16.09.2022Fachbeitrag

Update Datenschutz Nr. 116

OLG Karlsruhe stellt klar: Einsatz eines europäischen Server- und Hosting-Dienstleisters mit US-amerikanischer Konzernmutter nicht per se datenschutzrechtlich unzulässig

Die (rechtskräftige) Entscheidung des OLG Karlsruhe über die gegen den aufsehenerregenden Beschluss vom 13. Juli 2022 (1 VK 23/22) der Vergabekammer Baden-Württemberg erhobene Beschwerde ist mit Spannung erwartet worden und dürfte nun ein Grund zum (kurzen) Aufatmen sein. Per Beschluss vom 7. September 2022 (15 Verg 8/22) kassierte der Vergabesenat des OLG Karlsruhe den Beschluss der Vergabekammer. Im Gegensatz zu der Vergabekammer, erachtet der Vergabesenat die Inanspruchnahme von Server- und Hostingleistungen eines EU-ansässigen Cloud-Anbieters mit US-amerikanischer Konzernmutter nicht per se als datenschutzrechtlich unzulässig. Doch hält die Entscheidung des OLG Karlsruhe keinen datenschutzrechtlichen „Freifahrtschein“ für die Inanspruchnahme europäischer Server- und Hosting-Dienstleister mit US-amerikanischer Konzernmutter bereit. Es müssen dabei die strengen Anforderungen an die Gewährleistung eines der EU entsprechenden Datenschutzniveaus eingehalten werden. Eine Erleichterung kommt nur dann in Betracht wenn vertraglich ausdrücklich zugesichert wird, dass die Daten nur innerhalb der EU verarbeitet werden und hieran keine begründeten Zweifel bestehen. Dies gilt insbesondere vor dem Hintergrund des sog. Clarifying Lawful Overseas Use of Data Act („Cloud-Act“), der den Datenzugriff für US-Behörden auf Server von US-Unternehmen, auch wenn diese außerhalb der USA von Tochterunternehmen betrieben werden, ermöglicht.

Was ist passiert?

Die Vergabekammer Baden-Württemberg hatte im Wege eines Nachprüfungsantrags über die Konformität des erstplatzierten Angebots mit den Vergabeunterlagen zu entscheiden. Gegenstand des Vergabeverfahrens war die Beschaffung einer Software für Digitales Entlassmanagement. In den Vergabeunterlagen formulierte der öffentliche Auftraggeber ausdrücklich die Erfüllung der Anforderungen aus der DSGVO und dem BDSG sowie die ausschließliche Verarbeitung der Daten in einem EU-EWR Rechenzentrum, bei dem keine Subdienstleister respektive Konzernunternehmen in Drittstatten ansässig sind.

Der bezuschlagte Bieter sah für die Erbringung der Server- und Hostingleistungen einen EU-ansässigen Cloud-Anbieter mit US-amerikanischer Konzernmutter als Unterauftragnehmer vor. Zusätzlich beinhaltete dessen Angebot Vertragsklauseln zum Zwecke des Datenschutzes vor einem Transfer in ein Drittland: Eine Weitergabe von Daten an Dritte sollte ausgeschlossen sein, es sei denn, dies sei zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich. Zudem verpflichte sich der Cloud-Anbieter, zu weitgehende oder unangemessene Anfragen einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stünden, anzufechten.

Die Vergabekammer hielt den Zuschlag für ungültig. Aus Sicht der Vergabekammer verstoße das Angebot des bezuschlagten Bieters gegen die Vorgaben an eine Datenübermittlung in Drittländer gem. Art. 44 ff. DSGVO und sei damit als Abänderung der Vergabeunterlagen iSd. § 57 Abs. 1 Nr. 4 VgV vom Vergabeverfahren auszuschließen. Zur Begründung der datenschutzrechtlichen Unzulässigkeit des Angebots führt die Vergabekammer aus, dass durch die generalklauselartig formulierten Vertragsklauseln in bestimmten Konstellationen ein Datenzugriff möglich sei und somit ein latentes Zugriffsrisiko durch sowohl staatliche als auch private Stellen außerhalb der EU bestehe. Ein solch latentes Risiko sei bereits als Datenübermittlung an Drittländer einzuordnen. Unerheblich für diese Einschätzung sei die Wahrscheinlichkeit einer Realisierung dieses Risikos. Auch könne eine Vertragsklausel, die den Cloud-Anbieter zur Anfechtung rechtswidriger Anfragen verpflichte, das Risiko nicht auf ein datenschutzrechtlich zulässiges Maß minimieren. Ob technische Maßnahmen wie Verschlüsselungstechnik dieses Risiko faktisch ausschließen können, müsse aus Sicht der Vergabekammer nach den Grundsätzen des rechtlichen Gehörs (Art. 103 Abs. 1 GG) unberücksichtigt bleiben, wenn diese bloß vertraulich vorgelegt werden.

Die Entscheidung der Vergabekammer blieb nicht ohne Kritik. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg zweifelte insbesondere an der Gleichsetzung eines latenten Zugriffsrisiko mit einer datenschutzrechtlich relevanten Übermittlung iSd. Art. 44 ff. DSGVO (als Verarbeitungsform nach Art. 4 Nr. 2 DSGVO). Bei der datenschutzrechtlichen Bewertung der Nutzung von Cloud-Diensten eines europäischen Anbieters mit US-amerikanischer Konzernmutter müssten sog. „technisch-organisatorischer Maßnahmen“, die einen Zugriff faktisch ausschließen könnten, mehr Beachtung finden. Gleichermaßen wurde in der Literatur eine differenzierte Abgrenzung zwischen bloßer Übermittlungsgefahr und datenschutzrechtlich relevanter Übermittlung verlangt.

Diese Entscheidung der Vergabekammer wurde nun vom OLG Karlsruhe aufgehoben. Nach Auffassung des dortigen Vergabesenats müsse der öffentliche Auftraggeber „nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird“ (Beschluss vom 7. September 2022 (15 Verg 8/22)). Vielmehr dürfe sich der öffentliche Auftragnehmer auf die Einhaltung der vertraglichen Zusicherungen zum Zwecke des Datenschutzes verlassen, gerade weil der Auftraggeber die „Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben“ habe. Erst bei konkreten Anhaltspunkten, die Zweifel am vertragskonformen Verhalten der Bieterin erregen, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Das bezuschlagte Angebot war nach Sicht des Vergabesenats nicht von der Ausschreibung auszuschließen.

Warum ist das wichtig für Unternehmen?

Die rechtskräftige Entscheidung des Vergabesenats reicht über das Vergaberecht hinaus und betrifft im Kern die datenschutzrechtliche Einordnung der Nutzung von Cloud-Diensten eines europäischen Anbieters mit US-amerikanischer Konzernmutter, also beispielsweise von Amazon (AWS), Microsoft (Azure) oder Google (Cloud). Nicht nur die öffentliche Hand sowie die sich im Vergabeverfahren bewerbenden Bieter sind von der Entscheidung betroffen, sondern auch private Unternehmen. Wenn sich bereits der an strenge Auflagen gebundene öffentliche Auftraggeber auf vertragliche Zusagen des Auftragnehmers verlassen darf, muss das erst recht für private Auftraggeber geltend. Während eine Bestätigung des Beschlusses der Vergabekammer weitreichende Unsicherheit bezüglich der datenschutzrechtlichen Zulässigkeit der Nutzung von Server- und Hosting-Dienstleistungen eines EU ansässigen Cloud-Anbieters mit US-amerikanischer Konzernmutter im Allgemeinen geschürt hätte, gilt zunächst Entwarnung: Versichert das europäische Tochterunternehmen eines US-amerikanischen Konzerns z.B. durch vertragliche Erklärung die Gewährleistung eines der EU entsprechenden Datenschutzniveaus, so führt nicht schon die Konzernbindung des europäischen Tochterunternehmens an die US-amerikanischen Konzernmutter zu der Gefahr eines rechts- oder vertragswidrigen Datentransfers im Sinne einer datenschutzwidrigen Datenübermittlung in Drittländer. Doch bedeutet dies nicht, dass die Inanspruchnahme solcher Cloud-Dienste per se datenschutzrechtlich zulässig ist. 

Was ist zu tun?

Bei der Inanspruchnahme von Cloud-Diensten europäischer Tochtergesellschaften mit US-amerikanischer Konzernmutter ist im Hinblick auf die datenschutzrechtliche Zulässigkeit weiterhin Vorsicht geboten. Zwar kann die Durchführung eines aufwändigen Data-Transfer-Impact-Assessments nach Ansicht des OLG Karlsruhe ausnahmsweise entbehrlich sein. Allerdings muss der Auftragnehmer dafür im konkreten Vertragsverhältnis ein eindeutiges Leistungsversprechen abgeben, dass die Daten die EU nicht verlassen, die Leistungen beim Einsatz von Dienstleistern genauer beschreiben und es dürfen sich keine Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist.

Bei Zweifeln und in allen anderen Fällen muss für eine datenschutzrechtlich unbedenkliche Nutzung in Ansehung der Empfehlungen der Aufsichtsbehörden unter Anwendung eines Data-Transfer-Impact-Assessments, der neuen EU-Standardvertragsklauseln und ergänzender, technisch-organisatorischer Schutzmaßnahmen weiterhin ein der EU entsprechendes Datenschutzniveau gewährleistet und eine Zugriffsgefahr faktisch ausgeschlossen sein.

Unternehmen, die europäische Server- oder Hosting-Dienstleister mit US-amerikanischer Konzernmutter einsetzen (wollen), sollten zunächst prüfen, ob ein der EU entsprechendes Datenschutzniveau gewährleistet ist oder eine Nachbesserung erforderlich ist. Im Hinblick auf Microsoft Office 365 ist hierbei die Bewertung der Aufsichtsbehörden zu beachten, die teilweise kritisch ausfiel. 

Nachfolgend finden Unternehmen, die bei der Nutzung von Cloud-Diensten europäischer Dienstleister mit US-amerikanischer Konzernmutter weiterhin auf der weitestgehend sicheren Seite sein wollen und bei denen kein eindeutiges Leistungsversprechen vorliegt, dass die Daten die EU nicht verlassen, eine Liste der wichtigsten Umsetzungsschritte in Anlehnung an die Orientierungshilfe des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg:

  • Rechtsgrundlagen für die Datenübermittlung prüfen (im Regelfall Auftragsverarbeitung nach Art. 28 DSGVO, ggf. Einwilligung, siehe auch weitere Ausnahmen in Art. 49 DSGVO) 
  • Anfrage an Provider stellen, um Hintergründe zur Datenverarbeitung und über vorhandene, dortige Sicherheitsvorkehrungen zu erhalten
  • Einsatz ergänzender Garantien anfragen, wie etwa die (vertragsstrafenbewehrte) Zusicherung des EU-Providers (mit US-Wurzeln) zur Prüfung und Abwehr von Anfragen der US-Behörden oder bestenfalls sogar zum vollständigen Verzicht einer freiwilligen Datenherausgabe auf derartige Anfragen
  • Einsatz ergänzender, interner technischer Schutzmaßnahmen prüfen, etwa die Verschlüsselung der Daten vor Datenübermittlung 
  • Einschränkung der zu übermittelnden Datenkategorien in Erwägung ziehen
  • Durchführung einer dokumentierten Risikobewertung (Transfer Impact Assessment) unter Berücksichtigung der obigen Erkenntnisse
  • Bei positivem Ergebnis (und daraufhin Inanspruchnahme der Cloud-Services unter Anwendung der EU-Standardvertragsklauseln) Anpassung der eigenen Datenschutzhinweise nach Art. 13 DSGVO sowie des Verarbeitungsverzeichnisses nach Art. 30 DSGVO.
Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.