Datenschutz im Licht des neuen Standortes

heppel · Jul 4th 2024

Hallo Moderators ,

da das von allgemeinen Interesse sein duerfte, mache ich die Anfrage hier oeffentlich und nicht ueber den Support und hoffe auf eine oeffentliche und offizielle Antwort. Anlass ist die Eroeffnung eines neuen Standortes in den USA.

Ich gehe davon aus, dass fuer Kundendaten auf den Servern in den USA der "Cloud Act" der USA gilt. US-Behoerden und Behoerden von anderen Staaten, die ein entsprechendes Abkommen mit den USA haben, bekommen demnach relativ einfach Zugriff auf diese Daten.

Wie sieht es mit dem Zugriff dieser Behoerden auf Daten in Europa aus? Nach dem "Cloud Act" duerfen obige Behoerden auch Zugriff auf Daten verlangen, die nicht in den USA gespeichert sind. Gibt es einen rechtlichen und/oder technischen Schutz vor solchen Zugriffsverlangen?

Ich moechte in diesem Zusammenhang darauf hinweisen, dass zu den Aufgaben einiger dieser Behoerden wahrscheinlich die Wirtschaftsspionage gehoert.

Bud · Jul 4th 2024

Ich hänge eine Frage mit an, welch thematisch dazu gehört, aber vielleicht sogar vom hier anwesenden Kundenplenum beantwortet werden kann.

Gilt der "Cloud Act" Firmenweit oder Kundenaccount bezogen? Kann eine Firma aus den USA sich durch den "Cloud Act" Zugriff auf meine Produkte in DE / AT verschaffen, obwohl ich kein Produkt in US habe? Ich kann mir das zwar nicht vorstellen, hätte aber gerne eine konkrete Antwort auf diese Frage.

ASS · Jul 4th 2024

Quote from Bud

Ich kann mir das zwar nicht vorstellen

Grob gesagt: Die Amis dürfen alles. Und was sie nicht dürfen, machen sie einfach...

Paul · Jul 4th 2024

Anexia selbst hatte ja aber auch schon vorher Standorte in den USA. Daher dürfte der neue Standort von Netcup diesbezüglich eigentlich nicht viel ändern, da ja Netcup als Tochterfirma ja auch schon vorher betroffen gewesen wäre. Interessant ist dieses Thema unabhängig davon aber trotzdem. Ich vermute nur, dass wenn es so wäre, Anexia/Netcup hier offiziell gar nicht darüber sprechen dürfte.

aRaphael · Jul 4th 2024

Quote from Bud

Gilt der "Cloud Act" Firmenweit oder Kundenaccount bezogen? Kann eine Firma aus den USA sich durch den "Cloud Act" Zugriff auf meine Produkte in DE / AT verschaffen, obwohl ich kein Produkt in US habe? Ich kann mir das zwar nicht vorstellen, hätte aber gerne eine konkrete Antwort auf diese Frage.

Mein Wissensstand dazu:

"Kann eine Firma aus den USA..." Firmen sowieso nicht. Sondern nur US-Behörden. (Obwohl man die CIA manchmal als "Firma" bezeichnet )

Europäsche Provider sind m.W. nach dem Cloud-Act nicht zur Herausgabe von Daten europäischer Kunden verpflichtet, wenn diese auf europäischen Server lagern. Das wäre auch problematisch. Denn dann könnte man der DSVGO nur noch nachkommen, wenn man Provider nutzt, die ausschließlich in Europa Serverstandorte haben.

Wohl aber sind US-Amerikanische Provider/Unternehmen zur Herausgabe der Daten verpflichtet, auch wenn diese auf Europäischen Servern liegen.

RAD750 · Jul 4th 2024

Hierbei verweise ich noch einmal auf die Datenschutzerklärung des roten H. Ich schätze bei Netcup wird dies in der Hinsicht ähnlich sein, allerdings wünsche ich mir trotzdem demzufolge ein offizielles Statement.

Quote

Informationen zum Datenschutz und zu unseren Standorten in den USA

Die XXXXX US LLC stellt, als Tochterunternehmen der XXXXX Online GmbH, Rechenzentrumsdienstleistungen für die Muttergesellschaft innerhalb der USA zur Verfügung. Das heißt ihre bisherige Vertragsgrundlage und Kundenverbindung ist weiterhin ausschließlich mit uns (XXXXX Online GmbH), eine Weitergabe Ihrer persönlichen Daten findet nicht statt.

Folgende Beispiele haben wir zur Veranschaulichung für Sie vorbereitet:

Fallbeispiel 1: Kunde mietet ausschließlich Produkte mit Standort EU (in Deutschland und/oder Finnland) Die Serverstandorte Ashburn (USA) und Hillsboro (USA) bleiben in diesem Beispiel außen vor. Ihre Kundenstammdaten werden innerhalb Deutschlands (EU) gespeichert und verarbeitet.

Fallbeispiel 2: Kunde mietet Produkte innerhalb der EU und in den USA Ihre Kundenstammdaten werden weiterhin ausschließlich innerhalb Deutschlands (EU) gespeichert und verarbeitet. Daran hat sich durch die Standorte in den USA nichts geändert. Um Ihnen auch nach dem Schrems-II Urteil eine DSGVO konforme Nutzung der Server an den Standorten Ashburn und Hillsboro zu ermöglichen, schließt die XXXXX Online GmbH mit XXXXX US LLC die sogenannten Standardvertragsklauseln ab.

Welche Daten auf den Instanzen in den USA abgelegt werden und ob diese ggf. als Absicherung verschlüsselt werden obliegt Ihnen als Kunde. Behördliche Anfragen haben wir regelmäßig. Wir nehmen an, dass es auch dazu aus den USA oder über Rechtshilfeersuchen kommen kann, sollten Sie die Server zu illegitimen Zwecken nutzen. In diesem Fall – und nur in diesem – sind Behörden zur internationalen Zusammenarbeit auf Grundlage von Abkommen verpflichtet. In den verlinkten Standardvertragsklauseln sind dabei die Pflichten der involvierten Parteien geregelt.

Ein Direktzugriff von US Behörden auf Ihre Serverinhalte in der EU ist nicht gegeben. US Behörden haben die Regularien der EU-Gesetzgebung einzuhalten. Das bedeutet konkret:

Für unsere Rechenzentren in Falkenstein und Nürnberg: Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von deutschen Behörden und deutschen Gerichten. Wir akzeptieren keine Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten. Nur deutschen Behörden mit einem gültigen deutschen Gerichtsbeschluss gewähren wir Zugang zu unseren Rechenzentren.

Jedoch können wir, wie andere Hosting-Anbieter auch, nicht garantieren, dass deutsche Behörden die nach deutschem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.

Für unser Rechenzentrum in Helsinki: Wir akzeptieren ausschließlich Anfragen und Gerichtsbeschlüsse von finnischen Behörden und finnischen Gerichten. Wir akzeptieren keine Anfragen und/oder Gerichtsbeschlüsse von ausländischen Behörden/Gerichten. Nur finnische Behörden mit einem gültigen finnischen Gerichtsbeschluss gewähren wir Zugang zu unseren Rechenzentren.

Jedoch können wir, wie andere Hosting-Anbieter auch, nicht garantieren, dass finnische Behörden die nach finnischem Recht erhaltenen Daten nicht aufgrund internationaler Abkommen an ausländische Behörden weitergeben.

Schlussfolgerung: Zusammenfassend lässt sich festhalten, dass Sie als Kunde - bis zu einem gewissen Grad – Einfluss darauf haben haben, wer auf Ihre Serverdaten zugreifen kann. Allerdings besteht selbst bei ausschließlich in Europa gespeicherten Daten keine 100%ige Sicherheit vor Zugriffen durch behördliche Anfragen und/oder Gerichtsbeschlüsse. Wenn Sie sich für ein Unternehmen entscheiden möchten, das keinerlei Verbindung zu den USA hat, müssen wir diesbezüglich leider ab sofort passen. Durch die XXXXX US LLC ist eine gewisse Verbindung durchaus gegeben. Die Auswirkungen dieser Verbindung haben wir in unseren beiden Fallbeispiele versucht aus unserer Sicht darzustellen.

Display More

Win98SE4ever · Jul 5th 2024

Quote from RAD750

...Das heißt ihre bisherige Vertragsgrundlage und Kundenverbindung ist weiterhin ausschließlich mit uns (XXXXX Online GmbH), eine Weitergabe Ihrer persönlichen Daten findet nicht statt...

Die Erklärung von Hatznur löst nicht das bestehende Rechtsproblem

Standardvertragsklauseln sind wenig wert

Das EU-US Data Privacy Framework ist laut EU noch nicht ausreichend und wird weiter beobachtet...

Naja, ist ja eine Binsenweisheit dass Daten die unverschlüsselt das eigene Haus verlassen (oder extern erfasst und extern verschlüsselt werden) prinzipiell immer von Dritten eingesehen werden können.

Stellt sich daher eher die Frage ob schriftlich bestatigt wird, dass die Datenspeicherung (EU-)DSGVO-konform erfolgt oder nicht.

Was zwischenstaatlich auf höchster politischer und juristischer Ebene ungeklärt ist, kann ja kaum auf einen kleinen Vereinsadmin und auch nicht auf kleines deutsches Unternehmen abgewälzt werden.

Ich bin der Meinung: Da es keine Warnung und Aufklärung durch die Exekutive Deutschlands hierzu gibt, ist eine Strafverfolgung wegen DSGVO-Verstoßes unzulässig.

Rechtswidrig handelt nur, wer gegen klar formuliertes Recht verstößt. Bei unbestimmten Formulierungen trifft das nicht zu.

Somit liegt aus meiner Sicht der schwarze Peter bei netcup: Ist gemäß Auftragsverarbeitung nicht formuliert dass die Daten ggf. an andere Staaten abfließen können, hab ich als Kunde meine Pflichten erfüllt.

Akzeptiere ich hingegen uneindeutige Vertragsformulierungen, verletze ich meine Sorgfaltspflicht.

Außerdem kommt es auf die Verhältnismäßigkeit an: Ein Steuerbüro mit 50 Mitarbeitern und z.B. 5 Mio € Umsatz dürfte in Erklärungsnot kommen, wenn es gefragt wird, warum ein VPS für 200€ / Monat verwendet wird, anstatt eines eigenen echten Servers der in einem deutschen Rechenzentrum von hiesigen Admins / IT-Dienstleistern gepflegt wird.

Rechtsrisiken einzugehen nur um Geld zu sparen, ist keine Argumentation zur Verteidigung.

Netcup könnte aber auch hier Klarheit schaffen und einen Mehrwert bieten.

Als Privatadmin betrifft mich das nicht und in meinen Hostingverträgen stand beim Abschluss nur Deutschland / Nürnberg. Somit bin ich fein raus... zumindest bis mir etwas anderslautendes nachweisbar schriftlich zugestellt wird.

**[netcup] Claudia H.** · Jul 5th 2024

Hallo zusammen,

wir haben zu diesem Thema folgende Informationen von unserem Legal-Team erhalten, die wir hier gerne mit euch teilen um etwaige Unsicherheiten zu klären:

"Nur weil die Server in den USA angemietet werden, hat das Grundsätzlich keinen Einfluss auf den Gerichtsstand. Insofern gilt die aktuelle Gerichtsstandvereinbarung in den derzeitigen netcup AGB.

Grundsätzlich bedeutet der Serverstandort in den USA, dass netcup hinsichtlich des Servers dem US-Recht unterliegt. Dies kann etwa den physischen Zugriff auf den Serverstandort betreffen, der in Europa mit Sicherheit mehr geschützt ist als in den USA."

Ich hoffe, die Frage damit hinreichend und ausführlich geklärt zu haben.
Bitte beachtet, dass wir keine Rechtsberatung durchführen können, jedoch steht unser Data Protection Team jederzeit für Fragen zur Verfügung.

Liebe Grüße & schönes Wochenende!
Claudia