DSGVO: Neue Entscheidung zum Einsatz von Cloud-Anbietern aus den USA
Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO.
Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern.
Der Hintergrund zur Entscheidung
ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant.
Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt.
Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA
der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).
Wörtlich führt der Senat dazu aus:
„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22)
Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen.
Die Bedeutung beim Einsatz von US-Clouds,
wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.
Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen.
Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.
Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz