Datentransfer Erde in den Orbit: Greift Art. 44 DSGVO?

Der Transfer personenbezogener Daten von einem EU-Server auf ein Orbital Data Center im Erdorbit ist datenschutzrechtlich ungeklärt. Art. 44 DSGVO verbietet Übermittlungen in Drittländer ohne angemessenes Schutzniveau. Aber ist der Weltraum ein Drittland? Die Antwort entscheidet darüber, ob Standardvertragsklauseln, ein Angemessenheitsbeschluss oder gar keine Transfermechanismen erforderlich sind — und welche Compliance-Strategie Unternehmen heute wählen sollten.

Was ist ein Drittland im Sinne der DSGVO?

Die DSGVO definiert den Begriff Drittland nicht ausdrücklich, behandelt ihn aber konsistent als jeden Staat außerhalb der EU und des EWR. Der Weltraum ist kein Staat. Er ist nach Art. II OST 1967 der nationalen Aneignung entzogen — er gehört keinem Staat und ist damit auch kein Drittland im Rechtssinne der DSGVO. Eine direkte Anwendung der Art. 44 ff. DSGVO auf Orbital-Transfers ist textlich nicht gedeckt.

Drei Auslegungsansätze im Vergleich

Ansatz 1: Art. 44 ff. DSGVO nicht anwendbar

Der Orbit ist kein Drittland — die Drittstaatentransfer-Regelungen greifen nicht. Folge: Nur die allgemeinen Sicherheitsanforderungen nach Art. 32 DSGVO sind einzuhalten. Vorteil: Regelungskonsistent mit dem Wortlaut. Risiko: Schutzlücke, die von Aufsichtsbehörden teleologisch geschlossen werden kann.

Ansatz 2: Analoge Anwendung der Art. 44 ff. DSGVO

Der Orbit steht faktisch außerhalb des EU-Rechtsraums und kann von EU-Aufsichtsbehörden nicht kontrolliert werden. Die Schutzniveaulücke ist vergleichbar mit einem Drittlandtransfer. Teleologische Auslegung spricht für analoge Anwendung der Transfermechanismen. Folge: SCCs oder vergleichbare Garantien sind erforderlich. Risiko: Analogie setzt planwidrige Regelungslücke voraus — die ist hier gut begründbar, aber nicht gesichert.

Ansatz 3: Registrierstaatslösung

Nach Art. VIII OST unterliegt der Satellit dem Recht seines Registrierstaats. Der Transfer auf einen EU-registrierten Satelliten wäre danach kein Drittlandtransfer. Der Transfer auf einen US-registrierten Satelliten wäre ein Transfer in die USA — mit den bekannten Anforderungen (EU-US Data Privacy Framework für zertifizierte Unternehmen, andernfalls SCCs). Vorteil: Anknüpfung an ein bestehendes Rechtsinstrument. Schwäche: Das Völkerrecht des OST und das EU-Datenschutzrecht verfolgen unterschiedliche Regelungszwecke; eine direkte Übernahme des Registrierstaatsprinzips in die DSGVO ist methodisch nicht zwingend.

Behördliche Praxis und EDSA: Schweigen als Risiko

Der Europäische Datenschutzausschuss (EDSA) hat zu Orbital Data Centers bisher keine Stellungnahme veröffentlicht. Keine nationale Aufsichtsbehörde hat eine Leitlinie oder Enforcement-Entscheidung zum Thema erlassen. Dieses Schweigen schützt Unternehmen nicht. Im Gegenteil: Aufsichtsbehörden können im Nachhinein eine Auslegung vertreten, die Compliance-Pflichten rückwirkend konkretisiert. Wer heute orbitale Infrastruktur einsetzt, ohne die Transferfrage zu dokumentieren, trägt das Risiko einer Ex-post-Bewertung.

Vorsorgestrategie: Was Unternehmen jetzt tun sollten

Bis zur Klärung durch den EDSA empfiehlt sich eine konservative Compliance-Strategie nach dem Vorsorgeprinzip. Erstens: Datenflüsse kartieren und dokumentieren, welche personenbezogenen Daten auf orbitale Infrastruktur übertragen werden. Zweitens: Den Satellitenbetreiber als Auftragsverarbeiter nach Art. 28 DSGVO vertraglich einbinden, soweit er als solcher qualifiziert. Drittens: SCCs vorsorglich abschließen, falls der Satellitenbetreiber in einem Drittland ansässig ist oder der Satellit dort registriert ist. Viertens: Transferfolgenabschätzung (Transfer Impact Assessment, TIA) dokumentieren. Fünftens: Regulatorische Entwicklungen beim EDSA, bei der ESA und im Rahmen des EU Space Programme aktiv verfolgen.

FAQ

Gibt es einen Angemessenheitsbeschluss für Orbital Data Centers?

Nein. Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 DSGVO existieren nur für bestimmte Drittstaaten — derzeit u.a. UK, Japan, Schweiz, Neuseeland und im Rahmen des EU-US Data Privacy Framework zertifizierte US-Unternehmen. Für den Weltraum als solchen gibt es keinen Beschluss und wird es strukturbedingt auch keinen geben, da Beschlüsse an Staaten adressiert sind.

Sind SCCs auf Orbital-Transfers überhaupt anwendbar?

Technisch problematisch: SCCs nach dem Durchführungsbeschluss (EU) 2021/914 setzen voraus, dass ein identifizierbarer Datenimporteur die Klauseln unterzeichnet, der dem Recht eines Drittlands unterliegt. Bei vollautomatisierten Verarbeitungen auf einem Satelliten ohne eigenständige Rechtsperson ist diese Konstruktion schwierig. Pragmatisch naheliegend ist es, SCCs mit dem Satellitenbetreiber als Auftragsverarbeiter abzuschließen, sofern dieser in einem Drittland sitzt — und die Unanwendbarkeit einzelner Klauseln im Vertrag zu dokumentieren.

Was gilt für verschlüsselte Daten im Transit zwischen Erde und Orbit?

Verschlüsselung während der Übertragung ist nach Art. 32 DSGVO als geeignete technische Maßnahme zwingend. Sie befreit aber nicht von der Transferfrage: Art. 44 DSGVO fragt nach der Übermittlung, nicht nach dem Schutzniveau der Übertragungsstrecke. Selbst vollständig verschlüsselte Daten sind personenbezogene Daten im Sinne der DSGVO, solange der Empfänger sie entschlüsseln kann.

Einige der behandelten Rechtsfragen sind durch Behördenpraxis oder Rechtsprechung noch nicht abschließend geklärt; die dargestellten Analysen geben den aktuellen Diskussionsstand wider._