Vergabekammer-Beschluss spaltet die Meinungen Transatlantischer Datenverkehr – Rechtssicher oder nicht?

Von Elke Witmer-Goßner

Anbieter zum Thema

Auch wenn der Betrieb über eine europäische Tochtergesellschaft läuft, sei der Datenschutz nach DSGVO bei der Nutzung von Cloud-Diensten US-amerikanischer Anbieter nicht gewährleistet. Diese aktuelle Entscheidung der Vergabekammer Baden-Württemberg tritt eine erneute Diskussion los.

Kaum ein anderes Thema spaltet die IT-Welt so wie der europäische Datenschutz und die Problematik des transatlantischen Datenverkehrs.
Kaum ein anderes Thema spaltet die IT-Welt so wie der europäische Datenschutz und die Problematik des transatlantischen Datenverkehrs.
(Bild: gemeinfrei / Pixabay)

Von „richtungsweisend“ bis „engstirnig“ – der Beschluss aus Karlsruhe spaltet die Meinungen von Datenschützern, Juristen und Marktexperten. Die Vergabekammer Baden-Württemberg hatte am 13. Juli 2022 (Az. 1 VK 23/22) entschieden, dass auch dann eine datenschutzrechtlich unzulässige Übermittlung personenbezogener Daten in ein Drittland (außerhalb der EU) vorliegt, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist.

Der Standpunkt: Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden könne, führe zu einer sogenannten „Weitergabe“ im Sinne der DSGVO – unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt.

Das Ringen um die Datensicherheit

Doch ist die bloße Möglichkeit eines Zugriffs bereits ein No-Go für die Nutzung eines US-amerikanischen Cloud-Dienste-Anbieters? Und dürfen in öffentlichen Vergabeverfahren die europäische Tochtergesellschaften US-amerikanischer Cloud-Provider wirklich ausgeschlossen werden? An diesen Fragen scheiden sich die Geister.

Tatsache ist, wie der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) Dr. Stefan Brink betont: „Seit dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 (Rs. C-311/18) kann eine Übermittlung personenbezogener Daten in die USA nicht mehr auf das sogenannte EU-US Privacy Shield gestützt werden, da der EuGH diesen Angemessenheitsbeschluss mit sofortiger Wirkung für ungültig erklärt hat.“

Was also tun? US-Cloud-Provider, allen voran die Hyperscaler AWS, Microsoft und Google Cloud, hosten inzwischen die Daten ihrer europäischen Kunden auf Wunsch ausschließlich in den europäischen Rechenzentren ihrer Töchter. DSGVO erfüllt und Zugriff durch die im Cloud Act vorbehaltene Kontrollmöglichkeit durch US-Behörden ausgeschlossen – glaubt oder hofft man.

Und auch von politischer Seite versuchte man das rechtliche Vakuum, das durch die vom EuGH entschiedene Ungültigkeit des Privacy-Shield-Abkommens zu füllen. Mit der Einführung neuer Standardvertragsklauseln, die seit dem 4. Juni 2021 vorliegen, sollte eine neue vertragliche Grundlage geschaffen werden. Dennoch bleibt der Datentransfer in Drittländer – nicht nur in die USA – weiter ein heißes Eisen, wie sich jetzt wieder zeigt.

Eine Lösung scheint nicht in Sicht. Zahlreiche Konstellationen, in denen US-Dienstleister in die Datenverarbeitung eingebunden sind, können datenschutzrechtlich problematisch sein. Dies hatte ein externes Gutachten im Auftrag der deutschen Datenschutz-Aufsichtsbehörden bereits Anfang des Jahres festgestellt.

Und jetzt hat die Vergabekammer Baden-Württemberg auch noch Zweifel an der Gültigkeit eben dieser Standardvertragsklauseln. Sie stützt sich dabei auf das „latente Risiko“ eines Zugriffs auf personenbezogene Daten durch US-Behörden, welches weder durch die verwendete Klausel zur Vertraulichkeit von Kundendaten noch die Klausel zur Verpflichtung, zu weit gehende oder unangemessene Anfragen staatlicher Stellen anzufechten, hinreichend eingedämmt werde.

„Beachtliche Entscheidung“ aus Karlsruhe

Der Beschluss sei zwar fachlich qualifiziert und von, über den (aus einem behördlichen Vergabeverfahren herrührenden) Ausgangsfall, hinausweisender Bedeutung. Trotzdem müsse er aus folgenden Gründen kritisch gesehen werden, kommentiert Brink. Zum einen habe das Verfahren Klauseln zum Prüfungsgegenstand, die aus Sicht der Vergabekammer noch hinter den Anforderungen der aktuell einsetzbaren Standarddatenschutzklauseln zurückblieben. Nichtsdestotrotz folgt Brink den Zweifeln der Vergabekammer: „Problematisch erscheinen hier durchaus solche Klauseln zum Verbot von Datenübermittlungen, welche die Einschätzung, welche Anfragen (dritt-)staatlicher Stellen zu weit gehen, nicht dem Datenexporteur überlassen und die auch nicht ausnahmslos eine (letztinstanzliche) Anfechtung aller staatlichen Anfragen vorsehen.“ Allerdings gehe die Vergabekammer darauf nicht ein.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Microsoft Deutschland nimmt Stellung

Die Frage, ob Microsoft 365 und Microsoft Teams in Unternehmen und im öffentlichen Sektor – insbesondere im Bildungsbereich – datenschutzkonform eingesetzt werden können, sei immer wieder Gegenstand von Debatten, erklärte jetzt Microsoft Deutschland.

Der Konzern erklärt, warum Microsoft-Produkte datenschutzkonform seien und auch so angewendet werden könnten. Antworten gibt es auch auf gängige Fragen z.B. zum Einsatz von Diagnosedaten oder dem Datentransfer in Drittstaaten.

Demnach könnten alle Produkte und Dienste in der Privatwirtschaft und im öffentlichen Sektor (z.B. an Schulen) datenschutzkonform eingesetzt werden und seien auch selbst datenschutzkonform. Man halte die Anforderungen des geltenden Datenschutzrechts ein.

Microsoft biete Kunden vertragliche Zusagen und technische Mittel, um Microsoft Produkte und Dienste datenschutzkonform nutzen zu können, insbesondere vertragliche Zusagen: z.B. verwende der Anbieter Kundendaten nicht für sachfremde Zwecke wie Werbung und ergreife rechtliche Schutzmaßnahmen gegen unrechtmäßiges Verlangen auf Herausgabe von Behörden oder Dritten.

Alle Daten würden weitgehend regional in Rechenzentren in der EU gespeichert. Zusätzlich werde die Microsoft EU Data Boundary es künftig in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu verarbeiten und zu speichern.

„Alle Fakten zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams“

Brink hält eher die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung (als Verarbeitungsform nach Art. 4 Nr. 2 DSGVO) fürrechtlich zweifelhaft: „Dass ein Zugriffsrisiko ohne weiteres einen Übermittlungstatbestand erfüllt, kann mit guten Gründen bestritten werden. Dass die DSGVO einen ‚risikobasierten Ansatz‘ zugunsten Verantwortlicher eingeführt habe, wird von interessierten Kreisen zwar immer wieder (und in dieser Pauschalität wenig überzeugend) vorgebracht. Dass dieser Ansatz jetzt aber zu Lasten von Verantwortlichen und Auftragsverarbeitern umgedreht werden dürfte, überzeugt ebenso wenig“, erklärt Brink.

Zudem übersehe diese Argumentation, dass gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sogenannter „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können. Gerade dieser Aspekt werde aber von der Vergabekammer überhaupt nicht betrachtet, insbesondere sei die vom Mitbieter eingesetzte Verschlüsselungstechnik aus vergabeverfahrensrechtlichen Gründen nicht weiter geprüft worden, kritisiert Baden-Württembergs oberster Datenschützer. In Baden-Württemberg halte seine Behörde daher weiter an den Maßgaben seiner Orientierungshilfe zu Datentransfers fest: Nach wie vor sollten einzelfallbezogene Alternativprüfungen und nicht pauschale Transferverbote das Mittel der Wahl sein, die Vorgaben der DS-GVO bestmöglich umzusetzen.

Brink erwarte vor diesem Hintergrund die anstehende Überprüfung dieser „beachtlichen Entscheidung der Vergabekammer Baden-Württemberg“ durch das OLG Karlsruhe „mit Spannung“.

Kommentar

von Elke Witmer-Goßner

Die Meinungen in den sozialen Medien gehen weit auseinander. Viele begrüßen den Beschluss der Vergabekammer Baden-Württemberg, beschwören gar das Aus für Cloud-Dienste von US-Anbietern in Europa und werfen ihre eigenen in Deutschland oder Europa gehosteten Cloud Services als Alternativen in den Ring. „Überzogen“ finden andere die Entscheidung. Und wieder andere sehnen eine Auflockerung des europäischen Datenschutzes herbei, der doch nur ein Bremsschuh für den Innovationsstandort Deutschland sei.

Datenschutz ist und bleibt ein Minenfeld. Jedenfalls so lange, bis ein solider und juristisch unangreifbarer Nachfolger für den Privacy Shield beschlossen wird. Und hier liegt das eigentliche Problem, das auch die Vergabekammer Baden-Württemberg versucht hat zu benennen: Der „latente“, also mögliche und eigentlich kaum zu kontrollierende Zugriff durch US-staatliche Behörden. Denn wer kann tatsächlich darauf vertrauen, dass sich diese US-staatlichen Behörden – und die sind zahlreich und sich auch untereinander kaum grün – an die geltenden Gesetze halten? Wer kennt ihn nicht, den kleinen Dienstweg, wo sich staatliche und nicht-staatliche Stellen plötzlich entgegenkommen?

Die Vergabekammer in Karlsruhe hat nicht ganz Unrecht mit ihren Zweifeln. Doch wäre der Beschluss jetzt tatsächlich „richtungsweisend“, würde man sich nicht erst Recht ein Bein stellen? Neuer Protektionismus „made in Germany“? Klar ist auf jeden Fall: Legionen von Juristen werden sich wohl an den Fragen des internationalen Datentransfers noch mehr als einen Zahn ausbeißen müssen.

(ID:48541826)