A. Einleitung
Die Nutzung von Cloud-Diensten ist aus der modernen Unternehmenspraxis kaum noch wegzudenken. Gleichzeitig stehen insbesondere außereuropäische Anbieter seit Jahren im Fokus datenschutz- und cybersicherheitsrechtlicher Diskussionen. Begriffe wie Digitale Souveränität und Datenlokalisierung prägen die Debatte – oft verbunden mit der Forderung, Daten möglichst ausschließlich innerhalb der EU zu verarbeiten. Ein genauerer Blick zeigt jedoch: Das geltende Unionsrecht verfolgt einen deutlich differenzierteren Ansatz.
I. Digitale Souveränität bedeutet nicht Abschottung
Digitale Souveränität wird teilweise mit der Nutzung ausschließlich europäischer Cloud-Lösungen gleichgesetzt. Rechtlich zwingend ist ein solcher Ansatz jedoch nicht. Im Kern geht es vielmehr darum, ein mit dem Unionsrecht vergleichbares Schutzniveau für Daten sicherzustellen – unabhängig davon, ob ein Anbieter einen Sitz innerhalb oder außerhalb der EU hat. Auch europäische Behörden betonen zunehmend, dass Innovation und Wettbewerbsfähigkeit nicht durch pauschale Lokalisierungspflichten beeinträchtigt werden dürfen.
II. Rechtlicher Rahmen für die Privatwirtschaft
1. Internationale Datentransfers nach der DSGVO
Die DSGVO verbietet den Einsatz außereuropäischer Cloud-Anbieter nicht. Sie stellt jedoch strenge Anforderungen an die Übermittlung personenbezogener Daten in Drittländer. Eine zentrale Rolle spielen dabei Angemessenheitsbeschlüsse der EU-Kommission sowie – in deren Abwesenheit – Standardvertragsklauseln in Verbindung mit zusätzlichen Schutzmaßnahmen.
Spätestens seit den „Schrems“-Entscheidungen des EuGH ist klar: Vertragliche Garantien allein reichen nicht aus, wenn staatliche Zugriffsrechte im Drittland das Datenschutzniveau faktisch unterlaufen. Unternehmen müssen daher im Rahmen sogenannter Transfer Impact Assessments prüfen, ob und wie ein gleichwertiger Schutz tatsächlich gewährleistet werden kann. In der Praxis führt dies zu erheblichen rechtlichen und wirtschaftlichen Unsicherheiten, insbesondere bei Transfers in Staaten ohne Angemessenheitsbeschluss.
2. Besondere Vorgaben für Gesundheitsdaten
Noch restriktiver ist die Lage bei sensiblen Daten, insbesondere im Gesundheitsbereich. Mit der europäischen Gesundheitsdatenverordnung (EHDS-VO) zeichnet sich eine deutliche Tendenz zur stärkeren Datenlokalisierung ab. Große Mengen elektronischer Gesundheitsdaten sollen grundsätzlich nur innerhalb der EU verarbeitet werden, sofern kein angemessenes Datenschutzniveau im Drittland festgestellt ist.
Zugleich wird der Zugriff aus Drittstaaten an strenge Voraussetzungen geknüpft und am Prinzip der Gegenseitigkeit ausgerichtet. Für datenintensive Forschungs- und Infrastrukturprojekte kann dies erhebliche praktische Auswirkungen haben.
Diese Vorgaben betreffen in der Praxis jedoch nur solche Szenarien, in denen elektronische Gesundheitsdaten grenzüberschreitend an oder von Gesundheitsdatennutzern in Drittländer zum Zwecke der Nutzung übermittelt werden. Hierunter sollte die Speicherung von Daten durch die Nutzung von Cloud-Diensten jedoch nicht fallen.
3. Schutz vor staatlichen Zugriffen: Der Data Act (VO EU 2023/2854)
Auch der Data Act greift das Thema staatlicher Zugriffe auf. Anbieter von Datenverarbeitungsdiensten – darunter insbesondere Cloud-Provider – müssen technische und organisatorische Maßnahmen (TOM) ergreifen, um unzulässige Zugriffe durch Behörden aus Drittländern zu verhindern (Art. 32 Abs. 1 DA). Ein generelles Verbot außereuropäischer Cloud-Dienste folgt daraus jedoch nicht. Vielmehr bleibt die internationale Datenübermittlung nicht-personenbezogener Daten grundsätzlich zulässig, sofern die rechtlichen Vorgaben eingehalten werden.
