Zum Inhalt springen Zur Navigation springen
Drittland: DSGVO-Verstoß bei heimlich möglichen Datenzugriff?

Drittland: DSGVO-Verstoß bei heimlich möglichen Datenzugriff?

Die Thematik des Drittland-Datentransfers beschäftigt die Gerichte immer wieder. So auch jüngst das Oberlandesgericht Karlsruhe. Das Gericht hatte sich mit einer Entscheidung der Vergabekammer Baden-Württemberg auseinanderzusetzen. Lesen Sie in diesem Artikel alles Interessante zum Urteil.

Aufhebung der Entscheidung

In einem Beschluss vom 07. September 2022 (Az. 15 Verg 8/22) hat sich der Vergabesenat des Oberlandesgerichts Karlsruhe mit Drittlandsübermittlungen bei Cloud-Diensten und den damit in Verbindung stehenden vergaberechtlichen Anforderungen auseinandergesetzt. Der Senat kam zu dem Ergebnis, dass allein das Risiko eines Zugriffs von US-Amerikanischen Behörden nicht ausreicht, um einen Verstoß gegen die DSGVO anzunehmen.

Damit hob der Senat des OLG Karlsruhe die viel beachtete Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 (Az. 1 VK 23/22) auf, worüber wir bereits im August diesen Jahres berichtet haben.

Was ist passiert?

In dem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften für ein digitales Entlassmanagement für Patienten war vorausgesetzt, dass die Anforderungen der DSGVO und des BDSG hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erfüllt sein müssen.

Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns werde den Auftrag ausschließlich bearbeiten und die Daten würden ausschließlich in einem EWR-Rechenzentrum verarbeitet werden. Die Krankenhausgesellschaften kündigten im Vergabeverfahren an, dieser Anbieterin den Zuschlag erteilen zu wollen, weil sie ihr Angebot als das wirtschaftlichste ansähen.

Eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, stellte sodann einen Nachprüfungsantrag und die Vergabekammer entschied, die ausgewählte Anbieterin aus dem Vergabeverfahren auszuschließen. Als Begründung wurde angeführt, dass die Nutzung von Diensten der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens mit einer unzulässigen Datenübermittlung in ein Drittland einhergehe. Bereits das latente Risiko eines staatlichen Zugriffs oder auch ein Zugriff von privaten Stellen außerhalb der EU reicht aus, um eine Übermittlung anzunehmen. Damit sei ein Verstoß gegen Art. 44 ff. DSGVO gegeben und das Angebot hätte nicht den Vorgaben aus den Vergabeunterlagen entsprochen.

Übermittlung: Vergabekammer Baden-Württemberg vs. OLG Karlsruhe

Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Das kann dann sein, wenn ein Angemessenheitsbeschluss vorliegt, geeignete Garantien zum Schutz personenbezogener Daten vorgesehen sind wie bspw. Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) oder wenn ein Ausnahmetatbestand des Art. 49 DSGVO vorliegt.

Es stellte sich die Frage ab, wann denn eine Übermittlung im Sinne der DSGVO vorliegt. Der Begriff der Übermittlung ist als solcher in der DSGVO nicht definiert.

Auffassung der Vergabekammer Baden-Württemberg

Die Vergabekammer Baden-Württemberg ist der Auffassung, dass der Übermittlungsbegriff im Lichte des weit gefassten Wortlauts des Art. 44 S. 1 DSGVO sowie der in Art. 44 S. 2 DSGVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen ist. Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung noch auf die Offenlegung gegenüber einem Dritten ankommt. Eine berücksichtigungsfähige Offenlegung ist auch dann schon anzunehmen, wenn die Möglichkeit besteht, dass von einem Drittland zugegriffen werden kann. Dies gilt unabhängig davon, ob der Zugriff tatsächlich erfolgt. Auch sei die Verwendung der Standarddatenschutzklauseln nicht geeignet, die Übermittlung zu legitimieren.

Ansicht des OLG Karlsruhe

Dieser Auffassung stellt sich jedoch der Senat des OLG Karlsruhe entgegen, auch wenn die Entscheidung eine Auseinandersetzung mit dem Begriff der „Übermittlung“ vermissen lässt. Der Argumentation der Vergabekammer, dass allein die Möglichkeit des heimlichen Datenzugriffs durch US-Behörden schon zu einer unzulässigen Übermittlung der Daten führt, folgt das OLG Karlsruhe nicht.

Nach Auffassung des Senats kann sich der Vertragspartner auf die bindenden Zusagen der Anbieterin verlassen, dass die Daten ausschließlich im europäischen Wirtschaftsraum verarbeitet und in kein Drittland übermittelt werden. Das alleinige Risiko eines Zugriffs lässt eine Übermittlung noch nicht stattfinden.

Wörtlich führte der Senat dazu aus:

„Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“

Erst wenn sich aufgrund konkreter Anhaltspunkt Zweifel ergeben, dass die vertraglichen Zusagen nicht erfüllt werden, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Solange jedoch keine Zweifel bestehen, muss nicht damit gerechnet werden, dass vertragswidrig und gegen europäisches Recht verstoßende Weisungen befolgt werden und personenbezogene Daten in ein Drittland übermittelt werden.

Im entschiedenen Fall hatte die Bieterin jedoch eindeutige Zusicherungen zum Inhalt des Vertrags zwischen ihr und der luxemburgischen Holding-Dienstleisterin gemacht.

Hohe Relevanz für Vergaberecht – Chance, aber auch Risiko

Von erheblicher Relevanz ist die rechtskräftige Entscheidung für das Vergaberecht. Bekräftigt hat das OLG Karlsruhe mit seiner Entscheidung die Maßgeblichkeit einer Berücksichtigung von Leistungsversprechen bzw. Garantien im Angebot. Dies beinhaltet jedoch Chancen und Risiken gleichermaßen.

Das OLG Karlsruhe hat mit der neuesten Entscheidung nicht entschieden, ob der Einsatz von US-Anbietern oder deren Tochtergesellschaften generell zulässig ist. Beachtenswert ist, welchen Stellenwert das OLG Karlsruhe den vertraglichen Regelungen zuspricht. Verallgemeinerungsfähig ist diese Entscheidung jedoch nicht. Im Endeffekt kommt es wieder auf eine Betrachtung im Einzelfall an.

Die Hoffnung stirb zuletzt

Es bleibt spannend, wie es gerade mit dem Datentransfer in die USA weitergehen wird. Ein Nachfolgeabkommen zwischen den USA und der EU über ein drittes (und hoffentlich auch gerichtsfestes) Abkommen ist angekündigt, lässt jedoch noch auf sich warten.

Seit Juni 2021 liegen zwar neue, überarbeitete Standardvertragsklauseln (SCC) vor, die sich jedoch anders als das gekippte Privacy-Shield gerade nicht pauschal für einen ungehinderten Datentransfer in die USA eignen. Es gilt daher weiterhin: Der Einzelfall ist entscheidend.

Webinar zum Thema

Die individuelle Umsetzung der neuen Standardvertragsklauseln stellt die Unternehmen vor neue Herausforderungen. Wir möchten, dass Sie möglichst gut gewappnet sind und dem Ablauf der zweiten Frist der Standardvertragsklauseln entspannt entgegensehen können. Informieren Sie sich deshalb über unser Webinar »Neue Standardvertragsklauseln«.

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung der Standardvertragsklauseln (SCC-Module). Profitieren Sie von den Erfahrungen der Referierenden im Bereich rechtssichere Datenübermittlungen, SCC und der Anwendung von TIA. So verstehen Sie die Hintergründe und stärken Ihr Verständnis für dieses wichtige Thema.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Nach dem US cloud act und damit verbundener Rechtsauffassung der USA haben die US Behörden weltweit das Recht, auf alle Daten US-kontrollierter Internetdienste usw. zuzugreifen, einschließlich Tochtergesellschaften im Ausland. Aufgrund der vorigen US-Gesetzgebung, die etwas weniger klar war, als der Cloud Act, hatte der EuGH im Schrems-II-Urteil das von der EU Kommission mit den USA ausgehandelte Privacy Shield für nichtig erklärt. Vom Cloud Act liest man im Urteil nichts.

    Das Urteil des OLG Karlsruhe irritiert daher aus zwei Gründen:

    1. Es ist mehr als naiv anzunehmen, dass eine europäische Tochtergesellschaft eines US-Konzerns sich im Konflikt von im Widerspruch stehendem US-Gesetz und der EU DSGVO stets für das EU Gesetz entscheidet. Vor allem ist es für den öffentlichen Auftraggeber praktisch am Ende überhaupt nicht kontrollierbar, ob das passiert und Verträge tatsächlich eingehalten werden. Letztlich ist es immer auch vor allem die Frage, ob man seinem (Cloud) IT Dienstleister vertrauen kann. Wenn er einem Gesetzesdilemma ausgesetzt ist, wohl nicht.

    2. Angesichts dieser Gemengelage wäre das OLG Karlsruhe besser beraten gewesen, beim EuGH vorzulegen. So ist möglicherweise das Recht auf den gesetzlichen Richter verletzt.

  • Zu 1. ja es ist naiv, aber man könnte ja davon ausgehen, dass sich die Tochtergesellschaft an das europäische Recht hält.
    Ich frage mich hierzu nur, wie kann eine Tochtergesellschaft überhaupt auf eine solche Anfrage des Mutterkonzerns reagieren, um das europäische Recht zu wahren?

  • Wie man sieht, dürfte die Auffassung des OLG Karlsruhe den Intentionen der heute vor dem EuGH dargelegten Auffassung des Schlussantrags des Generalanwaltes in der Rechtssache C-252/21 widersprechen. Generalanwalt Rantos ist der Auffassung, dass eine Wettbewerbsbehörde in Ausübung ihrer Zuständigkeiten die Vereinbarkeit einer Geschäftspraxis mit der Datenschutzgrundverordnung prüfen kann (curia.europa.eu/jcms/jcms/p1_3863244/de/). Wenn also der EuGH dem folgen wird, scheint das Urteil des OLG damit schwer vereinbar.

  • Soweit eine Tochtergesellschaft eines amerikanischen Konzerns ihren Sitz in Europa hat und vertraglich zusichert, sein Rechenzentrum in Europa zu betreiben , ist das zumindest rechtssicher. Andernfalls wäre auch die Wirtschaft lahmgelegt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.