Unternehmen greifen regelmäßig auf Cloud- und IT-Serviceprovider aus den USA oder auch aus Ländern wie Indien oder China zurück. Was ist hierbei zu beachten?

Deutscher AnwaltSpiegel – Abonnement

Erhalten Sie alle zwei Wochen das Online-Magazin direkt in Ihr Postfach.

Kostenlos anmelden

Einsatz von Cloud- und IT-Serviceprovidern aus datenschutzrechtlicher Sicht

Im Blickpunkt: OLG Karlsruhe und Executive Order des US-Präsidenten

15. Februar 2023, von Dr. André Schmidt und Niklas Vogt

Artikel als PDF (Download)

Unternehmen greifen regelmäßig auf Cloud- und IT-Serviceprovider mit US-amerikanischen Wurzeln zurück. Aber auch aus anderen Ländern wie Indien oder China werden vermehrt IT-Services bezogen.

In der Praxis ist es nun so, dass zu diesen Konstellationen spätestens seit der „Schrems II“-Entscheidung des EuGH stets die Frage im Raum steht, ob eine unzulässige Datenübermittlung in ein unsicheres Drittland vorliegt. „Unsicher“ ist ein Drittland im Sinne der Datenschutz-Grundverordnung (DSGVO) dann, wenn hierfür kein Angemessenheitsbeschluss der EU-Kommission existiert, was wiederum für die meisten Länder gilt (insbesondere für die USA, China und Indien).

Dabei sind verschiedene Konstellationen zu unterscheiden:

  • Beauftragt ein EU-Auftraggeber einen Auftragnehmer außerhalb der EU oder des EWR, liegt zweifelsfrei eine Datenübermittlung in ein Drittland vor, selbst wenn der Serverstandort in der EU liegen sollte.
  • Beauftragt ein EU-Auftraggeber einen EU-Auftragnehmer, der seinerseits bei der Datenverarbeitung (teilweise) Unterauftragnehmer außerhalb der EU oder des EWR einsetzt, so findet auch hier eine Datenübermittlung in ein Drittland statt. Dies betrifft beispielsweise viele Standardkonfigurationen von Microsoft Azure, Google Cloud und Amazon Web Services.

Nicht so klar ist die Situation, wenn der EU-Auftragnehmer zwar keinen Unterauftragnehmer außerhalb der EU oder des EWR einsetzt, aber eine Muttergesellschaft in einem unsicheren Drittland hat.

Die richtungsweisende Entscheidung des OLG Karlsruhe

Im Hinblick auf das letztgenannte Szenario hat die Entscheidung des OLG Karlsruhe (Urteil vom 07.09.2022 – 15 Verg 8/22) in einem wichtigen Punkt für Klarheit gesorgt: Allein der Umstand, dass ein EU-Cloudserviceprovider eine Muttergesellschaft in den USA oder in einem anderen Drittland hat, bedeutet noch keinen Verstoß gegen die DSGVO.

Selbst wenn über die Muttergesellschaft im Drittland oder unmittelbar durch Behörden des Drittlands die Daten herausverlangt werden sollten, darf die EU-Tochter dem grundsätzlich nicht nachkommen. Dies regelt Art. 48 DSGVO. Danach dürfen Daten nur dann aufgrund eines Gerichtsurteils oder einer behördlichen Entscheidung in ein Drittland herausgegeben werden, wenn ein spezielles Rechtshilfeabkommen zwischen dem Drittland und der EU oder einem EU-Mitgliedstaat besteht. Zwischen den USA beziehungsweise China und der EU existiert ein solches Abkommen bislang nicht. Übrigens wird sich daran auch nichts ändern, wenn die EU-Kommission demnächst einen Ange-messenheitsbeschluss für die USA erlässt.

Die Auftraggeber dürfen allerdings bei Fehlen sonstiger Anhaltspunkte darauf vertrauen, dass die EU-Tochtergesellschaft aus vorgenannten Gründen Anfragen aus den USA oder China ablehnt.

Enger Anwendungsbereich der OLG-Entscheidung

Die Entscheidung hatte jedoch eine besondere Konstellation der Inanspruchnahme von „Amazon Web Services“ (AWS) zum Gegenstand, weshalb sie für die Mehrzahl der Cloudverträge mit AWS, Microsoft und Google nicht verallgemeinerungsfähig ist:

  • AWS war in dem streitigen Fall nach Angaben des Auftraggebers so konfiguriert, dass nur solche Cloudservices in Anspruch genommen wurden, bei denen AWS ausschließlich EU-Unterauftragsverarbeiter („regionale Services“) eingebunden hat. Hierfür genügt es nicht – wie häufig irrtümlich angenommen –, einen Serverstandort in der EU (hier Frankfurt am Main) zu wählen.
  • Außerdem hat der Auftragnehmer in der OLG-Entscheidung weitreichende Garantien abgegeben, aus denen sich ergibt, dass er Vereinbarungen mit AWS getroffen hat, die vom vertraglichen AWS-Standard abweichen.

Gerade Letzteres war in der Entscheidung ein ausschlaggebender Punkt, denn die Standardvertragsbedingungen vieler Cloudserviceprovider bieten durchaus Anhaltspunkte, die Zweifel aufwerfen, ob die Cloudanbieter sich an Art. 48 DSGVO halten werden. Dort finden sich nämlich regelmäßig Klauseln, die es den EU-Tochtergesellschaften erlauben, Kundendaten an Drittländer zu übermitteln, wenn dies aufgrund gesetzlicher oder behördlicher Vorgaben aus Drittländern erforderlich ist. Solche vertraglichen Regelungen dürften gegen Art. 28 Abs. 3 lit. a DSGVO verstoßen, weil dieser eine Verarbeitung durch den Auftragsverarbeiter außerhalb der Weisungen des Verantwortlichen nur zulässt, wenn der Auftragsverarbeiter durch das Recht der Union oder eines EU-Mitgliedstaates hierzu verpflichtet ist. Das Recht von Drittländern darf für eine Datenübermittlung also nicht herangeführt werden. Daran ändert auch ein Angemessenheitsbeschluss der EU-Kommission für das betreffende Drittland nichts.

Das gilt bei der Einbindung von IT-Serviceprovidern aus Drittländern

Wenn bei IT-Services, wie so häufig, an irgendeiner Stelle in der Datenverarbeitungskette nach Art. 28 DSGVO (Unter-)Auftragsverarbeiter aus unsicheren Drittländern (etwa USA, China, Indien) eingebunden werden, dann gilt Folgendes: Der Auftraggeber muss sich bei Abschluss des Auftragsverarbeitungsvertrags mit dem Auftragnehmer vergewissern, dass die Daten gemäß seiner Weisungen nur in Drittländer übermittelt werden, in denen ein der EU adäquates Schutzniveau gewährleistet ist. Der Auftraggeber muss daher prüfen:

  1. Sind die passenden Standardvertragsklauseln der EU-Kommission (Standard Contractual Clauses; SCC) vereinbart?
  2. Ist ein Transfer Impact Assessment (TIA) durchgeführt worden und ist dieses belastbar?
  3. Sind – sofern erforderlich – angemessene zusätzliche Schutzmaßnahmen ergriffen worden?

Nun ist es jedoch kein Geheimnis, dass insbesondere die Frage 3 bei den besonders relevanten Clouddiensten aus den USA, China und Indien so gut wie nie zu 100% positiv beantwortet werden kann. Dies liegt daran, dass die Dienstleister für ihre „Software as a Service“-Dienste Zugriff auf die Klardaten benötigen .Außerdem sind die vom Europäischen Datenschutzausschuss (EDSA) in seinen Empfehlungen 01/2020 skizzierten zusätzlichen Schutzmaßnahmen nicht anwendbar. Genau dies hat der EDSA in ebenjenem Papier sogar ausdrücklich betont (Anhang 2, Anwendungsfall 6).

Rettung durch die Executive Order des US-Präsidenten(?)

Hoffnung naht nun für US-Clouddienste durch das „EU-US-Data-Privacy-Framework“, wie der Nachfolger des „EU-US-Privacy-Shields“ heißen soll. Im März 2022 verkündeten die EU-Kommission und die US-Regierung, dass man über ein Nachfolgeabkommen verhandle. Im Oktober 2022 erließ US-Präsident Biden dann eine Executive Order, mit der die datenschutzrechtliche Situation in den USA angepasst wurde. Die so angepasste Rechtslage ist nun Grundlage für die EU-Kommission, einen neuen Angemessenheitsbeschluss wahrscheinlich zu verabschieden. Sobald dieser Beschluss da ist, können Daten zwischen Europa und den USA bis auf Weiteres wieder gefahrlos fließen, zumindest soweit dies im Rahmen der Weisungen der Auftraggeber erfolgt (vgl. Art. 48 DSGVO).

Die Executive Order wird sicherlich bereits jetzt in die TIAs einfließen und kann in manchen Fällen das Zünglein an der Waage sein. Die EU-Kommission wird sehr wahrscheinlich auf Grundlage der Executive Order einen Angemessenheitsbeschluss erlassen. Doch es gibt – auch von deutschen Aufsichtsbehörden – viel Kritik an der Executive Order und an der Überlegung, diese Order zur Grundlage eines Angemessenheitsbeschlusses zu machen. Diese Kritik wird von Max Schrems geteilt, der sich mit seiner Verbraucherschutzorganisation NOYB bereits in Stellung bringt und angekündigt hat, den neuen Angemessenheitsbeschluss – so er denn kommt – erneut gerichtlich anzugreifen. Eine „Schrems III“-Entscheidung ist also bereits jetzt absehbar. Die Entscheidung würde voraussichtlich zwei bis drei Jahre nach Erlass des Angemessenheitsbeschlusses ergehen.

Fazit und Empfehlungen

Als Fazit bleibt also festzuhalten:

  • Die bloße Tatsache, dass ein Cloud- oder IT-Serviceprovider aus der EU eine Muttergesellschaft in einem unsicheren Drittland hat, ist datenschutzrechtlich nicht zu beanstanden.
  • Kritisch ist allerdings, wenn die EU-Tochter sich in den Verträgen die Befugnisse einräumen lässt, Daten in Drittländer zu übermitteln aufgrund dort bestehender gesetzlicher oder behördlicher Vorgaben. Daran ändert auch ein Angemessenheitsbeschluss für das betreffende Drittland nichts.
  • Wenn an irgendeiner Stelle in der „Datenverarbeitungskette“ Serviceprovider aus unsicheren Drittländern eingesetzt werden (und sei es erst auf Ebene der Unterauftragsverarbeiter), so obliegt dem Auftraggeber die Prüfung, inwieweit die erforderlichen SCC, TIAs und zusätzlichen Schutzmaßnahmen umgesetzt sind.
  • Selbst wenn die EU-Kommission auf Grundlage der Executive Order einen Angemessenheitsbeschluss für die USA erlässt, sollten Vorkehrungen für die mögliche Zeit danach getroffen werden. Denn: Viele Vertragsverhältnisse sind auf mehrere Jahre angelegt. So schnell kommt man von einem Dienstleister dann nicht mehr weg. Wenn Max Schrems zum dritten Mal vor dem EuGH erfolgreich sein sollte, laufen viele der jetzt und in den kommenden Monaten abgeschlossenen Verträge wahrscheinlich noch. Sich schon jetzt für eine Post-Schrems-III-Ära zu wappnen, ist also ratsam.

 

schmidt@lutzabel.com

vogt@lutzabel.com

Themen

Aktuelle Beiträge

Im vorliegenden Fall sollte ein als technischer Leiter beschäftigter Arbeitnehmer eine außerordentliche fristlose Änderungskündigung annehmen und sein Arbeitsverhältnis als Softwareentwickler fortsetzen.
AnwaltSpiegel
Unwirksame außerordentliche Kündigung BAG: Widersprüchliches Verhalten des Arbeitgebers schließt ausdrückliches Angebot zur Leistungsbereitschaft des Arbeitnehmers aus weiterlesen
Der Kläger war Beamter der Deutschen Bundespost. Seit deren Privatisierung wurde er bei der Beklagten – einem Postnachfolgeunternehmen – aufgrund einer Reihe befristeter Arbeitsverträge mit unterschiedlichen Aufgaben in einem Arbeitsverhältnis beschäftigt.
AnwaltSpiegel
BAG: Entfristungsfiktion bei der Fortsetzung von Arbeitsverhältnissen „Ohne Fleiß kein Preis“ weiterlesen
Mehr Fragen als Antworten: Arbeitgeber warteten mit Spannung auf die Vorschläge des BMAS zur Anpassung des Arbeitszeitgesetzes. Doch der nun vorliegende Referentenentwurf ist mehr als ernüchternd.
AnwaltSpiegel
Neue Vorgaben zur Arbeitszeiterfassung Referentenentwurf liegt vor – bisher mehr Fragen als Antworten weiterlesen
© 2023 Deutscher AnwaltSpiegel