Der Standort eines Servers und dessen Relevanz für die DSGVO

Kategorien: Datenschutz

Insbesondere amerikanische oder chinesische Internetkonzerne werben damit, Server in Europa für ihre Online-Plattformen zu verwenden. Damit soll Seriosität ausgestrahlt und der Befürchtung, Daten können abwandern oder von ausländischen Geheimdiensten mitgelesen werden, vorgebeugt werden. Was bedeutet der Standort eines Servers technisch für die Zugriffsmöglichkeit auf Daten?

Einleitung

Das informelle Datenschutzabkommen zwischen der EU und den USA namens Privacy Shield war schon immer ungültig. Die EU hatte daraufhin mit den USA das Data Privacy Framework (DPF) ins Leben gerufen. Geändert hat sich nicht viel. Die Rechte betroffener europäischer Bürger sind in den USA weiterhin auf einem niedrigen und der DSGVO nicht würdigen Niveau. Das kann alleine schon aus dem Präsidialerlass der USA abgelesen werden. Nebenbei sei angemerkt, dass ein solcher Erlass jederzeit widerrufen werden kann, entweder vom aktuellen oder von einem nächsten US-Präsidenten.

Die Geheimdienstproblematik ist nur ein Thema. Mental scheinen sich viele besser zu fühlen, wenn Daten in der EU gespeichert oder anderweitig (flüchtig) verarbeitet werden. Allerdings ist diese Geisteshaltung unangebracht, wie nachfolgend in Kürze dargestellt werden soll.

Was ist ein Server?

Ein Server ist ein Rechenknecht. Er stellt einen Dienst oder auch mehrere Dienste bereit. Bei Diensten, die im Internet genutzt werden, ist es erforderlich, dass ein Dienst-Server öffentlich erreichbar ist. Dies geschieht über die Zuordnung einer öffentlichen Netzwerkadresse. Die Netzwerkadresse im Internetkontext wird auch IP-Adresse genannt.

Theoretisch läuft die gesamte Software für einen Dienst auf einem dedizierten Server, der beispielsweise physisch in Köln steht. Praktisch sieht die Lage oft anders aus. Hierzu später mehr.

Der Standort eines Servers

Der Standort eines Servers ergibt sich aus genau einer Tatsache. Diese Tatsache ist der aktuelle physische Standort eines Servers. Es ist nicht die IP-Adresse, die dem Server zugeordnet ist. Ein und dieselbe IP-Adresse kann in einer Sekunde einem Server 4711 in Deutschland und in der nächsten Sekunde einem Server 0815 in Texas zugeordnet sein. Der Inhaber über Server und IP-Adressen kann diese Zuordnung von öffentlich erreichbaren Netzwerkadressen zu Servern jederzeit beliebig ändern.

Wo ein Server steht, kann also von außen nicht ermittelt werden. Der Betreiber des Servers muss den Serverstandort kommunizieren und vertraglich zusichern. Bei deutschen oder europäischen Anbietern, die klein genug sind, ist sicher oft auch ein Besuch im Rechenzentrum möglich, um den Server zu besichtigen. Eine entsprechende Sicherung auf Software-Ebene (vielleicht auch mit einem Dongle) würde dann möglicherweise garantieren, dass der Server vor Ort nicht durch einen Server an einem anderen Ort ausgetauscht werden würde, indem ein Backup samt Umleitung des Netzwerkverkehrs vorgenommen werden würde.

Beim Versuch, ein KI-Bild für diesen Beitrag zu generieren, kam übrigens auch folgendes heraus:

Der Prompt für dieses Bild enthielt einen Deutschlandbezug, da dies meine Staatsbürgerschaft ist und dieser Beitrag in Landessprache verfasst ist. Zu sehen ist die Umetikettierung eines größeren Landes, hin zum Positiven, könnte man sagen.

Die Datenverarbeitung auf einem Server

Nehmen wir Google Analytics als Beispiel für einen Dienst, der auf einem Server in Irland betrieben und für Ihre Webseite angeboten wird. Sie binden ein Google Analytics Script in Ihre Webseite ein. Nun passiert folgendes beim Standardeinsatz des Google Analytics Plugins:

1. Jemand ruft Ihre Webseite auf.
2. Ihre Webseite lädt das Google Analytics Script.
3. Dieses Script baut eine Verbindung zu einem Google Analytics Server auf (der beispielsweise in Irland steht).
4. Der Google Analytics Server in Irland schickt Ihrem Server, auf dem Ihre Webseite (auch ein Dienst!) betrieben wird, den Code zurück, damit Ihre Webseite Benutzer nachverfolgen kann (Tracking genannt).
5. Der Besucher Ihrer Webseite (siehe 1.) klickt und scrollt auf Ihrer Webseite und tätigt womöglich Eingaben in einem Formular.
6. Das über 4. erhaltene Progrämmchen sendet nun Tracking Ereignisse über den Besucher Ihrer Webseite an den Google Analytics Server, der in Irland steht. Dabei wird automatisch immer die IP-Adresse des Besuchers Ihrer Webseite an den Google Server übertragen. Eine Kürzung ist hier nicht möglich.
7. Der Google Server in Irland verarbeitet diese Tracking Ereignisse.

Das klingt halbwegs gut, wenngleich auch hier die Rechtsgrundlage für die Punkte 6 und 7 geklärt sein muss. Als Rechtsgrundlage bleibt nur die Einwilligung (oder ein Vertrag) übrig. Die weitere Begründung und Cookie-Thematik lassen wir hier der Übersichtlichkeit halber einmal weg. Hierzu gibt es zahlreiche Beiträge auf Dr. DSGVO.

Detailbetrachtung für Google Analytics

So einfach wie eben dargestellt, ist es aber bei Google Analytics und vielen anderen Diensten nicht. Für Punkt 3 beispielsweise muss über einen Routing Dienst ermittelt werden, welcher Server sich die Ehre erweisen darf, Ihrer Webseite zu antworten. Denn die Plugin-Adresse lautet im Beispiel google-analytics.com. Diese Adresse kann, genau wie eine IP-Adresse, auf jeden beliebigen Server weltweit (oder auch im Universum) geleitet werden, und zwar pro Zeiteinheit bei Bedarf immer wieder neu.

Es sind also möglicherweise weitere Server beteiligt, bis der Server gefunden wurde, der den Google Analytics Dienste für Ihre Webseite bereitstellt. Dabei werden auch personenbezogene Daten ausgetauscht (etwa die IP-Adresse oder der Browser Fingerprint).

Im oben genannten Punkt 7 verarbeitet der Dienst-Server die Anfrage Ihrer Webseite. Im Beispiel ist es das Speichern eines Google Analytics Tracking Ereignisses. Google gibt selbst zu, dass sämtliche Analysedaten von Google Analytics immer in den USA verarbeitet werden. Somit sind weitere Server, die diesmal offensichtlich weder in Irland noch in Europa stehen, an der Datenverarbeitung für Ihre Webseite beteiligt.

Die Google Server in den USA wiederum können die Daten an beliebige andere Server weiterschicken. Auch können die Daten an beliebige Auftragsverarbeiter von Google weitergeschickt werden. Diese Auftragsverarbeiter sitzen für Google Analytics in Ländern wie

• Philippinen,
• Indien,
• Argentinien,
• Singapur,
• USA,
• Australien,
• Brasilien,
• Kanada,
• Kolumbien,
• Vereinigte Arabische Emirate,
• Israel,
• Kenia
• sowie weiteren Ländern.

In all diese Länder werden Daten potentiell geschickt, wenn Ihre Webseite einen Google Analytics Server in Irland als Dienstanbieter-Server zugewiesen bekommt. Welcher Auftragsverarbeiter welche Daten wie und wie lange verarbeitet, erklärt Google nicht oder sehr ungenau. Die Rechenschaftspflicht von Verantwortlichen wie Ihnen (sofern Sie Google Dienste gegen andere nutzen) dürfte damit nicht erfüllbar sein.

Ob Auftragsverarbeiter und Unterauftragsverarbeiter personenbezogene Daten erhalten und gemäß DSGVO verarbeiten, muss vom Verantwortlichen jeweils rechtlich und am besten auch vor Ort geprüft werden.

Die Vor-Ort-Prüfung bei Auftragsverarbeitern ist eine zusätzliche Absicherung, die die Rechtssicherheit erhöhen und deren Pflicht aus Art. 28 DSGVO durchaus abgeleitet werden kann.

Pro Land aus der eben gezeigten Liste muss eine Prüfung erfolgen, ob die Datenschutzvorschriften eingehalten werden. Gleiches gilt pro Auftragsverarbeiter, egal in welchem Land. Dies gilt „nur“ für personenbezogene Daten, die aber anscheinend im Falle von Google Analytics immer anzutreffen sind. Google kann beispielsweise anhand Ihrer GMail-Adresse oder Ihrer Google Maps-Nutzung (Favoriten?) herausfinden, wer genau sie sind (Name und Anschrift!) und diese Angaben mit Ihrer aktuellen IP-Adresse verknüpfen. Jeder Datenwert, der mit personenbezogenen Daten in Berührung kommt, wird automatisch auch zum personenbezogenen Datenwert. Siehe hierzu beispielsweise Cookies und IP-Adressen.

Wenn ein Website-Betreiber später die (im Beispiel mit Google Analytics) gespeicherten Daten einsehen oder analysieren möchte, sind die Speicherorte der Daten relevant. Diese sind bei technisch verteilten Anwendungen auch geografisch oft verteilt. Aus einem Server im Irland als Datenempfänger werden plötzlich Server in der ganzen Welt, die Daten empfangen. Ob gespeichert wird oder nicht, ist bezüglich des Begriffs der Datenverarbeitung irrelevant (siehe Art. 4 Nr. 2 DSGVO). Selbst eine nur flüchtige Aufnahme von Daten im Arbeitsspeicher für eine sehr kurze Zeit kann ein Problem sein, wie sogar die bisher recht liberale irische Datenschutzbehörde im WhatsApp-Fall feststellte.

Der Zugriff auf einen Server

Spätestens seit Corona weiß jeder, dass es den Begriff des Home-Office gibt. Manche nennen diese Arbeitsform auch Remote-Arbeit. Wie durch ein Wunder können Sie sich über das Internet in ein Firmen-Netzwerk einwählen.

Genau so ist es auch auf einem Server möglich, wie jeder Betreiber einer Webseite oder Nutzer eines Cloud Dienstes weiß. Dazu muss lediglich eine abgesicherte Verbindung geöffnet werden und schon ist der Zugang zu einem Server möglich. Der Serverstandort ist hierbei völlig egal. Offensichtlich kann sich jeder, der die Zugangsdaten für einen Server hat, von überall auf der Welt aus in diesen Server einwählen. Auch Freemailer oder bezahlte Online Mail Programme sind Beispiele für Fernzugriffe, bei denen der Serverstandort völlig egal ist.

Mit Protokollen wie FTP und SCP können Daten von einem Server abgerufen oder dorthin übertragen werden. So können Dienste verändert oder deren erhobenen Daten abgesaugt werden.

Mit einem SSH-Zugang können je nach Berechtigung beliebige Befehle an einen Server geschickt werden. SSH steht für Secure Shell. Mit einem SSH-Zugang auf einen Server arbeitet der Anwender in einem virtuellen Terminal. Ob das Terminal sich nun physisch dort befindet, wo sich auch der Anwender befindet, oder nicht, spielt offenbar keine Rolle.

Der einzige wirklich relevante Unterschied zwischen Fernzugriff und Präsenz des Anwenders am Standort des Servers betrifft die Möglichkeit, die Server-Hardware zu verändern. Oft ist dies etwa notwendig, wenn defekte oder veraltete Hardware gegen neue Teile ausgetauscht werden soll.

Fazit

Der Standort eines Servers sagt nichts darüber aus, in welchen Ländern die Daten, die zum Server geschickt werden, tatsächlich verarbeitet werden. Der Serverstandort kann meistens nicht zuverlässig bestimmt und muss vertraglich zugesichert werden. Oft ändern sich Server als Bereitsteller populärer Dienste ständig.

Wohin ein Server die erhaltenen Daten sendet, weiß nur der Dienstanbieter, etwa Google im Falle von Google Analytics. Wer die Datenempfänger sind, weiß ebenso nur der Dienstanbieter.

Aufgrund von Rechtsvorschriften in Drittstaaten können Geheimdienste oder andere nationale Behörden Zugriff auf beliebige Server weltweit erlangen. Mit einem Fernzugriff kann auf jeden Server zugegriffen werden, egal wo er sich physisch befindet.

Der Verantwortliche muss sicherstellen, dass sämtliche Datenempfänger die DSGVO einhalten und sämtliche Länder von Datenempfängern ein der DSGVO angemessenes Schutzniveau haben.

Alle Bilder in diesem Beitrag wurden von einem Computer-Programm erzeugt. Verwendet wurde das selbst entwickelte KI-System von Dr. DSGVO, ähnlich zu Midjourney. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.