In einer Stellungnahme des Landesbeauftragen für Datenschutz und Informationsfreiheit Baden-Württemberg hat dieser sich zum Verarbeitungsbegriff der Übermittlung der Art 4 Abs. 2, 44 DSGVO geäußert. Anlass war ein Beschluss der Vergabekammer Baden-Württemberg zu einem Anbieter, der US-Amerikanische Clouddienste einsetzt. Die Vergabekammer kam zu dem Schluss, dass bei einem Dienstleister von Clouddiensten bereits das Risiko eines Zugriffs von Drittstaaten als eine Übermittlung darstellt.
Der Inhalt im Überblick
Der Sachverhalt vor der Vergabekammer Baden-Württemberg
Nach Informationen des Handelsblatts ging es bei dem Beschluss der Vergabekammer um den Zuschlag zu einer Softwareanschaffung für digitales Entlassmanagement für Krankenhäuser. Den erhielt die Recare Deutschland GmbH, deren Software für die Infrastruktur die Dienste einer EU-Tochtergesellschaft eines großen US-Clouddienstes nutzt, welche Daten auf Europäischen Servern speichern.
Ein Mitbewerber, die Pflegeplatzmanager GmbH, welche damit wirbt, dass die Daten nur auf Servern innerhalb Deutschlands verarbeitet werden, störte sich daran, dass der Konkurrent sich vermeintlich nicht an die datenschutzrechtlichen Vorschriften hielt und strebte daher ein Nachprüfungsverfahren an. Der Mitbewerber führte unter anderem aus, dass man sich durch den Einsatz des Clouddienstes der US-Tochter allein deshalb schon an kein der DSGVO entsprechendes Datenschutzniveau halten kann, weil die Gefahr bestünde, dass sich US-amerikanische Behörden Zugriff auf die Server in Europa verschaffen könnten. Der Übermittlungsbegriff des Art. 44 DSGVO decke sich nicht mit dem des Art. 4 DSGVO und sei aufgrund des Schutzzweckes der DSGVO weit auszulegen. Die Vergabekammer schloss sich dieser Auffassung an und hob den Zuschlag mit Beschluss vom 13.07.2022 auf (Az.: 1 VK 23/22).
Verarbeitungsbegriff des Art. 44 DSGVO weit auszulegen
Im Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), bei dem das Privacy-Shield-Abkommen zwischen der Europäischen Union und der USA gekippt wurde, hat der EuGH deutlich gemacht, dass er bei Datenübermittlungen in Drittstaaten, das US-amerikanische Datenschutzniveau als nicht ausreichend betrachtet. Die Vergabekammer Baden-Württemberg hat diesen Ansatz im Hinblick auf den Übermittlungsbegriffs des Art. 44 DSGVO aber in ihrem Beschluss nochmal auf die Spitze getrieben.
Sie ist der Ansicht, dass eine Übermittlung als Verarbeitungsform, im Sinne des Art. 4 Abs. 2 DSGVO, bereits dann vorliegt, wenn schon die Gefahr der Übermittlung in einen Drittstaat besteht. Dies begründet sie damit, dass der Übermittlungsbegriff in Art. 4 Abs. 2 DGVO nicht dem Übermittlungsbegriff des Art. 44 DSGVO entspräche. Vielmehr sei, aufgrund der besonderen Schutzbedürftigkeit beim Drittlandstransfer, eine weitere Auslegung notwendig:
„Der Übermittlungsbegriff ist im Lichte des weil [sic] gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt.“
Eine solche Offenlegung ist nach der Kammer auch dann anzunehmen, wenn:
„…eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt.“
Warum hat sich die Datenschutzbehörde geäußert?
Für die Einordnung ist es notwendig zu wissen, dass Vergabekammern, ebenso wie die Landesdatenschutzbeauftragten, unabhängige Kontrollbehörden sind (§ 157 GWB). Anders als diese haben sie aber nicht die Funktion einer Aufsichtsbehörde, sondern sind gerichtsähnlich (von der Organisation bis zur Besetzung) und sollen die Vergabe öffentlicher Aufträge und von Konzessionen bei Beschwerden von Wettbewerbern im Nachgang überprüfen (§ 155 GWB).
Das sich die Rechtsauffassung dieses Verwaltungsorgans von der bereits geäußerten Position des LfDI Baden-Württemberg unterscheidet, sah sich dieser in der Verantwortung eine Stellungnahme abzugeben, in der seine rechtliche Einschätzung des Beschlusses deutlich wird.
In dieser weist die Behörde darauf hin, dass zur Risikominimierung sogenannte technische und organisatorische Maßnahmen (TOM’s) vorgesehen sind, die im Einzelfall, je nach Risikolage, vereinbart werden können. Hierzu sagt der Landesbeauftragte:
„…Zudem übersieht diese Argumentation, dass gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können.“
Zum Beispiel könne durch den Einsatz von Verschlüsselungstechnik ein Zugriff von Dritten erheblich erschwert werden.
Noch mehr Unsicherheit beim Drittlandstransfer
Problematisch in dem Beschluss ist vor allem, dass der Übermittlungsbegriff des Art. 4 Abs. 2 DSGVO von dem des Art. 44 DSGVO unterschieden wird bzw., dass die Übermittlung als Verarbeitung i.S.d. Art 4 DSGVO sehr weit ausgelegt wird. Dass der Verarbeitungsbegriff des Art. 44 DSGVO sich von dem des Art. 4 DSGVO unterscheiden soll, ist kaum aus dem Wortlaut der DSGVO oder den Erwägungsgründen zu entnehmen. Es ist vielmehr davon auszugehen, dass die Übermittlung in beiden Vorschriften die Verarbeitung durch Übermittlung meint. Hierzu muss dann aber tatsächlich auch etwas verarbeitet werden. Eine bloße Möglichkeit der Verarbeitung reicht noch nicht aus, um den Anwendungsbereich des Art. 44 DSGVO zu eröffnen.
Wie der Landesdatenschutzbeauftragte ausführt, sind die in Art. 32 DSGVO und im Erwägungsgrund 78 zur DSGVO beschriebenen technischen und organisatorischen Maßnahmen ein ideales Instrumentarium, um anhand einer einzelfallbezogenen Risikoabschätzung ein optimales Datenschutzniveau zu schaffen. Durch diese können anhand des individuellen Verarbeitungsprozesses, je nach Vertragsverhältnis und angebotener Dienstleistung, Maßnahmen getroffen werden, um dem Datenschutz gerecht zu werden. Eine pauschale Ausgrenzung US-Amerikanischer Anbieter aufgrund abstrakter Gefahren ist im Kontrast hierzu keine elegante und wirtschaftliche Lösung.
Folgt man der Ansicht der Kammer, so käme man zu dem Ergebnis, dass es nicht möglich ist, Clouddienste von US-amerikanischen Dienstleistern datenschutzkonform einzusetzen. Selbst wenn diese mit ihren Tochterunternehmen Serverfarmen in Europa betreiben, um die Vorgaben der DSGVO formell zu erfüllen. Denn auch diese würden dem Cloud-Act unterliegen, sodass sich das Risiko eines extraterritoriale Datenzugriffs nie vollständig ausschließen lässt. Zu dem Ergebnis kommt eine aktuelles Gutachten für das niederländische National Cyber Cecurity Center.
Erstmal die Füße stillhalten
Der Beschluss der Vergabekammer liegt jetzt dem Oberlandesgericht Karlsruhe zur Überprüfung vor. Dass der Landesbeauftragte für Datenschutz und Informationsfreiheit sich veranlasst sah, eine Stellungnahme zu dem Beschluss der Kammer zu veröffentlichen, lässt darauf schließen, dass die Rechtsauffassung der Vergabekammer wohl kaum einer gerichtlichen Überprüfung standhalten wird. So kann man sich dem Schlusswort des LfDI nur anschließen:
„…vor diesem Hintergrund darf die anstehende Überprüfung der Entscheidung der Vergabekammer durch das OLG Karlsruhe mit Spannung erwartet werden.“
Bis dahin gibt es für Unternehmen in Baden-Württemberg vom LfDI erstmal eine Entwarnung. Man will bei der Aufsichtstätigkeit im Bereich des Drittlandsübermittlung nach wie vor auf einzelfallbezogene Prüfungen und der Suche nach alternativen Anbietern setzten und nicht pauschal Transferverbote aussprechen.
Update 08.09.2022
Zu dem hier behandelten Beschluss hat nun wiederum das OLG Karlsruhe beschlossen, dass allein das Risiko eines Zugriffs von US-Amerikanischen Behörden nicht ausreicht, um einen Verstoß gegen die DSGVO anzunehmen.
„Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Das OLG führt weiter aus, dass grundsätzlich im Vergabeverfahren davon ausgegangen werden muss, dass die Bieter ihre vertraglichen Zusagen einhalten. Ob sich auch später an diese gehalten wird, ist Frage der Vertragsdurchführung.
Als interessierter Leser der Stellungnahmen aus BaWü bspw. zu Office 365 an Schulen bin ich doch eher irritiert. Wie im Artikel angegeben sehen die Niederlande das Problem des Cloud Act auch. Übrigens auch die Behörden in Bayern. Daher ist das Problem da, nicht gelöst und wenn es Alternativen aus dem EWR gibt, warum nicht
Außerdem zieht das Argument mit der Verschlüsselung nicht, weil der Cloud-Dienst ja sicherlich nicht zum puren Abspeichern verschlüsselter Daten gedacht ist. Ein pures Backup könnte man auch ohne Cloud oder in der EU einfacher haben.
Der LfDI ist mit seinen Gedanken wohl schon beim neuen Job.
Danke für Ihren Kommentar, Frau Neumann, Sie sprechen mir aus dem Herzen. Verschlüsselung geht gut für Daten „at rest“, solange sie also auf der Festplatte/SSD liegen.
Werden sie in den Hauptspeicher geladen, ist die Sache schon viel schwieriger (RAM-Verschlüsselung gibt es, die kostet aber erheblich Performance). Und wenn man die Theorie auf die Spitze treiben möchte: Spätestens für die Mikrosekunde, in der die CPU die Daten verarbeitet, müssen sie unverschlüsselt sein (mit Kauderwelch kann die CPU nichts anfangen) und könnten – mit erheblichem technischen Aufwand, aber nicht unmöglich) dort abgegriffen werden.
Von daher ist der Verweis auf technische Maßnahmen nur ein theoretischer. In der Praxis wird sich weiterhin die Frage stellen (bei EU-Rechenzentren von Nicht-EU-Anbietern, allen voran aus den USA), ob man die theoretische Zugriffsmöglichkeit durch US-Behörden als grundsätzlichen Hinderungsgrund für eine DSGVO-konforme Verarbeitung sieht (so wie die Vergabekammer) oder eben grundsätzlich nicht. Der Verweis auf technische Maßnahmen, die einen Zugriff „erschweren“, ist vor dem Hintergrund der technischen Möglichkeiten von z.B. US-Geheimdiensten komplett irrelevant.
Ich stelle mir öfter die Fragen, ob tatsächlich alle wissen, was der Cloud-Act ist und um was es im Cloud-Act ist. Viele denken, daß es sich um einen Zugriff auf Clouds geht. Tatsächlich ist die Abkürzung CLOUD irreführend, da es sich quasi nur um eine moderne Art des Rechtshilfeverfahrens geht. Da Rechtshilfeanträge in der Regel sehr lange zur Bearbeitung benötigen und damit Straftäter bzw. Verdächtigte einer Straftat dann viel Zeit haben um Beweise beiseite zu schaffen etc. hatt die Administration Trump die Idee des Cloud Acts, der ein separates Abkommen zwischen den USA und den Land auf der anderen Seite mit sich bringt. Die EU-Kommission und auch die Mitgliedsstaaten der EU lehnen bisher ab, mit der USA ein Cloud-Act Abkommen abzuschließen, Außer der UK hat meine Wissens noch kein Land in Europa das Abkommen mit der USA ratifiziert.
BTW: der Cloud Act wurde ins Leben gerufen, als Microsoft sich geweigert hatte, Daten einer Person in der EU, die auf einem Serverin Irland gespeichert sind, an DIE US-Strafverfolgungsbehörde auszuhändigen.
Ob die US-Muttergeschaft einen Zugriff auf die Server der europäischen Tochtergesellschafte hat oder nicht, ist ein separates Thema und unabhängig vom Cloud-Act zu beurteilen.
Was viele nicht wissen, es gibt einige Unternehmen (wie z.B. SAP aber auch andere) die einen „EU-Access only“ an.
Ich bin bei Gott kein USA-Fan. Aber das LdfDI liegt in ihr Auslegung nicht so falsch.