6 Minuten Lesezeit 26 Oktober 2022
Mann schaut auf Ipad

Faktisches Verbot von Cloud-Diensten mit US-Bezug – oder DSGVO-konforme Nutzung durch passende Vertragsklauseln?

6 Minuten Lesezeit 26 Oktober 2022
Verwandte Themen Rechtsberatung

Vereinbarkeit von US-Überwachungsgesetzen mit dem EU-Datenschutzrecht weiterhin ungeklärt.

Überblick
  • Nicht erst seit dem EuGH-Urteil vom 16. Juli 2020 zum Privacy-Shield-Abkommen (sog. „Schrems II“) schwelt ein rechtlicher (und faktisch auch politischer und wirtschaftlicher) Konflikt um die Frage der Vereinbarkeit von US-Überwachungsgesetzen mit dem EU-Datenschutzrecht. 
  • Dieser entzündete sich zuletzt insbesondere an der rechtskonformen Einbindung von Cloud- und Hosting-Dienstleistern mit US-Hintergrund.
  • Der vorliegende Beitrag zeigt anlässlich einer erst kürzlich ergangenen und zwischenzeitlich bereits durch das Oberlandesgericht Karlsruhe kassierten Entscheidung der Vergabekammer Baden-Württemberg den bewegten Diskussionsstand auf und gibt konkrete Handlungsempfehlungen.

Cloud- und Hosting-Dienste der Big Tech Unternehmen sind heute allgegenwärtig. Zu nennen sind beispielsweise Cloud-Dienste oder Software-as-a-Service-Dienste der Anbieter aus dem Silicon-Valley. Um datenschutzrechtlich problematische Drittlandsübermittlungen zu vermeiden, werden diese Dienstleistungen innerhalb der Europäischen Union typischerweise von EU-ansässigen Tochterunternehmen der US-amerikanischen Konzernmutter erbracht, die einen Einsatz ausschließlich innerhalb der EU belegener Server zusagen. Dennoch werden seit einiger Zeit Zweifel an der Datenschutzkonformität dieser vermeintlich europäischen Dienste laut.

Europäische Lösung oder Datentransfer in die USA?

Hintergrund ist die US-amerikanische Sicherheitsgesetzgebung: Es wird befürchtet, dass Konzernmütter mit Sitz in den Vereinigten Staaten von Amerika als Adressaten US-amerikanischen Zugriffsanfragen auch auf in Europa bei ihren Töchtern belegene personenbezogene Daten zugreifen könnten, und auf diese Weise ein seit dem Schrems-II-Urteil des EuGHs und der Unwirksamkeit von Privacy Shield problematischer Drittlandstransfer in die USA ausgelöst würde.

Einen solchen Drittlandstransfer in die USA erkannte das Verwaltungsgericht Wiesbaden in einer zwischenzeitlich (allerdings lediglich aus prozessualen Gründen) aufgehobenen Eilentscheidung: Da die Konzernmutter aufgrund US-amerikanischen Rechts dazu verpflichtet sei, auch bei ihren in der EU ansässigen Tochterunternehmen belegene personenbezogene Daten an staatliche Stellen herauszugeben, bestehe bei der Nutzung von Cloud- und Hosting-Diensten von Unternehmen mit Muttergesellschaft in den USA ein datenschutzrechtlich unzumutbares Risiko einer nach Art. 48, 49 DSGVO unzulässigen Drittlandsübermittlung. Diese sei mangels wirksamen Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DSGVO oder vertraglicher Schutzvorkehrungen nach Art. 46, 47 DSGVO unzulässig.

Datenschutzrechtliche Problematik von US-Überwachungsgesetzen

Im Zentrum der Diskussion über US-Überwachungsgesetze steht insbesondere Section 702 des Foreign Intelligence Surveillance Act („FISA”). Demnach können US-amerikanische „electronic communication service provider” verpflichtet werden, US-Sicherheitsbehörden Zugang zu personenbezogenen Daten von Nicht-US-Personen zu gewähren. Für eine Qualifizierung als „electronic communication service provider” sind aufgrund des weiten Verständnisses dieses Begriffs nicht ausschließlich klassische IT- und Telekommunikationsunternehmen umfasst. Umfasst sind beispielsweise auch bereits Unternehmen, die etwa einen E-Mail-Dienste für Beschäftigte anbieten. Der Anwendungsbereich des FISA erstreckt sich auf US-amerikanische Unternehmen sowie deren Tochtergesellschaften in der EU, wenn diese personenbezogene Daten in der EU verarbeiten. Section 702 FISA sieht keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste sowie keine Garantien für betroffene Nicht-US-Bürger vor.

Weitere Überwachungsbefugnisse für US-Sicherheitsbehörden ergeben sich beispielsweise aus der Presidential Policy Directive 28 oder dem Clarifying Lawful Overseas Use of Data Act („CLOUD Act“).

Deutlich weniger restriktiv beurteilte der französische Conseil d’État einen vergleichbaren Sachverhalt. In seiner Health Data HUB- wie auch in seiner jüngeren Doctolib-Entscheidung erkannte der Conseil d’État zwar ein Restrisiko des Zugriffs auf in Europa belegene personenbezogene Daten durch US-amerikanische staatliche Stellen. Die bloße Speicherung personenbezogener Daten auf europäischen Servern dieser Tochtergesellschaften von US-Dienstleistern stelle aber noch keine Übermittlung in ein Drittland dar. Denn ein hypothetischer staatlicher Zugriffsversuch sei nicht dasselbe wie eine bereits vorliegende tatsächliche Übermittlung. Das verbleibende Restrisiko habe der jeweilige Verantwortliche durch unterschiedliche Maßnahmen zu minimieren, etwa durch eine Pseudonymisierung der gespeicherten Daten. Vertragliche Regelungen wie beispielsweise Übermittlungsverbote in die USA seien zumindest durch angemessene technische und organisatorische Maßnahmen zu ergänzen.

Vergabekammer Baden-Württemberg: Gegenstand und Entscheidung

In dieser höchstgerichtlich ungeklärten Rechtslage fand nun der Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 eine über das öffentliche Vergaberecht weit hinausgehende Resonanz.

Gegenstand des Beschlusses war der Nachprüfungsantrag einer unterlegenen Bieterin betreffend eine öffentliche Ausschreibung zweier kommunaler Krankenhausgesellschaften für die „Beschaffung einer Software für Digitales Entlassmanagement“. In der Ausschreibung war festgelegt worden, dass die Software und Services datenschutzkonform (nach DSGVO und BDSG) sein müssen. Streitpunkt war, dass die erfolgreiche Bieterin einen in der EU ansässigen Unterauftragnehmer für Server- und Hosting-Dienstleistungen einsetzen wollte, dessen Konzernmutter jedoch in den USA sitzt. Die im Auftrag verarbeiteten personenbezogenen Daten sollten ausschließlich auf einem Server in Deutschland gespeichert werden.

Die Vergabekammer gab dem Nachprüfungsantrag statt. Das erfolgreiche Angebot genüge nicht den Ausschreibungsanforderungen, da es nicht datenschutzkonform sei.

Datenübermittlung im Sinne der Art. 44 ff DSVGO in die USA dar. Eine datenschutzrelevante Übermittlung in ein Drittland liege nämlich schon dann vor, wenn die Einstellung personenbezogener Daten auf einer Plattform erfolge, auf die von einem Drittland aus zugegriffen werden kann und darf. Auf die konkrete Art der Offenlegung der personenbezogenen Daten oder auf eine konkrete Offenlegung – also gegenüber insbesondere staatlichen Behörden der USA – komme es nicht an. Schon die bloße Zugriffsmöglichkeit – etwa durch Einräumung von Zugriffsrechten - stelle ein „latentes Risiko“ dar, dass im Ergebnis eine Übermittlung und damit ein Drittlandstransfer vorliege. Ein solches latentes Risiko sah die Vergabekammer in einer konzerninternen Klausel zwischen US-Muttergesellschaft und EU-Tochtergesellschaft, die einen Zugriff erlaubten, wenn dies für die Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher – und damit auch US-amerikanischer - Stellen erforderlich sei.

Datenschutzrechtliche Bewertungen und Reaktionen

Die Kommentare in diversen Blogeinträgen und Internetartikeln ließen leicht vermuten, die Vergabekammer hätte den Einsatz von Cloud- und Hosting-Diensten mit Bezug zu den USA per se für unzulässig erklärt. Tatsächlich aber folgte die Vergabekammer Baden-Württemberg gerade nicht der (kritisch zu bewertenden) Auffassung des Verwaltungsgerichts Wiesbaden. Die Vergabekammer hat das Vorliegen einer Datenübermittlung im Sinne des Art. 44 DSGVO nämlich nicht schon darin erkennen wollen, dass womöglich eine faktische Zugriffsmöglichkeit von US-Sicherheitsbehörden deshalb besteht, weil die in den USA sitzende Muttergesellschaft zur Herausgabe dieser Daten verpflichtet ist. Ebenso wie in der Doctolib-Entscheidung des Conseil d’État kommt es der Vergabekammer allein auf die konkreten konzerninternen Regelungen an.

Fragwürdig hingegen war das den vom Conseil d’État gezeichneten Weg verlassende weite Verständnis des Begriffs „Übermittlung“, der letztlich bereits im „latenten Risiko“ eines potenziellen zukünftigen Zugriffs eine bereits vorliegende Drittlandsübermittlung im Sinne des Art. 44 DSGVO erkennen will. Zwar ist der Begriff der Übermittlung im Sinne der Art. 44 ff DSGVO grundsätzlich weit zu verstehen. Standardfall der Übermittlung ist die Zugänglichmachung von Daten aus dem Drittland heraus. Schon nach dem Wortlaut ist für eine Übermittlung aber – anders als bei einer bloßen Offenlegung – eine aktive Komponente erforderlich. Diese liegt bei einem bloß zukünftigen Zugriff durch die Muttergesellschaft oder einer zukünftigen Freigabe personenbezogener durch die Tochtergesellschaft gerade noch nicht vor.

Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) merkte das kritisch an (Pressemitteilung vom 15.08.2022 ). Ohne auf die Entscheidungen des Conseil d’État zu verweisen forderte der LfDI BW technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO zu ergreifen. Diese würden nach ihrer Umsetzung ein vermeintliches Zugriffsrisiko aus den USA minimieren, so dass von einer Datenübermittlung im Sinne des 5. Kapitels der DSGVO im Ergebnis nicht mehr ausgegangen werden könne. Statt pauschalen Verboten von Datentransfers seien vielmehr einzelfallbezogene Alternativprüfungen das Mittel der Wahl, um die Vorgaben der DSGVO in Bezug auf Drittlandstransfers bestmöglich sicherzustellen.

Das Oberlandesgericht Karlsruhe kassiert den Beschluss aus vergaberechtlichen (und nicht datenschutzrechtlichen) Gründen

Am 07. September 2022 wurde der Beschluss der Vergabekammer Baden-Württemberg vom Oberlandesgericht Karlsruhe in einer noch nicht veröffentlichten Entscheidung rechtskräftig aufgehoben.

In seiner Pressemitteilung betont das Gericht, dass bei einer öffentlichen Auftragsvergabe wie auch bei deren Nachprüfung davon auszugehen sei, dass ein Bieter seine mit Angebotsabgabe gegeben ausdrücklichen und „eindeutigen Zusicherungen“ auch durch seine eingesetzten Subdienstleister tatsächlich erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel hieran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen.

Damit wird der Beschuss der Vergabekammer aus vergaberechtlichen Gründen kassiert: Die ausschreibende Stelle hatte keine Zweifel und brauchte diese auch nicht zu haben. Denn für sich genommen genüge dazu nicht, dass ein Subdienstleister „ein Tochterunternehmen eines US-amerikanischen Konzerns ist“, auch sei nicht davon auszugehen, „dass es aufgrund der Konzernbindung [des Subunternehmers] zu rechts- oder vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“

Auch wenn das Oberlandesgericht Karlsruhe den mit großer Unsicherheit aufgenommenen Beschluss der Vergabekammer Baden-Württemberg aus der Welt geschaffen hat, verhält es sich in seiner Pressemitteilung gerade nicht zu den aufgeworfenen datenschutzrechtlichen Fragestellungen. Weder ist das Gericht auf die konkreten, von der Vergabekammer Baden-Württemberg wie auch dem LfDI Baden-Württemberg kritisierten konzerninternen Regelungen eingegangen, noch trifft es eine Aussage zum Begriff der datenschutzrechtlichen Übermittlung im Sinne der DSGVO.

Eine obergerichtliche Positionierung steht daher derzeit aus. Möglicherweise zeigt die Entscheidungsveröffentlichung mehr, oder aber es ist noch die Hauptsacheentscheidung des Verwaltungsgerichts Wiesbaden in Sachen „Cookiebot“ abzuwarten.

Welche Schritte sollten nun unternommen werden?

Kritisch betrachtet bestehen jedenfalls Vorbehalte gegenüber dem vom Oberlandesgericht Karlsruhe den öffentlichen Stellen zugestandenen zweifelsfreien Vertrauen in die datenschutzkonforme Abbildung von Cloud- und Hosting-Dienstleistungen mit US-Bezug. Gerade wenn Hinweise auf einen konkreten Konflikt zwischen der vertraglichen Herausgabepflicht an das US-Mutterunternehmen und den „eindeutigen Zusicherungen“ an die öffentlichen Auftraggeber erkennbar sind, so ist durch einzelfallbezogenen Einsatz der zur Verfügung stehenden Mittel die Einhaltung der datenschutzrechtlichen Anforderungen sicherzustellen.

Daher sollten sowohl private als auch öffentliche Stellen aufgrund der zu beobachtenden Tendenzen in erstinstanzlicher Rechtsprechung, verwaltungsbehördlichen Verfahren und aufsichtsbehördlicher Praxis bei der Nutzung von Cloud- und Hosting-Diensten mit Bezug zu den USA folgende Punkte beachten:

Schritt 1: Analyse von derzeit genutzten Cloud- und Hosting-Diensten

Zunächst gilt es festzustellen, welche Cloud- und Hosting-Leistungen im Unternehmen derzeit genutzt werden und ob und inwieweit dadurch personenbezogene Daten verarbeitet werden. Als nächstes ist zu prüfen, ob die hierfür eingesetzten Dienstleister einen US-Bezug haben, beispielsweise in Form eines Mutter-Tochter-Verhältnisses der Unternehmen. Bei einem festgestellten US-Bezug sollten Unternehmen mit dem Schritt 2 fortfahren.

Schritt 2: Ergreifung zusätzlicher Maßnahmen

Auch wenn die genutzten Cloud- und Hosting-Dienste keinen expliziten Datentransfer in einen Drittstaat vorsehen sollten, sind Sicherheitsvorkehrungen erforderlich für den Fall, dass ein Risiko von behördlichen Zugriffen auf Daten besteht. Der Europäische Datenschutzausschuss („EDSA“) hat Empfehlungen für geeignete Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus in Drittländern veröffentlicht. In diesen nennt er praktische Beispiele für Maßnahmen vertraglicher sowie technischer und organisatorischer Natur.

Aus den Empfehlungen des ESDA sind nachfolgend überblickartig technische und organisatorische Maßnahmen dargestellt , die in Kombination das Risiko von unzulässigen Datenzugriffen und -übermittlungen auch bei der Nutzung von Cloud- und Hosting-Diensten vermindern können:

a) Technische Maßnahmen:

  • Transportverschlüsselung in Kombination mit End-to-End-Verschlüsselung bei Datenübermittlungen
  • Pseudonymisierung der in einer Cloud gespeicherten personenbezogenen Daten, wobei Algorithmus oder den Datenspeicher, der die Re-Identifizierung anhand der zusätzlichen Informationen ermöglicht, allein beim Unternehmen in der EU verbleibt
  • aufgeteilte Verarbeitung oder Verarbeitung durch mehrere Beteiligte (Multi-party Processing), sodass personenbezogene Daten in mindestens zwei Datenstücke aufgeteilt sind, wobei die einzelnen Datenstücke ohne Verwendung zusätzlicher Informationen nicht mehr interpretiert oder einer bestimmten betroffenen Person zugeordnet werden können

b) Organisatorische Maßnahmen:

  • Verantwortlichkeit für Entscheidung über Datenübermittlungen beim Auftraggeber in der EU für den Fall behördlicher Ersuchen um Datenzugriff
  • Dokumentierung und Aufzeichnung der von Behörden gestellten Zugriffsersuchen und deren Beantwortung, einschließlich der rechtlichen Begründung und Angaben zu den beteiligten Stellen und zur Verfügungstellung dem Auftraggeber
  • • Aufstellung strikter Grundsätze in Bezug auf Datensicherheit und Datenschutz, abgestimmt auf das Risiko der verarbeiteten Datenkategorien und die Wahrscheinlichkeit behördlicher Datenzugriffe

 

Fazit

Vertragliche Maßnahmen ergänzen technische und organisatorische Maßnahmen und sind grundlegend für die Gewährleistung eines angemessenen Datenschutzniveaus auch in Drittländern. Sie sind daher auch beim Einsatz von Cloud- und Hosting-Dienstleistern unerlässlich.

Wie im Sachverhalt vor der Vergabekammer Baden-Württemberg offenbar wurde, können vertragliche Regelungen jedoch unter Umständen auch eine unzulässige Drittlandsübermittlung begründen, etwa indem sie Zugriffsrechte entgegen geltendem europäischen Datenschutzrecht aus einem Drittland heraus einräumen.

Aus diesem Grund sind Vertragsklauseln, welche explizit oder implizit Datenzugriffe aus einem Drittland erlauben, unbedingt zu vermeiden. Für diese anspruchsvolle Ausgestaltung von Verträgen mit Anbietern von Cloud- und Hosting-Diensten sollte unbedingt rechtlicher Rat eingeholt werden, um widersprüchliche und uneindeutige vertragliche Regelungen zu vermeiden.

Über diesen Artikel