Sind Dienstleister aus den USA nunmehr datenschutzrechtlich vertrauenswürdig?

von (Kommentare: 0)

Das OLG Karlsruhe erleichtert die Inanspruchnahme von US Anbietern mit Sitz in der EU

Privacy Shield zerbrochen Datentransfer USA

Auch bei der Inanspruchnahme von US Dienstleistern mit Sitz in der EU und der von Ihnen vertraglich zugesicherten Verarbeitung personenbezogener Daten ausschließlich in der EU wurde bisher für diese Unternehmen die Drittlandproblematik des Art. 49 DSGVO mit sehr strengen Voraussetzungen für die Inanspruchnahme herangezogen. Diese Unternehmen (Z.B. Microsoft, Google, Amazon etc.) „fühlten“ sich daher im Vergleich zu Dienstleistern, die ihren Hauptsitz in der EU haben benachteiligt, da reine EU-Unternehmen diese Anforderungen nicht erfüllen mussten. Auch von den Nutzern dieser Dienstleister war datenschutzrechtlich stets zu vergewährtigen, dass die anvertrauten Daten dort eigentlich nicht sicher sind, wie im Folgenden erläutert wird. Dies führte zu großer Unsicherheit, ob und wie z.B. Microsoft 365 Software (häufiger Standard in Unternehmen und Behörden) genutzt werden darf.

Beschluss des Vergabesenats des OLG Karlsruhe vom 07.09.2022 ( Az. 15 Verg 8/22)

Nach dem EuGH-Urteil (Schrems II; Juli 2020) wurde das Datenschutzabkommen (Privacy Shield) der EU mit den USA für unwirksam erklärt, so dass die USA datenschutzrechtlich als unsicheres Drittland anzusehen sind. Dies gilt grundsätzlich auch für selbständige Tochterunternehmen mit Sitz in der EU, da davon ausgegangen wird, dass US-Behörden über die Muttergesellschaft in den USA grundsätzlich Zugriffsmöglichkeiten auf personenbezogene Daten auch in der EU haben und dass daher eine Auftragskontrolle (im Hinblick auf den Schutz der anvertrauten Daten) durch den Auftraggeber nicht mehr möglich sei.

Das OLG Karlsruhe hat dieser Sichtweise nun in dem in der Überschrift genannten Beschluss des Vergabesenats in einiger Hinsicht widersprochen:
Hier ein Auszug aus der Pressemitteilung des OLG Karlsruhe:

Oberlandesgericht Karlsruhe - Kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin (justiz-bw.de)

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“

Dies bedeutet im Umkehrschluss, dass ein Unternehmen mit Sitz in Europa aber im Besitz einer Drittlandkonzernmutter datenschutzrechtlich, wie ein originär europäisches Unternehmen behandelt werden darf, und sich an die (vertragliche) Zusicherung - Daten nur in Europa zu verarbeiten - auch halten wird – weitere Voraussetzungen s. u.  bei Konsequenzen.

Der Beschluss des OLG Karlsruhe entfaltet eine direkte Bindungswirkung allerdings nur zwischen den beteiligten Parteien.

Diese Parteien sind zum einen die Vergabestelle Baden-Württemberg im öffentlichen Bereich, die zum anderen zwei kommunalen Krankenhausgesellschaften untersagte, die Software eines Anbieters aus Luxemburg zu nutzen dessen Mutterkonzern jedoch in den USA sitzt, da die Daten bei dem Anbieter grundsätzlich nicht sicher seien und die Mutter jederzeit auf die Daten Zugriff habe. Der Anbieter sicherte ausdrücklich vertraglich zu, die Daten würden ausnahmslos auf einem in Frankfurt/Main stehenden Server einer deutschen GmbH verarbeitet.

Die Klage richtete sich gegen dieses Verbot bei der Vergabekammer Baden-Württemberg (untere Instanz) und wurde abgewiesen, da die Vergabekammer der Argumentation der Vergabestelle folgte, die Daten seinen trotz der vertraglichen Zusicherung nicht sicher.

Der Vergabesenat des OLG Karlsruhe hob nach Beschwerde nun diese Entscheidung auf. Eine grundsätzliche Annahme, ein Auftragnehmer werde sich nicht an seine Zusicherungen halten, nur weil die Muttergesellschaft in den USA sitzt, kann ohne weitere konkrete Indizien ( z. B. tatsächliche Datenschutzverstöße des Auftragnehmers) nicht unterstellt werden. Der Anbieter mit Muttergesellschaft in den USA darf also bei der Vergabe ebenfalls berücksichtigt und in Anspruch genommen werden.

Konsequenzen für die Inanspruchnahme von US Dienstleistern im Bereich der Auftragsdatenverarbeitung

Die grundsätzliche Unterstellung, dass die Annahme gerechtfertigt sei, US-Dienstleister mit Hauptsitz in den USA würden auch personenbezogene Daten ihrer Tochterunternehmen in der EU an Behörden in den USA auf Anforderung preisgeben ist zwar nun nicht mehr gerechtfertigt, jedoch müssen für die DSGVO-konforme Inanspruchnahme dieser Unternehmen auch künftig mindestens die folgenden Voraussetzungen nach der DSGVO (Datenschutzgrundverordnung) erfüllt sein:

  1. Das vertraglich mit der Datenverarbeitung beauftragte Unternehmen muss seinen Sitz (Handelsregistereintrag) innerhalb der europäischen Union haben, damit es für die europäischen Datenschutzaufsichtsbehörden greifbar ist. ( Z.B.: XYZ Deutschland GmbH )
  2. Die vertragsgegenständlichen personenbezogenen Daten dürfen nur auf Servern innerhalb der europäischen Union verarbeitet werden, und dies muss auch ausdrücklich vertraglich vereinbart sein ( Z. B.: Europa – Lizenz mit der Konkretisierung Servernutzung in Frankfurt).
  3. Es muss mit diesem Dienstleister ein Vertrag über Auftragsverarbeitung gemäß Art. 28 DSGVO mit allen Details vereinbart werden oder besser, der Dienstleister lässt sich auf die Vereinbarung der Standardvertragsklauseln ein.

(Nur) wenn diese Voraussetzungen erfüllt sind, besteht nach dem Beschluss des OLG Karlsruhe kein Grund, von vornherein ein Risiko für die personenbezogenen Daten anzunehmen und damit die betroffenen Dienstleister von einer Inanspruchnahme auszuschließen. Es ist dann eher von einer Gleichbehandlung mit EU-ansässigen Unternehmen auszugehen.

Der Beschluss weist aber auch darauf hin, dass dies nicht mehr gilt, wenn tatsächliche Datenweitergaben stattfinden und bekannt werden. Dann ist von einer erhöhten Risikolage auszugehen, und im Rahmen einer Datenschutzfolgeabschätzung eingehend zu prüfen, ob eine weitere Inanspruchnahme noch gerechtfertigt ist. Die Verträge über Auftragsverarbeitungen sehen ja vor, dass bei Verstößen gegen die Sicherheits- und Vertraulichkeitsvereinbarungen durch den Dienstleister (Auftragnehmer) eine fristlose Kündigung durch den Auftraggeber jederzeit möglich ist.

Fazit:

Der Beschluss des OLG Karlsruhe erleichtert dem öffentlichen Bereich (z.B. Krankenhäuser und Schulen) direkt, und dem privaten Bereich der Unternehmen indirekt,
da die Argumente des OLG auch hier „stimmen“ - die Inanspruchnahme von US Dienstleistern, wobei aber jedenfalls die genannten Mindestvoraussetzungen erfüllt sein müssen. Unternehmen und öffentliche Stellen müssen nun nicht mehr von vornherein davon ausgehen, dass die Töchter von US-Konzernen mit Sitz in Europa die Daten vertragswidrig („vielleicht ja doch“) an die Muttergesellschaft weitergeben werden und können daher, sofern die oben genannten weiteren Voraussetzungen erfüllt sind, diese Anbieter nutzen. Dies stellt für viele Unternehmen -endlich- eine große Erleichterung dar.

Es bleibt abzuwarten, ob und wie diese neue rechtliche Situation von den Datenschutzinstanzen (BfDI, LfDI, DSK etc.) beurteilt und in Form von Empfehlungen umgesetzt wird.

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.

TAGS

Zurück

Einen Kommentar schreiben

Was ist die Summe aus 2 und 9?

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.