Europäische Datenschutz-Grundverordnung: Speichern sensibler Daten von Adressen der Kunden und Lieferanten auf Servern - wo dürfen die stehen?

Spätestens mit Gültigkeit der europäische Datenschutz-Grundverordnung Ende Mai 2018 geht das Zeitalter der Bandlaufwerke zu Ende. Denn es ist nicht mehr zulässig, Personendaten auf den Bändern gespeichert zu halten, wenn die Person eine Löschung ihrer Daten wünscht. Die Weiterführung einer Magnetband-typischen sequentiellen Datenspeicherung würde einen Aufwand verursachen, den nur noch automatisiert laufende Roboterstationen erbringen können.

Dort nicht nur das. Es wird auch mehr Wert darauf gelegt, das alle sensiblen Daten auf Servern gespeichert werden, die innerhalb der EU laufen. Als Daten, für die erhöhte Schutzvorschriften gilt, gelten nicht nur Kranken- und Prozessdaten.
Auch einfache Adressen mit Telefonnummer oder eMail-Adresse sind Daten, für die besondere Schutz- und Nutzungsvorschriften gelten. Dabei ist nicht nur der Schutz vor Hacking oder Trojanern zu berücksichtigen. Auch der Serverstandort ist wichtig.

Für David-Server im heimatlichen Betrieb stellt das normalerweise kein Problem dar, denn die allermeisten laufen innerhalb der EU.
Aber was ist mit den zahllosen Servern, auf die über beispielsweise DropBox-, WhatsApp- oder Daten aus Cloud-Anwendungen kopiert werden? Kennt jemand dazu möglichst exakte Fakten, die er durch Links belegen kann?
Erbitte diesbezüglich Postings.

Es geht nicht um die großen Konzerne, die, wenn ihr Heimatsitz außerhalb der EU liegt, Ausnahmegenehmigungen beantragen können. Vielmehr geht es darum, was der kleine und mittelständische Unternehmer hinsichtlich des Orts der Speicherung seiner besonders zu schützenden Daten aufgrund der ab Mai 2018 geltenden gesetzlichen Vorschriften zu beachten hat.
Besonders zu schützende Daten sind nach meinen Kenntnisstand vor allem Adressdaten, die Telefonnummern, Angaben zu Religion oder politischen Parteien oder Geburtsdatum enthalten. Des weiteren ergeben sich für den Unternehmer Pflichten im Umgang mit Krankheits-Übersichten, Einkommens- und Steuerdaten seiner Mitarbeiter und vieles andere mehr.

Gefragt sind weniger persönliche Meinungen, sondern durch Links etc. belegbare Informationsquellen, die genau Auskunft geben, wo der Unternehmer und alle seine Mitarbeiter die zu schützende Daten in irgendeiner Form handeln, speichern darf.

Was DropBox angeht:
"Dropbox verlangt von Behörden außerhalb der USA derzeit normalerweise, dass sie mit US-amerikanischen Behörden zusammenarbeiten, damit ein amerikanisches Gericht den entsprechenden Rechtsweg einleiten kann."
Das ist jetzt schon in dieser allgemeinen, pauschalen Form eine unzulässige Weitergabe von Daten. Wenn das Unternehmen dies ab Mai 2018 so weitermacht, dann wird das Unternehmen sich auf eine Milliardenforderung der europäischen Datenschutz-Institutionen einstellen müssen. Die Höhe des Betrags richtet sich in dem Fall nach dem Konzernumsatz.