DSGVO – US-Clouddienste neustes Urteil OLG Karlsruhe vom 07.09.2022

Laut dem neuesten Urteil des Oberlandesgericht Karlsruhe (OLG) vom 07.09.2022 verstoßen Tochterfirmen von US-Clouddiensten nicht generell gegen die europäische Datenschutzgrundverordnung (DSGVO). Somit kann die Zugehörigkeit zu einem amerikanischen Mutterkonzern nicht den Ausschluss eines Anbieters aus dem öffentlichen Vergabeverfahren rechtfertigen.

Bedeutung des Urteils vom OLG Karlsruhe zu US-Clouddiensten:

US-Clouddienste sind nicht pauschal von Aufträgen auszuschließen. Sie verstoßen nicht generell gegen die Datenschutzgrundverordnung der EU. Das Urteil des Oberlandesgericht Karlsruhe hob den anderslautenden Beschluss der Vergabekammer Baden-Württemberg vom Juli 2022 folglich auf. Laut dem Urteil kann ein öffentlicher Auftraggeber zunächst darauf vertrauen, dass die Datenverarbeitung des Anbieters den Vorgaben der europäischen Datenschutzgrundverordnung entspricht. (Az.: 15 Verg 8/22)

Die USA gelten seit der Entscheidung des Europäischen Gerichtshofs (EuGH) vom Juli 2020 nicht mehr als zulässiger Drittstaat zum Austausch personenbezogener Daten von EU-Bürgern. In Anbetracht dieser Entscheidung war der Hintergrund des Rechtsstreits die Frage, inwieweit die von US-Firmen erhobenen persönlichen Daten bei der weiteren Verarbeitung oder Speicherung vor dem Zugriff durch US-Behörden geschützt werden. Der EuGH hat in Bezug auf datenschutzkonforme Datentransfers in Drittstaaten ein Grundsatzurteil gefällt. Der vereinbarte Datenschutzschild (Privacy Shield) zwischen den EU-Kommissionen und den USA wurde für unzulässig erklärt. Jedoch dürfen Firmen weiterhin personenbezogene Nutzerdaten in Drittstaaten wie die USA übertragen, solange Standardvertragsklauseln als Basis dienen.

Urteil: Angaben sind erst bei Zweifel zu überprüfen:

Im konkreten Fall gab der Bieter des Vergabeverfahrens an, als Unterauftragnehmer für die Erbringung des Hostings eine europäische Tochtergesellschaft eines US-Konzerns zu nutzen. Der eigentliche physische Standort der Server sollte sich hierbei in Deutschland befinden. Die beiden Firmen schlossen zusätzliche Vereinbarungen bezüglich der Datenverarbeitung gemäß der DSGVO. Diese Standardvertragsklauseln erklärte der Europäische Gerichtshof generell für zulässig.

Die Vergabekammer Baden-Württemberg war im Juli 2022 der Ansicht, dass es unerheblich sei, wo sich der Standort des Servers befindet, beziehungsweise, ob dieser innerhalb der EU liegt. Generell sei der Datentransfer in die USA untersagt, da es kein zulässiger Drittstaat zum Austausch personenbezogener Daten von EU-Bürgern sei. Eine neue Vereinbarung mit den USA scheiterte bislang an den Zugriffsrechten auf entsprechende Daten durch die US-Geheimdienste.

Im Fall vor dem Oberlandesgericht Karlsruhe kam es zu dem rechtskräftigen Urteil vom 07. September 2022, in dem es heißt, dass die zwei kommunalen Krankenhausgesellschaften nicht davon ausgehen mussten, dass es aufgrund der Konzernbindung in die USA zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird. Genauer gesagt, mussten die öffentlichen Stellen nicht davon ausgehen, dass das Tochterunternehmen mit Sitz in Europa durch die Geschäftsführung der US-Muttergesellschaft gesetzeswidrige Anweisungen befolgen würde. Die Erfüllbarkeit des Leistungsversprechens ist nicht allein dadurch anzuzweifeln, dass es sich um die Tochterfirma eines US-Konzerns handelt.

Das Oberlandesgericht entschied, dass grundsätzlich davon ausgegangen werden kann, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst durch konkrete Anhaltspunkte, die zum Zweifel der Vertragserfüllung führen, ist der öffentliche Auftraggeber dazu angehalten, die Leistungsfähigkeit des Bieters zu überprüfen. Im konkreten Fall sei folglich kein Transfer Impact Assessment erforderlich gewesen, da die Daten nicht in ein Drittland übermittelt werden sollten. Dabei sei dann unerheblich, ob eine Verschlüsselung der Daten durchgeführt wurde.

Zugriffsrisiko und Verschlüsselung sind rechtlich nicht gleichzusetzen

Die Auffassung der Vergabekammer Baden-Württemberg wurde ebenfalls bezüglich der Datenverschlüsselung korrigiert. Die Angaben des Cloudanbieters wurden beim ursprünglichen Verfahren unberücksichtigt gelassen, da sie als geheimhaltungsbedürftig gekennzeichnet worden waren. Mit dem Verweis auf den Beschluss des Bundesgerichtshofs BGH vom Januar 2017, vermerkten die Richter, dass eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss. Das Verfahren muss folglich entsprechend gestaltet werden.

Auch die Datenschutzbehörde kritisierte das frühere Urteil der Vergabekammer. Der baden-württembergische Datenschutzbeauftragte Stefan Brink wies in einer Stellungnahme vom 15. August 2022 darauf hin, dass die Gleichsetzung von Zugriffsrisiko und Datenübermittlung, so wie die Vergabekammer dies vorgenommen hatte, rechtlich zweifelhaft sei. Ein Zugriffsrisiko erfüllt nicht direkt einen Übermittlungstatbestand. Ebenfalls kritisierte Brink, dass die Verschlüsselungstechnik durch die Kammer aus vergabeverfahrensrechtlichen Gründen nicht weiter geprüft wurde.

Hier ein Rückblick zum vorherigen Beitrag mit den ersten Informationen zum Thema:

Beschluß Vergabekammer Baden-Württemberg 07_2022: Clouddienste von US-Firmentöchtern nicht DSGVO-konform

Teil 1: Datenübermittlung aus der Schweiz in die USA ungeschützt

Teil 2: Keine Daten mehr in die USA – Der EuGH hat das “Privacy Shield” für nichtig erklärt

Teil-3: Stopp Privacy Shield Datentransfer in USA: 5000 Firmen betroffen, was beachten

Microsofts Office-Cloud ist nebulöser, als es die DSGVO erlaubt