Neuer Datenschutz-Beschluss aus Baden-Württemberg: Reicht ein EU-Serverstandort für DSGVO-Konformität bald nicht mehr aus?

·
15. August 2022
Datenschutz-Beschluss Vergabekammer zum Datentransfer in die USA

Es gibt wichtige Datenschutz-Neuigkeiten: Die Vergabekammer Baden-Württemberg hat am 13. Juli 2022 einen einschneidenden Beschluss erlassen. Dieser könnte auch das Aus für die DSGVO-Konformität vieler Unternehmen bedeuten – vorausgesetzt, sie speichern personenbezogene Daten auf Servern und in Clouds innerhalb der EU, die über europäische Tochtergesellschaften von US-Anbietern wie Google, Amazon, Microsoft & Co betrieben werden. Auch allein die bestehende Abhängigkeit europäischer Anbieter von einem US-Unternehmen, z. B. durch verkaufte Firmenanteile, könnte sich auf die DSGVO-Konformität europäischer Firmen auswirken. Unsere rapidmail Datenschutz-Partner von Keyed haben die Ergebnisse des Beschlusses für Sie zusammengefasst und erklären, wie Sie herausfinden, ob Ihr Unternehmen betroffene IT- und Softwaredienste nutzt. 



1. Rückblick: So war die Datenübertragung an US-Unternehmen bisher geregelt

Nicht erst seit dem Inkrafttreten der Datenschutz-Grundverordnung (EU-DSGVO) 2018 wurde versucht, eine geeignete Regelung für die Datenübermittlung aus EU-Ländern in die USA zu finden. Hintergrund der heiklen Angelegenheit sind die unterschiedlichen datenschutzrechtlichen Vorgaben, die in der EU und in den USA gelten. Erschwerend gelten in den USA sog. Überwachungsgesetze (z. B. der „Cloud-Act”), welche nicht mit den datenschutzrechtlichen EU-Gesetzen in Einklang gebracht werden können. Mithilfe von länderübergreifenden Datenschutzvereinbarungen wurden schon mehrfach – aber erfolglos – Bemühungen unternommen, auf einen gemeinsamen Nenner zu kommen, um Unternehmen eine rechtssichere Übertragung personenbezogener Daten aus der EU in die USA zu ermöglichen.

Nachdem das erste Datenschutzabkommen „Safe Harbor” zwischen der EU und den USA im Jahr 2015 gestoppt wurde, trat 2016 die sogenannte „Privacy Shield”-Vereinbarung in Kraft. Diese sollte sicherstellen, dass US-Unternehmen, die von EU-Firmen personenbezogene Daten erhalten, diese Daten unter den gleichen strengen Datenschutzbestimmungen wie die der EU verarbeiten. Nicht nur das Europäische Parlament schätzte die Vereinbarung im Hinblick auf das gegebene Datenschutzniveau als sehr kritisch und unzureichend ein: Auch der Europäische Gerichtshof (EuGH) kam zur gleichen Einschätzung und erklärte 2020 das EU-US Privacy Shield wieder für unwirksam.

Das Urteil und das Fehlen einer neuen Regelung hat den datenschutzkonformen Datentransfer zwischen EU-Mitgliedstaaten und den Vereinigten Staaten deutlich erschwert. Will ein EU-Unternehmen Daten in die USA übertragen, muss es andere Wege finden, um eine rechtssichere Datenverarbeitung zu gewährleisten. 

In der Regel werden dafür die sogenannten EU-Standardvertragsklauseln als Basis für eine rechtmäßige Datenübermittlung genutzt. Die Europäische Kommission hat am 04. Juni 2021 neue Standarddatenschutzklauseln (engl. SCC), gerne auch als Standardvertragsklauseln bezeichnet, veröffentlicht. Standarddatenschutzklauseln können als sog. Garantien für Übermittlungen von personenbezogenen Daten in Drittländer (also außerhalb der Europäischen Union) dienen, vgl. Art. 46 Abs. 2 lit. c) DSGVO. Gleichzeitig müssen den betroffenen Personen in dem jeweiligen Drittland durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Aber auch hier wurden in den letzten Jahren die Anforderungen immer weiter verschärft, sodass der Abschluss der SCC alleine nicht mehr ausreicht.

Der Abschluss von sogenannten Standardvertragsklauseln alleine reicht für eine DSGVO-Konformität heute nicht mehr aus.

Nils Möllers, Datenschutz-Jurist von Keyed

Gleichzeitig nutzen viele US-Firmen, u. a. auch IT-, Software- und Hostinganbieter datenschutzrechtliche Grauzonen aus, indem sie personenbezogene Daten über europäische Tochterfirmen in Serverzentren innerhalb der EU speichern.

Der am 13.7.2022 erlassene Beschluss der Vergabekammer Baden-Württemberg, der als „Wegweiser” für die weitere datenschutzrechtliche Entwicklung in Deutschland dienen könnte, kam zwar plötzlich – und ist mit Blick auf die gescheiterten Abkommen gleichzeitig keine große Überraschung.


2. Darum geht es im neuen Beschluss der Vergabekammer Baden-Württemberg

Bei der Vergabekammer Baden-Württemberg handelt es sich um eine Nachprüfbehörde. Ihre Aufgabe ist es, die Vergabe öffentlicher Aufträge an Privatunternehmen nachzuprüfen. In diesem Zusammenhang kam es im Rahmen eines Ausschreibungsverfahrens für eine Cloud-Plattform zu einem Streitfall zwischen zwei daran teilnehmenden Unternehmen.

Von einem der Unternehmen, die ein Angebot eingereicht hatten, wurde gefordert, eine andere Firma von der Angebotswertung auszuschließen. Begründet wurde die Forderung damit, dass die Firma gegen die DSGVO verstoße, da sie für Server- und Hostingleistungen mit einer Tochtergesellschaft eines in den USA ansässigen Unternehmens zusammenarbeite. Dass die Server dieser europäischen Tochtergesellschaft in Deutschland stehen, sei aufgrund der Abhängigkeit vom US-Mutterkonzern irrelevant.

Das beschuldigte Unternehmen argumentierte dagegen, dass dafür Standardvertragsklauseln abgeschlossen worden wären sowie ein sog. „GDPR Data Processing Addendum” (in Deutschland bekannt als „Auftragsverarbeitungsvertrag”, kurz „AV-Vertrag”) mit ergänzenden Regelungen – wie es vom Europäischen Gerichtshof in solchen Fällen gefordert wird.

Aufgabe der Vergabekammer Baden-Württemberg war es nun, zu entscheiden, ob die betroffene Firma durch die Zusammenarbeit mit einer europäischen Tochterfirma eines US-Konzerns trotz der vereinbarten Standardvertragsklauseln tatsächlich gegen die DSGVO verstößt.


3. Ergebnisse des Vergaberechtsbeschlusses

Am 13.07.2022 hat die Vergabekammer Baden-Württemberg dann ihren Beschluss zum Thema „DSGVO: Zulässigkeit der Verwendung von Infrastrukturdiensten von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter” erlassen.

Das Ergebnis

  • Nach Einschätzung der Vergabekammer Baden-Württemberg ist es nach dem Wegfall des EU-US Privacy Shields nicht zulässig, personenbezogene Daten an Server zu übermitteln, wenn es sich bei den Betreibern um Tochtergesellschaften von US-Anbietern handelt – auch nicht, wenn die Server für IT- und Softwareleistungen innerhalb der EU betrieben werden.
  • Auch das Abschließen der Standardvertragsklauseln oder eines Auftragsverarbeitungsvertrags (AV-Vertrags) reiche nicht per se aus, um eine Datenübertragung an EU-Server, die zu einem US-amerikanischen Mutterkonzern gehören, zu rechtfertigen. 
  • Begründet wurde die Entscheidung mit der Möglichkeit, dass die nichteuropäische Muttergesellschaft auf die vorliegenden Daten zugreifen könnte. Allein die Möglichkeit führe zu einer Datenweitergabe in ein Drittland im Sinne der DSGVO (Art. 44 ff.), ganz unabhängig davon, ob tatsächlich ein Zugriff durch den US-Konzern stattfindet. Für Unternehmen, bei denen US-Konzerne Firmenanteile besitzen, könnte also allein dieses Abhängigkeitsverhältnis dazu führen, dass keine vollständige DSGVO-Konformität mehr erreicht werden kann.

4. Ab wann ist der datenschutzrelevante Beschluss gültig?

Laut aktuellem Stand (15. August 2022) ist der Beschluss der Vergabekammer noch nicht rechtskräftig, das Verfahren für die Annahme und Überprüfung läuft derzeit noch. 

Wir schätzen die Wahrscheinlichkeit als sehr hoch ein, dass sich der Beschluss durchsetzen wird und somit als „Wegbereiter” für ähnliche Entscheidungen von Gerichten und Behörden dienen wird – auch im privatwirtschaftlichen Bereich.

Nils Möllers, Datenschutz-Jurist von Keyed

Sollte der Beschluss rechtswirksam werden, ist es allerdings sehr wahrscheinlich, dass er den Aufsichtsbehörden und anderen Gerichten in ähnlichen Fällen als „Wegweiser” dienen wird. Und zwar nicht nur im öffentlichen, sondern auch im privatwirtschaftlichen Bereich. Die Entscheidung der Vergabekammer Baden-Württemberg hat potentiell also weitreichende Folgen für die Zusammenarbeit deutscher Unternehmen mit US-amerikanischen IT- und Hosting-Anbietern bzw. deren Tochtergesellschaften: Wird der Beschluss rechtswirksam und bleibt die Zusammenarbeit mit US-Anbietern bzw. deren Tochtergesellschaften trotzdem weiterhin bestehen, würde das für die Unternehmen bedeuten, dass sie nicht mehr DSGVO-konform agieren.


5. So prüfen Sie als Unternehmen, ob Sie betroffen sind

Tritt der Fall ein, dass der Beschluss rechtswirksam wird, ist die Wahrscheinlichkeit hoch, dass sich Gerichte und Aufsichtsbehörden auch im privatwirtschaftlichen Bereich an diesem Beschluss orientieren. 

Für Sie als Unternehmen würde das bedeuten, …

  • dass Sie sicherstellen sollten, dass Ihr Unternehmen mit keinem Server-, Hosting- oder Software-Anbieter zusammenarbeitet, bei dem personenbezogene Daten auf Servern gespeichert werden, die von einem Mutterkonzern in den USA abhängen. Bekannte Beispiele für US-Konzerne, die Server-Leistungen in der EU anbieten, sind z. B. die Cloud-Angebote von Amazon Web Services (AWS), Microsoft Azure oder der Google Cloud Platform. Setzen Sie sich mit der Gesellschaftsstruktur Ihrer europäischen Software- und Hosting-Anbieter auseinander, um herauszufinden, ob ein Zusammenhang zu einer Muttergesellschaft in den USA besteht.
  • dass Sie bei allen Online-Tools und IT-Dienstleistungsfirmen, mit denen Sie arbeiten, einen Blick in die Datenschutzhinweise werfen sollten. Prüfen Sie genau nach, auf welchen Servern die Anbieter Ihre personenbezogenen Daten speichern. Allein die Auszeichnung „Datenspeicherung auf EU-Servern” würde für die DSGVO-Konformität nicht mehr ohne Weiteres ausreichen, da es sein kann, dass die EU-Server von einem US-Anbieter betrieben werden. Auch die Vereinbarung von Standardvertragsklauseln oder zusätzlichen Datenschutzvereinbarungen würde nicht mehr als Argument für DSGVO-Konformität genügen.
  • dass Sie sicherheitshalber auch die AV-Verträge der IT- und Software-Anbieter daraufhin prüfen sollten, ob darin als sog. „Unterauftragnehmer” Firmen mit Sitz in den USA aufgelistet werden. Ist das der Fall, könnte das in naher Zukunft bedeuten, dass eine Zusammenarbeit mit dem jeweiligen Anbieter nicht mehr rechtmäßig ist.

6. Das bedeutet der Beschluss für rapidmail-Kunden

Wir können Sie gleich beruhigen: Die Newsletter-Software von rapidmail ist und bleibt weiterhin zu 100 % DSGVO-konform – ohne Sternchen und Kleingedrucktes.

Schon vor der DSGVO und umfassenden rechtlichen Vorgaben hatte Datenschutz für rapidmail oberste Priorität. Warum? Weil das Team von rapidmail mit den Daten seiner Kundinnen und Kunden genauso umgehen möchte, wie es sich das von anderen Tools für die eigenen persönlichen Daten wünscht. Aus diesem Grund hat sich rapidmail auch das Team von Keyed als externen Datenschutz-Juristen mit ins Boot geholt.

Auch wenn der Beschluss der Vergabekammer Baden-Württemberg rechtswirksam wird, haben Sie als rapidmail Kundin oder Kunde nichts zu befürchten:

  • Mit rapidmail werden alle personenbezogenen Daten auf Servern in Deutschland gespeichert – und zwar nur bei Anbietern, die nicht zu einem Drittlands-Unternehmen gehören.
  • Alle IT- und Hosting-Anbieter, die bei rapidmail im Einsatz sind, wurden zuvor umfassend von unserem Team aus Datenschutz-Expert:innen geprüft.

Alles, was Sie tun müssen, ist sich voll und ganz auf Ihr E-Mail-Marketing zu konzentrieren. Zusammen mit unserem Datenschutz-Partner Keyed sorgen wir dafür, dass Ihre Nutzung von rapidmail zu jedem Zeitpunkt DSGVO-konform bleibt.

💡 Unser Tipp: Datenschutz-Checkliste für Newsletter-Marketing

Was müssen Sie von Ihrer Seite aus bei Ihrem Newsletterversand beachten? Welche Kontakte dürfen Sie überhaupt anschreiben und muss wirklich jeder Newsletter einen Abmeldelink enthalten? Mit unserer Datenschutz-Checkliste für Ihr Newsletter-Marketing bleiben Sie rechtlich immer auf der sicheren Seite.


7. Fazit und Einschätzung: Wie geht’s weiter?

Erst einmal heißt es: abwarten. Abwarten, wie die Vergabekammer Baden-Württemberg ihren Beschluss begründet und wie das laufende Verfahren am Oberlandesgericht (OLG) in Karlsruhe am Ende ausgeht. 

Allerdings passt der Beschluss aus unserer Sicht zu der Tendenz bei Entscheidungen europäischer Gerichte und Behörden, einen risikoreichen Ansatz bei der Übermittlung personenbezogener Daten in Drittländer wie den USA abzulehnen. 

Daher schätzen wir die Wahrscheinlichkeit als sehr hoch ein, dass sich der Beschluss durchsetzen wird und somit als „Wegbereiter” für ähnliche Entscheidungen von Gerichten und Behörden dienen wird – auch im privatwirtschaftlichen Bereich. Unternehmen sind daher gut damit beraten, wenn sie schon heute entsprechende Veränderungsprozesse einleiten. Denn ein Verzicht auf die Nutzung von Tools und Anbietern mit Servern von US-Konzernen steigert in jedem Fall auch jetzt schon das Datenschutzniveau.


Definitiv auch Ihre Aufmerksamkeit wert