Host Europe und Domainfactory ziehen Server nach Straßburg um

Die deutschen Hostinganbieter Host Europe und Domainfactory verlagern im zweiten Quartal 2016 einen Teil ihrer Server nach Straßburg. Viele Kunden sind unzufrieden und drohen der Firma sogar mit Sonderkündigungen. Sie fürchten ihre Webseiten und die dort erhobenen Daten könnten nun nach französischem Datenschutzrecht behandelt werden…

Hosting-Anbieter sind die wichtigen Knotenpunkte in der digitalen Welt. Sie betreiben riesige Serverfarmen, auf denen zehntausende Webseiten laufen. Webseiten-Betreiber können dann auf diesen Servern Speicherplatz mieten und ihre Websites für die Internet-User rund um die Uhr abrufbar machen. Einer der größten deutschen Anbieter ist Host Europe. Umso gravierender erscheint die neue Ankündigung:

Raum voller Server

Photo by torkildr

Alles begann im Dezember 2014 als die britische Host Europe LTD. den deutschen Server-Provider Intergenia übernahm. Nach dem Kauf von Domainfactory nur ein Jahr zuvor konnte Host Europe damit hoffen seine Marktanteile weiter auszubauen. Der Plan zum Serverumzug dürfte schon damals entstanden sein. Die verschiedenen Supsparten von Intergenia wurden unter dem Dach der PlusServer GmbH, bis dahin eine Tochterfirma von Intergenia, vereint. Thomas Strohe, der ehemalige Geschäftsführer von PlusServer ist heute CEO für managed hosting bei der Host Europe Group

Eben diese PlusServer GmbH ist Inhaberin des Datadock, eines Rechenzentrums in Straßburg, in den die Host Europe LTD. nun die Server-Dienste von Host Europe und Domainfactory umziehen möchte. Und auf den ersten Blick ist der Umzug mehr als verständlich. Das 2010 fertig renovierte Gebäude ist modern und sehr Energie-effizient. Bis zu 66% Energie soll im Vergleich zu sonstigen Standorten gespart werden. Das vermindert natürlich nicht nur den CO2-Ausstoß, sondern spart auch eine Menge Geld. Durch die Zusammenführung seiner Anbieter am gleichen, kostengünstigen Standort, erhofft sich die Host Europe Group finanzielle Synergieeffekte.

Bedenken wegen Datenschutz

Doch viele Kunden von Host Europe und Domainfactory sind skeptisch. Immerhin gilt in Deutschland ein auch im europäischen Vergleich sehr weitreichender Datenschutz für  Privatpersonen. Dieser war für viele Website-Betreiber und Internetnutzer ein Verkaufsargument. Denn solange die Server in Deutschland stehen, gilt deutsches Datenschutzrecht. Ist der Serverstandort außerhalb Deutschlands, so die Befürchtung, gilt das weniger strenge französische Datenschutzrecht. Besonders gravierend: In Frankreich gilt bereits die Vorratsdatenspeicherung. Das bedeutet die Daten privater User könnten von französischen Behörden gespeichert und für Strafverfolgunszwecke genutzt werden. Auch solange die Vorratsdatenspeicherung in Deutschland noch nicht in Kraft getreten ist, und auch falls das Bundesverfassungsgericht das gegenwärtige Gesetz zur Vorratsdatenspeicherung in Deutschland für verfassungswidrig erklärt. Entsprechend groß ist die Aufregung im Supportforum von Domainfactory und in sozialen Netzwerken.

 

 

 

Das Sitzlandprinzip

Domainfactory hat mittlerweile reagiert. In einer FAQ zum Serverumzug beschwichtigen sie:

Für Ihre Daten gelten ohne jede Änderung weiterhin die deutschen Datenschutzbestimmungen.
Zur Erklärung: Das europäische Datenschutzrecht geht vom “Sitzlandprinzip“ aus. Demnach richtet sich das anzuwendende nationale Recht nicht nach dem Ort der Verarbeitung, zum Beispiel der Datenspeicherung, sondern nach dem Sitz der verantwortlichen Stelle.

Damit, dass in Europa im Datenschutz grundsätzlich das Sitzlandprinzip gilt, hat Domainfactory zwar grundsätzlich Recht. Meiner Einschätzung nach ist die Rechtslage hier dennoch nicht ganz so einfach. Da die Datenschutz Grundverordnung vom EU-Parlament bisher noch nicht beschlossen wurde, gilt  als Rechtsgrundlage für Datenschutz in der EU immer noch die „Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr „ und darin heißt es in Artikel 4:

(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an

,a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält;

Wenn ein Unternehmen also eine Niederlassung in Frankreich besitzt, die „Tätigkeiten zur Verarbeitung personenbezogener Daten“ ausführt, dann muss sich diese Niederlassung an französisches Datenschutzrecht halten. Wenn das Unternehmen Niederlassungen in mehreren EU-Ländern besitzt, die personenbezogene Daten verarbeiten, dann müssen alle diese Niederlassungen sich an die jeweils nationalen Datenschutzbestimmungen halten. Fraglich ist nun, was genau unter einer Niederlassung zu verstehen ist, und wann genau „Tätigkeiten zur Verarbeitung personenbezogener Daten“ konkret beginnen.

Ein gemieteter und nur ferngesteuerter Server in einem anderen Land gilt wohl explizit nicht als Niederlassung. Doch in diesem Fall besitzt und betreibt eine Tochterfirma des gleichen Mutterkonzerns die gesamte Serverfarm. Und in Straßburg befinden sich zu diesem Zweck unter Garantie auch Techniker, Büros und Verwaltungspersonal der PlusServer GmbH und damit von Host Europe. Ob ein französisches Gericht das nicht im Zweifel als eine Niederlassung interpretieren würde, möchte ich nicht garantieren. Zudem ist beim Betrieb eines Server ja nicht immer zu 100% zu klären, wer die Sammlung und Auswertung privater Daten denn nun tatsächlich ausgelöst, betrieben oder ermöglicht hat. Es besteht immerhin ein fließender Übergang zwischen technischen Wartungsarbeiten an den Servern und Verwaltung der Serverkonfiguration, die Datenspeicherung möglich macht oder sogar direkt auslöst. Alles in allem möchte ich nicht ausschließen, dass die Tätigkeit des Straßburger Wartungspersonals nicht als „Tätigkeit zur Verarbeitungen personenbezogener Daten“ interpretiert werden könnte.

Fazit

Host Europe und Domainfactory haben vor dem Umzug den fraglichen Tatbestand mit Sicherheit von spezialisierten Datenschutz-Anwälten überprüfen lassen. Nach deren Auffassung scheint der Umzug rechtlich unproblematisch. Meiner persönlichen Meinung nach ist die Rechtslage hier jedoch nicht eindeutig und es bestehen gewisse Risiken. Ich kann jeden Webseitenbetreiber verstehen, der nun den Hoster wechseln möchte. Denn selbst wenn die Daten auf den französischen Servern völlig sicher sind, kann nur deshalb weil anders lautende Meinungen im Umlauf sind, die Reputation einer Website Schaden nehmen.

Und einen weiteren Branding-Nachteil musste Domain-Factory bereits in Kauf nehmen: Der langjährige Werbebanner „Hosting made in Germany“ musste konsequenterweise entfernt werden.

Ausschnitt von der Startseite von Domainfactory einmal mit und einmal ohne "Hosting made in Germany"

Ausschnitt aus der Startseite von Domainfactory von heute und vom 18. Dezember 2014 (Quelle: Internet archive) Bildzitat

1 thought on “Host Europe und Domainfactory ziehen Server nach Straßburg um

  1. Pingback: Mit deutscher Domain im Ausland hosten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.