Kas Frankfurdis asuv server on automaatselt GDPRiga kooskõlas?

Ei. Serverite füüsiline asukoht ei otsusta üksinda. Kui pilveteenuse pakkujal on USA emaettevõte (näiteks AWS, Microsoft, Google), saab teda USA CLOUD Acti alusel kohustada andmeid USA ametiasutustele üle andma sõltumata sellest, kus andmed asuvad. Schrems II raames käsitletakse seda kättesaadavust laiemas mõttes problemaatilise kolmandasse riiki edastusena.

Mida otsustas Schrems II?

2020. aasta juulis kuulutas Euroopa Liidu Kohus Privacy Shieldi tühiseks (C-311/18). Tüüplepingu klauslid jäävad põhimõtteliselt kehtima, kuid neid tuleb täiendada edastusmõju hinnanguga. Vastutavad töötlejad peavad kontrollima, kas kaitsetase kolmandas riigis on samaväärne ELi tasemega. USA pakkujate puhul, kes on CLOUD Acti alla kättesaadavad, see tavaliselt täiendavate tehniliste meetmeteta nii ei ole.

Mis kehtib 2023. aasta andmekaitseraamistiku alusel?

2023. aasta juulis võttis EL Komisjon vastu EL-USA andmekaitseraamistiku piisavusotsuse. DPF alusel sertifitseeritud USA pakkujate puhul peetakse edastusi taas piisavaks. Otsus on juba uue väljakutse all (mitteametlikult „Schrems III”) ja EDPB on selle stabiilsuse osas reservatsioone väljendanud. Ettevaatlikud vastutavad töötlejad käsitlevad seda silla, mitte alalise alusena.

Millised pilveteenuse pakkujad ei ole USA CLOUD Acti all kättesaadavad?

ELi omanduses ilma USA sidemeteta pakkujad on Hetzner ja IONOS (Saksamaa), OVHcloud ja Scaleway (Prantsusmaa), StackIT (Saksamaa), Open Telekom Cloud (Saksamaa), Exoscale (Šveits, mitte ELi liige, kuid piisavusotsusega kolmas riik). Teine valik on isemajutamine omal riistvaral Saksamaa andmekeskuses. Loeb ettevõtte struktuur, mitte ainult serveri asukoht.

Essee · 16. mai 2026 · 1080 sõna · 6 min

Mida „ELi serverid” õiguslikult tegelikult tähendab. Asukoht, jurisdiktsioon ja kus Schrems II ikka veel hammustab.

Server Frankfurdis ei ole automaatselt GDPRiga kooskõlas. Andmete asukoht ja õiguslik haare on kaks eri asja. Selgitus stuudiotele, kes tahavad seda terminit ausalt kasutada.

Paljud saksakeelsed veebilehed kannavad rida nagu „Hostime Saksamaal” või „Asukoht EL, ELi serverid”. Tavaliselt tähendab see, et pakkuja kasutab Saksamaa andmekeskust ja sellega on kõik andmekaitseküsimused justkui vastatud. Õiguslik pilt on vähem lihtne.

Asukoht ja jurisdiktsioon on kaks asja

Serverite füüsiline asukoht otsustab, kus bitid asuvad. Jurisdiktsioon otsustab, kes saab need õiguslikult kätte. Need kaks mõnikord langevad kokku, mõnikord mitte.

Kui Saksa stuudio hostib täielikult Saksa pakkuja juures (Hetzner, IONOS, keskmise suurusega Saksa andmekeskuse operaator), langevad asukoht ja jurisdiktsioon kokku. Andmed asuvad Saksamaal, pakkujale kehtivad Saksa ja ELi seadused, ühelgi teisel riigil õiguslikku hooba ei ole.

Kui Saksa stuudio hostib USA kontserni Saksa tütarettevõtte juures (Amazon Web Services EMEA SARL Frankfurdi piirkonnaga, Microsoft Azure Germany West Centraliga, Google Cloud Frankfurdi piirkonnaga), asuvad andmed Saksamaal, kuid pakkuja kohta kehtib lisaks 2018. aasta USA CLOUD Act. CLOUD Act lubab USA föderaalvõimul kohustada USAs registreeritud teenusepakkujat avalikustama andmeid sõltumata sellest, kus andmed asuvad, niikaua kui pakkujal on andmete üle õiguslik kontroll. Saksa tütarettevõttel ei ole selles osas oma emast täielikku õiguslikku eraldatust.

Mis sellest tegi Schrems II

aasta juulis kuulutas EL Kohus Schrems II otsuses (C-311/18) Privacy Shieldi tühiseks. Otsuse tuum: isikuandmete edastamine kolmandasse riiki on lubatud ainult siis, kui kaitsetase kolmandas riigis on samaväärne ELi tasemega. USA taseme suhtes oli Kohtul olulisi kahtlusi, peamiselt USA luure jälgimisvolituste tõttu (FISA § 702, Executive Order 12333).

Otsus tähendab, et vastutavad töötlejad, kes tahavad kasutada USA pakkujaid, peavad läbi viima edastusmõju hinnangu. Hinnang uurib, kas õiguslik olukord ja tegelikud tingimused kolmandas riigis tagavad ELi tasemel kaitse. USA pakkujate puhul polnud see Schrems II järel täiendavate tehniliste meetmeteta peaaegu kunagi nii, nagu otspunktist otspunkti krüpteerimine, kus USA pakkujal võtmeid ei ole.

2023. aasta andmekaitseraamistik

aasta juulis tunnustas EL Komisjon otsusega 2023/1795 EL-USA andmekaitseraamistikku piisavusotsusena. DPF alusel sertifitseeritud USA pakkujate puhul käsitletakse edastust taas piisavana ja edastusmõju hinnangu kohustus nende pakkujate puhul suuresti langeb ära.

DPF on poliitiline sild, mitte lõplik vastus. Max Schremsi organisatsioon NOYB on andnud märku, et vaidlustab selle (mitteametlikult „Schrems III”). Euroopa andmekaitsenõukogu väljendas oma arvamuses mitmes punktis reservatsioone, eriti uue andmekaitseülevaate kohtu sõltumatuse suhtes. Igaüks, kes täna DPFile toetub, peaks kontrollima konkreetse pakkuja sertifitseerimise olekut ja omama varuplaani.

Andmesuveräänsus pole küsimus, kus bitid asuvad. See on küsimus, kellel on hoob neid välja tõmmata. Serveri aadress Frankfurdis ilma ELi ettevõtte struktuurita selle taga on pool vastust.

Mida see praktikas tähendab

Väikese stuudio jaoks, kes tahab terminit „ELi serverid” ausalt kasutada, joonistuvad välja mõned praktilised punktid.

Esiteks: vali pakkuja, kelle ettevõtte struktuur on ELis. Hetzner, IONOS, OVHcloud, Scaleway, StackIT, Open Telekom Cloud on näited. Väiksemate andmekeskuste operaatorite puhul tasub vaadata impressumi ja küsida omandistruktuuri kohta.

Teiseks: USA pakkujate (AWS, Azure, Google) kasutamisel kontrolli konkreetse teenuse DPF sertifitseerimise olekut, vii läbi ja dokumenteeri edastusmõju hinnang. Tundlikud andmekategooriad (tervis, biomeetria, karistusandmed) väärivad erilist hoolt; nende puhul on isemajutamine või ELi pakkuja sageli paremini kaitstav valik.

Kolmandaks: tehnilised meetmed varuvõimalusena. Otspunktist otspunkti krüpteerimine kliendi käes hoitavate võtmetega (BYOK) välistab õiguslikult USA pakkuja andmete avaldamise, sest võtmeta ei saa nad sisuliselt avaldada midagi tähenduslikku. See on Schrems II tingimustes kõige paremini kaitstav meede.

Neljandaks: vaata arhitektuuri üle, kas isikuandmed üldse peavad serverini jõudma. Ainult kohapealne salvestus kasutaja seadmes sulgeb asjasse puutuvate andmete jaoks hostimisküsimuse, sest serveril neid lihtsalt ei ole. Täiem arhitektuuri vaade on essees Privaatsus arhitektuuris terviserakendustes.

Mida järelevalveasutused kontrollivad

Saksa andmekaitseasutused on avaldanud mitu teadet pilveteenuste kohta, eriti Microsoft 365 ja sarnaste platvormide kohta. Auditid uurivad tavaliselt: andmetöötluse lepinguid GDPR artikli 28 alusel, tüüplepingu klausleid kolmandasse riiki edastuseks, edastusmõju hinnangut, võetud tehnilisi ja korralduslikke meetmeid, töötlemise kirjeid artikli 30 alusel. Sanktsioonid on harva esimene samm; asutused töötavad enamasti teadete ja ärakuulamiste kaudu, kuid kohustused on jõustatavad.

Igaüks, kes lubab „ELi serverid”, peaks mõistma, mida see termin tähendab. Server Frankfurdis USA tütarettevõtte all on ELi serverid geograafilises mõttes, kuid mitte täielikult ELi serverid õiguslikus mõttes. Vahet tasub teada.

Sagedased küsimused

Kas Frankfurdis asuv server on automaatselt GDPRiga kooskõlas?: Ei. Serverite füüsiline asukoht ei otsusta üksinda. Kui pilveteenuse pakkujal on USA emaettevõte (näiteks AWS, Microsoft, Google), saab teda USA CLOUD Acti alusel kohustada andmeid USA ametiasutustele üle andma sõltumata sellest, kus andmed asuvad. Schrems II raames käsitletakse seda kättesaadavust laiemas mõttes problemaatilise kolmandasse riiki edastusena.
Mida otsustas Schrems II?: 2020. aasta juulis kuulutas Euroopa Liidu Kohus Privacy Shieldi tühiseks (C-311/18). Tüüplepingu klauslid jäävad põhimõtteliselt kehtima, kuid neid tuleb täiendada edastusmõju hinnanguga. Vastutavad töötlejad peavad kontrollima, kas kaitsetase kolmandas riigis on samaväärne ELi tasemega. USA pakkujate puhul, kes on CLOUD Acti alla kättesaadavad, see tavaliselt täiendavate tehniliste meetmeteta nii ei ole.
Mis kehtib 2023. aasta andmekaitseraamistiku alusel?: 2023. aasta juulis võttis EL Komisjon vastu EL-USA andmekaitseraamistiku piisavusotsuse. DPF alusel sertifitseeritud USA pakkujate puhul peetakse edastusi taas piisavaks. Otsus on juba uue väljakutse all (mitteametlikult „Schrems III”) ja EDPB on selle stabiilsuse osas reservatsioone väljendanud. Ettevaatlikud vastutavad töötlejad käsitlevad seda silla, mitte alalise alusena.
Millised pilveteenuse pakkujad ei ole USA CLOUD Acti all kättesaadavad?: ELi omanduses ilma USA sidemeteta pakkujad on Hetzner ja IONOS (Saksamaa), OVHcloud ja Scaleway (Prantsusmaa), StackIT (Saksamaa), Open Telekom Cloud (Saksamaa), Exoscale (Šveits, mitte ELi liige, kuid piisavusotsusega kolmas riik). Teine valik on isemajutamine omal riistvaral Saksamaa andmekeskuses. Loeb ettevõtte struktuur, mitte ainult serveri asukoht.