Eine Frage, die wir häufig erhalten, lautet: “Ist eine Zertifizierung mit fair.digital auch möglich, wenn die Lösung bei Hosting-Unternehmen aus den USA betrieben wird?” In diesem 2025 aktualisierten Beitrag erklären wir, welche Möglichkeiten mittlerweile bestehen.
Das Siegelkriterium “Die EU-DSGVO wird gemäß geltender Rechtsprechung unterstützt”
Das erste fair.digital-Kriterium erfordert, dass Cloud-Lösung in der EU gehostet werden müssen. Unter bestimmten Voraussetzungen können die fair.digital-Kriterien auch erfüllt sein, wenn man eine Lösung z.B. bei Amazon Web Services (AWS) in einem Rechenzentrum in Europa betreibt. Was ist der Hintergrund?
Das Siegelkriterium “Datenhoheit”
Eine Anforderung von fair.digital besagt: “Eine Weitergabe von Nutzerdaten erfolgt nur mit expliziter Zustimmung.” Mit diesem Kriterium soll sichergestellt werden, dass die Nutzer die Hoheit über ihre Daten behalten und selbst entscheiden können, ob und wie diese genutzt werden können. Genau dies ist beim Betrieb bei US-Hostern kritisch – selbst wenn sich die Data Center in Europa befinden. Der Grund hierfür ist der sogenannte “Cloud Act”.
Der Cloud Act
Aktuell geltendes US-Recht verpflichtet in den USA ansässigen Unternehmen über den “Cloud Act” dazu, US-Behörden auch Zugriff auf Daten, die bei ausländischen Konzerngesellschaften liegen, zu gewähren. Konkret könnte z.B. das FBI Amazon dazu zwingen, Daten einzusehen, die auf AWS-Rechenzentren in Europa gespeichert sind. Diese Zugriffsmöglichkeit der US-Dienste auf Nutzerdaten steht damit zunächst im Widerspruch zu dem Siegelkriterium “Datenhoheit”.
Aktualisierte Datenschutzeinschätzungen
In seiner Bewertung richtet sich der Verein fair.digital e.V. stets nach geltendem Recht. Daher ist es uns wichtig, fortlaufend Anfragen an die zuständigen deutschen Behörden zu stellen, welche Einschätzung hinsichtlich des Cloud Act sie derzeit vertreten. Die letzte Anfrage fand 2022 statt, wobei das Bayerisches Landesamt für Datenschutzaufsicht nicht ausschließen konnte, dass Drittländer Zugang auf Daten erhalten können.
Mittlerweile hat sich in Datenschutz-Interpretationen jedoch zunehmend die Sichtweise verbreitet, dass Cloud-Angebote auch von Nicht-EU-Unternehmen in der EU datenschutzkonform betrieben werden können. Die Voraussetzung hierfür ist, dass die Daten verschlüsselt gespeichert werden müssen. Die Daten sind somit auch vor US-Diensten sicher. Diese Einschätzung hat auch fair.digital übernommen, indem eine neue Zertifizierungsmöglichkeit eingeführt wurde.
NEU: Optionen für eine Zertifizierung
- fair.digital Premium: Das neue Premium-Siegel richtet sich generell an Lösungen, die auf US-Hosting verzichten. Ist diese Auszeichnung gewünscht, könnte man zu EU-Hosting-Anbietern migrieren. In Europa gibt es durchaus Anbieter, die ähnliches Hyperscaling ermöglichen. Einige unserer Vereinsmitglieder können bei der Migration nach Europa helfen. Alternativ wäre gemäß Datenschutzbeauftragten ebenso ein Lösungsansatz, europäische Dienstleister zwischenzuschalten, sodass sich der US-Anbieter selbst aus seinem Rechenzentrum “aussperrt”. Ein solches Modell wurde z.B. von Microsoft und der Telekom umgesetzt und wäre auch fair.digital Premium-verträglich.
- fair.digital: Das Standard-Siegel erlaubt nunmehr auch Hosting bei Nicht-EU-Unternehmen, sofern dieses 1. in der EU stattfindet und 2. die Daten verschlüsselt gespeichert werden. Mit der neuen Auslegung wird den aktualisierten Datenschutzeinschätzungen Rechnung getragen. Durch die verschiedenen Siegel bleibt die Art des Hostings weiterhin ersichtlich.
Wenn Sie noch Fragen zu den Siegeln und den Anforderungen haben, sprechen Sie uns gerne an!