Vergabekammer Baden-Württemberg trifft umstrittene Entscheidung bezüglich Daten-Export in die USA
Zahlreiche Unternehmen lassen ihre Webseiten und/oder Online-Shops auf externen Servern von Hosting-Anbietern laufen. Dieses Vorgehen ist eher die Regel als die Ausnahme, weil Webseiten und Online-Shops auf diese Weise kostengünstig und ohne viel Aufwand betrieben werden können. Da bei deren
Seit der EuGH am 16.07.2020 das Privacy-Shield-Abkommen der EU mit den USA gekippt hat, existieren Regelungslücken für die DSGVO-konforme Weitergabe von persönlichen Daten aus EU-Staaten an US-Unternehmen. Durch die Verwendung von Standarddatenschutzklauseln konnte eine solche Übermittlung bisher dennoch erfolgen, sofern deren Notwendigkeit ausreichend begründet wurde. Dennoch ersetzt dieser Umweg keine grundlegende Regelung, sondern erfordert im Zweifelsfall stets aufwändige Einzelfallprüfungen.
Am 12.07.2022 traf die Vergabekammer (VK) Baden-Württemberg nun eine richtungsweisende, jedoch noch nicht rechtskräftige Entscheidung, die die Problematik bei der Übermittlung von Daten in ein Drittland erneut in die allgemeine Wahrnehmung gerückt hat. Dabei wurde ein in Europa ansässiges Tochterunternehmen eines US-Mutterkonzerns mit Servern in Europa vom Bieterverfahren für Cloud-Dienste ausgeschlossen, weil in dieser Konstellation die ‚latente Gefahr‘ einer nicht-DSGVO-konformen Datenübermittlung in die USA bestehe.
Allein die Möglichkeit, dass die Konzernmutter mithilfe ihrer Infrastruktur und aufgrund von Vertragsbestimmungen, die eine Datenübermittlung in die USA nicht grundlegend ausschließen, auf die Daten des Tochterunternehmens zugreifen könne, stellt nach Ansicht der VK Baden-Württemberg bereits eine Datenübermittlung i. S. v. DSGVO 44 ff. dar. Dabei sei es irrelevant, ob dieser Zugriff erfolgt oder nicht.
Besuch durch Nutzer persönliche Daten verarbeitet werden, treten die Webhoster ihren Kunden gegenüber als Auftragsverarbeiter auf.
Um den rechtlichen Rahmen dieser Auftragsverarbeitung festzulegen, müssen die Hosting-Dienstleister und mit ihren Kunden einen Auftragsdatenverarbeitungsvertrag (AVV) schließen. Existiert dieser Vertrag nicht oder entspricht er nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO), kann dies zu Problemen und hohen Abmahngebühren für Hosting-Kunden und -Anbieter gleichermaßen führen, weil beide gegenüber der Datenschutzbehörde ihres Landes auf deren Anfrage nachweisen können müssen, dass sie die Vorgaben des Datenschutzes erfüllen.
Es fehlt eine grundsätzliche Regelung für die Datenübermittlung in Drittländer
Die Problematik dieser Entscheidung ist schnell ersichtlich: Für Unternehmen und Institutionen in Europa wird die Zusammenarbeit mit US-Anbietern erneut grundlegend infrage gestellt. Bisher galt, dass eine Datenübermittlung an und -verarbeitung in den USA zulässig ist, sofern diese ausreichend begründet und mithilfe von Standardvertrags- bzw. Standarddatenschutzklauseln rechtlich abgesichert wurde.
Die Entscheidung der VK Baden-Württemberg zeigt nun auf, dass dieses Vorgehen in bestimmten Situationen nicht mehr ausreichen kann, um DSGVO-konform zu agieren. Dass grundlegende Vorbehalte gegen die Übermittlung persönlicher Daten in die USA bestehen, ist dabei durchaus gerechtfertigt, da sie dort beispielsweise vor dem Zugriff durch US-Geheimdienste deutlich weniger geschützt sind. Dies kann dazu führen, dass europäische Unternehmen nicht in ausreichendem Maße vor Industriespionage und europäische Bürger nicht vor unrechtmäßiger Strafverfolgung seitens der US-Behörden geschützt sind.
Der Beschluss der VK Baden-Württemberg ist, wie bereits erwähnt, noch nicht rechtskräftig und zudem aktuell hoch umstritten. Wie der Streit ausgehen wird, bleibt spannend. Was sich hier jedoch erneut zeigt, ist, dass für die Planungssicherheit und Entscheidungsfreiheit europäischer Unternehmen und Institutionen bei der Anbieterwahl von allgemein beliebten Clouddiensten eine grundlegende Regelung nottut, die langfristig das Privacy-Shield-Abkommen ersetzt.
