Cloud-Anbieter in den USA rechtswidrig?

Cloud-Anbieter USA

OLG Karlsruhe kippt umstrittenen Beschluss!

Cloud-Anbieter USA

Cloud-Anbieter in den USA rechtswidrig?

Einführung

Neues zum Datentransfer in die USA! Nachdem die Vergabekammer Baden-Württemberg am 13.07.2022 in einem Beschluss festgestellt hat, dass Cloud-Anbieter in den USA, und unter anderem auch ihre EU-Tochterunternehmen, gegen die Datenschutz-Grundverordnung (DS-GVO) verstoßen, hat das Oberlandesgericht (OLG) Karlsruhe diesen höchstumstrittenen Beschluss nun wieder aufgehoben.

Laut Beschluss der Vergabekammer sei die Verwendung dieser Cloudanbieter rechtswidrig, da mit ihnen ein unzulässiger Datentransfer in ein Drittland einhergeht, bei dem die Daten der EU-Bürgerinnen und -Bürger nicht ausreichend geschützt werden. Der Europäische Gerichtshof (EuGH) kippte 2020 in der Schrems II- Entscheidung das Privacy Shield, welches zuvor die Datenübermittlung rechtfertigte. Grund dafür waren vor allem die weitgehenden Überwachungsgesetze und die Zugriffsmöglichkeiten auf die Daten seitens der US-Behörden (Hierzu haben wir bereits einen Blog-Artikel verfasst: https://rickert.law/eugh-transatlantisches-eu-us-privacy-shield-ist-nichtig/).

Wie kam es zu dem Beschluss der Vergabekammer? Und aus welchen Gründen hat das OLG Karlsruhe den Beschluss der Vergabekammer aufgehoben?

Das Problem ist der US-amerikanische CLOUD Act

Im vorliegenden Fall ging es zwar um eine vergaberechtliche Streitigkeit, es wurde aber auch gleichzeitig die Konformität einer Software mit der DS-GVO überprüft. Neben Preis und Qualität waren nämlich auch Datenschutz und IT-Sicherheit für die Erteilung des Zuschlags ausschlaggebend.

Das betroffene Unternehmen hat seinen Sitz in der EU und ist die Tochtergesellschaft eines US-Konzerns. Aufgrund des US-amerikanischen CLOUD Acts kann es den US-Behörden erlaubt sein, auch auf Daten zuzugreifen, welche sich auf Servern außerhalb der USA befinden, sofern es sich dabei um Daten von Tochterunternehmen handelt. Wegen dieser Zugriffsmöglichkeit auf Daten von EU-Bürgerinnen und -Bürgern hat die Vergabekammer den Clouddienst als unzulässig eingestuft.  Ob und in welchem Umfang ein Zugriff stattfindet, war für die Vergabekammer irrelevant.

Wann wäre ein Datentransfer in ein Drittland gerechtfertigt?

Der Datentransfer in ein Drittland, also ein Land außerhalb der EU/des EWR kann nach den Artt. 44ff. DS-GVO gerechtfertigt sein. Dazu muss entweder ein Angemessenheitsbeschluss für das jeweilige Land erlassen worden sein (dies ist für die USA nicht der Fall) oder es müssen andere Rechtfertigungsmittel wie etwa Standardvertragsklauseln verwendet werden, wobei jedoch in jedem Einzelfall überprüft werden muss, ob das EU-Datenschutzrecht eingehalten wurde.

Die Standardvertragsklauseln waren nach Ansicht der Vergabekammer im vorliegenden Fall jedoch nicht ausreichend, denn es läge ein “latentes” Risiko des Zugriffs seitens US-Stellen aufgrund des CLOUD Acts vor und das verstöße somit gegen EU-Datenschutzrecht.

Kritik am Beschluss und Aufhebungsgründe

Der Beschluss der Vergabekammer bekam von Anfang an viel Gegenwind. Vor allem die Landesdatenschutzbeauftragte Baden-Württemberg sprach einiges an Kritik aus. Dieser Kritik schloss sich dann auch das OLG Karlsruhe an, welches die Gültigkeit des Beschlusses überprüfte und ihn am 07.09.2022 schließlich aufhob. Die Entscheidung des OLG Karlsruhe ist auch rechtskräftig.

Doch was war so bedenklich an dem Beschluss der Vergabekammer? Warum hat das OLG den Beschluss gekippt?

Die Landesdatenschutzbeauftragte Baden-Württemberg hielt folgende Punkte für bedenklich:

  • Die Vergabekammer hat nicht die aktuellen Standardvertragsklauseln der EU überprüft, sondern ältere.
  • Außerdem hat die Vergabekammer ein mögliches Zugriffsrisiko seitens der US-Stellen mit einer tatsächlichen Datenübermittlung gleichgesetzt.

Zudem wurde von Datenschützern bemängelt, dass die Vergabekammer bei ihrer Entscheidung die Möglichkeit einer Verschlüsselung der Daten völlig außer Acht gelassen habe.

Das OLG stützt seine Entscheidung nun vor allem auf letzteren Kritikpunkt der baden-württembergischen Datenschutzbehörde. Solange der Anbieter verbindlich zusage, dass mit Nutzung des Onlinedienstes kein Drittlandtransfer stattfinde, dürfe sich auch darauf verlassen werden. Auf solche vertraglichen Zusagen könne man so lange vertrauen, bis konkrete Anhaltspunkte vorlägen, die einen Anlass für Zweifel geben.

Solche Zweifel seien im vorliegenden Fall aber eben nicht gegeben. Allein die Tatsache, dass die US-Konzernmutter auf die Daten zugreifen könnte, reiche nicht aus, um an der Seriosität der Vertragsangaben zu zweifeln. Grundsätzlich darf man also auf die Angaben von Softwareanbietern vertrauen, wenn es um die Datenschutzkonformität geht.

Fazit

Der Beschluss hätte, insofern er Bestand gehabt hätte, erhebliche Auswirkungen für privatrechtliche Fragestellungen im IT- und Datenschutzrecht gehabt! Da dieser nun aber aufgehoben wurde, sind Anbieter mit US-amerikanischen Konzernmüttern in Vergabeverfahren weiterhin zu berücksichtigen und auch die Nutzung solcher Cloudanbieter kann im Einzelfall weiterhin möglich sein.

Aus der Entscheidung des OLG Karlsruhe geht ebenfalls hervor, dass man sich grundsätzlich auf die Vertragsangaben hinsichtlich der Datenschutzkonformität verlassen kann und nur im Fall konkreter Anhaltspunkte weitere Informationen eingeholt und das Leistungsversprechen überprüft werden müssen.

Außerdem arbeitet die EU-Kommission derzeit mit den zuständigen Stellen in den USA an einer zukünftigen Lösung für Datentransfers zwischen der EU und den USA. Ein solches Nachfolgeabkommen wird jedoch nicht vor Ende des Jahres erwartet.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!