Deutsche Hosting-Kunden diskutieren heftig in Foren: Wie heise online berichtet, hat ein bekannter europäischer Hoster angekündigt, seine Daten Ende dieses Jahres aus Rechenzentren in Deutschland nach Frankreich zu verlagern. Wir klären im Interview mit unserem CEO Christian auf, was wichtig ist: Serverstandort in Deutschland, Unternehmenssitz in Deutschland ─ oder beides?
Christian, was sollten Kunden in Bezug auf den Datenschutz wissen, wenn sie ihren Hoster wählen?
Zwei Faktoren bestimmen, welche Rechtsgrundlagen gelten: Der Unternehmenssitz und der Serverstandort. Diese sollten sich in Deutschland oder der EU befinden. Innerhalb der EU ist das Sitzland entscheidend, also das Land des Unternehmenssitzes. Es regelt, welches Recht in Bezug auf den Datenschutz gilt. Das ist bereits in der europäischen Datenschutzrichtlinie so festgelegt und wird auch in der neuen EU-Datenschutzverordnung so geregelt sein. Da sich der Unternehmenssitz von STRATO in Berlin befindet, verarbeiten wir Daten nach dem deutschen Datenschutzrecht.
Dann findet für Hoster mit Unternehmenssitz in Deutschland und Serverstandort in einem anderen EU-Land trotzdem das Bundesdatenschutzgesetz Anwendung?
Das ist richtig. Es gibt aber eine Ausnahme: die Niederlassung. Hat der Hosting-Anbieter mit Unternehmenssitz in Deutschland in einem anderen EU-Land nicht nur einen Serverstandort, sondern auch eine Niederlassung, gilt das Recht des jeweiligen EU-Landes. STRATO hat nur Serverstandorte in Deutschland: Für uns trifft das deshalb nicht zu.
Wenn innerhalb der EU für das geltende Datenschutzrecht der Unternehmenssitz entscheidend ist, wofür ist dann noch der Serverstandort Deutschland wichtig?
Der Serverstandort Deutschland ist für Kunden zusätzlich zum deutschen Unternehmenssitz wichtig, um innerhalb der EU nicht auf Ausnahmen achten zu müssen. Dazu zählt die eben angesprochene Ausnahme der Niederlassung. Befinden sich Unternehmenssitz und Serverstandort in Deutschland, wie das bei STRATO der Fall ist, sind keine Ausnahmen möglich und es herrscht eindeutige Klarheit, was die Rechtslage in Bezug auf den Datenschutz angeht: Das deutsche Recht gilt – es ist eines der strengsten in Bezug auf den Datenschutz.
Darüber hinaus ist der Serverstandort noch für die geltenden Eingriffsrechte wichtig: Dazu zählen Überwachungsmaßnahmen und Anordnungen auf die Herausgabe von Daten an Behörden wie die Polizei. Nur für Kunden von Hostern, die neben dem Unternehmenssitz auch den Serverstandort in Deutschland haben, richten sich solche Maßnahmen nach deutschem Recht. Ausländische Behörden können nicht selbst auf Daten zugreifen, sie müssen ein sogenanntes Amtshilfeersuchen an deutsche Behörden stellen. Gilt durch einen Server-Umzug des Hosters nach Frankreich wegen des Standorts der Server vor Ort zum Beispiel französisches Recht in Bezug auf die Eingriffsrechte, müssen Kunden mit Nachteilen rechnen. In Frankreich gibt es seit Juni ein Überwachungsgesetz, das von Menschenrechtlern kontinuierlich kritisiert wird und erst vor zwei Tagen erneut geändert wurde. Es erlaubt zum Beispiel die Überwachung des kompletten Datenverkehrs in Hinblick auf verdächtiges Verhalten – ohne konkreten Verdacht und richterliche Anordnung.
Ist der Serverstandort durch eine Standortverlagerung plötzlich weit vom Unternehmenssitz entfernt, ändern sich für Kunden nicht nur rechtliche Rahmenbedingungen. Welche Vorteile hat es aus Deiner Sicht, wenn Unternehmenssitz und Serverstandort dicht beieinander liegen?
Wenn sich das Rechenzentrum und der Unternehmenssitz wie bei STRATO in einer Stadt befinden, ist das vor allem für Kunden von maßgeschneiderten Hosting-Lösungen und für Server-Kunden von Vorteil. Systemhäuser, Reseller und mittelständische Unternehmen profitieren davon, dass Vertriebler, IT-Experten und Kundenservice kurze Wege haben und so jederzeit und schnell unbürokratisch handeln können. Deshalb ist es besonders unvorteilhaft, wenn Hoster gerade für dieses wichtige und abstimmungsintensive Betreuungsgeschäft des maßgeschneiderten Hostings die Standorte von ihrem Unternehmenssitz in Deutschland in andere Länder verlagern. Beim Shared-Hosting, das weniger beratungsintensiv ist, spielt die Entfernung zwischen Unternehmenssitz und Serverstandort eine weniger große Rolle – das ist ein Grund, warum wir diese Dienste in unserem Karlsruher Rechenzentrum untergebracht haben.
Und außerhalb der EU? Was ist dort entscheidend: Unternehmenssitz oder Serverstandort?
Liegt der Unternehmenssitz außerhalb der EU, kommt deutsches Datenschutzrecht zur Anwendung, wenn die Server in Deutschland stehen. Ein Unternehmen mit Sitz in den USA muss aber nach US-Recht Daten zum Beispiel an die NSA herausgeben, unabhängig davon wo seine Server stehen. Auch wenn es ein Trend ist, dass amerikanische Unternehmen Rechenzentren in Deutschland bauen: Vor dem Zugriff amerikanischer Behörden sind diese Daten nicht geschützt.
Haben Kunden ein Sonderkündigungsrecht, wenn der Hoster den Serverstandort ändert, obwohl er bei Vertragsabschluss mit „Hosting made in Germany“ geworben hat.
Dazu müsste der Hoster den Serverstandort Deutschland vertraglich in seinen AGB oder der Vereinbarung zur Auftragsdatenverarbeitung vereinbart haben.
Wie ist das bei STRATO?
Wie andere Hoster auch, haben wir dazu keine Vereinbarung, aber als Tochter der Deutschen Telekom haben wir nicht vor, den Serverstandort zu ändern. Unsere Rechenzentren befinden sich seit der Gründung von STRATO im Jahr 1997 in Deutschland. Da auch unser Unternehmenssitz in Deutschland ist, können sich unsere Kunden in jeder Hinsicht sicher sein, dass für ihre Daten in Bezug auf den Datenschutz und die Eingriffsrechte das deutsche Recht gilt.