Kein Datenschutz nach Schema F

Die aktuelle Rechtslage

Der Europäische Gerichtshof (EuGH) hält das Datenschutzniveau in den USA nicht für vergleichbar mit dem der Datenschutz-Grundverordnung (DSGVO). Grund dafür sind u.a. Gesetze, nach denen die Nachrichten- und Geheimdienste der USA nach Aufforderung die Herausgabe personenbezogener Daten von EU-Bürger:innen von US-amerikanischen Unternehmen verlangen können. Diese Auffassung hat der EuGH mit dem Schrems-II-Urteil untermauert. Durch dieses Urteil wurde das sogenannte Privacy Shield aufgehoben. Mit diesem Abkommen zwischen der EU und den USA sollte ein vergleichbares Datenschutzniveau geschaffen werden. Das Abkommen reichte dem EuGH jedoch nicht aus. Deshalb sind nach aktuellem Stand gesonderte Garantien des Auftragsverarbeiters erforderlich, wenn er Daten in den USA – aber auch in anderen Drittstaaten ohne Angemessenheitsbeschluss – verarbeitet. Die Europäische Kommission hat zu diesem Zweck Standardvertragsklauseln entworfen, die mit in einen Auftragsverarbeitungsvertrag aufgenommen werden können, um das Schutzniveau der DSGVO zu erreichen.

Die Entscheidung des OLG

Der Sachverhalt war wie folgt: Ein Konkurrent im Vergabeverfahren gab an, die Hosting-Dienstleistung des Beschwerdeführers nutzen zu wollen. Die hierfür genutzten Server des Cloud-Anbieters sollten vereinbarungsgemäß ausschließlich in Deutschland stehen.

Der Vergabekammer genügte diese Vereinbarung nicht. Eine Übermittlung liege bereits dann vor, „wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt. […] Dabei ist unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist“. Auch die Verpflichtung des Cloud-Anbieters, rechtlich gegen mögliche Anfragen von staatlichen Stellen vorzugehen, genüge nicht.

Das OLG folgte der Auffassung, dass ein latentes Risiko des Zugriffs eines Drittstaates auf die personenbezogenen Daten eine Übermittlung im Sinne der DSGVO darstelle, nicht. Vielmehr dürfe der Auftraggeber „grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen“.

Der Unternehmensstandort der Konzernmutter in den USA genüge für einen derartigen Anhaltspunkt nicht. Der Konkurrent müsse „nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird“.

Das OLG verwies ausdrücklich darauf, dass das vom Cloud-Anbieter standardmäßig verwendete „Data Processing Agreement“ vorliegend nicht verwendet wurde, sodass sich hieraus keine Unsicherheiten über eine DSGVO-Konformität ergäben.

Das Urteil zeigt letztlich, dass die Beteiligung von Unternehmen mit Drittstaatenbezug keiner schematischen Kontrolle unterliegen darf. Vielmehr ist im Einzelfall zu prüfen, ob ein Risiko der Übermittlung personenbezogener Daten von EU-Bürger:innen in Drittstaaten ohne angemessenes Schutzniveau besteht und wie man dieses gegebenenfalls erfolgreich mit entsprechenden Vereinbarungen datenschutzkonform beseitigen kann.

OLG Karlsruhe, Beschluss vom 7.9.2022 – 15 Verg 8/22

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink