzentrum eines der umweltfreundlichsten und energiesparendsten in Europa ist.

Für unser Rechenzentrum gilt, dass wir – wie oben beschrieben – Daten im Rahmen der Durchführung eines Auftrags gemäß § 11 BDSG (Auftragsdatenverarbeitung) verarbeiten, und zwar ausschließlich in eigenen Rechenzentren innerhalb der EU (beziehungsweise des EWR). Nach § 3 Abs. 8 BDSG findet keine Übermittlung personenbezogener Daten durch den Auftraggeber an PlusServer statt, da PlusServer aus datenschutzrechtlicher Betrachtung zum Auftraggeber als verantwortliche Stelle hinzugezogen wird. In Bezug auf die Auftragsdatenverarbeitung ist das Recht des Staates anwendbar, in dem der Auftraggeber seinen Sitz hat, sofern dieser innerhalb der EU/des EWR liegt. Wenn deutsches Recht anwendbar ist, ist ein Auftragsdatenverarbeitungsvertrag nach Maßgabe von § 11 Abs. 2 BDSG abzuschließen.

Das Fazit des Ganzen: Daten in Straßburg sind rechtlich gesehen genau so sicher (oder unsicher) wie in Köln, München oder Berlin. Insofern sollten Unternehmen bei ihren Rechenzentrumsdienstleistern auf mehrere Kriterien achten (Zertifizierungen, Sicherheitskonzept) und nicht primär auf den Standort.