Dürfen Sie US-Cloud-Dienste doch noch nutzen? – Teil 2

Am 24.08.2022 informierten wir Sie in unserem Artikel „Dürfen Sie noch Cloud-Dienste nutzen? – Ein Wegweiser“ über eine Entscheidung der Vergabekammer Baden-Württemberg. Diese hielt die Verwendung den Einsatz von Amazon Web Services für datenschutzrechtlich unzulässig. Nunmehr hat das Oberlandesgericht Karlsruhe die Entscheidung der Vergabekammer Baden-Württemberg revidiert.

Zur Erinnerung: Was hatte die Vergabekammer entschieden?

In einem Nachprüfungsverfahren monierte ein unterlegender Bieter, dass der Mitbieter die Vergabeunterlagen unzulässig geändert hat. Nach den Vergabeunterlagen sollten personenbezogene Daten ausschließlich in einem EU/EWR-Rechenzentrum verarbeitet werden. Der Mitbieter wollte die Dienste der Amazon Web Services EMEA SARL in Anspruch nehmen. Nach dem Vertrag mit der Amazon Web Services EMEA SARL sind Zugriffe der Amazon Web Services, Inc. auf die in der EU gespeicherten personenbezogenen Daten möglich.

Nach der Rechtsauffassung der Vergabekammer Baden-Württemberg lag eine unzulässige Übermittlung von personenbezogenen Daten in die USA vor. Für diese Annahme reiche das Risiko eines jederzeitigen (und möglicherweise rechtswidrige) Zugriffs auf die personenbezogenen Daten aus.

OLG Karlsruhe: Die Auftraggeberin darf sich auf Leistungsversprechen verlassen

Vergaberechtlich stellte das OLG Karlsruhe fest, dass der Anbieter die Vergabeunterlagen nicht unzulässig geändert hat und aus diesem Grund vom Vergabeverfahren nicht ausgeschlossen werden dürfe.

Datenschutzrechtlich argumentierte das OLG Karlsruhe wie folgt:

Die Amazon Web Services EMEA SARL hatte dem Anbieter vertraglich zugesagt, dass die personenbezogenen Daten nur in der EU verarbeitet werden. Diese Zusage war somit auch Bestanteil des Leistungsversprechens des Anbieters gegenüber dem öffentlichen Auftraggeber. Der öffentliche Auftraggeber dürfe sich auf diese vertraglichen Zusagen des Anbieters verlassen. Erst wenn sich aufgrund konkreter Anhaltspunkt Zweifel an der Einhaltung der Zusage der Amazon Web Services EMEA SARL ergebe, müsse der öffentliche Auftraggeber die Erfüllbarkeit des Leistungsversprechens prüfen. Diese Zweifel lägen hier nicht vor. Der öffentliche Auftraggeber müsse nicht damit rechnen, dass die Amazon Web Services EMEA SARL personenbezogene Daten unzulässig in die USA übermittelt.

Gibt es bereits Reaktionen der Aufsichtsbehörden?

In unserem Artikel „Dürfen Sie noch Cloud-Dienste nutzen? – Ein Wegweiser“ informierten wir Sie über die Stellungnahme der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LFDI BW) vom 15.08.2022 zu der Entscheidung der Vergabekammer. Die LDI BW kritisierte die Entscheidung der Vergabekammer an diversen Stellen. Eine aktuelle Stellungnahme der LDI BW zur Entscheidung des OLG Karlsruhe liegt derzeit noch nicht vor.

Können Sie jetzt gefahrlos Cloud-Dienste einsetzen oder etwa doch nicht?

Fraglich. Möglicherweise spielten hier die besonderen Regelungen und Dynamiken eines Vergabeverfahrens die ausschlaggebende Rolle.

Aus rein datenschutzrechtlicher sehen wir die Entscheidung des OLG Karlsruhe kritisch. Selbst wenn sich die Amazon Web Services EMEA SARL gerne an ihr Leistungsversprechen (Verarbeitung nur in der EU) halten will, unterliegt sie dem Weisungsrecht des Mutterkonzerns Amazon Web Services, Inc. Die Amazon Web Services, Inc. hat im Fall einer Aufforderung von US-Sicherheitsbehörden vermutlich vielfach keine andere Wahl, als entsprechende Weisungen an die Amazon Web Services EMEA SARL weiterzugeben. Damit besteht von Anfang an die latente Gefahr des unzulässigen Datenzugriffs. Das Leistungsversprechen der Amazon Web Services EMEA SARL ist damit im Zweifel nichts wert.

Was sollten Sie weiterhin tun?

Unsere Empfehlungen aus unserem Artikel „Dürfen Sie noch Cloud-Dienste nutzen? – Ein Wegweiser“ gelten weiterhin:

–        Sie müssen in jedem Fall prüfen, in welchen Fällen (und mit welcher Software) Sie personenbezogene Daten in Drittländer exportieren. Sie müssen in jedem Fall einen aktuellen Auftragsverarbeitungsvertrag unter Einbeziehung der aktuell gültigen Standardvertragsklauseln einsetzen.

–        Nach einer Empfehlung des LFDI BW sollten einige Klauseln der aktuellen Standardvertragsklauseln zu Gunsten der Betroffenen verschärft werden, damit die Gefahr des Zugriffs auf personenbezogene Daten minimiert oder ausgeschlossen wird.

Ferner sollten die sich auf dem Server des Cloudanbieters befindlichen personenbezogenen Daten in einer Weise verschlüsselt werden, dass selbst US-Behörden die Verschlüsselung nicht brechen können. Alternativ sollten die personenbezogenen Daten nur anonymisiert abgespeichert werden.

–        Wenn Vertragsanpassungen und/oder eine Verschlüsselung nicht möglich sind, müssten Sie unter Umständen das Vertragsverhältnis mit Ihrem Anbieter kündigen und zu einem Anbieter mit ausschließlichem Sitz und Serverstandort in der EU/EWR nachdenken.

Jedenfalls sollten Sie das Thema Clouddienste mit anwaltlicher Begleitung angehen, jedenfalls dann, wenn der Einsatz von Clouddiensten für Ihr Unternehmen von wesentlicher Bedeutung ist. Wir prüfen für Sie Ihre bestehenden Verträge und zeigen Ihnen Lösungswege auf. Im Falle eines Verfahrens vor der Aufsichtsbehörde unterstützen wir Sie mit unserer ganzen Erfahrung, um ein optimales Ergebnis zu erreichen. Vielfach lassen Sich Bußgelder oder einschneidende Auflagen vermeiden. Sprechen Sie uns gerne an!

 

Quelle:

1. VK Baden-Württemberg, Beschluss vom 13.07.2022, Az. 1 VK 23/22

2. OLG Karlsruhe, Beschluss vom 07.09.2022, Az. 15 Verg 8/22

 

GoldbergUllrich Rechtsanwälte 2022

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und

Fachanwalt für Informationstechnologierecht