Schlagwortarchiv für: Datenschutz

Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO. 

Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern. 

Der Hintergrund zur Entscheidung 

ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant. 

Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt. 

Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA

der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).  

Wörtlich führt der Senat dazu aus: 

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.”
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22) 

Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen. 

Die Bedeutung beim Einsatz von US-Clouds,

wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.  

Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen. 

Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.  

Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz

Das Arbeitsgericht Iserlohn entschied (Beschluss 2BV 5/19 vom 14.01.2020), dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zur Auflösung des Betriebsrates führen können.

Quelle https://openjur.de/u/2240137.html

Verfahrensinhalt

Zwei Unternehmen, welche in der Automobilzuliefererbranche über einen Gemeinschaftsbetrieb miteinander verbunden waren, bemühten sich eine Tochtergesellschaft zu restrukturieren. Das Scheitern der verschiedenen Versuche führte zur Schließung der betreffenden Standorte der Tochtergesellschaft. Die daraus folgenden betriebsbedingten Kündigungen sämtlicher Arbeitnehmer/-innen führte zu einem Konflikt, welcher durch den Betriebsrat begleitet wurde. Der Betriebsratsvorsitzende versandte daraufhin eine E-Mail an eine Kanzlei für gewerkschaftlichen Rechtsschutz, sowie an andere Kanzleien. Der anhängige Link zu einem Ordner in einer Cloud bestand aus einer großen Datenmenge betriebsinterner Unterlagen, mit mehr als 150 MB (dies entspricht ca. 921 Seiten), [wie z.B. Abschriften von E-Mails, Schriftsätze, Kalenderauszüge, behördlichen Bescheide, Rechnungen Konzeptzeichnungen, Urlaubsanträge, Vertragstexte Präsentationen, Produktlinienkonzepte Bedarfsanforderungen, Lieferantenterminpläne, “Business Acquisation Planning”, tabellarische Auflistungen von Kundenanfragen hinsichtlich zu produzierender Teile u.a.] Diese Daten wurden durch den Empfänger im Kündigungsschutzverfahren genutzt. Der Konzern als Arbeitgeber begehrte daraufhin die Auflösung des Betriebsrats seines Gemeinschaftsbetriebes/ Tochtergesellschaft und hilfsweise den Ausschluss des Betriebsratsvorsitzenden.

Die Entscheidung des Arbeitsgerichtes Iserlohn

Die Übermittlung der Daten in diesem Größenumfang wurde durch das Arbeitsgericht Iserlohn gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) als eine grobe Pflichtverletzung des Betriebsrates bewertet. Es wurde dem Antrag, zur Auflösung des Betriebsrates, durch die Arbeitgeberinnen stattgegeben. Neben der Vertrauensstellung des Betriebsrates wurden durch das Arbeitsgericht Iserlohn auch die Verstöße gegen die Datenschutzbestimmungen mit einbezogen. Verletzt wurde durch die massive Überschreitung der Kompetenzen der § 1 BetrVG.

Das Gericht setzte ein systematisches Vorgehen bei der Sammlung der Menge an Daten voraus, wodurch eine vertrauensvolle Zusammenarbeit, begründet durch eine konkrete Wiederholungsgefahr, zwischen Betriebsrat und Arbeitgeberinnen nicht mehr gegeben sei.

Ebenfalls kam das Arbeitsgericht zu dem Schluss, dass eine Rechtsgrundlage zur Datenverarbeitung nach Art. 6 DSGVO mit dem Zwecke der Weitergabe an Dritte ebenso wenig vorlag, wie aus § 26 Abs. 1 BDSG, da aufgrund mangelnder betriebsverfassungsrechtlicher Kompetenzen des Betriebsrats die Erforderlichkeit zur Übermittlung nicht gegeben ist. Der Einwand des Betriebsrates, dass dieser die Daten an Prozessbevollmächtigte übermittelt habe, welche der beruflichen Schweigepflicht unterliegen, wies das Gericht ab. Das Arbeitsgericht begründet die Ablehnung wie folgt: Die Beschäftigten einer gewerkschaftlichen Rechtsschutz GmbH unterliegen keiner anwaltlichen Schweigepflicht. Die E-Mails waren nicht persönlich an einen Ansprechpartner gerichtet, sondern lediglich allgemein an die jeweilige Anwaltskanzlei adressiert. Der Link zum Download der Dokumente war nicht Passwort-geschützt, was einen weiteren groben Verstoß darstellte. Die Daten hätten an unbeteiligte Dritte gelangen können und sind somit keinem überschaubaren Empfängerkreis zur Verfügung gestellt worden. Durch das Fehlen einer betriebsverfassungsrechtlichen Grundlage für die Datenübermittlung nimmt das Arbeitsgericht einen Verstoß gegen die Datenschutzgrundverordnung an. Der Betriebsrat könne für die Datenverarbeitung keine Rechtsgrundlage benennen. Aufgrund der mangelnden Einsicht des Betriebsrates, geht das Arbeitsgericht Iserlohn davon aus, dass der Betriebsrat sensible Daten der Arbeitgeberinnen erneut einem unüberschaubaren Personenkreis zur Verfügung stellte.

 

Auch ein Betriebsrat muss datenschutzrechtliche Bestimmungen beachten. Allein die Tatsache, dass er sich als Interessenvertretung für Arbeitnehmer/ -innen versteht, bedeutet nicht, dass er eine Legitimation zur Verarbeitung von Beschäftigtendaten hat.  Auch der Betriebsrat muss darstellen, wie und unter welchen Voraussetzungen er Beschäftigtendaten nutzt und welche Sicherheitsvorkehrungen zum Schutze der Daten er trifft.

Die Grundsätze des Datenschutzrechts sind für jedermann im Umgang mit personenbezogenen Daten bindend, egal ob mit Daten von Beschäftigten aber ebenso mit denen von Kunden. Für die methodische Sammlung, Analyse sowie Übermittlung von sensiblen Daten, in diesem Fall waren es die betriebsinternen Dokumente, hat auch das Betriebsverfassungsrecht enge Grenzen abgesteckt.