Cloud-Anbieter in den USA rechtswidrig?

Cloud-Anbieter USA

OLG Karlsruhe kippt umstrittenen Beschluss!

Cloud-Anbieter USA

Cloud-Anbieter in den USA rechtswidrig?

Einführung

Neues zum Datentransfer in die USA! Nachdem die Vergabekammer Baden-Württemberg am 13.07.2022 in einem Beschluss festgestellt hat, dass Cloud-Anbieter in den USA, und unter anderem auch ihre EU-Tochterunternehmen, gegen die Datenschutz-Grundverordnung (DS-GVO) verstoßen, hat das Oberlandesgericht (OLG) Karlsruhe diesen höchstumstrittenen Beschluss nun wieder aufgehoben.

Laut Beschluss der Vergabekammer sei die Verwendung dieser Cloudanbieter rechtswidrig, da mit ihnen ein unzulässiger Datentransfer in ein Drittland einhergeht, bei dem die Daten der EU-Bürgerinnen und -Bürger nicht ausreichend geschützt werden. Der Europäische Gerichtshof (EuGH) kippte 2020 in der Schrems II- Entscheidung das Privacy Shield, welches zuvor die Datenübermittlung rechtfertigte. Grund dafür waren vor allem die weitgehenden Überwachungsgesetze und die Zugriffsmöglichkeiten auf die Daten seitens der US-Behörden (Hierzu haben wir bereits einen Blog-Artikel verfasst: https://rickert.law/eugh-transatlantisches-eu-us-privacy-shield-ist-nichtig/).

Wie kam es zu dem Beschluss der Vergabekammer? Und aus welchen Gründen hat das OLG Karlsruhe den Beschluss der Vergabekammer aufgehoben?

Das Problem ist der US-amerikanische CLOUD Act

Im vorliegenden Fall ging es zwar um eine vergaberechtliche Streitigkeit, es wurde aber auch gleichzeitig die Konformität einer Software mit der DS-GVO überprüft. Neben Preis und Qualität waren nämlich auch Datenschutz und IT-Sicherheit für die Erteilung des Zuschlags ausschlaggebend.

Das betroffene Unternehmen hat seinen Sitz in der EU und ist die Tochtergesellschaft eines US-Konzerns. Aufgrund des US-amerikanischen CLOUD Acts kann es den US-Behörden erlaubt sein, auch auf Daten zuzugreifen, welche sich auf Servern außerhalb der USA befinden, sofern es sich dabei um Daten von Tochterunternehmen handelt. Wegen dieser Zugriffsmöglichkeit auf Daten von EU-Bürgerinnen und -Bürgern hat die Vergabekammer den Clouddienst als unzulässig eingestuft.  Ob und in welchem Umfang ein Zugriff stattfindet, war für die Vergabekammer irrelevant.

Wann wäre ein Datentransfer in ein Drittland gerechtfertigt?

Der Datentransfer in ein Drittland, also ein Land außerhalb der EU/des EWR kann nach den Artt. 44ff. DS-GVO gerechtfertigt sein. Dazu muss entweder ein Angemessenheitsbeschluss für das jeweilige Land erlassen worden sein (dies ist für die USA nicht der Fall) oder es müssen andere Rechtfertigungsmittel wie etwa Standardvertragsklauseln verwendet werden, wobei jedoch in jedem Einzelfall überprüft werden muss, ob das EU-Datenschutzrecht eingehalten wurde.

Die Standardvertragsklauseln waren nach Ansicht der Vergabekammer im vorliegenden Fall jedoch nicht ausreichend, denn es läge ein “latentes” Risiko des Zugriffs seitens US-Stellen aufgrund des CLOUD Acts vor und das verstöße somit gegen EU-Datenschutzrecht.

Kritik am Beschluss und Aufhebungsgründe

Der Beschluss der Vergabekammer bekam von Anfang an viel Gegenwind. Vor allem die Landesdatenschutzbeauftragte Baden-Württemberg sprach einiges an Kritik aus. Dieser Kritik schloss sich dann auch das OLG Karlsruhe an, welches die Gültigkeit des Beschlusses überprüfte und ihn am 07.09.2022 schließlich aufhob. Die Entscheidung des OLG Karlsruhe ist auch rechtskräftig.

Doch was war so bedenklich an dem Beschluss der Vergabekammer? Warum hat das OLG den Beschluss gekippt?

Die Landesdatenschutzbeauftragte Baden-Württemberg hielt folgende Punkte für bedenklich:

  • Die Vergabekammer hat nicht die aktuellen Standardvertragsklauseln der EU überprüft, sondern ältere.
  • Außerdem hat die Vergabekammer ein mögliches Zugriffsrisiko seitens der US-Stellen mit einer tatsächlichen Datenübermittlung gleichgesetzt.

Zudem wurde von Datenschützern bemängelt, dass die Vergabekammer bei ihrer Entscheidung die Möglichkeit einer Verschlüsselung der Daten völlig außer Acht gelassen habe.

Das OLG stützt seine Entscheidung nun vor allem auf letzteren Kritikpunkt der baden-württembergischen Datenschutzbehörde. Solange der Anbieter verbindlich zusage, dass mit Nutzung des Onlinedienstes kein Drittlandtransfer stattfinde, dürfe sich auch darauf verlassen werden. Auf solche vertraglichen Zusagen könne man so lange vertrauen, bis konkrete Anhaltspunkte vorlägen, die einen Anlass für Zweifel geben.

Solche Zweifel seien im vorliegenden Fall aber eben nicht gegeben. Allein die Tatsache, dass die US-Konzernmutter auf die Daten zugreifen könnte, reiche nicht aus, um an der Seriosität der Vertragsangaben zu zweifeln. Grundsätzlich darf man also auf die Angaben von Softwareanbietern vertrauen, wenn es um die Datenschutzkonformität geht.

Fazit

Der Beschluss hätte, insofern er Bestand gehabt hätte, erhebliche Auswirkungen für privatrechtliche Fragestellungen im IT- und Datenschutzrecht gehabt! Da dieser nun aber aufgehoben wurde, sind Anbieter mit US-amerikanischen Konzernmüttern in Vergabeverfahren weiterhin zu berücksichtigen und auch die Nutzung solcher Cloudanbieter kann im Einzelfall weiterhin möglich sein.

Aus der Entscheidung des OLG Karlsruhe geht ebenfalls hervor, dass man sich grundsätzlich auf die Vertragsangaben hinsichtlich der Datenschutzkonformität verlassen kann und nur im Fall konkreter Anhaltspunkte weitere Informationen eingeholt und das Leistungsversprechen überprüft werden müssen.

Außerdem arbeitet die EU-Kommission derzeit mit den zuständigen Stellen in den USA an einer zukünftigen Lösung für Datentransfers zwischen der EU und den USA. Ein solches Nachfolgeabkommen wird jedoch nicht vor Ende des Jahres erwartet.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wieviel EU steckt im Datenschutz von UK & CH?

EU-Datenschutz

Datenschutz im Vereinigten Königreich und der Schweiz

EU-Datenschutz

Wieviel EU steckt im Datenschutz in UK und CH?  

Einleitung

Nach etwas mehr als zwei Jahren nach dem Austritt des Vereinigten Königreichs („UK) werden jetzt die unterschiedlichen Gesinnungen von UK und der Europäischen Union („EU“) deutlich. Der Austritt zieht datenschutzrechtliche Folgen nach sich. Ein dem britischen Parlament vorliegender Gesetzesentwurf befindet sich derzeit noch in der Anfangsphase der Lesungen. Dahinter steckt die Motivation der britischen Regierung, Verbesserungen der 2018 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) vorzunehmen. 

Im Kontrast dazu steht das neueste datenschutzrechtliche Gesetzesvorhaben der Schweiz. Obwohl die Schweiz kein Mitglied der Europäischen Union ist, nähert sie sich dieser in vielerlei Hinsicht an – so auch im Datenschutzrecht. 

Mögliche neue Regelungen in UK 

Die britische Seite kritisiert, dass gemäß den derzeitigen Regelungen gewisse Hürden für Unternehmen und Konsumenten bestünden, weshalb der Regierung ein neuer Gesetzesentwurf namens „Data Protection and Digital Information Bill“ vorliegt.  

So sei es beispielsweise für kleine Unternehmen umständlich, einen Datenschutzbeauftragten zu ernennen. Diese Pflicht soll wegfallen. Weiterhin seien vor allem kleine Unternehmen zunehmend mit einer Ungewissheit konfrontiert, weshalb allgemein ein Verbesserungsbedürfnis bestehe, insbesondere in Bezug auf die vermeintlich hohen datenschutzrechtlichen Anforderungen an Unternehmen. Befürchtet wird ein Regime, das nur auf der Einhaltung von Verpflichtungen basiere anstelle eines Systems, welches zu proaktivem Handeln ermutige.  

Behörden müssen Betroffene nicht mehr über automatisierte Entscheidungsfindung informieren 

Diese Änderung stellt einen großen Unterschied zur EU-DS-GVO dar. Die zuständigen Behörden sollen nicht mehr verpflichtet sein, betroffene Personen über eine automatisierte Entscheidungsfindung zu informieren. Ein begründendes Beispiel: Wenn die Daten einer Person von polizeilichem Interesse sind, würde ein Hinweis an die Person die laufende polizeiliche Untersuchung beeinträchtigen können.  

Die Protokoll-Pflicht entfällt  

Zudem soll die Pflicht zur Erstellung von Protokollen über Datenverarbeitungen wegfallen. Diese Protokolle stellen eine technische und organisatorische Maßnahme im Sinne des Art. 32 EU-DS-GVO dar und dienen der sog. Eingabekontrolle. Hierdurch soll, in DS-GVO konformer Weise, protokolliert werden, wer wann Zugriff auf personenbezogene Daten genommen hat und wie er diese weiterverarbeitet hat (insbes. Veränderung der Daten), um eine unbefugte Verarbeitung nachträglich feststellen und überprüfen zu können. Der britische Gesetzgeber hält dies jedoch für zu ressourcenintensiv, es stünde in keinem Verhältnis zum daraus resultierenden Mehrwert. Es sei unwahrscheinlich, dass jemand, der zu Unrecht auf Daten zugreift, eine ehrliche Rechtfertigung dokumentiere.  

Regelungen zur Einwilligung bleiben, erweitert um eine Liste, wann ein legitimes Interesse an der Datenverarbeitung besteht 

Unverändert erhalten   sollen die Regelungen zur Einwilligung bleiben. Um den Unternehmen aber die Einschätzung zu erleichtern, ob eine Einwilligung erforderlich ist, oder ob die Verarbeitung ggf. auf die flexiblere Rechtsgrundlage des legitimen Interesses gestützt werden kann, hat die Regierung dem neuen Gesetzesentwurf in Anhang 1 eine Liste angefügt. Sie führt auf, unter welchen Voraussetzungen sie ein legitimes Interesse an der Datenverarbeitung anerkennt. Zum Beispiel für die nationale und öffentliche Sicherheit und zur Verteidigung („national security, public security and defence“), oder zum Erkennen, Ermitteln und Verhindern von Straftaten („detecting, investigating or preventing crime“).  

Benennung eines „Senior Responsible Individual“ statt eines Datenschutzbeauftragten 

Die Pflicht zur Ernennung eines Datenschutzbeauftragten soll vor allem für kleine Unternehmen wegfallen. Stattdessen sollen Behörden und Unternehmen unter bestimmten Voraussetzungen eine „leitende verantwortliche Person“ („Senior Responsible Individual“) bestimmen. Sie wäre zuständig für die Datenschutzrisiken innerhalb der Organisation sowie für die Delegierung der erforderlichen Aufgaben an angemessen fähige Personen. Diese Person soll zum „Senior Management“ gehören, und damit eine signifikante Rolle in der Entscheidungsfindung über Verarbeitungsaktivitäten in der Gesamtheit oder wesentlichen Teilen der Organisation einnehmen.  

Sie wäre verantwortlich für die Durchführung oder Delegierung folgender Aufgaben:  

  • Überwachung der Datenschutz-Compliance mit geltenden Gesetzen;  
  • sicherstellen, dass der Verantwortliche Maßnahmen zur Einhaltung der Compliance entwickelt, implementiert und regelmäßig überprüft;  
  • Schulungen der Mitarbeiter;  
  • Bearbeitung von Beschwerden im Zusammenhang mit der Datenverarbeitung;  
  • Bearbeitung von Datenpannen.  

Die Aufgaben der verantwortlichen Person des Senior Managements unterscheiden sich nach dem Gesetzesentwurf nicht wesentlich von den Aufgaben, die der Datenschutzbeauftragte nach der EU-DS-GVO übernimmt oder übernehmen kann. Der wesentliche Unterschied ist also die Zugehörigkeit zum Senior Management.  

Damit dürfte die Unabhängigkeit bzw. die Neutralität der verantwortlichen Person in Frage stehen, denn als Teil des Senior Managements hat sie, im Gegensatz zu einem unabhängigen oder gar externen Datenschutzbeauftragten, wohl ein erhebliches Interesse daran, Datenverarbeitungen ohne größere Hürden zu ermöglichen. Auch wenn die verantwortliche Person ihre Aufgaben an andere fähige Personen des Unternehmens delegieren kann, so besteht doch die Befürchtung, dass künftig die ein oder andere Datenverarbeitung aufgrund des Interesses des Unternehmens eher durchgewunken wird, als wenn ein externer Datenschutzbeauftragter beraten hätte. 

Auch im Hinblick auf die Konsumenten sollen Hürden genommen und Verarbeitungen vereinfacht werden.  

Opt-Out-Verfahren statt Opt-In-Verfahren bzgl. Cookies 

Die Zustimmung zur Cookies-Nutzung auf Websites soll von dem derzeitigen Opt-In-Verfahren in ein Opt-Out-Verfahren umgewandelt werden. Dies solle Nutzern helfen, sich nicht durch zahlreiche Zustimmungsbanner klicken zu müssen und dadurch mögliche Frustration verhindern. Ähnlich wie bei dem Deutschen Verfahren „PIMS“ („Personal Information Management System“) nach dem TTDSG, soll es zudem eine generelle Verwaltungsmöglichkeit und Übersicht über die Datenverarbeitung in den Browser-Einstellungen geben, sodass eine Einwilligung auf jeder einzelnen Website überflüssig werde.  

Soft-Opt-In für Marketing-Maßnahmen durch nicht-kommerzielle Organisationen 

Eine weitere Änderung sieht das neue Gesetzesvorhaben im Rahmen des sog. „Soft-Opt-In“ vor. „Soft-Opt-In“ ermöglicht Direktwerbung an bestehende Kunden zu senden, die dem nicht unbedingt ausdrücklich zugestimmt haben. Bisher war diese Möglichkeit des Marketings nicht-kommerziellen Organisationen verwehrt, nun soll eine Erweiterung diesbezüglich stattfinden. 

Gemeinsames Vorhaben von UK und USA, aber Sanktionen für Datenschutzverstöße wie in der EU 

Bemerkenswert ist auch ist ein geplantes Vorhaben des Vereinigten Königreichs in Kooperation mit den USA. Die beiden Länder gaben in einem gemeinsamen Statement im Juli 2022 bekannt, dass sie den Zugriff auf Daten, welche strafrechtlich relevant sind, zwischen den Staaten erleichtern möchten. Ziel sei es, schwere Kriminalität zu bekämpfen, aber gleichzeitig die demokratischen Standards zu wahren. 

Annäherungen an die Europäische Union gäbe es nach dem Gesetzesentwurf jedoch in Sachen Sanktionen. Das derzeitige Maximum von £ 500.000 soll auf bis zu 4% des Jahresumsatzes eines Unternehmens oder max. £17.5 Mio. erhöht werden. Dies entspricht den vergleichbaren Regelungen der EU-DS-GVO in Art. 83. 

Neue Regelungen in der Schweiz 

Im Gegensatz zum Vereinigten Königreich regelt die Schweiz die Dinge hingegen positiv. Das neue Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) der Schweiz soll am 01.09.2023 in Kraft treten. Die wichtigste Neuerung umfasst die Forderung nach erhöhter Transparenz und Stärkung der Rechte der betroffenen Personen.  

Ausweitung der Informationspflichten gegenüber Betroffenen 

Die erhöhte Transparenz soll unter anderem durch eine Erweiterung der Informationspflichten gewährleistet werden. Diese sind vergleichbar mit den Pflichten aus Art. 13/14 EU-DS-GVO. Ab September nächsten Jahres soll nun auch eine Informationspflicht für die Verarbeitung jeglicher personenbezogenen Daten gelten. Bisher galt dies nur für die Verarbeitung besonders schützenswerter Daten und die Erstellung von Persönlichkeitsprofilen. Außerdem soll die betroffene Person von der verantwortlichen Stelle darüber informiert werden, wenn eine Entscheidung ausschließlich auf automatisierter Verarbeitung beruht. Zusätzlich soll die betroffene Person auch fordern können, dass eine Einzelentscheidung von einer natürlichen Person überprüft werden soll. Eine Einwilligung soll auf jeden Fall bei sog. „Profiling mit hohem Risiko“ notwendig sein. 

Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten 

Vergleichbar mit der aus der EU-DS-GVO bekannten Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, sollen auch nach dem neuen Schweizer DSG alle Datenverarbeitungen vom Verantwortlichen Auftragsbearbeiters (in der EU-DS-GVO Auftragsverarbeiter) dokumentiert werden („Verzeichnis der Bearbeitungstätigkeiten“). Sinngemäß enthalten die Verzeichnisse dieselben Inhalte und Informationen wie sie aus Art. 30 EU-DS-GVO bereits bekannt sind.  

Gesetzliche Regelung der Rolle des Auftragsverarbeiters & Auftragsverarbeitungsvereinbarung 

Die Rolle des Auftragsbearbeiters ist dabei neu und entspricht dem klassischen Auftragsverarbeiter im Sinne der EU-DS-GVO. Die Verarbeitung darf an einen Auftragsbearbeiter nur vertraglich oder durch Gesetz übertragen werden.

Eine weitere Übertragung der Verarbeitung durch den Auftragsbearbeiter an einen Dritten muss vorab durch den Verantwortlichen genehmigt werden. In der DSV finden sich ergänzende Regelungen zu dem dann erforderlichen Vertrag zwischen dem Verantwortlichen und Auftragsbearbeiters.

Die verpflichtenden Inhalte stimmen im Wesentlichen mit den Anforderungen der EU-DS-GVO überein, z.B.: Kategorien der Personendaten sowie der betroffenen Personen; Art und Zweck der Bekanntgabe von Personendaten („Zweck der Verarbeitung“), Datentransfers in weitere Staaten, Empfänger oder Kategorien von Empfänger (bspw. Unter-Auftragsbearbeiter), Anforderungen an Aufbewahrung, Löschung und Vernichtung der Daten, Verpflichtung angemessene Maßnahmen zur Einhaltung der vertraglichen Klauseln.  

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung 

Hinzu kommt – ebenfalls in Anlehnung an die EU-DS-GVO – die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Auch hier entsprechen die schweizerischen Regelungen im Wesentlichen denen des Art. 35 EU-DS-GVO.  

Erhöhung der Sanktionen für Datenschutzverstöße 

Hier hält es die Schweiz wie die UK: Die Sanktionen für Verstöße sollen verschärft werden. Sie erreichen aber bei weitem nicht das Niveau der auf EU-Ebene geregelten Sanktionen. Zwar ist die Rede von „privaten Personen“, jedoch dürfen hier nicht Privatpersonen darunter verstanden werden.

Vielmehr sind hierunter die juristischen Personen des Privatrechts der Schweiz zu verstehen, denn das DSG findet Anwendung auf private Personen und Bundesorgane. Für etwaige Pflichtverletzungen können schweizerische Unternehmen künftig also mit Bußen bis zu 250.000 Franken belegt werden.

Dieser Höchstsatz gilt insoweit für sämtliche mögliche Verfehlungen, also insbesondere Verletzung Informations-, Auskunfts- und Mitwirkungspflichten sowie von Sorgfaltspflichten (hier auf Antrag) und Verletzungen der beruflichen Schweigepflicht sowie bei Missachtung von Verfügungen.

Bei dem derzeitigen Wechselkurs (Stand 26.09.2022) entsprächen 250.000 Franken in etwa 261.977,50 €. Im Vergleich zu den EU-DS-GVO Höchstsätzen von 10 Millionen bzw. 20 Millionen Euro also nur ein Bruchteil.  

Gebührenpflichtige Unterstützung des EDÖB 

Auffällig ist hingegen, dass im Gegensatz EU-DS-GVO oder bspw. dem deutschen Bundesdatenschutzgesetz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB“) Gebühren für bestimmte Leistungen verlangen. Zum Beispiel für: Stellungnahmen zu einem Verhaltenskodex, Genehmigungen von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften, Konsultation aufgrund einer Datenschutz-Folgenabschätzung, Beratung in Fragen des Datenschutzes.

Hier bleibt nur zu hoffen, dass die Gebührenforderungen am Ende nicht zu einem Hindernis für den Datenschutz und die Einhaltung durch die schweizerischen Unternehmen werden. 

Fazit 

Während das Vereinigte Königreich einen eher unternehmensfreundlichen Kurs einschlägt, passt sich die Schweiz mehr den konsumentenfreundlichen Regelungen der EU an und nimmt viele Bestimmungen der EU-DS-GVO in das neue DSG auf.  

Die wesentlichen Änderungen bzw. Angleichungen sollen anhand der nachfolgenden Tabelle veranschaulicht werden.

 

Vergleichstabelle

EU-DS-GVO

Vereinigtes Königreich

Schweiz

Art. 5 I lit. b) 

Grundsatz der Zweckbindung 

Erweiterung um Faktoren, die beachtet werden sollen, wenn ein neuer Zweck hinzukommen soll 

Art. 6 Abs. 1 f) 

Rechtmäßigkeit der Verarbeitung 

Abwägung des Verantwortlichen, ob Interessen an Verarbeitung personenbezogener Daten die Rechte der betroffenen Personen überwiegen 

Liste von berechtigten Interessen, für deren Verarbeitung das Erfordernis der Abwägung entfällt 

Direktmarketing

„Soft-Opt-In“ nun auch für nicht-kommerzielle Organisationen 

Art. 13/14  

Informationspflichten

Abschaffung von Informationspflichten ggü. Betroffenen bzgl. automatisierter Entscheidungsfindung

Informationspflicht nun auch für Verarbeitung jeglicher personenbezogenen Daten

Art. 27 

Ernennung eines EU-Vertreters 

Anforderung aus Art. 27 EU-DS-GVO wurde gestrichen (Paragraf 13 DPDI) 

Wegfall der Pflicht der Ernennung eines Datenschutzbeauftragten für (kleine) Unternehmen 

Benennung eines Vertreters in Schweiz, wenn Verantwortliche nicht in Schweiz ansässig 

Art. 28 

Auftragsverarbeitung 

Auftragsbearbeiter und Vertrag zur Auftragsbearbeitung 

Art. 32 

Technische und organisatorische Maßnahmen (TOMs) 

Verankerung von TOMs 

Art. 35, 36 

Datenschutzfolgenabschätzung 

Wenn Verarbeitung wahrscheinlich zu hohem Risiko für Einzelnen führt 

Anforderung einer vorherigen Konsultation abgeschafft, ersetzt durch freiwilligen Konsultationsprozess (Paragraf 17, 18 DPDI) 

Datenschutzfolgenabschätzung

Art. 83  

Geldbußen 

Im Fokus Unternehmen 

Bis zu 20 Mio. € oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens 

Erhöhung der Bußgelder 

Derzeitiges Maximum bei £ 500.000  

Annährung an EU-DSGVO 

Bis zu 4% des Jahresumsatzes oder £17.5 Mio. 

 

Verschärfung der Sanktionen 

Aber nicht vergleichbar mit Höhe der Geldbußen aus DSGVO 

Bis zu 250.000 Franken 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!