Dürfen Sie noch Cloud-Dienste nutzen? – Ein Wegweiser

Viele Unternehmen nutzen Cloud-Dienste großer Anbieter wie Amazon Web Services oder Google Cloud Plattform für die Speicherung von Geschäftsdaten oder für die Erbringung von digitalen Dienstleistungen. In vielen Fällen werden dabei auch personenbezogene Daten von Beschäftigten, Kunden und/oder Lieferanten verarbeitet. Die Vergabekammer Baden-Württemberg (VK Baden-Württemberg, Beschluss vom 13.07.2022, Az. 1 VK 23/22) hielt die Verwendung den Einsatz von Amazon Web Services für datenschutzrechtlich unzulässig.

Die Entscheidung ist noch nicht rechtskräftig.

Warum entscheidet eine Vergabekammer über Datenschutzthemen?

In einem Nachprüfungsverfahren monierte ein unterlegender Bieter, dass der Mitbieter die Vergabeunterlagen unzulässig geändert hat. Die Vergabeunterlagen sahen u.a. vor, dass personenbezogene Daten ausschließlich in einem EU/EWR-Rechenzentrum verarbeitet werden, bei dem Konzernunternehmen nicht in Drittstaaten ansässig sind. Der Mitbieter wollte die Dienste der Amazon Web Services EMEA SARL in Anspruch nehmen. Die Amazon Web Services EMEA SARL ist allerdings eine Tochtergesellschaft der in den USA ansässigen Amazon Web Services, Inc. Nach dem Vertrag mit der Amazon Web Services EMEA SARL sind Zugriffe der Amazon Web Services, Inc. auf die in der EU gespeicherten personenbezogenen Daten möglich.

Risiko eines Zugriffs = Übermittlung?

Im Kern rügte die Vergabekammer einen Verstoß gegen die Regelungen in Art. 44 ff. DSGVO. Die Art. 44 ff. DSGVO regeln detailliert die Zulässigkeit der Datenübermittlung in Drittländer. Nach der Vergabekammer stehe die jederzeitige Zugriffsmöglichkeit auf personenbezogenen Daten einer tatsächlichen Übermittlung dieser personenbezogenen Daten gleich. Aus diesem Grund müssen die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sein, was vorliegend nicht der Fall war.

Wieso ist die Datenübermittlung unzulässig?

Nach dem Vertrag mit der Amazon Web Services EMEA SARL durfte aus den USA auf die in der EU gespeicherten personenbezogenen Daten unter anderem zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen zugegriffen werden. Für diese Datenübermittlung sieht die DSGVO keine Rechtsgrundlage vor. Auch die im Vertrag mit der Amazon Web Services EMEA SARL einbezogenen EU-Standardvertragsklauseln seien nicht geeignet, eine unzulässige Datenübermittlung zu legitimieren.

Wie beurteilen die Datenschutzaufsichtsbehörden die Entscheidung?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LFDI BW) hat am 15.08.2022 zur Entscheidung der Vergabekammer Stellung genommen (vgl. https://www.baden-wuerttemberg.datenschutz.de/stellungnahme-zum-beschluss-der-vergabekammer-bw/). Nach dem LFDI BW ist zweifelhaft, ob man die bloße Zugriffsmöglichkeit auf personenbezogenen Daten einer tatsächlichen Übermittlung dieser personenbezogenen Daten gleichsetzen könne. Ferner habe sich die Vergabekammer nicht vollumfänglich mit den Standardvertragsklauseln auseinandergesetzt. Schließlich kritisiert der LFDI BW, dass sich die Vergabekammer mit der vom Mitbieter eingesetzten Verschlüsselungstechnik nicht auseinandergesetzt habe.

Stellungnahmen weiterer Datenschutzaufsichtsbehörden zu der Entscheidung der Vergabekammer lagen nicht vor.

Müssen Sie die Entscheidung der Vergabekammer beachten?

Die Antwort lautet klar: Nein!

Die Entscheidung der Vergabekammer bindet nur die dortigen Verfahrensbeteiligten. Allerdings geht von der Entscheidung der Vergabekammer durchaus eine Signalwirkung aus. Eine Vergabekammer ist zwar kein Gericht, jedoch können grundlegende Entscheidungen der Vergabekammern durchaus das Recht fortbilden. Dies würde insbesondere dann gelten, wenn das in dieser Sache voraussichtlich bereits angerufene Oberlandesgericht Karlsruhe die Entscheidung der Vergabekammer bestätigt. Dann läge einer obergerichtliche Entscheidung vor.

Dürfen Sie jetzt noch Clouddienste einsetzen oder nicht?

Auf diese Frage kann man nur antworten: Es kommt darauf an!

  • Sie müssen in jedem Fall prüfen, in welchen Fällen (und mit welcher Software) Sie personenbezogene Daten in Drittländer exportieren. Sie müssen in jedem Fall einen aktuellen Auftragsverarbeitungsvertrag unter Einbeziehung der aktuell gültigen Standardvertragsklauseln einsetzen.
  • Nach einer Empfehlung des LFDI BW sollten einige Klauseln der aktuellen Standardvertragsklauseln zu Gunsten der Betroffenen verschärft werden, damit die Gefahr des Zugriffs auf personenbezogene Daten minimiert oder ausgeschlossen wird.
  • Ferner sollten die sich auf dem Server des Cloudanbieters befindlichen personenbezogenen Daten in einer Weise verschlüsselt werden, dass selbst US-Behörden die Verschlüsselung nicht brechen können. Alternativ sollten die personenbezogenen Daten nur anonymisiert abgespeichert werden.
  • Wenn Vertragsanpassungen und/oder eine Verschlüsselung nicht möglich sind, müssten Sie unter Umständen das Vertragsverhältnis mit Ihrem Anbieter kündigen und zu einem Anbieter mit ausschließlichem Sitz und Serverstandort in der EU/EWR nachdenken.

Sie müssen das Risiko, welches von der Entscheidung der Vergabekammer ausgeht, in jedem Fall ernst nehmen.

Ärger droht jedoch vielleicht von einer anderen Stelle.

Ein ehemaliger Kunde und/oder Mitarbeiter könnte Sie zur Auskunft auffordern, ob personenbezogene Daten in die USA übermittelt werden oder von dort abgerufen werden können. Sollte sich zudem eine Aufsichtsbehörde mit diesem Thema befassen, müssten Sie womöglich unangenehme Fragen beantworten oder gar die Datenverarbeitung abschalten.

Sie sollten das Thema Clouddienste mit anwaltlicher Begleitung angehen, jedenfalls dann, wenn der Einsatz von Clouddiensten für Ihr Unternehmen von wesentlicher Bedeutung ist. Wir prüfen für Sie Ihre bestehenden Verträge und zeigen Ihnen Lösungswege auf. Im Falle eines Verfahrens vor der Aufsichtsbehörde unterstützen wir Sie mit unserer ganzen Erfahrung, um ein optimales Ergebnis zu erreichen. Vielfach lassen Sich Bußgelder oder einschneidende Auflagen vermeiden. Sprechen Sie uns gerne an!

 

GoldbergUllrich Rechtsanwälte 2022

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und

Fachanwalt für Informationstechnologierecht