Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
Drittlandübermittlung beim Einsatz von US-Clouddiensten trotz Server-Standort in der EU?
Freitag, 16. September 2022
Werden personenbezogene Daten auf Servern in Deutschland gespeichert und auf diese Daten wird nicht aus einem Drittland, also einem Land außerhalb des Anwendungsbereichs der DSGVO, zugegriffen, liegt keine Übermittlung der Daten an ein Drittland vor und die besonderen Bestimmungen des Kapitel V der DSGVO zur Drittlandübermittlung finden keine Anwendung - so jedenfalls eine weit verbreitete Rechtsmeinung. Doch tatsächlich ist die Rechtslage aufgrund von US-Gesetzgebungen, welche US-Behörden (insbesondere Geheimdiensten) unter bestimmten Voraussetzungen Zugriffsrechte einräumen, nicht ganz klar. Zuletzt wurde die Problematik im Rahmen eines Beschlusses der Vergabekammer Baden-Württemberg vom 13. Juli 2022 diskutiert (Az.: VK 23/22).
In der Sache ging es um den Ausschluss einer Bieterin aus einem öffentlichen Vergabeverfahren für eine Softwarelösung aufgrund der Nutzung eines US-amerikanischen Clouddienstes und einer damit einhergehenden potenziellen Drittlandübermittlung. Die Server sollten dabei physisch in Deutschland gelegen sein. Die Verarbeitung sollte im Auftrag der europäischen Tochtergesellschaft des Clouddienstleisters erfolgen. Zwischen der Bieterin und der Auftragnehmerin wurden ein sogenanntes „GDPR Data Processing Addendum“ (nach Ansicht der Bieterin mit ausreichenden Standarddatenschutzklauseln) sowie ein „Supplementary Agreement“ (nach Ansicht der Bieterin mit zusätzlichen Maßnahmen zur weiteren Absicherung eines Drittlandtransfers) abgeschlossen. Nach diesen Vereinbarungen war eine Übermittlung in ein Drittland nur zulässig, wenn dies „zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich“ ist. Im Supplementary Agreement fand sich zudem eine Klausel, wonach jede zu weit gehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stehen, durch die Auftragnehmerin anzufechten ist. Weiterhin setzte die Bieterin eine Verschlüsselungstechnik ein, die einen Zugriff aus dem Drittland verhindern sollte. Die Ausschreibungsunterlagen sahen vor, dass die Anforderungen aus der DSGVO und dem BDSG zu erfüllen sind.
Die Vergabekammer stellt fest, dass das Angebot der Bieterin nicht im Einklang mit der DSGVO steht und die Bieterin daher im Vergabeverfahren auszuschließen ist. Sie begründet dies mit dem Vorliegen einer Drittlandübermittlung (1), welche nicht hinreichend abgesichert ist (2).
- Nach Ansicht der Vergabekammer ist es für das Vorliegen einer Drittlandübermittlung "unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist". Die bloße Zugriffsmöglichkeit durch beispielsweise US-Geheimdienste stelle ein „latentes Risiko [dar], dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann“, was für eine Übermittlung i.S.d. Art. 44 ff. DSGVO genüge. Dabei stützt die Vergabekammer ihre Entscheidung u. a. auf einen Beschluss des Verwaltungsgerichts Wiesbaden aus Dezember 2021 (Az.: 6 L 738/21.WI). In dem Beschluss stellt das Gericht fest, es könne dahinstehen, wer Vertragspartner des übermittelnden Unternehmens ist, wenn sich die Unternehmenszentrale des Empfängers in den USA befindet. Denn ein solches Unternehmen „unterliegt als US-amerikanisches Unternehmen dem CLOUD Act, einem US-amerikanischen Bundesgesetz vom 6. Februar 2018. Nach diesem sind US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle ("posession, custody or control") befindlichen Daten offenzulegen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind (Title 18 U. S. C. § 2713)“ (zum CLOUD Act vgl. auch „Joint Response to the LIBE Committee on the impact of the US CLOUD Act on the European legal framework for personal data protection (annex)“ des European Data Protection Board vom 10. Juli 2019).
- Die zwischen der Bieterin und Auftragnehmerin abgeschlossenen Vertragsklauseln einschließlich der Verschlüsselungstechnologie genügen nach Ansicht der Vergabekammer nicht, um die Drittlandübermittlung hinreichend abzusichern. Die Vergabekammer führt dazu aus, Standarddatenschutzklauseln seien nicht geeignet, „Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung“. Die Einzelfallprüfung der Vergabekammer ergab eine datenschutzrechtliche Unzulässigkeit, da weder die Vertragsklauseln noch die eingesetzte Verschlüsselungstechnik das „latente Risiko“ einer Übermittlung zu beseitigen vermögen.
Der Beschluss der Vergabekammer wurde am 7. September 2022 vom OLG Karlsruhe aufgehoben. Das OLG ist der Auffassung, dass auf das Leistungsversprechen, welches die Bieterin gegenüber den Ausschreibenden abgegeben hat, zu vertrauen ist, wonach keine Übermittlung von Daten in ein Drittland erfolgen wird. Standardvertragsklauseln oder ein Transfer Impact Assessment seien daher nicht notwendig. Weitere Erkenntnisse zum Vorliegen einer Drittlandübermittlung bei Einsatz eines Clouddienstleisters mit Sitz im Europäischen Wirtschaftsraum (EWR) und Konzernmutter im Drittland liefert das OLG-Urteil also leider nicht.
Am 15. August 2022 nahm der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg kritisch zum Beschluss der Vergabekammer Stellung (abrufbar hier). Insbesondere zweifelt er die Gleichsetzung von Zugriffsrisiko und Übermittlung als Verarbeitungsform durch die Vergabekammer rechtlich an. Der LfDI Baden-Württemberg ist der Auffassung, dass diese beiden Begriffe vor allem deshalb nicht gleichgesetzt werden dürfen, weil „wirksame Gegenmittel in Gestalt sog. ‚technisch-organisatorischer Maßnahmen‘ existieren, die letztlich jedes Risiko ausschließen können.“ Im Ergebnis seien immer „einzelfallbezogene Alternativprüfungen“ vorzunehmen; ein „pauschales Transferverbot“ sei nicht opportun. Zudem zweifelt er die Bewertung der Standardvertragsklauseln durch die Vergabekammer an, was aus seiner Sicht aber aufgrund der „Komplexität der einzubeziehenden Regularien“ nicht verwunderlich sei.
Im Ergebnis besteht also nach wie vor eine erhebliche Rechtsunsicherheit für Unternehmen, welche die Nutzung US-amerikanischer Clouddienste beabsichtigen. Die Stellungnahme des LfDI Baden-Württemberg suggeriert zwar, dass eine Nutzung jedenfalls unter Einsatz der richtigen Standardvertragsklauseln der EU-Kommission und zusätzlicher geeigneter technisch-organisatorischer Maßnahmen (TOM) zulässig ist. Wie genau aber insbesondere die TOM im Einzelfall auszusehen haben, um den Anforderungen der Behörde gerecht zu werden, ist nicht immer klar. Der LfDI verweist in diesem Zusammenhang auf seine Orientierungshilfe zu Datentransfers.
Eine gerichtliche Klärung der Rechtslage ist nach wie vor wünschenswert - zum einen aus wirtschaftlicher Sicht der Unternehmen und zum anderen, um Unsicherheiten Betroffener aus dem Weg zu räumen. Bis dahin sollten Unternehmen auch bei Clouddienstleistern mit Sitz im EWR und Konzernmutter in den USA Standardvertragsklauseln nach Stand 2021 abschließen und mittels eines Transfer Impact Assessments (TIA) zusätzliche Schutzmaßnahmen definieren und umsetzen - und dies auch dann, wenn eine tatsächliche Übermittlung in die USA zur Leistungserbringung nicht vorgesehen ist.
