Digitalisierung in der Wohnungswirtschaft / 4 Rechenzentren und Cloud-Computing

Wohnungsunternehmen verlagern zunehmend ihre Daten oder einzelne Geschäftsprozesse in externe Rechenzentren oder Cloud-Anwendungen.

Entsprechende Auslagerungen sind grundsätzlich als Auftragsverarbeitung zu werten. Die Verantwortung für die Einhaltung sämtlicher datenschutzrechtlicher Pflichten obliegt somit weiterhin dem auslagernden Unternehmen. Es muss also sichergestellt sein, dass vom Dienstleister die erforderlichen Sicherheits- und Datenschutzmaßnahmen umgesetzt werden. Auch im Eigeninteresse sind die Dienstleister sorgfältig auszuwählen, da im Gegensatz zu einem eigenen Rechenzentrum keine direkte Kontrolle über die Daten mehr besteht.

Serverstandort in der Europäischen Union

Besonders zu beachten ist bei dieser Thematik, dass der Markt von US-Anbietern dominiert wird und somit Datentransfers in die USA erfolgen können, was datenschutzrechtlich problematisch ist. Datenübermittlungen in die USA können aufgrund des Schrems-II-Urteils des EuGH^[1] nicht mehr auf der Grundlage des Privacy Shield erfolgen. Demnach ist bei der Auswahl eines Anbieters darauf zu achten, dass Serverstandorte in der Europäischen Union garantiert werden.

Selbst wenn die Server sich innerhalb der Europäischen Union befinden, können Datentransfers in die USA dennoch nicht ausgeschlossen werden, da die Überwachungsbefugnisse von US-Behörden aufgrund der Sicherheitsgesetze (Cloud Act) weitreichend sind. So können sich US-Behörden bei amerikanischen Unternehmen auch dann einen Datenzugriff verschaffen, wenn die Speicherung in der EU erfolgt.

Die Datenschutzkonferenz führt derzeit Gespräche mit den großen Anbietern, um die bestehenden rechtlichen Probleme zu lösen. Man geht auch davon aus, dass Kompromisse gefunden werden. Insofern gibt es hier für die Anwender aktuell nur wenig Handlungsspielraum, da die Lösung der bestehenden Probleme nicht in ihrem Wirkungsbereich liegt. Auch Veränderungen an den Systemeinstellungen ändern nichts an den Kernproblemen.

Rechenzentrums- und Cloud-Lösungen von US-Anbietern können somit aktuell grundsätzlich nicht als datenschutzkonform erachtet werden. Entscheidend dürfte aber sein, dass sich einige Lösungen als etablierter Standard durchgesetzt haben und flächendeckend von unzähligen Unternehmen jeder Größenordnung eingesetzt werden. Es erscheint daher unwahrscheinlich, dass Bußgelder oder Unterlassungsaufforderungen drohen. In jedem Fall müssen aber die rechtlichen Entwicklungen sorgfältig beobachtet werden.

[1] EuGH, Urteil v. 16.7.2020, C-311/18.