ECLEirini C. LikaRechtsanwältin ·
Solicitor · LL.M.
Datenschutz & DSGVO

DSGVO im Weltraum: Gilt europäisches Datenschutzrecht auf Orbital Data Centers?

Von Eirini C. Lika

Orbital Data Centers sind keine Zukunftsvision mehr. Für EU-Unternehmen stellt sich die Frage: Gilt die DSGVO für Verarbeitungen im Erdorbit — und unter welchen Bedingungen?

Die DSGVO gilt für Verarbeitungen personenbezogener Daten auf Orbital Data Centers — unabhängig davon, wo der Server physisch steht. Orbital Data Centers, also Recheninfrastruktur auf Satelliten oder Raumstationen im Erdorbit, werden aktuell von Unternehmen wie Lumen Orbit und Starcloud kommerziell entwickelt. Was auf den ersten Blick wie eine ferne Zukunftsfrage wirkt, ist für Unternehmen im NewSpace-Bereich und für Cloud-Nutzer mit orbitaler Infrastruktur bereits heute eine konkrete Compliance-Frage.

Art. 3 DSGVO: Territorialprinzip greift nicht — Marktortprinzip schon

Die DSGVO knüpft ihren Anwendungsbereich nicht an ein Territorium, sondern an zwei alternative Anknüpfungspunkte. Erstens: Der Verantwortliche oder Auftragsverarbeiter ist in der EU niedergelassen (Art. 3 Abs. 1 DSGVO). In diesem Fall gilt die DSGVO für alle Verarbeitungen im Rahmen dieser Niederlassung — unabhängig davon, ob die Verarbeitung physisch in Frankfurt, Dublin oder auf einem Satelliten in 500 km Höhe stattfindet. Zweitens: Das Marktortprinzip des Art. 3 Abs. 2 DSGVO erfasst auch Unternehmen ohne EU-Niederlassung, wenn sie Waren oder Dienstleistungen an Personen in der EU anbieten oder deren Verhalten beobachten.

Der Orbit ist kein datenschutzrechtlicher Ausnahmeraum. Ein EU-Unternehmen, das ein Orbital Data Center betreibt oder nutzt und dabei personenbezogene Daten von EU-ansässigen Personen verarbeitet, unterliegt der DSGVO vollumfänglich: Rechtsgrundlagenpflicht, Betroffenenrechte, technische und organisatorische Maßnahmen nach Art. 32 DSGVO, Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

Weltraumrecht: Wessen Recht gilt auf dem Satelliten?

Das Weltraumrecht liefert eine für die DSGVO-Analyse unmittelbar relevante Weichenstellung. Art. VIII des Outer Space Treaty (OST) von 1967 bestimmt: Der Registrierstaat eines Weltraumobjekts behält Hoheitsbefugnisse und Kontrolle über dieses Objekt, solange es sich im Weltraum befindet. Das Data Center auf einem deutschen Satelliten unterliegt damit deutschem Recht — einschließlich DSGVO. Das Data Center auf einem US-amerikanisch registrierten Satelliten unterliegt US-Bundesrecht.

Daraus entsteht ein strukturelles Risiko: Europäische Unternehmen, die US-registrierte Orbital-Infrastruktur nutzen, verarbeiten Daten auf einem Objekt, das US-Recht unterliegt. US-amerikanisches Datenschutzrecht bietet kein der DSGVO äquivalentes Schutzniveau. Die DSGVO des Verantwortlichen gilt weiterhin kraft Art. 3 — aber die physische Infrastruktur unterliegt einer anderen Rechtsordnung. Diese Spannung ist regulatorisch bisher nicht aufgelöst.

Praktische Konsequenzen für Unternehmen

Die DSGVO-Pflichten gelten — aber ihre praktische Durchsetzbarkeit ist im orbitalen Kontext ungeklärt. Keine nationale Aufsichtsbehörde hat bisher Enforcement-Maßnahmen gegen orbitale Verarbeitungen ergriffen. Der Europäische Datenschutzausschuss (EDSA) hat sich zu Orbital Data Centers noch nicht geäußert. Das schützt Unternehmen nicht: Das Fehlen behördlicher Praxis bedeutet regulatorische Unsicherheit, keine Freistellung.

Für Unternehmen, die orbitale Infrastruktur heute planen oder nutzen, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO der notwendige erste Schritt. Orbital Data Centers erfüllen das Kriterium der neuen Technologie mit erheblichen Risiken für Betroffenenrechte — insbesondere hinsichtlich Transparenz, Löschbarkeit und physischer Kontrollierbarkeit der Daten.

FAQ

Gilt die DSGVO auch für Verarbeitungen auf der Internationalen Raumstation?

Grundsätzlich ja, sofern ein EU-niedergelassener Verantwortlicher personenbezogene Daten auf ISS-Infrastruktur verarbeitet. Das ISS-Intergouvernementale Abkommen von 1998 weist Jurisdiktion nach Nationalität des Moduls zu: Verarbeitungen auf dem Columbus-Modul (ESA) durch EU-Einrichtungen unterliegen EU-Recht. Die praktische Aufsicht durch nationale Datenschutzbehörden ist jedoch nicht erprobt.

Muss ich eine DSFA durchführen, wenn ich ein Orbital Data Center nutze?

Nach dem aktuellen Stand: ja. Art. 35 Abs. 1 DSGVO verlangt eine DSFA bei neuen Technologien mit erheblichen Risiken. Orbital-Infrastruktur erfüllt dieses Kriterium. Die DSFA sollte insbesondere die Risiken fehlender physischer Zugriffsmöglichkeit, Latenzen bei Incident Response und die Registrierstaatsproblematik adressieren.

Einige der behandelten Rechtsfragen sind durch Behördenpraxis oder Rechtsprechung noch nicht abschließend geklärt._

Eirini C. Lika

Rechtsanwältin · Solicitor · LL.M.

Als Rechtsanwältin (Griechenland), Solicitor England & Wales und niedergelassene europäische Rechtsanwältin in Deutschland berate ich an der Schnittstelle von Technologie und Regulierung. Mein Fokus liegt auf der praktischen Umsetzung komplexer regulatorischer Anforderungen — insbesondere im Bereich KI-Governance, Datenschutz und grenzüberschreitende Compliance.

Mehr über Eirini C. Lika

Weiterlesen

Datenschutz & DSGVO

Datentransfer Erde in den Orbit: Greift Art. 44 DSGVO?

Der Weltraum ist kein Drittland. Aber ist ein Datentransfer auf einen Satelliten trotzdem ein Drittstaatentransfer nach Art. 44 DSGVO? Drei Auslegungsansätze im Vergleich.

Weiterlesen

Hinweis: Die Informationen in diesem Artikel dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar.