Teil 1: Ermittlung des anwendbaren Datenschutzrechts bei transatlantischen Cloud-Hosting-Diensten
Während in Europa mit der der Datenschutzgrundverordnung (DSGVO) ein allgemeinverbindlicher rechtlicher Datenschutzstandard eingeführt wurde, existieren auf der anderen Seite des Atlantiks in den USA vor allem sektorspezifische Datenschutzregelungen. Ein einheitlich geltendes Datenschutzrecht gibt es dort nicht. Diese Dualität der Datenschutzregimes stellt in Europa und in den USA ansässige Anbieter von Cloud-Hosting-Diensten auf die Probe, die ihren Kunden über eine virtualisierte Infrastruktur ohne zentralen Serverstandort weltweit abrufbare Hosting- und Serverleistungen vermitteln und so mit unzähligen von diesen Kunden eingespeisten Daten in Berührung kommen. Nach welchen Grundsätzen das anwendbare Datenschutzrecht beim Angebot von transatlantischen Cloud-Hosting-Leistungen zu bestimmen ist, soll im nachfolgenden ersten Teil unserer Beitragsserie zum US-europäischen Datenschutzrechtsvergleich für das Cloud-Hosting aufgezeigt werden.
I. DSGVO setzt Maßstab
Beim Cloud-Hosting ebenso wie bei allen sonstigen Datenverarbeitungen mit internationalem Kontext werden die Maßstäbe für die Frage nach dem anwendbaren Recht von Art. 3 DSGVO gesetzt. Diese Vorschrift markiert den räumlichen Anwendungsbereich des gegenüber den US-Regelungen deutlich strikteren europäischen Datenschutzrechts und etabliert insoweit einen Anwendungsvorrang gegenüber außereuropäischen Regelungen.
Art. 3 DSGVO vereint hierbei zur möglichst umfänglichen Anwendungserstreckung zwei Prinzipien: das Territorialitätsprinzip (Abs. 1) und das Marktortprinzip (Abs. 2).
So findet die DSGVO zum einen immer dann Anwendung, wenn Datenverarbeitungen im Rahmen der Tätigkeiten einer Niederlassung auf dem Gebiet (Territorium) der EU erfolgen. Maßgeblich für die Anwendung der DSGVO ist hierbei nur, ob die Verarbeitungen von einer europäischen Niederlassung (= feste Einrichtung mit effektiver und tatsächlicher Ausübung der Tätigkeit, Erwägungsgrund 22 DSGVO) ausgehen. Wo sie tatsächlich stattfinden, ist irrelevant.
Zum anderen aber findet die DSGVO aber auch bei Nichtvorhandensein einer europäischen Niederlassung Anwendung, wenn die Datenverarbeitung in Zusammenhang damit steht, Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anzubieten. Wird also beabsichtigt, mit Angeboten gezielt EU-Bürger zu adressieren, unterfallen hiermit einhergehende Datenverarbeitungen automatisch der DSGVO.
II. Anwendung der Grundsätze auf Cloud-Hosting-Dienste
Bevor diese Grundsätze auf transatlantische Cloud-Hosting-Dienste übertragen werden können, muss zuerst erörtert werden, welche Rolle diese nach dem Verantwortlichkeitsprinzip der DSGVO einnehmen. Die DSGVO unterscheidet zwischen Datenverantwortlichen, die über Zwecke und Mittel von Verarbeitungen autonom entscheiden, und Auftragsverarbeitern, die nur im Verantwortlichenauftrag und weisungsgebunden Daten verarbeiten. Cloud-Hoster haben nach der DSGVO nun eine Doppelfunktion:
- für die Inanspruchnahme der Hosting-Leistung durch Kunden sind Sie bezüglich der Verarbeitung von personenbezogenen Daten dieser Kunden (etwa für den Vertragsschluss notwendige Kontaktinformationen) selbst Verantwortliche
- für die Verarbeitung von personenbezogenen Daten von Kunden der Hosting-Kunden (etwa Daten von Käufern eines cloudgehosteten Online-Shops) sind sie nur Auftragsverarbeiter
Ausgehend hiervon unterfallen transatlantische Cloud-Hosting-Dienste immer dann der europäischen DSGVO, wenn
- die Hosting-Leistungen (auch) von einer Niederlassung des Anbieters in der EU aus erbracht werden (Territorialitätsprinzip)
- die Hosting-Leistungen spezifisch potenziellen Kunden in der EU angeboten werden (Marktortprinzip unter dem Gesichtspunkt der Datenverantwortlichkeit)
- die Hosting-Leistungen Kunden in oder außerhalb der EU angeboten werden, die bestimmungsgemäß (auch) Daten von EU-Kunden in die Cloud einspeisen (Marktortprinzip unter dem Gesichtspunkt der Auftragsverarbeitung)
III.Fazit
Cloud-Hosting-Anbieter mit transatlantischer Ausbreitung bewegen sich im Spannungsfeld US-amerikanischer und europäischer Datenschutzregeln. Allerdings beansprucht die europäische DSGVO durch die Vereinigung des Territorialitäts- und Marktortprinzips einen weitreichenden Anwendungsvorrang für sich, indem sie ihrem Regelungsbereich alle Cloud-Hosting-Dienstleistungen unterwirft, die von der EU aus über eine Niederlassung angeboten werden oder sich an Kunden richten, die selbst in der EU ansässig sind und/oder ihrerseits Daten von EU-Kunden in den Cloud-Dienst einspeisen.
Für die Anwendung amerikanischen Datenschutzrechts bleibt daher regelmäßig kaum noch Raum.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare