Deutsche Hosting-Kunden diskutieren heftig in Foren: Wie heise online berichtet, hat ein bekannter europäischer Hoster angekündigt, seine Daten Ende dieses Jahres aus Rechenzentren in Deutschland nach Frankreich zu verlagern. Wir klären im Interview mit unserem CEO Christian auf, was wichtig ist: Serverstandort in Deutschland, Unternehmenssitz in Deutschland ─ oder beides?
Christian, was sollten Kunden in Bezug auf den Datenschutz wissen, wenn sie ihren Hoster wählen?
Zwei Faktoren bestimmen, welche Rechtsgrundlagen gelten: Der Unternehmenssitz und der Serverstandort. Diese sollten sich in Deutschland oder der EU befinden. Innerhalb der EU ist das Sitzland entscheidend, also das Land des Unternehmenssitzes. Es regelt, welches Recht in Bezug auf den Datenschutz gilt. Das ist bereits in der europäischen Datenschutzrichtlinie so festgelegt und wird auch in der neuen EU-Datenschutzverordnung so geregelt sein. Da sich der Unternehmenssitz von STRATO in Berlin befindet, verarbeiten wir Daten nach dem deutschen Datenschutzrecht.
Dann findet für Hoster mit Unternehmenssitz in Deutschland und Serverstandort in einem anderen EU-Land trotzdem das Bundesdatenschutzgesetz Anwendung?
Das ist richtig. Es gibt aber eine Ausnahme: die Niederlassung. Hat der Hosting-Anbieter mit Unternehmenssitz in Deutschland in einem anderen EU-Land nicht nur einen Serverstandort, sondern auch eine Niederlassung, gilt das Recht des jeweiligen EU-Landes. STRATO hat nur Serverstandorte in Deutschland: Für uns trifft das deshalb nicht zu.
Wenn innerhalb der EU für das geltende Datenschutzrecht der Unternehmenssitz entscheidend ist, wofür ist dann noch der Serverstandort Deutschland wichtig?
Der Serverstandort Deutschland ist für Kunden zusätzlich zum deutschen Unternehmenssitz wichtig, um innerhalb der EU nicht auf Ausnahmen achten zu müssen. Dazu zählt die eben angesprochene Ausnahme der Niederlassung. Befinden sich Unternehmenssitz und Serverstandort in Deutschland, wie das bei STRATO der Fall ist, sind keine Ausnahmen möglich und es herrscht eindeutige Klarheit, was die Rechtslage in Bezug auf den Datenschutz angeht: Das deutsche Recht gilt – es ist eines der strengsten in Bezug auf den Datenschutz.
Darüber hinaus ist der Serverstandort noch für die geltenden Eingriffsrechte wichtig: Dazu zählen Überwachungsmaßnahmen und Anordnungen auf die Herausgabe von Daten an Behörden wie die Polizei. Nur für Kunden von Hostern, die neben dem Unternehmenssitz auch den Serverstandort in Deutschland haben, richten sich solche Maßnahmen nach deutschem Recht. Ausländische Behörden können nicht selbst auf Daten zugreifen, sie müssen ein sogenanntes Amtshilfeersuchen an deutsche Behörden stellen. Gilt durch einen Server-Umzug des Hosters nach Frankreich wegen des Standorts der Server vor Ort zum Beispiel französisches Recht in Bezug auf die Eingriffsrechte, müssen Kunden mit Nachteilen rechnen. In Frankreich gibt es seit Juni ein Überwachungsgesetz, das von Menschenrechtlern kontinuierlich kritisiert wird und erst vor zwei Tagen erneut geändert wurde. Es erlaubt zum Beispiel die Überwachung des kompletten Datenverkehrs in Hinblick auf verdächtiges Verhalten – ohne konkreten Verdacht und richterliche Anordnung.
Ist der Serverstandort durch eine Standortverlagerung plötzlich weit vom Unternehmenssitz entfernt, ändern sich für Kunden nicht nur rechtliche Rahmenbedingungen. Welche Vorteile hat es aus Deiner Sicht, wenn Unternehmenssitz und Serverstandort dicht beieinander liegen?
Wenn sich das Rechenzentrum und der Unternehmenssitz wie bei STRATO in einer Stadt befinden, ist das vor allem für Kunden von maßgeschneiderten Hosting-Lösungen und für Server-Kunden von Vorteil. Systemhäuser, Reseller und mittelständische Unternehmen profitieren davon, dass Vertriebler, IT-Experten und Kundenservice kurze Wege haben und so jederzeit und schnell unbürokratisch handeln können. Deshalb ist es besonders unvorteilhaft, wenn Hoster gerade für dieses wichtige und abstimmungsintensive Betreuungsgeschäft des maßgeschneiderten Hostings die Standorte von ihrem Unternehmenssitz in Deutschland in andere Länder verlagern. Beim Shared-Hosting, das weniger beratungsintensiv ist, spielt die Entfernung zwischen Unternehmenssitz und Serverstandort eine weniger große Rolle – das ist ein Grund, warum wir diese Dienste in unserem Karlsruher Rechenzentrum untergebracht haben.
Und außerhalb der EU? Was ist dort entscheidend: Unternehmenssitz oder Serverstandort?
Liegt der Unternehmenssitz außerhalb der EU, kommt deutsches Datenschutzrecht zur Anwendung, wenn die Server in Deutschland stehen. Ein Unternehmen mit Sitz in den USA muss aber nach US-Recht Daten zum Beispiel an die NSA herausgeben, unabhängig davon wo seine Server stehen. Auch wenn es ein Trend ist, dass amerikanische Unternehmen Rechenzentren in Deutschland bauen: Vor dem Zugriff amerikanischer Behörden sind diese Daten nicht geschützt.
Haben Kunden ein Sonderkündigungsrecht, wenn der Hoster den Serverstandort ändert, obwohl er bei Vertragsabschluss mit „Hosting made in Germany“ geworben hat.
Dazu müsste der Hoster den Serverstandort Deutschland vertraglich in seinen AGB oder der Vereinbarung zur Auftragsdatenverarbeitung vereinbart haben.
Wie ist das bei STRATO?
Wie andere Hoster auch, haben wir dazu keine Vereinbarung, aber als Tochter der Deutschen Telekom haben wir nicht vor, den Serverstandort zu ändern. Unsere Rechenzentren befinden sich seit der Gründung von STRATO im Jahr 1997 in Deutschland. Da auch unser Unternehmenssitz in Deutschland ist, können sich unsere Kunden in jeder Hinsicht sicher sein, dass für ihre Daten in Bezug auf den Datenschutz und die Eingriffsrechte das deutsche Recht gilt.
Update am 11.12.2015: Wie heise online berichtet, können Kunden des europäischen Hosters, der seine Daten in Rechenzentren nach Frankreich umzieht, ab sofort gegen einen Aufpreis weiterhin von Hosting in Deutschland profitieren. Bei STRATO gibt es Hosting made in Germany weiterhin ohne Aufpreis.
Christina Witt
Ich bin Christina Witt und leite die PR bei STRATO.
Thorsten sagte am
Hallo,
ich habe ein bei euch ein Webhosting-Paket und nutze WordPress. Welche Daten sammelt Strato von meinen Websitebesuchern? Wo finde ich darüber Informationen (welche Daten, wie lange werden diese gespeichert, wozu…)?
Denn streng genommen muss das dann auch in der Datenschutzerklärung meiner Website stehen.
Christina Witt sagte am
Hallo Thorsten,
alle Informationen darüber findest Du in unserer Datenschutzerklärung unter http://www.strato.de/datenschutz/.
Viele Grüße
Christina
Claudius sagte am
Es ist ja nicht nur das Datenschutz-Recht betroffen. Mal abgesehen davon steht “Serverstandord Deutschland” bei Host Europe in der Produktbeschreibung. Und entsprechend ist das eine deutliche Veränderung der beworbenen Eigenschaften.
Hias sagte am
Wenn ein Serverstandort zum Zeitpunkt des Vertragsschlusses in den AGB oder einem zum Vertrag gehörigen SLA festgeschrieben ist, und später aus aktualisierten AGBs/SLA stillschweigend rausfliegt, dann gelten (sofern diese Anderungen nicht kommuniziert werden und von den Altkunden abgesegnet werden müssen) IMHO (und IANAL) die zum Zeitpunkt des Vertragsschlusses gültigen weiter.
lG Hias
Christina Witt sagte am
Hallo Torben,
danke für Dein Feedback. Wir stehen zu unserem Standort Deutschland und planen aktuell nicht, diesen zu verlagern. Und diesen Blogartikel haben wir geschrieben, um aufzuklären – über alle Fragen zu diesem Thema. Dabei waren wir in jedem Punkt sehr ehrlich, auch in diesem.
LG
Christina
Torben sagte am
Letzter Absatz: “Wie andere Hoster auch, haben wir dazu keine Vereinbarung” – und wie anderen Mitbewerbern kann es leider auch bei Strato der Firmenleitung übermorgen einfallen, dass ein Rechenzentrum im Ausland günstiger/besser/schneller/wasauchimmer ist… Wenn Strato effektiv mit dem Serverstandort Deutschland werben möchte, sollte das besser in die AGB rein. Ansonsten ist dieser Artikel leider nur als zweifelhafter Versuch zu werten, verunsicherte Kunden des besagten Wettbewerbers abzufangen. Die werden nach der Erfahrung mit besagtem Wettbewerber aber jetzt um so mehr darauf achten, dass der Serverstandort vertraglich festgeschrieben ist. Trotzdem Danke für die Infos/Aspekte zur rechtlichen Lage.