In welchem Land werden meine Cloud-Daten gespeichert?
Cloud-Speicherdienste sind sowohl im Privat- als auch im Arbeitsbereich eine praktische Sache: Arbeitsdokumente, Bilder und Videos werden nicht mehr nur auf dem eigenen Endgerät gespeichert. Stattdessen werden sie zusätzlich oder ausschließlich auf Servern von Cloud-Diensten wie Dropbox, OneDrive oder iCloud gesichert. Für viele Nutzer ist der Standort der Server ein wichtiges Entscheidungskriterium. Befinden sie sich außerhalb Deutschlands oder sogar außerhalb der EU, können unterschiedliche rechtliche Rahmenbedingungen und abweichende Datenschutz-Standards die Folge sein.
Der Serverstandort macht einen Unterschied
Die Wahl des Cloud-Speicher-Anbieters hat neben dem Preis und der Funktionalität vor allem mit Vertrauen zu tun. Sich für einen Serverstandort innerhalb der EU zu entscheiden, bringt gleich eine Vielzahl von Vorteilen mit, etwa Rechtssicherheit, Datenschutz und einen Support in deutscher Sprache.
Datenschutz
Innerhalb der EU gilt seit Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Damit ist der Schutz personenbezogener Daten in Europa klar geregelt. Die Cloud-Dienstleister müssen Maßnahmen treffen, um
- einen Datenverlust sowie die Veränderbarkeit der Daten,
- einen Identitätsdiebstahl,
- unberechtigte Zugriffe und
- vorübergehende Nichtverfügbarkeiten
zu verhindern, damit Datenverantwortliche die Services gemäß Artikel 28 der Datenschutz-Grundverordnung nutzen dürfen.
Privat- oder Geschäftsnutzer?
Während ein hohes Datenschutzniveau für Privatnutzer nicht verpflichtend, aber durchaus wünschenswert ist, sind Unternehmen zum Schutz ihrer Mitarbeiter- und Kundendaten verpflichtet. Sie machen sich potenziell sogar strafbar, wenn sie auf Cloud-Dienstleister zurückgreifen, welche die Vorgaben der DSGVO nicht erfüllen.
Für geschäftliche Nutzer ist es daher essenziell, dass zwischen ihnen und dem Cloud-Dienstleister ein sogenannter Auftragsverarbeitungsvertrag (AVV) – früher ADV – abgeschlossen wird. Während die Verantwortung in der Vergangenheit auf Kundenseite lag, wird sie inzwischen geteilt. So sollten Geschäftskunden die Wahl des Anbieters von der Bereitstellung eines Auftragsverarbeitungsvertrages abhängig machen. Darin werden Rechte und Pflichten beider Parteien, vor allem bezüglich Datensicherheit und -schutz, schriftlich fixiert.
Sonderfall USA
In den Vereinigten Staaten gibt es bei Cloud-Anbietern keine einheitlichen Datenschutz-Standards. Viele Unternehmen aus den USA behandeln persönlichen Daten recht sorglos. So werden etwa E-Mail-Adressen sowie Kontaktdaten weitergegeben und Content-Analysen durchgeführt, ohne Kunden ausreichend darüber in Kenntnis zu setzen.
Zudem gilt seit einem Erlass der Trump-Regierung im Jahr 2018 der sogenannte CLOUD Act, der die Anbieter zur Offenlegung personenbezogener Daten, Wirtschaftsinformationen und Telemetriedaten zwingt. Demnach sind sämtliche US-Unternehmen, die Daten im Ausland verarbeiten, grundsätzlich dem US-amerikanischen Recht unterworfen. Alle in ihrer Obhut befindlichen Daten müssen sie auf Anfrage und ohne Gerichtsbeschluss offenlegen. Diese Kooperationspflicht bedeutet für die Anbieter einen unlösbaren Widerspruch zur Einhaltung der DSGVO.
Drei verschiedene Cloud-Konstellationen
Beim Vergleich der Cloud-Anbieter lassen sich drei Konstellationen unterscheiden:
- Ein Anbieter von außerhalb der EU betreibt sein Rechenzentrum in einem Drittstaat.
- Ein Anbieter aus einem Drittstaat betreibt sein Rechenzentrum in Deutschland oder einem anderem EU-Staat.
- Ein Anbieter aus der EU betreibt sein Rechenzentrum in Deutschland oder einem anderem EU-Staat.
Variante eins ist am problematischsten: Allein aus logistischen Gründen können Datenschutzbehörden oftmals nicht die Einhaltung aller Vorgaben überwachen. Auch für den Anbieter ist es schwer, Datenschutzgesetze einzuhalten, sofern die Daten in einem Land gespeichert werden, das ein geringes oder unzureichendes Datenschutzniveau aufweist.
Variante zwei ist mitunter bereits weniger problematisch, vor allem dann, wenn der Anbieter entsprechende Datenschutz-Zertifizierungen vorweisen kann. Möglich ist es aber dennoch, dass das Speichern der Daten bei einem internationalen Anbieter laut DSGVO unzulässig ist. Das kann der Fall sein, wenn der Anbieter zusätzlich zum EU-Recht auch dem Recht im Heimatmarkt unterworfen ist.
Variante drei ist optimal. Die Daten verlassen zu keinem Zeitpunkt die EU. Wer auf Nummer sicher gehen will, wählt einen deutschen Anbieter, der die Daten ausschließlich im Inland hostet.
Ein in Deutschland ansässiger Cloud-Anbieter ist dazu verpflichtet, sich an die strengen hiesigen Datenschutzbestimmungen zu halten. Für Datenzugriffe durch den Staat gelten ebenfalls klare Regeln. Problematisch bei US-amerikanischen Anbietern: Nicht-amerikanische Staatsbürger, also auch Nutzer aus Deutschland, genießen kaum Datenschutzrechte.
Einige Anbieter wie Microsoft und Google haben inzwischen auf diese Bedenken reagiert und betreiben eigene Server innerhalb der EU. Bei der Nutzung sollten Anwender darauf achten, ob sie den Serverstandort wählen können.
Verfügbarkeit und Verbindungsgeschwindigkeit
Auch wenn es zwischen den großen Anbietern kaum einen spürbaren Geschwindigkeitsunterschied gibt, kann die Nutzung kleinerer Anbieter durch eine geringe Anschluss-Bandbreite oder eine höhere Downtime, also den prozentualen Anteil, in dem der Dienst nicht verfügbar ist, Probleme bereiten. Viele Internet-Nutzer haben zudem ein schlechtes Gefühl dabei, ihre Daten bei undemokratisch regierten Staaten, etwa in China, zu speichern.
Support in Muttersprache
Die Wahl eines deutschen Cloud-Anbieters bringt einen weiteren Vorteil mit sich: Gibt es Unklarheiten oder Probleme, steht in der Regel der E-Mail- oder Telefon-Support in deutscher Sprache zur Verfügung. Vielen Nutzern fällt vor allem die Kommunikation über technische Fachthemen in einer Fremdsprache schwer. Ein weiterer Pluspunkt: die nicht vorhandene Zeitverschiebung nach Übersee. So erreichen Sie den Support während der Bürozeiten, sofern der Anbieter nicht ohnehin einen Rund-um-die-Uhr-Support bietet.
Wo werden die Cloud-Daten gespeichert?
Der folgenden Tabelle entnehmen Sie eine Auswahl an bekannten Cloud-Anbietern, die jeweiligen Unternehmenssitze sowie die Server-Standorte.
| Cloud-Anbieter | Anbieter-Hauptsitz | Daten-Speicherorte |
| Telekom MagentaCLOUD | Deutschland | Ausschließlich Deutschland |
| WEB.DE Online-Speicher | Deutschland | Ausschließlich Deutschland |
| STRATO HiDrive | Deutschland | Ausschließlich Deutschland |
| pCloud | Schweiz | Wahlweise EU oder USA |
| Google Drive | USA | EU |
| Amazon Cloud Drive | USA | EU |
| Microsoft OneDrive | USA | Deutschland und USA |
| Apple iCloud | USA | EU und USA |
| Dropbox | USA | USA |
Teaserbild: © peshkov / stock.adobe.com | Abb. 1: © pinkeyes / stock.adobe.com
