Was „EU-Hosting“ rechtlich bedeutet. Standort, Gerichtsbarkeit und wo Schrems II noch beißt.

Auf vielen deutschen Webseiten steht der Satz: „Wir hosten in Deutschland“ oder „Standort EU, EU-Hosting“. Gemeint ist meist, dass der Anbieter ein deutsches Rechenzentrum nutzt und damit, so die implizite Behauptung, alle datenschutzrechtlichen Fragen geklärt sind. Die rechtliche Lage ist weniger einfach.

Standort und Gerichtsbarkeit sind zwei Dinge

Der physische Standort der Server entscheidet, wo die Bits liegen. Die Gerichtsbarkeit entscheidet, wer rechtlich auf sie zugreifen kann. Beides fällt manchmal zusammen, manchmal nicht.

Wenn ein deutsches Studio bei einem rein deutschen Anbieter hostet (Hetzner, IONOS, mittelständischer Rechenzentrumsbetreiber), fallen Standort und Gerichtsbarkeit zusammen. Die Daten liegen in Deutschland, der Anbieter unterliegt deutschem und EU-Recht, kein anderer Staat hat einen rechtlichen Hebel.

Wenn ein deutsches Studio bei einer deutschen Tochtergesellschaft eines US-Konzerns hostet (Amazon Web Services EMEA SARL mit Region Frankfurt, Microsoft Azure mit Region Deutschland West Central, Google Cloud mit Region Frankfurt), liegen die Daten zwar in Deutschland, aber der Anbieter unterliegt zusätzlich dem US Cloud Act von 2018. Der Cloud Act erlaubt US-Bundesbehörden, von einem US-amerikanischen Service-Provider die Herausgabe von Daten zu verlangen, unabhängig davon, wo die Daten gespeichert sind, solange der Provider rechtliche Kontrolle über die Daten hat. Eine deutsche Tochter eines US-Konzerns hat in dieser Hinsicht keine vollständige Trennung von der Mutter.

Was Schrems II daraus gemacht hat

Im Juli 2020 hat der Europäische Gerichtshof in der Sache Schrems II (C-311/18) den Privacy-Shield-Beschluss für ungültig erklärt. Der Kern des Urteils war: Drittlandsübermittlung von personenbezogenen Daten ist nur dann zulässig, wenn das Schutzniveau im Drittland dem in der EU gleichwertig ist. Beim US-Niveau hatte das Gericht erhebliche Zweifel, vor allem wegen der Überwachungsbefugnisse der US-Geheimdienste (Section 702 FISA, Executive Order 12333).

Aus dem Urteil folgt für Verantwortliche, die US-Anbieter nutzen wollen, die Pflicht, eine Transfer Impact Assessment (TIA) durchzuführen. In dieser Bewertung wird geprüft, ob die Rechtslage und die tatsächlichen Verhältnisse im Drittland einen Schutz auf EU-Niveau gewährleisten. Bei US-Anbietern war das nach Schrems II für die meisten Verarbeitungssituationen nicht der Fall, ohne zusätzliche technische Maßnahmen wie Ende-zu-Ende-Verschlüsselung mit Schlüsseln, die der US-Anbieter nicht besitzt.

Das Data Privacy Framework von 2023

Im Juli 2023 hat die EU-Kommission mit Beschluss 2023/1795 das EU-US Data Privacy Framework als Angemessenheitsbeschluss anerkannt. Für US-Anbieter, die nach dem DPF zertifiziert sind, gilt der Transfer wieder als angemessen, und die TIA-Pflicht entfällt für diese Anbieter weitgehend.

Das DPF ist eine politische Brücke, kein abschließendes Urteil. Max Schrems’ Organisation NOYB hat angekündigt, dagegen vorzugehen (informell „Schrems III“). Der Europäische Datenschutzausschuss hat in seiner Stellungnahme Vorbehalte zu mehreren Punkten geäußert, vor allem zur Unabhängigkeit der neuen Aufsichtsinstanz Data Protection Review Court. Wer Daten heute auf Grundlage des DPF an US-Anbieter überträgt, sollte den Status der Zertifizierung des konkreten Anbieters prüfen und einen Plan B haben.

Datensouveränität ist nicht die Frage, wo die Bits liegen. Sie ist die Frage, wer den Hebel hat, sie herauszuholen. Eine Server-Adresse in Frankfurt ohne EU-Konzernstruktur dahinter ist eine Halbantwort.

Was praktisch gilt

Für ein kleines Studio, das ehrlich mit dem Begriff „EU-Hosting“ umgehen will, ergeben sich wenige praktische Punkte.

Erstens: Anbieter wählen, dessen Konzern-Struktur in der EU liegt. Hetzner, IONOS, OVHcloud, Scaleway, StackIT, Open Telekom Cloud sind Beispiele. Bei kleineren Rechenzentrumsbetreibern lohnt sich der Blick ins Impressum und die Frage nach der Eigentümer-Struktur.

Zweitens: bei Nutzung von US-Anbietern (AWS, Azure, Google) den DPF-Zertifizierungsstatus prüfen, eine Transfer Impact Assessment durchführen und dokumentieren. Sensible Datenkategorien (Gesundheit, biometrisch, Strafverfahren) sind dabei besonders vorsichtig zu behandeln; für diese ist Eigenbetrieb oder ein EU-Anbieter oft die robustere Wahl.

Drittens: technische Maßnahmen als Rückfall. Ende-zu-Ende-Verschlüsselung mit kundeneigenen Schlüsseln (BYOK) schließt einen US-Provider rechtlich von der Datenherausgabe aus, weil er ohne Schlüssel keine sinnvolle Herausgabe leisten kann. Das ist die robusteste Maßnahme unter Schrems-II-Bedingungen.

Viertens: Architektur prüfen, ob personenbezogene Daten den Server überhaupt erreichen müssen. Lokale Datenhaltung auf dem Geräte-Speicher der Nutzer:innen schließt die Hosting-Frage für die betroffenen Daten ab, weil der Server sie schlicht nicht hat. Die ausführlichere Architektur-Seite steht im Essay Privacy by Design in Gesundheits-Apps.

Was Aufsichtsbehörden prüfen

Die deutschen Datenschutzbehörden haben mehrere Hinweise zu Cloud-Diensten veröffentlicht, vor allem zu Microsoft 365 und vergleichbaren Plattformen. Geprüft werden typischerweise: die Auftragsverarbeitungsverträge nach Artikel 28 DSGVO, die Standardvertragsklauseln bei Drittlandsübermittlung, die TIA, die getroffenen technischen und organisatorischen Maßnahmen, die Dokumentation der Verarbeitungstätigkeiten nach Artikel 30. Sanktionen sind selten der erste Schritt; die Behörden arbeiten meist über Hinweise und Anhörungen, aber die geltenden Pflichten sind durchsetzbar.

Wer „EU-Hosting“ verspricht, sollte verstehen, was damit gemeint ist. Ein Server in Frankfurt unter einer US-Tochter ist EU-Hosting im geographischen Sinn, aber kein vollständiges EU-Hosting im rechtlichen Sinn. Der Unterschied lohnt sich, ihn zu kennen.

Häufige Fragen

Ist ein Server in Frankfurt automatisch DSGVO-konform?

Nein. Der physische Standort der Server entscheidet nicht allein. Wenn der Cloud-Anbieter eine US-Konzernmutter hat (zum Beispiel AWS, Microsoft, Google), kann er nach dem US-CLOUD-Act zur Herausgabe der Daten an US-Behörden verpflichtet werden, unabhängig davon, wo die Daten gespeichert sind. Diese Erreichbarkeit gilt nach Schrems II als problematische Drittlandsübermittlung im weiteren Sinn.

Was hat Schrems II entschieden?

Der Europäische Gerichtshof hat im Juli 2020 das Privacy Shield für ungültig erklärt (C-311/18). Standardvertragsklauseln bleiben grundsätzlich gültig, müssen aber mit einer Transfer Impact Assessment ergänzt werden. Verantwortliche müssen prüfen, ob das Schutzniveau im Drittland dem EU-Niveau gleichwertig ist. Bei US-Anbietern mit Cloud-Act-Erreichbarkeit ist das in der Regel nicht der Fall, ohne zusätzliche technische Maßnahmen.

Was gilt seit dem Data Privacy Framework von 2023?

Die EU-Kommission hat im Juli 2023 das EU-US Data Privacy Framework als Angemessenheitsbeschluss anerkannt. Für zertifizierte US-Anbieter gilt der Transfer als angemessen. Der Beschluss ist aber bereits Gegenstand einer neuen Klage (Schrems III), und die EDPB hat Vorbehalte zu seiner Stabilität geäußert. Vorsichtige Verantwortliche behandeln ihn als brückenhafte Lösung, nicht als dauerhafte Grundlage.

Welche Cloud-Anbieter sind nicht US-erreichbar?

EU-eigene Anbieter ohne US-Konzernverbindung sind Hetzner und IONOS (Deutschland), OVHcloud und Scaleway (Frankreich), StackIT (Deutschland), Open Telekom Cloud (Deutschland), Exoscale (Schweiz, kein EU-Mitglied, aber adäquanzentschiedenes Drittland). Eigenbetrieb auf eigener Hardware in einem deutschen Rechenzentrum ist eine weitere Option. Wichtig ist die Konzern-Struktur, nicht nur der Server-Standort.