.

Datenschutzrechtliches Risiko / Bußgeldgefahr – Hosting über Dienstleister in den USA

US-Hosting-Anbieter wie Dreamhost, Cloudways, Siteground, Webflow oder Weebly übertragen personenbezogene Seitenbesucherdaten regelmäßig auch an Server in den USA, was gemäß der DSGVO nur noch in sehr engen Grenzen zulässig ist. Trotz der nunmehr von einigen US-Hosting-Anbietern implementierten sogenannten „Standardvertragsklauseln“ besteht regelmäßig ein datenschutzrechtliches Risiko, da die bloße Implementierung nicht ausreichend ist, dieses Risiko bei Übertragung von personenbezogenen Daten aus der EU in die USA nicht wirksam zu unterbinden.

Hosting-Dienstleister sind Auftragsverarbeiter nach Art. 28 DSGVO, wenn sie für Seitenbetreiber, die datenschutzrechtlich verantwortlich sind, personenbezogene Daten verarbeiten. Beim Einsatz von US-amerikanischen Hosting-Diensten kann es vorkommen, dass personenbezogene Daten an Server in den USA übertragen werden.
Die DSGVO schreibt für Datenübermittlungen aus der EU in Drittländer in Art. 44 und 46 DSGVO aber geeignete Garantien vor.

Als eine solche Garantie (in Form eines Angemessenheitsbeschlusses) speziell für Datenübermittlungen in die USA galt bis zu seinem Wegfall durch den EuGH (Urteil vom 16.07.2020 – Az. C-311/18) das EU-US-Datenschutzschild „Privacy Shield“, auf das sich nahezu alle US-Hosting-Anbieter standardmäßig beriefen, so dass nach dem Wegfall entsprechende Übermittlungen von EU-Daten in die USA durch Hosting-Anbieter nicht weiter gerechtfertigt werden konnten und unrechtmäßig wurden.

US-Hosting-Anbieter mussten daher Abhilfe zu schaffen und eine andere, von der DSGVO anerkannte Transfergarantie zu schaffen.

Die DSGVO erkennt hierfür in Art. 46 DSGVO unter anderem

– verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO),
– genehmigte Verhaltensregeln (Art. 40 DSGVO) und
– und von der EU-Kommission genehmigte Standard-Datenschutzklauseln (,auch „Standardvertragsklauseln“ oder englisch „Standard Contractual Clauses -“
„SCC“ genannt,)

an.

Die meisten Hosting-Anbieter entschieden sich für die Übernahme der von der EU-Kommission genehmigten Standardvertragsklauseln.

Die sodann mit Durchführungsbeschluss vom 04. Juni 2021 beschlossenen Standardvertragsklauseln der EU-Kommission können allerdings die datenschutzrechtlichen Bedenken auch nicht vollständig entkräften, da US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden (etwa nachrichtendienstliche Erhebungsbefugnisse aus Section 702 FISA und Executive Order 12 333, US Patriot Act, UD Freedom Act und Cloud Act).

Da Betroffene aus Europa nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden, und sie keine Interventionsrechte haben, geht dies mit einem hohen Datensicherheitsrisiko einher.

Nach Ansicht von DIGIT@ LAW sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich, etwa die vollständige Anonymisierung oder zumindest Verschlüsselung von EU-Datenbeständen auf US-Servern, um behördliche Zugriffsmöglichkeiten auf Klardaten aus der EU zu verhindern. Dem kommen Hosting-Dienstleister aus den USA derzeit aber noch nicht nach.

Weil die EU-Standardvertragsklauseln datenschutzrechtlich nicht ausreichen, ist die Nutzung von US-Hostingleistungen für Websites in der EU und die damit einhergehende Übertragung von personenbezogenen Daten der EU-Seitenbesucher in die USA mit einem rechtlichen Risiko für den Seitenbetreiber verbunden.

Wer die DSGVO-Vorgaben zur Einrichtung geeigneter Garantien für Drittstaatentransfers von personenbezogenen Daten nicht einhält, kann von der im Bundesland des Sitzes des Seitenbetreibers zuständigen Datenschutzbehörde mit Bußgeldern geahndet werden.

Nach Einleitung eines Anhörungsverfahren schließt sich gegebenenfalls ein Bußgeldverfahren an, wobei die sodann verhängten Geldbußen bei Verstößen gegen die Datensicherheitspflichten bei Drittstaatenübermittlungen nach Art 83 Abs. 5 lit. c) DSGVO bis zu 20.000.000 Euro oder 4% des weltweit erzielten Jahresumsatzes betragen können.
Ein Beispiel dafür, dass die Datenschutzbehörden tatsächlich gegen Seitenbetreiber vorgehen, findet sich im Urteil zu Gunsten der Bayerischen Landesaufsicht für Datenaufsicht, mit welchem einem Online-Händler aus München die Nutzung des Dienstes „Mailchimp“ auf Grund mangelnden Datenschutzes untersagt wurde.

DIGTA LAW (DIGIT@ LAW) unterstützt Sie gerne bei der rechtssicheren Gestaltung von Hosting und Datentransfers.