Viele Dienstleister sagen zu, personenbezogene Daten ausschließlich innerhalb der EU zu verarbeiten. Wenn die Auftragsverarbeiter aber Standorte oder verbundene (Konzern-)Unternehmen in unsicheren Drittstaaten haben, stellt sich häufig die Frage, ob es zu einem Datentransfer in ein solches Drittland kommt. Das Oberlandesgericht (OLG) Karlsruhe hat nun zumindest in einem spezifischen Fall entschieden, dass Verantwortliche sich auf die Zusagen von Auftragsverarbeitern verlassen können – allerdings nur unter bestimmten Voraussetzungen (Beschluss vom 7. September 2022, Az.: 15 Verg 8/22; Quelle: Vergabeblog.de vom 8. September 2022, Nr. 50891)
Das Verfahren
Dem Verfahren ging der Beschluss der Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az.: 1 VK 23/22; Quelle: Vergabeblog.de vom 25. August 2022, Nr. 50676) voraus. Wie die Kammer in ihrem Leitsatz konstatierte, bestehe ein Verstoß gegen die DSGVO (Datenschutz-Grundverordnung), wenn Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter zur Verarbeitung personenbezogener Daten herangezogen werden. Denn der alleinige Einsatz entsprechender Hosting-Leistungen stelle aufgrund des damit verbundenen latenten Risikos eines Zugriffs durch U.S.-Stellen eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland dar.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Stellungnahme
Diese Auffassung wurde nunmehr durch das OLG Karlsruhe unter dem Argument aufgehoben, dass sich Auftraggeber auf bindende Zusagen der Auftragnehmer verlassen dürfen. Dafür sind allerdings bestimmte Voraussetzungen zu erfüllen:
Lediglich werbende Aussagen oder Darstellungen in Produktpräsentationen etc. sind nicht ausreichend. Vielmehr muss vertraglich klar geregelt sein, dass die Datenverarbeitung ausschließlich innerhalb der EU erfolgt.
Die Zusage eines europäischen Rechenzentrums oder Serverstandorts genügt hierfür ganz klar nicht. Der Standort des Rechenzentrums sagt über die möglichen Orte der Datenverarbeitung nichts aus; es ist typischerweise bei jedem Rechenzentrum so, dass die eigentliche Verarbeitung von Daten nicht von diesem Ort aus gesteuert wird. Üblicherweise sind Rechenzentren möglichst menschenleer.
Auch das Versprechen, dass der Dienstleister seinen Firmensitz innerhalb der EU hat, genügt nicht. Entscheidend ist die klare Zusicherung, dass auch außerhalb des Regelbetriebs kein Zugriff auf Daten von außerhalb der EU vorgesehen oder möglich ist. Eben dieses Versprechen können sehr viele internationale Anbieter nicht geben, da für eine 24/7-Erreichbarkeit oder aber für komplexere Probleme jenseits des First-Level-Supports internationale Ansprechpartner eingesetzt werden.
Dies wird allerdings in den wenigsten Verträgen klar und transparent angegeben. Als Verantwortlicher gilt es hier nachzufragen und auf die Aufnahme einer entsprechenden und glasklaren Klausel zu bestehen. Gleiches gilt auch für den Fall, wenn der Auftragnehmer die Verarbeitung aus dem Drittland heraus zwar nicht beabsichtigt, sich dies aber ausdrücklich vorbehält.
Die vertragliche Zusage sollte immer lauten, dass ein Drittlandtransfer durch den Auftragsverarbeiter unterbleibt. All dies gilt selbstverständlich auch für eingesetzte Subdienstleister.
Datenschutzrechtliche Einschätzung
Unter den gerade genannten Voraussetzungen kann sich ein Verantwortlicher grundsätzlich auf vertragliche Zusagen eines Dienstleisters verlassen. Wie auch in anderen Fällen muss man nicht unterstellen, dass sich ein Vertragspartner rechts- oder vertragswidrig verhält; zumindest so lange nicht Anhaltspunkte für das Gegenteil ersichtlich sind.
Was können Verantwortliche daraus für sich ableiten? Es gilt vor allem, genau hinzuschauen!
Für Verantwortliche ist entscheidend, ob die personenbezogenen Daten durch den Auftragnehmer ausschließlich im vereinbarten bzw. beauftragten Rahmen verarbeitet werden sollen (wobei dieser Rahmen insbesondere geographisch zu verstehen ist) oder ob sich der Auftragnehmer mehr oder weniger ausdrücklich vorbehält, diesen Rahmen zu überschreiten.
Ist letzteres der Fall, landet man unweigerlich in der Vorschrift des Art. 44 ff. DSGVO und den damit verbundenen Konsequenzen. Es bedarf dann geeigneter Garantien für den Drittlandtransfer und weitergehender Schutzmaßnahmen die in einem Transfer Impact Assessment (TIA) abzuwägen sind.
Versichert der Auftragnehmer dagegen vertraglich zweifelsfrei zu, dass eine Übermittlung nicht stattfindet, ist der Anwendungsbereich des V. Kapitels der DSGVO in Ermangelung einer Datenübermittlung gar nicht erst eröffnet. Denn eine derart weite Auslegung kann dem Willen des Verordnungsgebers nicht unterstellt werden. Zwar besteht auch in diesem Fall die latente Gefahr eines Zugriffs durch Stellen aus einem unsicheren Drittland heraus; vor allem, wenn das nationale Recht des Drittstaats einen Zugriff auch auf international gespeicherte Daten vorsieht. Diese Frage ist aber eine von Art. 44 DSGVO losgelöste.
Da diese Unterscheidung, wie man anhand der Auffassung der Vergabekammer Baden-Württemberg sehen kann, in der Praxis oftmals zu undifferenziert betrachtet wird, ist die Aufhebung des Beschlusses durch das OLG zu begrüßen.
Die Grundsatzfrage, ob bereits in der latenten Gefahr eine Übermittlung im Sinne des Art. 44 DSGVO zu sehen ist, hätte sich deshalb sicherlich auch als Vorlage für den EUGH geeignet. Es bleibt abzuwarten, ob es ein vergleichbarer Sachverhalt nach Luxemburg schafft.